1、涉密业务软件开发保密制度篇一:涉密软件项目实施过程保密管理XXX有限公司涉密软件项目实施过程保密管理 与一般软件项目相比,涉密软件项目除了具有管理上的共性之外,在保密管理方面还有一些特殊的要求。鉴于此,量子科技的软件保密项目应在遵守中华人民共和国保守国家秘密法、中华人民共和国保守国家秘密法实施条例等相关法律法规的前提下,除了严格遵守量子科技保密管理相关制度(量子科技保密工作制度汇编)外,在实施涉密软件项目全过程,依据如下要求进行项目全生命周期的保密管理,以期提升公司涉密软件项目保密管理水平,促进项目顺利开展。1 投标阶段的保密管理 1)从公司涉密人员中筛选合适的人员,组成投标工作小组。对投标小
2、组进行保密教育培训,落实保密责任,责任到人。2)积极配合项目建设单位做好对本公司的背景、保密资质的审查工作,积极提供相应的审查材料;3)积极配合项目建设单位对本公司的现场考察工作;4)积极配合项目建设单位做好拟参与项目管理与实施的班子成员及参与投标等人员的背景审查工作。避免“密从口出”、“密从手出”,切实维护国家涉密信息的安全;5)与招标单位签订保密责任书,明确承担的保密义务与责任;6)在投标文件中编制详细的项目全周期的保密方案;7)签订工程项目合同时,将保密协议纳入合同管理。2 项目准备与立项阶段的保密管理1)组建项目组,所有项目组成员必须为本公司涉密人员;2)成立项目安全保密组织机构,归属
3、公司保密管理办公室管辖,项目安全保密组织由项目负责人及“三员”共同构成。项目经理负责项目安全保密工作的统一指挥和领导,并负责上级保密文件及相关指示的有效传达,确保各项保密管理工作落实到位;“三员”即系统管理员、保密管理员及安全审计管理员,其中,系统管理员负责执行项目保密管理工作,安全审计管理员负责对前二者的行为实施审计、核查。3)落实保密责任。涉密软件项目管理应依据“业务工作谁主管,保密工作谁负责”的原则,将项目过程中的保密责任落实到人,做到依法管理,有法可依,违法必究,责任落实到位。明确项目负责人兼任项目保密责任人。其他项目组成员作为其所负责的相关涉密工作的直接责任人。4)对项目组成员进行保
4、密教育培训,重申公司保密制度和项目实施保密方案。5)与项目组成员签订保密承诺书,明确保密义务与责任和相关的奖惩措施。6)明确项目过程中获取、产生的项目各阶段性成果的知悉范围,保密责任人,涉密文件的存储、传递、权限管理措施等。7)为保密措施落到实处,真正发挥保密作用,应建立完善的监督检查机制。设置监督检查小组,对涉密项目各项管理要求的实施,定期进行检查核实。检查小组成员,可由项目组以外的人员组成或者由不同项目分别抽取人员组成。避免检查包庇、舞弊现象。检查时间、可采用定期和突击检查相结合的方式,例如每月例行检查,对“三员”岗位职责、保密宣传培训、设备管理、机房管理、计算机及其存储介质管理等各方面,
5、做现场检查,并记录实际情况。如果发现异常情况,更加应详细记录异常原因、发生异常时间、具体异常等,即使上报处理。对于检查结果应及时分析、总结经验、吸取教训。异常情况,在及时处理妥善的同时,更要追究异常的根本原因,及时调整保密措施,做到防患于未然。8)做好项目保密风险评估工作,对项目全过程的保密风险点进行全面的识别与分析,并制定具体的风险应对措施。篇二:涉密项目流程项目整体流程系统定级方案设计项目预评测项目招投标(报财政局项目采购立项、跟财政局协商招标方式、确定招标机构、编制招标文件、招标)工程实施系统测评系统审批日常管理测试与检查系统废止。关键环节是:项目招投标过程:一般流程是报财政局进行采购项
6、目立项、跟财政局协商招标方式、确定招标机构、编制招标文件、招标,重点控制项目招标的细节要求,特别是招标文件中的设备参数要求及评标办法的确定,这两部分是项目成功的关键,在这个环节每有一个变化我们都要及时沟通。1.1 分级保护整体工作流程系统定级方案设计工程实施系统测评系统审批日常管理测试与检查系统废止。1.2 实施过程概述下面对整个过程做简单的概述。1.2.1 系统定级依据保密法密级范围的规定,本单位、各部门组织开展对所属信息系统摸底调查工作。按照涉密信息系统所处理信息的最高密级,由低到高划分为秘密、机密和绝密三个等级。? 识别信息系统调查信息系统所在单位的组织管理结构、管理策略、部门设置和部门
7、在业务运行中的作用、岗位职责、系统管理、使用、运维的责任部门确定业务流、数据流。? 明确系统定级依据业务流所产生信息明确最高密级。? 确定系统保护级别根据本单位信息的最高密级,依据BMB-17确定系统的保护等级。并整理定级资料上报保密部门审批1.2.2 方案设计? 选择建设方选择具备国家涉密资质的建设方设计信息系统安全保障体系。? 系统风险评估在体系规划前根据方案设计要素制定详细调研、评估实施计划,识别用户系统存在的脆弱性、风险。? 确定保护要求根据可识别风险结合客户实际需求,确定最终保护要求。? 规划设计方案结合风险评估数据和客户保护需求,并依据分级保护方案设计指南(BMB-23)规划设计信
8、息系统安全保障体系。? 设计方案论证上报信息系统安全保障体系详细设计方案到保密部门,并组织评审专家做一次论证。1.2.3 工程实施? 制定保密制度项目实施前根据工程具体情况制定涉密管理制度,严格对人员、设备、计划实行保密控制。? 选择项目监理项目实施前选择具有单项监理资质的单位对工程保密、质量、进度、成本进行控制。? 选择产品集成项目实施中产品集成方应具有涉密资质,所有选购的安全产品应符合保密要求。1.2.4 系统测评? 提交保密测评申请工程实施结束后向保密部门提出系统测评申请,由国家保密部门授权的系统测评机构组织对涉密信息系统进行安全性测评,为一次测评为系统最终审批提供依据。? 提交系统测评
9、资料根据国家保密部门授权的系统测评机构要求提供所有测评必要的资料。1.2.5 系统审批? 提交运行前审批申请涉密信息系统在上线运行前需要向保密部门提出系统运行审批申请,并组织最终审批结论专家做论证。? 提交系统审批资料根据国家保密部门所属审批单位范围向授权的系统测评机构要求提供所有审批必要的资料。1.2.6 日常管理? 制定安全保密管理制度涉密信息系统上线运行后,根据分级保护管理规范制定管理策略、组建管理机构,设置专职保密管理人员并监督制定的执行。? 定期风险自查涉密信息系统上线运行后,根据使用单位具体情况进行定期或不定期风险自评估工作,及时对系统运行、技术、管理新出现的安全威胁制定安全策略与
10、补充措施,并严格管理评估数据。? 动态调整安全防护技术涉密信息系统上线运行后,根据使用单位系统更新情况与风险自评估数据及时发现存在的风险,并动态调整安全策略适时补充完善技术、管理的措施。1.2.7 测评与检查? 涉密信息系统保密测评与检查涉密信息系统上线运行后,根据国家保密部门要求秘密、机密级信息系统每两年进行一次安全保密检查,绝密级信息系统每一年进行一次安全保密检查。信息系统环境或应用发生重大改变时,重新上报设计方案进行论证,并重新(来自: 小龙文 档网:涉密业务软件开发,保密制度)保密测评,检测系统的安全保密措施的有效性和环境变化的适应性,发现隐患及时采取相应的补充保护措施。1.2.8 系
11、统废止? 提交系统废止备案申请涉密信息系统不再使用时,使用单位向保密工作部门提交系统废止申请备案。? 退密处理设备、产品依据保密规定对涉密设备、产品妥善退密处理。? 销毁涉密介质对报废处理的涉密介质采用保密局统一规定使用的销毁软件工具,确保泄密事件不发生。1.3 分级保护各相关方的职责划分分级保护实施工程所涉及的主管部门与协作单位篇三:软件公司保密制度软件公司保密制度1总则1.1 为维护公司权益和利益,特制定本制度。1.2 公司秘密是指涉及公司权益及利益,在特定时间内限于特定范围人员了解的事项。1.3 公司所有部门及职员都有保守公司秘密的义务。1.4 公司的保密工作,实行既要保密又要便于工作的
12、原则。2保密的范围和等级2.1 公司秘密范围包括以下事项:2.1.1 公司重大决策中的秘密事项。2.1.2 公司尚未付诸实施的经营战略、方向、规划、项目及决策。2.1.3 公司内部掌握的合同、协议、意向书及可行性报告、主要会议记录。2.1.4 公司财务预决算报告及各类财务报表、统计报表。2.1.5 公司掌握的尚未进入市场或尚未公开的各类信息。2.1.6 公司职员的人事档案及人事信息。2.1.7 其他公司确定保密的事项。3公司机密分为三级:3.1 绝密:是指最重要的公司秘密,泄露会使公司的权益和利益遭受特别严重的损害;3.2 机密:是指重要的公司秘密,泄露会使公司的权益和利益遭受严重的损害;3.
13、3 秘密:是指一般的公司秘密,泄露会使公司的权益和利益遭受损害; 4 公司机密的确定:4.1 公司经营发展中,直接影响公司权益和利益的重要决策文件资料为绝密级;4.2 公司的规划、财务报表、统计资料、重要会议记录、公司经营情况为机密级;4.3公司人事档案、合同、协议、尚未进入市场或尚未公开的各类信息为秘密级。 5 保密措施5.1 属于公司秘密的文件资料和其它物品的制作、收发、传送、使用、复印、保存和销毁,由行政部或公司总裁指定专人负责,非总裁批准,不得私自复印在对外交往与合作中需要提供公司秘密事项的,应事先通知总裁批准。6 具有属于公司秘密内容的会议和其他活动,主办部门应采取下列保密措施:6.
14、1 选择具备保密条件的会议场所;6.2 根据工作需要,限定参加会议人员的范围。6.3 依照保密规定使用会议设备和管理会议文件;6.4 确定会议内容是否传达及传达范围。7 不准在私人交往和通信中泄露公司秘密,不准在公共场所谈论公司秘密,不准通过其他方式传递公司秘密。7.1 公司职员不得随意翻看其他职员的文书、物品,不得随意记录与自己无关的公司资料7.2 公司职员不得带公司文件、资料探亲访友或带回家给非公司职员阅读7.3 公司职员发现公司秘密已泄露或可能泄露时,应立即采取补救措施并及时报告公司8责任与处罚8.1 出现下列情况之一者,应给予警告。8.1.1 因过失泄露公司秘密,尚未造成后果或经济损失的。8.1.2 已泄露公司秘密但采取补救措施的。9 出现下列情况之一者,予以辞退直至法律制裁9.1 故意泄露公司秘密。9.2 过失泄露公司秘密,造成严重后果或重大经济损失的。9.3 利用职权强制他人违反保密制度的。
