三级保密标准培训 PPT课件.ppt

武器装备科研生产单位三级保密武器装备科研生产单位三级保密资格标准资格标准n n适用范围n n实施原则n n具体标准适用范围适用范围n n本标准为武器装备科研生产单位三级保密资格审查认证和复查的依据实施原则实施原则n n积极防范，突出重点，严格标准，严格管理n n业务工作谁主管，保密工作谁负责具体标准具体标准保密责任保密责任法人法人n n法定代表人或主要负责人责任法定代表人或主要负责人责任n n对本单位保密工作负全面领导责任对本单位保密工作负全面领导责任n n保证党和国家有关保密工作的方针政策和法保证党和国家有关保密工作的方针政策和法律法规在本单位的贯彻执行；律法规在本单位的贯彻执行；n n保证本标准在本单位的实施，及时解决保密保证本标准在本单位的实施，及时解决保密工作中的重要问题，监督检查领导责任制的工作中的重要问题，监督检查领导责任制的落实；落实；n n为保密工作提供人力、财力、物力等条件保为保密工作提供人力、财力、物力等条件保障。障。具体标准具体标准保密责任保密责任分管保分管保密工作负责人责任密工作负责人责任n n对本单位保密工作负具体领导责任。n n及时研究和部署保密工作；n n对保密工作落实情况组织监督检查；n n为保密工作机构履行职责提供保障。具体标准具体标准保密责任保密责任其他负其他负责人责任责人责任n n对分管工作范围内的保密工作负领导责任。n n对分管工作中的保密工作进行研究和部署；n n对分管工作中的保密措施落实情况进行监督检查；n n为分管工作中的保密工作开展提供保障。具体标准具体标准保密责任保密责任涉密部涉密部门负责人或项目负责人责任门负责人或项目负责人责任n n对本部门或本项目的保密工作负直接领导责任。n n掌握本部门或本项目的保密工作情况；n n采取具体措施组织落实单位保密工作部署；n n对保密措施落实情况进行监督检查。具体标准具体标准保密责任保密责任涉密人涉密人员责任员责任n n对本职岗位的保密工作负直接责任。n n熟悉本职岗位的保密要求；n n按规定履行保密工作职责。具体标准具体标准-保密组织机构保密组织机构-保密保密委员会或保密工作领导小组委员会或保密工作领导小组n n单位应当成立保密委员会或保密工作领导小组，保密单位应当成立保密委员会或保密工作领导小组，保密委员会或保密工作领导小组为单位保密工作领导机构，委员会或保密工作领导小组为单位保密工作领导机构，应当有明确的职责。应当有明确的职责。n n保密委员会或保密工作领导小组由单位负责人和有关保密委员会或保密工作领导小组由单位负责人和有关部门主要负责人组成，保密委员会或保密工作领导小部门主要负责人组成，保密委员会或保密工作领导小组组长由单位负责人担任；保密委员会或保密工作领组组长由单位负责人担任；保密委员会或保密工作领导小组成员应当有明确的职责分工。导小组成员应当有明确的职责分工。n n保密委员会或保密工作领导小组实行例会制度，对保保密委员会或保密工作领导小组实行例会制度，对保密工作进行研究、部署和总结，及时解决保密工作中密工作进行研究、部署和总结，及时解决保密工作中的重要问题。保密委员会或保密工作领导小组例会每的重要问题。保密委员会或保密工作领导小组例会每年不少于年不少于2 2次。次。具体标准具体标准-保密组织机构保密组织机构-保密保密工作机构工作机构n n单位应当确定负责保密管理工作的机构，在单位应当确定负责保密管理工作的机构，在保密委员会或保密工作领导小组领导下独立保密委员会或保密工作领导小组领导下独立行使保密管理职能。行使保密管理职能。n n保密工作机构应当履行下列职责：保密工作机构应当履行下列职责：n n向保密委员会或保密工作领导小组提出工作向保密委员会或保密工作领导小组提出工作建议；组织落实保密委员会或保密工作领导建议；组织落实保密委员会或保密工作领导小组的工作部署；小组的工作部署；n n制定保密制度；制定保密制度；n n组织制导涉密人员的审查界定和保密教育培组织制导涉密人员的审查界定和保密教育培训；训；具体标准具体标准-保密组织机构保密组织机构-保密保密工作机构工作机构n n组织保密检查工作；n n监督指导定密工作；n n组织协调保密审查工作；n n监督指导重要涉密活动的保密管理工作；n n组织确定和调整保密要害部门、部位；n n监督指导计算机和信息系统、通信及办公自动化设备的保密管理工作；具体标准具体标准-保密组织机构保密组织机构-保密保密工作机构工作机构n n监督指导保密防护措施的实施；n n查处违反保密法律法规的行为和泄密事件；n n提出保密责任追究和奖惩建议。具体标准具体标准-保密组织机构保密组织机构-保密保密工作机构人员配备工作机构人员配备n n涉密人员100人（含）以上的，专职保密工作人员配备不得少于1人；涉密人员100人以下的，应当配备兼职保密工作人员。n n单位应确定一部门负责人担任保密工作机构负责人。n n保密工作机构人员应当具备下列条件：具体标准具体标准-保密组织机构保密组织机构-保密保密工作机构人员配备工作机构人员配备n n具备良好的政治素质；n n熟悉保密法律法规，掌握保密知识技能，具有一定的管理工作能力；n n熟悉本单位业务工作和保密工作情况；n n通过培训和考核，获得保密工作资格证书。具体标准具体标准-保密制度保密制度n n保密制度健全、规范，具有可操作性。保密保密制度健全、规范，具有可操作性。保密制度包括以下基本内容：制度包括以下基本内容：n n保密教育；保密教育；n n涉密人员管理；涉密人员管理；n n定密管理；定密管理；n n国家秘密载体管理；国家秘密载体管理；n n要害部门、部位管理；要害部门、部位管理；n n计算机和信息系统管理；计算机和信息系统管理；具体标准具体标准-保密制度保密制度n n通信及办公自动化设备管理通信及办公自动化设备管理n n宣传报道管理；宣传报道管理；n n涉密会议管理；涉密会议管理；n n协作配套管理；协作配套管理；n n涉外活动管理；涉外活动管理；n n保密监督检查；保密监督检查；n n泄密事件报告和查处；泄密事件报告和查处；n n责任考核与奖惩责任考核与奖惩n n保密制度应当根据实际情况及时修订完善。保密制度应当根据实际情况及时修订完善。具体标准具体标准-保密监督管理保密监督管理-定密定密管理管理n n对本单位产生的国家秘密事项及时确定密级和保密期限；n n根据项目原定密级的变更情况，及时调整变更密级。具体标准具体标准-保密监督管理保密监督管理-涉密涉密人员管理人员管理n n单位应当按照涉密程度对涉密岗位和涉密人员的涉密单位应当按照涉密程度对涉密岗位和涉密人员的涉密等级做出界定。涉密岗位和涉密人员的涉密等级分为等级做出界定。涉密岗位和涉密人员的涉密等级分为重要（机密级）和一般（秘密级）两个等级。重要（机密级）和一般（秘密级）两个等级。n n涉密人员的涉密等级，应当根据情况变化，及时进行涉密人员的涉密等级，应当根据情况变化，及时进行调整。调整。n n对进入涉密岗位的人员应当进行审查和培训。对进入涉密岗位的人员应当进行审查和培训。n n单位应当与涉密人员签订保密责任书。保密责任书包单位应当与涉密人员签订保密责任书。保密责任书包括涉密人员的保密义务和责任及享有的权利等基本内括涉密人员的保密义务和责任及享有的权利等基本内容。容。n n单位对在岗涉密人员应当进行保密教育培训，年度每单位对在岗涉密人员应当进行保密教育培训，年度每人不少于人不少于8 8学时。学时。具体标准具体标准-保密监督管理保密监督管理-涉密涉密人员管理人员管理n n建立涉密人员保密自查制度。对涉密人员的保密义务和责任情况，应当进行监督考核。涉密人员严重违反保密法律法规应当调离涉密岗位。n n单位应当根据涉密人员涉密等级，给予相应的保密补贴。具体标准具体标准-保密监督管理保密监督管理-涉密涉密人员管理人员管理n n涉密人员脱离单位，应当与原单位签订保密涉密人员脱离单位，应当与原单位签订保密承诺书。单位应当对其实行脱密期管理。重承诺书。单位应当对其实行脱密期管理。重要涉密人员的脱密期为要涉密人员的脱密期为2 2年至年至3 3年，一般涉密年，一般涉密人员的脱密期为人员的脱密期为1 1年至年至2 2年。年。n n单位应当及时将涉密人员名单在公安机关出单位应当及时将涉密人员名单在公安机关出入境管理机构登记备案。因私出国（境）的，入境管理机构登记备案。因私出国（境）的，应当按有关规定审批。出国（境）前应当对应当按有关规定审批。出国（境）前应当对其进行保密教育。涉密人员擅自出国（境）其进行保密教育。涉密人员擅自出国（境）的，单位应当立即向上级机关或有关部门报的，单位应当立即向上级机关或有关部门报告。告。具体标准具体标准-保密监督管理保密监督管理-涉密涉密载体管理载体管理n n国家秘密载体应当按有关规定表明密级和保国家秘密载体应当按有关规定表明密级和保密期限。密期限。n n制作、收发、传递、使用、复制、保存、维制作、收发、传递、使用、复制、保存、维修和销毁秘密载体（含纸介质、磁介质和光修和销毁秘密载体（含纸介质、磁介质和光盘等各类物品）及其过程文件资料，应当符盘等各类物品）及其过程文件资料，应当符合国家有关保密管理规定。合国家有关保密管理规定。n n密品研制、生产、实验、运输、使用、保存、密品研制、生产、实验、运输、使用、保存、维修和销毁，应当符合国家有关保密管理规维修和销毁，应当符合国家有关保密管理规定。定。具体标准具体标准-保密监督管理保密监督管理-涉密涉密载体管理载体管理n n严格控制国家秘密载体的接触范围。n n国家秘密载体应当存放在密码文件柜中。n n涉密人员辞职、解聘、调离涉密岗位，应当在离岗前清退保管和使用的国家秘密载体。具体标准具体标准-保密监督管理保密监督管理-要害要害部门、部位管理部门、部位管理n n单位日常工作中经常产生、传递、使用和管理国家秘单位日常工作中经常产生、传递、使用和管理国家秘密的内设机构，应当确定为保密要害部门。单位集中密的内设机构，应当确定为保密要害部门。单位集中制作、存放、保管国家秘密载体及重要密品研制、实制作、存放、保管国家秘密载体及重要密品研制、实验的专门场所，应当确定为保密要害部位。验的专门场所，应当确定为保密要害部位。n n保密要害部门、部位的确定，应当按有关规定履行审保密要害部门、部位的确定，应当按有关规定履行审批程序。批程序。n n保密要害部门、部位应当采取严格的保密防护措施。保密要害部门、部位应当采取严格的保密防护措施。根据有关规定安装防盗报警装置，设置安全值班人员。根据有关规定安装防盗报警装置，设置安全值班人员。n n涉及保密要害部门、部位的新建、改建工程项目要符涉及保密要害部门、部位的新建、改建工程项目要符合安全保密要求，所采取的保密防护措施应当经单位合安全保密要求，所采取的保密防护措施应当经单位保密工作机构组织的审核，与工程建设同计划、同设保密工作机构组织的审核，与工程建设同计划、同设计、同建设、同验收。计、同建设、同验收。具体标准具体标准-保密监督管理保密监督管理-计算计算机和信息系统管理机和信息系统管理n n涉密信息系统投入运行前，应当经省（自治区、直辖涉密信息系统投入运行前，应当经省（自治区、直辖市）保密工作部门审批。市）保密工作部门审批。n n涉密计算机和信息系统应当与国际互联网和其他公共涉密计算机和信息系统应当与国际互联网和其他公共信息网络实行物理隔离；禁止使用非涉密的计算机、信息网络实行物理隔离；禁止使用非涉密的计算机、信息系统和存储介质存储和处理涉密信息；禁止将涉信息系统和存储介质存储和处理涉密信息；禁止将涉密计算机和信息系统接入内部非涉密信息系统；涉密密计算机和信息系统接入内部非涉密信息系统；涉密信息的远程传输应当按国家有关部门要求采取秘密保信息的远程传输应当按国家有关部门要求采取秘密保护措施；未经单位信息化管理部门审批，禁止对涉密护措施；未经单位信息化管理部门审批，禁止对涉密计算机和信息系统格式化或重装操作系统，禁止删除计算机和信息系统格式化或重装操作系统，禁止删除涉密计算机和信息系统的移动存储介质及外部设备等涉密计算机和信息系统的移动存储介质及外部设备等日志记录。日志记录。具体标准具体标准-保密监督管理保密监督管理-计算计算机和信息系统管理机和信息系统管理n n应当建立信息设备和存储介质台帐；涉密信息设备和存储介质的维修、报废应当符合国家有关保密管理规定。n n信息设备和存储介质应当具有标识，涉密的应当表明密级，非密的应当表明用途；涉密信息设备和存储介质中的涉密信息应当表明密级。具体标准具体标准-保密监督管理保密监督管理-计算计算机和信息系统管理机和信息系统管理n n涉密计算机和信息系统应当制定文档化的安全保密策略，并根据环境、系统和威胁变化情况及时调整更新；每3个月形成文档化的安全保密审计报告；每12个月根据系统综合日志，进行一次风险自评估，形成文档化的风险分析报告，对存在的风险应当及时采取补救措施。具体标准具体标准-保密监督管理保密监督管理-计算计算机和信息系统管理机和信息系统管理n n涉密计算机和信息系统应当按照存储和处理信息的相涉密计算机和信息系统应当按照存储和处理信息的相应密级进行管理和防护；涉密计算机和信息系统应当应密级进行管理和防护；涉密计算机和信息系统应当选择通过国家相关主管部门授权测评机构检测的安全选择通过国家相关主管部门授权测评机构检测的安全保密产品，并正确配置和使用；涉密计算机和信息系保密产品，并正确配置和使用；涉密计算机和信息系统应当采取身份鉴别、访问控制和安全审计等技术保统应当采取身份鉴别、访问控制和安全审计等技术保护措施，及时升级病毒和恶意代码样本库，进行病毒护措施，及时升级病毒和恶意代码样本库，进行病毒和恶意代码查杀，及时安装操作系统、数据库和应用和恶意代码查杀，及时安装操作系统、数据库和应用系统的补丁程序；涉密计算机和信息系统中的信息输系统的补丁程序；涉密计算机和信息系统中的信息输出应当相对集中，有效控制；未经单位信息化管理部出应当相对集中，有效控制；未经单位信息化管理部门审批，涉密计算机和信息系统用户终端禁止安装或门审批，涉密计算机和信息系统用户终端禁止安装或拆卸硬件设备和软件。拆卸硬件设备和软件。具体标准具体标准-保密监督管理保密监督管理-计算计算机和信息系统管理机和信息系统管理n n应当拆除涉密便携式计算机中具有无线联网应当拆除涉密便携式计算机中具有无线联网功能的硬件模块；涉密计算机和信息系统禁功能的硬件模块；涉密计算机和信息系统禁止使用具有无线功能的外部设备；未经单位止使用具有无线功能的外部设备；未经单位保密工作机构审批，涉密便携式计算机不得保密工作机构审批，涉密便携式计算机不得存储涉密信息。存储涉密信息。n n在涉密计算机和信息系统内使用的存储介质在涉密计算机和信息系统内使用的存储介质应当采取有效的控制措施；禁止使用无标识应当采取有效的控制措施；禁止使用无标识的存储介质；禁止在低密级计算机上使用高的存储介质；禁止在低密级计算机上使用高密级存储介质；禁止在低密级存储介质上存密级存储介质；禁止在低密级存储介质上存储高密级信息；信息交换应当符合国家有关储高密级信息；信息交换应当符合国家有关保密管理规定，并配备中间转换机。保密管理规定，并配备中间转换机。具体标准具体标准-保密监督管理保密监督管理-计算计算机和信息系统管理机和信息系统管理n n涉密信息设备和传输线路的电磁泄露发射防护措施应当符合国家有关保密管理规定。n n涉密计算机和存储介质携带外出应当履行审批手续，确保仅存有与外出工作相关的涉密信息，带回时应进行保密检查。具体标准具体标准-保密监督管理保密监督管理-计算计算机和信息系统管理机和信息系统管理n n涉密信息系统应当配备系统管理员、安全保密员、安涉密信息系统应当配备系统管理员、安全保密员、安全审计员，权限设置应当相互独立、相互制约，三员全审计员，权限设置应当相互独立、相互制约，三员角色不得兼任；没有涉密信息系统的单位应当配备涉角色不得兼任；没有涉密信息系统的单位应当配备涉密计算机安全保密管理员；涉密计算机和信息系统安密计算机安全保密管理员；涉密计算机和信息系统安全保密管理人员应当通过安全保密培训，持证上岗，全保密管理人员应当通过安全保密培训，持证上岗，并按照涉密人员管理。并按照涉密人员管理。n n要建立防止涉密信息上国际互联网和其它公共信息网要建立防止涉密信息上国际互联网和其它公共信息网络的控制措施，对外发布信息应当经过保密审查；从络的控制措施，对外发布信息应当经过保密审查；从国际互联网和其它公共信息网络下载信息、程序和软国际互联网和其它公共信息网络下载信息、程序和软件工具等到涉密计算机和信息系统中应当加强管理与件工具等到涉密计算机和信息系统中应当加强管理与控制控制具体标准具体标准-保密监督管理保密监督管理-通信通信及办公自动化设备管理及办公自动化设备管理n n处理涉密信息的办公自动化设备禁止连接国处理涉密信息的办公自动化设备禁止连接国际互联网和其它公共信息网络，禁止连接内际互联网和其它公共信息网络，禁止连接内部非涉密计算机和信息系统；禁止使用非涉部非涉密计算机和信息系统；禁止使用非涉密办公自动化设备存储和处理涉密信息。密办公自动化设备存储和处理涉密信息。n n通信设备的使用应当符合国家有关保密管理通信设备的使用应当符合国家有关保密管理规定，重要涉密场所禁止使用无线通信设备；规定，重要涉密场所禁止使用无线通信设备；办公自动化设备应当建立台帐，并指定专人办公自动化设备应当建立台帐，并指定专人管理；禁止使用具有无线互联功能的办公自管理；禁止使用具有无线互联功能的办公自动化设备存储和处理涉密信息。动化设备存储和处理涉密信息。具体标准具体标准-保密监督管理保密监督管理-通信通信及办公自动化设备管理及办公自动化设备管理n n通信设备的使用应当符合国家有关保密管理规定，重要涉密场所禁止使用无线通信设备；办公自动化设备应当建立台帐，并指定专人管理；禁止使用具有无线互联功能的办公自动化设备处理涉密信息；涉密办公自动化设备的维修、报废应当符合国家有关保密管理规定具体标准具体标准-保密监督管理保密监督管理-宣传宣传报道管理报道管理n n涉及军工科研生产事项的宣传报道、展览、公开发表著作和论文等，应当经过保密审查；需报主管部门审批的，应当履行报批手续。n n接受涉及军工科研生产事项的新闻媒体采访，应当履行审批手续，不得涉及国家秘密。具体标准具体标准-保密监督管理保密监督管理-涉密涉密会议管理会议管理n n涉密会议应当在具备安全保密条件的场所召涉密会议应当在具备安全保密条件的场所召开。开。n n与会人员身份确认和涉密载体的发放、清退、与会人员身份确认和涉密载体的发放、清退、销毁应当指定专人负责，使用和管理应当符销毁应当指定专人负责，使用和管理应当符合相关保密要求。合相关保密要求。n n会议使用的扩音等技术设备应当符合保密要会议使用的扩音等技术设备应当符合保密要求；会议场所禁止带入手机等移动通讯工具，求；会议场所禁止带入手机等移动通讯工具，必要时应当设置手机信号干扰器；禁止带入必要时应当设置手机信号干扰器；禁止带入具有无线上网功能的便携式计算机；未经批具有无线上网功能的便携式计算机；未经批准禁止带入具有摄录功能的设备。准禁止带入具有摄录功能的设备。具体标准具体标准-保密监督管理保密监督管理-外场外场实验管理实验管理n n单位应当指定专人负责保密管理工作。n n对无线通信设备和具有摄录功能的设备等应当采取控制措施。n n对涉密载体和密品的管理应当采取安全保密防护措施。具体标准具体标准-保密监督管理保密监督管理-协作协作配套配套n n承担涉密协作配套任务的单位，应当严格执行合同保密条款，遵守保密协议。n n在合同签订、合同履行和合同文本中，严格控制背景、用途等涉密内容，不得泄露配套项目研制必需的技术要求以外的涉密信息。具体标准具体标准-保密监督管理保密监督管理-涉外涉外管理管理n n在对外交流、合作和谈判等外事活动中应当制定保密方案，明确保密事项，采取相应的保密措施，执行保密提醒制度。n n对外提供文件资料或物品的，应当经过保密审查；涉及国家秘密的，应当按照国家有关规定审批。具体标准具体标准-保密监督管理保密监督管理-保密保密检查检查n n单位应当每单位应当每6 6个月组织保密检查，对发现的问个月组织保密检查，对发现的问题，及时整改。题，及时整改。n n单位保密工作机构应当每单位保密工作机构应当每3 3个月对涉密部门负个月对涉密部门负责人进行保密检查，保密委员会或保密工作责人进行保密检查，保密委员会或保密工作领导小组年度内应当组织对单位负责人的保领导小组年度内应当组织对单位负责人的保密检查。密检查。n n涉密部门和涉密人员应当每月进行保密自查。涉密部门和涉密人员应当每月进行保密自查。n n发现泄密事件应当按有关规定及时报告和采发现泄密事件应当按有关规定及时报告和采取补救措施，并报告查处情况。取补救措施，并报告查处情况。具体标准具体标准-保密监督管理保密监督管理-考核考核与奖惩与奖惩n n应当严格执行保密责任追究制度。n n保密责任落实情况应当纳入年度考核内容。n n对保密工作做出突出成绩的单位和个人应当给予表彰和奖励。n n对违反保密法律法规的行为，应当视情给予处罚；泄露国家秘密的，应当按照有关规定作出处理。具体标准具体标准-保密监督管理保密监督管理-工作工作档案管理档案管理n n单位保密工作机构对保密工作开展情况应当有文字记载，内容完整翔实，并进行分类归档，有条件的建立电子文档。n n涉密部门对保密工作开展情况应当有文字记载。具体标准具体标准-保密监督管理保密监督管理-保密保密条件保障条件保障n n保密工作经费分为保密管理工作经费和专项保密工作经费。保密管理工作经费用于单位日常保密管理工作；专项保密工作经费用于保密防护设施的建设和设备的配备。n n保密管理工作经费应当单独列入单位年度财务预算，根据工作需要保证足额开支。具体标准具体标准-保密监督管理保密监督管理-保密保密条件保障条件保障n n保密管理工作经费以5万元为保证基数，按照平均每人每年度重要涉密人员200元，一般涉密人员100元计算，不足部分按实际工作需要增补。n n专项保密工作经费应当按实际需要予以保障。n n具备满足工作需要的保密技术检查手段和能力。计算机信息系统保密管理计算机信息系统保密管理保密法规和标准体系保密法规和标准体系保密法规和标准体系保密法规和标准体系计算机信息系统保密管理计算机信息系统保密管理保密法规和标准体系保密法规和标准体系pp概要概要pp法规、文件和技术标准概览法规、文件和技术标准概览pp应重点把握的几个方面应重点把握的几个方面pp涉密信息系统的保密要求涉密信息系统的保密要求涉密信息系统概念涉密信息系统概念涉密信息系统概念涉密信息系统概念信息系统的管理原则信息系统的管理原则信息系统的管理原则信息系统的管理原则涉密信息系统的管理涉密信息系统的管理涉密信息系统的管理涉密信息系统的管理过程过程过程过程涉密信息系统的分级涉密信息系统的分级涉密信息系统的分级涉密信息系统的分级保护保护保护保护n n 概要概要党中央和国务院以信息化建设与信息安全保密工作极党中央和国务院以信息化建设与信息安全保密工作极为重视；为重视；国家保密工作部门制定下发了一系列文件、法规和技国家保密工作部门制定下发了一系列文件、法规和技术标准，涉及到了信息系统规划设计、建设、使用和术标准，涉及到了信息系统规划设计、建设、使用和管理等各个方面，形成了较为完备的法规和技术标准管理等各个方面，形成了较为完备的法规和技术标准体系；体系；保密法规和技术标准具有较强的可操作性。保密法规和技术标准具有较强的可操作性。例例:介质使用管理介质使用管理 BMB20-2007 7.3.2.4 （）应按照BMB17-2006中7.1.3.3“介质使用”的要求，加强涉密介质的使用管理，并严禁将个人具有存储功能的介质和电子设备带入涉密系统内使用；（）可移动存储介质应只做临时存储介质使用，每次使用完毕后，应及时进行信息消除处理，所采用的技术、设备和措施应符合保密规定和标准；（）应严格限制从互联网将数据拷贝到涉密信息设备和涉密信息系统；若确因工作需要，经审查批准后，应使用非涉密移动存储介质进行拷贝，并采取有效的保密管理和技术防范措施（如进行恶意代码查杀，并使用刻录光盘或具有写保护装置的移动存储介质），严防被植入恶意代码程序。n n 法规、文件和技术标准概览法规、文件和技术标准概览 法规和文件法规和文件法规和文件法规和文件 （1/31/31/31/3）中共中央关于加强新形势下保密工作的决定（中发199716号计算机信息系统保密管理暂行规定（国保发19981号涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法（中保办发19986号关于加强政府上网信息保密管理的通知（国保发19994号关于加强高技术条件下保密工作的意见（中保发19997号n n 法规、文件和技术标准概览法规、文件和技术标准概览 法规和文件法规和文件法规和文件法规和文件 （2/32/32/32/3）计算机信息系统国际联网保密管理规定（国保发199910号关于加强计算机信息网络保密管理的通知（中保委发20024号关于加强信息安全保障工作中保密管理的若干意见（中保委发20047号涉及国家秘密的信息系统集成资质管理办法（国保发20055号涉及国家秘密的信息系统分级保护管理办法（国保发200516号n n 法规、文件和技术标准概览法规、文件和技术标准概览 法规和文件法规和文件法规和文件法规和文件 （3/33/33/33/3）关于加强新技术产品使用保密管理的通知(国保发20063号涉及国家秘密的信息系统审批管理规定（待发）涉及国家秘密的信息系统风险评估管理办法（待发）n n 法规、文件和技术标准概览法规、文件和技术标准概览 保密标准保密标准保密标准保密标准 （系统类）（系统类）（系统类）（系统类）（1/21/21/21/2）BMZ1-2000 涉及国家秘密的计算机信息系统安全保密技术要求BMZ2-2001 涉及国家秘密的计算机信息系统安全保密方案设计指南BMZ3-2001 涉及国家秘密的计算机信息系统安全保密测评指南BMB17-2006 涉及国家秘密的信息系统分级保护技术要求BMB18-2006 涉及国家秘密的信息系统工程监理规范n n 法规、文件和技术标准概览法规、文件和技术标准概览 保密标准保密标准保密标准保密标准 （系统类）（系统类）（系统类）（系统类）（2/22/22/22/2）BMB20-2007 涉及国家秘密的信息系统分级保护管理规范BMB21-2007 涉及国家秘密的载体销毁与信息消除安全保密要求BMB22-2007 涉及国家秘密的信息系统分级保护测评指南涉及国家秘密的信息系统分级保护安全保密方案设计要求(待发)n n 法规、文件和技术标准概览法规、文件和技术标准概览 保密标准保密标准保密标准保密标准 （电磁类、产品类）（电磁类、产品类）（电磁类、产品类）（电磁类、产品类）（1/31/31/31/3）BMB1-1994 电话机电磁泄漏发射限值和测试方法BMB2-1998 使用现场的信息设备电磁泄漏发射检查测试方法和安全判据BMB3-1999 处理涉密信息的电磁屏蔽室的技术要求和测试方法BMB4-2000 电磁干扰器技术要求和测试方法BMB5-2000 涉密信息设备使用现场的电磁泄漏发射防护要求BMB6-2001 密码设备电磁泄漏发射测试方法（总则）n n 法规、文件和技术标准概览法规、文件和技术标准概览 保密标准保密标准保密标准保密标准 （电磁类、产品类）（电磁类、产品类）（电磁类、产品类）（电磁类、产品类）（2/32/32/32/3）BMB7.1-2001 电话密码机电磁泄漏发射测试方法BMB10-2004 涉及国家秘密的计算机网络安全隔离设备的技术要求和测试方法BMB11-2004 涉及国家秘密的计算机信息系统防火墙安全技术要求BMB12-2004 涉及国家秘密的计算机信息系统漏洞扫描产品技术要求BMB13-2004 涉及国家秘密的计算机信息系统入侵检测产品技术要求n n 法规、文件和技术标准概览法规、文件和技术标准概览 保密标准保密标准保密标准保密标准 （电磁类、产品类）（电磁类、产品类）（电磁类、产品类）（电磁类、产品类）（3/33/33/33/3）BMB15-2004 涉及国家秘密的信息系统安全审计产品技术要求BMB16-2004 涉及国家秘密的信息系统安全隔离与信息交换产品技术要求BMB19-2006 电磁泄漏发射屏蔽机柜技术要求和测试方法计算机信息系统保密管理计算机信息系统保密管理保密法规和标准体系保密法规和标准体系pp概要概要pp法规、文件和技术标准概览法规、文件和技术标准概览pp应重点把握的几个方面应重点把握的几个方面pp涉密信息系统的保密要求涉密信息系统的保密要求n 应重点把握的几个方面应重点把握的几个方面涉密信息系统概念涉密信息系统概念信息系统的管理原则信息系统的管理原则涉密信息系统的管理过程涉密信息系统的管理过程涉密信息系统的分级保护n 涉密信息系统概念涉密信息系统概念信息系统的一些习惯的提法信息系统的一些习惯的提法 电子政务内网、外网，电子政务内网、外网，?专网，局域网，广域网，专网，局域网，广域网，城域网等皆没有客观地反应出系统的涉密属性。城域网等皆没有客观地反应出系统的涉密属性。涉密信息系统涉密信息系统 涉及国家秘密信息的信息系统简称为涉及国家秘密信息的信息系统简称为“涉密信息系统涉密信息系统”。是指用于存储、处理和传输。是指用于存储、处理和传输国家秘密信息国家秘密信息的信息的信息系统。系统。涉密信息系统的分级涉密信息系统的分级 依据信息的密级（秘密、机密、绝密）由低到高分为依据信息的密级（秘密、机密、绝密）由低到高分为秘密级、机密级和绝密级三个防护等级。秘密级、机密级和绝密级三个防护等级。n 信息系统的管理原则信息系统的管理原则n n涉密信息系统管理原则涉密信息系统管理原则涉密信息系统管理原则涉密信息系统管理原则n n非涉密信息系统管理原则非涉密信息系统管理原则非涉密信息系统管理原则非涉密信息系统管理原则u同步建设同步建设u严格审批严格审批u注重防范注重防范u规范管理规范管理 n 信息系统的管理原则信息系统的管理原则n n涉密信息系统管理原则涉密信息系统管理原则涉密信息系统管理原则涉密信息系统管理原则n n非涉密信息系统管理原则非涉密信息系统管理原则非涉密信息系统管理原则非涉密信息系统管理原则u控制源头控制源头u加强检查加强检查u明确责任明确责任u落实制度落实制度 n 涉密信息系统管理过程涉密信息系统管理过程系统定级系统定级方案设计方案设计工程实施工程实施系统测评系统测评系统审批系统审批日常管理日常管理测评与检查测评与检查系统废止系统废止u依据：依据：保密法保密法及其实施办法、国及其实施办法、国家保密局会同有关业务部门制定的家保密局会同有关业务部门制定的国家秘密及其密级具体范围国家秘密及其密级具体范围，涉及国家秘密的信息系统分级保护涉及国家秘密的信息系统分级保护管理办法管理办法。u安全等级：按照所处理信息的最高密安全等级：按照所处理信息的最高密级，由低到高分为秘密、机密和绝密级，由低到高分为秘密、机密和绝密三个等级。三个等级。n 涉密信息系统管理过程涉密信息系统管理过程系统定级系统定级方案设计方案设计工程实施工程实施系统测评系统测评系统审批系统审批日常管理日常管理测评与检查测评与检查系统废止系统废止u依据：涉及国家秘密的计算机信息系统安全保密方案设计指南、涉及国家秘密的信息系统分级保护技术要求、涉及国家秘密的信息系统分级保护管理规范。u要求：从实际出发，综合平衡安全风险与成本，设计符合标准要求的系统建设和安全保密方案。n 涉密信息系统管理过程涉密信息系统管理过程系统定级系统定级方案设计方案设计工程实施工程实施系统测评系统测评系统审批系统审批日常管理日常管理测评与检查测评与检查系统废止系统废止 方案设计分为四个阶段：方案设计分为四个阶段：u规划设计阶段的风险评估规划设计阶段的风险评估u集成单位选择集成单位选择u系统方案设计系统方案设计u系统方案论证系统方案论证n 涉密信息系统管理过程涉密信息系统管理过程系统定级系统定级方案设计方案设计工程实施工程实施系统测评系统测评系统审批系统审批日常管理日常管理测评与检查测评与检查系统废止系统废止u根据工程的具体情况划定保密范围，根据工程的具体情况划定保密范围，制定相应的保密措施和保密控制流程，制定相应的保密措施和保密控制流程，严格控制接触涉密信息的人员范围。严格控制接触涉密信息的人员范围。u按照按照涉及国家秘密的信息系统工程涉及国家秘密的信息系统工程监理规范监理规范进行工程监理。进行工程监理。u加强安全保密控制、质量控制、进度加强安全保密控制、质量控制、进度控制、成本控制、合同管理和文档管控制、成本控制、合同管理和文档管理。理。n 涉密信息系统管理过程涉密信息系统管理过程系统定级系统定级方案设计方案设计工程实施工程实施系统测评系统测评系统审批系统审批日常管理日常管理测评与检查测评与检查系统废止系统废止u工程结束后，建设使用单位向保密工工程结束后，建设使用单位向保密工作部门申请，由被授权的测评机构对作部门申请，由被授权的测评机构对系统进行安全保密测评。系统进行安全保密测评。u测评主要包括资料审查、现场考察、测评主要包括资料审查、现场考察、现场检测、出具测评报告、专家评估，现场检测、出具测评报告、专家评估，并将测评结论报保密工作部门。并将测评结论报保密工作部门。n 涉密信息系统管理过程涉密信息系统管理过程系统定级系统定级方案设计方案设计工程实施工程实施系统测评系统测评系统审批系统审批日常管理日常管理测评与检查测评与检查系统废止系统废止u涉密信息系统建成后要经过审批才能涉密信息系统建成后要经过审批才能投入使用。未经审批，涉密信息系统投入使用。未经审批，涉密信息系统不得投入使用。不得投入使用。u国家保密工作部门负责审批中央和国国家保密工作部门负责审批中央和国家机关各部委及其直属单位、国防武家机关各部委及其直属单位、国防武器装备科研生产一级保密资格单位的器装备科研生产一级保密资格单位的涉密信息系统；省级负责省直机关各涉密信息系统；省级负责省直机关各部门、中央和国家机关下属单位、二部门、中央和国家机关下属单位、二和三级；市（地）级负责本行政区域和三级；市（地）级负责本行政区域内地方所属单位。内地方所属单位。n 涉密信息系统管理过程涉密信息系统管理过程系统定级系统定级方案设计方案设计工程实施工程实施系统测评系统测评系统审批系统审批日常管理日常管理测评与检查测评与检查系统废止系统废止u成立安全保密管理机构。单位领导任成立安全保密管理机构。单位领导任责任人，成员应包括保密、信息化、责任人，成员应包括保密、信息化、密码、相关业务部门人员。密码、相关业务部门人员。u保密管理应包括人员管理、物理环境保密管理应包括人员管理、物理环境与设施管理、设备与介质管理、运行与设施管理、设备与介质管理、运行与开发管理、信息保密管理等五个方与开发管理、信息保密管理等五个方面。面。n 涉密信息系统管理过程涉密信息系统管理过程系统定级系统定级方案设计方案设计工程实施工程实施系统测评系统测评系统审批系统审批日常管理日常管理测评与检查测评与检查系统废止系统废止u秘密级、机密级信息系统，每两年至秘密级、机密级信息系统，每两年至少进行一次保密检查或系统测评；绝少进行一次保密检查或系统测评；绝密级系统每年至少进行一次。密级系统每年至少进行一次。u测评由保密工作部门组织系统测评机测评由保密工作部门组织系统测评机构进行；保密检查由各级保密技术检构进行；保密检查由各级保密技术检查机构承担。查机构承担。u测评和检查形成的数据、记录和评估测评和检查形成的数据、记录和评估报告，应定密。报告，应定密。n 涉密信息系统管理过程涉密信息系统管理过程系统定级系统定级方案设计方案设计工程实施工程实施系统测评系统测评系统审批系统审批日常管理日常管理测评与检查测