您的当前位置:首页正文

保密管理情况报告

2022-08-05 来源:钮旅网
 保密管理情况报告 一、 保密机构设置

为进一步做好保密安全管理工作,加强对信息安全、保密工作的统一管理,我公司成立保密工作领导小组,下设保密办公室,保密工作领导小组全面负责公司保密工作;保密办公室负责保密工作制度制定、执行、监督、检查,为保密工作执行机构。总经理为保密工作领导小组组长,保密办公室成员包括:主管技术负责人、财务部、人力资源部、 项目管理部、市场部、技术部、行政等涉密岗位的人员。

安全(保密)工作小组成员,负责建立健全、贯彻实施有关安全(保密)管理制度,组织公司安全(保密)教育和知识学习等项工作。定期组织对公司安全(保密)工作的监督、 检查,及时解决安全(保密)工作中存在的问题。 二、 保密制度建设情况

1、 严格遵守各项安全保密管理制度

公司要求各级领导和全体员工严格遵守各项安全(保密)管 理制度与规定,加强信息安全保密工作的防范,严格各项工作的业务流程,认真履行、互相监督,及时发现并消除隐患。加强保密管理。以涉密人员,涉密载体,涉密计算机保密管理为重点,进一步加强保密工作领导,强化保密管理,加强督促检查,狠抓各项保密措施和保密责任制的落实,杜绝重大失泄密事件的发生。

2、 涉密人员管理从事涉密业务服务的人员(包括外聘专家)应当按照有关规定进行安全保密审查,与单位签订安全保密责任书,明确安全保密责任和义务。离开涉密业务咨询服务岗位,应当清退涉密载体,实行脱密期管理。 3、 涉密项目管理 绝密级或机密级项目,应当明确由保密领导小组组长负责保密管理工作,并严格控制知悉范围。

4、 涉密载体管理

为了确保秘密载体的安全,本着严格管理、严密防范、确定安全、方便工作的原则,严格按照要求,加强涉密载体的制作、收发、传送、使用、保存、销毁六大环节的管理,使涉密载体的管理工作步入了规范化轨道。在制作环节上,无论是纸介质载体,还是其他介质载体均统一由制定人员制作,对不需归档的材料及时销毁。在收发和传递环节上,严格履行清点、登记、编号、签发手续,传递时,指派专人负责并采取相应安全保密措施。在使用环节上,严格知悉人员范围,对擅自扩大知悉范围的,严格追究相关人员责任。凡不准记录、录音、录像的,均事先申明,复制载体必须经主管领导批准,并履行登记手续。 在保存上,严格按照国家档案法律法规归档,并指派专人负责,配备必要的保密设备。在销毁上,认真履行审核、清点、登记手续,采取相应不泄密的方法销毁,杜绝将秘密载体当作废品出售。 5、 涉密计算机管理

涉密计算机及其移动存储介质应当集中管理,并建立台账;? 涉密计算机和信息系统应当与国际互联网和其它公共信息网物理隔离; 涉密计算机不得安装任何无线通信设备;

涉密信息系统投入使用前必须经过国家保密部门系统测评和审批; 非涉密计算机和信息系统不得存储和处理涉密信息;

涉密信息远程传输应当按照国家保密部门要求采取密码保护措施;

涉密计算机和信息系统内使用的移动存储介质应当采取绑定或有效的技术控制措施,信息导入和导出应当符合国家有关保密要求;

存储、处理国家秘密的计算机和信息系统应当按照有关法律法规及标准进行技术防护。 实行计算机网络安全防护情况的检查,采取局域网络杀毒软件每星期定期升级杀毒等措

施。坚持“上网信息不涉密、涉密信息不上网”的原则,防止失泄密问题的发生。 6、 涉密通信和办公自动化设备管理

涉密办公自动化设备不得连接互联网或其它公共信息网; ? 不得使用具有无线互联功能的办公自动化设备处理涉密信息; ? 不得使用普通通信设备传递涉密信息; 不得使用普通电话(手机)谈论涉密事项;

不得在涉密场所使用无绳电话。7、 加强档案保密管理

为了加强文件档案的借阅、传阅中的安全保密工作,完善了档案管理制度、严格执行档案的交接制度、销毁、借阅等制度。 8、 认真落实安全(保密)“三级检查”制度

公司安全(保密)工作小组为三级;各部门经理为二级;员工个人为一级。逐级落实安全(保密)工作责任制,将各项安全(保密)管理工作抓细、抓实。 三、 涉密人员审查及教育管理情况 1、 严格执行涉密人员审查 公司加强所有涉密人员的管理,严格审查涉密人员本人及亲属有无犯罪记录,有记录的不得纳入涉密工作人员,经查公司目前涉密工作人员均符合要求。 2、 加强公司保密宣传教育的管理

使公司的保密宣传教育工作制度化、经常化、规范化,提高全体员工保密意识,根据《中华人民共和国保守国家秘密法》及其《实施办法》和相关规定,进一步加强日常对员工的多种形式的保密培训工作,尤其是强化新员工入职培训。 3、 明确保密宣传培训工作职责划分

公司保密小组对公司保密宣传教育工作进行领导、指导和协调,指导制定公司保密宣传教育计划;组织和安排全公司性的保密宣传教育活动、公司涉密人员的年度保密培训。为公司其它保密宣传教育活动提供资料、教材、教学及咨询等保障。4、 加强各业务保密工作的管理

加强各部门业务保密管理意识,凡是涉及秘密的项目,主动与客户签订《保密协议》。 5、 加强员工保密日常培训,提高保密意识

保密宣传教育是增强保密意识,提高保密技能的重要途径。接受保密宣传教育,努力提高保密意识和保密技能是公司员工必须履行的法律义务。保密宣传教育是公司保密工作的一项基础性、长期性的工作,定期对所有员工培训保密知识,主要内容包括:

国家的保密法律、法规和保密工作部门的有关规定; ? 公司各项保密工作规章制度; 保密工作和保密管理的基本知识; 保密技术防范知识以及措施;

计算机信息系统安全保密知识和防范措施;

公司涉密项目实施与流程和保密知识与防范措施; 6、 严格履行员工离职手续

进一步细化员工离职的交接程序,尤其是涉密员工离职,进一步严格劳动合同的管理。 四、 保密要害部位管理

1、职能部门邮箱加密。公司财务部、人力资源部、项目管理部等涉密职能部门邮箱全部加密码,避免通过邮件泄密。 2、人力资源部:

所有人事档案入柜,封存,由专人保管;? 与新、老员工签订《保密协议》。未经批准,员工不得向外界传播或提供有关公司的一切有关文件及资料,也不得交给 无关人员,否则应赔偿公司因此而遭受的一切经济损失。必 要时,追究其法律责任。保密条款不因《劳动合同书》的终

止而失效。

严格加强对离职人员的交接流程的管理,细化员工离职的交接程序,规定交接时间。 3、项目管理部:

涉密项目与用户签订保密协议。

涉密项目文档均采用纸质或其他介质,不得通过网络发送,电子版本采用pdf 格式,并设置开启密码。

严格项目资料归档、借阅审批手续。 合同设专人管理。 4、业务技术部门:有关保密的电子资料都由部门经理或项目负责人保管或存放,并加锁。 5、办公室:

设置档案管理专人保管和借阅审批制度。

加强办公区域的安全防盗管理,涉密项目资料设单独文件柜保存,文件柜加锁。 为保障公司服务器的安全,未经公司计算机系统维护员同意,不得私自操作服务器。 五、 保密设备配备及设施建设公司对涉密项目配备专用计算机及打印机,计算机没有与互联网连接,配置专用电源插座,并设置专门办公区域,资料均存放在涉密资料文件柜: 公司目前配备的保密设备如下: (表格)

六、 涉密载体使用管理

公司针对涉密项目专门制定涉密载体管理办法,内容如下:

第一条涉密文件、资料的收发和内部传递、传阅,必须登记编号并与非涉密文件、资料分类登记。交接时必须履行签字手续。

第二条涉密文件、资料和档案资料的学习传达、查、借、阅,严格控制知情人员范围。知情人员范围由公司保密负责人确定。

第三条涉密项目工作人员不得借工作之便将涉密载体随意带出。 因公外出人员不准随身携带涉密载体。如遇特殊情况必须随身携带时,事先必须经公司保密负责人及主管领导批准,办理登记手续。

携带涉密载体时,必须装在文件包或密码文件箱内,并乘坐有安全保障的交通工具。严禁在无保密措施的情况下,随身携带涉密载体外出。不得携带载体出入公共场所、游览参观、探亲、访友。

第四条涉密载体集中统一管理并建立归档、借阅和登记制度。 借阅涉密载体需经本公司主管领导审批。 批准后只限在本人查阅。未经批准不得借阅。查阅涉密载体必须在涉密区域及使用涉密计算机,不得擅自带回家中,不许使用非涉密计算机查阅,不得将文件、资料随意转借他人。第五条涉密载体的归档,要严格按公司制定的保密管理办法规定分类立卷、装订成册。与非涉密案卷分柜保管,存放在有安全保障的保险装置中。 第六条涉密资料及载体的复制应按下列规定办理: 1、涉密项目资料未经批准不得随意复印。

2、确因工作需要复印涉密档案资料,必须经公司保密负责人同意并办理登记手续。 3、涉密内容的存储媒体、光盘等档案资料未经公司保密负责人许可,任何人不得复制、翻印。

第七条涉密资料及载体移交、销毁工作,必须在公司保密负责人的监督、指导下严格管理。 七、 涉密信息系统集成业务流程管理情况

系统定级—→方案设计—→项目预评测—→项目招投标(报财政局项目采购立项、跟财政局协商招标方式、确定招标机构、编制招标文件、招标)—→工程实施—→系统测评—→系统审批—→日常管理—→测试与检查—→系统废止。

关键环节是:项目招投标过程:一般流程是报财政局进行采购项目立项、跟财政局协商招标方式、确定招标机构、编制招标文件、招标,重点控制项目招标的细节要求,特别是招标文件中的设备参数要求及评标办法的确定,这两部分是项目成功的关键,在这个环节每有一个变化我们都要及时沟通。 1.1 分级保护整体工作流程

系统定级—→方案设计—→工程实施—→系统测评—→系统审批—→日常管理—→测试与检查—→系统废止。 1.2 实施过程概述

下面对整个过程做简单的概述。 1.2.1 系统定级 依据《保密法》密级范围的规定,本单位、各部门组织开展对所属信息系统摸底调查工作。按照涉密信息系统所处理信息的最高密级,由低到高划分为秘密、机密和绝密三个等级。

识别信息系统

调查信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责、系统管理、使用、运维的责任部门确定业务流、数据流。 明确系统定级

依据业务流所产生信息明确最高密级。 确定系统保护级别

根据本单位信息的最高密级,依据bmb-17确定系统的保护等级。并整理定级资料上报保密部门审批

1.2.2 方案设计 选择建设方

选择具备国家涉密资质的建设方设计信息系统安全保障体系。 系统风险评估

在体系规划前根据方案设计要素制定详细调研、评估实施计划,识别用户系统存在的脆弱性、风险。

确定保护要求

根据可识别风险结合客户实际需求,确定最终保护要求。 规划设计方案

结合风险评估数据和客户保护需求,并依据分级保护方案设计指南(bmb-23)规划设计信息系统安全保障体系。 设计方案论证

上报信息系统安全保障体系详细设计方案到保密部门,并组织评审专家做一次论证。 1.2.3 工程实施 制定保密制度

项目实施前根据工程具体情况制定涉密管理制度,严格对人员、设备、计划实行保密控制。? 选择项目监理

项目实施前选择具有单项监理资质的单位对工程保密、质量、进度、成本进行控制。 选择产品集成

项目实施中产品集成方应具有涉密资质,所有选购的安全产品应符合保密要求。 1.2.4 系统测评 提交保密测评申请

工程实施结束后向保密部门提出系统测评申请,由国家保密部门授权的系统测评机构组织

对涉密信息系统进行安全性测评,为一次测评为系统最终审批提供依据。 提交系统测评资料

根据国家保密部门授权的系统测评机构要求提供所有测评必要的资料。 1.2.5 系统审批

提交运行前审批申请

涉密信息系统在上线运行前需要向保密部门提出系统运行审批申请,并组织最终审批结论专家做论证。

提交系统审批资料

根据国家保密部门所属审批单位范围向授权的系统测评机构要求提供所有审批必要的资料。

1.2.6 日常管理

制定安全保密管理制度

涉密信息系统上线运行后,根据分级保护管理规范制定管理策略、组建管理机构,设置专职保密管理人员并监督制定的执行。

定期风险自查涉密信息系统上线运行后,根据使用单位具体情况进行定期或不定期风险自评估工作,及时对系统运行、技术、管理新出现的安全威胁制定安全策略与补充措施,并严格管理评估数据。

动态调整安全防护技术 涉密信息系统上线运行后,根据使用单位系统更新情况与风险自评估数据及时发现存在的风险,并动态调整安全策略适时补充完善技术、管理的措施。 1.2.7 测评与检查

涉密信息系统保密测评与检查 涉密信息系统上线运行后,根据国家保密部门要求秘密、机密级信息系统每两年进行一次安全保密检查,绝密级信息系统每一年进行一次安全保密检查。

信息系统环境或应用发生重大改变时,重新上报设计方案进行论证,并重新保密测评,检测系统的安全保密措施的有效性和环境变化的适应性,发现隐患及时采取相应的补充保护措施。

1.2.8 系统废止

提交系统废止备案申请

涉密信息系统不再使用时,使用单位向保密工作部门提交系统废止申请备案。 ? 退密处理设备、产品

依据保密规定对涉密设备、产品妥善退密处理。 ? 销毁涉密介质

对报废处理的涉密介质采用保密局统一规定使用的销毁软件工具,确保泄密事件不发生。 1.3 分级保护各相关方的职责划分

1.4 用户分级保护的实施要求

1.5 主管部门的管理手段

1.6 分级保护对厂商和产品的资质管理

因篇幅问题不能全部显示,请点此查看更多更全内容