涉密单位信息安全策略操作规程.docxVIP

涉密单位信息安全策略操作规程

1总则

1.1目的

为规范涉密单位信息安全管理与操作行为，明确各环节安全责任、操作标准及风险防控要求，防范信息泄露、窃密等安全事件发生，保障国家秘密和工作秘密安全，依据《中华人民共和国保守国家秘密法》《中华人民共和国保守国家秘密法实施条例》《计算机信息系统保密管理暂行规定》等法律法规及行业标准，结合涉密单位工作实际，特制定本规程。

1.2适用范围

本规程适用于涉密单位内部所有涉密信息的生成、存储、处理、传递、销毁全流程操作，覆盖涉密信息系统、涉密载体、涉密场所、涉密人员的安全管理；适用于经保密审查合格并取得相应涉密岗位资格的全体从业人员，以及参与涉密工作的外聘、外包人员。

1.3职责分工

1.3.1单位主要负责人：对本单位信息安全工作负总责，作为法定定密责任人，统筹信息安全策略制定与实施，保障安全投入，组织处置重大信息安全事件。

1.3.2分管保密工作负责人：在职责范围内负责信息安全工作的领导与协调，监督安全策略落实，组织开展保密检查与培训。

1.3.3保密工作机构：具体承办信息安全管理工作，负责涉密人员审查、定密管理、安全检查、应急处置等；指导各部门落实信息安全要求，建立安全管理台账。

1.3.4业务部门负责人：对本部门信息安全工作负直接领导责任，组织本部门人员学习执行本规程，排查部门内信息安全隐患，及时上报安全问题。

1.3.5涉密人员：作为岗位信息安全直接责任人，严格遵守保密法律法规及本规程，履行保密承诺，妥善保管涉密载体与涉密设备，及时报告信息安全异常情况。

1.3.6技术保障部门：负责涉密信息系统、安全防护设备的建设、维护与技术支持，保障系统安全稳定运行；落实技术防护措施，排查技术安全隐患。

1.4核心安全原则

1.4.1最小知悉原则：严格限定涉密信息的知悉范围，确需知悉机密级以上国家秘密的人员，应当作出记录，严禁扩大知悉范围。

1.4.2全程管控原则：对涉密信息从生成到销毁的全生命周期实施安全管控，确保每环节都符合保密要求，做到可追溯、可核查。

1.4.3分级保护原则：根据涉密信息的密级（绝密、机密、秘密）和信息系统的涉密等级，采取相应等级的安全防护措施，密级越高，防护要求越严格。

1.4.4权责一致原则：明确各岗位信息安全职责，将安全责任落实到个人，做到有权必有责、失职必追责。

2涉密人员管理操作规范

2.1上岗审查与培训

2.1.1拟任用、聘用到涉密岗位的人员，必须经过严格的上岗前保密审查，审查内容包括无犯罪记录、近1年内未发生泄密案件、政治素质合格等，未通过保密审查的，不得任用、聘用到涉密岗位。

2.1.2涉密人员上岗前必须参加保密教育培训，内容包括保密法律法规、单位保密制度、涉密岗位操作要求、保密技术防范知识、泄密案例警示等，考核合格后方可上岗。

2.1.3涉密人员上岗时需签订保密承诺书，明确保密义务与责任，承诺严格遵守信息安全相关规定。

2.2在岗管理

2.2.1单位组织人事部门会同保密工作机构定期对涉密人员开展复审，确保其持续符合涉密岗位工作要求；定期组织涉密人员参加保密继续教育与培训，提升安全防范意识与技能。

2.2.2涉密人员出境需由组织人事部门和保密工作机构提出意见，按人事、外事审批权限审批；出境前必须经过保密教育培训，承诺在境外遵守保密规定，并及时报告境外相关情况。

2.2.3建立涉密人员权益保障制度，按照国家有关规定给予因履行保密义务导致合法权益受到影响和限制的人员相应待遇或者补偿。

2.3离岗离职管理

2.3.1涉密人员离岗离职前，必须接受保密提醒谈话，签订离岗离职保密承诺书，明确离岗离职后的保密义务与脱密期要求。

2.3.2保密工作机构负责组织清退涉密人员持有的所有国家秘密载体（包括文件、资料、存储介质等）和涉密设备，取消其涉密信息系统访问权限，收回涉密岗位相关证件。

2.3.3明确涉密人员脱密期期限，脱密期内，涉密人员就业、出境必须遵守国家保密规定，不得利用知悉的国家秘密为有关组织、个人提供服务或者谋取利益。

2.3.4涉密人员擅自离职或者脱密期内严重违反国家保密规定的，单位应当及时报告同级保密行政管理部门，由保密行政管理部门会同有关部门依法采取处置措施。

3涉密信息系统操作规范

3.1系统建设与准入

3.1.1涉密信息系统的规划、建设必须同步规划落实相应的保密设施，符合国家保密规定和标准，采用合格的保密专用设备，防泄密、防窃密。

3.1.2涉密信息系统投入使用前必须经过保密审查与测评，合格后方可正式运行；严禁未经保密测评的信息系统处理、存储涉密信息。

3.1.3涉密信息系统实行访问权限分级管控，按“最小权限”原则为用户分配访问权限，明确操作范围；用户需设置符合安全要求的密码，定期更换，严