关于科德

什么是保密资质?什么又是分保?

2022-12-07 17:11:26   阅读 4142

相信办理保密资质的朋友都了解,根据2017版《武器装备科研生产单位保密资格认定办法》在公司建立符合标准的保密体系,包括保密责任、涉密人员培训、教育、归口管理,保密组织机构、保密要害设立、改造,监督与保障,涉密计算机配置,保密工作档案收集等等。


一、什么是保密资质?

保密资质就是从事保密业务或者销售保密产品的资格,分为单位资质和产品资质两种。

单位的保密资质是指企事业单位从事涉密相关业务的法定资格。这些业务包括系统集成、系统咨询、软件开发、

综合布线、安防监控、屏蔽室建设、运行维护、数据恢复、

工程监理、国家秘密载体印制以及国家保密行政管理部门审查批准的其他业务。

企事业单位的保密资质按照承担业务的范围和等级划分为甲级和乙级两种。甲级资质单位可以在全国范围内从事绝密级、机密级和秘密级信息系统集成和其他业务。乙级资质单位可以在注册地省、自治区、直辖市行政区域内从事机密级和秘密级信息系统集成和其他业务。甲级资质由国家保密行政管理部门许可,乙级资质由省、自治区、直辖市国家保密行政管理部门许可。

保密产品资质是安全保密产品的资格认定。只有具有保密产品资质的产品才能用于涉密信息的保护。保密产品有多种:网络类的,比如防火墙;电磁类的,比如手机干扰器;终端类的,比如主机防护;销毁类的,比如消磁机等。原则上,用于安全保密的产品都可以送国家保密科技测评中心测试并申请产品资质。但是防病毒类、密码类产品不能申请保密产品资质,这两类产品分别由公安机关和国家密码管理部门管理。国家保密科技测评中心承接对安全保密产品的检测任务,按照相应的产品标准进行测试认证T作。

二、军工“四证”是指

武器装备质量管理体系证——国军标认证

武器装备科研生产单位保密资格证——保密认定

武器装备科研生产许可证——许可证认证

装备承制单位资格名录认证——名录认证

三、什么是分保?

分保,是涉密信息系统实施分级保护的简称。所谓分级保护,是指涉密信息系统的建设使用单位根据分级保护管理办法和有关技术标准,对涉密信息系统分秘密、机密和绝密三个等级实施保护。各级保密工作管理部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。

与分保相对应的是等保。等保,是等级保护的简称。所谓等级保护是指对国家、法人和其他组织及公民的专有信息以及公开信息和储存、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

分保的保护对象是涉密信息系统,等保的保护对象是非涉密信息系统。

四、保密风险评估的流程与方法

广义的保密风险评估是指整体保密风险管理工作,狭义的保密风险评估则仅指对风险的分析与评价。保密风险评估的方法是指对保密管理工作可能产生影响和损失的风险事件进行确认的方式和手段,解决的是如何开展风险保密的问题。一般来讲,风险评估工作的流程大致包括确定目标工作、风险识别、风险分析、风险评价、风险应对等。

1.目标确定。确定目标是指保密风险评估开始之初,确定风险评估的具体内容,明确各参与部门及人员的分工,了解自身风险评估所要围绕的目标,是在明确整体保密风险评估内容的基础上,各参与主体进一步明确各自的职责和要直接评估的具体对象。通常,保密风险评估是单位内部定期循环开展的工作,这就要求每一次评估都应当有具体的目标,杜绝搞大而化之的“文字游戏”。例如,对参与风险评估工作的涉密项目实施人员,应当首先明确告知其所应反映的内容,如涉密人员管理、涉密载体管理、项目过程控制等,既要描述出现行管理中存在的问题或者漏洞,又要提出针对性的建议。

2. 风险识别。风险识别是寻找和确认风险的过程,即通过对保密工作开展情况的梳理,从一个理性人的角度,客观地查找可能出现失泄密事件的隐患和问题。这里所说的风险是保密风险,即对保密工作可能产生影响和损失的风险问题,应当具有相关性,例如某单位在保密风险评估报告中体现的关于食品安全的风险点,则与之无关。此外,确认的风险应当与本单位的实际情况相符,一是需要体现本单位业务和工作特点,二是本单位不存在的情况则无需识别,前者如涉密项目保密风险识别,系统咨询类涉密项目与软件开发等不同业务类型的涉密项目,由于它们在业务特点和工作开展方式及流程上存在明显的差别,因此可能存在的风险也就不同。最后,识别出的风险还应当具有明确性,风险是指某种损失发生的可能性,因此风险识别的结果应当是明确什么样的问题可能导致发生损失,具体来说,应在对风险的描述中,准确地指出问题。例如,有的风险评估报告中描述的风险点为:涉密载体管理的风险。这只指出了风险存在的方面,未说明风险具体存在环节,及其具体表现形式,这样的风险就是明确的。

风险识别的方法有很多,如问卷调查法、情景分析法、流程分析法、现场勘查法等等。本文结合标准规定,选取流程分析法进行讨论。流程分析法是对流程的每一阶段、每一环节逐一进行调查分析,从中发现潜在的风险,找出导致风险发生的因素的过程。流程在管理工作中无处不在,研发有研发的流程,人事有人事的流程,因此流程分析法具有一定的普适性。

本文再从人员管理的保密风险评估出发,简要介绍流程分析法的适用步骤。

(1)明确涉密人员管理工作环节,绘制涉密人员管理流程图。涉密人员的流程一般包括涉密人员范围的拟定、涉密人员岗前审查、培训与考核、上岗承诺书签订、在岗培训与考核、绩效考核、岗位(含涉密等级)变动、在岗定期审查、本人事项变动报告、出国(境)管理、涉密人员情况报备、离岗审核、离岗提醒、脱密期管理等等。

(2)对照各管理环节所涉的保密法律法规及标准要求,查找涉密人员管理中的薄弱环节。

(3)从涉密人员管理状况中对查找出的风险隐患进行验证。

(4)形成本部门风险识别表。

最后:保密室主要包含:物理防护(门、墙、窗),技防设施(监控系统、红外报警系统、电子门禁系统),人防措施(值班人员),保密设备(涉密计算机、红黑电源、视频干扰器、涉密打印机、密码文件柜等)。