附 件
机关、单位保密自查自评注意事项
1.涉密计算机应该严格按照有关保密规定和标准设置口令,处理秘密级信息的计算机,口令长度不少于8位,更换周期不超过1个月;
2.处理机密级信息的计算机,应采用IC卡和USB Key与口令相结合的方式,且口令长度不少于4位;如仅适用口令方式,长度不少于10位,更换周期不超过一个星期;
3.涉密计算机的口令设置应采用多种字符和数字混合编制。处理绝密信息的计算机,应采用生理特征(如指纹、虹膜)等强身份鉴别模式; 4.机关、单位应当对涉密计算机采取有效的访问控制措施,有效防范用户对信息的越权访问; 5.采取违规外联监控措施,检测并阻断涉密计算机通过拨号、有线网卡、无线网卡等方式接入互联网及其他公共信息网络; 6.采取有效的病毒查杀措施,及时升级更新病毒库;
7.配备经国家保密行政管理部门批准的具备移动存储介质管控功能的保密技术防护专用系统,确保在涉密信息系统和非涉密信息系统之间不交叉使用移动存储介质;
8.具有无线联网功能且无法拆除的信息设备禁止用作涉密信息设备。
1.检查涉密计算机的身份鉴别措施及策略配置是否正确、有效,查看身份证IC卡和USB Key的有效性;
2.查验涉密计算机的用户配置及权限设置是否与实际符合,多用户使用情况下,是否采取区分授权管理等访问授权措施; 3.查验涉密计算机是否配备违规外联监控类的安全保密产品,设置违规外联行为强迫阻断和报警;
4.查验涉密计算机是否安装公共机关批准的国产病毒防护产品,杀毒策略是否有效并设置管理员密码,是否及时更新升级病毒库,查验涉密中间机是否配备恶意代码专杀工具; 5.检查移动存储介质管控系统是否设置有效的策略,限制移动存储介质的适用范围,查验涉密移动存储介质的使用和管理记录是否和系统日志一致;
6.采用通过测评的保密检查工具检测或查看系统日志、审计记录等方式,查验涉密计算机是否违规连接互联网等公共信息网络和
— 11 — 内置无线联网设备,必要时进行深度检查;
7.查看涉密计算机是否张贴密级标识和保密提醒标识。
1.“人防”主要是人员管理。保密要害部门、部位工作人员上岗前应当经过保密审查和保密教育培训,并签订保密承诺书,自觉遵守保密规定,严守保密纪律;
2.“物防”主要是物理防范。保密要害部门、部位所在办公场所应加强防范措施,配备必要的保密设备,根据实际需要安装电子监控、防盗、报警等安全保密装置;
3.“技防”主要是技术防护。保密要害部门、部位要按照国家保密标准配备必要的技术防护设备,提高安全防护水平,使用的技术防护设备和产品,应符合保密管理要求和保密技术标准,使用监控进口设备和产品,应进行安全保密技术检查。 32 1.现场查看保密要害部门、部位所在公共场所,了解是否配备必要的保密设备,是否配备值班警卫人员,是否安装电子监控、防盗、报警装置;
2.是否存在违规使用无绳电话和手机等情况; 3.查阅保密要害部门、部位工作人员上岗前保密审查和保密教育培训记录以及所签订的保密承诺书。
1.保密要害部门、部位应当确定进入人员范围,安装身份鉴别装置或采取其他控制人员进入的措施,严禁无关人员进入; 2.对进入保密要害部门、部位的工勤服务人员,应当有严格的保密监督管理办法;
3.对于保密要害部门、部位以外的人员,如来访人员、参观学习人员等,凡是进出保密要害部门、部位者,均应查验身份证件,严格履行审批登记制度,做到可控可查。 1.查阅审查和教育培训记录,了解对进入保密要害部门、部位的工勤服务人员是否进行审查和保密教育培训; 2.查看审批登记记录,了解对进入保密要害部门、部位的外来人员是否严格履行审批等级制度。
33 1.涉密会议、活动应在符合保密要求的场所进行,使用的计算机、扩音、录音、录像等设备、设施应经安全保密检查检测,携带、使用录音、录像设备应经主办单位批准;
— 12 — 2.不得使用手机、对讲机、无绳电话、无线话筒、无线键盘、无线网络等无线设备或装置,不得使用不具备保密条件的电视电话会议系统。
查阅涉密会议、活动有关材料记录,检查涉密会议、活动场所是否符合要求,在外召开涉密会议、举办涉密活动是否提前对相关场所及计算机设备进行技术检测。
34 1.严格人员审查,主办单位根据会议、活动涉密程度和工作需要,确定参加人员范围,对参加人员进行身份登记和确认;
2.进行保密教育,对参加人员(包括列席人员以及工作人员、服务人员)提出保密要求,要求参加人员妥善保管涉密文件、资料和其他载体,不得擅自记录、录音、摄像、拍照和摘抄以及擅自复印会议文件、资料;
3.加强涉密载体管理,涉密文件、资料的起草、印刷、传递以及发放要严格按照国家有关规定进行;记录有会议内容的保密本、录音带、U盘等,应当按照涉密载体管理规定进行管理;明确规定会议、活动涉密文件的传达、阅读范围;会议结束后,需要回收的涉密文件、资料应当全部清退、收回,核对登记后统一销毁; 4.严格涉密会议、活动采访报道的保密审查,接受采访或公开报道应当经过审批,采取必要防护措施。 1.查看涉密会议或活动工作记录,了解主办方是否指定人员负责保密管理工作,是否登记参加人员姓名、单位、职务等情况,对与会人员进行身份确认,是否对参加人员提出保密要求; 2.查阅会议或活动涉密载体发放、清退和销毁登记记录,了解涉密载体管理情况;
3.查阅涉密会议或活动接受采访或公开报道审查审批记录; 4.查阅重要涉密会议、活动的保密方案,了解内容是否全面,操作是否可行,责任是否明确,落实是否到位。
35 1.按照保密法和保密事项范围的规定确定涉密采购项目的密级,制定相应的保密管理措施,并按有关规定对提供涉密货物、工程和服务的单位进行保密审查,确保所选择的供应方具备相关资质,满足保密管理条件,具备相关保密能力; 2.在涉密工程的采购中,应要求涉密工程承建单位指定专人负责保密管理,工程进行过程中图纸资料产生、使用、流转符合保密
— 13 — 规定,对施工人员进行保密教育。工程竣工后,要求建设单位收回涉密图纸、资料等涉密载体,并办理移交手续,清楚计算机存储的信息。
3.与上下游供应商、建筑商、服务商签订保密协议,提出保密要求,对违反保密规定的责任作出明确的规定。
1.查阅机关、单位涉密货物、工程和服务采购有关工作材料,了解是否对供应方进行保密审查,提出保密要求; 2.查看与供应方签订的保密协议书,检查是否明确保密要求,采取相关保密措施,结合项目进展情况适时进行保密监督指导。
43 1.发现泄密事件的人员向有关机关、单位报告; 2.有关机关、单位向保密部门报告;
3.下级保密部门或保密工作机构向上级保密部门报告。 补救措施:
1.收缴或收购散失在社会上的国家秘密文件、资料或其他物品; 2.发现国家秘密文件、资料或其他物品丢失或被盗、抢劫、非法携带出境或涉密人员非法出境等情况,应及时通报公安、国家安全或海关等部门追查并采取措施; 3.及时组织排查国家秘密文件、资料或其他物品失控线索,采取行之有效的查询措施;
4.发现书籍、报刊、电台节目、电视节目等公众媒体刊登或播出国家信息的,要及时通知或告知新闻出版广电主管部门采取紧急措施;
5.及时封堵和删除网上涉密信息; 6.对已经造成的危害进行评估,对仍在开展的涉密工作采取有针对性的调整、变化、改进、掩护、伪装等保护措施。
1.查阅泄密事件报告记录,了解是否按要求及时报告泄密事件的发生时间、经过以及相关负责人员等有关内容;
2.查阅采取补救措施相关工作方案和工作记录等相关资料。
44 1.查明泄密或违规案件的具体事实经过; 2.进行密级鉴定和危害评估; 3.采取补救措施。
— 14 — 1.查阅保密违法案件调查记录等相关材料,了解是否做到调查及时、事实清楚、证据完善、结论准确。
45.1.党政违纪处理,对经调查认为尚未构成犯罪,但需要追究党纪政纪责任的,有关机关、单位应当依据有关规定进行处分; 2.刑事处理,对于情节严重、符合刑事立案标准的,应当依法移送检察机关、公安机关或者国家安全机关,追究刑事责任; 3.其他处理,对于情节显著轻微、危害不大的违反保密法律法规行为,经研究不需要追究党纪政纪责任的,可以做出通报批评、责令检查等处理。
查阅机关、单位对违反保密法律法规行为的责任人员处理的相关文件和记录材料,了解是否依纪依法对责任人员进行处理。
46 保密委员会(保密工作领导小组)的职责:
1.在本级党委的领导下,统一领导本机关、本单位的保密工作,贯彻执行党和国家有关保密工作的指导思想、方针、政策、法律、法规和规定,贯彻执行上级保密委员会和本级党委有关保密工作的指示;
2.研究解决本机关、本单位保密工作的重大问题,研究制定本机关、本单位保密工作发转规划和年度保密工作安排; 3.组织审定本机关、本单位保密规章制度; 4.组织开展本机关、本单位保密宣传教育、保密管理和保密检查工作,组织查处本机关、本单位发生的保密违法按键,对有关责任人提出处理意见;
5.向本级党委和上级保密委员会报告工作并提出改进和加强保密工作的意见和建议;
6.对保密机构设置及人员编制、保密工作管理经费进行落实,在政治上、工作上关心支持专兼职保密干部。
查阅保密委员会(保密工作领导小组)设立的相关文件,了解其组成是否合理,职责是否明确,分工是否科学。保密委员会成员发生变动后,是否及时作出相应调整。
— 15 — 47 保密工作机构的职责:
1.组织落实保密委员会的各项工作部署,向保密委员会提出工作建议;
2.依据国家保密法律法规,制定、修改、完善本机关、本单位保密管理制度,指导内设机构建立本部门保密制度; 3.制定保密宣传教育计划并组织实施,组织保密干部及涉密人员的培训及考核,组织开展保密普法工作;
4.配合组织人事部门对涉密人员进行上岗前审查,开展涉密人员上岗前保密教育,组织涉密人员签订保密承诺书; 5.组织定密责任人确定工作并开展定密工作; 6.组织确定和调整保密要害部门、部位; 7.监督、指导计算机及信息系统、通信及办公自动化设备的保密管理工作;
8.监督指导保密防护措施的实施; 9.对重大涉密会议、活动的保密工作进行监督和指导,并提供必要的安全保密技术服务保障; 10.组织开展保密检查工作;
11.组织或配合有关部门对违反保密法律法规行为和涉密案件开展调查,对有关材料组织密级鉴定; 12.提出保密责任追究和奖惩措施。
1.查阅保密工作机构或指定专人负责保密工作的相关文件,了解是否按规定设立、配备相应的工作人员,明确相关保密管理职责。特别是保密任务较重的机关、单位,是否根据中央有关要求,明确保密工作机构编制规格、人员配备数量。
48 1.对涉密网络计算机、介质等进行保密检查,主要包括网络保密检查、办公自动化设备保密检查和计算机保密检查及取证工具; 2.为确保被检涉密计算机及信息系统的安全性,保密技术检查装备和工具须经保密部门授权机构检测通过。
现场查看保密工作机构是否按照有关规定配备保密技术检查装备和工具,且配备的保密技术检查装备和工具是否是国家保密行政管理部门授权检测通过的相关产品,符合国家有关保密要求。
— 16 — 49 1.机关、单位开展保密工作所需经费应对列入本机关、本单位的年度财政预算或者年度收支计划; 2.保密部门履行职责所需的经费,应当列入本级人民政府财政预算;
3.各机关。单位的经费额度应依据单位规模、人员数量等按照国家有关福鼎指定的相应标准。
查看机关、单位年度财务预算有关文件,了解开展保密工作所需经费是否列入年度财政预算或者收支计划,保密工作经费开支是否合理,是否保证工作需求。
50 保密工作记录包括:
1.保密工作机构设置、人员编制档案:保密委员会(保密工作领导小组)成员状况,保密工作机构专职人员数量、情况统计,兼职人员现状统计,保密经费投入与使用情况记录,保密委员会(保密工作领导小组)会议记录; 2.涉密人员档案管理:涉密岗位及涉密人员界定材料,保密承诺书签订材料,保密教育培训情况记录,核心涉密人员、重要涉密人员和一般涉密人员名单及基本情况,涉密人员因私出国(境)审查资料,涉密人员离岗离职管理记录;
3.定密工作档案:定密责任人确定相关材料,本机关、本单位产生的国家秘密事项台账,国家秘密变更和解除工作记录;
4.国家秘密载体管理记录:国家秘密载体传递、复制、借阅、维修、销毁登记记录;
5.信息系统和信息设备台账:涉密网络及非涉密网络台账,涉密计算机及非涉密计算机台账,打印机、复印机、传真机以及移动存储介质台账等;
6.保密要害部门、部位档案:保密要害部门、部位确定和调整工作记录;
7.涉密会议、活动和货物、工程、服务采购等项目档案:涉密会议、活动保密工作方案及措施,对提供涉密货物、工程和服务的单位进行保密审查的记录,与其签订的保密协议; 8.涉外保密工作记录:对外提供文件、资料和物品保密审批材料,与外方签订的保密协议书; 9.信息公开保密审查记录:信息公开保密审查审批表,网站信息
— 17 — 发布登记表,网站保密检查情况记录;
10.保密检查和保密违法案件查处工作记录:组织开展保密检查工作有关材料,特别是保密整改落实有关材料以及对本机关、本单位保密违法行为组织调查和人员处理工作有关材料。
在进行各项内容自查时,查阅相关工作记录和档案,了解组织开展保密工作各项记录是否完整,是否存在伪造工作记录的弄虚作假行为。
— 18 —
