级进行管理与防护。
3.7.4 涉密信息设备的使用应当符合相关保密规定。禁止涉密信息设备接入互联网及其他公共信息网络;禁止涉密信息设备接入内部非涉密信息系统;禁止使用非涉密信息设备和个人设备存储、处理涉密信息;禁止超越计算机、移动存储介质的涉密等级存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质;禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备。 3.7.5 涉密信息设备应当采取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质管控等安全保密措施,并及时升级病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。
3.7.6 采购安全保密产品应当选用经过国家保密行政管理部门授权机构检测、符合国家保密标准要求的产品,计算机病毒防护产品应当选用公安机关批准的国产产品,密码产品应当选用国家密码管理部门批准的产品。
3.7.7 涉密信息打印、刻录等输出应当相对集中、有效控制,并采取相应审计措施。
3.7.8 涉密计算机及办公自动化设备应当拆除具有无线联网功能的硬件模块,禁止使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密。
3.7.9 涉密信息设备的维修,应当在本单位内部进行,并指定专人全程监督,严禁维修人员读取或复制涉密信息。确需送外维修的,须拆除涉密信息存储部件。涉密存储介质的数据恢复应当到国家保密行政
管理部门批准的单位进行。
3.7.10 涉密信息设备改作非涉密信息设备使用或淘汰处理时,应当将涉密信息存储部件拆除。淘汰处理涉密存储介质和涉密信息存储部件,应当按照国家秘密载体销毁有关规定执行。
3.7.11 涉密计算机及移动存储介质携带外出应履行审批手续,带出前和带回后,均应当进行保密检查。 3.8 涉密办公场所保密管理
3.8.1 资质单位的涉密办公场所应当固定在相对独立的楼层或区域。 3.8.2 涉密办公场所应当安装门禁、视频监控、防盗报警等安防系统,实行封闭式管理。监控机房应当安排人员值守。
3.8.3 建立视频监控的管理检查机制,资质单位安全保卫部门应当定期对视频监控信息进行回看检查,保密管理办公室应当对执行情况进行监督。视频监控信息保存时间不少于3个月。
3.8.4 门禁系统、视频监控系统和防盗报警系统等应当定期检查维护,确保系统处于有效工作状态。
3.8.5 涉密办公场所应当明确允许进入的人员范围,其他人员进入,应当履行审批、登记手续,并由接待人员全程陪同。
3.8.6 未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公场所。 3.9 涉密信息系统集成项目管理
3.9.1 资质单位应当按照资质等级、类别承接涉密信息系统集成业务。不得将资质证书出借或转让。不得将承接的涉密信息系统集成业务分
包或转包给不具备相应资质的单位。
3.9.2 资质单位与其他单位合作开展涉密信息系统集成业务的,合作单位应当具有相应涉密信息系统集成资质,且应当取得委托方书面同意。
3.9.3 资质单位承接涉密信息系统集成项目的,应当在签订合同后,向项目所在地省、自治区、直辖市保密行政管理部门备案,接受保密监督管理。
涉密信息系统集成项目完成后,资质单位应当向项目所在地省、自治区、直辖市保密行政管理部门书面报告项目建设情况。 3.9.4 资质单位应当对涉密信息系统集成项目实行全过程管理,明确岗位责任,落实各环节安全保密措施,确保管理全程可控可查。 3.9.5 资质单位应当按照涉密信息系统集成项目的密级,对用户需求文档、设计方案、图纸、程序编码等技术资料和项目合同书、保密协议、验收报告等业务资料是否属于国家秘密或者属于何种密级进行确定。属于国家秘密的,应当标明密级,登记编号,明确知悉范围。 3.9.6 涉密信息系统集成项目实施期间,项目负责人对项目的安全保密负总体责任,应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。
3.9.7 资质单位应当对参与涉密信息系统集成项目的管理人员、技术人员和工程施工人员进行登记备案,对其分工作出详细记录。 3.9.8 涉密信息系统集成项目实施验收后,资质单位应当将涉密技术资料全部移交委托方,不得私自留存或擅自处理。需要保留的业务资
料,应当严格按照有关保密规定进行管理。
3.9.9 涉密信息系统集成项目的设计方案、研发成果及有关建设情况,资质单位及其工作人员不得擅自以任何形式公开发表、交流或转让。 3.9.10 资质单位在与境外人员或机构进行交流合作时,应当严格遵守有关保密规定,交流材料不得涉及涉密信息系统集成项目的相关情况。 3.9.11 资质单位利用涉密信息系统集成项目申请专利,应当严格遵守有关保密规定。
秘密级和机密级的项目,应当按照法定程序审批后申请保密专利,符合专利申请条件的,应当按照有关规定办理解密手续;绝密级的项目,在保密期限内不得申请专利或者保密专利。 3.10 涉密项目实施现场管理
3.10.1 资质单位进入委托方现场进行涉密信息系统集成项目开发、工程施工、运行维护等应当严格执行现场工作制度和流程。
3.10.2 从事现场项目开发、工程施工、运行维护的人员应当是资质单位确定的涉密人员。
3.10.3 现场项目开发、工程施工、运行维护应当在委托方的监督下进行。未经委托方检查和书面批准,不得将任何电子设备带入涉密项目现场。
3.10.4 资质单位应当对现场项目开发、工程施工、运行维护的工作情况进行详细记录并存档备查。 3.11 宣传报道管理
3.11.1 资质单位通过媒体、互联网等渠道对外发布信息,应当经资质