第一章 总则
第一条 为规范北京企密安信息安全技术有限公司所服务企业的涉密载体管理,确保涉密载体从生成到销毁全过程的安全可控,依据中华人民共和国相关法律法规,制定本制度示范条文。
第二条 本制度适用于企业所有涉密载体的管理。涉密载体是指以各种方式记载和传递企业商业秘密和内部敏感信息的物品,包括纸质载体、磁介质载体、光介质载体、半导体介质载体以及其他能够存储信息的载体。
第三条 涉密载体管理遵循统一管理、分级负责、严格登记、全程监控的原则。保密工作机构对涉密载体管理工作实施统一监督指导,各使用部门对本部门使用的涉密载体承担管理责任。
第二章 涉密载体的分类与标识
第四条 涉密载体根据其承载信息的秘密等级分为核心秘密载体、重要秘密载体和一般秘密载体三类。各类涉密载体应按照相应密级的管理要求进行管理。
第五条 纸质涉密载体包括文件、资料、图纸、报表、记录本、工作笔记等以纸张为载体的涉密信息。磁介质载体包括计算机硬盘、软盘、磁带等磁性存储介质。光介质载体包括光盘、蓝光盘等光学存储介质。半导体介质载体包括U盘、存储卡、固态硬盘等半导体存储设备。
第六条 所有涉密载体应当在显著位置标注密级标识和编号。密级标识包括核心秘密、重要秘密、一般秘密三种类别。涉密载体的封面和首页应标明密级和保密期限。无法直接标注的小型存储介质应在其外包装上标注密级和编号。
第三章 涉密载体的制作与生成
第七条 涉密载体的制作应当在安全可靠的设备和环境中进行。制作涉密载体使用的计算机和设备应为经过安全检查的专用设备,不得在公用的、联网的或未经授权的设备上制作涉密载体。
第八条 制作涉密载体时应严格按照确定的密级和保密期限进行标注。涉密文件起草、审核、签发过程中的各次修改稿和征求意见稿,应当参照正式文件的密级进行管理,不得随意处理。
第九条 涉密载体制作过程中产生的中间件、草稿、废页等应当采用碎纸机或专业销毁设备及时销毁,不得作为普通废纸丢弃。涉密电子文件制作过程中产生的临时文件应在工作完成后及时清除。
第四章 涉密载体的登记与发放
第十条 企业建立涉密载体登记管理制度,所有涉密载体在产生后应立即进行登记。登记内容应包括载体名称、载体编号、密级、保密期限、制作部门、制作日期、页数或容量、保管人等基本信息。
第十一条 涉密载体的发放实行严格的审批和登记制度。发放涉密载体应经过部门负责人审批,发放范围严格限定在工作需要的最小范围内。收发涉密载体应履行清点、登记、签收手续。
第十二条 涉密载体在外单位之间的传递,应当封装在密封的信封或包装中,封面上只标明接收单位和编号,不得标注密级。传递涉密载体应选择安全可靠的传递方式,双方做好交接记录。
第五章 涉密载体的使用与保管
第十三条 涉密载体使用过程中,使用人应妥善保管,保持载体整洁完整,不得擅自改变载体密级,不得在涉密载体上随意添改和标记,不得擅自将涉密载体带出办公区域。
第十四条 涉密载体应在安全可靠的场所和环境中使用。未经批准,不得在公共场所、公共交通工具和家庭环境等非安全场所使用和存放涉密载体。使用涉密载体后应及时入库或入柜保管。
第十五条 涉密载体实行专人保管、专库专柜存放制度。存放涉密载体的库房或文件柜应配备可靠的锁具,有条件的应加装监控和报警装置。涉密载体库房和存放柜的钥匙由专人保管,不得随意转借他人。
第十六条 涉密载体保管人员应定期对所保管的涉密载体进行清点检查,确保账物相符。发现涉密载体丢失、被盗或出现其他异常情况的,应当立即报告保密工作机构并采取应急措施。涉密载体保管人员岗位变动时,应办理移交手续并做好清点核对。
第六章 涉密载体的复制与摘录
第十七条 复制涉密载体应经过原定密部门负责人或保密工作机构批准。核心秘密载体原则上不得复制,确需复制的须经企业分管领导批准。复制涉密载体应在受控场所和受控设备上进行,复制件的密级和保密期限与原载体相同。
第十八条 摘录和引用涉密载体内容应按照原载体的密级进行管理。从涉密载体中摘录的摘要、数据和片段的保管和使用要求与原载体一致。涉密载体内容的引用应控制在合理范围内,不得因引用而扩大知悉范围。
第十九条 涉密电子文件复制到其他存储设备或介质时,应对目标设备和介质进行安全检查,确认安全后方可进行操作。复制完成后应做好登记记录,包括复制人、复制时间、复制内容、存储位置等信息。
第七章 涉密载体的携带与外出
第二十条 携带涉密载体外出应经过审批。携带一般秘密载体外出由部门负责人批准,携带重要秘密载体外出由保密工作机构负责人批准,携带核心秘密载体外出须经企业分管领导批准。未经审批不得擅自将涉密载体携带外出。
第二十一条 携带涉密载体外出时应采取必要的安全保护措施。携带纸质涉密载体应使用安全封装的包装或公文包。携带电子涉密载体应对存储设备采取加密措施。携带涉密载体出差或参加会议时,应妥善保管,不离身、不委托无关人员代管。
第二十二条 向外部单位提供涉密载体应经过审批并与接收方签署保密协议或在合同中约定保密条款。向外部提供涉密载体时,应明确告知载体密级和保密要求,要求接收方按同等标准进行保密管理。
第八章 涉密载体的销毁
第二十三条 涉密载体的销毁应经过保密工作机构审批。超过保密期限的涉密载体,经保密工作机构组织鉴定后可以降级使用或销毁。未到保密期限的涉密载体需要提前销毁的,应经过原定密部门负责人审批。
第二十四条 涉密载体的销毁应由两人以上在场监督。纸质涉密载体使用碎纸机进行销毁,碎纸后的颗粒尺寸应符合规定要求。磁介质和光介质涉密载体应使用专用消磁设备或物理破坏设备进行销毁,确保信息不可恢复。半导体介质涉密载体应进行物理破碎或采用符合规范的数据擦除方法处理。
第二十五条 涉密载体销毁过程应做好销毁记录,包括销毁时间、销毁方式、监销人、销毁品名称和编号等信息。销毁记录留存备查,保存期限不得少于规定年限。委托外部机构销毁涉密载体的,应核验外部机构的保密资质并签署保密协议。
第九章 涉密载体的检查与审计
第二十六条 保密工作机构定期对涉密载体管理情况进行检查,重点检查涉密载体登记账目是否完整、存放保管是否合规、借阅使用手续是否完备、销毁流程是否规范等。
第二十七条 涉密载体管理人员应定期进行盘点,确保所有涉密载体账物相符。盘点记录应报送保密工作机构。发现涉密载体丢失、缺损或账实不符的,应及时查找原因并报告保密工作机构。
第二十八条 企业建立涉密载体管理审计制度,每年至少组织一次涉密载体管理全面审计,审计结果报送保密工作机构和企业分管领导。对审计发现的问题应及时整改并跟踪验证整改效果。
第十章 违规责任
第二十九条 违反涉密载体管理规定,有下列行为之一的,视情节轻重给予相应处理:未经批准擅自复制、摘录涉密载体的,因保管不善导致涉密载体丢失和被盗的,擅自将涉密载体携带外出的,违反规定销毁涉密载体的,在非安全环境中制作和使用涉密载体的。
第三十条 因违反涉密载体管理规定导致泄密的,应追究当事人和管理人员的责任。故意窃取、倒卖和非法提供涉密载体的,依法追究法律责任。
第十一章 附则
第三十一条 本制度由企业保密工作机构负责解释。各部门可根据本制度制定本部门涉密载体管理实施细则。
第三十二条 本制度自发布之日起施行。企业原有涉密载体管理规定与本制度不一致的,以本制度为准。
常见问题
问:电子涉密载体与纸质涉密载体在管理上有什么不同? 答:电子涉密载体和纸质涉密载体在管理上既有共性也有区别。北京企密安提醒企业注意以下几点区别:一是电子载体可以无限复制且复制后原载体不发生变化,因此管理难度更大,需要更加严格的控制复制行为;二是电子载体的销毁更加复杂,简单的删除操作无法安全销毁数据,需要使用专业销毁工具和方法;三是电子载体的传输安全风险更高,需要借助加密技术等手段保障传输安全;四是电子载体的生命周期管理需要信息系统的支持,包括访问控制、操作审计等功能。虽然存在上述区别,但登记、审批、保管、销毁等核心管理要求对两种载体同样适用。
问:涉密载体销毁后是否还需要保留记录? 答:涉密载体销毁后的记录保留非常重要。北京企密安建议企业在销毁涉密载体时建立完整的销毁台账,详细记录销毁物品的名称、编号、密级、数量、销毁方式、销毁日期、审批人、销毁执行人和监销人等信息。销毁记录应作为保密管理档案的重要组成部分,保存期限一般不少于保密期限加三年,法律法规另有规定的从其规定。保留销毁记录的目的是为了确保每一份涉密载体都有迹可循、可追溯、可审计,同时也为企业保密管理工作提供完整的证据链。
如需涉密载体管理制度建设咨询,请联系北京企密安。北京企密安 010-63711822 baomiwang.com
