(2009年新修訂)
1適用範圍
1.1本標準為武器裝備科研生產單位三級保密資格審查認證和復查的依據。
2實施原則
2.1積極防範,突出重點,嚴格標準,嚴格管理。
2.2業務工作誰主管,保密工作誰負責。
3具體標準
3.1 保密責任
3.1.1法定代表人或主要負責人責任:
對本單位保密工作負全面領導責任。
a)保證黨和國家有關保密工作的方針政策和法律法規在本單位的貫徹執行;
b)保證本標準在本單位的實施,及時解決保密工作中的重要問題,監督檢查領導責任制的落實;
c)為保密工作提供人力、財力、物力等條件保障。
3.1.2分管保密工作負責人責任:
對本單位保密工作負具體領導責任。
a)及時研究和部署保密工作;
b)對保密工作落實情況組織監督檢查;
c)為保密工作機構履行職責提供保障。
3.1.3其他負責人責任:
對分管工作範圍內的保密工作負領導責任。
a)對分管工作中的保密工作進行研究和部署;
b)對分管工作中的保密措施落實情況進行監督檢查;
c)為分管工作中的保密工作開展提供保障。
3.1.4涉密部門負責人或項目負責人責任:
對本部門或本項目的保密工作負直接領導責任。
a)掌握本部門或本項目的保密工作情況;
b)采取具體措施組織落實單位保密工作部署;
c)對保密措施落實情況進行監督檢查。
3.1.5涉密人員責任:
對本職崗位的保密工作負直接責任。
a)熟悉本職崗位的保密要求;
b)按規定履行保密工作職責。
3.2保密組織機構
3.2.1保密委員會或保密工作領導小組
3.2.1.1單位應當成立保密委員會或保密工作領導小組,保密委員會或保密工作領導小組為單位保密工作領導機構,應當有明確的職責。
3.2.1.2保密委員會或保密工作領導小組由單位負責人和有關部門主要負責人組成,保密委員會主任或保密工作領導小組組長由單位負責人擔任;保密委員會或保密工作領導小組成員應當有明確的職責分工。
3.2.1.3保密委員會或保密工作領導小組實行例會制度,對保密工作進行研究、部署和總結,及時解決保密工作中的重要問題。保密委員會或保密工作領導小組例會每年不少於2次。
3.2.2保密工作機構
3.2.2.1單位應當設置負責保密管理工作的機構,在保密委員會或保密工作領導小組領導下獨立行使保密管理職能。
3.2.2.2保密工作機構應當履行下列職責:
a)向保密委員會或保密工作領導小組提出工作建議,組織落實保密委員會或保密工作領導小組的工作部署;
b)組織指導制定保密制度;
c)組織指導涉密人員的審查界定和保密教育培訓;
d)組織保密檢查工作;
e)監督指導定密工作;
f)組織協調保密審查工作;
g)監督指導重要涉密活動的保密管理工作;
h)組織確定和調整保密要害部門、部位;
i)監督指導計算機和信息系統、通信及辦公自動化設備的保密管理工作;
j)監督指導保密防護措施的實施;
k)查處違反保密法律法規的行為和泄密事件;
l)提出保密責任追究和獎懲建議。
3.2.3保密工作機構人員配備
3.2.3.1涉密人員100人(含)以上的,專職保密工作人員配備不得少於1人;涉密人員100人以下的,應當配備兼職保密工作人員。
單位應確定壹部門負責人擔任保密工作機構負責人。
3.2.3.2保密工作機構人員應當具備下列條件:
a)具備良好的政治素質;
b)熟悉保密法律法規,掌握保密知識技能,具有壹定的管理工作能力;
c)熟悉本單位業務工作和保密工作情況;
d)通過培訓和考核,獲得保密工作資格證書。
3.3保密制度
保密制度健全、規範,具有可操作性。保密制度包括基本制度、二級制度和專項制度。
3.3.1基本制度
基本制度是單位依據國家保密法律法規和上級有關規定制定的日常保密管理總的工作規範,包括以下基本內容:
a)保密教育;
b)涉密人員管理;
c)確定、變更和解除國家秘密管理;
d)國家秘密載體管理;
e)要害部門、部位管理;
f)計算機和信息系統管理;
g)通信及辦公自動化設備管理;
h)宣傳報道管理;
i)涉密會議管理;
j)協作配套管理;
k)涉外活動管理;
l)保密監督檢查;
m)泄密事件報告和查處;
n)責任考核與獎懲。
3.3.2 保密制度應當根據實際情況及時修訂完善。
3.4保密監督管理
3.4.1定密管理
3.4.1.1對本單位產生的國家秘密事項及時確定密級和保密期限。
3.4.1.2根據項目原定密級的變更情況,及時調整變更密級。
3.4.2涉密人員管理
3.4.2.1單位應當按照涉密程度對涉密崗位和涉密人員的涉密等級做出界定。
涉密崗位和涉密人員的涉密等級分為重要(機密級)和壹般(秘密級)兩個等級。
3.4.2.2涉密人員的涉密等級,應當根據情況變化,及時進行調整。
3.4.2.3進入涉密崗位的人員應當會同保密工作機構進行審查和培訓。
3.4.2.4單位應當與涉密人員簽訂保密責任書。保密責任書包括涉密人員的保密義務和責任及享有的權利等基本內容。
3.4.2.5單位對在崗涉密人員應當進行保密教育培訓,每人每年度不少於8學時。
3.4.2.6建立涉密人員保密自查制度。對涉密人員的保密義務和責任情況,應當進行監督考核。涉密人員嚴重違反保密法律法規應當調離涉密崗位。
3.4.2.7單位應當根據涉密人員涉密等級,給予相應的保密補貼。
3.4.2.8涉密人員脫離單位,應當與原單位簽訂保密承諾書。單位應當對其實行脫密期管理。重要涉密人員的脫密期為2年至3年,壹般涉密人員的脫密期為1年至2年。
3.4.2.9單位應當及時將涉密人員名單在公安機關出入境管理機構登記備案。因私出國(境)的,應當按有關規定審批。出國(境)前應當對其進行保密教育。
涉密人員擅自出國(境)的,單位應當立即向上級機關或有關部門報告。
3.4.3涉密載體管理
3.4.3.1國家秘密載體應當按有關規定標明密級和保密期限。
3.4.3.2制作、收發、傳遞、使用、復制、保存、維修和銷毀國家秘密載體(含紙介質、磁介質和光盤等各類物品)及其過程文件資料,應當符合國家有關保密管理規定。 (履行簽收、登記、審批手續)
3.4.3.3密品研制、生產、試驗、運輸、使用、保存、維修和銷毀,應當符合國家有關保密管理規定。 (同上)
3.4.3.4嚴格控制國家秘密載體的接觸範圍。 (同上)
3.4.3.5國家秘密載體應當存放在密碼文件櫃中。
3.4.3.6涉密人員辭職、解聘、調離涉密崗位,應當在離崗前清退保管和使用的國家秘密載體。
3.4.4要害部門、部位管理
3.4.4.1單位日常工作中經常產生、傳遞、使用和管理國家秘密的內設機構,應當確定為保密要害部門。
單位集中制作、存放、保管國家秘密載體及重要密品研制、實驗的專門場所,應當確定為保密要害部位。
3.4.4.2保密要害部門、部位的確定,應當按有關規定履行審批程序。
3.4.4.3保密要害部門、部位應當采取嚴格的保密防護措施。根據有關規定安裝防盜報警裝置,配備安全值班人員。
3.4.4.4涉及保密要害部門、部位的新建、改建工程項目要符合安全保密要求,所采取的保密防護措施應當經單位保密工作機構組織的審核,與工程建設同計劃、同設計、同建設、同驗收。
3.4.5計算機和信息系統管理
3.4.5.1涉密信息系統投入運行前,應當經省(自治區、直轄市)保密工作部門審批。 (需取得《涉及國家秘密的信息系統使用許可證》,采用單機除外)
3.4.5.2涉密計算機和信息系統應當與國際互聯網和其它公***信息網絡實行物理隔離;禁止使用非涉密的計算機、信息系統和存儲介質存儲和處理涉密信息;禁止將涉密計算機和信息系統接入內部非涉密信息系統;涉密信息的遠程傳輸應當按國家有關部門要求采取密碼保護措施;未經單位信息化管理部門審批,禁止對涉密計算機和信息系統格式化或重裝操作系統,禁止刪除涉密計算機和信息系統的移動存儲介質及外部設備等日誌記錄。
3.4.5.3應當建立信息設備和存儲介質臺帳;涉密信息設備和存儲介質的維修、報廢應當符合國家有關保密管理規定。
3.4.5.4信息設備和存儲介質應當具有標識,涉密的應當標明密級,非密的應當標明用途;涉密信息設備和存儲介質中的涉密信息應當標明密級。
3.4.5.5涉密計算機和信息系統應當制定文檔化的安全保密策略,並根據環境、系統和威脅變化情況及時調整更新;每3個月形成文檔化的安全保密審計報告;每12個月根據系統綜合日誌,進行壹次風險自評估,形成文檔化的風險分析報告,對存在的風險應當及時采取補救措施。
3.4.5.6涉密計算機和信息系統應當按照存儲和處理信息的相應密級進行管理和防護;涉密計算機和信息系統應當選擇通過國家相關主管部門授權測評機構檢測的安全保密產品,並正確配置和使用;涉密計算機和信息系統應當采取身份鑒別、訪問控制和安全審計等技術保護措施,及時升級病毒和惡意代碼樣本庫,進行病毒和惡意代碼查殺,及時安裝操作系統、數據庫和應用系統的補丁程序;涉密計算機和信息系統中的信息輸出應當相對集中,有效控制;未經單位信息化管理部門審批,涉密計算機和信息系統用戶終端禁止安裝或拆卸硬件設備和軟件。
3.4.5.7應當拆除涉密便攜式計算機中具有無線聯網功能的硬件模塊;涉密計算機和信息系統禁止使用具有無線功能的外部設備;未經單位保密工作機構審批,涉密便攜式計算機不得存儲涉密信息。
3.4.5.8在涉密計算機和信息系統內使用的存儲介質應當采取有效的控制措施;禁止使用無標識的存儲介質;禁止在低密級計算機上使用高密級存儲介質;禁止在低密級存儲介質上存儲高密級信息;信息交換應當符合國家有關保密管理規定,並配備中間轉換機。
3.4.5.9涉密信息設備和傳輸線路的電磁泄漏發射防護措施應當符合國家有關保密管理規定。 (《涉密信息設備使用現場的電磁泄漏發射防護要求》涉密信
息設備、傳輸線的紅黑隔離)
3.4.5.10涉密計算機和存儲介質攜帶外出應當履行審批手續,確保僅存有與外出工作相關的涉密信息,帶回時應當進行保密檢查。
3.4.5.11涉密信息系統應當配備系統管理員、安全保密管理員、安全審計員,權限設置應當相互獨立、相互制約,三員角色不得兼任;沒有涉密信息系統的單位應當配備涉密計算機安全保密管理員;涉密計算機和信息系統安全保密管理人員應當通過安全保密培訓,持證上崗,並按照重要涉密人員管理。
3.4.5.12要建立防止涉密信息上國際互聯網和其它公***信息網絡的控制措施,對外發布信息應當經過保密審查;從國際互聯網和其它公***信息網絡下載信息、程序和軟件工具等到涉密計算機和信息系統中應當加強管理與控制。
3.4.6通信及辦公自動化設備管理
3.4.6.1處理涉密信息的辦公自動化設備禁止連接國際互聯網和其它公***信息網絡,禁止連接內部非涉密計算機和信息系統;禁止使用非涉密辦公自動化設備存儲和處理涉密信息。
3.4.6.2通信設備的使用應當符合國家有關保密管理規定,重要涉密場所禁止使用無線通信設備;辦公自動化設備應當建立臺帳,並指定專人管理;禁止使用具有無線互聯功能的辦公自動化設備處理涉密信息;涉密辦公自動化設備的維修、報廢應當符合國家有關保密管理規定。
3.4.7宣傳報道管理
3.4.7.1涉及軍工科研生產事項的宣傳報道、展覽、公開發表著作和論文等,應當經單位業務主管部門保密審查和保密工作機構審核;需報上級主管部門審批的,應當履行報批手續。
3.4.7.2接受涉及軍工科研生產事項的新聞媒體采訪,應當履行審批手續,不得涉及國家秘密。
3.4.8涉密會議管理
3.4.8.1 涉密會議應當在具備安全保密條件的場所召開。
3.4.8.2與會人員進行身份確認和涉密載體的發放、清退和銷毀應當指定專人負責,使用和管理應當符合相關保密要求。
3.4.8.3會議使用的擴音等技術設備應當符合保密要求;會議場所禁止帶入手機等移動通信工具,必要時應當設置手機信號幹擾器;禁止帶入具有無線上網功能的便攜式計算機;未經批準禁止帶入具有攝錄功能的設備。
3.4.9外場試驗管理
3.4.9.1單位應當指定專人負責保密管理工作
3.4.9.2對無線通信設備和具有攝錄功能的設備等應當采取嚴格控制措施。
3.4.9.3對涉密載體和密品的管理應當采取安全保密防護措施。
3.4.10協作配套管理
3.4.10.1承擔涉密協作配套任務的單位,應當嚴格執行合同保密條款,遵守保密協議。
3.4.10.2在合同簽訂、合同履行和合同文本中,嚴格控制背景、用途等涉密內容,不得提供配套項目研制必需的技術要求以外的涉密信息。
3.4.11涉外管理
3.4.11.1在對外交流、合作和談判等外事活動中應當制定保密方案,明確保密事項,采取相應的保密措施,執行保密提醒制度。
3.4.11.2對外提供文件資料或物品的,應當經過保密審查;涉及國家秘密的,應當按照國家有關規定審批。
3.4.12保密檢查
3.4.12.1單位應當每6個月組織保密檢查,對發現的問題,提出書面整改要求,並督促整改。
單位保密工作機構應當每3個月對涉密部門負責人進行保密檢查,保密委員會或保密工作領導小組年度內應當組織對單位負責人的保密檢查。
涉密部門和涉密人員應當每月進行保密自查。
3.4.12.2發現泄密事件應當按有關規定及時報告和采取補救措施,並報告查處情況。
3.4.13考核與獎懲
3.4.13.1應當嚴格執行保密責任追究制度。
3.4.13.2保密責任落實情況應當納入年度績效考核內容。
3.4.13.3對保密工作做出突出成績的單位和個人應當給予表彰和獎勵。
3.4.13.4對違反保密法律法規的行為,應當視情給予處罰;泄露國家秘密的,應當按照有關規定作出處理。
3.4.14工作檔案管理
3.4.14.1單位保密工作機構對保密工作開展情況應當有文字記載,內容完整詳實,並進行分類歸檔,有條件的建立電子文檔。
3.4.14.2涉密部門對保密工作開展情況應當有文字記載。
3.5保密條件保障
3.5.1保密工作經費分為保密管理工作經費和專項保密工作經費。保密管理工作經費用於單位日常保密管理工作;專項保密工作經費用於保密防護設施的建設和設備的配備。
3.5.2保密管理工作經費應當單獨列入單位年度財務預算,根據工作需要保證足額開支。
3.5.3 保密管理工作經費以5萬元為保證基數,按照平均每人每年度重要涉密人員200元,壹般涉密人員100元計算,不足部分按實際工作需要增補。
3.5.4專項保密工作經費應當按實際需要予以保障。
3.5.5具備滿足工作需要的保密技術檢查手段和能力。