項目保密管理方案

項目保密管理方案==本文檔為word版，下載后可任意編輯修改==一、項目資料安全保密管理為加強項目全生命周期涉及資料的安全保密管理，確保項目涉及資料的編制、收集的及時性、完整性、準確性、保密性、可追溯性、統(tǒng)一規(guī)范性，實現(xiàn)項目相關資料管理的標準化，同時保證竣工后資料的即時移交。二、資料的標準化與適用性管理在遵循國家、行業(yè)標準的前提下，根據(jù)用戶特點來制作相關的項目資料。我公司提供的所有技術和非技術項目資料，采取以下方式進行管理：1、遵循相關的國家信息管理標準與規(guī)范，統(tǒng)一管理有關項目管理、技術規(guī)范、技術資料的文件，以及系統(tǒng)各個階段的資料信息；2、遵循軟件統(tǒng)一開發(fā)過程的行業(yè)標準，并結合項目中用戶的特點，編寫和管理軟件工程過程管理資料；3、遵循ISO質(zhì)量體系的行業(yè)標準，編寫和管理質(zhì)量保證資料；4、遵循國家相關安全和保密的標準與規(guī)范，管理本項目中所有技術和非技術資料的安全性、保密性；5、遵循國家檔案文件管理的要求，結合用戶實際信息安全和質(zhì)量需要，實現(xiàn)電子檔案的歸檔、編輯、存儲管理。三、資料的密級劃分與管理根據(jù)資料的重要程度，將涉密資料的密級劃分為4級：絕密級絕密級資料是指直接公司和客戶的權益的重要決策文件資料。如果泄漏，會給公司和客戶造成特別嚴重的后果和損害。機密級機密級資料是指針對客戶的規(guī)劃、方案、技術細節(jié)的重要文件資料。如果泄漏，會給公司和客戶造成嚴重的損害。秘密級秘密級的資料是指用于項目管理和日常行管理的文件資料。如果泄漏，會給公司和客戶造成損害。一般級一般級的資料是指普通性的資料，如果泄漏，不會給公司和客戶造成損害。針對不同的資料密級，本公司在資料的收集、登記、變更、保管、調(diào)閱、歸檔、備份、銷毀等管理過程中，采用相應的技術手段進行嚴格的保密管理，通過設置保密時間、保密人、保密權限、加密方式、解密措施等技術手段實現(xiàn)資料密級的嚴格、有效管理。四、資料密級變更及解密1、資料機密的變更和解密將按照國家和本公司有關行政法規(guī)和規(guī)定辦理，凡不宜公開的資料，均定為內(nèi)部使用；2、資料的保密等級不隨意變更，對于需要升、降、解密的，需要按規(guī)定報請相關部門和領導批準；3、主管部門和領導要定期或者不定期進行保密檢查，發(fā)現(xiàn)丟失和泄密的事故，必須及時報告并認真處理。五、資料的借閱管理1、如非工作需要并得到相關審批，不得借閱相關的項目資料，借閱相關資料不得作為領導特權；2、如果需要借閱相關資料，一律要提出書面申請；查閱密級資料為秘密級以上的資料，需要經(jīng)主管領導和安全負責人書面批準；查閱資料均需要履行必要的登記和審批手續(xù)。查閱技術資料，不轉抄、拍照和復制；如因工作需要必須轉抄、拍照和復制的，須經(jīng)過主管領導和安全負責人批準；轉抄、拍照、復制的資料，必須履行登記手續(xù)，并在規(guī)定范圍內(nèi)使用；同時，轉抄、拍照、復制的資料的密級不變，依然按照本管理辦法進行管理。針對資料的借閱管理，建立、健全資料的借閱制度，根據(jù)資料的密級，確定不同的使用范圍，規(guī)定不同的審批手續(xù)。各方領導對資料管理人員進行保密教育，并檢查遵守保密制度的執(zhí)行情況。六、資料的登記和保管資料的登記通過建立、健全項目資料的形成、積累、整理、歸檔制度，做到每一項技術成果和項目過程資料，都有完整、準確、系統(tǒng)的資料歸檔保存。在對每一項技術成果進行鑒定、驗收時，對相應的技術資料加以驗收。同時，將技術資料的形成、積累、整理和歸檔納入工作程序，列入有關人員的職責范圍。此外，明確歸檔的工作程序、內(nèi)容和要求。對于技術資料，按歸檔工作程序和步驟進行歸檔處理，以便有效地保證歸檔資料的真實性、完整性，從而有利于歸檔過程管理，并較好地執(zhí)行有關規(guī)范和標準。一般來說，資料的歸檔工作包括：1、資料形成的簽署和審批；2、資料的收集匯總；3、編制目錄；4、整理需歸檔的文件；5、鑒定歸檔的技術資料，確定歸檔文件的檔案屬性；6、檢測歸檔的文件；7、編制歸檔的說明；8、復制備份。資料的保管及安全要求在統(tǒng)一領導、分級管理的原則下，采取有效措施，運用科學方法，克服和限制遺失、毀壞資料的各種因素，維護資料的完整和安全。資料的安全保管要求主要包括：1、保持資料的完整、準確、系統(tǒng)，充分發(fā)揮其作用；2、貫徹執(zhí)行統(tǒng)一領導、分級管理的原則；3、貫徹“以防為主、預防結合”的思想，采取有效措施，最大限度地延長資料壽命；4、掌握資料自然損毀規(guī)律、蟲菌滋生規(guī)律和溫度變化規(guī)律，總結經(jīng)驗，提高保管工作水平；5、提供存放資料的專用場地，并保持適當?shù)臏囟?、濕度，提供防火、防盜、防曬、防蟲、防塵等措施，及時修復損壞或者霉變的資料。資料的保管與存放環(huán)境1、對于技術資料的保管，將從資料的特點出發(fā)，有利于保護資料并便于工作使用，資料排列存放可以采取分類存放或者按時間先后順序存放。2、對于資料的存放環(huán)境，將按照資料介質(zhì)的特性、資料的密級等進行要求。七、資料的銷毀和監(jiān)毀資料的鑒定資料的歸檔鑒定工作，是指鑒別資料的價值，確保其保管的期限，資料鑒定的內(nèi)容主要體現(xiàn)在兩個方面：1、歸檔資料的原始性、準確性、完整性；2、確定資料的價值和保管期限。在資料鑒別過程中，主要取決于資料內(nèi)容所含信息的價值及對項目的影響，并根據(jù)國家和本公司有關資料的保管期限確定保管期，鑒定工作將遵如下原則：1、鑒定工作由項目領導、資料管理員和相關人員組成鑒定組進行鑒定，必要時邀請有關專家參加；2、對已到保存期限的資料進行逐頁審查，根據(jù)實際情況直接判定其價值，按照“保存從寬、銷毀從嚴”的精神辦理。對于需要延長保管期限的資料，將取出保留，并重新確定其保管期限，對無保存價值的按照規(guī)定銷毀。資料的銷毀和監(jiān)毀經(jīng)過審定和檢查，認為確實無保留價值、保管期限已經(jīng)滿的資料，將予以銷毀，銷毀資料的工作包括以下內(nèi)容：1、編造銷毀清冊和撰寫銷毀報告；2、資料銷毀審查批準；3、資料銷毀方法；4、資料銷毀執(zhí)行規(guī)范。八、電子資料的安全管理保證電子資料的安全措施由于電子資料是高科技產(chǎn)物，并且涉及到項目中技術細節(jié)及安全信息，所以，信息安全技術對維護電子資料的原始性、真實性至關重要。目前，電子資料的安全保護技術主要有：（1）簽署技術；（2）保密技術；（3）身份驗證；（4）防火墻；（6）防寫措施。上述技術措施，對于證實電子文件內(nèi)容的真實性、可靠性、保證電子文件在存儲、傳輸過程中的安全、保密，防范對電子文件的非法訪問和隨意改動，都具有很好效果。保證電子資料的安全管理措施電子資料的形成、處理、收集、積累、整理、歸檔、保管和利用等各個環(huán)節(jié)，都有信息更改、丟失的可能性，建立并執(zhí)行一套科學、合理、嚴密的管理制度，從每個環(huán)節(jié)堵塞信息失真的隱患，對于維護電子資料的原始性、真實性很重要。電子資料的管理不僅注重每個階段的結果，也要重視每項工作的具體過程，并把這些過程一一記錄下來。其中，有關維護其信息安全方面的要求如下：（1）電子資料的制作過程，劃分明確的責任。制作人對資料的內(nèi)容負責，并設置好相應的讀寫權限；（2）電子資料形成后，及時進行積累，防止信息損失和變動；（3）建立和執(zhí)行科學的歸檔制度。歸檔時，對電子資料進行全面、認真的檢查，在內(nèi)容方面檢查歸檔文件是否齊全完整，真是可靠；在技術方面，檢查歸檔電子文件的載體的物理狀態(tài)。有無病毒、讀出信息的可靠性和準確性。（4）建立和執(zhí)行嚴格的保管制度。歸檔文件可使用光盤作為存儲介質(zhì)，并對電子資料進行定期地安全性、有效性地檢查。發(fā)現(xiàn)載體或者信息有損時，及時采取措施，進行修復和拷貝。（5）加強對電子資料的利用活動管理。電子資料入庫載體不能外借，只能以拷貝的形式提供利用。（6）建立電子資料管理的記錄系統(tǒng)。為每一份電子資料建立必要的記錄，記載文件的形式、管理和利用的情況，用這些記錄來證實電子資料內(nèi)容的真實性。電子資料的保存和維護電子資料的特性不同于紙質(zhì)檔案，決定其在保存與維護方面的復雜性，在保證資料的安全性，可靠性并永久處于可準確提供利用的狀態(tài)時做到以下要求：（1）保證電子資料載體物理上的安全。如：將電子資料在脫機狀態(tài)下存放在磁、光介質(zhì)上，保證有適合磁、光介質(zhì)保存的環(huán)境（溫度、濕度、光照、磁場、防塵等）。（2）保證電子資料內(nèi)容邏輯上的準確；（3）保證電子資料的原始性；（4）保證電子資料的可理解性；（5）對電子資料載體進行有效的檢測和維護。對電子資料的有效保存和維護是一項極其重要的工作。因而，在對電子資料的保存與維護過程中，應充分考慮環(huán)境、技術、設備、人員及電子資料的特點等綜合條件，制定技術方案和工作模式，并采取有效的措施，以確保代電子資料的可靠性，能永久處于可準確利用的狀態(tài)，使其在項目管理中發(fā)揮更大作用。電子資料的利用和管理電子資料的利用與紙質(zhì)檔案相比，顯著不同的是更加快捷、更加方便。然而，由于這種方式依賴于建立電子資料的技術，需要滿足必要的先決條件，并采取相應當?shù)墓芾泶胧┎拍軐崿F(xiàn)。電子資料提供利用的方法包括：（1）拷貝；（2）通信傳輸；（3）直接利用；（4）電子資料的利用管理；（5）使用權限的審核；（6）拷貝的提供和回收（7）利用中的安全措施；（8）依據(jù)電子資料內(nèi)容的密級登記，進行有效的管理；（9）采用通信傳輸或者直接利用等利用方式時，應該采用對信息加密的技術手段；（10）利用的系統(tǒng)應有較強的容錯能力；（11）系統(tǒng)應對利用的全過程進行有效的跟蹤。技術資料的備份技術資料備份的安全措施：（1）技術資料不非法復制、備份，確需要復制時，需要經(jīng)過相關領導和安全人員同意，同時執(zhí)行相關審批流程；（2）對秘密級以上的重要技術和非技術的資料，采用雙份以上備份，并存放在不同地點；（3）密級資料的備份具有同樣的密級。九、項目資料匯總本項目將以紙質(zhì)、光盤介質(zhì)的形式為所有軟件提供中文版本的技術資料。（1）方案規(guī)劃資料我司將提供與信息化管理相關的制度規(guī)范、工作流程、信息標準規(guī)范等方面的方案規(guī)劃資料。（2）產(chǎn)品資料我司將提供本項目所投軟硬件產(chǎn)品的隨機技術資料,包括：產(chǎn)品使用說明書、安裝手冊、配置手冊、操作手冊、維護說明書、維護命令手冊、測試手冊等技術資料。（3）技術資料我公司將根據(jù)用戶的系統(tǒng)需求和功能需求，提供以下技術文件：1）系統(tǒng)需求資料：軟件用戶需求說明書、軟件需求規(guī)格說明書、應用系統(tǒng)集成實施需求等；2）系統(tǒng)設計規(guī)劃方案：軟件設計說明書、數(shù)據(jù)庫設計說明書、接口設計說明書、應用系統(tǒng)集成實施設計方案等；3）系統(tǒng)詳細設計：軟件詳細設計說明書等；4）開發(fā)計劃資料：項目進度計劃、軟件開發(fā)計劃、應用系統(tǒng)集成實施計劃、質(zhì)量保證計劃、風險管理計劃、配置管理計劃、溝通協(xié)調(diào)管理計劃、需求管理計劃等；5）測試資料：提供軟件的單元測試計劃／用例、集成測試計劃／用例、系統(tǒng)測試計劃／用例、測試問題記錄等測試資料；6）實施資料：提供系統(tǒng)安裝部署手冊、系統(tǒng)維護手冊、安裝環(huán)境調(diào)查表、系統(tǒng)安裝配置表、安裝自測表、安裝測試表（系統(tǒng)安裝調(diào)試報告）等。7）培訓資料：提供培訓人員名單、培訓需求登記、培訓通知、培訓簽到表、培訓教材、培訓考核試題、培訓考核成績記錄、培訓考核結果統(tǒng)計表等培訓資料。（4）過程資料我司將對項目實施過程進行跟蹤記錄，并提供等項目進度報告、周工作總結與計劃、階段性工作審核報告、質(zhì)量總結報告、單元測試報告、集成測試報告、系統(tǒng)測試報告、測試問題記錄、試運行驗收問題記錄、試運行實施報告、試運行驗收報告、項目最終驗收問題記錄、項目最終驗收報告過程記錄資料。（5）變更資料我司將對項目實施過程中的變更情況，包括：項目計劃、項目內(nèi)容、招投標雙方對變更舉行會議的情況等進行記錄，并提供項目計劃變更單、項目內(nèi)容變更單（需求變更單、設計變更單等）、會議紀要等變更資料。（6）驗收資料我公司將對安裝實施驗收、項目最終驗收時所收集的各項驗收數(shù)據(jù)進行整理，并將其匯總成冊，形成驗收申請、驗收計劃、驗收方案、驗收測試用例、驗收問題記錄、驗收報告等驗收資料。十、項目資料保密管理項目資料中如用戶需求文檔、設計方案、圖紙、程序編碼等技術資料和項目合同書、保密協(xié)議、驗收報告等業(yè)務資料屬于涉密的，應當標明密級和保密期限，登記編號，明確知悉范圍，按公司涉密載體相關制度管理。項目資料保密管理方案是信創(chuàng)項目的重要文檔，是項目滿足信創(chuàng)要求的保障性文件，需要包含以下內(nèi)容：項目涉及涉密的密級、保密期限、知悉范圍，內(nèi)容要詳細項目人員管理、保密工作職責及分工項目實施中需要遵守和執(zhí)行的保密制度及流程項目實施中涉及的保密設備、設施、載體及場所的管理項目采取的保密措施項目保密風險評估和防范措施項目保密監(jiān)控流程和措施項目文檔的管理流程和措施十一、完善應急響應措施制定應急響應計劃和響應策略；定期評估和修正應急響應計劃和策略；組織應急響應培訓，明確成員在應急響應中的角色與責任；定期進行應急響應演練。某公司工程項目保密方案公司將嚴格按照《中華人民共和國保密條例》執(zhí)行，以確保工程中涉及到用戶單位機密以及公司自身工程技術機密的不對外泄漏。機密的保管實行點對點管理辦法，落實到人，做到有法可依，違法必究，責任落實到位。1.1保密原則實行積極防范、突出重點、既確保秘密又便利各項工作的方針。積極防范要求在保密工作中要把事先防范措施抓緊、抓嚴、抓落實，以減少竊密。在實際工作中，應當把工作的立足點和著力點放在防范方面。主動把工作做在前頭，盡一切努力消除可能造成泄密的隱患，堵塞可能泄密的漏洞，增加秘密的安全系數(shù)，防止泄密事件發(fā)生。對于本工程的保密工作應做到進入施工現(xiàn)場的所有人員人人有責。1.2組織機構建立為保證項目保密工作的順利開展，公司以項目經(jīng)理牽頭成立保密工作組，組員由檔案管理專職人員、技術負責人、項目管理人員組成，并為檔案管理配備專用的檔案室,針對每個工程由項目負責人兼任保密責任人。項目保密組織體系如下圖：1.3保密內(nèi)容保密內(nèi)容包括：工程技術實現(xiàn)原理、軟硬件使用密碼、工程施工圖紙及設備布局圖、工程進度及擴展方式、工程資料、工程實施細節(jié)、工程合同、人員部署、項目資金等。1.4做好保密工作的措施

1.4.1項目部把保密工作為一項重要的工作與其他工作同步進行。項目部成立以項目經(jīng)理為首的保密工作小組，抓好本工程的保密工作。1.4.2工程開工前，針對本工程的特點組織項目管理人員進行全面的、系統(tǒng)的保密知識的學習及保密技能的培訓。加強管理人員的保密工作管理，提高管理人員的政治思想和業(yè)務素質(zhì)，以適應本工程保密任務的需要。工人進場前，由項目部組織所有進場工人進行學習，簽訂保密工作協(xié)議書。堅持經(jīng)常性的保密教育。1.4.3建立健全保密規(guī)章制度，嚴格保密紀律并嚴格執(zhí)行，經(jīng)常督促檢查，堵塞泄密漏洞。保密檢查工作程序圖如下：1.4.4項目部管理人員的設置應經(jīng)單位嚴格把關。選擇政治覺悟高、工作作風嚴謹?shù)墓芾砣?/p>

員到本項目工作。項目部的管理人員要固定，不要隨意調(diào)動以減少知情人的范圍。資料檔案室固定一名管理人員負責。1.4.5資料檔案室與其它辦公區(qū)隔離并裝防盜門防護窗欄。購置保密柜、保密報警裝置。1.4.6會議涉密文件資料必須下發(fā)時，從三個方面嚴格管理。一是文件資料上要標明編號；二是領取人要實施登記簽名；三是要明確要求參加會議人員及時交資料檔案室保管，不得個人留存。1.4.7對施工中所發(fā)的施工圖紙、施工文件、技術文件實行嚴格受控管理。對作廢的文件應及時全數(shù)收回并消毀。1.4.8資料檔案室設置一臺專用電腦存儲施工所需資料、文件并確保不上網(wǎng)，電腦應設置密碼保護。1.4.9接待參觀、考察，必須避開保護區(qū)。不得在保密要害部位接待來訪,資料檔案室應當與其他辦公室保持相應安全距離，并根據(jù)根據(jù)現(xiàn)場的實際情況設立控制區(qū)，無關人員不得進入。1.4.10如施工過程有泄密我單位將承擔由此對業(yè)主造成的一切損失和后果。事情發(fā)生,我方將對責任人進行嚴肅處理并追究其法律責任1.5工程保密規(guī)章制度1.5.1“四?！敝贫取Ｒ獔詻Q做到保密工作專人負責、專項經(jīng)費、專業(yè)設施、專門設置。專人負責，除了一把手負總責以外，總法人機構、分公司和項目部都要指定專人對保密工作負責到底。專項經(jīng)費，要撥出專項經(jīng)費專門用于落實保密教育、購買保密器材、滿足保密對經(jīng)費的需求。保密經(jīng)費堅決做到專款專用。專業(yè)設施，要購置性能先進、功能滿足需要、經(jīng)實踐證明運行可靠的專業(yè)器材。目前的設想是要有屏蔽儀、防照像窗簾、計算機加密狗、防竊聽探測儀等，要保證所有保密設備高效可靠運行。專業(yè)設置，要根據(jù)現(xiàn)場情況，專門設立置密室和解密室，凡涉密人員在處理秘密事項時，一律要到專門的置密室去辦理。置密室配備有符合規(guī)范要求的防范設施；所有涉密人員離開工作崗位要到專門的解密室進行解密。主要內(nèi)容是：對筆記本電腦、移動存儲設備、數(shù)碼相機、手機等進行技術處理，確保沒有任何涉密載體被帶離現(xiàn)場。

1.5.2職責守則制度。要針對不同的崗位、不同的人員制定不同的保密職責和守則。按照“不該說的，絕對不說；不該問的，絕對不問；不該看的，絕對不看；不該記錄的，絕對不記；不在私人通信中涉及；不在公共場所和家屬、子女、親友面前談論；不在不利于保密的地方存放機要文件、資料；不得私自復印紙質(zhì)工程圖紙文件，不得拷貝工程電子文件；不得為個人需要摘引機密材料的內(nèi)容；未經(jīng)批準，不得將工程相關材料給任何人閱讀；遺失相關文件，要立即向工程負責人報告，不得謊報和隱瞞；自覺遵守建設單位的各項保密規(guī)定，出入場區(qū)自覺接受警衛(wèi)檢查；發(fā)現(xiàn)他人有失、泄、竊密行為要堅決制止；堅決杜絕偷竊、盜賣本工程相關資料的行為”的要求，做到凡是參與工程建設的人、人人都有職責，都有守則、凡是職責和守則，人人都必須遵守；凡是違反職責守則的人和事都要受到嚴肅處理。1.5.3收發(fā)借閱制度（1）定崗專人收發(fā)。（2）收入保密文件登記造冊，注明收文時間，內(nèi)容，收文途徑以及份數(shù)并簽字確認。（3）發(fā)放保密文件登記造冊，注明發(fā)文時間，內(nèi)容，份數(shù)，審批領導簽字，經(jīng)辦人簽字確認。（4）借閱保密文件做好借閱記錄，注明借閱時間，借閱內(nèi)容，歸還時間，借閱人簽字，在借閱期間不得帶離工程部辦公室。1.5.4保管制度（1）收入的紙質(zhì)保密文件必須入鐵柜，上鎖，專人管理。（2）收入的電子檔保密文件必須存入專用保密電腦，專用保密電腦不得聯(lián)網(wǎng)，保密電腦由專人保管，不得隨便帶離辦公區(qū)，并且設置登錄密碼。（3）設立中轉加密移動硬盤，其他電腦需在斷網(wǎng)情況下，通過此硬盤訪問和查看相關保密資料，并不得將相關保密資料拷貝至非保密電腦。（4）保密文件資料不得隨意帶離工作區(qū)，如有特殊情況必須帶出的需請示分管領導批準。1.5.5復印拷貝制度（1）未經(jīng)批準，不得復印、摘抄和拷貝相關保密文件、