DB61∕T 1607-2022 涉密信息系统集成资质认定咨询服务规范(陕西省).pdf

ICS 03.180.01 CCS A 16 DB61 陕西省地方标准 DB 61/T 16072022 涉密信息系统集成资质认定咨询服务规范 Consultation service specification for qualification identification of system integration involving state secrets 2022-10-12 发布 2022-11-12 实施陕西省市场监督管理局 发 布 DB61/T 16072022 I 目 次 前言.II 引言.III 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 总则.2 5 咨询服务机构基本要求.2 6 咨询服务内容.3 7 咨询服务流程.3 8 涉密集成保密管理体系试运行.6 9 现场审查准备.7 10 现场审查问题整改.7 11 咨询服务质量评估改进.7 附录 A（资料性）保密协议.8 参考文献.10 DB61/T 16072022 II 前 言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。本文件由西安信安保密技术研究所提出。本文件由中共陕西省委军民融合发展委员会办公室归口。本文件起草单位：西安信安保密技术研究所、重庆信密安信息技术服务有限公司、西安邮电大学、陕西中城卫保安服务有限公司、陕西康新科技有限公司。本文件主要起草人：石梁、陈富军、李志刚、雷斌、卢海燕、陈玉明、王富军、敖蕾、唐爱民、张欣、周秋霞、东风、张志强。本文件由西安信安保密技术研究所负责解释。本文件首次发布。联系信息如下：单位：西安信安保密技术研究所 电话：029-88401895 地址：西安市雁塔区雁翔路99号美胜大厦3层 邮编：710000 DB61/T 16072022 III 引 言 涉密信息系统集成（以下简称涉密集成）资质认定咨询服务主要是帮助拟从事涉密集成业务的单位有效建立符合要求的保密管理体系。本文件可以有效规范咨询服务机构服务行为，提高服务质量，为规范高效建立健全符合涉密信息系统集成资质保密标准要求的保密管理体系提供保障。DB61/T 16072022 1 涉密信息系统集成资质认定咨询服务规范 1 范围 本文件规范了涉密信息系统集成认定咨询服务术语和定义、总则、咨询服务机构基本要求、咨询服务内容、咨询服务流程、涉密集成保密管理体系试运行、现场审查准备、现场审查问题整改和咨询服务质量评估改进的要求。本文件适用于所有提供涉密集成资质认定咨询服务机构。2 规范性引用文件 本文件没有规范性引用文件。3 术语和定义 下列术语和定义适用于本文件。3.1 涉密集成 confidential information system integration 涉密信息系统的规划、设计、建设、监理和运行维护等活动。3.2 涉密集成资质 qualification of Confidential information system integration 保密行政管理部门许可企业事业单位从事涉密集成业务的法定资格。3.3 涉密集成资质审查 confidential information system integration qualification review 保密行政管理部门受理申请后进行的书面审查、现场审查以及确有需要时开展的专家评审等一系列活动。3.4 涉密集成资质认定咨询服务 confidential information system integration qualification assessment consulting service 咨询服务机构帮助拟从事涉密集成业务的企业事业单位建立符合保密标准要求的保密管理体系，辅导其申请并通过保密行政管理部门行政审批的一系列活动。3.5 涉密人员 confidential personnel 因工作需要，在涉密集成岗位合法接触、知悉和经管国家秘密事项的人员。DB61/T 16072022 2 3.6 保密标准培训 standard implementation training 为贯彻涉密信息系统集成资质保密标准而组织的培训。3.7 涉密载体 confidential carriers 以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的各类物质，如纸质文件、存储介质（硬盘、软盘、光盘，U盘等）和其他介质。4 总则 4.1 咨询服务机构应按照涉密信息系统集成资质保密标准辅导申请单位建立涉密集成保密管理体系。4.2 咨询服务机构应严格遵守中华人民共和国保守国家秘密法，依据涉密信息系统集成资质管理办法进行辅导。4.3 咨询服务机构在辅导过程中应主动作为，优质高效，服务质量让申请单位满意。4.4 咨询服务机构既要重视申请单位的保密条件建设，又要重视申请单位保密人才培养，实现涉密集成保密管理体系自主运行。5 咨询服务机构基本要求 5.1 咨询服务机构条件 5.1.1 法人资格的组织（含申请单位法人、社会团体法人、民非申请单位法人和事业单位法人），且经营范围应包含涉密业务咨询服务业务。5.1.2 依法成立，且取得统一社会信用代码证书的其他组织，同时具备 5.2 和 5.3 规定的能力。5.2 咨询辅导人员能力 5.2.1 咨询服务机构应具备满足咨询服务需求的咨询老师、技术工程师和相关领域的资深专家。5.2.2 咨询老师应遵守职业守则，经过岗位培训，具备涉密业务咨询服务基础知识和相关领域的专业知识，取得相关资质。5.3 咨询服务质量保障能力 咨询服务机构应具备分析和解决问题的能力，并具备较完整的内部管理体系，包括但不限于：a)结合申请单位实际，建立符合涉密信息系统集成资质保密标准要求相适应的需求分析、方案策划和实施能力；b)辅导建立完善的认定咨询服务管理体系；c)具备信息技术（包括策略配置与运行维护）支持能力；d)建立服务质量保障措施，并配置所需资金、人员及设备等；e)在项目关键节点设定评审措施，确认服务过程与要求的符合程度；f)建立项目辅导档案，具备内部档案管理与沟通协调能力；g)具备辅导军工保密管理体系日常运行，正确处置体系运行中问题的能力；h)制定与申请单位相关人员联络与沟通规则；DB61/T 16072022 3 i)与申请单位建立关于遵守法律法规、履行保密协议和知识产权保护等方面的规定；j)制定内部纠错机制，定期组织咨询项目状态评审。5.4 咨询服务目标 包括但不限于：a)辅导申请单位按照涉密信息系统集成资质保密标准要求，建立完整的涉密集成保密管理体系；b)辅导申请单位顺利取得涉密集成资质证书；c)辅导申请单位严格运行涉密集成保密管理体系，确保国家秘密安全。6 咨询服务内容 包括但不限于：a)根据申请单位实际情况，制定涉密集成资质认定咨询服务实施计划；b)为申请单位涉密人员提供有关法规、标准的培训；c)辅导申请单位确定涉密岗位、涉密人员及其等级，并明确各级人员保密责任；d)辅导申请单位成立保密组织机构和保密工作机构，明确保密岗位职责、权限；e)辅导、协助申请单位编制保密基本制度、专项制度，修订业务制度；f)协助申请单位确定各项保密管理要求；g)辅导申请单位进行涉密信息系统、信息设备安全保密策略配置，编写信息安全保密管理体系文件；h)协助申请单位确定保密要害部门和部位，辅导保密要害部门和部位设施、设备的设置和安装；i)协助申请单位开展保密检查、泄密事件查处，严格实施考核与奖惩，落实保密工作经费保障；j)辅导申请单位进行涉密集成保密管理体系试运行；k)协助申请单位建立保密工作档案；l)辅导申请单位编写、递交涉密集成资质申请书和相关材料；m)辅导申请单位分析受理机构对申请书的反馈意见，制定措施整改，直至符合受理机构有关要求；n)对现场审查流程及注意事项进行培训，并开展模拟审查，针对问题整改；o)辅导申请单位根据涉密信息系统集成资质现场审查意见书进行整改，形成整改报告，并提交受理机构。7 咨询服务流程 7.1 前期沟通 7.1.1 沟通评估 7.1.1.1 沟通方式包括但不限于：a)远程沟通，如电话交流、资料查阅、网络视频等；b)现场调研，如实地勘察、现场查看、座谈了解等。7.1.1.2 沟通了解内容或范围包括但不限于：a)法人资格及诚信记录；b)从事涉密集成业务人员国籍；c)公司股份构成；DB61/T 16072022 4 d)相关资质和专业能力；e)公司及母公司上市情况；f)近 3 年信息系统集成收入情况。7.1.1.3 对照涉密信息系统集成资质管理办法，提交可行性分析报告。7.1.2 合同签订 合同应当至少约定以下内容：a)具体的、可测量的、可实现的目标；b)可监视和评价的阶段性成果和输出以及相应措施；c)确保实现目标措施或重新作出目标的可能性；d)确定合同目标验收过程和方法。7.2 项目启动 7.2.1 咨询服务机构成立咨询服务项目组，明确项目负责人。7.2.2 与申请单位签订保密协议，见附录 A。7.2.3 咨询服务机构和申请单位联合成立涉密信息系统集成资质申请项目组，双方沟通制定项目实施计划。7.2.4 建立与申请单位有关人员交流沟通渠道。7.2.5 协同申请单位召开项目启动会，明确项目实施计划和要求。7.2.6 沟通明确申请单位需购买的保密产品以及需要提供的相关材料。7.3 现场查看 7.3.1 包括但不限于：a)查看申请单位办公场所周边环境情况；b)查看选取符合保密要害部位要求的场地或场所；c)查看申请单位基本条件；d)查看申请单位申请条件证明材料；e)查看申请单位各类管理制度及相关业务制度；f)对申请单位如何建立保密管理体系进行评估。7.3.2 综合分析申请单位满足申请涉密集成资质存在的差距，提出整改完善的建议和措施。7.3.3 所有证明材料应建立档案，形成证明材料表单，提交申请单位负责人进行审核、认可。7.4 现场辅导 7.4.1 辅导确定保密组织机构 7.4.1.1 根据申请单位组织架构，提出设立保密组织机构、保密工作机构和配备专（兼）职保密管理人员的建议。7.4.1.2 根据申请单位业务部门职责，提出安全保密管理部门建议。7.4.1.3 辅导申请单位确定保密组织机构、保密工作机构、业务管理部门和保密专（兼）职管理人员工作职责。7.4.1.4 辅导申请单位拟制红头文件，发布组建保密组织机构、保密工作机构、明确相关业务管理部门和任命保密专（兼）职管理人员的通知。DB61/T 16072022 5 7.4.2 辅导确定涉密部门、涉密岗位、涉密人员及保密要害部门部位 7.4.2.1 提出确定涉密岗位、涉密部门及涉密人员和保密要害部门、部位的建议。7.4.2.2 辅导申请单位明确涉密岗位和涉密人员人选及等级。7.4.2.3 辅导申请单位建立涉密部门、涉密岗位和涉密人员保密管理档案。7.4.3 组织进行培训 7.4.3.1 培训内容包括但不限于：a)中华人民共和国保守国家秘密法；b)中华人民共和国保守国家秘密法实施条例；c)涉密信息系统集成资质管理办法；d)涉密信息系统集成资质保密标准。7.4.3.2 分析了解申请单位保密氛围营造、涉密人员保密知识掌握情况，提出整改和培训建议。7.4.3.3 辅导申请单位做好培训考勤、考试等证明材料立案归档工作，形成证明材料。7.4.4 辅导建立保密管理制度体系 7.4.4.1 辅导申请单位建立规范、操作性强的保密管理制度，主要包括以下方面：a)保密工作机构与职责；b)保密教育培训管理规定；c)涉密人员管理规定；d)涉密载体管理规定；e)信息系统与设备管理规定；f)涉密场所管理规定；g)涉密项目管理规定；h)涉密项目实施现场管理规定；i)保密监督检查管理办法；j)保密工作考核与奖惩管理办法；k)泄密事件报告和查处；l)保密风险评估管理规定；m)资质证书使用与管理办法；n)宣传报道保密管理规定；o)涉密会议保密管理规定；p)保密工作经费管理规定；q)持续改进管理规定；r)保密工作档案管理规定。7.4.4.2 辅导申请单位按照“业务工作谁主管，保密工作谁负责”的原则修订业务制度。7.4.4.3 辅导申请单位依据保密管理制度要求，结合业务工作实际，制定保密管理流程及记录表单。7.4.4.4 辅导申请单位运行保密管理体系，健全保密管理档案。7.4.5 辅导保密要害部门部位安全条件建设 7.4.5.1 辅导申请单位按保密室建设标准及申请条件要求选定合适场地，制定保密室建设方案。7.4.5.2 辅导申请单位安装符合涉密信息系统集成保密标准的安全防护产品，并检查验收技防、物防措施是否符合要求。DB61/T 16072022 6 7.4.5.3 辅导申请单位落实保密要害部门部位安全保密防护措施，建立相关档案。7.4.6 辅导信息系统和信息设备安全管理及运行维护 7.4.6.1 辅导申请单位制定安全保密策略、管理制度和操作规程，形成保密管理和运行维护体系文件。7.4.6.2 辅导申请单位按照涉密信息系统集成资质保密标准要求配置涉密信息设备、涉密信存储设备和安全保密产品，建立台账，粘贴标识。7.4.6.3 组织系统管理员、安全保密管理员和安全审计员培训，辅导开展涉密信息系统和信息设备安全管理和运行维护工作。7.4.6.4 查看申请单位办公场所互联网和信息化设备接入、分布、使用以及资产管理情况，分析查找申请单位互联网使用存在问题，提出整改建议。7.4.6.5 辅导申请单位信息化管理部门编制相关管理体系文件，实施安全管理和运行维护，进行全寿命周期管理。7.4.6.6 辅导申请单位信息管理部门建立信息化设备运行档案。7.4.7 辅导建立保密管理档案 辅导申请单位按4大类19小项归类建立保密管理档案，具体包括：a)保密责任类：1)法定代表人或主要负责人；2)保密总监；3)涉密集成业务部门负责人；4)涉密人员。b)保密组织机构类：1)保密工作领导小组；2)保密管理办公室。c)保密制度类：保密制度。d)保密管理类：1)涉密人员；2)国家秘密载体；3)信息系统与信息设备保密管理；4)涉密业务场所保密管理；5)涉密信息系统集成项目管理；6)涉密会议管理；7)新闻宣传保密管理；8)保密检查；9)保密风险评估与管理；10)保密工作考核与奖惩；11)保密工作经费；12)保密工作档案。8 涉密集成保密管理体系试运行 8.1 辅导申请单位相关负责人签发体系文件，并明确签署落实意见。DB61/T 16072022 7 8.2 辅导申请单位保密管理工作机构、各业务部门按照保密制度、涉密项目制度和业务制度要求运行保密管理工作流程，完整填写记录表单。8.3 综合分析保密管理体系试运行情况，修订完善保密管理制度和工作流程。8.4 辅导申请单位制定整改措施，纠正保密管理体系试运行中存在问题。8.5 辅导申请单位将保密管理体系试运行资料和记录表单分类归档，健全保密管理工作档案。9 现场审查准备 9.1 辅导申请单位进行模拟审查，针对发现问题制定整改方案，进行整改。9.2 辅导申请单位填写涉密信息系统集成资质申请书及准备附件材料。9.3 辅导申请单位整理、装订及递交申请材料。9.4 辅导申请单位相关人员对资质受理机构发回的一次性告知书进行分析、整改，并在限期内递交整改资料。9.5 协助申请单位组织涉密人员学习保密知识，进行模拟考试，良好率应达到 80%以上。9.6 辅导申请单位熟悉现场审查流程及注意事项，并检查现场审查材料准备情况。10 现场审查问题整改 10.1 根据涉密信息系统集成资质现场审查意见书指出的问题，辅导申请单位制定整改方案，进行整改。10.2 辅导申请单位撰写整改报告。11 咨询服务质量评估改进 11.1 咨询服务质量评估 11.1.1 咨询服务机构应建立服务满意度跟踪调查机制。11.1.2 咨询服务机构应建立咨询服务质量评价标准。11.1.3 每个项目结束后，咨询服务机构应组织对项目服务质量进行总结评估，确定咨询服务过程符合预定目标的程度。11.2 服务质量持续改进 11.2.1 咨询服务机构应对咨询服务流程和管理措施持续进行改进，包括但不限于：a)围绕项目总结评估中发现的问题，组织研讨活动，制定整改措施；b)累积到多个改进项时，应考虑对咨询服务过程、方法、质量保障等规范、流程、规则等进行修订；c)定期培训咨询服务人员，持续提升专业服务能力。11.2.2 咨询服务机构主要负责人应参加咨询服务的持续改进活动。DB61/T 16072022 8 A A 附 录 A（资料性）保密协议 签订时间：签订地点：甲方：乙方：鉴于：甲乙双方正在进行 项目（以下简称“项目”）。双方就该项目的实施以及合作过程中，向对方提供有关保密信息，且该保密信息属提供方合法所有。甲乙双方均希望对本协议所述保密信息予以有效保护，经双方协商，达成本协议。一、本协议所指保密信息 一、本协议所指保密信息 1.甲方向乙方提供：在合作过程中，乙方从甲方获得的与合作有关或因合作产生的任何商业、经销、技术、运营数据或其他性质的资料，无论以何种形式或载于何种载体，无论在披露时是否以口头、图像或以书面方式表明其具有保密性。2.乙方向甲方提供：在合作过程中，甲方从乙方获得的与合作有关或因合作产生的任何商业、营销、技术、运营数据或其他性质材料，无论以何种形式或载于何种载体，无论在披露时是否以口头、图像或以书面方式表明其具有保密性。上述保密信息可以以数据、文字及记载上述内容的资料、存储介质、软件、图书等有形媒介体现，也可通过口头等视听形式传递。二、双方权利和义务 二、双方权利和义务 1.双方保证该秘密信息仅用于与合作有关的用途或目的。2.双方各自保证对对方所提供的保密信息予以妥善保存。3.双方各自保证对对方所提供的保密信息按本协议约定予以保密，并至少采取适用于对自己的保密信息同样保护措施和审慎程度进行保密。4.任何一方在提供保密信息时，如以书面形式提供，应注明“保密”等相关字样。如以口头或可视形式透露，应在透露前告知接收方为保密信息，并在告知后5日内以书面形式确认，该确认应包含所透露信息为保密信息的内容。5.双方保证保密信息仅可在各自一方从事该项目研究负责人和雇员范围内知悉，并保证上述人员以书面形式统一接受本协议条款的约束，确保上述人员承担保密责任的程度不低于本协议规定的程度。三、违约责任 三、违约责任 任何一方违反本协议的规定，应在第一时间采取一切必要措施防止保密信息的扩散，尽最大可能消除影响，并应承担相应的违约责任。DB61/T 16072022 9 四、有效期 四、有效期 本协议自签订之日起生效，并持续有效，双方协商一致可终止协议。双方合作项目的终止并不影响协议的效力。五、任何通过友好协商后不能解决的争议应提交协议签订地人民法院诉讼解决。五、任何通过友好协商后不能解决的争议应提交协议签订地人民法院诉讼解决。甲方（盖章）：乙方（盖章）：签订日期：年 月 日 签订日期：年 月 日 DB61/T 16072022 10 参 考 文 献 1中华人民共和国保守国家秘密法（2010年修订）2中华人民共和国保守国家秘密法实施条例（2014年发布）3涉密信息系统集成资质管理办法（2021版）（国家保密局令 2020年第1号）4涉密信息系统集成资质保密标准（2017版）_