| 涉及国家秘密的计算机信息系统集成资质单位保密管理规定 |
| 发布时间:2019-08-26 15:02:03| 浏览次数:2403 |
|
第一章 总 则 第一条 为加强对涉及国家秘密的计算机信息系统集成资质单位(以下筒称“资质单位”)的保密管理,确保在涉密信息系统规划、设计、建设及运行过程中国家秘密的安全,根据《中华人民共和国保守国家秘密法》和有关规定,制定本规定。 第二条 本规定适用于取得涉及国家秘密的计算机信息系统集成资质的单位。 第三条 国家保密局主管全国资质单位的保密管理工作。各省(自治区、直辖市)保密局负责本行政区域内资质单位的保密管理工作。 第四条 资质单位应当按照国家有关保密法律法规和规章制度,加强本单位的保密管理,确保国家秘密安全。 第二章 组织机构与工作职责 第五条 资质单位应当设立保密工作机构,负责本单位保密管理与日常监督检查。保密工作机构的负责人由单位领导担任,成员应当包括知悉国家秘密的各部门主要负责人。 第六条 资质单位涉密人员在100人以上(合100人)的,设立不少于1名专职保密管理人员;涉密人员在100人以下的,设立兼职保密管理人员。资质单位设有分支机构的,在分支机构设立保密工作机构和保密管理人员。 第七条 资质单位的法定代表人为本单位保密管理的第一责任人,承担以下职责: (一)建立健全本单位的保密工作机构及有关保密规章制度; (二)严格执行国家有关保密技术标准和规范; (三)规范管理和使用涉密信息系统集成资质证书; (四)与本单位涉密人员签订保密责任书,监督落实涉密人员的保密责任。 第八条 资质单位保密工作机构负责人为本单位保密管理的主管领导,承担以下职责: (一)监督落实保密规章制度; (二)监督执行保密技术标准和规范; (三)对涉密人员进行保密教育培训; (四)对涉密人员的涉密资格、调动、辞职和出国(境)进行审查; (五)管理涉密载体、设备、技术、项目; (六)部署涉密场所技术防护措施; (七)报告并协助调查泄密事件; (八)对泄密责任人提出处理意见。 第三章 涉密人员管理 第九条 资质单位应当将本单位涉及国家秘密的工作岗位确定为涉密岗位,并将在涉密岗位工作的人员确定为涉密人员。涉密人员应当保守国家秘密,严格遵守各项保密规章制度,并符合以下基本条件: (一)遵纪守法,具有良好的品行,无犯罪记录; (二)资质单位正式职工,并在本单位以外的其他单位无兼职; (三)社会关系清楚,本人及其配偶为中国公民。 第十条 资质单位应当与涉密人员签订劳动合同补充条款,包括以下内容: (一)保守国家秘密的工作职责; (二)因履行保守国家秘密的工作职责,而使涉密人员利益受到损害,资质单位给予的补偿规定; (三)涉密人员违反保密规定被无条件调离涉密岗位或给予辞退等处罚规定; (四)因涉密人员认真履行保守国家秘密的工作职责,资质单位给予的奖励规定。 第十一条 资质单位与涉密人员签订的保密责任书,应当包括以下内容: (一)涉密人员应当承担的保密责任与义务; (二)涉密人员应当享受的权利; (三)涉密人员应当遵守的保密纪律和有关限制性要求; (四)对涉密人员的奖惩规定; (五)其他应当事先告知涉密人员的有关事项。 第十二条 实行涉密人员分级管理制度。在涉密岗位上工作并知悉绝密级国家秘密的涉密人员应当确定为核心涉密人员;在涉密岗位上工作并知悉机密级国家秘密的涉密人员应当确定为重要涉密人员;在涉密岗位上工作并知悉秘密级国家秘密的涉密人员应当确定为一般涉密人员。 资质单位应当对涉密人员,按照知悉国家秘密的密级,确定涉密人员的涉密等级,登记造册后,报所在地省(自治区、直辖市)保密局审核备案。 第十三条 资质单位应当加强对涉密人员的动态管理,详细记录调入和调出涉密岗位的人员变动情况,并在年度审查时向所在地省(自治区、直辖市)保密局作出报告。 第十四条 资质单位应当加强对涉密人员的日常保密教育,按照保密工作部门的要求,组织涉密人员参加保密教育培训。 第十五条 实行涉密人员保密承诺制度。涉密人员调离涉密岗位,资质单位应当对其进行离岗教育,并与之签订保密承诺书。涉密人员辞职或调出资质单位,资质单位应当对其进行离职教育,与之签订保密承诺书,并将其去向等信息记录备案,向所在地省(自治区、直辖市)保密局报告。 第十六条 实行涉密人员离职离岗脱密期管理制度。资质单位应当对调离涉密岗位或调出资质单位的涉密人员,实行脱密期管理。脱密期限根据涉密程度确定,核心涉密人员脱密期限为2至3年,重要涉密人员脱密期限为1至2年,一般涉密人员脱密期限为6个月至1年。离职离岗人员在脱密期内出国(境)或到外资企业及其他境外驻华机构工作,资质单位应当向所在地省(自治区、直辖市)保密局报告。 第十七条 实行涉密人员出国(境)报告制度。涉密人员在职期间因公出国(境),资质单位应当审查并详细记录涉密人员所携带的办公物品,对其进行保密教育,与之签订保密承诺书,并在年度审查时向所在地省(自治区、直辖市)保密局报告。涉密人员在职期间因私出国(境),应当提前向资质单位保密工作机构报告,资质单位保密工作机构应当详细记录涉密人员出国(境)的理由、时间和去向等信息。涉密人员擅自离职或出国(境),资质单位应当及时向所在地省(自治区、直辖市)保密局报告。 第四章 涉密载体管理 第十八条 涉密载体主要指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、电磁介质、光盘等各类物品。电磁介质载体包括计算机硬盘、移动硬盘、软盘、优盘和录音带、录像带等。 第十九条 资质单位制作、收发、传递、使用、保存和销毁涉密载体应当严格执行有关保密规定,不得将涉密载体外借、出租、出售或以其他任何形式扩大知悉范围。 第二十条 资质单位应当对涉密载体登记编号,标明密级和保密期限,明确使用人员,并采取有效的安全保密技术防护措施妥善保管。 第二十一条 涉密人员查阅涉密载体应当经资质单位保密工作机构批准,办理登记手续后,在符合保密要求的办公场所进行。 第二十二条 资质单位复制涉密载体,应当按照以下要求: (一)复制本单位产生的涉密载体,应当经本单位保密工作机构批准,并办理登记手续; (二)复制本单位以外的其他机关、单位产生的涉密载体,应当经确定原涉密载体密级的机关、单位或所在地省(自治区、直辖市)保密局批准,并办理登记手续; (三)复制件应当加盖复制单位、部门的戳记,并按照原件的密级、保密期限和知悉范围管理; (四)复制绝密级载体应当经制发机关单位批准。复制涉密载体的场所应当符合保密规范。不具备复制条件的,应当到保密工作部门审查批准的定点单位复制。 第二十三条 携带涉密载体外出,应当按照以下要求: (一)携带涉密载体应当为本单位涉密人员; (二)携带外出前,须经资质单位保密工作机构批准,办理有关登记手续; (三)采取有效防护措施,并随时掌握涉密载体的去向; (四)确保涉密载体始终处于携带人的有效控制下。不得携带涉密载体参加涉外活动。 第二十四条 携带涉密载体因公出国(境),应当经资质单位保密工作机构审查备案后,到保密工作部门办理批准手续。秘密级涉密载体,经所在地市(地)级以上保密局批准,机密级涉密载体,经所在地省(自治区、直辖市)保密局批准。禁止携带绝密级涉密载体出国(境)。 第二十五条 资质单位应当定期对涉密载体进行清查,需要销毁的涉密载体在办理登记手续后,交由保密工部门指定单位销毁,或使用符合保密要求的设备现场监销。 第五章 涉密场所与设备管理 第二十六条 涉密场所是指资质单位用于涉密人员科研和办公的专用场所。涉密场所应当相对独立、封闭、可控,与非涉密场所明确划分,并作出标识。 涉密场所未经省(自治区、直辖市)保密局批准,严境外人员参观、访问。 第二十七条 资质单位的涉密场所应当固定在相对独立的楼层或区域。涉密人员在30人以下的资质单位,涉密场所不得少于40平方米;涉密人员在100人以上的资单位,涉密场所不得少于200平方米。 第二十八条 资质单位应当确定允许进入涉密场所的人员范围,并采取控制措施,必要时安装电子监控、门禁技术防范设施。对经批准的临时进出人员,应作文档记录。 第二十九条 资质单位应当对涉密信息系统、涉密台式计算机、涉密便携式计算机确定密级,作出标识,登记备案,按照有关保密规定使用、管理,并采取有效的技术防护措施。 第三十条 涉密信息系统、涉密台式计算机、涉密便携式计算机不得与国际互联网联接,不得具有无线联网功能。严禁在非涉密计算机及网络中处理涉密信息,严禁使用公共通信工具谈论国家秘密。 第三十一条 资质单位应当定期对本单位的计算机信息系统进行保密技术检查,确保其满足保密要求。 第六章 涉密项目管理 第三十二条 资质单位应当严格按照审批的资质种类和地域范围承接涉密项目。严禁将《资质证书》租借或转让给其他单位。 第三十三条 资质单位应当严格按照有关保密技术标准和保密要求建设涉密项目,并积极配合保密工作部门对所承建的涉密项目进行审批。资质单位需要与其他单位合作完成涉密项目时,合作单位应当具有相应资质。末征得项目所在地省(自治区、直辖市)保密局和建设使用单位的书面同意,资质单位不得将承接的涉密项目分包或转包。分包或转包单位应当具有相应资质。 第三十四条 甲级和单项资质单位到注册地以外承接涉密项目时,应当向项目所在地省(自治区、直辖市)保密局报告有关情况,并接受其监督管理。 第三十五条 资质单位应当按照涉密项目的密级,对用户需求文档、设计方案、图纸、程序编码等技术资料和项目合同书、保密协议、验收报告等业务资料确定密级,登记编号,明确知悉范围,并对参与涉密项目的人员及其分工作出详细的文字记录,交由资质单位保密工作机构统一管理。 涉密项目实施验收后,资质单位应当将涉密技术资料全部移交给建设单位,不得私自留存或擅自处理。需要保留的业务资料应当严格按照有关保密规定进行管理。 第三十六条 涉密项目的设计方案、研发成果及有关建设情况,资质单位及其工作人员不得擅自以任何形式公开发表、交流或转让。确因工作需要进行交流或转让的,应当按照有关保密规定进行审批。 第三十七条 资质单位在与国外进行技术交流时,应当严格遵守有关保密规定,交流材料不得涉及涉密项目的相关情况。 第三十八条 资质单位利用涉密项目申请专利,应当严格遵守有关保密规定。 秘密级和机密级的项目,应当按照法定程序审批后申请保密专利,符合专利申请条件的,应当按照有关规定办理解密手续;绝密级的项目,在保密期限内不得申请专利或者保密专利。 第七章 泄密事件处理 第三十九条 泄密事件是指资质单位或其工作人员违反保密法律法规,致使国家秘密被不应知悉者知悉,或超出限定接触范围,而不能证明末被不应知悉者知悉的事件。 第四十条 资质单位发生泄密事件,应当立即采取有效措施予以补救,并在发现后24小时内书面向所在地的保密工作部门报告。内容包括: (一)被泄密信息的内容、密级、数量及其载体形式; (二)泄密事件的发现经过; (三)泄密事件发生的时间、地点和经过; (四)泄密责任人的基本情况; (五)泄密事件造成或可能造成的危害; (六)已采取或拟采取的补救措施。 第四十一条 资质单位应当配合保密工作部门对泄密事件进行查处,不得隐瞒情况或包庇当事人。 第四十二条 资质单位发生泄密事件隐匿不报或未按照规定报告的,保密工作部门应当依法追究有关责任人的法律责任。 第八章 日常监督与管理 第四十三条 资质单位的名称、法定代表人、股权结构、企业性质、经营范围、隶属关系、涉密人员等发生重大变动,应当在三十日内向所在地省(自治区、直辖市)保密局报告。经省(自治区、直辖市)保密局审查后,按照资质管理权限报国家保密局审批或备案,必要时国家保密局将对资质单位的变动情况进行审查评估。 第四十四条 资质单位应当根据有关规定,及时向所在地省(自治区、直辖市)保密局提出年度审查申请,并接受保密工作部门的年度审查。 第四十五条 资质单位对保密工作部门在年度审查和日常监督检查中发现的问题,应当及时整改,并将整改情况在十五日内报告保密工作部门。整改后仍末达到保密要求的,保密工作部门根据情节给予警告、暂停资质或撤销资质处理,并将处理情况公布。 第四十六条 资质单位应当结合本单位实际,建立保密工作奖励机制,定期对保密工作成绩突出的部门及人员给予表彰奖励。 第四十七条 资质单位应当加强对涉密人员的监督管理,对违反保密规定的涉密人员应当进行处理。情节严重的,应当按照劳动合同和保密责任书,调离涉密岗位或予以辞退;因泄密涉嫌构成犯罪的,依法移送司法机关追究刑事责任。 第九章 附 则 第四十八条 本规定由国家保密局负责解释。 第四十九条 本规定自发布之日起施行。 |