涉密軟件項目實施過程保密管理

1、涉密軟件項目實施過程保密管理XXX有限公司涉密軟件項目實施過程保密管理與一般軟件項目相比，涉密軟件項目除了具有管理上的共性之外，在保密管理方面還有一些特殊的要求。鑒于此，XX科技的軟件保密項目應(yīng)在遵守中華人民共和國保守國家秘密法、中華人民共和國保守國家秘密法實施條例等相關(guān)法律法規(guī)的前提下，除了嚴(yán)格遵守XX科技保密管理相關(guān)制度（XX科技保密工作制度匯編）外，在實施涉密軟件項目全過程，依據(jù)如下要求進(jìn)行項目全生命周期的保密管理，以期提升公司涉密軟件項目保密管理水平，促進(jìn)項目順利開展。1投標(biāo)階段的保密管理1）從公司涉密人員中篩選合適的人員，組成投標(biāo)工作小組。對投標(biāo)小組進(jìn)行保密教育培訓(xùn)，落實保密責(zé)任，責(zé)

2、任到人。2）積極配合項目建設(shè)單位做好對本公司的背景、保密資質(zhì)的審查工作，積極提供相應(yīng)的審查材料；3）積極配合項目建設(shè)單位對本公司的現(xiàn)場考察工作；4）積極配合項目建設(shè)單位做好擬參與項目管理與實施的班子成員及參與投標(biāo)等人員的背景審查工作。避免“密從口出”、“密從手出”，切實維護(hù)國家涉密信息的安全；5）與招標(biāo)單位簽訂保密責(zé)任書，明確承擔(dān)的保密義務(wù)與責(zé)任；6）在投標(biāo)文件中編制詳細(xì)的項目全周期的保密方案；7）簽訂工程項目合同時，將保密協(xié)議納入合同管理。2項目準(zhǔn)備與立項階段的保密管理1）組建項目組，所有項目組成員必須為本公司涉密人員；2）成立項目安全保密組織機(jī)構(gòu)，歸屬公司保密管理辦公室管轄，項目安全保密組

3、織由項目負(fù)責(zé)人及“三員”共同構(gòu)成。項目經(jīng)理負(fù)責(zé)項目安全保密工作的統(tǒng)一指揮和領(lǐng)導(dǎo)，并負(fù)責(zé)上級保密文件及相關(guān)指示的有效傳達(dá)，確保各項保密管理工作落實到位；“三員”即系統(tǒng)管理員、保密管理員及安全審計管理員，其中，系統(tǒng)管理員負(fù)責(zé)執(zhí)行項目保密管理工作，安全審計管理員負(fù)責(zé)對前二者的行為實施審計、核查。3）落實保密責(zé)任。涉密軟件項目管理應(yīng)依據(jù)“業(yè)務(wù)工作誰主管，保密工作誰負(fù)責(zé)”的原則，將項目過程中的保密責(zé)任落實到人，做到依法管理，有法可依，違法必究，責(zé)任落實到位。明確項目負(fù)責(zé)人兼任項目保密責(zé)任人。其他項目組成員作為其所負(fù)責(zé)的相關(guān)涉密工作的直接責(zé)任人。4）對項目組成員進(jìn)行保密教育培訓(xùn)，重申公司保密制度和項目實施

4、保密方案。5）與項目組成員簽訂保密承諾書，明確保密義務(wù)與責(zé)任和相關(guān)的獎懲措施。6）明確項目過程中獲取、產(chǎn)生的項目各階段性成果的知悉范圍，保密責(zé)任人，涉密文件的存儲、傳遞、權(quán)限管理措施等。7）為保密措施落到實處，真正發(fā)揮保密作用，應(yīng)建立完善的監(jiān)督檢查機(jī)制。設(shè)置監(jiān)督檢查小組，對涉密項目各項管理要求的實施，定期進(jìn)行檢查核實。檢查小組成員，可由項目組以外的人員組成或者由不同項目分別抽取人員組成。避免檢查包庇、舞弊現(xiàn)象。檢查時間、可采用定期和突擊檢查相結(jié)合的方式，例如每月例行檢查，對“三員”崗位職責(zé)、保密宣傳培訓(xùn)、設(shè)備管理、機(jī)房管理、計算機(jī)及其存儲介質(zhì)管理等各方面，做現(xiàn)場檢查，并記錄實際情況。如果發(fā)現(xiàn)異

5、常情況，更加應(yīng)詳細(xì)記錄異常原因、發(fā)生異常時間、具體異常等，即使上報處理。對于檢查結(jié)果應(yīng)及時分析、總結(jié)經(jīng)驗、吸取教訓(xùn)。異常情況，在及時處理妥善的同時，更要追究異常的根本原因，及時調(diào)整保密措施，做到防患于未然。8）做好項目保密風(fēng)險評估工作，對項目全過程的保密風(fēng)險點進(jìn)行全面的識別與分析，并制定具體的風(fēng)險應(yīng)對措施。3需求分析與設(shè)計階段保密管理1）在客戶現(xiàn)場進(jìn)行需求調(diào)研時，嚴(yán)格遵守現(xiàn)場保密管理規(guī)定；2）需求調(diào)研后產(chǎn)生的調(diào)研報告，用戶需求書以及編制的需求規(guī)格書依據(jù)項目保密方案中的要求進(jìn)行保密管理，紙質(zhì)和磁存儲介質(zhì)等涉密載體的保密管理嚴(yán)格按照公司保密工作制度匯編中的涉密介質(zhì)管理辦法。打印、傳遞、銷毀等嚴(yán)格遵

6、守審批程序。嚴(yán)格控制涉密內(nèi)容的知悉范圍。3）設(shè)計階段產(chǎn)生的設(shè)計文檔，包括技術(shù)架構(gòu)設(shè)計、數(shù)據(jù)庫設(shè)計、詳細(xì)設(shè)計等文檔按項目的密級進(jìn)行保密管理。4）需求研討和評審會、設(shè)計討論和評審會、工作例會等會議以工作需要原則和知悉范圍最小化原則嚴(yán)格控制參會人員，非涉密人員不得參與。會議按照相關(guān)保密制度組織召開，加強(qiáng)安全保密措施與參會人員的教育等，并對與會人員進(jìn)行登記備案，會議記錄按涉密成果管理。4系統(tǒng)開發(fā)與內(nèi)部測試階段保密管理1）技術(shù)架構(gòu)、技術(shù)實現(xiàn)原理、程序源代碼、可執(zhí)行代碼等按涉密文件進(jìn)行管理，對上述文件內(nèi)容進(jìn)行瀏覽、復(fù)制、打印應(yīng)該嚴(yán)格遵守公司保密制度和項目保密管理方案的要求進(jìn)行，履行嚴(yán)格的登記審批手續(xù)，嚴(yán)格

7、控制知悉范圍，存儲上述文件的紙介質(zhì)與磁介質(zhì)按公司保密管理制度的涉密載體管理要求進(jìn)行保密管理。2）程序開發(fā)人員對項目前階段所產(chǎn)生的階段性成果如需求文檔、設(shè)計文檔等的瀏覽或復(fù)制、打印要求應(yīng)嚴(yán)格按照工作需要原則和最小知悉范圍原則進(jìn)行審批登記。3）嚴(yán)格限制項目組成員必須在公司保密場所進(jìn)行相關(guān)程序的開發(fā)，嚴(yán)格控制必須使用保密計算機(jī)進(jìn)行程序代碼的開發(fā)。4）內(nèi)部形成的測試報告依據(jù)項目密級作為涉密文件進(jìn)行管理。5）保密監(jiān)督檢查小組定期或隨機(jī)對項目的保密工作進(jìn)行監(jiān)督檢查，及時發(fā)現(xiàn)問題，及時上報，及時整改。5系統(tǒng)測評1）提交保密測評申請內(nèi)部開發(fā)與測試結(jié)束后向保密部門提出系統(tǒng)測評申請，由國家保密部門授權(quán)的系統(tǒng)測評機(jī)

8、構(gòu)組織對涉密信息系統(tǒng)進(jìn)行安全性測評。2）提交系統(tǒng)測評資料根據(jù)國家保密部門授權(quán)的系統(tǒng)測評機(jī)構(gòu)要求提供所有測評必要的資料。6項目實施的保密管理1）提交運行前審批申請涉密信息系統(tǒng)在上線運行前需要向保密部門提出系統(tǒng)運行審批申請，并組織最終審批結(jié)論專家做論證。2）提交系統(tǒng)審批資料根據(jù)國家保密部門所屬審批單位范圍向授權(quán)的系統(tǒng)測評機(jī)構(gòu)要求提供所有審批必要的資料。3）客戶現(xiàn)場實施項目實施的現(xiàn)場管理按照公司保密管理制度匯編第十章“涉密項目實施現(xiàn)場管理”的規(guī)定執(zhí)行。7項目驗收與歸檔的保密管理1）組織開展項目的信息安全風(fēng)險評估，并形成風(fēng)險評估報告等相關(guān)文檔；該文檔作為建設(shè)單位向?qū)徟块T提出項目竣工驗收申請時的資料之

9、一。2）項目初步驗收：形成初步驗收報告，對項目進(jìn)行整體評價。對項目的組織管理，項目建設(shè)完成情況，項目建設(shè)關(guān)鍵事宜和項目建設(shè)成果，保密管理情況進(jìn)行闡述。對項目使用了何種技術(shù)路線和手段來支撐建設(shè)內(nèi)容，對技術(shù)實現(xiàn)、技術(shù)運行情況、系統(tǒng)測試情況、技術(shù)成果與技術(shù)創(chuàng)新點進(jìn)行闡述。確保驗收文檔與相關(guān)資料檔案的完整、準(zhǔn)確、系統(tǒng)和安全。重點是檔案的齊全完整性（相對于項目建設(shè)內(nèi)容的契合性）、法律效力性（保存正本、原件及簽字蓋章完整）、規(guī)范性（按要求整理歸檔）。3）項目竣工驗收初步驗收合格后，配合建設(shè)部門向項目審批部門提交竣工驗收申請報告。將項目建設(shè)總結(jié)、初步驗收報告、財務(wù)報告、審計報告和信息安全風(fēng)險評估報告等文件作

10、為附件一并上報。4）項目竣工驗收完成后，由項目經(jīng)理負(fù)責(zé)組織人員對項目文檔進(jìn)行清理歸檔，填寫涉密項目歸檔備案表，將相關(guān)資料準(zhǔn)備齊全后與公司保密員進(jìn)行保密文檔的移交手續(xù)，公司保密管理辦公室對項目文檔的歸檔與移交等進(jìn)行監(jiān)督與審批。5）保密管理辦公室與項目經(jīng)理及項目組相關(guān)人員對項目的保密管理工作進(jìn)行總結(jié)與評估。8運行與維護(hù)的保密管理1）制定安全保密管理制度涉密信息系統(tǒng)上線運行后，根據(jù)分級保護(hù)管理規(guī)范制定管理策略、組建管理機(jī)構(gòu)，設(shè)置專職保密管理人員并監(jiān)督制定的執(zhí)行。2）定期風(fēng)險自查涉密信息系統(tǒng)上線運行后，根據(jù)使用單位具體情況進(jìn)行定期或不定期風(fēng)險自評估工作，及時對系統(tǒng)運行、技術(shù)、管理新出現(xiàn)的安全威脅制定安全策略與補充措施，并嚴(yán)格管理評估