从涉密项目实际出发 抓保密管理规范运行

紧扣涉密项目实施全过程,建立起一套科学规范的保密管理机制和运行机制,是保密资质单位始终不能放松的任务。本文从涉密项目接手、准备、实施、竣工、验收到运行维护等各个阶段,探讨了资质单位应重点建立并确保规范运行的9种机制。

净化网络环境 确保信息安全蔡威
涉密项目责任制
责任制是保密管理的基本要求,涉密资质单位应将其规范化、常态化。资质单位接手涉密项目后,应首先根据项目的密级对用户需求文档、设计方案、图纸、程序编码等技术资料和项目合同书、保密协议、验收报告等业务资料是否属于国家秘密或属于何种密级进行确定。属于国家秘密的,应标明密级、登记编号、明确知悉范围;其次,应根据项目的难易程度、工作量大小,从本单位遴选适合人选作为项目负责人,全权负责项目的组织实施工作。资质单位应明确项目负责人的保密领导责任,并与其签订保密责任书。项目负责人应在项目实施期间,按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度;同时,项目负责人应得到必要的人力物力保障,以确保集中精力,完成项目。在项目实施过程中,资质单位不可随意中途更换项目负责人。对参与该项目的各部门负责人,资质单位也应明确其责任,并通过监督检查的方式,敦促他们履行保密职责。
保密方案论证制
俗话说,不打无准备之仗。资质单位从事涉密业务,必须谋划在先,要根据实际承接的项目,制订专门的保密管理方案,坚决防止和克服案不对题、无案可循、仓促上马的侥幸心理和麻痹思想。在项目方案中,哪些人员需要严格要求、加强教育;哪些环节和时机需要多加关注、加强管理;哪些部位需要技术保障、加强防范;哪些工作又由谁来负责、抓好落实等等,都应体现得清清楚楚、明明白白。同时,还要制订保密管理应急预案,应对突发事件。项目有关人员必须参加方案的制订,确保方案具备可操作性。保密方案应向单位保密委员会报批后实施。制订涉密项目保密管理方案是确保涉密项目顺利实施的基础,资质单位对此应有足够的重视。
参与人员核准制
互联网安全事件引人注目,技术极客们挖掘出了系统的漏洞却无法得到认同和回报,有得甚至企图利用漏洞来谋利,建议网站购买一些安全渗透测试服务,并且公开悬赏安全漏洞的发现。
人既是管理国家秘密的主体,又是保密管理的对象。说到底,某些涉密资质单位发生的一些泄密事件都是参加涉密项目的人员出了问题,如果不吸取教训,同样的事件将会不断发生。核准参与涉密业务项目的人员,应从确保国家秘密安全这个最高利益出发,本着最小化、精准化原则确定。既要审核涉密等级,又要审查政治素质、考察现实思想表现。不同密级的人员担任相应密级的岗位,非密人员在未被批准为涉密人员前,禁止接触国家秘密信息,不得为了赶时间进度,随意增加涉密项目人员。落实参与人员核准制,就要坚持凡进必审,非批莫进,以确保参与涉密项目的人员可信可靠。
岗前教育培训制
对进入涉密项目各岗位的人员,资质单位应组织专题培训,把教育培训当作参与人员接受教育、增强责任、提高技能、增长知识的过程。可围绕涉密项目实施,进行有实操背景的保密管理“模拟演练”,假戏真演、严管实查、不留情面、奖罚严明。保密教育培训要有针对性、严肃性、实效性,做到不漏一项、不漏一人、不走过场。培训考试不合格者禁止参与涉密项目。此外,实行涉密人员岗前签订保密承诺书制度,切实克服保密承诺内容空泛,坚决禁止他人代签承诺书。
现场检查督导制
严格的现场检查督导是从事涉密业务过程保密管理的关键环节。检查全不全、细不细、实不实,督导当不当、紧不紧、严不严,直接关乎保密工作能否落实到位、泄密隐患能否得到彻底清除、业务项目是否有保密安全保障。现场检查督导既要求项目各负责人按照保密标准全面加强管理,抓好经常性的检查督导,又需要涉密资质单位高度重视,派出会管理、懂技术、讲原则的精干人员,定期或不定期地奔赴现场,严抠细查、发现问题、排除隐患、改进工作。然而,在现场审查时发现,有些单位正在实施的涉密业务项目较多,可谓点多、线长、面广,日常保密管理完全依靠项目人员“捂着良心干活”。由于本部距离各项目现场路途遥远,派出现场督导组有鞭长莫及之感,加之需增加人力财力开支,也不愿意提高成本派员到现场检查督导,其实,这种“算小账不算大账”的做法是极其危险的。
协调多方监督制

三院303所顺利通过北京市军工保密资格认证审查

涉密项目的实施,与甲方的要求、第三方的监理、主管部门和相关职能部门的指导监督密不可分。在此过程中,各方有权利也有义务履行自己的职能。从事涉密项目的单位应本着对国家秘密安全及对各方、个人负责的精神,主动联系,积极沟通协调,经常征询意见和建议,并请各方参与监督。尤其是甲方和第三方,对项目现场实施人员见面多、情况熟。资质单位应借助甲方和第三方的管理,把要求提在先、把工作做在前。
风险排查评估制
在对资质单位审查或调研时发现,不少单位没有进行过保密风险排查评估,却自我感觉良好;有的单位则大而化之,风险排查工作粗放、马虎,找不到风险或对风险点识别不全;有的单位还错误地认为,多少年就这样做,也没有出问题,没有风险可言。严格意义上讲,问题和风险是相对存在,只不过问题有大小多寡之分,风险有远近轻重之分。排查不出问题就是严重的问题,看不到风险就是潜伏的隐患。定期分析保密形势,及时排查评估泄密隐患和风险,持续改进工作,是加强涉密项目实施过程中保密管理的重要方法,应作为一种机制,从时间安排、内容确定、运作方式、最终效果、责任分工等方面规定清楚,保证落实到位。

女子在家洗澡遭黑客直播 家用摄像机安全堪忧

项目验收报备制
涉密项目竣工后,进行达标验收并向当地保密部门报备,是保密管理的要求,也是完成涉密项目必不可少的程序,更是检验涉密项目完成效果的重要手段。为此,资质单位需立足当前、着眼长远,既要以高度负责的态度,认真扎实地抓好项目实施中的保密管理,又要讲保密管理的方案、流程和动作,以文字方式保留好,方便查证和追溯。
技术资料移交制
涉密技术资料在所有涉密项目资料中涉密程度最深、密点最集中,一旦管控不力,造成失泄密事件,影响最大、危害最重。资质单位在涉密项目验收后,应按要求将涉密技术资料全部移交甲方,不得私自留存和擅自处理。如确因工作需要留存,应与甲方履行留存保管手续,明确留存载体名称、形式、数量、密级等,并严格按照有关规定将载体保存在符合要求的保密设施、设备中。然而,在现场审查时发现,一些单位为了图省事、“套模板”,方便日后工作使用,在项目验收后,既未对涉密计算机中的涉密技术资料进行信息消除,又未与甲方履行留存保管手续;另一些单位虽然履行了保管手续,但由于登记不清楚、不全面、不规范,造成账物不符,给保密管理带来极大隐患。技术资料移交是涉密项目后续管理的一个重要方面,资质单位切不可因项目已验收而对此掉以轻心,不管不问。

今起重庆挪车拨打96009还不泄露个人信息

微信扫一扫关注该公众号

黑客们经常将一些被控制的网站的访问重定向到兜售廉价商品的网站,借创造流量来赚钱。

猜您喜欢

商业银行信息科技风险中的人员安全问题研究
信息安全意识测试
安全教育日全民安全意识教育片教授海外学术交流遇谍记
魏傅然将出任联合市场销售与服务机构总裁
RJSALES KAGNEYLINNKARTER
机密数据并未得到充分的安全保护