1. 机关单位应当采取什么措施加强涉密网络安全保密技术防护。
机关单位应当采取“身份鉴别、访问控制、安全审计、边界防护”等措施加强涉密网络安全保密技术防护。
机关单位应当实行保密工作责任制,健全保密管理制度,完善保密防护措施,开展保密宣传教育。
其中涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:
1、国家事务重大决策中的秘密事项;
2、国民经济和社会发展中的秘密事项;
3、外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;
4、国防建设和武装力量活动中的秘密事项;
5、维护国家安全活动和追查刑事犯罪中的秘密事项。
(1)加强涉密材料上传发布审核把关扩展阅读:
关于机关、单位公开发布信息保密管理的规定
机关、单位公开发布信息应当建立相应的保密审查机制。机关、单位公开发布信息应当遵循“谁公开,谁审查”原则、事前审查原则和依法审查原则,严格执行信息提供部门自审、信息公开工作机构专门审查、主管领导审核批准的工作程序。
对不能确定是否涉及国家秘密的事项,应当报上级主管部门或者同级保密行政管理部门确定。机关、单位应加强公开发布信息保密审查的组织领导,落实承办机构和责任人员,规范审查程序,加强监督管理。
2. 什么是涉密文件
涉密文件是指以文字、图表、音像及其他记录形式记载商业、国家秘密内容的资料。
种类包括:公文、档案、书刊、函件、图纸、报表、磁盘、光盘、胶片、幻灯片、照片、录音带等。
保密法第三十一条规定:举办会议或者其他活动涉及国家秘密的,主办单位应当采取保密措施,并对参加人员进行保密教育,提出具体保密要求。
保密法实施条例第二十七条第三款规定:举办会议涉及国家秘密的,主办单位应当按照国家保密规定管理国家秘密载体。
(2)加强涉密材料上传发布审核把关扩展阅读:
2011年,国务院针对涉密文件发通知,要求各地政府,要切实加强主动公开工作,及时准确在政府网站发布涉及群众切身利益、需要社会公众广泛知晓或者参与的政府信息,尤其要做好财政预决算、公共资源配置、重大建设项目、社会公益事业等领域政府信息的发布工作。
通知要求,凡是可公开的不涉密文件,都要通过政府网站公开发布。涉及群众切身利益的重要决策,要在政府网站公开征求意见。
重要政策出台后,要及时通过政府网站做好政策解读工作;对公众关注的社会热点问题,要主动在政府网站予以回应,发布权威信息,讲清事实真相、有关政策措施以及处理结果等。提倡地方和部门负责同志到政府网站接受在线访谈。
3. 材料审核把关不严的整改措施
第一、材料存档,开展不定期自查,查到落实到个人。
第二、明确材料审核责任制,做到谁签字,谁负责,不得越权代签。
第三、建立严格的惩罚制度,让审核岗不敢踩红线。
第五、培养审核岗位预备人才,让在职有压力。
4. 信息安全等级保护管理办法的第四章 涉密信息系统的分级保护管理
第二十四条
涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息等。
第二十五条
涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条
涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条
涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条
涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条
涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条
涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。
第三十一条
涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。
第三十二条
涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。
第三十三条
国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。
(4)加强涉密材料上传发布审核把关扩展阅读:
《信息安全等级保护管理办法》是为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。由四部委下发,公通字200743号文。
5. 敏感信息审计中,加强保密有哪些措施
一是提高保密意识。组织全体审计干部职工系统学习《保密法》、《档案法》、《信访工作条例》和《审计法》等法规中有关保密的规定,组织观看保密教育录像片和集中学习通报的泄密案例。通过加强经常性的保密教育,不断增强保密意识,自觉地转变思想观念,增强责任感和使命感,做到平时学保密,审前讲保密,审中促保密,审后查保密。提高审计人员的保密法律意识和素养,做到自觉学习保密知识,自觉遵守保密制度,自觉规范保密行为。
二是建立健全保密机构和制度。健全保密工作领导体制,成立保密工作机构,日常的保密工作主要由保密工作机构负责。不断完善保密管理制度。对秘密文电、档案等涉密资料的借阅、保管、归档或销毁,对电子计算机的使用、维修等制定一整套专门的管理办法和制度规范。通过科学管理,不断提高保密管理的水平和层次,把保密工作管理纳入制度化、规范化、科学化的轨道,真正建立起保密管理的长效机制。
三是合理分工、明确职责。实行保密管理责任制,结合审计机关各部门的工作范围和特点,合理分工,明确责任,有效保证审计机关保密工作落实到位。局办公室负责保密工作的综合协调以及档案保管等具体保密工作。同时负责抓好机要、档案、信访举报、计算机网络安全、信息安全、人事信息等方面的保密工作和对上传网络稿件的审核把关;各业务股(室)负责审计现场有关资料的保密管理工作,重点加强现场保密管理工作,完善资料借阅、存放、移交等手续,确保万无一失;审计人员在审计期间妥善保管好自己的计算机、移动硬盘等,并不得接入互联网,以免造成审计资料的泄露。
四是注重研究新技术、新方法。加强信息化下审计保密工作,提高信息化环境下审计保密技能、加强现场审计保密管理、有效防范审计保密风险。将现代管理知识应用到保密工作中,提高保密工作水平。加大对信息安全的建设,采取对涉密网络和非涉密网络实行物理隔绝、IP地址和机器物理地址绑定、身份识别技术、加密技术等手段,使电子信息的储存、处理、传送等更加安全,从而有效的防止保密资料的泄露。
五是加强审计文书管理工作。切实做好审计方案、审计报告、重要审计信息、移送处理等文书的保密工作,严格按程序审批、定密、报送、归档,确保审计成果信息的安全。加强特殊项目审计中的保密宣传,面对一些特殊项目重点强调不仅要保守审计工作秘密,还要对涉及到企业的重要商业秘密和财务数据严格保密,要求在审计期间采集、使用和管理电子数据时,严格遵守各项保密规定,审计结束时销毁不需要存档的涉密资料和数据,做到保密工作万无一失。
6. 如何建立健全保密管理领导责任制和工作机制
书面明确各级领导保密责任;
法定代表人或主要负责人监督保密领导责任制的落实;
坚决落实考核于奖惩;
7. 严禁使用什么等公共空间发布传输涉密信息及内部资料
严禁在涉密信息系统、互联网等公共空间发布传输涉密信息及内部资料。
机关、单位应当加强对涉密信息系统的管理,任何组织和个人不得有下列行为:
1、将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;
2、在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;
3、使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息;
4、擅自卸载、修改涉密信息系统的安全技术程序、管理程序;
5、将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。
【法律依据】
《中华人民共和国保守国家秘密法》
第二十四条 机关、单位应当加强对涉密信息系统的管理,任何组织和个人不得有下列行为:
(一)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;
(二)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;
(三)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息;
(四)擅自卸载、修改涉密信息系统的安全技术程序、管理程序;
(五)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。第二十六条 禁止非法复制、记录、存储国家秘密。
禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。
禁止在私人交往和通信中涉及国家秘密。第二十七条 报刊、图书、音像制品、电子出版物的编辑、出版、印制、发行,广播节目、电视节目、电影的制作和播放,互联网、移动通信网等公共信息网络及其他传媒的信息编辑、发布,应当遵守有关保密规定。第二十八条 互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查;发现利用互联网及其他公共信息网络发布的信息涉及泄露国家秘密的,应当立即停止传输,保存有关记录,向公安机关、国家安全机关或者保密行政管理部门报告;应当根据公安机关、国家安全机关或者保密行政管理部门的要求,删除涉及泄露国家秘密的信息。
8. 涉密文件管理的要点是什么
涉密文件的管理包括收文、发文和日常管理三个主要环节。
1、涉密文件(包括确定密级的文件资料、图表、刊物、教材等)的拟制、印刷、传递、承办、借阅、保管、归档、移交和销毁,必须严格履行审批、清点、登记、签字等手续。
2、涉密文件由各单位机要保密人员统一管理,阅办涉密文件必须在办公室或者安全保密的场所进行,涉密文件应存放在铁皮柜内;对密级文件必须实行专人保管,专册登记,专柜存放,个人不得私自保存涉密文件资料。
3、发出、收进和内部运转的涉密电报、文件、资料,必须登记、编号,在交接时,必须履行签字手续。外出开会发的秘密文件,要妥善保管,回单位后及时交给机要人员处理;
4、传阅涉密文件、资料,由机要人员直接传递,不得逾越机要人员任意横传。因工作需要长时间使用的,要向机要人员办理手续。
5、涉密文件、资料,不经发文单位同意,不得自行扩大阅读范围,不得自行复印、翻印或转载,不得向规定范围以外的人员泄露;
6、凡因工作需要复印、印制涉密文件资料,应按规定办理相关手续。复印后的涉密文件资料要按原件密级管理。
7、确因工作需要携带涉密文件资料外出的,需经主管领导批准并采取相应的保密措施。不准在公共场所停留、游览、购物、探亲访友等,返回单位后要及时交机要保密人员保管,确保国家秘密安全。
8、当工作发生变动时,应将自己使用的文件、资料进行清理,全部移交;
9、涉密文件资料的清退和销毁。阅办的涉密文件应当及时清退,需要销毁的涉密文件资料,交由市保密局统一集中销毁,个人均不可自行、随意销毁。严禁将各类涉密载体或者内部资料、刊物当废品出售。对违反保密规定,使涉密文件资料发生失泄密的,依照国家法律和有关规定严肃处理,追究责任。
10、涉密文件资料须定期收回上交,发现丢失,及时汇报并立即追查处理。
11、需要销毁的涉密文件资料由保密部门造册,按照有关保密法规的规定,由领导批准后统一处理,不得擅自销毁。
(8)加强涉密材料上传发布审核把关扩展阅读:
收文环节:
收文管理包括检查、登记、批办、传递等步骤。收到密件后,首先要检查来文封皮的状态,看是否有损坏或被窃的痕迹,在回执单或送文簿上签署姓名、时间。
其次,在专门的密件登记簿上登记收到的全部密件,除了常规的登记项目外,还应注明密级、编号、份数、制作日期。
第三,将密件交由办公室主任处理。
与本企业有关的商业秘密文件,办公室主任应当认真进行拟办,提出合理的利于保密的意见,再由分管领导根据拟办意见对密件处理作出决定。由于拟办意见关系到商业秘密的生死存亡,应当极为慎重,选择的承办部门、人员都要尽量认定为可靠的,而且知密的范围要尽量小。
办理中由于需要其他部门及人员的协助而必须提供信息时,要先向他们声明保密原则,并尽可能地以最小的商业秘密信息量得到他们最大的协助。
第四,密件必须由专人传递并负责跟踪密件的整个办理过程,密件在同一个人手中停留的时间不能太长,传递文件的文书人员应该做到及时送达,及时传阅,并监督办理过程。
发文环节:
发文环节包括草拟、审核、签发、复核、缮印、用印、登记、分发等程序。草拟文件时,有保密事项后应当马上做标记,并划定密级,限制秘密文件的范围。审核、签发与复核,是对文件内容的把关,层层监控为的是使企业的商业秘密在产生阶段就得到很好的保护,以减少后患。
密件缮印要在专门的机要文件缮印部门进行,商业秘密文件的原稿与缮印稿都要注意保密,同时还要注意在缮印过程中留下来的一些印坏了的废弃文件,这些废弃文件要用碎纸机处理,不能随意堆放或卖给废品收购站。
需要用印的文件要加盖发文机关或企业领导人的印章,一般应由负责人亲自加盖,企业有特殊规定的除外。
要限制文件的发放范围和数量,待发的公文要进行封装,负责密件工作的文书人员应当认真清点密件的印数,核对要发往的机关部门,装封后加盖密级章,贴上密封条加盖密封章,通过机要交通或专人发送。
日常管理:
首先,应根据信息的敏感性和重要性将企业信息划分为不同等级,设定不同的知密范围,限制信息的传播途径,积极主动的防止竞争对手窃取或通过合法途径获取本企业的信息。
其次,企业应明确涉密人员的范围、权限和责任,严格控制商业秘密在本企业之中的传播范围,明确规定作为一项商业秘密,哪些人需要知道,哪些人不需要知道。
否则人多口杂,一不留神就泄密,而且不利于责任的有效追究。
第三,在库房管理中,可确立多人负责和有限职责的原则,采用分割组合方法保管存储商业秘密文件。
例如,可将商业秘密的关键部分分解,限定员工只接触一部分,使每一涉密者不能拥有完整的商业秘密。库房设施要可靠,有条件的企业可以设密码门,只有文件管理人员才有密码通行证、定期更换密码;密件平时应锁入保险柜。
第四,在用户利用管理中,要规定借阅范围、时间和签阅手续,管理者要跟踪密件的流动,最好借阅者就在机要室或阅文室查阅该文件,有特殊情况的也要当天借当天还。文件的复制要有规定和限制,原则上不应允许复制。商业秘密文件办完要及时归档,妥善保管,以免发生商业秘密纠纷时无法举证。
为确保敏感的公司文件的安全,对于废弃的文件,不要将它们往废物篓一扔完事,而应广泛使用文件粉碎机,将企业废弃文件彻底销毁,使文件无法复原,以免竞争对手从中分析出本企业的竞争动向。