当前位置:首页 > 主持词 > 主持词范文 > 文章内容页

《涉密信息系统标准》

来源:互联网收集 日期:2018-01-19 10:35:00 分类:主持词范文 阅读:
范文壹:涉密信息系统集成资质保密标准

涉密信息系统集成资质保密标准 (2015年6月2日发布新版本)

1 适用范围 本保密标准适用于涉密信息系统集成资质申请、审查与资质单位日常保密理。

2 定义

2.1 本标准所称涉密人员,是指由于工作需要,在涉密信息系统集成岗位合法接触、知悉和经家秘密事项的人员。

2.2 本标准所称涉密载体,主要指以文字、数据、符号、图、图像、声音等方式记载家秘密信息的纸介质、磁介质、光盘等各类品。磁介质载体包括计算机硬盘、软盘和录音带、录像带等。

2.3 本标准所称信息系统是指由计算机及其相关和配套设备、设施构成的,按照壹定的应用目标和规则存储、处理、传输信息的系统或者网络。

2.4 本标准所称信息设备是指计算机及存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。

3 保密标准

3.3.2 保密制度包括以下主要方面:

(1)保密工作机构设置与职责;

(2)保密教育培训

(3)涉密人员理;

(4)涉密载体理;

(5)信息系统、信息设备和保密设施设备理;

(6)涉密信息系统集成场所等保密要害理;

(7)涉密项目实施现场理;

(8)保密监督检查;

(9)保密工作考核与惩;

(10)泄密事件报告与查处;

(11)保密风险评估理;

(12)资质证书使用与理。

3.4 保密风险评估

3.4.1 资质单位应当定期对系统集成务、人员、资产、场所等主要理活动进行保密风险评估。各门应当按照务流程对保密风险进行识别、分析和评估,提出具体防控措施。

3.4.2 资质单位应当将家保密法规和标准要求、保密风险防控措施融入到理制度和工作流程中,并建立相应的监督检查机制。

3.5 涉密人员

3.5.1 资质单位应当对从事涉密务的人员进行审查,符合条件的方可将其

确定为涉密人员。涉密人员应当通过保密教育培训,并签订保密承诺书后方能上

岗。

3.5.2 涉密人员应当保守家秘密,严格遵守各项保密规章制度,并符合以下基本条件

(1)遵纪守法,具有良好的品行,无犯罪记录;

(2)资质单位正式职工,并在其他单位无兼职;

(3)社会关系清楚,本人及其配偶为中境内公民。

3.5.3 涉密人员根据所在岗位涉密情况分为核心、重要、壹般三个等#,实行分类理。涉密等#发生变化时,应当履行审批程序。

3.5.4 资质单位与涉密人员签订的劳动合同或补充协议,应当包括以下内容:

(1)涉密人员的权利与义务;

(2)涉密人员应当遵守的保密纪律和有关限制性规定;

(3)因履行保密职责导致涉密人员利益受到损害,资质单位给予补偿的规定;

(4)涉密人员因违反保密规定而被无条件调离涉密岗位或给予辞退等处罚的规定;

(5)因认真履行保密职责,资质单位给予涉密人员励的规定;

(6)涉密人员应当遵守的其他有关事项

3.5.5 资质单位应当将涉密人员基本情况和调整变动情况向所在地省、自治

区、直辖市保密行政门备案。

3.5.6 在岗涉密人员每年参加保密教育与保密知识、技能培训的时间不少于10个学时。

3.5.7 资质单位应当对在岗涉密人员进行定期考核评价。

3.5.8 资质单位应当向涉密人员发放保密补贴

3.5.9 涉密人员离岗离职须经资质单位保密审查,签订保密承诺书,并按相关保密规定实行脱密期理。

3.5.10

涉密人员因私出(境)的,应当经资质单位同意,出(境)前应当经过保密教育。擅自出境或逾期不归的,资质单位应当及时报告保密行政门。

3.5.11 涉密人员泄露家秘密或严重违反保密规章制度的,应当调离涉密岗位,并追究其法律责任。

3.6 涉密载体

3.6.1 资质单位应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。

3.6.2 资质单位应当建立涉密载体台帐,台帐应当包括载体名称、编号、密#、保密期限等信息。

3.6.3 接收、制作、交付、传递、保存、维修、销毁涉密载体,应当遵守家相关保密规定,履行签收、登记、审批手续。

3.6.4 复制本单位产生的涉密载体,应当经单位相关门审批;复制其他涉密载体,应当经涉密载体制发机关、单位或所在地省、自治区、直辖市保密行政门批准。涉密载体复制场所应当符合保密要求,采取可靠的保密措施;不具备复制条件的,应当到保密行政门审查批准的定点单位复制。

3.6.5 机密、秘密#涉密载体应当存放在密码文件柜中,绝密#涉密载体应当存放在密码保险柜中。存放场所应当符合保密要求。

3.6.6 未经批准,个人不得私自留存涉密载体和涉密信息资料。确因工作需要保存的,应当建立个人台帐,内容包括载体密#、留存原因、审批门或人员、留存期限等内容。

3.6.7 携带涉密载体外出,应当履行审批手续,采取可靠的保密措施,并确保涉密载体始终处于携带人的有效控制下。

3.6.8 资质单位应当定期对涉密载体进行清查。需要销毁的涉密载体应当履行清点、登记、审批手续,送交保密行政设立的销毁工作机构或者保密行政门指定的单位销毁;确因工作需要,自行销毁少量秘密载体的,应当使用符合家保密标准的销毁设备和方法。

3.7 信息系统与信息设备

3.7.1 涉密信息系统的规划、建设、使用等应当符合家有关保密规定。涉密信息系统应当按照家保密规定和标准,制定分#保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转控制等安全保密防护措施。

3.7.2 涉密信息设备应当符合家保密标准,有密#、编号、责任人标识,并建立理台帐。

3.7.3 涉密计算机、移动存储介质应当按照存储、处理信息的好高密#进行理与防护。

3.7.4 涉密信息设备的使用应当符合相关保密规定。禁止涉密信息设备接入互联网及其他公共信息网络;禁止涉密信息设备接入内非涉密信息系统;禁止使用非涉密信息设备和个人设备存储、处理涉密信息;禁止超越计算机、移动存储介质的涉密等#存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质;禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备。

3.7.5 涉密信息设备应当采取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质控等安全保密措施,并及时升#病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。

3.7.6 采购安全保密产品应当选用经过家保密行政授权机构检测、符合家保密标准要求的产品,计算机病毒防护产品应当选用公安机关批准的产产品,密码产品应当选用家密码门批准的产品。

3.7.7 涉密信息打印、刻录等输出应当相对集中、有效控制,并采取相应审计措施。

3.7.8 涉密计算机及办公自动化设备应当拆除具有无线联网功能的硬件模块,禁止使用具有无线互联功能或配备无线键盘无线鼠标等无线外围装置的信息设备处理家秘密。

3.7.9 涉密信息设备的维修,应当在本单位内进行,并指定专人全程监督,严禁维修人员读取或复制涉密信息。确需送外维修的,须拆除涉密信息存储件。涉密存储介质的数据恢复应当到家保密行政门批准的单位进行。

3.7.10 涉密信息设备改作非涉密信息设备使用或淘汰处理时,应当将涉密信息存储件拆除。淘汰处理涉密存储介质和涉密信息存储件,应当按照家秘密载体销毁有关规定执行。

3.7.11 涉密计算机及移动存储介质携带外出应履行审批手续,带出前和带回后,均应当进行保密检查。

3.8 涉密办公场所保密

3.8.1 资质单位的涉密办公场所应当固定在相对独1立的楼层或区域

3.8.2 涉密办公场所应当安装门禁、视频监控、防盗报警等安防系统,实行封闭式理。监控机房应当安排人员值守。

3.8.3 建立视频监控理检查机制,资质单位安全保卫门应当定期视频监控信息进行回看检查,保密理办公室应当对执行情况进行监督视频监控信息保存时间不少于3个月。

3.8.4 门禁系统、视频监控系统和防盗报警系统等应当定期检查维护,确保系统处于有效工作状态。

3.8.5 涉密办公场所应当明确允许进入的人员范围,其他人员进入,应当履行审批、登记手续,并由接待人员全程陪同。

3.8.6 未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公场所。

3.9 涉密信息系统集成项目

3.9.1 资质单位应当按照资质等#、类别承接涉密信息系统集成务。不得将资质证书出借或转让。不得将承接的涉密信息系统集成分包转包给不具备相应资质的单位。

3.9.2 资质单位与其他单位合作开展涉密信息系统集成务的,合作单位应当具有相应涉密信息系统集成资质,且应当取得委托方书面同意

3.9.3 资质单位承接涉密信息系统集成项目的,应当在签订合同后,向项目所在地省、自治区、直辖市保密行政门备案,接受保密监督理。涉密信息系统集成项目完成后,资质单位应当向项目所在地省、自治区、直辖市保密行政门书面报告项目建设情况。

3.9.4 资质单位应当对涉密信息系统集成项目实行全过程理,明确岗位责任,落实各环节安全保密措施,确理全程可控可查。

3.9.5 资质单位应当按照涉密信息系统集成项目的密#,对用户需求文档、设计方案、图纸、程序编码等技术资料和项目合同书保密协议验收报告务资料是否属于家秘密或者属于何种密#进行确定。属于家秘密的,应当标明密#,登记编号,明确知悉范围。

3.9.6 涉密信息系统集成项目实施期间,项目负责人对项目的安全保密负总体责任,应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。

3.9.7 资质单位应当对参与涉密信息系统集成项目的理人员、技术人员工程施工人员进行登记备案,对其分工作出详细记录。

3.9.8 涉密信息系统集成项目实施验收后,资质单位应当将涉密技术资料全移交委托方,不得私自留存或擅自处理。需要保留的务资料,应当严格按照有关保密规定进行理。

3.9.9 涉密信息系统集成项目的设计方案、研发成果及有关建设情况,资质单位及其工作人员不得擅自以任何式公开发表、交流或转让

3.9.10 资质单位在与境外人员或机构进行交流合作时,应当严格遵守有关保密规定,交流材料不得涉及涉密信息系统集成项目的相关情况。

3.9.11 资质单位利用涉密信息系统集成项目申请专利,应当严格遵守有关保密规定。秘密#和机密#的项目,应当按照法定程序审批后申请保密专利,符合专利申请条件的,应当按照有关规定办理解密手续;绝密#的项目,在保密期限内不得申请专利或者保密专利。

3.10 涉密项目实施现场

3.10.1 资质单位进入委托方现场进行涉密信息系统集成项目开发、工程施工运行维护等应当严格执行现场工作制度和流程。

3.10.2 从事现场项目开发、工程施工运行维护的人员应当是资质单位确定的涉密人员。

3.10.3 现场项目开发、工程施工运行维护应当在委托方的监督下进行。未经委托方检查和书面批准,不得将任何电子设备带入涉密项目现场。

3.10.4 资质单位应当对现场项目开发、工程施工运行维护的工作情况进行详细记录并存档备查。

3.11 宣传报道

3.11.1 资质单位通过媒体、互联网等渠道对外发布信息,应当经资质单位相关门审查批准。

3.11.2 资质单位涉及涉密信息系统集成项目的宣传报道、展览、公开发表著作和论文等,应当经委托方批准。

3.12 保密检查

3.12.1 资质单位应当定期对保密理制度落实情况、技术防范措施落实情况等进行检查,及时发现和消除隐患。

3.12.2 保密检查应当进行书面记录,内容包括:检查时间、检查人、检查对象、检查事项、存在问题、整改措施及落实情况等。

3.13 泄密事件处理

3.13.1 资质单位发生泄密事件,应当立即采取补救措施,并在发现后24小时内书面向所在地保密行政报告。内容包括:

(1)所泄露信息的内容、密#、数量及其载体式;

(2)泄密事件的发现经过;

(3)泄密事件发生的时间、地点和经过;

(4)泄密责任人的基本情况;

(5)泄密事件造成或可能造成的危害;

(6)已采取或拟采取的补救措施。

3.13.2 资质单位应当配合保密行政门对泄密事件进行查处,不得隐瞒情况或包庇当事人。

3.14 保密工作考核与惩

3.14.1 资质单位应当将员工遵守保密制度、履行保密职责的情况纳入绩效考核内容,考核结果作为发放保密补贴和评选先进的依据。

3.14.2 资质单位应当对严格执行保密规章的集体和个人给予表彰励。

3.14.3 资质单位应当对违反保密法规制度的有关责任人给予相应处罚;泄露家秘密的,应当按照有关规定作出处理。

3.15 保密工作经费

3.15.1 保密工作经费分为保密理经费和保密专项经费。保密理经费用于单位保密宣传教育培训、发放保密补贴、励保密先进、保密检查等日常保密工作;专项经费用于保密设施设备的建设、配备、维护等。

3.15.2 甲#资质单位保密理经费,年度标准不少于5万元;乙#资质单位保密理经费,年度标准不少于3万元。保密理经费应当单独1列入单位年度财务预算,专款专用,保证开支。

3.15.3 保密专项经费应当按实际需要予以保障。

3.16 保密工作档案

3.16.1 资质单位应当建立保密工作档案,记录日常保密工作情况。

3.16.2保密工作档案的内容应当真实、完整,全面反映保密工作情况,并能够与相关工作档案相互印证。

3.17 本保密标准未明确涉密事项的保密理,须严格执行家有关保密规定。

范文二:涉密信息系统集成资质保密标准

涉密信息系统集成资质保密标准

(2015年6月2日发布新版本)

1 适用范围

本保密标准适用于涉密信息系统集成资质申请、审查与资质单位日常保密理。

2 定义

2.1 本标准所称涉密人员,是指由于工作需要,在涉密信息系统集成岗位合法接触、知悉和经家秘密事项的人员。

2.2 本标准所称涉密载体,主要指以文字、数据、符号、图、图像、声音等方式记载家秘密信息的纸介质、磁介质、光盘等各类品。磁介质载体包括计算机硬盘、软盘和录音带、录像带等。

2.3 本标准所称信息系统是指由计算机及其相关和配套设备、设施构成的,按照壹定的应用目标和规则存储、处理、传输信息的系统或者网络。

2.4 本标准所称信息设备是指计算机及存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。

3 保密标准

3.1 保密标准实施原则

3.1.1 积ji防范,突出重点,严格标准,依法理。

3.1.2 工作,保密工作谁负责,保密责任落实到人。

3.1.3 具备健全的理体系,保密理与生产经营理相融合。

3.1.4 开展保密风险评估理。

3.1.5 建立保密理的持续改进机制。

3.2 保密组织机构及职责

3.2.1 保密工作导小组

3.2.1.1 资质单位应当成立保密工作导小组,为本单位保密工作导机构。 甲#资质单位应当设置专职保密总监,保密总监为单位导班子成员。

3.2.1.2 甲#资质单位保密工作导小组由单位法定代表人(或主要负责人)、保密总监和有关门主要负责人组成。组长由法定代表人(或主要负责人)担任,副组长由保密总监担任,保密工作导小组各成员应当有明确的职责分工。

乙#资质单位保密工作导小组由单位法定代表人(或主要负责人)、分保密工作负责人和有关门主要负责人组成。组长由法定代表人(或主要负责人)担任,副组长由分保密工作负责人担任,保密工作导小组各成员应当有明确的职责分工。

3.2.1.3 保密工作导小组实行例会制度。例会应当组织学习党和家保密工作方针政策及相关保密法律法规;研究署、总结本单位的保密工作;解决保密工作中的重要问题。例会每年不少于2次,会议应当作记录并成会议纪要。

3.2.1.4 法定代表人(或主要负责人)为本单位保密工作第壹责任人,对本单位保密工作负全面责任,履行下列职责:

(1)保证家相关保密法律法规在本单位贯彻落实

(2)监督检查保密工作责任制的落实情况,解决保密工作中的重要问题;

(3)审核、签发单位保密理制度;

(4)为保密工作提供人力、财力、力等条件保障。

3.2.1.5 保密总监或者分保密工作负责人对本单位保密工作负具体导和监督责任,履行下列职责:

(1)组织制定单位保密理制度、保密工作计划,审定保密工作总结

(2)监督保密工作计划落实情况,组织保密检查;

(3)为保密理办公室和保密理人员履行职责提供保障。

3.2.1.6 涉密信息系统集成门负责人对本门的保密理负直接导责任,履行下列职责:

(1)严格按照工作需要,控制务人员在工作中知悉涉密信息的范围和程度;

(2)组织开展保密风险评估,修订生产理制度,优化务流程,制定保密工作方案,落实保密风险防控措施;

(3)监督检查涉密信息系统集成理和保密制度执行情况,督促务人员履行保密职责;

(4)及时发现、研究解决保密理中存在的问题。

3.2.2 保密理办公室

3.2.2.1 资质单位应当设立保密理办公室,为本单位的职能门,负责人由中层以上理人员担任

甲#资质单位保密理办公室应当为专门机构并配备专门的保密理人员,乙#资质单位可指定有关机构承担保理办公室职能

3.2.2.2 保密理办公室负责本单位保密工作的日常理,履行下列职责:

(1)组织落实保密工作导小组的工作署,提出工作建议,拟定工作计划、总结

(2)制定、修订保密制度;

(3)参与单位各项理制度的制定、修订工作

(4)审查、确定保密要害位,指导、监督保密设施设备的建设、使用和维护理;

(5)组织开展保密宣传教育和培训;

(6)对涉密人员履行保密职责情况进行指导监督

(7)对本单位各门保密理有关情况进行指导监督

(8)组织开展保密检查,针对存在的问题提出整改意见,并督促落实

(9)报告、配合查处泄密事件;

(10)理保密工作档案;

(11)承办保密资质申请、延续、年度审查、事项变更登记等工作

(12)承办保密工作导小组交办的其他任务。

3.2.2.3 保密理人员应当具备下列条件:

(1)具备良好的政治素质

(2)熟悉保密法律法规,掌握保密知识技能,具有壹定的理能力;

(3)熟悉本单位工作和保密工作情况;

(4)通过保密行政门组织的培训和考核。

3.3 保密制度

3.3.1 资质单位应当建立规范、操作性强的保密制度,并根据实际情况及时修订完善。保密制度的具体要求应当体现在单位相关理制度和工作流程中。

3.3.2 保密制度包括以下主要方面:

(1)保密工作机构设置与职责;

(2)保密教育培训

(3)涉密人员理;

(4)涉密载体理;

(5)信息系统、信息设备和保密设施设备理;

(6)涉密信息系统集成场所等保密要害理;

(7)涉密项目实施现场理;

(8)保密监督检查;

(9)保密工作考核与惩;

(10)泄密事件报告与查处;

(11)保密风险评估理;

(12)资质证书使用与理。

3.4 保密风险评估

3.4.1 资质单位应当定期对系统集成务、人员、资产、场所等主要理活动进行保密风险评估。各门应当按照务流程对保密风险进行识别、分析和评估,提出具体防控措施。

3.4.2 资质单位应当将家保密法规和标准要求、保密风险防控措施融入到理制度和工作流程中,并建立相应的监督检查机制。

3.5 涉密人员

3.5.1 资质单位应当对从事涉密务的人员进行审查,符合条件的方可将其确定为涉密人员。涉密人员应当通过保密教育培训,并签订保密承诺书后方能上岗

3.5.2 涉密人员应当保守家秘密,严格遵守各项保密规章制度,并符合以下基本条件

(1)遵纪守法,具有良好的品行,无犯罪记录;

(2)资质单位正式职工,并在其他单位无兼职;

(3)社会关系清楚,本人及其配偶为中境内公民。

3.5.3 涉密人员根据所在岗位涉密情况分为核心、重要、壹般三个等#,实行分类理。涉密等#发生变化时,应当履行审批程序。

3.5.4 资质单位与涉密人员签订的劳动合同或补充协议,应当包括以下内容:

(1)涉密人员的权利与义务;

(2)涉密人员应当遵守的保密纪律和有关限制性规定;

(3)因履行保密职责导致涉密人员利益受到损害,资质单位给予补偿的规定;

(4)涉密人员因违反保密规定而被无条件调离涉密岗位或给予辞退等处罚的规定;

(5)因认真履行保密职责,资质单位给予涉密人员励的规定;

(6)涉密人员应当遵守的其他有关事项

3.5.5 资质单位应当将涉密人员基本情况和调整变动情况向所在地省、自治区、直辖市保密行政门备案。

3.5.6 在岗涉密人员每年参加保密教育与保密知识、技能培训的时间不少于10个学时。

3.5.7 资质单位应当对在岗涉密人员进行定期考核评价。

3.5.8 资质单位应当向涉密人员发放保密补贴

3.5.9 涉密人员离岗离职须经资质单位保密审查,签订保密承诺书,并按相关保密规定实行脱密期理。

3.5.10 涉密人员因私出(境)的,应当经资质单位同意,出(境)前应当经过保密教育。擅自出境或逾期不归的,资质单位应当及时报告保密行政门。

3.5.11 涉密人员泄露家秘密或严重违反保密规章制度的,应当调离涉密岗位,并追究其法律责任。

3.6 涉密载体

3.6.1 资质单位应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。

3.6.2 资质单位应当建立涉密载体台帐,台帐应当包括载体名称、编号、密#、保密期限等信息。

3.6.3 接收、制作、交付、传递、保存、维修、销毁涉密载体,应当遵守家相关保密规定,履行签收、登记、审批手续。

3.6.4 复制本单位产生的涉密载体,应当经单位相关门审批;复制其他涉密载体,应当经涉密载体制发机关、单位或所在地省、自治区、直辖市保密行政门批准。涉密载体复制场所应当符合保密要求,采取可靠的保密措施;不具备复制条件的,应当到保密行政门审查批准的定点单位复制。

3.6.5 机密、秘密#涉密载体应当存放在密码文件柜中,绝密#涉密载体应当存放在密码保险柜中。存放场所应当符合保密要求。

3.6.6 未经批准,个人不得私自留存涉密载体和涉密信息资料。确因工作需要保存的,应当建立个人台帐,内容包括载体密#、留存原因、审批门或人员、留存期限等内容。

3.6.7 携带涉密载体外出,应当履行审批手续,采取可靠的保密措施,并确保涉密载体始终处于携带人的有效控制下。

3.6.8 资质单位应当定期对涉密载体进行清查。需要销毁的涉密载体应当履行清点、登记、审批手续,送交保密行政设立的销毁工作机构或者保密行政门指定的单位销毁;确因工作需要,自行销毁少量秘密载体的,应当使用符合家保密标准的销毁设备和方法。

3.7 信息系统与信息设备

3.7.1 涉密信息系统的规划、建设、使用等应当符合家有关保密规定。涉密信息系统应当按照家保密规定和标准,制定分#保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转控制等安全保密防护措施。

3.7.2 涉密信息设备应当符合家保密标准,有密#、编号、责任人标识,并建立理台帐。

3.7.3 涉密计算机、移动存储介质应当按照存储、处理信息的好高密#进行理与防护。

3.7.4 涉密信息设备的使用应当符合相关保密规定。禁止涉密信息设备接入互联网及其他公共信息网络;禁止涉密信息设备接入内非涉密信息系统;禁止使用非涉密信息设备和个人设备存储、处理涉密信息;禁止超越计算机、移动存储介质的涉密等#存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质;禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备。

3.7.5 涉密信息设备应当采取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质控等安全保密措施,并及时升#病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。

3.7.6 采购安全保密产品应当选用经过家保密行政授权机构检测、符合家保密标准要求的产品,计算机病毒防护产品应当选用公安机关批准的产产品,密码产品应当选用家密码门批准的产品。

3.7.7 涉密信息打印、刻录等输出应当相对集中、有效控制,并采取相应审计措施。

3.7.8 涉密计算机及办公自动化设备应当拆除具有无线联网功能的硬件模块,禁止使用具有无线互联功能或配备无线键盘无线鼠标等无线外围装置的信息设备处理家秘密。

3.7.9 涉密信息设备的维修,应当在本单位内进行,并指定专人全程监督,严禁维修人员读取或复制涉密信息。确需送外维修的,须拆除涉密信息存储件。涉密存储介质的数据恢复应当到家保密行政门批准的单位进行。

3.7.10 涉密信息设备改作非涉密信息设备使用或淘汰处理时,应当将涉密信息存储件拆除。淘汰处理涉密存储介质和涉密信息存储件,应当按照家秘密载体销毁有关规定执行。

3.7.11 涉密计算机及移动存储介质携带外出应履行审批手续,带出前和带回后,均应当进行保密检查。

3.8 涉密办公场所保密

3.8.1 资质单位的涉密办公场所应当固定在相对独1立的楼层或区域

3.8.2 涉密办公场所应当安装门禁、视频监控、防盗报警等安防系统,实行封闭式理。监控机房应当安排人员值守。

3.8.3 建立视频监控理检查机制,资质单位安全保卫门应当定期视频监控信息进行回看检查,保密理办公室应当对执行情况进行监督视频监控信息保存时间不少于3个月。

3.8.4 门禁系统、视频监控系统和防盗报警系统等应当定期检查维护,确保系统处于有效工作状态。

3.8.5 涉密办公场所应当明确允许进入的人员范围,其他人员进入,应当履行审批、登记手续,并由接待人员全程陪同。

3.8.6 未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公场所。

3.9 涉密信息系统集成项目

3.9.1 资质单位应当按照资质等#、类别承接涉密信息系统集成务。不得将资质证书出借或转让。不得将承接的涉密信息系统集成分包转包给不具备相应资质的单位。

3.9.2 资质单位与其他单位合作开展涉密信息系统集成务的,合作单位应当具有相应涉密信息系统集成资质,且应当取得委托方书面同意

3.9.3 资质单位承接涉密信息系统集成项目的,应当在签订合同后,向项目所在地省、自治区、直辖市保密行政门备案,接受保密监督理。

涉密信息系统集成项目完成后,资质单位应当向项目所在地省、自治区、直辖市保密行政门书面报告项目建设情况。

3.9.4 资质单位应当对涉密信息系统集成项目实行全过程理,明确岗位责任,落实各环节安全保密措施,确理全程可控可查。

3.9.5 资质单位应当按照涉密信息系统集成项目的密#,对用户需求文档、设计方案、图纸、程序编码等技术资料和项目合同书保密协议验收报告务资料是否属于家秘密或者属于何种密#进行确定。属于家秘密的,应当标明密#,登记编号,明确知悉范围。

3.9.6 涉密信息系统集成项目实施期间,项目负责人对项目的安全保密负总体责任,应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。

3.9.7 资质单位应当对参与涉密信息系统集成项目的理人员、技术人员工程施工人员进行登记备案,对其分工作出详细记录。

3.9.8 涉密信息系统集成项目实施验收后,资质单位应当将涉密技术资料全移交委托方,不得私自留存或擅自处理。需要保留的务资料,应当严格按照有关保密规定进行理。

3.9.9 涉密信息系统集成项目的设计方案、研发成果及有关建设情况,资质单位及其工作人员不得擅自以任何式公开发表、交流或转让

3.9.10 资质单位在与境外人员或机构进行交流合作时,应当严格遵守有关保密规定,交流材料不得涉及涉密信息系统集成项目的相关情况。

3.9.11 资质单位利用涉密信息系统集成项目申请专利,应当严格遵守有关保密规定。

秘密#和机密#的项目,应当按照法定程序审批后申请保密专利,符合专利申请条件的,应当按照有关规定办理解密手续;绝密#的项目,在保密期限内不得申请专利或者保密专利。

3.10 涉密项目实施现场

3.10.1 资质单位进入委托方现场进行涉密信息系统集成项目开发、工程施工运行维护等应当严格执行现场工作制度和流程。

3.10.2 从事现场项目开发、工程施工运行维护的人员应当是资质单位确定的涉密人员。

3.10.3 现场项目开发、工程施工运行维护应当在委托方的监督下进行。未经委托方检查和书面批准,不得将任何电子设备带入涉密项目现场。

3.10.4 资质单位应当对现场项目开发、工程施工运行维护的工作情况进行详细记录并存档备查。

3.11 宣传报道

3.11.1 资质单位通过媒体、互联网等渠道对外发布信息,应当经资质单位相关门审查批准。

3.11.2 资质单位涉及涉密信息系统集成项目的宣传报道、展览、公开发表著作和论文等,应当经委托方批准。

3.12 保密检查

3.12.1 资质单位应当定期对保密理制度落实情况、技术防范措施落实情况等进行检查,及时发现和消除隐患。

3.12.2 保密检查应当进行书面记录,内容包括:检查时间、检查人、检查对象、检查事项、存在问题、整改措施及落实情况等。

3.13 泄密事件处理

3.13.1 资质单位发生泄密事件,应当立即采取补救措施,并在发现后24小时内书面向所在地保密行政报告。内容包括:

(1)所泄露信息的内容、密#、数量及其载体式;

(2)泄密事件的发现经过;

(3)泄密事件发生的时间、地点和经过;

(4)泄密责任人的基本情况;

(5)泄密事件造成或可能造成的危害;

(6)已采取或拟采取的补救措施。

3.13.2 资质单位应当配合保密行政门对泄密事件进行查处,不得隐瞒情况或包庇当事人。

3.14 保密工作考核与惩

3.14.1 资质单位应当将员工遵守保密制度、履行保密职责的情况纳入绩效考核内容,考核结果作为发放保密补贴和评选先进的依据。

3.14.2 资质单位应当对严格执行保密规章的集体和个人给予表彰励。

3.14.3 资质单位应当对违反保密法规制度的有关责任人给予相应处罚;泄露家秘密的,应当按照有关规定作出处理。

3.15 保密工作经费

3.15.1 保密工作经费分为保密理经费和保密专项经费。保密理经费用于单位保密宣传教育培训、发放保密补贴、励保密先进、保密检查等日常保密工作;专项经费用于保密设施设备的建设、配备、维护等。

3.15.2 甲#资质单位保密理经费,年度标准不少于5万元;乙#资质单位保密理经费,年度标准不少于3万元。保密理经费应当单独1列入单位年度财务预算,专款专用,保证开支。

3.15.3 保密专项经费应当按实际需要予以保障。

3.16 保密工作档案

3.16.1 资质单位应当建立保密工作档案,记录日常保密工作情况。

3.16.2保密工作档案的内容应当真实、完整,全面反映保密工作情况,并能够与相关工作档案相互印证。

3.17 本保密标准未明确涉密事项的保密理,须严格执行家有关保密规定。

文三:涉密信息系统资质保密标准

涉密信息系统集成资质保密标准

1 适用范围

本保密标准适用于涉密信息系统集成资质申请、审查与资质单位日常保密理。

2 定义

2.1 本标准所称涉密人员,是指由于工作需要,在涉密信息系统集成岗位合法接触、知悉和经家秘密事项的人员。

2.2 本标准所称涉密载体,主要指以文字、数据、符号、图、图像、声音等方式记载家秘密信息的纸介质、磁介质、光盘等各类品。磁介质载体包括计算机硬盘、软盘和录音带、录像带等。

2.3 本标准所称信息系统是指由计算机及其相关和配套设备、设施构成的,按照壹定的应用目标和规则存储、处理、传输信息的系统或者网络。

2.4 本标准所称信息设备是指计算机及存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。

3 保密标准

3.1 保密标准实施原则

3.1.1 积ji防范,突出重点,严格标准,依法理。

3.1.2 工作,保密工作谁负责,保密责任落实到人。

3.1.3 具备健全的理体系,保密理与生产经营理相融合。

3.1.4 开展保密风险评估理。

3.1.5 建立保密理的持续改进机制。

3.2 保密组织机构及职责

3.2.1 保密工作导小组

3.2.1.1 资质单位应当成立保密工作导小组,为本单位保密工作导机构。

甲#资质单位应当设置专职保密总监,保密总监为单位导班子成员。

3.2.1.2 甲#资质单位保密工作导小组由单位法定代表人(或主要负责人)、保密总监和有关门主要负责人组成。组长由法定代表人(或主要负责人)担任,副组长由保密总监担任,保密工作导小组各成员应当有明确的职责分工。

乙#资质单位保密工作导小组由单位法定代表人(或

主要负责人)、分保密工作负责人和有关门主要负责人组成。组长由法定代表人(或主要负责人)担任,副组长由分保密工作负责人担任,保密工作导小组各成员应当有明确的职责分工。

3.2.1.3 保密工作导小组实行例会制度。例会应当组织学习党和家保密工作方针政策及相关保密法律法规;研究署、总结本单位的保密工作;解决保密工作中的重要问题。例会每年不少于2次,会议应当作记录并成会议纪要。

3.2.1.4 法定代表人(或主要负责人)为本单位保密工作第壹责任人,对本单位保密工作负全面责任,履行下列职责:

(1)保证家相关保密法律法规在本单位贯彻落实

(2)监督检查保密工作责任制的落实情况,解决保密工作中的重要问题;

(3)审核、签发单位保密理制度;

(4)为保密工作提供人力、财力、力等条件保障。

3.2.1.5 保密总监或者分保密工作负责人对本单位保密工作负具体导和监督责任,履行下列职责:

(1)组织制定单位保密理制度、保密工作计划,审定保密工作总结

(2)监督保密工作计划落实情况,组织保密检查;

(3)为保密理办公室和保密理人员履行职责提供

保障。

3.2.1.6 涉密信息系统集成门负责人对本门的保密理负直接导责任,履行下列职责:

(1)严格按照工作需要,控制务人员在工作中知悉涉密信息的范围和程度;

(2)组织开展保密风险评估,修订生产理制度,优化务流程,制定保密工作方案,落实保密风险防控措施;

(3)监督检查涉密信息系统集成理和保密制度执行情况,督促务人员履行保密职责;

(4)及时发现、研究解决保密理中存在的问题。

3.2.2 保密理办公室

3.2.2.1 资质单位应当设立保密理办公室,为本单位的职能门,负责人由中层以上理人员担任

甲#资质单位保密理办公室应当为专门机构并配备专门的保密理人员,乙#资质单位可指定有关机构承担保理办公室职能

3.2.2.2 保密理办公室负责本单位保密工作的日常理,履行下列职责:

(1)组织落实保密工作导小组的工作署,提出工作建议,拟定工作计划、总结

(2)制定、修订保密制度;

(3)参与单位各项理制度的制定、修订工作

(4)审查、确定保密要害位,指导、监督保密设施设备的建设、使用和维护理;

(5)组织开展保密宣传教育和培训;

(6)对涉密人员履行保密职责情况进行指导监督

(7)对本单位各门保密理有关情况进行指导监督

(8)组织开展保密检查,针对存在的问题提出整改意见,并督促落实

(9)报告、配合查处泄密事件;

(10)理保密工作档案;

(11)承办保密资质申请、延续、年度审查、事项变更登记等工作

(12)承办保密工作导小组交办的其他任务。

3.2.2.3 保密理人员应当具备下列条件:

(1)具备良好的政治素质

(2)熟悉保密法律法规,掌握保密知识技能,具有壹定的理能力;

(3)熟悉本单位工作和保密工作情况;

(4)通过保密行政门组织的培训和考核。

3.3 保密制度

3.3.1 资质单位应当建立规范、操作性强的保密制度,

并根据实际情况及时修订完善。保密制度的具体要求应当体现在单位相关理制度和工作流程中。

3.3.2 保密制度包括以下主要方面:

(1)保密工作机构设置与职责;

(2)保密教育培训

(3)涉密人员理;

(4)涉密载体理;

(5)信息系统、信息设备和保密设施设备理;

(6)涉密信息系统集成场所等保密要害理;

(7)涉密项目实施现场理;

(8)保密监督检查;

(9)保密工作考核与惩;

(10)泄密事件报告与查处;

(11)保密风险评估理;

(12)资质证书使用与理。

3.4 保密风险评估

3.4.1 资质单位应当定期对系统集成务、人员、资产、场所等主要理活动进行保密风险评估。各门应当按照务流程对保密风险进行识别、分析和评估,提出具体防控措施。

3.4.2 资质单位应当将家保密法规和标准要求、保密

风险防控措施融入到理制度和工作流程中,并建立相应的监督检查机制。

3.5 涉密人员

3.5.1 资质单位应当对从事涉密务的人员进行审查,符合条件的方可将其确定为涉密人员。涉密人员应当通过保密教育培训,并签订保密承诺书后方能上岗

3.5.2 涉密人员应当保守家秘密,严格遵守各项保密规章制度,并符合以下基本条件

(1)遵纪守法,具有良好的品行,无犯罪记录;

(2)资质单位正式职工,并在其他单位无兼职;

(3)社会关系清楚,本人及其配偶为中境内公民。

3.5.3 涉密人员根据所在岗位涉密情况分为核心、重要、壹般三个等#,实行分类理。涉密等#发生变化时,应当履行审批程序。

3.5.4 资质单位与涉密人员签订的劳动合同或补充协议,应当包括以下内容:

(1)涉密人员的权利与义务;

(2)涉密人员应当遵守的保密纪律和有关限制性规定;

(3)因履行保密职责导致涉密人员利益受到损害,资质单位给予补偿的规定;

(4)涉密人员因违反保密规定而被无条件调离涉密岗

位或给予辞退等处罚的规定;

(5)因认真履行保密职责,资质单位给予涉密人员励的规定;

(6)涉密人员应当遵守的其他有关事项

3.5.5 资质单位应当将涉密人员基本情况和调整变动情况向所在地省、自治区、直辖市保密行政门备案。

3.5.6 在岗涉密人员每年参加保密教育与保密知识、技能培训的时间不少于10个学时。

3.5.7 资质单位应当对在岗涉密人员进行定期考核评价。

3.5.8 资质单位应当向涉密人员发放保密补贴

3.5.9 涉密人员离岗离职须经资质单位保密审查,签订保密承诺书,并按相关保密规定实行脱密期理。

3.5.10 涉密人员因私出(境)的,应当经资质单位同意,出(境)前应当经过保密教育。擅自出境或逾期不归的,资质单位应当及时报告保密行政门。

3.5.11 涉密人员泄露家秘密或严重违反保密规章制度的,应当调离涉密岗位,并追究其法律责任。

3.6 涉密载体

3.6.1 资质单位应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。

3.6.2 资质单位应当建立涉密载体台帐,台帐应当包括载体名称、编号、密#、保密期限等信息。

3.6.3 接收、制作、交付、传递、保存、维修、销毁涉密载体,应当遵守家相关保密规定,履行签收、登记、审批手续。

3.6.4 复制本单位产生的涉密载体,应当经单位相关门审批;复制其他涉密载体,应当经涉密载体制发机关、单位或所在地省、自治区、直辖市保密行政门批准。涉密载体复制场所应当符合保密要求,采取可靠的保密措施;不具备复制条件的,应当到保密行政门审查批准的定点单位复制。

3.6.5 机密、秘密#涉密载体应当存放在密码文件柜中,绝密#涉密载体应当存放在密码保险柜中。存放场所应当符合保密要求。

3.6.6 未经批准,个人不得私自留存涉密载体和涉密信息资料。确因工作需要保存的,应当建立个人台帐,内容包括载体密#、留存原因、审批门或人员、留存期限等内容。

3.6.7 携带涉密载体外出,应当履行审批手续,采取可靠的保密措施,并确保涉密载体始终处于携带人的有效控制下。

3.6.8 资质单位应当定期对涉密载体进行清查。需要销

毁的涉密载体应当履行清点、登记、审批手续,送交保密行政设立的销毁工作机构或者保密行政门指定的单位销毁;确因工作需要,自行销毁少量秘密载体的,应当使用符合家保密标准的销毁设备和方法。

3.7 信息系统与信息设备

3.7.1 涉密信息系统的规划、建设、使用等应当符合家有关保密规定。涉密信息系统应当按照家保密规定和标准,制定分#保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转控制等安全保密防护措施。

3.7.2 涉密信息设备应当符合家保密标准,有密#、编号、责任人标识,并建立理台帐。

3.7.3 涉密计算机、移动存储介质应当按照存储、处理信息的好高密#进行理与防护。

3.7.4 涉密信息设备的使用应当符合相关保密规定。禁止涉密信息设备接入互联网及其他公共信息网络;禁止涉密信息设备接入内非涉密信息系统;禁止使用非涉密信息设备和个人设备存储、处理涉密信息;禁止超越计算机、移动存储介质的涉密等#存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质;禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备。

3.7.5 涉密信息设备应当采取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质控等安全保密措施,并及时升#病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。

3.7.6 采购安全保密产品应当选用经过家保密行政授权机构检测、符合家保密标准要求的产品,计算机病毒防护产品应当选用公安机关批准的产产品,密码产品应当选用家密码门批准的产品。

3.7.7 涉密信息打印、刻录等输出应当相对集中、有效控制,并采取相应审计措施。

3.7.8 涉密计算机及办公自动化设备应当拆除具有无线联网功能的硬件模块,禁止使用具有无线互联功能或配备无线键盘无线鼠标等无线外围装置的信息设备处理家秘密。

3.7.9 涉密信息设备的维修,应当在本单位内进行,并指定专人全程监督,严禁维修人员读取或复制涉密信息。确需送外维修的,须拆除涉密信息存储件。涉密存储介质的数据恢复应当到家保密行政门批准的单位进行。

3.7.10 涉密信息设备改作非涉密信息设备使用或淘汰处理时,应当将涉密信息存储件拆除。淘汰处理涉密存储介质和涉密信息存储件,应当按照家秘密载体销毁有关

规定执行。

3.7.11 涉密计算机及移动存储介质携带外出应履行审批手续,带出前和带回后,均应当进行保密检查。

3.8 涉密办公场所保密

3.8.1 资质单位的涉密办公场所应当固定在相对独1立的楼层或区域

3.8.2 涉密办公场所应当安装门禁、视频监控、防盗报警等安防系统,实行封闭式理。监控机房应当安排人员值守。

3.8.3 建立视频监控理检查机制,资质单位安全保卫门应当定期视频监控信息进行回看检查,保密理办公室应当对执行情况进行监督视频监控信息保存时间不少于3个月。

3.8.4 门禁系统、视频监控系统和防盗报警系统等应当定期检查维护,确保系统处于有效工作状态。

3.8.5 涉密办公场所应当明确允许进入的人员范围,其他人员进入,应当履行审批、登记手续,并由接待人员全程陪同。

3.8.6 未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公场所。

3.9 涉密信息系统集成项目

3.9.1 资质单位应当按照资质等#、类别承接涉密信息系统集成务。不得将资质证书出借或转让。不得将承接的涉密信息系统集成分包转包给不具备相应资质的单位。

3.9.2 资质单位与其他单位合作开展涉密信息系统集成务的,合作单位应当具有相应涉密信息系统集成资质,且应当取得委托方书面同意

3.9.3 资质单位承接涉密信息系统集成项目的,应当在签订合同后,向项目所在地省、自治区、直辖市保密行政门备案,接受保密监督理。

涉密信息系统集成项目完成后,资质单位应当向项目所在地省、自治区、直辖市保密行政门书面报告项目建设情况。

3.9.4 资质单位应当对涉密信息系统集成项目实行全过程理,明确岗位责任,落实各环节安全保密措施,确理全程可控可查。

3.9.5 资质单位应当按照涉密信息系统集成项目的密#,对用户需求文档、设计方案、图纸、程序编码等技术资料和项目合同书保密协议验收报告务资料是否属于家秘密或者属于何种密#进行确定。属于家秘密的,应当标明密#,登记编号,明确知悉范围。

3.9.6 涉密信息系统集成项目实施期间,项目负责人对项目的安全保密负总体责任,应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。

3.9.7 资质单位应当对参与涉密信息系统集成项目的理人员、技术人员工程施工人员进行登记备案,对其分工作出详细记录。

3.9.8 涉密信息系统集成项目实施验收后,资质单位应当将涉密技术资料全移交委托方,不得私自留存或擅自处理。需要保留的务资料,应当严格按照有关保密规定进行理。

3.9.9 涉密信息系统集成项目的设计方案、研发成果及有关建设情况,资质单位及其工作人员不得擅自以任何式公开发表、交流或转让

3.9.10 资质单位在与境外人员或机构进行交流合作时,应当严格遵守有关保密规定,交流材料不得涉及涉密信息系统集成项目的相关情况。

3.9.11 资质单位利用涉密信息系统集成项目申请专利,应当严格遵守有关保密规定。

秘密#和机密#的项目,应当按照法定程序审批后申请保密专利,符合专利申请条件的,应当按照有关规定办理解密手续;绝密#的项目,在保密期限内不得申请专利或者保

密专利。

3.10 涉密项目实施现场

3.10.1 资质单位进入委托方现场进行涉密信息系统集成项目开发、工程施工运行维护等应当严格执行现场工作制度和流程。

3.10.2 从事现场项目开发、工程施工运行维护的人员应当是资质单位确定的涉密人员。

3.10.3 现场项目开发、工程施工运行维护应当在委托方的监督下进行。未经委托方检查和书面批准,不得将任何电子设备带入涉密项目现场。

3.10.4 资质单位应当对现场项目开发、工程施工运行维护的工作情况进行详细记录并存档备查。

3.11 宣传报道

3.11.1 资质单位通过媒体、互联网等渠道对外发布信息,应当经资质单位相关门审查批准。

3.11.2 资质单位涉及涉密信息系统集成项目的宣传报道、展览、公开发表著作和论文等,应当经委托方批准。

3.12 保密检查

3.12.1 资质单位应当定期对保密理制度落实情况、技术防范措施落实情况等进行检查,及时发现和消除隐患。

3.12.2 保密检查应当进行书面记录,内容包括:检查时

间、检查人、检查对象、检查事项、存在问题、整改措施及落实情况等。

3.13 泄密事件处理

3.13.1 资质单位发生泄密事件,应当立即采取补救措施,并在发现后24小时内书面向所在地保密行政报告。内容包括:

(1)所泄露信息的内容、密#、数量及其载体式;

(2)泄密事件的发现经过;

(3)泄密事件发生的时间、地点和经过;

(4)泄密责任人的基本情况;

(5)泄密事件造成或可能造成的危害;

(6)已采取或拟采取的补救措施。

3.13.2 资质单位应当配合保密行政门对泄密事件进行查处,不得隐瞒情况或包庇当事人。

3.14 保密工作考核与惩

3.14.1 资质单位应当将员工遵守保密制度、履行保密职责的情况纳入绩效考核内容,考核结果作为发放保密补贴和评选先进的依据。

3.14.2 资质单位应当对严格执行保密规章的集体和个人给予表彰励。

3.14.3 资质单位应当对违反保密法规制度的有关责任

人给予相应处罚;泄露家秘密的,应当按照有关规定作出处理。

3.15 保密工作经费

3.15.1 保密工作经费分为保密理经费和保密专项经费。保密理经费用于单位保密宣传教育培训、发放保密补贴、励保密先进、保密检查等日常保密工作;专项经费用于保密设施设备的建设、配备、维护等。

3.15.2 甲#资质单位保密理经费,年度标准不少于5万元;乙#资质单位保密理经费,年度标准不少于3万元。保密理经费应当单独1列入单位年度财务预算,专款专用,保证开支。

3.15.3 保密专项经费应当按实际需要予以保障。

3.16 保密工作档案

3.16.1 资质单位应当建立保密工作档案,记录日常保密工作情况。

3.16.2保密工作档案的内容应当真实、完整,全面反映保密工作情况,并能够与相关工作档案相互印证。

3.17 本保密标准未明确涉密事项的保密理,须严格执行家有关保密规定。

范文四:涉密信息系统集成资质保密标准

1

2

2.1

2.2

2.3

2.4

3

3.1

3.1.1

3.1.2

3.1.3

3.1.4

3.1.5

3.2

3.2.1

3.2.1.1

3.2.1.2

2

3.2.1.3

2

3.2.1.4

12

343.2.1.5

1

2

3

3.2.1.6

1

2

3

43.2.2

3.2.2.1

3.2.2.2

1

4

34

5678

91011

123.2.2.3

12

343.3

5

3.3.2

[**************]3.4

3.4.1

6

3.5

3.5.1

3.5.2

1233.5.3

3.5.4

123

7

4

5

63.5.5

3.5.6

10

3.5.7

3.5.8

3.5.9

3.5.10

3.5.11

3.6

3.6.1

8

3.6.2

3.6.3

3.6.4

3.6.5

3.6.6

3.6.7

3.6.8

9

3.7

3.7.1

3.7.2

3.7.3

3.7.4

3.7.5

10

3.7.6

3.7.7

3.7.8

3.7.9

3.7.10

3.7.11

3.8

3.8.1

3.8.2

3.8.3

33.8.4

3.8.5

3.8.6

3.9

3.9.1

3.9.2

3.9.3

3.9.4

3.9.5

3.9.6

3.9.7

3.9.8

3.9.9

3.9.10

3.9.11

3.10

3.10.2

3.10.3

3.10.4

3.11

3.11.1

3.11.2

3.12

3.12.1

3.12.2

3.13.1

24

1234563.13.2

3.14

3.14.1

3.14.2

3.14.3

3.15.1

3.15.2

3

5

3.15.3

3.16

3.16.1

3.16.2

范文五:涉密信息系统集成资质保密标准

涉密信息系统集成资质保密标准

(2015年6月2日发布新版本)

1 适用范围

本保密标准适用于涉密信息系统集成资质申请、审查与资质单位日常保密

理。

2 定义

2.1 本标准所称涉密人员,是指由于工作需要,在涉密信息系统集成岗位合

法接触、知悉和经家秘密事项的人员。

2.2 本标准所称涉密载体,主要指以文字、数据、符号、图、图像、声音

等方式记载家秘密信息的纸介质、磁介质、光盘等各类品。磁介质载体包括

计算机硬盘、软盘和录音带、录像带等。

2.3 本标准所称信息系统是指由计算机及其相关和配套设备、设施构成的,

按照壹定的应用目标和规则存储、处理、传输信息的系统或者网络。

2.4 本标准所称信息设备是指计算机及存储介质、打印机、传真机、复印机、

扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。

3 保密标准

3.1 保密标准实施原则

3.1.1 积ji防范,突出重点,严格标准,依法理。

3.1.2 工作,保密工作谁负责,保密责任落实到人。

3.1.3 具备健全的理体系,保密理与生产经营理相融合。

3.1.4 开展保密风险评估理。

3.1.5 建立保密理的持续改进机制。

3.2 保密组织机构及职责

3.2.1 保密工作导小组

3.2.1.1 资质单位应当成立保密工作导小组,为本单位保密工作导机构。

甲#资质单位应当设置专职保密总监,保密总监为单位导班子成员。

3.2.1.2 甲#资质单位保密工作导小组由单位法定代表人(或主要负责人)、

保密总监和有关门主要负责人组成。组长由法定代表人(或主要负责人)担任

组长由保密总监担任,保密工作导小组各成员应当有明确的职责分工。

乙#资质单位保密工作导小组由单位法定代表人(或主要负责人)、分

保密工作负责人和有关门主要负责人组成。组长由法定代表人(或主要负责人)

担任,副组长由分保密工作负责人担任,保密工作导小组各成员应当有明确

的职责分工。

3.2.1.3 保密工作导小组实行例会制度。例会应当组织学习党和家保密

工作方针政策及相关保密法律法规;研究署、总结本单位的保密工作;解决保

工作中的重要问题。例会每年不少于2次,会议应当作记录并成会议纪要。

3.2.1.4 法定代表人(或主要负责人)为本单位保密工作第壹责任人,对本

单位保密工作负全面责任,履行下列职责:

(1)保证家相关保密法律法规在本单位贯彻落实

(2)监督检查保密工作责任制的落实情况,解决保密工作中的重要问题;

(3)审核、签发单位保密理制度;

(4)为保密工作提供人力、财力、力等条件保障。

3.2.1.5 保密总监或者分保密工作负责人对本单位保密工作负具体导和

监督责任,履行下列职责:

(1)组织制定单位保密理制度、保密工作计划,审定保密工作总结

(2)监督保密工作计划落实情况,组织保密检查;

(3)为保密理办公室和保密理人员履行职责提供保障。

3.2.1.6 涉密信息系统集成门负责人对本门的保密理负直接导

责任,履行下列职责:

(1)严格按照工作需要,控制务人员在工作中知悉涉密信息的范围和程

度;

(2)组织开展保密风险评估,修订生产理制度,优化务流程,制定保

工作方案,落实保密风险防控措施;

(3)监督检查涉密信息系统集成理和保密制度执行情况,督促

人员履行保密职责;

(4)及时发现、研究解决保密理中存在的问题。

3.2.2 保密理办公室

3.2.2.1 资质单位应当设立保密理办公室,为本单位的职能门,负责人

由中层以上理人员担任

甲#资质单位保密理办公室应当为专门机构并配备专门的保密理人员,

乙#资质单位可指定有关机构承担保理办公室职能

3.2.2.2 保密理办公室负责本单位保密工作的日常理,履行下列职责:

(1)组织落实保密工作导小组的工作署,提出工作建议,拟定工作

划、总结

(2)制定、修订保密制度;

(3)参与单位各项理制度的制定、修订工作

(4)审查、确定保密要害位,指导、监督保密设施设备的建设、使

用和维护理;

(5)组织开展保密宣传教育和培训;

(6)对涉密人员履行保密职责情况进行指导监督

(7)对本单位各门保密理有关情况进行指导监督

(8)组织开展保密检查,针对存在的问题提出整改意见,并督促落实

(9)报告、配合查处泄密事件;

(10)理保密工作档案;

(11)承办保密资质申请、延续、年度审查、事项变更登记等工作

(12)承办保密工作导小组交办的其他任务。

3.2.2.3 保密理人员应当具备下列条件:

(1)具备良好的政治素质

(2)熟悉保密法律法规,掌握保密知识技能,具有壹定的理能力;

(3)熟悉本单位工作和保密工作情况;

(4)通过保密行政门组织的培训和考核。

3.3 保密制度

3.3.1 资质单位应当建立规范、操作性强的保密制度,并根据实际情况及时

修订完善。保密制度的具体要求应当体现在单位相关理制度和工作流程中。

3.3.2 保密制度包括以下主要方面:

(1)保密工作机构设置与职责;

(2)保密教育培训

(3)涉密人员理;

(4)涉密载体理;

(5)信息系统、信息设备和保密设施设备理;

(6)涉密信息系统集成场所等保密要害理;

(7)涉密项目实施现场理;

(8)保密监督检查;

(9)保密工作考核与惩;

(10)泄密事件报告与查处;

(11)保密风险评估理;

(12)资质证书使用与理。

3.4 保密风险评估

3.4.1 资质单位应当定期对系统集成务、人员、资产、场所等主要理活

动进行保密风险评估。各门应当按照务流程对保密风险进行识别、分析

评估,提出具体防控措施。

3.4.2 资质单位应当将家保密法规和标准要求、保密风险防控措施融入到

理制度和工作流程中,并建立相应的监督检查机制。

3.5 涉密人员

3.5.1 资质单位应当对从事涉密务的人员进行审查,符合条件的方可将其

确定为涉密人员。涉密人员应当通过保密教育培训,并签订保密承诺书后方能上

岗。

3.5.2 涉密人员应当保守家秘密,严格遵守各项保密规章制度,并符合以

基本条件

(1)遵纪守法,具有良好的品行,无犯罪记录;

(2)资质单位正式职工,并在其他单位无兼职;

(3)社会关系清楚,本人及其配偶为中境内公民。

3.5.3 涉密人员根据所在岗位涉密情况分为核心、重要、壹般三个等#,实

行分类理。涉密等#发生变化时,应当履行审批程序。

3.5.4 资质单位与涉密人员签订的劳动合同或补充协议,应当包括以下内容:

(1)涉密人员的权利与义务;

(2)涉密人员应当遵守的保密纪律和有关限制性规定;

(3)因履行保密职责导致涉密人员利益受到损害,资质单位给予补偿的规

定;

(4)涉密人员因违反保密规定而被无条件调离涉密岗位或给予辞退等处罚

的规定;

(5)因认真履行保密职责,资质单位给予涉密人员励的规定;

(6)涉密人员应当遵守的其他有关事项

3.5.5 资质单位应当将涉密人员基本情况和调整变动情况向所在地省、自治

区、直辖市保密行政门备案。

3.5.6 在岗涉密人员每年参加保密教育与保密知识、技能培训的时间不少于

10个学时。

3.5.7 资质单位应当对在岗涉密人员进行定期考核评价。

3.5.8 资质单位应当向涉密人员发放保密补贴

3.5.9 涉密人员离岗离职须经资质单位保密审查,签订保密承诺书,并按相

关保密规定实行脱密期理。

3.5.10 涉密人员因私出(境)的,应当经资质单位同意,出(境)前应

当经过保密教育。擅自出境或逾期不归的,资质单位应当及时报告保密行政

门。

3.5.11 涉密人员泄露家秘密或严重违反保密规章制度的,应当调离涉密岗

位,并追究其法律责任。

3.6 涉密载体

3.6.1 资质单位应当按照工作需要,严格控制涉密载体的接触范围和涉密信

息的知悉程度。

3.6.2 资质单位应当建立涉密载体台帐,台帐应当包括载体名称、编号、密

#、保密期限等信息。

3.6.3 接收、制作、交付、传递、保存、维修、销毁涉密载体,应当遵守

家相关保密规定,履行签收、登记、审批手续。

3.6.4 复制本单位产生的涉密载体,应当经单位相关门审批;复制其他涉

密载体,应当经涉密载体制发机关、单位或所在地省、自治区、直辖市保密行政

门批准。涉密载体复制场所应当符合保密要求,采取可靠的保密措施;不

具备复制条件的,应当到保密行政门审查批准的定点单位复制。

3.6.5 机密、秘密#涉密载体应当存放在密码文件柜中,绝密#涉密载体应

存放在密码保险柜中。存放场所应当符合保密要求。

3.6.6 未经批准,个人不得私自留存涉密载体和涉密信息资料。确因工作

保存的,应当建立个人台帐,内容包括载体密#、留存原因、审批门或人员、

留存期限等内容。

3.6.7 携带涉密载体外出,应当履行审批手续,采取可靠的保密措施,并确

保涉密载体始终处于携带人的有效控制下。

3.6.8 资质单位应当定期对涉密载体进行清查。需要销毁的涉密载体应当履

清点、登记、审批手续,送交保密行政设立的销毁工作机构或者保密

行政门指定的单位销毁;确因工作需要,自行销毁少量秘密载体的,应当

使用符合家保密标准的销毁设备和方法。

3.7 信息系统与信息设备

3.7.1 涉密信息系统的规划、建设、使用等应当符合家有关保密规定。涉

密信息系统应当按照家保密规定和标准,制定分#保护方案,采取身份鉴别、

访问控制、安全审计、边界安全防护、信息流转控制等安全保密防护措施。

3.7.2 涉密信息设备应当符合家保密标准,有密#、编号、责任人标识,

并建立理台帐。

3.7.3 涉密计算机、移动存储介质应当按照存储、处理信息的好高密#进行

理与防护。

3.7.4 涉密信息设备的使用应当符合相关保密规定。禁止涉密信息设备接入

互联网及其他公共信息网络;禁止涉密信息设备接入内非涉密信息系统;禁止

使用非涉密信息设备和个人设备存储、处理涉密信息;禁止超越计算机、移动

储介质的涉密等#存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间

交叉使用移动存储介质;禁止在涉密计算机与非涉密计算机之间共用打印机、扫

描仪等信息设备。

3.7.5 涉密信息设备应当采取身份鉴别、访问控制、违规外联监控、安全审

计、移动存储介质控等安全保密措施,并及时升#病毒和恶意代码样本库,定

期进行病毒和恶意代码查杀。

3.7.6 采购安全保密产品应当选用经过家保密行政授权机构检测、

符合家保密标准要求的产品,计算机病毒防护产品应当选用公安机关批准的

产产品,密码产品应当选用家密码门批准的产品。

3.7.7 涉密信息打印、刻录等输出应当相对集中、有效控制,并采取相应审

计措施。

3.7.8 涉密计算机及办公自动化设备应当拆除具有无线联网功能的硬件模块,

禁止使用具有无线互联功能或配备无线键盘无线鼠标等无线外围装置的信息设

备处理家秘密。

3.7.9 涉密信息设备的维修,应当在本单位内进行,并指定专人全程监督

严禁维修人员读取或复制涉密信息。确需送外维修的,须拆除涉密信息存储件。

涉密存储介质的数据恢复应当到家保密行政门批准的单位进行。

3.7.10 涉密信息设备改作非涉密信息设备使用或淘汰处理时,应当将涉密信

息存储件拆除。淘汰处理涉密存储介质和涉密信息存储件,应当按照家秘

密载体销毁有关规定执行。

3.7.11 涉密计算机及移动存储介质携带外出应履行审批手续,带出前和带回

后,均应当进行保密检查。

3.8 涉密办公场所保密

3.8.1 资质单位的涉密办公场所应当固定在相对独1立的楼层或区域

3.8.2 涉密办公场所应当安装门禁、视频监控、防盗报警等安防系统,实行

封闭式理。监控机房应当安排人员值守。

3.8.3 建立视频监控理检查机制,资质单位安全保卫门应当定期对视

监控信息进行回看检查,保密理办公室应当对执行情况进行监督视频监控

信息保存时间不少于3个月。

3.8.4 门禁系统、视频监控系统和防盗报警系统等应当定期检查维护,确保

系统处于有效工作状态。

3.8.5 涉密办公场所应当明确允许进入的人员范围,其他人员进入,应当履

行审批、登记手续,并由接待人员全程陪同。

3.8.6 未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带

入涉密办公场所。

3.9 涉密信息系统集成项目

3.9.1 资质单位应当按照资质等#、类别承接涉密信息系统集成务。不得

将资质证书出借或转让。不得将承接的涉密信息系统集成分包转包给不具

备相应资质的单位。

3.9.2 资质单位与其他单位合作开展涉密信息系统集成务的,合作单位应

当具有相应涉密信息系统集成资质,且应当取得委托方书面同意

3.9.3 资质单位承接涉密信息系统集成项目的,应当在签订合同后,向项目

所在地省、自治区、直辖市保密行政门备案,接受保密监督理。

涉密信息系统集成项目完成后,资质单位应当向项目所在地省、自治区

直辖市保密行政门书面报告项目建设情况。

3.9.4 资质单位应当对涉密信息系统集成项目实行全过程理,明确岗位责

任,落实各环节安全保密措施,确理全程可控可查。

3.9.5 资质单位应当按照涉密信息系统集成项目的密#,对用户需求文档、

设计方案、图纸、程序编码等技术资料和项目合同书保密协议验收报告

务资料是否属于家秘密或者属于何种密#进行确定。属于家秘密的,应当标

明密#,登记编号,明确知悉范围。

3.9.6 涉密信息系统集成项目实施期间,项目负责人对项目的安全保密负总

体责任,应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程

度。

3.9.7 资质单位应当对参与涉密信息系统集成项目的理人员、技术人员

工程施工人员进行登记备案,对其分工作出详细记录。

3.9.8 涉密信息系统集成项目实施验收后,资质单位应当将涉密技术资料全

移交委托方,不得私自留存或擅自处理。需要保留的务资料,应当严格按照

有关保密规定进行理。

3.9.9 涉密信息系统集成项目的设计方案、研发成果及有关建设情况,资质

单位及其工作人员不得擅自以任何式公开发表、交流或转让

3.9.10 资质单位在与境外人员或机构进行交流合作时,应当严格遵守有关保

密规定,交流材料不得涉及涉密信息系统集成项目的相关情况。

3.9.11 资质单位利用涉密信息系统集成项目申请专利,应当严格遵守有关保

密规定。

秘密#和机密#的项目,应当按照法定程序审批后申请保密专利,符合专利

申请条件的,应当按照有关规定办理解密手续;绝密#的项目,在保密期限内不

得申请专利或者保密专利。

3.10 涉密项目实施现场

3.10.1 资质单位进入委托方现场进行涉密信息系统集成项目开发、工程施工

运行维护等应当严格执行现场工作制度和流程。

3.10.2 从事现场项目开发、工程施工运行维护的人员应当是资质单位确定

的涉密人员。

3.10.3 现场项目开发、工程施工运行维护应当在委托方的监督下进行。未

委托方检查和书面批准,不得将任何电子设备带入涉密项目现场。

3.10.4 资质单位应当对现场项目开发、工程施工运行维护的工作情况进行

详细记录并存档备查。

3.11 宣传报道

3.11.1 资质单位通过媒体、互联网等渠道对外发布信息,应当经资质单位相

门审查批准。

3.11.2 资质单位涉及涉密信息系统集成项目的宣传报道、展览、公开发表著

作和论文等,应当经委托方批准。

3.12 保密检查

3.12.1 资质单位应当定期对保密理制度落实情况、技术防范措施落实情况

等进行检查,及时发现和消除隐患。

3.12.2 保密检查应当进行书面记录,内容包括:检查时间、检查人、检查对

象、检查事项、存在问题、整改措施及落实情况等。

3.13 泄密事件处理

3.13.1 资质单位发生泄密事件,应当立即采取补救措施,并在发现后24小

时内书面向所在地保密行政报告。内容包括:

(1)所泄露信息的内容、密#、数量及其载体式;

(2)泄密事件的发现经过;

(3)泄密事件发生的时间、地点和经过;

(4)泄密责任人的基本情况;

(5)泄密事件造成或可能造成的危害;

(6)已采取或拟采取的补救措施。

3.13.2 资质单位应当配合保密行政门对泄密事件进行查处,不得隐瞒

情况或包庇当事人。

3.14 保密工作考核与惩

3.14.1 资质单位应当将员工遵守保密制度、履行保密职责的情况纳入绩效

核内容,考核结果作为发放保密补贴和评选先进的依据。

3.14.2 资质单位应当对严格执行保密规章的集体和个人给予表彰励。

3.14.3 资质单位应当对违反保密法规制度的有关责任人给予相应处罚;泄露

家秘密的,应当按照有关规定作出处理。

3.15 保密工作经费

3.15.1 保密工作经费分为保密理经费和保密专项经费。保密理经费用于

单位保密宣传教育培训、发放保密补贴、励保密先进、保密检查等日常保密

工作;专项经费用于保密设施设备的建设、配备、维护等。

3.15.2 甲#资质单位保密理经费,年度标准不少于5万元;乙#资质单位

保密理经费,年度标准不少于3万元。保密理经费应当单独1列入单位年度

务预算,专款专用,保证开支。

3.15.3 保密专项经费应当按实际需要予以保障。

3.16 保密工作档案

3.16.1 资质单位应当建立保密工作档案,记录日常保密工作情况。

3.16.2保密工作档案的内容应当真实、完整,全面反映保密工作情况,并能

够与相关工作档案相互印证。

3.17 本保密标准未明确涉密事项的保密理,须严格执行家有关保密规定。本为著作的封面,下载以后可以删除本

【好新资料 Word 版 可自由编辑!!】

X

打赏支付方式: