保密组织机构设置.docx
《保密组织机构设置.docx》由会员分享,可在线阅读,更多相关《保密组织机构设置.docx(27页珍藏版)》请在冰点文库上搜索。
保密组织机构设置
保密组织机构设置
一、保密组织机构设置
保密组织机构设置图
1、保密委员会主任为公司董事长,委员由公司职能部门和技术部门等研发部门的负责人担任。
2、保密委员会下设保密办公室,保密办公室下设保密小组和定密小组。
3、保密办公室设在公司,并设有专职保密工作人员,在公司保密委员会领导下,负责全公司的日常保密工作。
4、保密小组,成员由技术部经理及技术部门的涉密骨干组成。
5、定密小组,成员由保密办主任、保密办副主任及相关部门负责人组成。
二、职责
1、保密委员会
1.1组织领导全公司各部门贯彻执行党和国家有关保密工作的方针政策、法律法规,监督检查有关保密法律法规和我公司保密规章制度的执行落实情况。
1.2审批我公司各种保密规章制度、实施计划措施。
1.3审批确定保密要害部位、涉密事项及涉密岗位的密级、涉密人员等。
1.4确定保密公室职责和成员组成,并对保密办公室的工作进行指导和监
督。
1.5坚持保密委员会例会制度,及时研究、解决保密工作中的重要问题,研究、部署、总结年度保密工作。
1.6组织推广保密工作先进经验,表彰、奖励我公司的保密先进集体和个人。
1.7组织查处失、泄密事件,并督促检查采取补救措施的情况。
1.8完成上级保密部门交办的各项工作。
2、保密办公室
2.1在公司保密委员会的领导下,组织对我公司各部门的保密工作进行管理、指导和监督检查,每年进行两次保密工作大检查,并把检查结果《保密检查情况通报》向公司保密委员会报告和向全公司进行通报。
2.2依据国家和上级保密法律法规,负责组织修订、完善我公司保密管理制度、实施办法和专项保密工作方案。
2.3负责向公司保密委员会提出改进保密工作的意见和措施组织协调各方面的保密工作,具体落实公司保密委员会的工作决策和部署。
2.4配合保密委员会组织对涉密人员进行保密教育和培训。
2.5对全公司重大涉密活动和涉外保密工作进行管理和监督。
2.6负责全公司涉密计算机信息系统的安全保密工作。
2.7组织、指导定密、变更密级及解密工作。
2.8监督检查对外交流和宣传等方面的保密审查。
2.9对国家秘密事项及其载体和知悉范围的确定进行指导和监督。
2.10组织、制定保密技术防范措施,对保密要害部位的保密防范措施和设施设备组织实施保密检查。
2.11组织推广保密工作先进经验,组织评选我公司的保密先进集体和个人。
2.12组织查处失、泄密事件,制止、纠正、查处有关保密违法、违纪行为,
并组织采取补救措施。
2.13完成上级保密部门和公司保密委员会交办的其它工作。
3、保密技术小组
3.1监督检查研发与生产过程中的保密工作落实情况,制止和纠正日常工作中
有关保密违纪违法行为。
3.2依据国家相关法律法规,对研发与生产过程中的保密工作落实情况提出建
议。
4、定密小组
4.1依据国家相关法律、法规要求,确定我公司密级项目界定范围。
4.2负责审定我公司产生的秘密事项密级的确定、变更和解密工作。
4.3依据我公司各个岗位承担涉密任务的涉密层次、涉密幅度、涉密等级、涉
密数量和涉密时效等,对涉密岗位及进入涉密岗位的人员的涉密等级、涉密时限作出界定。
4.4依据情况变化,及时调整、变更涉密岗位和涉密人员的涉密等级、涉密时限。
5、公司领导
5.1董事长对我公司保密工作负全面领导责任,确保国家有关部门保密工作的方针政策、法律法规在我公司的贯彻执行。
为我公司贯彻实施保密工作提供人力、物力和财力的保障。
5.2分管保密工作的公司领导对我公司保密工作负组织领导责任。
对我公司保密工作进行研究、部署和总结,确保保密管理制度的组织实施。
及时组织研究解决保密工作的重要问题。
保证我公司保密工作管理机构及其工作人员切实履行职责。
5.3分管其他业务的公司领导对分管业务工作范围内的保密工作负主要领导责任。
熟悉分管业务工作中的保密工怍情况<包括清楚分管业务工作中的保密工作重点,清楚分管业务工作中的国家秘密事项情况,掌握分管业务工作中涉密人员的基本情况等>。
保证保密工作与业务工作同计划、同部署、同检查、同总结、同奖惩。
在重大涉密活动中,要求保密办公室进行保密管理和监督。
自觉接受保密监督,模范遵守我公司保密管理制度。
5.4各部门负责人对本部门工作范围内的保密工作负领导责任。
负责监督检查保密法律法规、保密制度在本部门的实施执行情况。
做好本部门密件、密品和涉密场所的保密、安全、防范工作。
解决本部门在日常工作中遇到的保密问题,制止和纠正本部门有关保密违纪、违法行为。
实施对本部门保密工作的管理和检查。
对本部门员工进行经常性保密教育和保密提醒。
对本部门产生的涉密事项的密级<确定、变更和解除>、涉密岗位、涉密人员及其涉密等级、涉密时限进行初步拟定。
及时向保密办公室通报本部门保密工作情况。
5.5专职保密工作人员负责全公司的日常保密管理工作,对全公司的保密工作进行指导、协调、监督和检查。
协助上级保密机关和公司保密办公室查处失、泄密事件,制止、纠正、查处有关保密违法、违纪行为。
建立保密工作档案,如实记载保密委员会工作情况和各成员履行职责情况以及全公司保密制度的实施情况。
完成上级保密部门、公司保密委员会和保密办公室交办的其他工作。
5.6兼职保密工作人员关心全公司的日常保密管理工作,对相应范围的保密工作进行配合、协调、监督和检查。
协助上级部门和公司保密办公室查处失、泄密事件,制止、纠正、查处有关保密违法、违纪行为。
做好相关工作的密件、密品和涉密场所的公司的保密、安全、防范工作。
协助解决本部门在日常工作中遇到的保密问题。
保密制度
为进一步加强保密实验室涉密设备保密管理工作,杜绝泄密隐患,确保相关秘密的安全,根据《中华人民XX国保守国家秘密法》,结合保密办公室工作实际情况,制定本制度。
第一条
本保密办公室负责设备统一建设和管理,维护网络正常运转,其他使用人不得擅自在实验室设备上安装或卸载其他设备。
计算机操作人员必须遵守国家有关法律,任何人不得利用计算机从事违法活动。
第二条
国家秘密信息不得在与国际互联网联网<外网>的计算机中存储、处理、
传递。
涉密的网必须与国际互联网〔外网物理隔离。
第三条
涉密计算机信息系统的保密管理制度:
1、涉密计算机信息系统,配置合格的保密专用设备,采取物理隔离、身份认证、系统访问控制、数据保护等技术措施。
2、涉密计算机信息系统严禁与公众网相连,必须实行物理隔离。
3、涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。
涉密信息应有相应的密级标识,密级标识不能与正文分离。
4、涉密信息处理场所的物理安全应符合国家有关保密标准。
5、涉密的计算机信息在打印输出时,打印出的文件应当按照相应密级文件管理,打印过程中产生的残、次、废页应当及时销毁。
6、发现计算机系统泄密后,应及时采取补救措施,并在规定时限内向有关部门报告。
7、凡涉及国家秘密信息的计算机设备的维修,应保证储存的国家秘密信息不被泄露。
并到指定的维修点进行维修,技术人员在现场负责监督。
第四条非涉密计算机信息系统的保密管理制度:
1、信息的保密管理坚持"谁上网谁负责"和"上网信息不涉密、涉密信息不上网"的原则,向网站提供或发布信息必须经过保密审查。
网站工作人员在信息上网前还应作最后的保密审查,如有疑问,应及时退回重审。
2、禁在非涉密计算机上存储、处理、传输、输出涉密信息和内部信息。
3、禁在网上电子公告系统、聊天室、网络新闻等上发布、谈论和传播国家秘密信息。
4、不得利用电子函件传递、转发或抄送国家秘密信息。
第五条相关人员调离时应将有关材料、档案、软件移交给其它工作人员,调离后要对需要保密的内容严格保密。
第六条工作人员不按规定管理和使用涉密和非涉密计算机造成泄密事件的,将依法依规追究责任,构成犯罪的将移送司法机关处理。
第七条本规定由保密办公室负责解释,自印发之日起施行。
涉密人员保密管理制度
一、涉密人员审查
1.工作人员进入涉密岗位前,必须进行涉密资格审查。
未取得涉密资格,不得从事涉密岗位工作,不得接触国家秘密。
保密工作领导小组会同人事部门等对涉密人员的涉密资格进行审查,
填写《涉密人员审查表》。
3.对涉密人员要经常进行保密教育和必要的保密培训。
保证涉密人员知悉其必须承担的保密义务和责任,以及应当享有的权利;熟悉基本的保密法规制度;掌握与其工作相关的保密知识和技能。
4.各级领导和保密工作管理部门要对涉密人员履行保密义务和责任的情况,进行有效的监督和管理。
5.涉密人员要严格履行保密责任书中确定的责任和义务。
对涉密人员履行职责情况进行定期考核。
考核不合格的涉密人员应调离涉密岗位。
6.涉密人员实行脱密期制度。
涉密人员脱密期期限根据涉密程度确定,一般为六个月至三年。
涉密人员脱离涉密岗位时,应主动清退期保管和使用的秘密载体。
7.对申请辞职的涉密人员,要征求保密工作领导小组的意见。
8.涉密人员请假逾期不归,单位保密部门应采取相应措施进行处理。
保密要害部位管理
1、计算机管理小组职责
1负责对计算机和信息系统进行技术管理;
2会同保密办对通信和办公自动化设备进行安全管理;
3配合保密办进行各项日常保密监督检查。
2.5公司负责人保密工作职责
1对本公司保密工作负全面领导责任;
2保证党和国家有关保密工作方针、政策以及有关保密法律法规在本公司的贯彻执行;
3保证《武器装备科研生产单位保密资格标准》在本公司的贯彻实施;
4定期听取保密工作汇报,掌握保密工作整体情况;
5对重要保密工作事项提出明确要求并进行督促检查,采取有效措施解决保密工作中的突出问题;
6年度内对领导责任制落实情况进行监督考核;
7为保密工作提供人力、物力、财力的保障;
2.6分管保密工作负责人〔保密委员会主任保密工作职责
1对本公司保密工作负具体领导责任;
2定期听取保密工作汇报,掌握保密工作全面情况;
3及时研究和部署保密工作;
4对保密工作做出批示并提出明确意见和要求;
5对保密工作落实情况进行监督检查;
6年度内对公司负责人保密工作情况进行检查;
7为保密工作机构履行职责、开展保密工作提供保障。
2.7其他负责人保密工作职责
1对分管工作范围内的保密工作负直接领导责任;
2结合分管工作实际情况对保密工作进行研究和部署,并提出具体要求和措施;
3为保密管理与科研生产管理的结合提供保障;
4保证保密管理措施在科研生产活动中的实施;
5对分管业务工作范围内的保密工作落实情况进行监督检查。
2.8保密办公室主任保密工作职责
1贯彻执行公司保密管理制度,对保密办公室工作负责;
2在保密委员会领导下,开展日常保密工作;
3制定保密工作计划并组织实施;
4指导保密员、计算机管理"三员"及涉密人员开展保密工作;
5负责员工保密教育,执行保密工作奖惩制度。
2.9涉密部门负责人或项目负责人职责
1直接负责并掌握本部门或本项目的保密工作情况;
2采取具体措施组织落实公司保密工作部署;
3对保密措施落实情况进行监督检查;
4遵守公司保密管理制度,切实履行保密职责。
2.10保密员职责
1在公司保密委员会及保密办领导下负责开展分管的日常保密工作;
2对各部门保密工作进行指导、监督和检查;
3对涉密人员、涉密载体、非密化处理依规定进行界定和管理;
4对涉密计算机、通信及办公自动化设备相关保密工作进行监督和管理;
5负责日常保密信息、保密档案的收集、管理和涉密载体的管理;
6对保密工作中需要改进的事项向保密委员会及保密办提出建议;
7具体落实保密委员会及保密办分工及布置的工作;
8完成领导交办的其他保密工作任务。
2.11计算机系统管理员职责
1负责公司计算机系统的日常运行维护和管理工作;
2负责计算机防病毒和恶意代码查杀,及时安装操作系统、数据库和应用系统的补丁程序;
3负责公司涉密计算机的口令密码设置〔每15天更换1次,8位复杂密码密码记录本应锁在密码文件柜内;
4负责用户帐号管理以及安全保密设备和系统所产生的日志管理;
5负责公司涉密和非涉密存储介质和载体的保密管理工作;
6对非涉密信息系统的信息发布进行监督管理;
7对过程文件资料及保密工作档案进行管理,并定期对重要信息进行备份。
2.12计算机安全保密管理员职责
1对计算机设备、设施和计算机系统进行安全防护,确保正常运行,定期对操作系统进行升级;
2定期对计算机防病毒软件进行升级〔内网和涉密计算机均为15
天升级一次;
3负责计算机密钥的设置和周期更换〔内网、上网机一月更换一次,涉密计算机15天更换一次;
4负责检查涉密计算机的物理隔离措施;
5负责检查非涉密计算机是否存储涉密信息;
6负责涉密计算机、非涉密计算机、移动硬盘及存储介质定期的保密安全检查;
7负责便携式计算机、移动硬盘及存储介质的保密安全检查;
8对涉密存储介质的保密管理
9定期参加上级保密管理机构的计算机安全员培训,并对本单位计算机工作人员进行安全保密知识教育。
2.14涉密人员职责
1贯彻执行党和国家有关保密工作的方针政策和法律条款;
2依据保密标准结合本职岗位的保密要求开展保密工作;
3履行保密义务和责任,自觉遵守涉密人员管理规定;
4定期〔1个月按要求进行保密自查;
5因私出国〔境应报告并履行审批手续;
6离岗、辞职应履行保密承诺及执行脱密期管理规定。
2.15机要室管理职责
1遵守公司管理制度,执行公司保密规定;
2未经同意,无关人员不得进入机要室;
3进出机要室必须登记签字;
4外来人员因工作需要进出机要室,需工作人员全程陪同;
5涉密信息的处理及输入、输出、存储必须按规定操作;
6做好涉密载体及存储介质的借用、保管工作;
7做好涉密信息的非密化处理工作;
8收集、管理公司保密档案,做好台账记录。
2.16文印室管理职责
1遵守公司管理制度,执行公司保密规定;
2未经同意,无关人员不得进入文印室;
3打印、复印、传真、上网查询、信息下载,应做好登记及审查;
4按要求做好传真及互联网信息收发工作;
5文印室禁止处理涉密信息;
6信息交换需按规定操作。
2.17员工保密守则
1不该说的不说;
2不该知道的不问;
3不该看的不看;
4不在私人信息往来中涉及秘密;
5不在非保密场所谈论秘密;
6不私自录制、复印、打印、拷贝、拍摄、摘抄、收藏秘密;
7不向无关人员泄露秘密;
8不带秘密载体游览公共场所或探亲访友;
9不在普通电话、手机、传真机、邮件、快递中涉及秘密;
10不将工作带回家,不在家用计算机中处理工作信息。
保密设备配备及设施建设制度
第一章总则 ......................................................................................................14
第二章
计算机及计算机系统保密 ................................................................... 14
一、机房安全要求................................................................................ 15
二、访问控 ............................................................................................15
三、数据加密 ...............................................................................17
四、磁盘加密...................................................................................... 18
五、微机的安全保密........................................................................ 19
六、Windows NT操作系统的安全保密............................................ 19
七、办公自动化系统和管理信息系统软件的安全保密....................... 19
第三章
计算机网络安全与保密 ........................................................20
一、网络边界的安全保密............................................................... 20
二、网络内部的安全保密控制和防范........................................ 22
第四章
计算机信息传输的保密................................................................ 23
一、计算机拨号进入Internet网或其它公共网时信息传输的保密. 23
二、局域网信息传输的保密........................................................24
三、广域网信息传输的保密................................................... 25
四、密钥的管理...................................................................... 25
第五章
管理制度保障............................................................................... 26
一、法律制度规范:
..................................................................... 26
二、管理制度的约束:
............................................................... 27
三、道德规范及宣传教育:
................................................... 27
第一章总则
为贯彻《中共中央关于加强新形势下保密工作的决定》,加强计算机涉密信息系统的保密管理,配合《涉密信息系统保密管理暂行规定》的实施而制定本规范。
本实施规范适用范围包括:
市直党政机关单位及各区、县级市党政机关单位管理的用于办公自动化或信息交换的计算机涉密信息系统。
本实施规范只适用于《涉密信息系统保密管理暂行规定》中的D级〔工作秘密级、C级〔国家秘密级和B级〔国家机密级,不适用于A级〔国家绝密级。
本实施规范中涉及的安全加密系统设备,必须是经过中央机要局或国家保密局认可的国产非纯软件加密系统设备,所采用的加密措施应有国家密码委员会或中央办公厅机要局的批件,并与所保护的涉密信息密级相符。
第二章
计算机及计算机系统保密
计算机及计算机系统的保密主要是指存放于磁盘上的文件、数据库等数据传输和存储的保密措施,应用于这方面的技术主要有访问控制、数据加密等。
加密系统有数据加解密卡、数据加密机、数据采编加密系统、抗辐射干扰器、电子印章系统等。
一、机房安全要求
计算机机房的安全是计算机实体安全的一个重要组成部分。
计算机机房应
该符合国家标准和国家有关规定。
其中,D级信息系统机房应符合GB9361-88
的B类机房要求;B级和C级信息系统机房应符合GB9361-88的A类机房要求。
二、访问控制
访问控制是指防止对计算机及计算机系统非授权访问和存取。
对计算机及
计算机系统访问进行控制主要采用两种方式实现:
一种是限制访问系统的人员;
另一种是限制进入系统的用户所能做的操作。
前一种主要通过用户标识与验证来实现,而后一种则依靠存取控制来实现。
〔一用户标识与验证
用户标识与验证是访问控制的基础,是对用户身份的合法性验证。
对于所
有涉密信息系统,必须采用利用口令字〔又称通行字的比较对用户进行身份识别与验证的方法。
涉密计算机系统口令的使用和管理应符合中共中央保密委员会办公室和国家保密局联合发布的《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》〔中保办发[1998]6号第十七条规定的要求。
其中,对于B级和C级涉密信息,其口令字应实行加密传输,口令文件应加密存储。
同时,应视涉密信息系统的安全保密需求和条件,至少采用以下之一方法进行识别与验证:
1.基于人的物理特征的识别。
包括:
签名识别法、指纹识别法、语音识别
法。
2.基于用户所拥有特殊安全物品的识别〔即:
标志凭证识别。
包括:
智
能IC卡识别法、磁条卡识别法。
〔二存取控制
存取控制是对所有的直接存取活动通过授权进行控制以保证计算机系统安
全保密机制,是对处理状态下的信息进行保护。
涉密计算机系统必须采取以下之一进行存取控制:
1.隔离技术法
隔离技术即在电子数据处理成分的周围建立屏障,以便在该环境中实施存
取规则。
隔离技术的主要实现方式包括:
〔1物理隔离方式:
各过程使用不同的物理目标,比如用不同的打印机输出不同安全级别的数据;
〔2时间隔离方式:
具有不同安全性要求的处理在不同的时间被执行;
〔3逻辑隔离方式:
操作系统限制程序的访问,不允许程序访问其授权区
域之外的目标;
〔4密码技术隔离方式:
对数据处理及计算活动进行加密,使其它用户访问不能理解。
2.限制权限法
限制特权以便有效地限制进入系统的用户所进行的操作,具体措施包括:
〔1对用户进行分类,把所有拥有指定安全密级授权的用户分在相同类别;
〔2正确设置目录的访问控制权限;
〔3正确设置文件的访问控制权限;
〔4放在临时目录或通信缓冲区的文件要加密,并尽快移走。
〔三系统安全监控
涉密系统必须建立一套安全监控系统,全面监控系统的活动,并随时检查
系统的使用情况,一旦有非法入侵者进入系统,能及时发现并采取相应措施,确定和堵塞安全及保密的漏洞。
利用日志和审计功能对系统进行安全监控,涉密系统应建立完善的审计系统和日志管理系统,除此之外,还应经常了解和检查以下情况:
1.监控当前正在进行的进程,正在登录的用户情况;
2.检查文件的所有者、授权、修改日期情况和文件的特定访问控制属性;
3.检查系统命令安全配置文件、口令文件、核心启动运行文件、任何可执
行文件的修改情况;
4.检查用户登录的历史记录和超级用户登录的记录。
特别要注意由于人为因素对计算机系统的安全和保密的影响,避免诸如失效的系统控制、不适当的人事管理和不合理的管理制度等使计算机系统受到恶意的攻击或造成保密信息泄漏。
三、数据加密
数据加密是指将计算机及计算机系统中数据〔即信息的表达形式转换成
不可读的形式,并在必要时再转换回来〔即解密以保证只有获授权者才能读取该数据。
它包括文件信息和数据库数据的加密以及存放保密数据的介质的加密。
〔一文件信息的加密
文件加密主要是防止非法窃取或调用。
文件加密一般应采用以下两种方式:
1.文件加密,即对文件的代码或数据本身进行的数据源加密。
B级和C
级涉密文件信息应采用这种加密方式。
2.文件名加密,也就是利用文件