★国家秘密载体印制资质知识★---★国家秘密载体印制保密要点★
国家秘密载体管理制度及保密要点
1.有关部门应及时确定密品的密级、保密期限和保密要点;
2.密品的研制、生产、保存、使用单位应当对本单位所有密品的密级、保密期限、保密要点等内容进行登记,并根据工作需要向参与密品研制、生产、试验、保存、维修、使用的人员告知上述有关登记内容,对其进行保密教育,要求履行保密义务和责任;
3.外型或者构造易暴露国家秘密的密品,在研制、生产、试验、运输、保存、维修、使用过程中,应当对其采取遮盖措施或者其他保护性措施,有特殊要求的密品,应当在出厂前,对可能反应或暴露其国家秘密的文字标志、特征标志采取伪装或者删除措施;
4.密品运输时,应将密品密封包装,发货、收货、承运单位对密品的名称、运输方式、运输时间和路线、中途停靠、安全警卫措施等情况应当保密。
5. 密品的检修和维修工作一般不得由境外人员承担,确需境外人员承担时,应当依照有关业务主管部门的规定履行报批手续并采取相应的保密措施。
6.密品销毁应履行审批登记手续,选择有保密保障的部门、场所进行,并指定专人监销,确保销毁后不再具有涉密信息。
1.按照“最小化”原则确定知悉范围。能够限定到具体人员的,限定到具体人员;不能限定到具体人员的,限定到机关、单位,由机关、单位限定到具体人员。要避免将知悉国家秘密作为一种政治待遇,以行政级别确定知悉范围。
2.对知悉机密级以上国家秘密的人员,作出书面记录,以确保国家秘密安全。
1.台账信息包括使用人、部门、名称、编号、操作系统安装日期、密级、硬盘序列号、IP地址、MAC地址、使用情况等信息。应准确、完备,并根据情况变化及时修改;
2.粘贴的密级标识应由机关、单位统一制作,不易破坏、涂改或擦除,并粘贴在设备显眼位置。
3.标识内容包含责任人、设备编号等信息,应当与台账信息保持一致;
4.非涉密计算机应当粘贴保密提醒标识,如“禁止存储、处理涉密信息”等字样。
1.查阅计算机与移动存储介质登记台账,台账设备类型、序列号、责任人、密级等信息是否齐全;
2.查看台账与实物是否一致;
3.查看计算机与移动存储介质是否粘贴标识,且标识上的设备类型、序列号、责任人、密级等信息与台账是否一致。
1.复印机指定专人操作和管理,复印涉密文件、资料等应当经过审批登记并在机要室或指定的涉密复印机复印,复印涉密文件、资料过程中产生的不合格件和多余件必须及时销毁;
2.不得使用非涉密打印机打印涉密文件、资料,涉密打印机与涉密计算机之间不得采用无线连接方式;
3.不得随意扫描涉密文件、资料,确需扫描的需要履行审批手续,涉密文件、资料扫描件应按原件密级进行管理,不得在非涉密计算机中扫描涉密文件、资料。
4.不得在涉密计算机与非涉密计算机之间共用打印机等办公自动化设备;
5.办公自动化设备的维修、销毁,参照涉密载体的维修、销毁要求。
1.查看复印审批登记记录,了解复印涉密文件、资料是否经过审批登记,并使用涉密复印机复印;
2.查看涉密打印机与涉密计算机之间是否采用有线连接方式;
3.采用数据检索等技术手段,查看非涉密计算机中是否储存涉密文件、资料扫描件,涉密计算机中存有涉密文件、资料扫描件的,查阅审批手续;
4.查看是否存在将打印机等办公自动化设备在涉密计算机与非涉密计算机之间共用现象;
5.查看办公自动化设备的维修、销毁记录,了解维修、销毁是否符合要求。
1.不得在通信中涉及国家机密;
2.不得在手机上存储、处理、传输涉及国家秘密的信息;
3.不得连接涉密信息系统、涉密信息设备或者涉密载体;
4.不得在手机上存储核心涉密人员的工作单位、职务、红机电话号码等敏感信息;
5.不得在涉密公务活动中开启或使用位置服务功能;
6.在申请手机号码、注册手机邮箱或者开通其他功能时,不得填写禁止公开的涉密单位名称和地址等信息;
7.不得使用未经国家电信管理部门进网许可的手机;
8.不得使用境外机构、境外人员赠送的手机;
9.不得将手机带入保密要害部门、绝密级或者机密级会议和活动场所;
10.不得在保密要害部门、秘密级会议和活动场所使用手机;
11.不得在使用涉密信息设备的场所使用手机进行视频通话、拍照、上网、录音和录像;
12.不得使用商用加密手机谈论以及存储、处理、传输国家秘密信息。
1.查看保密要害部门、涉密会议和活动场所是否按照要求设置相应提示标志;
2.保密要害部位、绝密级或者机密级会议和活动场所外是否配备手机存储柜;
3.保密要害部门、部位负责人或涉密会议主持人是否对违规携带手机行为及时制止、采取措施、提出要求;
4.采用技术手段检查涉密计算机是否有手机连接记录。
1.中央和国家机关各部门(不含垂直管理机构)互联网接入口数量原则上不超过2个,省级以下党政机关逐步实现互联网集中接入。
1.现场查看互联网接入口数量及使用管理情况;
2.与互联网运营服务商核实互联网接入口数量;
3.查看互联网接入口及互联网计算机的审批记录是否正确、完整。
机关、单位应当采取有效措施,确保保密技术防护设施设备正常运行,不得擅自卸载、修改涉密计算机和信息系统的安全保密防护软件和设备。
1.现场查验保密技术防护措施设备是否能够正常运行,是否满足实际使用和管理需要;
2.查验保密技术防护设备是否定期检测、检修、维护,相关记录是否准确、真实,对已失效的保密技术防护设备是否及时报废,并更换新设施设备。
1.涉密网络应通过安全保密产品、网络服务器或人工操作等方式,确保设备配置统一、有效的账户策略、本地策略等安全保密防护策略;
2.采取身份鉴别措施,有效防范非授权用户登录服务器、终端、应用系统以及安全保密设备;
3.采取访问控制措施,有效防范用户信息的越权访问;
4.采取安全审计措施,准确记录用户和管理人员的操作行为,有效监控违规操作;
5.采取边界安全防护措施,有效防范违规接入、违规外联和移动存储介质交叉使用等行为;
6.采取信息流转控制措施,防止高密级信息流入低密级网络或者安全域。
1.通过查看安全保密产品、网络服务器或人工操作等方式,确保配置统一、账户策略有效、本地策略安全。
2.通过查看服务器、终端、网络设备、安全保密产品或应用系统等的配置,了解身份鉴别策略是否符合要求,采用检查口令输入长度与复杂度、多次输入错误口令、空闲操作等待等方式,验证身份鉴别策略是否有效。
3.确保访问控制策略配置符合要求,采用非授权访问的方式访问各个安全域及同一安全域内不同区,验证信息流向是否符合策略要求;分别采用授权用户和非授权用户身份访问涉密信息和重要信息,验证应用系统、数据库系统是否只允许授权用户访问其权限范围内的信息;
4.查看应用系统、安全保密产品或服务器等配置是否符合安全审计策略要求,是否能够准确记录用户和管理人员的操作行为;采用终端访问、网络访问、数据库操作和打印等行为,验证审计日志是否完整、有效。
5.验证实际网络拓扑结构与提供的网络拓扑结构图是否一致;采用跨边界访问、更改IP和MAC地址、查验非授权IP、模拟违规接入等方式,验证边界安全防护措施是否有效,告警和记录日志是否正确;
6.查看安全保密产品、服务器或设备的信息流转控制是否符合策略要求;采用文件发送测试、打印测试等方法,验证信息流转控制的有效性;采用启用、试用等方式,验证未授权终端计算机是否无法使用输入输出接口;查看中间转换机及输入输出机是否安装病毒和木马检测程序,根据中间转换机及输入输出机使用记录,验证信息输入输出的审批和管理是否符合要求;采用查看信息流转日志或记录的方式,追溯信息流转行为全过程,验证信息流转行为管理的合规性;
7.验证安全保密产品的重要应用系统是否存在超级用户,“三户”权限设置是否合理、有效。
8.查看涉密网络使用人员、管理人员签订的保密承诺书。
9.通过发证机关官网验证,检查安全保密产品资质证书的真伪及是否在有效期内。
10.采用调取安全保密检查记录和风险评估报告、会议纪要、整改报告等方式,验证是否定期开展安全保密检查和风险评估,并对发现问题进行整改。
1.资质单位应当在保密部门审查批准的业务范围内承接涉密信息系统集成业务;
2.承接涉密信息系统集成工程监理业务的,不得承接所监理工程的其他涉密信息系统集成业务;
3.参与涉密网络的规划、设计、建设、运行、维护单位应当具有相应的资质证书,且证书在有效期内;
4.机关、单位应当与参与涉密网络规划、设计、建设、运行、维护单位及相关人员签订保密承诺书,承诺书中应明确其履行的保密义务及承担的法律责任等。
1.查看参与涉密网络的规划、设计、建设、运行、维护单位的资质证书,了解其是否具有相应资质且在有效期内;
2.查看机关、单位与参与涉密网络规划、设计、运行、维护单位及相关人员签订的保密承诺书,了解在建设、维护过程中是否采取相关保密。
关于定密权:
1.查看自身依法具有何种定密权限,没有定密权但符合国家法规规定的,是否及时提出定密授权申请;
2.如作出定密权的,查看是否在法定定密权限内作出,是否以书面形式作出,是否明确授予的权限及其范围和期限等,是否向同级保密部门备案;
3.如接受丁醚授权的,查看是否依法提出申请,是否向业务主管部门申请,是否在授予权限范围内履行定密权,是否向同级保密部门备案。
关于定密责任人:
1.查看是否在机关、单位内部公布定密责任人名单及其权限;
2.查看定密责任人名单是否报同级保密部门备案;
3.查看制定定密责任人是否符合规定条件;
4.查看定密责任人是否在权限内依法履行定密责任;
5.查看是否组织定密责任人开展定密业务培训。
1.国家秘密的密级分为绝密、机密、秘密三级;
2.保密法对不同密级国家秘密事项的保密期限分别限定了最长时限,即绝密级不超过30年,机密级不超过20年,秘密级不超过10年。不能确定具体保密期限的,应当确定解密时间或者解密条件。
3.国家秘密的知悉范围应当遵循工作需要原则和最小化原则确定。
需要社会公众广泛知晓或者参与的,属于工作秘密、商业秘密、个人隐私的,已经依法公开或者无法公开或者无法控制知悉范围的,法律或者国家有关规定要求公开的事项不得定密。
2.查阅涉密文件、资料的密级变更或者解密是否作出记录,变更和解除程序是否符合规定;
3.抽查机关、单位变更或者解密文件、资料,查看是否作出书面通知、是否重新做出国家秘密标志。
1.机关、单位应当每年对所确定的国家秘密进行审核;
2.对定密时所依据的法律法规或者保密事项范围发生变化的,或者泄漏后对国家安全和利益的损害程度发生明显变化的,及时予以变更;
3.对保密法律法规或者保密事项范围调整后不再属于国家秘密的,或者公开后不会损害国家安全和利益的,及时解密。
1.查看涉密载体制作场所,了解是否符合保密要求;查阅机关、单位制作的涉密载体,了解是否表明密级和保密期限,注明发放范围、制作数量及编号;
查阅涉密载体发放的登记、签收记录,了解涉密载体收发是否按要求履行相关手续;查看收到的涉密载体,了解是否登记并加盖收文登记章;
3.查看文件传递相关制度要求、记录,询问相关工作人员,了解涉密载体传递是否符合要求;
4.查阅涉密载体复制登记本,了解涉密载体复制是否经过审批登记;抽查涉密载体复制件,对照原件,了解复制件是否有改变原件密级、保密期限、知悉范围或删除密级标志的情形,是否加盖复制机关、单位的复制戳记,编制序号,并视同原件管理;抽查涉密文件汇编本、摘抄件,了解汇编、摘抄是否经过审批,是否按规定确定密级和严格管理;
5.查阅涉密载体阅读使用登记本,了解阅读和使用涉密载体是否办理借阅审批、登记、签收手续;抽查借出的涉密载体,了解是否存在涉密载体长期保留在个人手中的情形,是否存在借出的涉密载体查无取向的情形;
6.现场查看涉密载体保存场所,了解涉密载体是否保存在密码文件柜中,绝密级涉密载体是否单独保存在密码保险柜中;查阅涉密载体保存等基本,对照查看所登记的涉密载体,了解账物是否一致;
7.查阅涉密载体维修记录,了解计算机信息设备等涉密载体是否由本机关、本单位专门技术人员维修;送外维修的,是否在保密行政管理部门审查批准的定点单位进行;
8.查阅涉密载体销毁记录,了解销毁是否经过审批登记,特别是查看复印机是否一并列入清理销毁范围;查看待销毁涉密载体,了解存放场所是否符合安全保密要求;查看机关、单位自行销毁涉密载体的设备、方法,了解自行销毁涉密载体过程是否符合国家保密标准。
★四川军标认证★重庆军标认证★四川保密认证★重庆保密认证★重庆AS9100认证★四川AS9100认证★四川涉密认证★四川GJB5000A认证★
|