保密管理情况报告
内蒙古派德电子信息技术有限公司
2018年05月
自2017年10月15日我公司决定申请涉密信息系统集成资质以来,我公司认真阅读了解了《保密法》、《涉密信息系统集成资质管理办法》等有关保密法律法规,学习保密工作有关的知识。知悉从事涉密信息系统集成业务应当承担的保密责任和业务。
公司成立于2001年,注册资金1000万元,是一家专业以信息化工程为主的高科技民营企业,始终坚持发扬“诚信、创新、沟通”为企业宗旨,以“技术、服务”为立业之本的团体精神,并形成一套完整的设计、安装、调试、培训、维护一站式服务体系。
其服务内容包括:信息系统基础设施建设,智能化系统建设,软件开发及咨询,信息系统集成业务,信息系统咨询规划,运行维护,网络信息安全服务,安全技术防范工程设计,施工及维修,办公设备销售,机电安装工程,防雷工程,同时公司为所有承建项目建立维护档案,成立专业运维服务部,推行快速响应机制,确保在第一时间解决客户的后顾之忧。
公司拥有一支朝气蓬勃技术全面的团队,汇聚了一批优秀的软硬件、工程设计、技术服务等专业领域的技术骨干,拥有工程技术专家、高级工程师、系统集成高级项目经理、项目经理、建造师、信息高级安全工程师,本科以上学历的员工占公司总人数的95%以上。
2001年自成立以来,公司先后获得电子与智能化专业承包贰级资质、安防企业壹级、ISO9001质量管理体系认证、职业健康管理认证、环境安全管理认证、软件著作权等资质。据此公司根据自身制定未来的战略规划:力争在呼和浩特信息化、智能化、工业自动化行业创第一品牌。
我公司领导层高度重视涉密信息系统集成资质申请相关的工作,为了更好的做好保密工作。公司成立了由系统集成部、安全事业部、弱电事业部、安防事业部等部门组成保密委员会,即保密领导小组。由公司法人苏日夫担任组长,总经理万长林同志担任副组长,下设办公室,办公室主任由公司副总经理袁立中同志担任,明确了专(兼)职保密员为软件部经理王玮同志,由他负责日常保密管理相关的工作。
我公司制定了相关的保密管理制度,有保密教育培训制度、涉密人员管理制度、涉密载体管理制度、涉密信息系统集成场所保密管理规定、涉密项目实施现场管理工作制度、保密监督检查制度、保密奖惩制度、资质证书的使用和管理、档案管理制度、保密工作经费管理制度、保密风险评估管理制度、保密内部控制监督管理制度等相关保密制度。并加强制度的落实,定期组织人员对制度进行学习,同时进行闭卷或半开卷考试。确保涉密人员深入了解相关的保密制度。
我公司根据实际需要,明确了涉密人员为50人,其中,
重要涉密人员8人,一般涉密人员42人。同时加强了人员招聘、录用、在岗、离岗等各环节的教育管理和培训,并制度了相关的制度,与涉密人员签订劳动补充合同和保密协议,每年组织开展培训3次,如:宣贯《中华人民共和国保守国家秘密法》、《涉密信息系统集成资质管理办法》、《公司基本保密管理制度》等相关内容的培训。并加强了对离岗人员的脱密管理,与其签订保密承诺书。同时展开对保密组织机构设置、保密制度建设、涉密人员审查及教育管理、保密要害部位管理、保密设备配置及设施建设、涉密载体使用管理、涉密信息系统集成业务流程管理情况等保密工作进行全面的自查。基本情况如下:
一、保密组织机构设置情况
我公司设有保密工作领导小组,组长由法定代表苏日夫担任,副组长由公司总经理万长林同志担任,成员由相关涉密部门负责人组成。保密工作领导小组下设保密管理办公室,由公司副总经理袁立中兼任办公室主任,同时确定软件部经理王玮同志负责保密方面的具体事务。保密工作领导小组明确了组长和成员的分工和职责,也规定了保密管理办公室的具体工作。
二、保密制度建设情况
公司组织有关人员编制了专项保密制度,规定了相关领域的管理实施办法。
主要制度如下:
1、保密教育培训制度;
2、涉密人员管理制度;
3、涉密载体管理制度;
4、物理环境与设施管理规定;
5、信息系统、信息设备和安全保密防护设备设施管理规定;
6、涉密信息系统集成场所保密管理规定;
7、涉密信息系统与其他信息系统数据交换保密管理规定
8、涉密项目实施现场管理工作制度;
9、保密监督检查制度;
10、保密奖惩制度;
11、涉密事件报告与查处;
12、资质证书的使用和管理;
13、档案管理制度;
14、保密工作经费管理制度;
15、保密风险评估管理制度;
16、保密内部控制监督管理制度。
三、涉密人员审查及教育管理
录用的涉密人员,应经公司保密工作机构的保密资格审查,填写《公司涉密人员情况登记表》、《保密承诺书》,对拟用人员的政治历史、身份、专业资格以及业务能力等情况进行人事审查和核实,对涉密人员履历表中的个人历史逐
一审查,必须时会见证明人,对其经历和人品进行确认,保密审查符合要求后才能录用。对不符合要求的人员,不应录用或调离涉密岗位。
涉密人员的教育培训工作由保密工作领导小组承担,年初制定《保密教育培训工作计划表》,报公司保密工作领导小组会议通过后实施。临时性的学习培训内容,由保密办报保密工作领导小组组长苏日夫同意后实施。
对确定为涉密人员的,进行了上岗前的保密培训,并考试合格。培训内容:公司保密制度、国家有关保密法法规、保密技术防范知识等。涉密人员每年接受保密教育的时间均在10学时以上,从事涉密信息系统集成业务的涉密人员,除了接受保密教育培训外,还接受不少于20学时的系统集成业务技术培训,培训有文字记录,并组织涉密人员进行年度考核,填写《涉密人员年度考核表》,由专人保管记录台账。
对保密行政管理部门要求参加的保密培训会议,公司均按要求派人参加,并将会议精神及时传达公司有关部门及人员。
涉密人员保密教育培训情况、年度考核情况纳入年度公司目标考核,完成保密教育培训任务的涉密人员,给予一定的物质奖励,反之,给予经济处罚,并限制完成学习任务。
保密办将年度保密教育培训计划实施情况以书面的形
式,向保密工作领导小组报告,在涉密信息系统集成资质年审时,向省国家保密局报告。
对涉密人员加强管理,涉密人员因公因私出国前,保密办主任袁立中会对相关人员进行谈话,加强保密风险意识的再教育,填写《涉密人员出国(境)行前保密教育情况表》、《涉密人员出国(境)审批表》,由保密办主任审批,公司法人兼保密小组组长苏日夫签字批准后方能出行。
公司对准备离职的涉密人员,由保密办主任袁立中进行约谈,加强保密风险意识的再教育,填写《离岗离职涉密人员保密提醒谈话记录表》、《离岗离职涉密人员审批表》由保密办主任袁立中审批,公司法人兼保密小组组长苏日夫签字批准后,再转交人力部门进行后续离职手续的办理。
四、保密要害部位场所管理情况
公司用于涉密信息系统集成业务的场所应固定在相对独立的区域,并实行封闭式管理。涉密场所面积40.16平方米,核心区域。涉密信息系统集成所与非涉密办公场所所有明确划分,在门外显眼处张贴了标识。
涉密信息系统集成场所落实了相关的人防、物防、技防措施。安装门禁系统、视频监控和防盗报警系统。对进入人员进行了授权管理。公司保密办每季度对集成场所的保密管理工作和安全防护设施进行检查,对安防设施进行维护和检修,发现问题及时整改,并建立检查整改记录。确保制度落
实、防护设施运行正常。
集成场所内设备的选用、使用环境和工程安装等符合BMB5-2000的要求。
五、保密设备配备及设施建设情况
我公司根据涉密业务的需要,配置了信息系统、信息设备和安全保密防护设备设施,以确保国家秘密安全,并根据《涉密信息系统集成资质管理办法》(国保发【2013】7号)及国家相关保密标准要求,制定了设备、设施管理制度。
设备、设施主要包括计算机、通信、办公自动化设备及其他具有信息存储和处理功能的设备。信息系统、信息设备以及安全保密防护设备的管理,坚持“谁主管谁负责、谁使用谁负责”的原则。公司主要领导为安全保密管理第一责任人,分管保密工作的领导负责具体组织协调工作。公司保密工作领导小组具体负责系统、设备的日常保密管理工作。
涉密信息设备按照其存储信息的最高密级定密,在主机的明显位置粘贴密级标识,并建立涉密信息设备台账。涉密信息设备中处理、存储的涉密电子文档进行密级标识,密级标识未与正文分离。采购用于存储、处理国家秘密的设备,优先选用国产设备;确需选用进口设备的,进行详细调查和论证。
采购安全保密产品选用经过国家保密局授权检测机构检测,符合国家保密标准要求的产品,计算机病毒防护产品
选用公安机关批准的国产产品,密码产品选用国家密码管理部门批准的产品。
涉密信息设备采取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质管控等安全保密措施,以加强对涉密计算机的安全保密管理。所采取的技术措施与计算机密级和防护等级相一致。
涉密计算机应设置BIOS开机口令。操作系统及应用程序的本地、远程登录都应设置身份鉴别措施,
涉密计算机的口令应设为大小写英文字母、数字和特殊字符中两者以上的组合,并采用技术措施保证口令存储和传输的安全。
涉密计算机配备“三合一”产品或其他经保密部门检测认证的违规外联监控设备,以加强对涉密计算机违规接入互联网或其他公共信息网络行为的监控与阻断。公司指定专人定期对涉密计算机防病毒产品进行升级,定期对查杀病毒与恶意代码。涉密笔记本电脑、涉密计算机未使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围设备。
涉密信息设备未联接国际互联网及其他公共信息网络,并实行物理隔离。涉密信息设备未接入内部非涉密网络。未使用内部非涉密网络存储、处理涉及国家秘密的信息。
涉密计算机与非涉密计算机未交叉使用移动存储介质。未与互联网以及其他公共信息网络连接的复印机、传真机、
扫描仪等办公自动化设备接入涉密计算机。
公司建设涉密信息系统用于处理涉密信息系统集成业务,严格按照《涉及国家秘密的信息系统分级保护管理办法》以及国家保密标准要求,进行规划、建设、测评、审批和使用。
涉密信息系统的保密设施、设备与系统同步规划、同步建设、同步运行。
六、涉密载体使用管理情况
公司的涉密载体包含以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、磁介质、光介质和电介质等各类物品。包括纸张、硬盘、软盘、磁带、光盘、u盘和内存条等。也包括涉密的加密机、密钥KEY等密品。
公司涉密载体建立了管理台帐。机要档案室及时做登记,,做到手续清楚,账物相符。制作涉密载体,依照国家保密规定标明密级(机密、秘密、绝密)和保密期限,注明发放范围及制作数量,按密级分别编排顺序号。标识方法为:密级★+保密期限。如秘密★3年。采用默认保密期限,秘密级10年、机密级20年、绝密级30年。纸介质涉密载体应在公司涉密计算机或涉密复印机上印刷,或到保密工作部门审查批准的定点单位印制,保密办作好登记记录。未在非涉密的计算机或复印上印刷。磁介质、光盘等涉密载体应在公司计算机上或保密工作部门审查批准的定点单位制作,保密
办作好登记记录。制作涉密载体遭程中形成的不需归档的草稿、废稿、废页、讨论稿、征求意见稿、电子文档等材料按照涉密载体的销毁规定及时销毁。.
制作涉密载体的场所应当符合保密要求。使用电子设备(如计算机、打印机等)的应当采取附合保密要求的防电磁泄露保密措施。
公司的涉密载体,由专职保密员管理,严格履行清点、登记、编号、标识、签收、借阅、传阅手续,随时掌握涉密载体的去向。
传递涉密载体,采取相应的安全保密措施。携带涉密载体外出,严格履行审批手续,并确保涉密载体始终处于携带人的有效控制之下。传递涉密载体,包装密封;涉密载体的信封或者档案袋牌上标明密级、编号和收发件单位名称。传递机密级、秘密级涉密载体,公司均指派专车专人投递。
各部门应当严格控制密品的接触范围,确需接触的,均按有关规定履行报批手续。
公司涉密部门或密级项目负责人负责涉密载体和密品的制作和标识,并及时销毁制作过程中产生的不需归档的材料,指导和监督本部门涉密人员正确形成、使用和管理涉密载体和密品。涉密载体使用人负责使用中的保密工作。
涉密载体的销毁和清退由保密办安排专人管理,并填写《涉密载体清退销毁登记表》,登记台账,记录在案。
七、涉密信息系统集成业务流程管理情况
公司制定了涉密信息系统集成业务管理流程如图l所示。涉密信息系统集成业务的管理就是在非涉密信息系统集成业务管理流程的基础上,严格按照保密法规、标准和管理制度规定的流程实施。
涉密信息系统集成业务流程管理分为以下几个方面。
(一)申报与确认
我单位申报涉密项目,均经公司保密主管审核同意、主管领导批准后,向保密行政管理部门提出涉密项目确认申请。
(二)涉密项目确认依据
《保密法》及其配套法规:
国家保密局会同中央和国家机关制定的《国家秘密及其密级具体范围的规定》及相关的解释和补充性规定:(三)保密管理
涉密项目建设前,建设单位与省保密行政管理部门签订涉密项目保密责任承诺书,并依照国家有关法律法规要求,制定严格的保密管理方案,报省保密行政管理部门备案。涉密项目保密管理方案,包含下列内容:
1、保密管理的责任部门和人员;
2、涉密载体保密管理措施;
3、涉密人员保密管理措施;
4、涉密场所保密管理措施;
5、涉密会议保密管理措施;
6、计算机和移动存储介质倮密管理措施:
7、信息发布和对外提供资料保密管理措施:
8、涉密项目设计产品、设备、物资等采购保密管理措施;
9、其他必要的保密管理措施
公司在涉密项目建设时与业主单位签订了保密协议,并与涉密项目的从业人员签订了保密责任书。
公司组织对涉密项目设计方案进行审查论证,并与参与审查论证的涉密人员签订保密协议。论证方案及审查意见均按要求报送保密行政管理部门备案。
涉密信息系统按照国家有关保密标准要求进行系统设计,并通过由省保密行政管理部门参与的方案审查论证后方实施。
涉密信息系统均申请通过国家保密局授权的系统测评机构的安全保密测评。
公司承接的涉密项目,均按规定在竣工验收之后15个工作日之内,将各类涉密图纸交还了业主单位,清除计算机存储的信息,并履行了清点、登记手续。
八、公司涉密管理情况
图1 涉密项目实施流程图
客户
以上相关的内容为我公司保密管理的一个基本情况。
推荐访问:保密风险评估报告会议记录 保密 情况 报告