涉密信息系統(tǒng)集成資質(zhì)保密標準參考模板

1、涉密信息系統(tǒng)集成資質(zhì)保密標準 （2015年6月2日發(fā)布的新版本） 1 適用范圍 本保密標準適用于涉密信息系統(tǒng)集成資質(zhì)申請、審查與資質(zhì)單位日常保密管理。 2 定義 2.1 本標準所稱涉密人員，是指由于工作需要，在涉密信息系統(tǒng)集成崗位合法接觸、知悉和經(jīng)管國家秘密事項的人員。 2.2 本標準所稱涉密載體，主要指以文字、數(shù)據(jù)、符號、圖形、圖像、聲音等方式記載國家秘密信息的紙介質(zhì)、磁介質(zhì)、光盤等各類物品。磁介質(zhì)載體包括計算機硬盤、軟盤和錄音帶、錄像帶等。 2.3 本標準所稱信息系統(tǒng)是指由計算機及其相關和配套設備、設施構成的，按照一定的應用目標和規(guī)則存儲、處理、傳輸信息的系統(tǒng)或者網(wǎng)絡。 2.4 本標準所稱

2、信息設備是指計算機及存儲介質(zhì)、打印機、傳真機、復印機、掃描儀、照相機、攝像機等具有信息存儲和處理功能的設備。3 保密標準 3.3.2 保密制度包括以下主要方面： （1）保密工作機構設置與職責； （2）保密教育培訓； （3）涉密人員管理； （4）涉密載體管理； （5）信息系統(tǒng)、信息設備和保密設施設備管理； （6）涉密信息系統(tǒng)集成場所等保密要害部位管理； （7）涉密項目實施現(xiàn)場管理； （8）保密監(jiān)督檢查；（9）保密工作考核與獎懲； （10）泄密事件報告與查處； （11）保密風險評估與管理；

3、 （12）資質(zhì)證書使用與管理。 3.4 保密風險評估與管理 3.4.1 資質(zhì)單位應當定期對系統(tǒng)集成業(yè)務、人員、資產(chǎn)、場所等主要管理活動進行保密風險評估。各業(yè)務部門應當按照業(yè)務流程對保密風險進行識別、分析和評估，提出具體防控措施。  3.4.2 資質(zhì)單位應當將國家保密法規(guī)和標準要求、保密風險防控措施融入到管理制度和業(yè)務工作流程中，并建立相應的監(jiān)督檢查機制。 3.5 涉密人員管理 3.5.1 資質(zhì)單位應當對從事涉密業(yè)務的人員進行審查，符合條件的方可將其確定為涉密人員。涉密人員應當通過保密教

4、育培訓，并簽訂保密承諾書后方能上崗。 3.5.2 涉密人員應當保守國家秘密，嚴格遵守各項保密規(guī)章制度，并符合以下基本條件：1 / 6 （1）遵紀守法，具有良好的品行，無犯罪記錄； （2）資質(zhì)單位正式職工，并在其他單位無兼職； （3）社會關系清楚，本人及其配偶為中國境內(nèi)公民。  3.5.3 涉密人員根據(jù)所在崗位涉密情況分為核心、重要、一般三個等級，實行分類管理。涉密等級發(fā)生變化時，應當履行審批程序。  3.5.4 資質(zhì)單位與涉密人員簽訂的勞動合同或補充協(xié)議，應當包括以下內(nèi)容： （1）涉密人員的權利

5、與義務； （2）涉密人員應當遵守的保密紀律和有關限制性規(guī)定； （3）因履行保密職責導致涉密人員利益受到損害，資質(zhì)單位給予補償?shù)囊?guī)定； （4）涉密人員因違反保密規(guī)定而被無條件調(diào)離涉密崗位或給予辭退等處罰的規(guī)定； （5）因認真履行保密職責，資質(zhì)單位給予涉密人員獎勵的規(guī)定； （6）涉密人員應當遵守的其他有關事項。  3.5.5 資質(zhì)單位應當將涉密人員基本情況和調(diào)整變動情況向所在地省、自治區(qū)、直轄市保密行政管理部門備案。  3.5.6 在崗涉密人員每年參加保密教育與保密知識、技能培訓的時間不少于10個學時。3.5.7

6、60;資質(zhì)單位應當對在崗涉密人員進行定期考核評價。 下載文檔到電腦，查找使用更方2下載券  12人已下下載 還剩4頁未讀，繼續(xù)閱讀 3.5.8 資質(zhì)單位應當向涉密人員發(fā)放保密補貼。 3.5.9 涉密人員離崗離職須經(jīng)資質(zhì)單位保密審查，簽訂保密承諾書，并按相關保密規(guī)定實行脫密期管理。 3.5.10 涉密人員因私出國（境）的，應當經(jīng)資質(zhì)單位同意，出國（境）前應當經(jīng)過保密教育。擅自出境或逾期不歸的，資質(zhì)單位應當及時報告保密行政管理部門。 3.5.11 涉密人員泄露國家秘密或嚴重違反保密規(guī)章制度的，應當調(diào)

7、離涉密崗位，并追究其法律責任。 3.6 涉密載體管理 3.6.1 資質(zhì)單位應當按照工作需要，嚴格控制涉密載體的接觸范圍和涉密信息的知悉程度。  3.6.2 資質(zhì)單位應當建立涉密載體臺帳，臺帳應當包括載體名稱、編號、密級、保密期限等信息。 3.6.3 接收、制作、交付、傳遞、保存、維修、銷毀涉密載體，應當遵守國家相關保密規(guī)定，履行簽收、登記、審批手續(xù)。 3.6.4 復制本單位產(chǎn)生的涉密載體，應當經(jīng)單位相關部門審批；復制其他涉密載體，應當經(jīng)涉密載體制發(fā)機關、單位或所在地省、自治區(qū)、直轄市保密行政管理

8、部門批準。涉密載體復制場所應當符合保密要求，采取可靠的保密措施；不具備復制條件的，應當?shù)奖Ｃ苄姓芾聿块T審查批準的定點單位復制。 3.6.5 機密、秘密級涉密載體應當存放在密碼文件柜中，絕密級涉密載體應當存放在密碼保險柜中。存放場所應當符合保密要求。  3.6.6 未經(jīng)批準，個人不得私自留存涉密載體和涉密信息資料。確因工作需要保存的，應當建立個人臺帳，內(nèi)容包括載體密級、留存原因、審批部門或人員、留存期限等內(nèi)容。 3.6.7 攜帶涉密載體外出，應當履行審批手續(xù)，采取可靠的保密措施，并確保涉密載體始終處于攜帶人的有效控制下。 3

9、.6.8 資質(zhì)單位應當定期對涉密載體進行清查。需要銷毀的涉密載體應當履行清點、登記、審批手續(xù)，送交保密行政管理部門設立的銷毀工作機構或者保密行政管理部門指定的單位銷毀；確因工作需要，自行銷毀少量秘密載體的，應當使用符合國家保密標準的銷毀設備和方法。 3.7 信息系統(tǒng)與信息設備管理 3.7.1 涉密信息系統(tǒng)的規(guī)劃、建設、使用等應當符合國家有關保密規(guī)定。涉密信息系統(tǒng)應當按照國家保密規(guī)定和標準，制定分級保護方案，采取身份鑒別、訪問控制、安全審計、邊界安全防護、信息流轉控制等安全保密防護措施。 3.7.2 涉密信息設備應當符合國家保密標準，有

10、密級、編號、責任人標識，并建立管理臺帳。 3.7.3 涉密計算機、移動存儲介質(zhì)應當按照存儲、處理信息的最高密級進行管理與防護。 3.7.4 涉密信息設備的使用應當符合相關保密規(guī)定。禁止涉密信息設備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡；禁止涉密信息設備接入內(nèi)部非涉密信息系統(tǒng)；禁止使用非涉密信息設備和個人設備存儲、處理涉密信息；禁止超越計算機、移動存儲介質(zhì)的涉密等級存儲、處理涉密信息；禁止在涉密計算機和非涉密計算機之間交叉使用移動存儲介質(zhì)；禁止在涉密計算機與非涉密計算機之間共用打印機、掃描儀等信息設備。 3.7.5 涉密信息設備應當采取身份鑒別、

11、訪問控制、違規(guī)外聯(lián)監(jiān)控、安全審計、移動存儲介質(zhì)管控等安全保密措施，并及時升級病毒和惡意代碼樣本庫，定期進行病毒和惡意代碼查殺。  3.7.6 采購安全保密產(chǎn)品應當選用經(jīng)過國家保密行政管理部門授權機構檢測、符合國家保密標準要求的產(chǎn)品，計算機病毒防護產(chǎn)品應當選用公安機關批準的國產(chǎn)產(chǎn)品，密碼產(chǎn)品應當選用國家密碼管理部門批準的產(chǎn)品。 3.7.7 涉密信息打印、刻錄等輸出應當相對集中、有效控制，并采取相應審計措施。  3.7.8 涉密計算機及辦公自動化設備應當拆除具有無線聯(lián)網(wǎng)功能的硬件模塊，禁止使用具有無線互聯(lián)功能或配備無線鍵盤、無線鼠標等無線

12、外圍裝置的信息設備處理國家秘密。  3.7.9 涉密信息設備的維修，應當在本單位內(nèi)部進行，并指定專人全程監(jiān)督，嚴禁維修人員讀取或復制涉密信息。確需送外維修的，須拆除涉密信息存儲部件。涉密存儲介質(zhì)的數(shù)據(jù)恢復應當?shù)絿冶Ｃ苄姓芾聿块T批準的單位進行。  3.7.10 涉密信息設備改作非涉密信息設備使用或淘汰處理時，應當將涉密信息存儲部件拆除。淘汰處理涉密存儲介質(zhì)和涉密信息存儲部件，應當按照國家秘密載體銷毀有關規(guī)定執(zhí)行。  3.7.11 涉密計算機及移動存儲介質(zhì)攜帶外出應履行審批手續(xù)，帶出前和帶回后，均應當進行保密檢查。  3.8

13、 涉密辦公場所保密管理  3.8.1 資質(zhì)單位的涉密辦公場所應當固定在相對獨立的樓層或區(qū)域。  3.8.2 涉密辦公場所應當安裝門禁、視頻監(jiān)控、防盜報警等安防系統(tǒng)，實行封閉式管理。監(jiān)控機房應當安排人員值守。 3.8.3 建立視頻監(jiān)控的管理檢查機制，資質(zhì)單位安全保衛(wèi)部門應當定期對視頻監(jiān)控信息進行回看檢查，保密管理辦公室應當對執(zhí)行情況進行監(jiān)督。視頻監(jiān)控信息保存時間不少于3個月。  3.8.4 門禁系統(tǒng)、視頻監(jiān)控系統(tǒng)和防盜報警系統(tǒng)等應當定期檢查維護，確保系統(tǒng)處于有效工作狀態(tài)。  3.8.5 

14、涉密辦公場所應當明確允許進入的人員范圍，其他人員進入，應當履行審批、登記手續(xù)，并由接待人員全程陪同。  3.8.6 未經(jīng)批準，不得將具有錄音、錄像、拍照、存儲、通信功能的設備帶入涉密辦公場所。  3.9 涉密信息系統(tǒng)集成項目管理  3.9.1 資質(zhì)單位應當按照資質(zhì)等級、類別承接涉密信息系統(tǒng)集成業(yè)務。不得將資質(zhì)證書出借或轉讓。不得將承接的涉密信息系統(tǒng)集成業(yè)務分包或轉包給不具備相應資質(zhì)的單位。  3.9.2 資質(zhì)單位與其他單位合作開展涉密信息系統(tǒng)集成業(yè)務的，合作單位應當具有相應涉密信息系統(tǒng)集成資質(zhì)，且應當取得委托方書面

15、同意。  3.9.3 資質(zhì)單位承接涉密信息系統(tǒng)集成項目的，應當在簽訂合同后，向項目所在地省、自治區(qū)、直轄市保密行政管理部門備案，接受保密監(jiān)督管理。涉密信息系統(tǒng)集成項目完成后，資質(zhì)單位應當向項目所在地省、自治區(qū)、直轄市保密行政管理部門書面報告項目建設情況。  3.9.4 資質(zhì)單位應當對涉密信息系統(tǒng)集成項目實行全過程管理，明確崗位責任，落實各環(huán)節(jié)安全保密措施，確保管理全程可控可查。  3.9.5 資質(zhì)單位應當按照涉密信息系統(tǒng)集成項目的密級，對用戶需求文檔、設計方案、圖紙、程序編碼等技術資料和項目合同書、保密協(xié)議、驗收報告等業(yè)務資料是否屬于

16、國家秘密或者屬于何種密級進行確定。屬于國家秘密的，應當標明密級，登記編號，明確知悉范圍。  3.9.6 涉密信息系統(tǒng)集成項目實施期間，項目負責人對項目的安全保密負總體責任，應當按照工作需要，嚴格控制涉密載體的接觸范圍和涉密信息的知悉程度。  3.9.7 資質(zhì)單位應當對參與涉密信息系統(tǒng)集成項目的管理人員、技術人員和工程施工人員進行登記備案，對其分工作出詳細記錄。  3.9.8 涉密信息系統(tǒng)集成項目實施驗收后，資質(zhì)單位應當將涉密技術資料全部移交委托方，不得私自留存或擅自處理。需要保留的業(yè)務資料，應當嚴格按照有關保密規(guī)定進行管理。 

17、; 3.9.9 涉密信息系統(tǒng)集成項目的設計方案、研發(fā)成果及有關建設情況，資質(zhì)單位及其工作人員不得擅自以任何形式公開發(fā)表、交流或轉讓。  3.9.10 資質(zhì)單位在與境外人員或機構進行交流合作時，應當嚴格遵守有關保密規(guī)定，交流材料不得涉及涉密信息系統(tǒng)集成項目的相關情況。  3.9.11 資質(zhì)單位利用涉密信息系統(tǒng)集成項目申請專利，應當嚴格遵守有關保密規(guī)定。秘密級和機密級的項目，應當按照法定程序審批后申請保密專利，符合專利申請條件的，應當按照有關規(guī)定辦理解密手續(xù)；絕密級的項目，在保密期限內(nèi)不得申請專利或者保密專利。  3.10 涉密

18、項目實施現(xiàn)場管理  3.10.1 資質(zhì)單位進入委托方現(xiàn)場進行涉密信息系統(tǒng)集成項目開發(fā)、工程施工、運行維護等應當嚴格執(zhí)行現(xiàn)場工作制度和流程。  3.10.2 從事現(xiàn)場項目開發(fā)、工程施工、運行維護的人員應當是資質(zhì)單位確定的涉密人員。  3.10.3 現(xiàn)場項目開發(fā)、工程施工、運行維護應當在委托方的監(jiān)督下進行。未經(jīng)委托方檢查和書面批準，不得將任何電子設備帶入涉密項目現(xiàn)場。  3.10.4 資質(zhì)單位應當對現(xiàn)場項目開發(fā)、工程施工、運行維護的工作情況進行詳細記錄并存檔備查。  3.11 宣傳報道管理 

19、; 3.11.1 資質(zhì)單位通過媒體、互聯(lián)網(wǎng)等渠道對外發(fā)布信息，應當經(jīng)資質(zhì)單位相關部門審查批準。  3.11.2 資質(zhì)單位涉及涉密信息系統(tǒng)集成項目的宣傳報道、展覽、公開發(fā)表著作和論文等，應當經(jīng)委托方批準。  3.12 保密檢查  3.12.1 資質(zhì)單位應當定期對保密管理制度落實情況、技術防范措施落實情況等進行檢查，及時發(fā)現(xiàn)和消除隱患。  3.12.2 保密檢查應當進行書面記錄，內(nèi)容包括：檢查時間、檢查人、檢查對象、檢查事項、存在問題、整改措施及落實情況等。  3.13 泄密事件處理  3.13.1 資質(zhì)單位發(fā)生泄密事件，應當立即采取補救措施，并在發(fā)現(xiàn)后24小時內(nèi)書面向所在地保密行政管理部門報告。內(nèi)容包括： （1）所泄露信息的內(nèi)容、密級、數(shù)量及其載體形式； （2）泄密事件的發(fā)現(xiàn)經(jīng)過；  （3）泄密事件發(fā)生的時間、地點和經(jīng)過；  （4）泄密責任人的基本情況； （5）泄密事件造成或可能造成的危害； （6）已采取或擬采取的補救措施。 3.13.2 資質(zhì)單位應當配合保密行政管理部門對泄密事件進行查處，不得隱瞞情況