一、涉密人员管理
1.定义:指由于工作需要,在涉密信息系统集成岗位合法接触、知悉和经管国家秘密事项的人员。
2.涉密人员必须经过保密培训,坚持“先审查、后录用”原则。
3.通过资格审查的涉密人员,需与公司签订《保密协议》方可上岗。
4.涉密人员出国、境需上报单位保密办公室,获得批准后方可出行。
5.涉密人员禁止为外企、境外组织、办事机构或者人员提供咨询服务;不得到与公司经营同类业务且有竞争关系的其他单位任职。
二、涉密信息设备、系统管理
1.信息系统定义:指由计算机及其相关和配套设备、设施构成,按照一定的应用目标和规则存储、处理、传输信息的系统或者网络。
2.信息设备定义:指计算机及存储介质、打印机、传真机、复印机、照相机、摄像机等具有信息存储和处理功能的设备。
3.涉密信息系统的规划、建设、使用等符合国家有关保密规定,并采取分级保护方案,采取身份鉴别、访问控制等安全保密防护措施。
4.涉密信息设备必须明确密级、编号、责任人标识,并建立管理台账。
5.涉密信息设备按照其处理信息的密级进行管理与防护。
6.涉密计算机及办公设备必须拆除其无线联网模块,并封闭接入互联网功能;禁止配备无线鼠标、键盘等无线外围装置的信息设备处理涉密信息。
7.涉密设备配备专用的打印机、扫描仪等信息设备。
8.涉密设备、系统应分别配备系统管理员。
三、涉密载体管理
1.定义:指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、磁介质、光盘等各类物品。磁介质包括计算机硬盘、软盘和录音带、录像带等。
2.根据工作需要,确定涉密载体的接触范围和涉密信息的知悉程度,非涉密人员不得参与。
3.接收、制作、交付、传递、复制、保存载体,遵守国家相关规定,履行签收、登记、审批手续。
4.未经批准,个人不得私自留存涉密载体及涉密信息资料。
5.涉密载体外出、归还需建档登记。
6.涉密载体仅允许在涉密设备中交叉使用,禁止在涉密设备与非涉密设备之间交叉使用。
四、涉密项目资料管理
1.涉密项目资料必须在涉密场所进行,在涉密设备上处理操作。
2.涉密项目在签订合同后必须向项目所在地保密行政管理部门备案,接收保密监督管理。
3.涉密项目完成后,向项目所在地保密行政管理部门书面报告项目建设情况。
4.对外交流合作时,内容及材料不得涉及涉密项目的相关情况。
五、涉密项目全过程管理
1.明确涉密项目实施现场保密管理要求。明确项目负责人对项目的安全保密负总体责任,根据人员分工,严格控制国家秘密信息的接触范围和知悉程度;明确项目实施现场携带设备和载体向项目委托方备案的要求,未经委托方批准,不得将任何信息设备带入涉密项目现场;明确项目实施现场技防设施要求,涉密项目实施现场部署电子门禁、防盗报警和视频监控等系统,强化技防设施管控。
2.开展涉密项目保密风险评估。识别项目中的重大风险点,制定涉密项目保密工作方案,明确人员分工责任、保密检查和信息设备保密管理要求,对项目启动、进场、实施、试运行、验收、运维等各环节制定安全保密措施,确保全过程安全可控。
3.持续推进保密检查。定期组织开展项目保密自查和实施现场保密监督检查。特别是针对重大涉密项目,在项目验收等关键节点,保密部门、业务管理部门以及委托方要协同开展专项保密检查,规避项目重大风险隐患。
