一、《中华人民共和国保守国家秘密法》宣传资料
1.哪些部门是保密要害部门?
保密要害部门,是指集中产生、传递、使用和管理绝密级或较多机密级、秘密级国家秘密的部门单位。
2.保密要害部门人员管理有哪些保密要求?
保密要害部门工作人员上岗前要经过涉密资格审查和保密教育培训,审查合格后签订保密承诺书,并定期进行在岗保密教育培训和考核。
保密要害部门工作人员不得擅自离岗离职或因私出境。保密要害部门工作人员因履行保守国家秘密义务,使相关权益受到限制的,有关机关、单位应通过适当方式给予补偿。
3.定密授权的范围是什么?
定密授权机关只能在主管业务工作和职权范围内作出定密授权决定,对不属于主管业务工作范围或者非本行政区域范围的事项,不能作出定密授权。中央国家机关可以在主管业务工作范围内作出授予绝密级、机密级和秘密级定密权的决定。省级机关可以在主管业务工作范围内或者本行政区域内作出授予绝密级、机密级和秘密级定密权的决定。设区的市、自治州一级的机关可以在主管业务工作范围内或者本行政区域内作出授予机密级和秘密级定密权的决定。
“设区的市和自治州一级的机关”包括地(市、州、盟、区)党委、人大、政府、政协机关,以及人民法院、人民检察院,省(自治区、直辖市)直属机关和人民团体,中央国家机关设在省(自治区、直辖市)的直属机构,省(自治区、直辖市)在地区、盟设立的派出机构。
4.什么是派生定密,什么情况下产生派生定密?
派生国家秘密,是指对已定密事项所承载的信息加以合并、阐释、重述而产生的新的信息或载体。派生国家秘密多产生于执行、办理已定密事项的情形,派生国家秘密没有改变原始秘密的基本要素和内容,只是形式发生变化和载体数量的增加。因此,对于派生国家秘密事项,机关、单位依据已定密事项定密即可,不需要具有相应的定密权。
派生定密的基本原则是“明来明往,密来密复”,通常产生在以下时间节点:
(1)转发国家秘密文件、资料时;
(2)根据国家秘密事项制定有关贯彻执行意见、规划、措施和方案时;
(3)在执行国家秘密事项过程中产生数据统计、情况汇总等信息时;
(4)为贯彻执行国家秘密事项决定采取相应对策措施时;
(5)在执行国家秘密事项过程中需要向上级机关作出贯彻执行情况的信息报送、情况报告、意见和建议时;
(6)起草、制发的文件资料中引用国家秘密事项内容时;
(7)依据国家秘密事项所编制形成新的事项时,如依据国家秘密图纸资料所形成的新的技术资料、设计图形、规划方案、建设图纸等;
(8)在对贯彻执行国家秘密事项的情况作出汇总、分析和结果处理时;
(9)按国家秘密事项要求对有关内容进行回复时;
(10)按国家秘密事项要求对相关内容提出意见、建议时。
5.连接互联网的计算机为什么不能存储、处理和传输涉密信息?
连接互联网的计算机存储、处理和传输涉密信息,实际上是把涉密信息放在完全开放的空间环境,随时可能泄密。境外情报机构为了获取涉密信息,往往将“木马”窃密程序植入与互联网相连的计算机,进行窃密活动。互联网又是传播计算机病毒的主要途径。因此,不能在与互联网相连接的计算机上存储、处理、传输涉密信息。
6.从互联网及其他公共信息网络上拷贝信息资料到涉密计算机上应如何操作?
为确保涉密信息安全保密,应当严格禁止从互联网或其他公共信息网络直接向涉密计算机拷贝信息。如果确因工作需要拷贝的,可以通过以下途径:
一是将要拷贝的资料刻录到空白光盘中,再通过光盘将资料复制到涉密计算机上;
二是先将互联网上的资料拷贝到单设的中间机上,彻底清除窃密程序和查杀病毒后,再拷贝到涉密计算机上;
三是使用经国家保密行政管理部门批准的信息单向导入设备。
7.涉密网络的使用有哪些要求?
涉密网络使用人员应经过涉密网络保密知识和技能的培训;涉密网络使用和管理人员要签订保密承诺书。
各类涉密信息设备要统一采购、登记、标识和配备,要按照存储、处理、传输信息的最高密级明确标注设备的密级,要严格使用、维修、报废、销毁等环节的保密管理。
按照最小授权原则,严格用户权限设定和用户登录身份管理,控制涉密信息的知悉范围。
严格信息输入输出管控、规范文件打印、存储介质使用等行为。将非涉密网络的数据复制到涉密网时,应采取病毒查杀、单向导入等防护措施。
定期分析审计日志,对发现的违规或异常行为,应及时采取处置措施。
配合保密行政管理部门对涉密网络所涉及的场所、环境进行异常电磁信号检测,并采取相应的防护措施。
涉密网络运行维护服务外包的,应当选择具有相应涉密信息系统集成资质的单位,严格界定服务外包业务范围,签订保密协议,加强保密管理。
8.个人能保存和销毁涉密载体吗?
涉密载体不属于私人物品,不能由个人私自保存和处理。严禁将涉密载体、涉密信息带回家中处理。
机关、单位工作人员,因工作需要暂时由个人使用的涉密载体,在完成工作任务后,应及时交还机关、单位保密室保存。
工作人员调离工作单位,或因退休、辞职等原因离开工作岗位,应将个人使用和管理的涉密载体全部退还原工作单位,并办理交接手续。
参加涉密会议、活动领取的涉密文件、资料或其他物品,应及时交机关、单位保密室保管,个人不得私自保存。
个人不能私自销毁涉密载体。
9.销毁涉密计算机和涉密移动存储介质有哪些保密要求?
涉密计算机及涉密移动存储介质需要销毁的,应报主管领导批准后,送至涉密载体销毁工作机构或保密行政管理部门确定的承销单位销毁。个人不得私自销毁或以其他方式处理。
市保密技术服务中心正在建设中,主要承担保密技术服务、涉密载体销毁、涉密设备维护维修、保密教育培训等技术服务职能。
10.为什么不能将手机带进涉密场所?
某些手机,在制造时可能被植入特种程序,用于遥控窃听;有的手机通过对其软件进行改造,也可以实现遥控操作,使手机从关机或待机状态转换为通话状态,在无振铃、无屏幕显示的情况下,将周围的声音发射出去,这时手机就成了窃听器。如果把手机带入涉密场所,实际上是在涉密场所安放了窃听器。
11.涉密会议文件、资料和其他涉密载体如何管理?
会议前,文件、资料和其他载体涉及国家秘密的,要进行定密,按照涉密文件管理要求统一登记、编号。发给与会人员的涉密载体,要严格履行签收手续,注明会后是否收回等保密要求。
休会期间,需要收回的涉密文件、资料和其他物品,要明确专门人员集中清理收回和妥善保管。
会议结束后,注明“会后收回”的,要及时收回,不能让与会人员自行带走。
允许与会人员自带的涉密文件、资料和其他物品,要明确规定其回到机关、单位后及时交机关、单位保密室保管,个人不得留存。会议、活动举办单位要向与会人员所在机关、单位发出涉密文件、资料和其他物品清单,要求有关机关、单位按照清单如数收回。
明确规定涉密会议内容的传达范围。
不允许与会人员自带的涉密文件、资料和其他物品,如需发给与会者单位的,应通过机要交通或机要通信部门寄发。
在离开会议住地前,要对会议住地进行全面检查,防止文件、资料和其他物品遗留在会议住地。
12.宣传报道涉密会议的涉密活动有哪些保密要求?
对不能公开报道的涉密内容做出明确规定。
凡是拟公开报道、播放的稿件、图片、录像片、录音带等,要由会议主办单位和负责会议保密工作的负责人进行保密审查,签署保密审查意见。
统一对外宣传口径。为防止会议内容因宣传报道而泄密,应统一组织新闻发布会。
会议组织者在会议开始前要对与会记者进行保密教育,明确提出会议新闻报道的保密要求。
13.如何做好政府信息公开保密审查工作?
机关、单位应建立信息公开保密审查制度,明确保密审查责任和程序,保密审查程序应与公文运转程序、信息发布程序结合起来,防止保密审查与信息公开工作脱节。
机关、单位制作政府信息时,要明确区分哪些信息可以公开及以何种方式公开(主动公开或依申请公开)、哪些信息需要进行删减处理后再公开、哪些信息不能公开。
对不能确定是否涉及国家秘密的政府信息,事先应报请主管部门或保密行政管理部门进行审查确定。
密码电报、标有密级的文件资料,一律不得公开。密码电报内容确需公开的,须进行保密审查并经发电机关、单位批准。公开时,只能公开电报内容,不得公开报头等电报格式。标有密级的文件资料需要公开的,应先进行解密审查。经审查可以解密的,公开时必须删除国家秘密标志。
已移交档案馆的政府信息,按照有关档案管理法规和国家有关规定办理。
14.保密法规定的12种严重违规行为是什么?
(1)非法获取、持有国家秘密载体的;
(2)买卖、转送或者私自销毁国家秘密载体的;
(3)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;
(4)邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的;
(5)非法复制、记录、存储国家秘密的;
(6)在私人交往和通信中涉及国家秘密的;
(7)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密;
(8)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;
(9)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;
(10)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;
(11)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;
(12)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。
保密法规定,有上述行为之一的,依法给予处分;构成犯罪的,依法追究刑事责任;有上述行为尚不构成犯罪,且不适用处分的人员,由保密行政管理部门督促其所在机关、单位予以处理。
二、《中华人民共和国密码法》宣传资料
1.密码的功能
密码(cryptography),是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。人们日常接触的计算机或手机开机“密码”、微信“密码”、QQ“密码”、电子邮箱登录“密码”、银行卡支付“密码”等,实际上是口令(password)。口令是进入个人计算机、手机、电子邮箱或银行账户的“通行证”,是一种简单、初级的身份认证手段,是最简易的密码。
密码的主要功能有两个,一个是加密保护,另一个是安全认证。加密保护是指采用特定变换的方法,将原来可读的信息变成不能识别的符号序列。简单地说,加密保护就是将明文变成密文。安全认证是指采用特定变换的方法,确认信息是否完整、是否被篡改、是否可靠以及行为是否真实。简单地说,安全认证就是确认主体和信息的真实可靠性。
2.密码工作领导体制
《密码法》明确规定,坚持中国共产党对密码工作的领导,中央密码工作领导机构,即中央密码工作领导小组,对全国密码工作实行统一领导,把中央确定的密码工作领导体制,通过法律形式固化下来,为密码工作沿着正确方向发展提供根本保证。中央密码工作领导小组统一领导全国密码工作,负责制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
《密码法》明确了国家、省、市、县四级分级负责的密码工作管理体制,赋予了国家、省、市、县四级密码管理部门行政职责,从体制机制上为密码管理部门依法履行密码管理职能提供了坚实保障。
3.密码分为核心密码、普通密码和商用密码
将密码分为核心密码、普通密码和商用密码,实行分类管理,是党中央确定的密码管理根本原则,是保障密码安全的基本策略,也是长期以来密码工作经验的科学总结。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。
4.对核心密码、普通密码实行严格统一管理
密码管理部门按照中央要求,对核心密码、普通密码实行严格统一管理,针对核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁等各个环节制定了一系列严格的安全管理制度和保密措施,对核心密码、普通密码实行全生命周期的严格统一管理,明确了一系列保障措施。
5.对商用密码使用的管理
《密码法》是对《商用密码管理条例》在密码领域的监管缺陷的补漏和应对密码技术和应用发展的一次变革。《密码法》在商用密码领域深化“放管服”改革,根据经济社会发展实际以及社会各方面对商用密码的使用需求,取消了《商用密码管理条例》对商用密码使用设定的严格管理措施,规定公民、法人和其他组织可依法使用商用密码保护网络与信息安全,对一般用户使用商用密码没有提出强制性要求。此外,第十二条延续了《商用密码管理条例》有关不得从事密码违法犯罪活动的规定。同时,为了保障关键信息基础设施安全稳定运行,维护国家安全和社会公共利益,第二十七条规定了关键信息基础设施的商用密码使用要求。
6.关键信息基础设施商用密码使用要求
关键信息基础设施应当使用商用密码进行保护。关键信息基础设施是《网络安全法》中的概念,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络和信息系统。
《密码法》规定的关键信息基础设施商用密码使用要求是《网络安全法》规定的关键信息基础设施安全保护义务的重要组成部分。密码是保障网络与信息安全的核心技术和基础支撑。法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者必须使用商用密码进行保护,而且使用的商用密码必须是合规、正确、有效的。
7.将密码安全教育纳入国民教育体系和公务员教育培训体系
将密码安全教育纳入国民教育体系,在各阶段的教育过程中,开展密码常识、密码安全意识的教育,有利于提高全民密码安全意识,提高全社会自觉使用密码保护网络与信息安全、维护国家密码安全的意识。
为在履行职责过程中更好地贯彻总体国家安全观,建设高素质的公务员队伍,有必要对公务员进行密码安全教育,将密码安全教育纳入公务员教育培训体系。公务员培训中,密码安全教育主要是关于密码常识、密码安全意识和密码工作的教育,有利于提高公务员的密码安全意识与履职能力。
8.县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算
为更好地推动密码工作,促进密码事业发展,县级以上人民政府应当将密码工作纳入本级国民经济、社会发展规划和重要工作部署,明确本地区密码工作发展的目标任务,落实相关保障措施,作为维护国家安全、促进地区经济社会发展和科技进步的一项重要工作。国务院《“十三五”国家信息化规划》已明确将密码工作纳入规划。同时,县级以上人民政府应当将密码工作所需经费列入本级财政预算,保障密码工作顺利开展,充分发挥密码在网络与信息安全中的基础支撑作用。
9.密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查
对核心密码、普通密码工作人员进行监督和开展安全审查,是确保密码工作人员纯洁可靠的一项有效措施,也是涉密人员管理的通行做法。密码管理部门和密码工作机构的工作人员经常接触核心密码、普通密码,掌握着国家秘密,性质特殊、责任重大,应当对其遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。
《密码法》要求密码管理部门和密码工作机构建立健全严格的密码工作人员监督管理制度,明确密码工作人员的权利、岗位责任和要求,对密码工作人员遵纪守法和履行职责等情况开展经常性监督检查。这里的“遵守法律和纪律”,除了基本和一般性的法律和纪律要求外,特别包括对密码工作相关法律法规和纪律的遵守,主要包括《密码法》《国家安全法》《网络安全法》《保守国家秘密法》以及与密码工作相关的政策、文件、规定等。
转载自《商密君》微信公众号