涉密軟件項目實施過程保密管理

1、涉密軟件項目實施過程保密管理XXX有限公司涉密軟件項目實施過程保密管理與一般軟件項目相比，涉密軟件項目除了具有管理上的共性之外，在保密管理方面還有一些特殊的要求。鑒于此，XX科技的軟件保密項目應(yīng)在遵守中華人民共和國保守國家秘密法、中華人民共和國保守國家秘密法實施條例等相關(guān)法律法規(guī)的前提下，除了嚴格遵守XX科技保密管理相關(guān)制度（XX科技保密工作制度匯編）外，在實施涉密軟件項目全過程，依據(jù)如下要求進行項目全生命周期的保密管理，以期提升公司涉密軟件項目保密管理水平，促進項目順利開展。1投標階段的保密管理1）從公司涉密人員中篩選合適的人員，組成投標工作小組。對投標小組進行保密教育培訓，落實保密責任，責

2、任到人。2）積極配合項目建設(shè)單位做好對本公司的背景、保密資質(zhì)的審查工作，積極提供相應(yīng)的審查材料；3）積極配合項目建設(shè)單位對本公司的現(xiàn)場考察工作；4）積極配合項目建設(shè)單位做好擬參與項目管理與實施的班子成員及參與投標等人員的背景審查工作。避免“密從口出”、“密從手出”，切實維護國家涉密信息的安全；5）與招標單位簽訂保密責任書，明確承擔的保密義務(wù)與責任；6）在投標文件中編制詳細的項目全周期的保密方案；7）簽訂工程項目合同時，將保密協(xié)議納入合同管理。2項目準備與立項階段的保密管理1）組建項目組，所有項目組成員必須為本公司涉密人員；2）成立項目安全保密組織機構(gòu)，歸屬公司保密管理辦公室管轄，項目安全保密組

3、織由項目負責人及“三員”共同構(gòu)成。項目經(jīng)理負責項目安全保密工作的統(tǒng)一指揮和領(lǐng)導，并負責上級保密文件及相關(guān)指示的有效傳達，確保各項保密管理工作落實到位；“三員”即系統(tǒng)管理員、保密管理員及安全審計管理員，其中，系統(tǒng)管理員負責執(zhí)行項目保密管理工作，安全審計管理員負責對前二者的行為實施審計、核查。3）落實保密責任。涉密軟件項目管理應(yīng)依據(jù)“業(yè)務(wù)工作誰主管，保密工作誰負責”的原則，將項目過程中的保密責任落實到人，做到依法管理，有法可依，違法必究，責任落實到位。明確項目負責人兼任項目保密責任人。其他項目組成員作為其所負責的相關(guān)涉密工作的直接責任人。4）對項目組成員進行保密教育培訓，重申公司保密制度和項目實施

4、保密方案。5）與項目組成員簽訂保密承諾書，明確保密義務(wù)與責任和相關(guān)的獎懲措施。6）明確項目過程中獲取、產(chǎn)生的項目各階段性成果的知悉范圍，保密責任人，涉密文件的存儲、傳遞、權(quán)限管理措施等。7）為保密措施落到實處，真正發(fā)揮保密作用，應(yīng)建立完善的監(jiān)督檢查機制。設(shè)置監(jiān)督檢查小組，對涉密項目各項管理要求的實施，定期進行檢查核實。檢查小組成員，可由項目組以外的人員組成或者由不同項目分別抽取人員組成。避免檢查包庇、舞弊現(xiàn)象。檢查時間、可采用定期和突擊檢查相結(jié)合的方式，例如每月例行檢查，對“三員”崗位職責、保密宣傳培訓、設(shè)備管理、機房管理、計算機及其存儲介質(zhì)管理等各方面，做現(xiàn)場檢查，并記錄實際情況。如果發(fā)現(xiàn)異

5、常情況，更加應(yīng)詳細記錄異常原因、發(fā)生異常時間、具體異常等，即使上報處理。對于檢查結(jié)果應(yīng)及時分析、總結(jié)經(jīng)驗、吸取教訓。異常情況，在及時處理妥善的同時，更要追究異常的根本原因，及時調(diào)整保密措施，做到防患于未然。8）做好項目保密風險評估工作，對項目全過程的保密風險點進行全面的識別與分析，并制定具體的風險應(yīng)對措施。3需求分析與設(shè)計階段保密管理1）在客戶現(xiàn)場進行需求調(diào)研時，嚴格遵守現(xiàn)場保密管理規(guī)定；2）需求調(diào)研后產(chǎn)生的調(diào)研報告，用戶需求書以及編制的需求規(guī)格書依據(jù)項目保密方案中的要求進行保密管理，紙質(zhì)和磁存儲介質(zhì)等涉密載體的保密管理嚴格按照公司保密工作制度匯編中的涉密介質(zhì)管理辦法。打印、傳遞、銷毀等嚴格遵

6、守審批程序。嚴格控制涉密內(nèi)容的知悉范圍。3）設(shè)計階段產(chǎn)生的設(shè)計文檔，包括技術(shù)架構(gòu)設(shè)計、數(shù)據(jù)庫設(shè)計、詳細設(shè)計等文檔按項目的密級進行保密管理。4）需求研討和評審會、設(shè)計討論和評審會、工作例會等會議以工作需要原則和知悉范圍最小化原則嚴格控制參會人員，非涉密人員不得參與。會議按照相關(guān)保密制度組織召開，加強安全保密措施與參會人員的教育等，并對與會人員進行登記備案，會議記錄按涉密成果管理。4系統(tǒng)開發(fā)與內(nèi)部測試階段保密管理1）技術(shù)架構(gòu)、技術(shù)實現(xiàn)原理、程序源代碼、可執(zhí)行代碼等按涉密文件進行管理，對上述文件內(nèi)容進行瀏覽、復制、打印應(yīng)該嚴格遵守公司保密制度和項目保密管理方案的要求進行，履行嚴格的登記審批手續(xù)，嚴格

7、控制知悉范圍，存儲上述文件的紙介質(zhì)與磁介質(zhì)按公司保密管理制度的涉密載體管理要求進行保密管理。2）程序開發(fā)人員對項目前階段所產(chǎn)生的階段性成果如需求文檔、設(shè)計文檔等的瀏覽或復制、打印要求應(yīng)嚴格按照工作需要原則和最小知悉范圍原則進行審批登記。3）嚴格限制項目組成員必須在公司保密場所進行相關(guān)程序的開發(fā)，嚴格控制必須使用保密計算機進行程序代碼的開發(fā)。4）內(nèi)部形成的測試報告依據(jù)項目密級作為涉密文件進行管理。5）保密監(jiān)督檢查小組定期或隨機對項目的保密工作進行監(jiān)督檢查，及時發(fā)現(xiàn)問題，及時上報，及時整改。5系統(tǒng)測評1）提交保密測評申請內(nèi)部開發(fā)與測試結(jié)束后向保密部門提出系統(tǒng)測評申請，由國家保密部門授權(quán)的系統(tǒng)測評機

8、構(gòu)組織對涉密信息系統(tǒng)進行安全性測評。2）提交系統(tǒng)測評資料根據(jù)國家保密部門授權(quán)的系統(tǒng)測評機構(gòu)要求提供所有測評必要的資料。6項目實施的保密管理1）提交運行前審批申請涉密信息系統(tǒng)在上線運行前需要向保密部門提出系統(tǒng)運行審批申請，并組織最終審批結(jié)論專家做論證。2）提交系統(tǒng)審批資料根據(jù)國家保密部門所屬審批單位范圍向授權(quán)的系統(tǒng)測評機構(gòu)要求提供所有審批必要的資料。3）客戶現(xiàn)場實施項目實施的現(xiàn)場管理按照公司保密管理制度匯編第十章“涉密項目實施現(xiàn)場管理”的規(guī)定執(zhí)行。7項目驗收與歸檔的保密管理1）組織開展項目的信息安全風險評估，并形成風險評估報告等相關(guān)文檔；該文檔作為建設(shè)單位向?qū)徟块T提出項目竣工驗收申請時的資料之

9、一。2）項目初步驗收：形成初步驗收報告，對項目進行整體評價。對項目的組織管理，項目建設(shè)完成情況，項目建設(shè)關(guān)鍵事宜和項目建設(shè)成果，保密管理情況進行闡述。對項目使用了何種技術(shù)路線和手段來支撐建設(shè)內(nèi)容，對技術(shù)實現(xiàn)、技術(shù)運行情況、系統(tǒng)測試情況、技術(shù)成果與技術(shù)創(chuàng)新點進行闡述。確保驗收文檔與相關(guān)資料檔案的完整、準確、系統(tǒng)和安全。重點是檔案的齊全完整性（相對于項目建設(shè)內(nèi)容的契合性）、法律效力性（保存正本、原件及簽字蓋章完整）、規(guī)范性（按要求整理歸檔）。3）項目竣工驗收初步驗收合格后，配合建設(shè)部門向項目審批部門提交竣工驗收申請報告。將項目建設(shè)總結(jié)、初步驗收報告、財務(wù)報告、審計報告和信息安全風險評估報告等文件作

10、為附件一并上報。4）項目竣工驗收完成后，由項目經(jīng)理負責組織人員對項目文檔進行清理歸檔，填寫涉密項目歸檔備案表，將相關(guān)資料準備齊全后與公司保密員進行保密文檔的移交手續(xù)，公司保密管理辦公室對項目文檔的歸檔與移交等進行監(jiān)督與審批。5）保密管理辦公室與項目經(jīng)理及項目組相關(guān)人員對項目的保密管理工作進行總結(jié)與評估。8運行與維護的保密管理1）制定安全保密管理制度涉密信息系統(tǒng)上線運行后，根據(jù)分級保護管理規(guī)范制定管理策略、組建管理機構(gòu)，設(shè)置專職保密管理人員并監(jiān)督制定的執(zhí)行。2）定期風險自查涉密信息系統(tǒng)上線運行后，根據(jù)使用單位具體情況進行定期或不定期風險自評估工作，及時對系統(tǒng)運行、技術(shù)、管理新出現(xiàn)的安全威脅制定安全策略與補充措施，并嚴格管理評估