内容简介
Q/SY中国石油天然气集团公司企业标准
Q/SY 1620—2013
保密工作检查评价规范
Evaluation specification of inspection on confidential work
2013-10-01实施
2013一07一23发布
中国石油天然气集团公司 发布 Q/SY 1620—2013
目 次
前言
范围术语及定》 检查评价内容、原则及方式 4检查评价程序及评分方法检查评价的组织实施 6检查评价结果 7检查评价报告附录A(规范性附录) 保密检查程序附录B(规范性附录) 保密工作检查评价表附录C(规范性附录) 办公专网计算机及载体保密检查记录附录 D (规范性附录) 计算机及载体保密检查记录· 附录E(规范性附录) 涉密文件信息资料管理保密检查记录附录F(规范性附录) 保密工作检查整改通知单. 附录G(规范性附录) 设备封存登记备案表…·
2
5
. 7
......
....
..
..15
16 17
.........
18
19 Q/SY 1620—2013
前 言
本标准按照GB/T1.1一2009《标准化工作导则 则第1部分:标准的结构和编写》给出的规则起草。
本标准由中国石油天然气集团公司办公厅(总裁办)提出并归口。 本标准起草单位:中国石油天然气集团公司保密委员会办公室。 本标准主要起草人:范宁、陈汉龙、胡军、彭干先、李勇、史立勇、黄照富、韩剑锋、杨兆军、
李全明、闵路明、王玉英。
II Q/SY 1620—2013
保密工作检查评价规范
范围
本标准规定了保密工作检查评价的内容、程序、方法、组织实施和评分标准等要求。 本标准适用于中国石油天然气集团公司(以下简称集团公司)总部、所属境内外全资子公司、控
股公司、分公司、企事业单位(以下统称为所属单位)保密检查评价工作。
2术语及定义
下列术语及定义适用于本文件。
2. 1
保密工作检查 inspection on confidential work 保密主管部门依据国家、地方、集团公司保密管理相关规定组织实施的工作检查,其中包括利用
国家及集团公司保密管理部门认可的检测设备、软硬件工具进行有针对性的技术检查。 2. 2
国家秘密 state secret 关系国家的安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。
2. 3
商业秘密 business secret 不为公众所知悉、能带来经济利益、具有实用性并采取保密措施的经营信息和技术信息。
2. 4
涉密人员 secret-related personnel 按规定可以知悉或接触国家秘密或商业秘密的人员,计算机网络 computer network 中国石油广域网、局域网(以下简称内网)、办公专网(以下简称专网)和互联网等信息网络及
2. 5
其终端接人设备(包括计算机等)、移动存储介质等的统称。 2. 6
涉密载体classified vector 以文字、数据、符号、图形、图像、声音等方式记载秘密信息的纸介质、光盘、磁介质以及半导
体介质等各类物品。 2. 7
办公设备 office equipments 用于办公室处理文件的设备,包括打印机、复印机、传真机、扫描仪、投影仪、碎纸机等通信设备 industrial communication device 用于办公的有线和无线通信设备,包括电话、手机、无线AP、卫星、无线网桥等
2. 8 Q/SY 1620—2013 2. 9
涉密工作环境 confidential information office 按规定可以处理、存储涉密信息的办公场所,
3检查评价内容、原则及方式 3.1检查评价内容
保密工作检查评价分为管理检查、技术检查,其中: a)管理检查包括组织领导、宣传教育、监督检查、涉密载体管理、涉密业务管理检查。 b) 技术检查包括计算机网络、办公设备、通信设备、会议活动、涉密工作环境检查。
3.2管理检查
包括组织领导、宣传教育、监督检查、涉密载体管理、涉密业务管理五个部分。其中: a)组织领导,
1) 有健全的组织机构、管理体制和保障机制,配备专(兼)职保密工作管理人员;
保密委员会主任由本单位主要领导担任,定期组织召开保密委员会会议,安排部署年度保密重点工作、研究解决保密工作中的重大事项;
2)
3) 保密委员会办公室认真履行职责,当好参谋助手,主动向保密委和主管领导请示汇报工
作,按时完成各项工作任务; 4) 编制年度保密工作经费预算; 5) 落实保密工作责任制,逐级签订保密工作责任书,按要求签订保密承诺书; 6) 执行重大问题请示报告制度,对责任制落实情况、重大事项、失泄密事件等重大问题及
时报告主管领导和上级主管部门; 7) 深人基层,调查研究,提出改进和加强基层保密工作的措施和办法; 8) 健全保密工作规章制度,规范工作程序,明确岗位职责: 9) 确定保密要害部门、部位和保密重点单位并报上级保密管理机构确认; 10) 按规定录用、调整保密干部和涉密人员,并组织开展岗前培训; 11) 履行保密工作报告制度,内容包括年度工作总结、要点和有关会议精神贯彻落实情
况等。
b)宣传教育:
制定年度保密宣传教育计划,开展以宣传贯彻保密法为主要内容的法律法规和规章制度教育培训工作;
1)
2) 实行领导干部保密学习培训制度,利用党委中心组、专题会等形式组织学习保密知识;
定期开展警示教育、技防知识为主要内容的保密宣传教育活动;
3) 4) 组织开展保密专业技术培训; 5) 做好保密信息交流工作,向上级保密主管部门报送信息
c)监督检查:
1) 组织开展专项保密安全检查并形成检查报告; 2)组织史志年鉴、统计手册、专业技术图册、文件资料汇编、学术论文集等资料的保密
审查; 3) 履行涉密人员出境前的保密教育,对其所携带的资料、数据进行保密审查等,并登记
备案; 4) 审查重点工程、重大项目、重要谈判、对外合作与交流、涉密会议与活动、信息公开和
2 Q/SY 1620—2013
网络信息发布等事项; 5) 研究部署失泄密事件补救措施,督促落实限期整改,查处并及时上报保密主管部门;
配备保密技术防护设备和检查工具,对重要涉密会议、重大涉密活动场所进行保密技术
6)
防护和检查。
d)涉密载体管理:
1) 文件、资料等纸质涉密载体的制作、收发、传阅、保管、归档、销毁等环节程序规范;
涉密载体应通过机要部门传递;需要专人传递时,采取安全保密措施,乘坐专门的交
2)
通工具;确定涉密载体定点制作与维修单位,报上级保密主管部门备案;定期对涉密载体定点制作与维修单位进行监督检查;撤销、合并单位的涉密载体移交承担其职能的单位:
3)
4) 5) 涉密载体复制、携带履行审批程序; 6) 7) 涉密载体销毁前登记造册,履行审批程序后,送具有保密资质的销毁单位
涉密载体存放有专门场所和专用设备,专人管理,定期清查、核对,及时归档;
e) 涉密业务管理:
1) 定期开展重点业务保密风险分析,作出风险评估,提出防范措施; 2)审定本单位产生的涉密事项内容、密级和知悉范围;
在办公会、生产例会等会议中结合业务和管理实际部署保密工作,并将相关内容写人会
3)
议纪要,对涉密重点业务开展保密谈话提醒;国家秘密或油商密二星级及以上的重点工程、重大项目、重要谈判启动前,制定保密方
4)
案;保密部门先期介人,审核其秘密范围、密级、参与人员和办公环境(包括网络环境);
5) 信息化建设项目由保密管理部门先行审查和评估;
对外合作、交流、交易需要向对方提供信息的,不得涉及国家秘密和集团公司商业秘密,确需向对方提供的,应由本部门、单位对范围和内容进行审定,并进行相应地技术处理,在与对方签订保密协议后按规定程序提供;对参观保密要害部门、部位及保密重点单位和重要涉密场所的,应制定保密方案,对来
6)
7)
访者是否符合保密要求进行审定,对参观路线、展示图物、讲解内容和文件资料等进行保密审查;
8)重要信息公开前,对公开事项的内容、时机和方式等进行审定; 9)广告刊布、论文发表、信息上网之前,对其内容是否涉密或涉及敏感信息进行审查。
3.3技术检查
保密工作技术检查评价内容包括计算机网络、办公设备、通信设备、会议活动和涉密工作环境五个部分。其中:
a) 计算机网络:
建设国家秘密等级的专网,应执行国家保密主管部门有关规定,承建和监理单位应具备国家保密主管部门颁发的相应资质;建设符合国家保密要求的涉密专网,由集团公司保密委员会办公室组织评审保密方案,并报国家保密主管部门审批;所属单位建设的涉密专网,需要与总部专网连接的,应报集团公司保密委员会办公室审
1)
2)
3)
批;专网运行维护应由集团公司内部信息技术服务单位承担; 4)专网应与互联网物理隔离,不得直接或间接与专网以外设备连接,不得采集、处理、传
3 Q/SY 1620—2013
输、存储超出其密级的信息; 5) 专网服务器、涉密计算机及连接的配套设备和涉密载体的配备、使用、维护、维修、处
置等,应符合保密管理要求,其维修由内部信息技术服务单位承担,内部单位无法承担的应选择具有保密资质的单位维修,并签订保密协议;送修时应履行报批手续;
6) 未经集团公司及所属单位保密管理机构批准,不得擅自卸载或更换涉密信息系统的安全
技术程序和管理程序软件;对计算机网络中的服务器、用户终端以及应用程序的本地登录和远程登录进行用户身份
7)
鉴别;涉密计算机系统口令设置应符合保密规定相关要求;使用智能卡或USBKey结合口令方式,口令长度不少于8位,且为大小写英文字母、数字和特殊字符中两者以上的组合,口令更换周期不长于1个月,身份鉴别尝试次数应不多于5次;对涉密信息的访问权限采用强制访问控制策略;
8)
9) 10)采用计算机网络安全审计措施,可追溯发生事件的来源和结果; 11) 加强办公专网计算机网络设备管理,建立管理台账; 12) 涉密计算机按照分级保护的要求采取保密技术防范措施,建立相关台账,明确责任人: 13)
报废、捐赠涉密计算机及涉密载体,应经保密管理部门核准,由指定的维护单位拆卸或更换硬盘后进行;
14) 具备检测并阻断涉密计算机通过无线、有线等方式违规接人互联网及其他公共信息网
络的设备。
b)涉密办公设备:
1)集团公司、所属单位保密管理部门负责涉密办公设备审核。信息部门负责技术认证
登记建档后,并报保密部门备案; 2) 涉密办公设备的安装、操作按照有关规定和规程执行,运行环境符合安全保密要求; 3) 处理涉密信息的打印机、复印机、扫描仪等设备不得连人互联网、普通电话网络等公
共信息网络; 4) 涉密办公设备的维修,应由内部信息技术服务单位承担,内部单位无法承担的应选择
具有保密资质的单位维修,并签订保密协议; 5) 涉密办公设备送修时,按程序办理送修手续; 6) 报废、捐赠涉密办公设备,应经保密管理部门核准,由指定的维护单位拆卸或更换硬
盘后进行;涉密办公设备贴有保密部门印制的涉密标签。
7)
c) 涉密通信设备:
涉密信息的远程传输应采用密码技术进行保护,不得“密电明复”或“密件明发”; 2)传真涉密信息,必须使用国家密码管理部门批准使用的加密传真机,加密传真机只能传
1)
输“机密”和“秘密”级信息,“绝密”级信息应送当地机要部门译发;在涉密会议和涉密活动场所设置手机屏蔽机柜和信号阻断装置;
3) 4) 不得将手机等移动终端作为涉密信息设备使用或与涉密信息设备及载体连接
d)会议活动:
制定保密工作预案,对涉密会议、活动的场所、资料、视听设备等采取安全保密防护
1)
措施;涉密会议、活动在符合保密要求的场所进行,使用的电子扩音、录音等电子设备、设施应经安全保密检查检测,携带使用录音、录像设备应经主办单位批准;在涉密会议、活动中不得使用手机、对讲机、无绳电话、无线话筒、无线键盘、无线
2)
3)
4 Q/SY 1620—2013
网卡等无线设备或装置,不得使用不具备保密条件的电视电话会议系统; 4) 涉密会议原则上在单位内部召开,确需到其他场所召开的,主办单位应采取保密措施,
并按规定办理审批手续;涉及国家秘密和油商密二星级及以上商业秘密的会议和活动,主办单位应明确有关保
5)
密责任和要求,制定和落实保密措施,并在保密管理部门的监督下实施; 6) 会议和活动的主办单位应控制涉密文件资料印制数量和发放范围,会议或活动结束后
应按会议主办方要求回收; 7) 涉密视频会议系统应按照涉密信息系统有关要求建设和管理;
涉密视频会议系统运行维护和音视频录制,应由专人负责,音视频资料应按照涉密载体管理。
8)
e) 涉密工作环境:
确定安全控制区域,并根据周边环境特点采取必要的安全防范措施;
1) 2) 有专用、独立、牢固并可实现封闭、隔离的空间; 3)
按不同密级要求配置电子密码文件柜(保险柜)、碎纸机、电子监控防盗报警系统等保密技术防护设施;
4) 有供专门存储和处理涉密载体的保密安全设备; 5) 在涉密场所无无线网络接入设备及无线办公设备; 6) 有相应的防范设备。
3. 4 原则
保密工作检查应以“统一规范、量化评价”为原则 3.5方式
保密工作检查组织方式分为自查、复查、互查和抽查。
检查评价程序及评分方法 4.1 检查评价程序
检查评价程序见附录 A。 4.2评分方法
检查评价根据日常保密管理以及取得的成绩予以评分,具体评分方法见附录B。
检查评价的组织实施
5.1现场检查评价包括情况沟通、分工检查、现场处置等三个环节。其中:
情况沟通:召开首次检查工作组会议时,工作组组长介绍保密检查评价工作的目的、范围、 内容和方式等,并就需要配合的有关事项向受检单位说明。受检单位介绍本单位保密工作具体情况。
?
b) 分工检查:检查工作组组长根据受检单位实际情况制定现场检查实施方案,明确检查工作
组各成员任务分工,检查工作组各成员根据现场检查实施方案和任务分工实施现场检查工作,分别填写办公专网计算机及载体保密检查记录单(见附录C)、计算机及载体保密检查记录单(见附录D)、涉密文件信息资料管理保密检查记录单(见附录E),并由受检单位责
5