涉密信息系统集成资质有哪些保密标准如何建立
在我们每天接触的客户中有些企业需要申请涉密信息系统集成资质,但是大部分企业都不知道如何申请,特别是怎么按国家保密标准进行体系建设,作为资深的行业专家,小编将平时累积的经验分享给大家,今天主要介绍国家涉密信息系统集成资质保密标准。
2、3.3保密制度3.3.1资质单位应当建立规范、操作性强的保密制度,并根据实际情况及时修订完善。保密制度的具体要求应当体现在单位相关管理制度和业务工作流程中。3.3.2保密制度包括以下主要方面:(1)保密工作机构设置与职责;(2)保密教育培训;(3)涉密人员管理;(4)涉密载体管理;(5)信息系统、信息设备和保密设施设备管理;(6)涉密信息系统集成场所等保密要害部位管理;(7)涉密项目实施现场管理;(8)保密监督检查;(9)保密工作考核与奖惩;(10)泄密事件报告与查处;(11)保密风险评估与管理;(12)资质证书使用与管理。
4、3.5涉密人员管理3.5.1资质单位应当对从事涉密业务的人员进行审查,符合条件的方可将其确定为涉密人员。涉密人员应当通过保密教育培训,并签订保炉慕法埋密承诺书后方能上岗。3.5.2涉密人员应当保守国家秘密,严格遵守各项保密规章制度,并符合以下基本条件:(1)遵纪守法,具有良好的品行,无犯罪记录;(2)资质单位正式职工,并在其他单位无兼职;(3)社会关系清楚,本人及其配偶为中国境内公民。3.5.3涉密人员根据所在岗位涉密情况分为核心、重要、一般三个等级,实行分类管理。涉密等级发生变化时,应当履行审批程序。3.5.4资质单位与涉密人员签订的劳动合同或补充协议,应当包括以下内容:(1)涉密人员的权利与义务;(2)涉密人员应当遵守的保密纪律和有关限制性规定;(3)因履行保密职责导致涉密人员利益受到损害,资质单位给予补偿的规定;(4)涉密人员因违反保密规定而被无条件调离涉密岗位或给予辞退等处罚的规定;(5)因认真履行保密职责,资质单位给予涉密人员奖励的规定;(6)涉密人员应当遵守的其他有关事项。3.5.5资质单位应当将涉密人员基本情况和调整变动情况向所在地省、自治区、直辖市保密行政管理部门备案。3.5.6在岗涉密人员每年参加保密教育与保密知识、技能培训的时间不少于10个学时。3.5.7资质单位应当对在岗涉密人员进行定期考核评价。3.5.8资质单位应当向涉密人员发放保密补贴。3.5.9涉密人员离岗离职须经资质单位保密审查,签订保密承诺书,并按相关保密规定实行脱密期管理。3.5.10涉密人员因私出国(境)的,应当经资质单位同意,出国(境)前应当经过保密教育。擅自出境或逾期不归的,资质单位应当及时报告保密行政管理部门。3.5.11涉密人员泄露国家秘密或严重违反保密规章制度的,应当调离涉密岗位,并追究其法律责任。
6、3.7信蝌怦吩曰息系统与信息设备管理3.7.1涉密信息系统的规划、建设、使用等应当符合国家有关保密规定。涉密信息系统应当按照国家保密规定和标准,制定分级保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转控制等安全保密防护措施。3.7.2涉密信息设备应当符合国家保密标准,有密级、编号、责任人标识,并建立管理台帐。3.7.3涉密计算机、移动存储介质应当按照存储、处理信息的最高密级进行管理与防护。3.7.4涉密信息设备的使用应当符合相关保密规定。禁止涉密信息设备接入互联网及其他公共信息网络;禁止涉密信息设备接入内部非涉密信息系统;禁止使用非涉密信息设备和个人设备存储、处理涉密信息;禁止超越计算机、移动存储介质的涉密等级存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质;禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备。3.7.5涉密信息设备应当采取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质管控等安全保密措施,并及时升级病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。3.7.6采购安全保密产品应当选用经过国家保密行政管理部门授权机构检测、符合国家保密标准要求的产品,计算机病毒防护产品应当选用公安机关批准的国产产品,密码产品应当选用国家密码管理部门批准的产品。3.7.7涉密信息打印、刻录等输出应当相对集中、有效控制,并采取相应审计措施。3.7.8涉密计算机及办公自动化设备应当拆除具有无线联网功能的硬件模块,禁止使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密。3.7.9涉密信息设备的维修,应当在本单位内部进行,并指定专人全程监督,严禁维修人员读取或复制涉密信息。确需送外维修的,须拆除涉密信息存储部件。涉密存储介质的数据恢复应当到国家保密行政管理部门批准的单位进行。3.7.10涉密信息设备改作非涉密信息设备使用或淘汰处理时,应当将涉密信息存储部件拆除。淘汰处理涉密存储介质和涉密信息存储部件,应当按照国家秘密载体销毁有关规定执行。3.7.11涉密计算机及移动存储介质携带外出应履行审批手续,带出前和带回后,均应当进行保密检查。
8、3.9涉密信息系统集成项目管理3.9.1资质单位应当按照资质等级、类别承接涉密信息系统集成业务。不得将资质证书出借或转让。不得将承接的涉密信息系统集成业务分包或转包给不具备相应资质的单位。3.9.2资质单位与其他单位合作开展涉密信息系统集成业务的,合作单位应当具有相应涉密信息系统集成资质,且应当取得委托方书面同意。3.9.3资质单位承接涉密信息系统集成项目的,应当在签订合同后,向项目所在地省、自治区、直辖市保密行政管理部门备案,接受保密监督管理。涉密信息系统集成项目完成后,资质单位应当向项目所在地省、自治区、直辖市保密行政管理部门书面报告项目建设情况。3.9.4资质单位应当对涉密信息系统集成项目实行全过程管理,明确岗位责任,落实各环节安全保密措施,确保管理全程可控可查。3.9.5资质单位应当按照涉密信息系统集成项目的密级,对用户需求文档、设计方案、图纸、程序编码等技术资料和项目合同书、保密协议、验收报告等业务资料是否属于国家秘密或者属于何种密级进行确定。属于国家秘密的,应当标明密级,登记编号,明确知悉范围。3.9.6涉密信息系统集成项目实施期间,项目负责人对项目的安全保密负总体责任,应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。3.9.7资质单位应当对参与涉密信息系统集成项目的管理人员、技术人员和工程施工人员进行登记备案,对其分工作出详细记录。3.9.8涉密信息系统集成项目实施验收后,资质单位应当将涉密技术资料全部移交委托方,不得私自留存或擅自处理。需要保留的业务资料,应当严格按照有关保密规定进行管理。3.9.9涉密信息系统集成项目的设计方案、研发成果及有关建设情况,资质单位及其工作人员不得擅自以任何形式公开发表、交流或转让。3.9.10资质单位在与境外人员或机构进行交流合作时,应当严格遵守有关保密规定,交流材料不得涉及涉密信息系统集成项目的相关情况。3.9.11资质单位利用涉密信息系统集成项目申请专利,应当严格遵守有关保密规定。秘密级和机密级的项目,应当按照法定程序审批后申请保密专利,符合专利申请条件的,应当按照有关规定办理解密手续;绝密级的项目,在保密期限内不得申请专利或者保密专利。
10、3.13泄密事件处理3.13.1资质单位发生泄密事件,应当立即采取补救措施,并在发现后24小时内书面向所在地保密行政管理部门报告。内容包括:(1)所泄露信息的内容、密级、数量及其载体形式;(2)泄密事件的发现经过;(3)泄密事件发生的时间、地点和经过;(4)泄密责任人的基本情况;(5)泄密事件造成或可能造成的危害;(6)已采取或拟采取的补救措施。3.13.2资质单位应当配合保密行政管理部门对泄密事件进行查处,不得隐瞒情况或包庇当事人。3.14保密工作考核与奖惩3.14.1资质单位应当将员工遵守保密制度、履行保密职责的情况纳入绩效考核内容,考核结果作为发放保密补贴和评选先进的依据。3.14.2资质单位应当对严格执行保密规章的集体和个人给予表彰奖励。3.14.3资质单位应当对违反保密法规制度的有关责任人给予相应处罚;泄露国家秘密的,应当按照有关规定作出处理。
