機關工作人員保密、密碼須知
一、《中華人民共和國保守國家秘密法》宣傳資料
1.哪些部門是保密要害部門?
保密要害部門,是指集中產生、傳遞、使用和管理絕密級或較多機密級、秘密級國家秘密的部門單位。
2.保密要害部門人員管理有哪些保密要求?
保密要害部門工作人員上崗前要經過涉密資格審查和保密教育培訓,審查合格后簽訂保密承諾書,并定期進行在崗保密教育培訓和考核。
保密要害部門工作人員不得擅自離崗離職或因私出境。保密要害部門工作人員因履行保守國家秘密義務,使相關權益受到限制的,有關機關、單位應通過適當方式給予補償。
3.定密授權的范圍是什么?
定密授權機關只能在主管業務工作和職權范圍內作出定密授權決定,對不屬于主管業務工作范圍或者非本行政區域范圍的事項,不能作出定密授權。中央國家機關可以在主管業務工作范圍內作出授予絕密級、機密級和秘密級定密權的決定。省級機關可以在主管業務工作范圍內或者本行政區域內作出授予絕密級、機密級和秘密級定密權的決定。設區的市、自治州一級的機關可以在主管業務工作范圍內或者本行政區域內作出授予機密級和秘密級定密權的決定。
“設區的市和自治州一級的機關”包括地(市、州、盟、區)黨委、人大、政府、政協機關,以及人民法院、人民檢察院,省(自治區、直轄市)直屬機關和人民團體,中央國家機關設在省(自治區、直轄市)的直屬機構,省(自治區、直轄市)在地區、盟設立的派出機構。
4.什么是派生定密,什么情況下產生派生定密?
派生國家秘密,是指對已定密事項所承載的信息加以合并、闡釋、重述而產生的新的信息或載體。派生國家秘密多產生于執行、辦理已定密事項的情形,派生國家秘密沒有改變原始秘密的基本要素和內容,只是形式發生變化和載體數量的增加。因此,對于派生國家秘密事項,機關、單位依據已定密事項定密即可,不需要具有相應的定密權。
派生定密的基本原則是“明來明往,密來密復”,通常產生在以下時間節點:
(1)轉發國家秘密文件、資料時;
(2)根據國家秘密事項制定有關貫徹執行意見、規劃、措施和方案時;
(3)在執行國家秘密事項過程中產生數據統計、情況匯總等信息時;
(4)為貫徹執行國家秘密事項決定采取相應對策措施時;
(5)在執行國家秘密事項過程中需要向上級機關作出貫徹執行情況的信息報送、情況報告、意見和建議時;
(6)起草、制發的文件資料中引用國家秘密事項內容時;
(7)依據國家秘密事項所編制形成新的事項時,如依據國家秘密圖紙資料所形成的新的技術資料、設計圖形、規劃方案、建設圖紙等;
(8)在對貫徹執行國家秘密事項的情況作出匯總、分析和結果處理時;
(9)按國家秘密事項要求對有關內容進行回復時;
(10)按國家秘密事項要求對相關內容提出意見、建議時。
5.連接互聯網的計算機為什么不能存儲、處理和傳輸涉密信息?
連接互聯網的計算機存儲、處理和傳輸涉密信息,實際上是把涉密信息放在完全開放的空間環境,隨時可能泄密。境外情報機構為了獲取涉密信息,往往將“木馬”竊密程序植入與互聯網相連的計算機,進行竊密活動。互聯網又是傳播計算機病毒的主要途徑。因此,不能在與互聯網相連接的計算機上存儲、處理、傳輸涉密信息。
6.從互聯網及其他公共信息網絡上拷貝信息資料到涉密計算機上應如何操作?
為確保涉密信息安全保密,應當嚴格禁止從互聯網或其他公共信息網絡直接向涉密計算機拷貝信息。如果確因工作需要拷貝的,可以通過以下途徑:
一是將要拷貝的資料刻錄到空白光盤中,再通過光盤將資料復制到涉密計算機上;
二是先將互聯網上的資料拷貝到單設的中間機上,徹底清除竊密程序和查殺病毒后,再拷貝到涉密計算機上;
三是使用經國家保密行政管理部門批準的信息單向導入設備。
7.涉密網絡的使用有哪些要求?
涉密網絡使用人員應經過涉密網絡保密知識和技能的培訓;涉密網絡使用和管理人員要簽訂保密承諾書。
各類涉密信息設備要統一采購、登記、標識和配備,要按照存儲、處理、傳輸信息的最高密級明確標注設備的密級,要嚴格使用、維修、報廢、銷毀等環節的保密管理。
按照最小授權原則,嚴格用戶權限設定和用戶登錄身份管理,控制涉密信息的知悉范圍。
嚴格信息輸入輸出管控、規范文件打印、存儲介質使用等行為。將非涉密網絡的數據復制到涉密網時,應采取病毒查殺、單向導入等防護措施。
定期分析審計日志,對發現的違規或異常行為,應及時采取處置措施。
配合保密行政管理部門對涉密網絡所涉及的場所、環境進行異常電磁信號檢測,并采取相應的防護措施。
涉密網絡運行維護服務外包的,應當選擇具有相應涉密信息系統集成資質的單位,嚴格界定服務外包業務范圍,簽訂保密協議,加強保密管理。
8.個人能保存和銷毀涉密載體嗎?
涉密載體不屬于私人物品,不能由個人私自保存和處理。嚴禁將涉密載體、涉密信息帶回家中處理。
機關、單位工作人員,因工作需要暫時由個人使用的涉密載體,在完成工作任務后,應及時交還機關、單位保密室保存。
工作人員調離工作單位,或因退休、辭職等原因離開工作崗位,應將個人使用和管理的涉密載體全部退還原工作單位,并辦理交接手續。
參加涉密會議、活動領取的涉密文件、資料或其他物品,應及時交機關、單位保密室保管,個人不得私自保存。
個人不能私自銷毀涉密載體。
9.銷毀涉密計算機和涉密移動存儲介質有哪些保密要求?
涉密計算機及涉密移動存儲介質需要銷毀的,應報主管領導批準后,送至涉密載體銷毀工作機構或保密行政管理部門確定的承銷單位銷毀。個人不得私自銷毀或以其他方式處理。
市保密技術服務中心正在建設中,主要承擔保密技術服務、涉密載體銷毀、涉密設備維護維修、保密教育培訓等技術服務職能。
10.為什么不能將手機帶進涉密場所?
某些手機,在制造時可能被植入特種程序,用于遙控竊聽;有的手機通過對其軟件進行改造,也可以實現遙控操作,使手機從關機或待機狀態轉換為通話狀態,在無振鈴、無屏幕顯示的情況下,將周圍的聲音發射出去,這時手機就成了竊聽器。如果把手機帶入涉密場所,實際上是在涉密場所安放了竊聽器。
11.涉密會議文件、資料和其他涉密載體如何管理?
會議前,文件、資料和其他載體涉及國家秘密的,要進行定密,按照涉密文件管理要求統一登記、編號。發給與會人員的涉密載體,要嚴格履行簽收手續,注明會后是否收回等保密要求。
休會期間,需要收回的涉密文件、資料和其他物品,要明確專門人員集中清理收回和妥善保管。
會議結束后,注明“會后收回”的,要及時收回,不能讓與會人員自行帶走。
允許與會人員自帶的涉密文件、資料和其他物品,要明確規定其回到機關、單位后及時交機關、單位保密室保管,個人不得留存。會議、活動舉辦單位要向與會人員所在機關、單位發出涉密文件、資料和其他物品清單,要求有關機關、單位按照清單如數收回。
明確規定涉密會議內容的傳達范圍。
不允許與會人員自帶的涉密文件、資料和其他物品,如需發給與會者單位的,應通過機要交通或機要通信部門寄發。
在離開會議住地前,要對會議住地進行全面檢查,防止文件、資料和其他物品遺留在會議住地。
12.宣傳報道涉密會議的涉密活動有哪些保密要求?
對不能公開報道的涉密內容做出明確規定。
凡是擬公開報道、播放的稿件、圖片、錄像片、錄音帶等,要由會議主辦單位和負責會議保密工作的負責人進行保密審查,簽署保密審查意見。
統一對外宣傳口徑。為防止會議內容因宣傳報道而泄密,應統一組織新聞發布會。
會議組織者在會議開始前要對與會記者進行保密教育,明確提出會議新聞報道的保密要求。
13.如何做好政府信息公開保密審查工作?
機關、單位應建立信息公開保密審查制度,明確保密審查責任和程序,保密審查程序應與公文運轉程序、信息發布程序結合起來,防止保密審查與信息公開工作脫節。
機關、單位制作政府信息時,要明確區分哪些信息可以公開及以何種方式公開(主動公開或依申請公開)、哪些信息需要進行刪減處理后再公開、哪些信息不能公開。
對不能確定是否涉及國家秘密的政府信息,事先應報請主管部門或保密行政管理部門進行審查確定。
密碼電報、標有密級的文件資料,一律不得公開。密碼電報內容確需公開的,須進行保密審查并經發電機關、單位批準。公開時,只能公開電報內容,不得公開報頭等電報格式。標有密級的文件資料需要公開的,應先進行解密審查。經審查可以解密的,公開時必須刪除國家秘密標志。
已移交檔案館的政府信息,按照有關檔案管理法規和國家有關規定辦理。
14.保密法規定的12種嚴重違規行為是什么?
(1)非法獲取、持有國家秘密載體的;
(2)買賣、轉送或者私自銷毀國家秘密載體的;
(3)通過普通郵政、快遞等無保密措施的渠道傳遞國家秘密載體的;
(4)郵寄、托運國家秘密載體出境,或者未經有關主管部門批準,攜帶、傳遞國家秘密載體出境的;
(5)非法復制、記錄、存儲國家秘密的;
(6)在私人交往和通信中涉及國家秘密的;
(7)在互聯網及其他公共信息網絡或者未采取保密措施的有線和無線通信中傳遞國家秘密;
(8)將涉密計算機、涉密存儲設備接入互聯網及其他公共信息網絡的;
(9)在未采取防護措施的情況下,在涉密信息系統與互聯網及其他公共信息網絡之間進行信息交換的;
(10)使用非涉密計算機、非涉密存儲設備存儲、處理國家秘密信息的;
(11)擅自卸載、修改涉密信息系統的安全技術程序、管理程序的;
(12)將未經安全技術處理的退出使用的涉密計算機、涉密存儲設備贈送、出售、丟棄或者改作其他用途的。
保密法規定,有上述行為之一的,依法給予處分;構成犯罪的,依法追究刑事責任;有上述行為尚不構成犯罪,且不適用處分的人員,由保密行政管理部門督促其所在機關、單位予以處理。
二、《中華人民共和國密碼法》宣傳資料
1.密碼的功能
密碼(cryptography),是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。人們日常接觸的計算機或手機開機“密碼”、微信“密碼”、QQ“密碼”、電子郵箱登錄“密碼”、銀行卡支付“密碼”等,實際上是口令(password)。口令是進入個人計算機、手機、電子郵箱或銀行賬戶的“通行證”,是一種簡單、初級的身份認證手段,是最簡易的密碼。
密碼的主要功能有兩個,一個是加密保護,另一個是安全認證。加密保護是指采用特定變換的方法,將原來可讀的信息變成不能識別的符號序列。簡單地說,加密保護就是將明文變成密文。安全認證是指采用特定變換的方法,確認信息是否完整、是否被篡改、是否可靠以及行為是否真實。簡單地說,安全認證就是確認主體和信息的真實可靠性。
2.密碼工作領導體制
《密碼法》明確規定,堅持中國共產黨對密碼工作的領導,中央密碼工作領導機構,即中央密碼工作領導小組,對全國密碼工作實行統一領導,把中央確定的密碼工作領導體制,通過法律形式固化下來,為密碼工作沿著正確方向發展提供根本保證。中央密碼工作領導小組統一領導全國密碼工作,負責制定國家密碼工作重大方針政策,統籌協調國家密碼重大事項和重要工作,推進國家密碼法治建設。
《密碼法》明確了國家、省、市、縣四級分級負責的密碼工作管理體制,賦予了國家、省、市、縣四級密碼管理部門行政職責,從體制機制上為密碼管理部門依法履行密碼管理職能提供了堅實保障。
3.密碼分為核心密碼、普通密碼和商用密碼
將密碼分為核心密碼、普通密碼和商用密碼,實行分類管理,是黨中央確定的密碼管理根本原則,是保障密碼安全的基本策略,也是長期以來密碼工作經驗的科學總結。核心密碼用于保護國家絕密級、機密級、秘密級信息,普通密碼用于保護國家機密級、秘密級信息,商用密碼用于保護不屬于國家秘密的信息。
4.對核心密碼、普通密碼實行嚴格統一管理
密碼管理部門按照中央要求,對核心密碼、普通密碼實行嚴格統一管理,針對核心密碼、普通密碼的科研、生產、服務、檢測、裝備、使用和銷毀等各個環節制定了一系列嚴格的安全管理制度和保密措施,對核心密碼、普通密碼實行全生命周期的嚴格統一管理,明確了一系列保障措施。
5.對商用密碼使用的管理
《密碼法》是對《商用密碼管理條例》在密碼領域的監管缺陷的補漏和應對密碼技術和應用發展的一次變革。《密碼法》在商用密碼領域深化“放管服”改革,根據經濟社會發展實際以及社會各方面對商用密碼的使用需求,取消了《商用密碼管理條例》對商用密碼使用設定的嚴格管理措施,規定公民、法人和其他組織可依法使用商用密碼保護網絡與信息安全,對一般用戶使用商用密碼沒有提出強制性要求。此外,第十二條延續了《商用密碼管理條例》有關不得從事密碼違法犯罪活動的規定。同時,為了保障關鍵信息基礎設施安全穩定運行,維護國家安全和社會公共利益,第二十七條規定了關鍵信息基礎設施的商用密碼使用要求。
6.關鍵信息基礎設施商用密碼使用要求
關鍵信息基礎設施應當使用商用密碼進行保護。關鍵信息基礎設施是《網絡安全法》中的概念,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡和信息系統。
《密碼法》規定的關鍵信息基礎設施商用密碼使用要求是《網絡安全法》規定的關鍵信息基礎設施安全保護義務的重要組成部分。密碼是保障網絡與信息安全的核心技術和基礎支撐。法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者必須使用商用密碼進行保護,而且使用的商用密碼必須是合規、正確、有效的。
7.將密碼安全教育納入國民教育體系和公務員教育培訓體系
將密碼安全教育納入國民教育體系,在各階段的教育過程中,開展密碼常識、密碼安全意識的教育,有利于提高全民密碼安全意識,提高全社會自覺使用密碼保護網絡與信息安全、維護國家密碼安全的意識。
為在履行職責過程中更好地貫徹總體國家安全觀,建設高素質的公務員隊伍,有必要對公務員進行密碼安全教育,將密碼安全教育納入公務員教育培訓體系。公務員培訓中,密碼安全教育主要是關于密碼常識、密碼安全意識和密碼工作的教育,有利于提高公務員的密碼安全意識與履職能力。
8.縣級以上人民政府應當將密碼工作納入本級國民經濟和社會發展規劃,所需經費列入本級財政預算
為更好地推動密碼工作,促進密碼事業發展,縣級以上人民政府應當將密碼工作納入本級國民經濟、社會發展規劃和重要工作部署,明確本地區密碼工作發展的目標任務,落實相關保障措施,作為維護國家安全、促進地區經濟社會發展和科技進步的一項重要工作。國務院《“十三五”國家信息化規劃》已明確將密碼工作納入規劃。同時,縣級以上人民政府應當將密碼工作所需經費列入本級財政預算,保障密碼工作順利開展,充分發揮密碼在網絡與信息安全中的基礎支撐作用。
9.密碼管理部門和密碼工作機構應當建立健全嚴格的監督和安全審查制度,對其工作人員遵守法律和紀律等情況進行監督,并依法采取必要措施,定期或者不定期組織開展安全審查
對核心密碼、普通密碼工作人員進行監督和開展安全審查,是確保密碼工作人員純潔可靠的一項有效措施,也是涉密人員管理的通行做法。密碼管理部門和密碼工作機構的工作人員經常接觸核心密碼、普通密碼,掌握著國家秘密,性質特殊、責任重大,應當對其遵守法律和紀律等情況進行監督,并依法采取必要措施,定期或者不定期組織開展安全審查。
《密碼法》要求密碼管理部門和密碼工作機構建立健全嚴格的密碼工作人員監督管理制度,明確密碼工作人員的權利、崗位責任和要求,對密碼工作人員遵紀守法和履行職責等情況開展經常性監督檢查。這里的“遵守法律和紀律”,除了基本和一般性的法律和紀律要求外,特別包括對密碼工作相關法律法規和紀律的遵守,主要包括《密碼法》《國家安全法》《網絡安全法》《保守國家秘密法》以及與密碼工作相關的政策、文件、規定等。
