内容简介
Q/SY中国石油天然气集团有限公司企业标准
Q/SY 26620—2021 代替Q/SY25620—2018
保密工作现场检查评价规范
Specification for field inspection and evaluation of confidential management
202111—15实施
2021—09—07发布
中国石油天然气集团有限公司 发布 Q/SY26620—2021
目 次
前言
范围规范性引用文件术语和定义
2
3
一般要求
4
5现场检查内容及方式 5.1现场检查内容 5.2现场检查方式 5.3 人工检查现场检查程序及评分方法 6.1 检查程序 6.2评分方法
现场检查的组织实施 7.1 检查组 7.2 检查实施 8
检查评价 9 保密工作否决项 10 检查报告附录A(规范性) 保密工作现场检查评价表附录B(规范性) 涉密计算机及移动存储介质保密检查记录单附录C(规范性)非涉密计算机及移动存储介质保密检查记录单附录D(规范性)信息系统保密检查记录单附录E(规范性)设备封存登记备案表附录F(规范性)保密工作检查结果反馈通知单
10
11
12
13
14 Q/SY 26620—2021
前言
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。本文件代替Q/SY256202018《保密工作检查评价规范》,与Q/SY25620一2018相比,除结构调整和编辑性改动外,主要技术变化如下:
a)将标准名称修改为《保密工作现场检查评价规范》: b)修改了“范围”内容,增加了“检查评价,否决项及检查报告的要求*内容。修改了适用范
围(见第1章,Q/SY25620一2018的第1章): c)修改了“术语和定义”内容,修改了“保密工作环境”“商业秘密”“涉密人员”,增加了“保
密部门”和“定密”删除了“计算机网络”“涉密载体”“办公设备”“通信设备”“涉密工作环境”术语与定义(见第3章,Q/SY25620一2018的第2章:
d)增加了一般要求”内容(见第4章) e)修改了现场检查内容、原则及方法(见第5章。Q/SY25620一2018的第3章): f)修改了“现场检查程序及评分方法”内容(见第6章,Q/SY256202018的第4章及附录A) g)修改了“现场检查的组织实施”内容(见第7章,Q/SY25620一2018的第5章: h)修改了“检查评价”内容(见第8章,Q/SY25620一2018的第6章); i)增加了“保密工作否决项”内容(见第9章): j)修改了“检查报告”内容(见第10章,Q/SY25620一2018的第7章* k)修改了“保密工作现场检查评价表”内容(见附录A,Q/SY25620一2018的附录B); 1)修改了涉密计算机及移动存储介质保密检查记录单”内容(见附录B,Q/SY25620一2018
的附录C): m)修改了“非涉密计算机及移动存储介质保密检查记录单*内容(见附录C,Q/SY25620
2018的附录D): n)增加了“信息系统保密检查记录单”内容(见附录D); 0)修改了*设备封存登记备案表”内容(见附录E,Q/SY25620一2018的附录G): P)修改了*保密工作检查结果反馈通知单*内容(见附录F,Q/SY25620一2018的附录F); q)删除了“涉密文件信息资料管理保密检查记录”内容(Q/SY25620一2018的附录E)。 本文件由集团公司保密委员会办公室提出。 本文件由中国石油天然气集团有限公司标准化委员会保密专业标准化直属工作组归口。 本文件起草单位:集团公司保密委员会办公室,大庆油田公司,勘探开发研究院。 本文件主要起草人:石继宁。陶建文、刘志舟、张士清、谢富龙、董传海、罗莉、黄照富、李勇、
管志伟,侯梅芳。梁爽。
本文件及其所代替文件的历次版本发布情况为: —2013年首次发布为Q/SY1620—2013,2018年变更编号为Q/SY25620—2018 一本次为首次修订。
II Q/SY 26620—2021
保密工作现场检查评价规范
1范围
本文件规定了保密工作现场检查的内容及方式、检查程序及评分方法、组织实施检查评价、否决项及检查报告的要求。
本文件适用于中国石油天然气集团有限公司(以下简称“集团公司)总部部门、纪检监察组和各单位。
规范性引用文件
2
本文件没有规范性引用文件
3术语和定义
下列术语和定义适用于本文件。
3.1
保密部门confidentiality management department 集团公司各级保密委员会办公室 【来源《中国石油天然气集团有限公司保密违法违规行为处分办法》(中油办【2020】51号)第
三条] 3.2
保密工作检查confidentialitymanagementinspection 保密部门依据国家、地方, 集团公司保密管理相关规定,采 合法 合理的手段和方式所进行的
有组织、有计划、有目的的保密监督管理活动。 3.3
国家秘密 state secret 关系国家的安全和利益,
定时间内只眼一定范围的人员知悉的事项
3.4
商业秘密business secret 集团公司商业秘密,即不为公众所知悉、能为集团公司带来经济利益。具有实用性并经集团公司
采取保密措施的经营信息和技术信息等商业信息。
【来源《中国石油天然气集团有限公司涉商业秘密人员保密管理办法》(中油办【2020】51号)第三条] 3.5
定密identification,modification, declassification 依法依规确定、变更或解除秘密(包括国家秘密、商业秘密)的活动。 【来源《中国石油天然气集团公司定密管理办法》(厅发【2016】16号)第四条】 Q/SY 26620—2021 3.6
涉密人员secretholder 按程序审查批准在涉国家秘密或涉商业秘密岗位工作的人员。
4一般要求
组织检查应遵守以本级和上级保密部门组织检查为主导,保密密码工作协作组检查为辅助,各单位自查为补充的检查机制。现场检查应分为人工检查和技术检查两种方式。集团公司层面对总部部门、纪检监察组和各单位的保密工作现场检查应每3年全覆盖1次:协作组对成员单位的保密现场检查应每3年全覆盖1次:各单位对本单位内部保密现场检查应3年全覆盖1次。
5现场检查内容及方式 5.1现场检查内容
现场检查内容包括保密工作组织机构、责任制落实,定密管理、网络保密管理、涉密人员管理涉密文件资料管理,制度建设,保密检查,保密要害(重点)部门部位设置及管理,涉密会议(活动)管理。宣教培训、密码管理。信息外发等13项内容。 5.2现场检查方式
人工检查和技术检查,包括查阅资料。听取汇报。询问人员等方式的人工检查和使用保密科学技术装备及手段针对网络,设备,设施及场所实施的技术检查, 5.3人工检查 5.3.1组织机构
组织机构检查包括以下内容: a)各级保密组织机构设置。检查是否有相关文件或记录: b)专(兼)职保密干部配备,检查是否有相关文件或记录。
5.3.2责任制落实
责任制落实检查包括以下内容: a)主要负责人组织研究保密工作,检查会议记录。领导批示。纪要或讲话: b)领导干部保密责任书签订,检查保密责任书和汇总表,抽查已签订的责任书 c)定期召开保密委员会会议,检查会议相关材料; d)保密工作纳人业绩考核,检查考核制度和相关记录; e)传达上级保密工作指示,文件和法规制度,检查相关文件和资料。
5.3.3 定密管理
定密管理检查包括以下内容: a)定密责任人:检查国家秘密定密责任人和商业秘密定密责任人名单及相关资料。 b)国家秘密定密,检查相关文件。资料和记录。 心)商业秘密定密,检查相关文件。资料和记录。抽取部分已定密文件资料与商业秘密目录比对
2 Q/SY 26620—2021
检查定密是否准确:依据商业秘密目录事项:抽查是否存在有密不定的情况:检查OA系统外流转的各类商业秘密文件资料定密情况。
d)商业秘密事项目录细化清单,检查相关文件和资料。 5.3.4网络保密管理
网络保密管理检查包括以下内容: a)信息系统,检查信息系统中是否有违规存储,违规处理,违规传输: b)涉密单机(计算机)管理,检查部署环境。配置、管理、使用。维修和报废等 c)移动存储介质管理, 检查发放审批记录、管理使用台账、秘密标志违规存储和报废记录等,
检查光盘刻录相关台账: d)办公专网计算机存储,检查超密级存储: e)办公专网计算机。涉密移动存储介质使用和管理,检查部署环境。秘密标志和管理台账,检
查购置、接转、外联、维修、更换、销毁和使用管理: f)办公专网计算机存储, 检查超密级存储。
5.3.5涉密人员管理
涉密人员管理检查包括以下内容: a)人员管理,依据涉国家秘密人员和涉商业秘密人员的管理办法。 分别进行涉密岗位确定、人
员确定及管理方面的检查: b)涉国家秘密人员管理,检查涉密人员上岗前、在岗、离岗离职,出国(境)管理和培训相关
资料: C)涉商业秘密人员管理,检查涉密人员上岗前在岗、离岗离职。出国(境)管理和培训相关
资料。
5.3.6涉密文件资料管理
检查接收、办理、保管、传递、使用、清退、销毁等。 5.3.7 7制度建设
保密基本制度,责任制,定密管理,网络管理、涉密人员管理等方面制度健全。保密制度具有可操作性、合规性、有效性和实用性,并及时修订完善。 5.3.8保密检查
检查现场保密检查和技术检查的实施。 5.3.9保密要害(重点)部门部位设置及管理
检查设置及管理。现场检查是否按规定采取人防、物防、技防等防护措施。 5.3.10涉密会议(活动)管理
检查涉密会议(活动)筹办方案和组织实施 5.3.11宣教培训
检查针对保密干部。涉密人员的培训和针对广大员工的保密知识宣传教育。
3 Q/SY 26620—2021
5.3.11.1保密培训
检查相关文件、制度和资料。 5.3.11.2保密宣传教育
检查相关文件,制度和资料。 5.3.12密码管理
检查密码设备日常使用管理。 5.3.13信息外发
检查信息公开、发表文章。新闻宣传及信息发布保密审查。
6现场检查程序及评分方法 6.1检查程序
检查按照以下程序进行:启动一→制定检查工作方案一→成立检查工作组一下达检查通知→实施现场检查一反馈检查意见一→提
出整改意见→结束检查, 6.2 评分方法
根据检查情况予以评分,具体评分方法按照附录A的要求执行。
7现场检查的组织实施 7.1检查组
现场检查组织单位应成立至少3人的检查组。设组长1人,组员若干,分人工检查和技术检查两个小组。 7.2 检查实施 7.2.1首次会议
召开检查组首次会议,检查组组长介绍保密现场检查工作的目的。范围。内容、方式和纪律等,并就需要配合的有关事项向受检单位说明。受检单位介绍本单位保密工作情况。 7.2.2 检查分工
检查组组长根据受检单位实际情况明确现场检查实施方案,明确检查组各成员任务分工。检查组各成员实施现场检查。 7.2.3 检查实施及问题处置
检查采取听、谈、看、查的方法,即听取各受检单位工作汇报,访谈受检单位领导和员工,查看受检单位相关文件和资料,检查受检单位的设备设施和信息存储。按分工依据保密工作现场检查评价 4