《涉密信息系統(tǒng)集成資質(zhì)保密標準》由會員分享，可在線閱讀，更多相關(guān)《涉密信息系統(tǒng)集成資質(zhì)保密標準（16頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、涉密信息系統(tǒng)集成資質(zhì)保 密標準 Jenny was compiled in January 2021 涉密信息系統(tǒng)集成資質(zhì)保密標準 2015年6月2日發(fā)布新版 1適用范圍 本保密標準適用于涉密信息系統(tǒng)集成資質(zhì)申請、審查與資質(zhì)單位n 常保密管理。 2定義 本標準所稱涉密人員，是指由于工作需要，在涉密信息系統(tǒng)集成崗 位合法接觸、知悉和經(jīng)管國家秘密事項的人員。 本標準所稱涉密載體，主要指以文字、數(shù)據(jù)、符號、圖形、圖像、 聲音等方式記載國家秘密信息的紙介質(zhì)、磁介質(zhì)、光盤等各類物品。磁 介質(zhì)載體包括計算機硬盤、軟盤和錄音帶、錄像帶等。 本標準所稱信息系統(tǒng)是指由計算機及其相關(guān)和配套設(shè)備

2、、設(shè)施構(gòu)成 的，按照一定的應(yīng)用目標和規(guī)則存儲、處理、傳輸信息的系統(tǒng)或者網(wǎng) 絡(luò)。 本標準所稱信息設(shè)備是指計算機及存儲介質(zhì)、打印機、傳真機、復 印機、掃描儀、照相機、攝像機等具有信息存儲和處理功能的設(shè)備。 9 3保密標準 保密標準實施原則 積極防范，突出重點，嚴格標準，依法管理。 業(yè)務(wù)工作誰主管，保密工作誰負責，保密責任落實到人。 具備健全的管理體系，保密管理與生產(chǎn)經(jīng)營管理相融合。 建立保密管理的持續(xù)改進機制。 保密組織機構(gòu)及職責 保密工作領(lǐng)導小組 資質(zhì)單位應(yīng)當成立保密工作領(lǐng)導小組，為本單位保密工作領(lǐng)導機 構(gòu)。 甲級資質(zhì)單位應(yīng)當設(shè)置專職保密總監(jiān)，保密總監(jiān)為單位領(lǐng)導班子成 員

3、。 甲級資質(zhì)單位保密工作領(lǐng)導小組由單位法定代表人（或主要負責 人）、保密總監(jiān)和有關(guān)部門主要負責人組成。組長由法定代表人（或主 要負責人）擔任，副組長由保密總監(jiān)擔任，保密工作領(lǐng)導小組各成員應(yīng) 當有明確的職責分工。 乙級資質(zhì)單位保密工作領(lǐng)導小組由單位法定代表人（或主要負責 人）、分管保密工作負責人和有關(guān)部門主要負責人組成。組長由法定代 表人（或主要負責人）擔任，副組長由分管保密工作負責人擔任，保密 工作領(lǐng)導小組各成員應(yīng)當有明確的職責分工。 保密工作領(lǐng)導小組實行例會制度。例會應(yīng)當組織學習黨和國家保密 工作方針政策及相關(guān)保密法律法規(guī)；研究部署、總結(jié)本單位的保密工 作；解決保密工作中的重要問題。例

4、會每年不少于2次，會議應(yīng)當作記 錄并形成會議紀要。 法定代表人（或主要負責人）為本單位保密工作第一責任人，對本 單位保密工作負全面責任，履行下列職責： （1）保證國家相關(guān)保密法律法規(guī)在本單位貫徹落實; （2）監(jiān)督檢查保密工作責任制的落實情況，解決保密工作中的重要 問題; （3）審核、簽發(fā)單位保密管理制度； （4）為保密工作提供人力、財力、物力等條件保障。 保密總監(jiān)或者分管保密工作負責人對本單位保密工作負具體領(lǐng)導和 監(jiān)督責任，履行下列職責： （1）組織制定單位保密管理制度、保密工作計劃，審定保密工作總 結(jié)； （2）監(jiān)督保密工作計劃落實情況，組織保密檢查； （3）為保密管理

5、辦公室和保密管理人員履行職責提供保障。 涉密信息系統(tǒng)集成業(yè)務(wù)部門負責人對本部門的保密管理負直接領(lǐng)導 責任，履行下列職責： （1）嚴格按照工作需要，控制業(yè)務(wù)人員在工作中知悉涉密信息的范 圍和程度； （2）組織開展保密風險評估，修訂生產(chǎn)管理制度，優(yōu)化業(yè)務(wù)流程， 制定保密工作方案，落實保密風險防控措施； （3）監(jiān)督檢查涉密信息系統(tǒng)集成業(yè)務(wù)管理和保密制度執(zhí)行情況，督 促業(yè)務(wù)人員履行保密職責； （4）及時發(fā)現(xiàn)、研究解決保密管理中存在的問題。 保密管理辦公室 資質(zhì)單位應(yīng)當設(shè)立保密管理辦公室，為本單位的職能部門，負責人 由中層以上管理人員擔任。 甲級資質(zhì)單位保密管理辦公室應(yīng)當為專門機構(gòu)并配備

6、專門的保密管 理人員，乙級資質(zhì)單位可指定有關(guān)機構(gòu)承擔保密管理辦公室職能。 保密管理辦公室負責本單位保密工作的日常管理，履行下列職責： （1）組織落實保密工作領(lǐng)導小組的工作部署，提出工作建議，擬定 工作計劃、總結(jié)； （2）制定、修訂保密制度； （3）參與單位各項管理制度的制定、修訂工作； （4）審查、確定保密要害部門部位，指導、監(jiān)督保密設(shè)施設(shè)備的建 設(shè)、使用和維護管理； （5）組織開展保密宣傳教育和培訓； （6）對涉密人員履行保密職責情況進行指導監(jiān)督； （7）對本單位各部門保密管理有關(guān)情況進行指導監(jiān)督； （8）組織開展保密檢查，針對存在的問題提出整改意見，并督促落 實； （9

7、）報告、配合查處泄密事件； （10）管理保密工作檔案； （11）承辦保密資質(zhì)申請、延續(xù)、年度審查、事項變更登記等工 作； （12）承辦保密工作領(lǐng)導小組交辦的其他任務(wù)。 保密管理人員應(yīng)當具備下列條件： （1）具備良好的政治素質(zhì); （2）熟悉保密法律法規(guī)，掌握保密知識技能，具有一定的管理能 力; （3）熟悉本單位業(yè)務(wù)工作和保密工作情況； （4）通過保密行政管理部門組織的培訓和考核。 保密制度 資質(zhì)單位應(yīng)當建立規(guī)范、操作性強的保密制度，并根據(jù)實際情況及 時修訂完善。保密制度的具體要求應(yīng)當體現(xiàn)在單位相關(guān)管理制度和業(yè)務(wù) 工作流程中。 保密制度包括以下主要方面： （1）保密工作

8、機構(gòu)設(shè)置與職責； （2）保密教育培訓； （3）涉密人員管理； （4）涉密載體管理； （5）信息系統(tǒng)、信息設(shè)備和保密設(shè)施設(shè)備管理； （6）涉密信息系統(tǒng)集成場所等保密要害部位管理； （7）涉密項目實施現(xiàn)場管理； （8）保密監(jiān)督檢查； （9）保密工作考核與獎懲； （10）泄密事件報告與查處； （11）保密風險評估與管理； （12）資質(zhì)證書使用與管理。 保密風險評估與管理 資質(zhì)單位應(yīng)當定期對系統(tǒng)集成業(yè)務(wù)、人員、資產(chǎn)、場所等主要管理 活動進行保密風險評估。各業(yè)務(wù)部門應(yīng)當按照業(yè)務(wù)流程對保密風險進行 識別、分析和評估，提出具體防控措施。 資質(zhì)單位應(yīng)當將國家保密法規(guī)和標準要求、保密

9、風險防控措施融入 到管理制度和業(yè)務(wù)工作流程中，并建立相應(yīng)的監(jiān)督檢查機制。 涉密人員管理 資質(zhì)單位應(yīng)當對從事涉密業(yè)務(wù)的人員進行審查，符合條件的方可將 其確定為涉密人員。涉密人員應(yīng)當通過保密教育培訓，并簽訂保密承諾 書后方能上崗。 涉密人員應(yīng)當保守國家秘密，嚴格遵守各項保密規(guī)章制度，并符合 以下基本條件： （1）遵紀守法，具有良好的品行，無犯罪記錄； （2）資質(zhì)單位正式職工，并在其他單位無兼職； （3）社會關(guān)系清楚，本人及其配偶為中國境內(nèi)公民。 涉密人員根據(jù)所在崗位涉密情況分為核心、重要、一般三個等級， 實行分類管理。涉密等級發(fā)生變化時，應(yīng)當履行審批程序。 資質(zhì)單位與涉密人員簽訂的

10、勞動合同或補充協(xié)議，應(yīng)當包括以下內(nèi) 容： （1）涉密人員的權(quán)利與義務(wù)； （2）涉密人員應(yīng)當遵守的保密紀律和有關(guān)限制性規(guī)定； （3）因履行保密職責導致涉密人員利益受到損害，資質(zhì)單位給予補 償?shù)囊?guī)定; （4）涉密人員因違反保密規(guī)定而被無條件調(diào)離涉密崗位或給予辭退 等處罰的規(guī)定； （5）因認真履行保密職責，資質(zhì)單位給予涉密人員獎勵的規(guī)定； （6）涉密人員應(yīng)當遵守的其他有關(guān)事項。 資質(zhì)單位應(yīng)當將涉密人員基本情況和調(diào)整變動情況向所在地省、自 治區(qū)、直轄市保密行政管理部門備案。 在崗涉密人員每年參加保密教育與保密知識、技能培訓的時間不少 于10個學時。 資質(zhì)單位應(yīng)當對在崗涉密人員進行

11、定期考核評價。 資質(zhì)單位應(yīng)當向涉密人員發(fā)放保密補貼。 涉密人員離崗離職須經(jīng)資質(zhì)單位保密審查，簽訂保密承諾書，并按 相關(guān)保密規(guī)定實行脫密期管理。 涉密人員因私出國（境）的，應(yīng)當經(jīng)資質(zhì)單位同意，出國（境）前 應(yīng)當經(jīng)過保密教育。擅自出境或逾期不歸的，資質(zhì)單位應(yīng)當及時報告保 密行政管理部門。 涉密人員泄露國家秘密或嚴重違反保密規(guī)章制度的，應(yīng)當調(diào)離涉密 崗位，并追究其法律責任。 涉密載體管理 資質(zhì)單位應(yīng)當按照工作需要，嚴格控制涉密載體的接觸范圍和涉密 信息的知悉程度。 資質(zhì)單位應(yīng)當建立涉密載體臺帳，臺帳應(yīng)當包括載體名稱、編號、 密級、保密期限等信息。 接收、制作、交付、傳遞、保存、維修、

12、銷毀涉密載體，應(yīng)當遵守 國家相關(guān)保密規(guī)定，履行簽收、登記、審批手續(xù)。 復制本單位產(chǎn)生的涉密載體，應(yīng)當經(jīng)單位相關(guān)部門審批；復制其他 涉密載體，應(yīng)當經(jīng)涉密載體制發(fā)機關(guān)、單位或所在地省、自治區(qū)、直轄 市保密行政管理部門批準。涉密載體復制場所應(yīng)當符合保密要求，采取 可靠的保密措施；不具備復制條件的，應(yīng)當?shù)奖Ｃ苄姓芾聿块T審查批 準的定點單位復制。 機密、秘密級涉密載體應(yīng)當存放在密碼文件柜中，絕密級涉密載體 應(yīng)當存放在密碼保險柜中。存放場所應(yīng)當符合保密要求。 未經(jīng)批準，個人不得私自留存涉密載體和涉密信息資料。確因工作 需要保存的，應(yīng)當建立個人臺帳，內(nèi)容包括載體密級、留存原因、審批 部門或人員、留存

13、期限等內(nèi)容。 攜帶涉密載體外出，應(yīng)當履行審批手續(xù)，采取可靠的保密措施，并 確保涉密載體始終處于攜帶人的有效控制下。 資質(zhì)單位應(yīng)當定期對涉密載體進行清查。需要銷毀的涉密載體應(yīng)當 履行清點、登記、審批手續(xù)，送交保密行政管理部門設(shè)立的銷毀工作機 構(gòu)或者保密行政管理部門指定的單位銷毀；確因工作需要，H行銷毀少 量秘密載體的，應(yīng)當使用符合國家保密標準的銷毀設(shè)備和方法。 信息系統(tǒng)與信息設(shè)備管理 涉密信息系統(tǒng)的規(guī)劃、建設(shè)、使用等應(yīng)當符合國家有關(guān)保密規(guī)定。 涉密信息系統(tǒng)應(yīng)當按照國家保密規(guī)定和標準，制定分級保護方案，采取 身份鑒別、訪問控制、安全審計、邊界安全防護、信息流轉(zhuǎn)控制等安全 保密防護措施。

14、 涉密信息設(shè)備應(yīng)當符合國家保密標準，有密級、編號、責任人標 識，并建立管理臺帳。 涉密計算機、移動存儲介質(zhì)應(yīng)當按照存儲、處理信息的最高密級進 行管理與防護。 涉密信息設(shè)備的使用應(yīng)當符合相關(guān)保密規(guī)定。禁止涉密信息設(shè)備接 入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)；禁止涉密信息設(shè)備接入內(nèi)部非涉密信息 系統(tǒng)；禁止使用非涉密信息設(shè)備和個人設(shè)備存儲、處理涉密信息；禁止 超越計算機、移動存儲介質(zhì)的涉密等級存儲、處理涉密信息；禁止在涉 密計算機和非涉密計算機之間交叉使用移動存儲介質(zhì)；禁止在涉密計算 機與非涉密計算機之間共用打印機、掃描儀等信息設(shè)備。 涉密信息設(shè)備應(yīng)當采取身份鑒別、訪問控制、違規(guī)外聯(lián)監(jiān)控、安全 審計、

15、移動存儲介質(zhì)管控等安全保密措施，并及時升級病毒和惡意代碼 樣本庫，定期進行病毒和惡意代碼查殺。 采購安全保密產(chǎn)品應(yīng)當選用經(jīng)過國家保密行政管理部門授權(quán)機構(gòu)檢 測、符合國家保密標準要求的產(chǎn)品，計算機病毒防護產(chǎn)品應(yīng)當選用公安 機關(guān)批準的國產(chǎn)產(chǎn)品，密碼產(chǎn)品應(yīng)當選用國家密碼管理部門批準的產(chǎn) 品O 涉密信息打印、刻錄等輸出應(yīng)當相對集中、有效控制，并采取相應(yīng) 審計措施。 涉密計算機及辦公H動化設(shè)備應(yīng)當拆除具有無線聯(lián)網(wǎng)功能的硬件模 塊，禁止使用具有無線互聯(lián)功能或配備無線鍵盤、無線鼠標等無線外圍 裝置的信息設(shè)備處理國家秘密。 涉密信息設(shè)備的維修，應(yīng)當在本單位內(nèi)部進行，并指定專人全程監(jiān) 督，嚴禁維修人員

16、讀取或復制涉密信息。確需送外維修的，須拆除涉密 信息存儲部件。涉密存儲介質(zhì)的數(shù)據(jù)恢復應(yīng)當?shù)絿冶Ｃ苄姓芾聿块T 批準的單位進行。 涉密信息設(shè)備改作非涉密信息設(shè)備使用或淘汰處理時，應(yīng)當將涉密 信息存儲部件拆除。淘汰處理涉密存儲介質(zhì)和涉密信息存儲部件，應(yīng)當 按照國家秘密載體銷毀有關(guān)規(guī)定執(zhí)行。 涉密計算機及移動存儲介質(zhì)攜帶外出應(yīng)履行審批手續(xù)，帶出前和帶 回后，均應(yīng)當進行保密檢查。 涉密辦公場所保密管理 資質(zhì)單位的涉密辦公場所應(yīng)當固定在相對獨立的樓層或區(qū)域。 涉密辦公場所應(yīng)當安裝門禁、視頻監(jiān)控、防盜報警等安防系統(tǒng)，實 行封閉式管理。監(jiān)控機房應(yīng)當安排人員值守。 建立視頻監(jiān)控的管理檢查機制，資

17、質(zhì)單位安全保衛(wèi)部門應(yīng)當定期對 視頻監(jiān)控信息進行回看檢查，保密管理辦公室應(yīng)當對執(zhí)行情況進行監(jiān) 督。視頻監(jiān)控信息保存時間不少于3個月。 門禁系統(tǒng)、視頻監(jiān)控系統(tǒng)和防盜報警系統(tǒng)等應(yīng)當定期檢查維護，確 保系統(tǒng)處于有效工作狀態(tài)。 涉密辦公場所應(yīng)當明確允許進入的人員范圍，其他人員進入，應(yīng)當 履行審批、登記手續(xù)，并由接待人員全程陪同。 未經(jīng)批準，不得將具有錄音、錄像、拍照、存儲、通信功能的設(shè)備 帶入涉密辦公場所。 涉密信息系統(tǒng)集成項目管理 資質(zhì)單位應(yīng)當按照資質(zhì)等級、類別承接涉密信息系統(tǒng)集成業(yè)務(wù)。不 得將資質(zhì)證書出借或轉(zhuǎn)讓。不得將承接的涉密信息系統(tǒng)集成業(yè)務(wù)分包或 轉(zhuǎn)包給不具備相應(yīng)資質(zhì)的單位。 資質(zhì)

18、單位與其他單位合作開展涉密信息系統(tǒng)集成業(yè)務(wù)的，合作單位 應(yīng)當具有相應(yīng)涉密信息系統(tǒng)集成資質(zhì)，且應(yīng)當取得委托方書面同意。 資質(zhì)單位承接涉密信息系統(tǒng)集成項目的，應(yīng)當在簽訂合同后，向項 目所在地省、自治區(qū)、直轄市保密行政管理部門備案，接受保密監(jiān)督管 理。涉密信息系統(tǒng)集成項目完成后，資質(zhì)單位應(yīng)當向項目所在地省、自 治區(qū)、直轄市保密行政管理部門書面報告項目建設(shè)情況。 資質(zhì)單位應(yīng)當對涉密信息系統(tǒng)集成項目實行全過程管理，明確崗位 責任，落實各環(huán)節(jié)安全保密措施，確保管理全程可控可查。 資質(zhì)單位應(yīng)當按照涉密信息系統(tǒng)集成項目的密級，對用戶需求文 檔、設(shè)計方案、圖紙、程序編碼等技術(shù)資料和項目合同書、保密協(xié)議、

19、驗收報告等業(yè)務(wù)資料是否屬于國家秘密或者屬于何種密級進行確定。屬 于國家秘密的，應(yīng)當標明密級，登記編號，明確知悉范圍。 涉密信息系統(tǒng)集成項目實施期間，項目負責人對項目的安全保密負 總體責任，應(yīng)當按照工作需要，嚴格控制涉密載體的接觸范圍和涉密信 息的知悉程度。 資質(zhì)單位應(yīng)當對參與涉密信息系統(tǒng)集成項目的管理人員、技術(shù)人員 和工程施工人員進行登記備案，對其分工作出詳細記錄。 涉密信息系統(tǒng)集成項目實施驗收后，資質(zhì)單位應(yīng)當將涉密技術(shù)資料 全部移交委托方，不得私自留存或擅自處理。需要保留的業(yè)務(wù)資料，應(yīng) 當嚴格按照有關(guān)保密規(guī)定進行管理。 涉密信息系統(tǒng)集成項目的設(shè)計方案、研發(fā)成果及有關(guān)建設(shè)情況，資 質(zhì)單

20、位及其工作人員不得擅自以任何形式公開發(fā)表、交流或轉(zhuǎn)讓。 資質(zhì)單位在與境外人員或機構(gòu)進行交流合作時，應(yīng)當嚴格遵守有關(guān) 保密規(guī)定，交流材料不得涉及涉密信息系統(tǒng)集成項目的相關(guān)情況。 資質(zhì)單位利用涉密信息系統(tǒng)集成項目申請專利，應(yīng)當嚴格遵守有關(guān) 保密規(guī)定。 秘密級和機密級的項目，應(yīng)當按照法定程序?qū)徟笊暾埍Ｃ軐＠?符合專利申請條件的，應(yīng)當按照有關(guān)規(guī)定辦理解密手續(xù)；絕密級的項 目，在保密期限內(nèi)不得申請專利或者保密專利。 涉密項目實施現(xiàn)場管理 資質(zhì)單位進入委托方現(xiàn)場進行涉密信息系統(tǒng)集成項目開發(fā)、工程施 工、運行維護等應(yīng)當嚴格執(zhí)行現(xiàn)場工作制度和流程。 從事現(xiàn)場項目開發(fā)、工程施工、運行維護的人員應(yīng)

21、當是資質(zhì)單位確 定的涉密人員。 現(xiàn)場項目開發(fā)、工程施工、運行維護應(yīng)當在委托方的監(jiān)督下進行。 未經(jīng)委托方檢查和書面批準，不得將任何電子設(shè)備帶入涉密項目現(xiàn)場。 資質(zhì)單位應(yīng)當對現(xiàn)場項目開發(fā)、工程施工、運行維護的工作情況進 行詳細記錄并存檔備查。 宣傳報道管理 資質(zhì)單位通過媒體、互聯(lián)網(wǎng)等渠道對外發(fā)布信息，應(yīng)當經(jīng)資質(zhì)單位 相關(guān)部門審查批準。 資質(zhì)單位涉及涉密信息系統(tǒng)集成項目的宣傳報道、展覽、公開發(fā)表 著作和論文等，應(yīng)當經(jīng)委托方批準。 保密檢查 資質(zhì)單位應(yīng)當定期對保密管理制度落實情況、技術(shù)防范措施落實情 況等進行檢查，及時發(fā)現(xiàn)和消除隱患。 保密檢查應(yīng)當進行書面記錄，內(nèi)容包括：檢查時間、

22、檢查人、檢查 對象、檢查事項、存在問題、整改措施及落實情況等。 泄密事件處理 資質(zhì)單位發(fā)生泄密事件，應(yīng)當立即采取補救措施，并在發(fā)現(xiàn)后24 小時內(nèi)書面向所在地保密行政管理部門報告。內(nèi)容包括： (1)所泄露信息的內(nèi)容、密級、數(shù)量及其載體形式； (2)泄密事件的發(fā)現(xiàn)經(jīng)過； (3)泄密事件發(fā)生的時間、地點和經(jīng)過； (4)泄密責任人的基本情況； (5)泄密事件造成或可能造成的危害; （6）已采取或擬采取的補救措施。 資質(zhì)單位應(yīng)當配合保密行政管理部門對泄密事件進行查處，不得隱 瞞情況或包庇當事人。 保密工作考核與獎懲 資質(zhì)單位應(yīng)當將員工遵守保密制度、履行保密職責的情況納入績效 考核內(nèi)

23、容，考核結(jié)果作為發(fā)放保密補貼和評選先進的依據(jù)。 資質(zhì)單位應(yīng)當對嚴格執(zhí)行保密規(guī)章的集體和個人給予表彰獎勵。 資質(zhì)單位應(yīng)當對違反保密法規(guī)制度的有關(guān)責任人給予相應(yīng)處罰；泄 露國家秘密的，應(yīng)當按照有關(guān)規(guī)定作出處理。 保密工作經(jīng)費 保密工作經(jīng)費分為保密管理經(jīng)費和保密專項經(jīng)費。保密管理經(jīng)費用 于單位保密宣傳教育培訓、發(fā)放保密補貼、獎勵保密先進、保密檢查等 日常保密管理工作；專項經(jīng)費用于保密設(shè)施設(shè)備的建設(shè)、配備、維護 等。 甲級資質(zhì)單位保密管理經(jīng)費，年度標準不少于5萬元；乙級資質(zhì)單 位保密管理經(jīng)費，年度標準不少于3萬元。保密管理經(jīng)費應(yīng)當單獨列入 單位年度財務(wù)預(yù)算，?？顚Ｓ?，保證開支。 保密專項經(jīng)費應(yīng)當按實際需要予以保障。 保密工作檔案 資質(zhì)單位應(yīng)當建立保密工作檔案，記錄口常保密工作情況。 保密工作檔案的內(nèi)容應(yīng)當真實、完整，全面反映保密工作情況，并 能夠與相關(guān)工作檔案相互印證。 規(guī)定。 本保密標準未明確涉密事項的保密管理，須嚴格執(zhí)行國家有關(guān)保密