公司保密管理情况报告.doc

《公司保密管理情况报告.doc》由会员分享，可在线阅读，更多相关《公司保密管理情况报告.doc（22页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、.1/22公司管理情况报告公司管理情况报告一、一、机构设置机构设置为进一步做好安全管理工作，加强对信息安全、工作的统一管理，我公司成立工作领导小组，下设办公室，工作领导小组全面负责公司工作；办公室负责工作制度制定、执行、监督、检查，为工作执行机构。总经理为工作领导小组组长，办公室成员包括：主管技术负责人、财务部、人力资源部、项目管理部、市场部、技术部、行政等涉密岗位的人员。安全（）工作小组成员，负责建立健全、贯彻实施有关安全（）管理制度，组织公司安全（）教育和知识学习等项工作。定期组织对公司安全（）工作的监督、检查，与时解决安全（）工作中存在的问题。二、二、制度建设情况制度建设情况1、严格遵守

2、各项安全管理制度公司要求各级领导和全体员工严格遵守各项安全（）管 理制度与规定，加强信息安全工作的防，严格各项工作的业务流程，认真履行、互相监督，与时发现并消除隐患。加强管理。以涉密人员，涉密载体，涉密计算机管理为重点，进一步加强工作领导，强化管理，加强督促检查，狠抓各项措施和责任制的落实，杜绝重大失泄密事件的发生。2、涉密人员管理.2/22从事涉密业务服务的人员（包括外聘专家）应当按照有关规定进行安全审查，与单位签订安全责任书，明确安全责任和义务。离开涉密业务咨询服务岗位，应当清退涉密载体，实行脱密期管理。3、涉密项目管理绝密级或级项目，应当明确由领导小组组长负责管理工作，并严格控制知悉围。

3、4、涉密载体管理为了确保秘密载体的安全，本着严格管理、严密防、确定安全、方便工作的原则，严格按照要求，加强涉密载体的制作、收发、传送、使用、保存、销毁六大环节的管理，使涉密载体的管理工作步入了规化轨道。在制作环节上，无论是纸介质载体，还是其他介质载体均统一由制定人员制作，对不需归档的材料与时销毁。在收发和传递环节上，严格履行清点、登记、编号、签发手续，传递时，指派专人负责并采取相应安全措施。在使用环节上，严格知悉人员围，对擅自扩大知悉围的，严格追究相关人员责任。凡不准记录、录音、录像的，均事先申明，复制载体必须经主管领导批准，并履行登记手续。在保存上，严格按照国家档案法律法规归档，并指派专人负

4、责，配备必要的设备。在销毁上，认真履行审核、清点、登记手续，采取相应不泄密的方法销毁，杜绝将秘密载体当作废品出售。5、涉密计算机管理 涉密计算机与其移动存储介质应当集中管理，并建立台账；涉密计算机和信息系统应当与国际互联网和其它公共信息网.3/22物理隔离；涉密计算机不得安装任何无线通信设备；涉密信息系统投入使用前必须经过国家部门系统测评和审批；非涉密计算机和信息系统不得存储和处理涉密信息；涉密信息远程传输应当按照国家部门要求采取密码保护措施；涉密计算机和信息系统使用的移动存储介质应当采取绑定或有效的技术控制措施，信息导入和导出应当符合国家有关要求；存储、处理国家秘密的计算机和信息系统应当按照

5、有关法律法规与标准进行技术防护。实行计算机网络安全防护情况的检查，采取局域网络杀毒软件每星期定期升级杀毒等措施。坚持“上网信息不涉密、涉密信息不上网”的原则，防止失泄密问题的发生。6、涉密通信和办公自动化设备管理 涉密办公自动化设备不得连接互联网或其它公共信息网；不得使用具有无线互联功能的办公自动化设备处理涉密信息；不得使用普通通信设备传递涉密信息；不得使用普通(手机)谈论涉密事项；不得在涉密场所使用无绳。7、加强档案管理为了加强文件档案的借阅、传阅中的安全工作，完善了档案管理制度、严格执行档案的交接制度、销毁、借阅等制度。.4/228、认真落实安全（）“三级检查”制度公司安全（）工作小组为三

6、级；各部门经理为二级；员工个人为一级。逐级落实安全（）工作责任制，将各项安全（）管理工作抓细、抓实。三、三、涉密人员审查与教育管理情况涉密人员审查与教育管理情况1、严格执行涉密人员审查公司加强所有涉密人员的管理，严格审查涉密人员本人与亲属有无犯罪记录，有记录的不得纳入涉密工作人员，经查公司目前涉密工作人员均符合要求。2、加强公司宣传教育的管理使公司的宣传教育工作制度化、经常化、规化，提高全体员工意识，根据中华人民国保守国家秘密法与其实施办法和相关规定，进一步加强日常对员工的多种形式的培训工作，尤其是强化新员工入职培训。3、明确宣传培训工作职责划分公司小组对公司宣传教育工作进行领导、指导和协调，

7、指导制定公司宣传教育计划；组织和安排全公司性的宣传教育活动、公司涉密人员的年度培训。为公司其它宣传教育活动提供资料、教材、教学与咨询等保障。4、加强各业务工作的管理加强各部门业务管理意识，凡是涉与秘密的项目，主动与客户签订协议。.5/225、加强员工日常培训，提高意识宣传教育是增强意识，提高技能的重要途径。接受宣传教育，努力提高意识和技能是公司员工必须履行的法律义务。宣传教育是公司工作的一项基础性、长期性的工作，定期对所有员工培训知识，主要容包括：国家的法律、法规和工作部门的有关规定；公司各项工作规章制度；工作和管理的基本知识；技术防知识以与措施；计算机信息系统安全知识和防措施；公司涉密项目实

8、施与流程和知识与防措施；6、严格履行员工离职手续进一步细化员工离职的交接程序，尤其是涉密员工离职，进一步严格劳动合同的管理。四、四、要害部位管理要害部位管理1、职能部门加密。公司财务部、人力资源部、项目管理部等涉密职能部门全部加密码，避免通过泄密。2、人力资源部：所有人事档案入柜，封存，由专人保管；与新、老员工签订协议。未经批准，员工不得向外界传播或提供有关公司的一切有关文件与资料，也不得交给无关人员，否则应赔偿公司因此而遭受的一切经济损失。必要时，.6/22追究其法律责任。条款不因劳动合同书的终止而失效。严格加强对离职人员的交接流程的管理，细化员工离职的交接程序，规定交接时间。3、项目管理部

9、：涉密项目与用户签订协议。涉密项目文档均采用纸质或其他介质，不得通过网络发送，电子版本采用 pdf 格式，并设置开启密码。严格项目资料归档、借阅审批手续。合同设专人管理。4、业务技术部门：有关的电子资料都由部门经理或项目负责人保管或存放，并加锁。5、办公室：设置档案管理专人保管和借阅审批制度。加强办公区域的安全防盗管理，涉密项目资料设单独文件柜保存，文件柜加锁。为保障公司服务器的安全，未经公司计算机系统维护员同意，不得私自操作服务器。五、五、设备配备与设施建设设备配备与设施建设公司对涉密项目配备专用计算机与打印机，计算机没有与互联网连接，配置专用电源插座，并设置专门办公区域，资料均存放在涉密资

10、料文件柜：公司目前配备的设备如下：.7/22（表格）六、六、涉密载体使用管理涉密载体使用管理公司针对涉密项目专门制定涉密载体管理办法，容如下：第一条涉密文件、资料的收发和部传递、传阅，必须登记编号并与非涉密文件、资料分类登记。交接时必须履行签字手续。第二条涉密文件、资料和档案资料的学习传达、查、借、阅，严格控制知情人员围。知情人员围由公司负责人确定。第三条涉密项目工作人员不得借工作之便将涉密载体随意带出。因公外出人员不准随身携带涉密载体。如遇特殊情况必须随身携带时，事先必须经公司负责人与主管领导批准，办理登记手续。携带涉密载体时，必须装在文件包或密码文件箱，并乘坐有安全保障的交通工具。严禁在无

11、措施的情况下，随身携带涉密载体外出。不得携带载体出入公共场所、游览参观、探亲、访友。第四条涉密载体集中统一管理并建立归档、借阅和登记制度。借阅涉密载体需经本公司主管领导审批。批准后只限在本人查阅。未经批准不得借阅。查阅涉密载体必须在涉密区域与使用涉密计算机，不得擅自带回家中，不许使用非涉密计算机查阅，不得将文件、资料随意转借他人。第五条涉密载体的归档，要严格按公司制定的管理办法规定分类立卷、装订成册。与非涉密案卷分柜保管，存放在有安全保障的保险装置中。第六条涉密资料与载体的复制应按下列规定办理：.8/221、涉密项目资料未经批准不得随意复印。2、确因工作需要复印涉密档案资料，必须经公司负责人同

12、意并办理登记手续。3、涉密容的存储媒体、光盘等档案资料未经公司负责人许可，任何人不得复制、翻印。第七条涉密资料与载体移交、销毁工作，必须在公司负责人的监督、指导下严格管理。七、七、涉密信息系统集成业务流程管理情况涉密信息系统集成业务流程管理情况系统定级系统定级方案设计方案设计项目预评测项目预评测项目招投标项目招投标(报财政局项目采购立项、跟财报财政局项目采购立项、跟财政局协商招标方式、确定招标机构、编制招标文件、招标政局协商招标方式、确定招标机构、编制招标文件、招标)工程实施工程实施系统测评系统测评系统审批系统审批日常管理日常管理测试与检查测试与检查系统废止。系统废止。关键环节是关键环节是：项

13、目招投标过程项目招投标过程：一般流程是报财政局进行采购项目立项一般流程是报财政局进行采购项目立项、跟财政局协商跟财政局协商招标方式招标方式、确定招标机构确定招标机构、编制招标文件编制招标文件、招标招标，重点控制项目招标的细节要求重点控制项目招标的细节要求，特别是招特别是招标文件中的设备参数要求与评标办法的确定标文件中的设备参数要求与评标办法的确定，这两部分是项目成功的关键这两部分是项目成功的关键，在这个环节每有在这个环节每有一个变化我们都要与时沟通。一个变化我们都要与时沟通。1.11.1 分级保护整体工作流程分级保护整体工作流程系统定级方案设计工程实施系统测评系统审批日常管理测试与检查系统废止

14、。.9/221.21.2 实施过程概述实施过程概述下面对整个过程做简单的概述。1.2.11.2.1系统定级系统定级依据法密级围的规定，本单位、各部门组织开展对所属信息系统摸底调查工作。按照涉密信息系统所处理信息的最高密级，由低到高划分为秘密、和绝.10/22密三个等级。识别信息系统识别信息系统调查信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责、系统管理、使用、运维的责任部门确定业务流、数据流。明确系统定级明确系统定级依据业务流所产生信息明确最高密级。确定系统保护级别确定系统保护级别根据本单位信息的最高密级，依据 BMB-17 确定系统的保护等级。并整理定级

15、资料上报部门审批1.2.21.2.2方案设计方案设计选择建设方选择建设方选择具备国家涉密资质的建设方设计信息系统安全保障体系。系统风险评估系统风险评估在体系规划前根据方案设计要素制定详细调研、评估实施计划，识别用户系统存在的脆弱性、风险。确定保护要求确定保护要求根据可识别风险结合客户实际需求，确定最终保护要求。规划设计方案规划设计方案结合风险评估数据和客户保护需求，并依据分级保护方案设计指南（BMB-23）规划设计信息系统安全保障体系。.11/22设计方案论证设计方案论证上报信息系统安全保障体系详细设计方案到部门，并组织评审专家做一次论证。1.2.31.2.3工程实施工程实施制定制度制定制度项

16、目实施前根据工程具体情况制定涉密管理制度，严格对人员、设备、计划实行控制。选择项目监理选择项目监理项目实施前选择具有单项监理资质的单位对工程、质量、进度、成本进行控制。选择产品集成选择产品集成项目实施中产品集成方应具有涉密资质，所有选购的安全产品应符合要求。1.2.41.2.4系统测评系统测评提交测评申请提交测评申请工程实施结束后向部门提出系统测评申请，由国家部门授权的系统测评机构组织对涉密信息系统进行安全性测评，为一次测评为系统最终审批提供依据。提交系统测评资料提交系统测评资料根据国家部门授权的系统测评机构要求提供所有测评必要的资料。1.2.51.2.5系统审批系统审批提交运行前审批申请提交

17、运行前审批申请.12/22涉密信息系统在上线运行前需要向部门提出系统运行审批申请，并组织最终审批结论专家做论证。提交系统审批资料提交系统审批资料根据国家部门所属审批单位围向授权的系统测评机构要求提供所有审批必要的资料。1.2.61.2.6日常管理日常管理制定安全管理制度制定安全管理制度涉密信息系统上线运行后，根据分级保护管理规制定管理策略、组建管理机构，设置专职管理人员并监督制定的执行。定期风险自查定期风险自查涉密信息系统上线运行后，根据使用单位具体情况进行定期或不定期风险自评估工作，与时对系统运行、技术、管理新出现的安全威胁制定安全策略与补充措施，并严格管理评估数据。动态调整安全防护技术动态

18、调整安全防护技术涉密信息系统上线运行后，根据使用单位系统更新情况与风险自评估数据与时发现存在的风险，并动态调整安全策略适时补充完善技术、管理的措施。1.2.71.2.7测评与检查测评与检查涉密信息系统测评与检查涉密信息系统测评与检查涉密信息系统上线运行后，根据国家部门要求秘密、级信息系统每两年进行一次安全检查，绝密级信息系统每一年进行一次安全检查。.13/22信息系统环境或应用发生重大改变时，重新上报设计方案进行论证，并重新测评，检测系统的安全措施的有效性和环境变化的适应性，发现隐患与时采取相应的补充保护措施。1.2.81.2.8系统废止系统废止提交系统废止备案申请提交系统废止备案申请涉密信息

19、系统不再使用时，使用单位向工作部门提交系统废止申请备案。退密处理设备、产品退密处理设备、产品依据规定对涉密设备、产品妥善退密处理。销毁涉密介质销毁涉密介质对报废处理的涉密介质采用局统一规定使用的销毁软件工具，确保泄密事件不发生。1.31.3 分级保护各相关方的职责划分分级保护各相关方的职责划分分级保护实施工程所涉与的主管部门与协作单位分级保护实施工程所涉与的主管部门与协作单位协 调 单协 调 单位位实施容实施容系统所系统所有方有方国家局国家局系统建系统建设方设方产品集产品集成方成方施工监施工监理方理方评审专评审专家组家组授权测授权测评单位评单位结论专结论专家组家组系统系统定级定级详 细 系 统

20、识别 明 确 处 理信 息 的 最.14/22协 调 单协 调 单位位实施容实施容系统所系统所有方有方国家局国家局系统建系统建设方设方产品集产品集成方成方施工监施工监理方理方评审专评审专家组家组授权测授权测评单位评单位结论专结论专家组家组高密级确 定 系 统的 保 护 等级 上 报 审 核批准 系 统 保 护级别变更 方案方案设计设计选 择 有 涉密 资 质 的建设方对 密 级 系统 风 险 评估 确 定 最 终保护要求 规 划 设 计方案 上 报 审 查.15/22协 调 单协 调 单位位实施容实施容系统所系统所有方有方国家局国家局系统建系统建设方设方产品集产品集成方成方施工监施工监理方理方

21、评审专评审专家组家组授权测授权测评单位评单位结论专结论专家组家组论证工程工程实施实施制 定 实 施控制制度 选 择 有 涉密 资 质 的监理方选 择 有 涉密 资 质 的产 品 集 成方系统系统测评测评提 交 安 全测评申请 提 交 系 统测评资料 系统系统审批审批提 交 运 行前 审 批 申请 提 交 系 统审批资料.16/22协 调 单协 调 单位位实施容实施容系统所系统所有方有方国家局国家局系统建系统建设方设方产品集产品集成方成方施工监施工监理方理方评审专评审专家组家组授权测授权测评单位评单位结论专结论专家组家组日常日常管理管理制 定 安 全管理制度 组 建 安 全机构设 置 安 全专员

22、定 期 进 行风险自查严 格 管 理定 密 评 估数据动 态 调 整安 全 防 护技术 测评测评与检与检查查每 2 年 进行秘密、级系统检查 每1年进行绝 密 级 系.17/22协 调 单协 调 单位位实施容实施容系统所系统所有方有方国家局国家局系统建系统建设方设方产品集产品集成方成方施工监施工监理方理方评审专评审专家组家组授权测授权测评单位评单位结论专结论专家组家组统检查定 期 进 行系 统 安 全测评 严 格 管 理测评、检查数据系统系统废止废止提 交 系 统废 止 备 案申请退 密 处 理设备、产品 销 毁 处 理涉密介质 说明：代表主要协调单位、部门，代表辅助协调单位、部门。1.41.

23、4 用户分级保护的实施要求用户分级保护的实施要求管理要求管理要求容容.18/22系统定级涉密信息系统建设使用单位应根据系统所处理信息的最高密级，确定系统的保护等级，并将系统定级情况书面报本单位工作机构或当地工作部门审批批准。对于包含多个安全域的信息系统，各安全域可以分别确定保护等级。涉密信息系统处理信息的密级和应用情况发生变化时，建设使用单位应重新确定系统保护等级，并按相应等级要求调整保护措施。方案设计选择具有相应涉密资质的承建单位承担活参与涉密信息系统的方案设计与实施。工程实施与监理在工程实施期间，涉密信息系统建设使用单位应按照 BMB17-2006 的要求进行工程监理。在进行工程监理是，应

24、选择具有涉密工程监理单项资质的单位或组织自身力量在安全控制、质量控制、进度控制、成本控制、合同管理和文档管理留个方面加强监督检查定期的风险自评估涉密信息系统经过审批投入运行后，建设使用单位应定期进行风险自评估，分析由于系统需求与技术与管理因素变化而新出现的安全威胁，动态调整安全策略，适时补充和完善技术与管理措施，以使系统保持与等级要求相一致的防护水平。1.51.5 主管部门的管理手段主管部门的管理手段管理要求管理要求容容定级审批与备案管系统定级情况书面报本单位工作机构或当地工作部门审批批准。.19/22理国家工作部门负责受理备案并进行备案管理。分级保护方案审批涉密信息系统建设使用单位应对系统设

25、计方案进行审查论证，工作部门应当参与方案审查论证，在系统总体安全性方面加强指导，严格把关。系统测评涉密信息系统建设使用单位在系统工程施工结束后，应向工作部门提出申请，由国家工作部门授权的系统测评机构对涉密信息系统进行安全测评，系统全面地验证所采取的安全措施能否满足安全需求和安全目标，为涉密信息系统审批提供依据。系统审批国家对涉密信息系统拖入运行实行行政审批制度。涉密信息系统建设使用单位在系统投入使用前，应按照涉密信息系统审批管理办法的规定进行审批，通过审批后方可投入使用。未经工作部门的审批，涉密信息系统不得投入使用。国家局：负责审批中央和国家机关各部委与其所属单位、国防武器装备科研生产一级资格

26、单位的涉密信息系统；省（自治区、直辖市）局：负责审批省与机关与其所属单位、国防武器科研生产二、三级资格单位的涉密信息系统；市（地）级局：负责审批市（地）直机关与其所属单位、县直机关所属单位的涉密信息系统。测评与检查系统投入运行后，秘密级、级信息系统应每两年至少进行一次安全测评或检查；绝密级信息系统应每年至少进行一次安全测评或检查。涉密信息系统投入运行后的安全测评，由负责该系统审批的工作部门组织系统评测机构进行.20/22系统废止备案涉密信息系统不再使用时，其建设使用单位应向负责该系统审批的工作部门备案，并按照有关规定妥善处理涉与国家秘密信息的设备、产品、介质和文档资料。1.61.6 分级保护对

27、厂商和产品的资质管理分级保护对厂商和产品的资质管理管理容管理容资质类型资质类型容容涉密信息系统集成资质甲级资质甲级资质单位可在全国围承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。乙级资质乙级资质单位可在所限定的行政区域承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承接的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。军工系统集成单项资质军工系统集成单项资质单位只能在所属军工集团承接涉密信息系统集成业务；单项资质：包括涉密信息系统的软件单项资质单位可在全国围承接所规定的单项业务。取得某一单项

28、资质的单位如.21/22开发、综合布线、系统服务、系统咨询、风险评估、屏蔽室建设、工程监理、数据恢复和安防监控等单项业务。需从事其它单项业务，必须申请相应的单项资质。涉密信息系统风险评估资质涉密信息系统风险评估单项资质涉密信息系统工程监理资质涉密信息系统工程监理单项资质系统测评由国家工作部门授权的系统测评机构安全产品选择涉密信息系统中使用的安全产品应选用国产设备。安全产品应通过国家相关主管部门授权的测评机构的检测。计算机病毒防护产品应获得公安机关批准密码产品应获得国家密码管理部门批准其他安全产品如身份鉴别、访问控制、安全审计、入侵检测和电磁泄漏发射防护等产品应获得国家工作部门批准。.22/22