公司保密工作要求及 院商秘保护工作安排 2014年9月12日

＞＞目录 一、公司保密委扩大会议要求 二、当前院商秘保护存在的问题 三、下一步工作安排

一、公司保密委扩大会议要求 （一）做好定密工作； （二）做好信息化条件下保密工作，构建适应公司发展需要的商秘保护 安全体系； （三）做好涉密人员管理； （四）做好相关保密培训工作。

一、公司保密委扩大会议要求 （一）做好定密工作； （二）做好信息化条件下保密工作，构建适应公司发展需要的商秘保护 安全体系； （三）做好涉密人员管理； （四）做好相关保密培训工作。

一、公司保密委扩大会议要求 （一）做好定密工作； （二）做好信息化条件下保密工作，构建适应公司发展需要的商秘保护 安全体系； （三）做好涉密人员管理； （四）做好相关保密培训工作。

一、公司保密委扩大会议要求 （一）做好定密工作； （二）做好信息化条件下保密工作，构建适应公司发展需要的商秘保护 安全体系； （三）做好涉密人员管理； （四）做好相关保密培训工作。

＞＞目录 一、公司保密委扩大会议要求 二、当前院商秘保护存在的问题 三、下一步工作安排

二、院商秘保护存在的主要问题：数据安全方面 准确定密机制尚未完全形成； 涉密文档未采取加密等保护措施； 商密文件未建立细粒度的访问权限控制机制； 业务应用系统导出数据无保护措施； 服务器上的文件，没有采取加密等安全措施； 对于商密文件的外发行为没有审批授权流程； 商密文件在终端上的使用缺少安全保护机制。

二、院商秘保护存在的主要问题：技术安全方面 内网联软安全助手尚未统一管理； 内网防病毒尚未统一管理； 容易被打印容易被无关人员看到； 屏幕无关人员看到； 上网行为未启用身份认证； 内网打印、刻录、邮件等数据输出没有事前技术限制。

主要问题：管理安全方面 缺少操作规程文件； 商密保护总体目标、保护范围、保护原则等有待细化； “三员” 管理缺少操作规范、标准流程等； 重要涉密岗位人员管理需加强。

＞＞目录 一、公司保密委扩大会议要求 二、当前院商秘保护存在的问题 三、下一步工作安排

院商密保护工作原则 1. 服务大局原则 2. 适度保护原则 3.合乎规范原则 4.全员参与原则 5.疏堵结合原则 6.区别对待原则

院商密保护目标 按照保密管理、商密保护、等级保护、信息安全一体化的思路，构建适应公司发展需要的商密保护安全体系。

院商密保护体系架构 数据安全 商密保护体系架构 技术安全 管理安全 存储中的数据安全 传输中的数据安全 使用中的数据安全 物理安全 网络安全 服务器与应用安全 终端安全 移动存储介质安全 安全制度管理 安全管理机构 人员安全管理 系统运维管理

商秘保护重点工作

1. 继续完善商密保护组织体系与制度体系 (1)《商业秘密管理办法》、《国家秘密事项参照目录》 《商业秘密事项参照目录》《内部知密事项参照目录》，10月； (2)制定涉密资产、涉密人员管理，要害部门和涉密区域管理等制度及涉及的操作性规定、细则，12月； (5)商密保护专责人体系，各部门和科研机构要明确商密保护专责人，建立兼职保密员队伍，10月； 保护 商密 制度 细则 流程 组织 人员 (4)调整院保密委员会及办公室成员组成，建立商业秘密涉密事项目录评审专家组，9月； (3)明确商密保护各项流程，最好模板化、流程化、电子化，2015年1月；

定密 标密 1 2 3 4 2. 做好定密和标密工作 编制并定期升版定密参照目录，对存量和新产生文档准确定密、标密，12月。 对岗位进行定密，识别重要和一般涉密岗位人员并进行全过程管理，12月。 对信息系统和应用服务器进行定密和合标管理，12月。 对部门和场所进行定密，标识和管理好重点涉密部门和场所，12月。

保密培训 3. 组织保密培训 01新员工培训： 02保密委/办成员培训： 保密制度规定，所有员工入职必须接受保密培训； 负责保密的各级管理人员必须定期接受保密培训，具备承担保密责任的能力，9月； 保密培训 04员工保密协议： 组织全员重新签订《员工保密协议》，细化保密责任与义务，提高保密意识，10月； 03专项保密培训： 参加公司保密训练营，使商密管理人员掌握定密、标密及保护措施等知识技能，10月；

文档 防扩散 4. 应用文档防扩散系统 文档加密 业务系统 内容保护 外发管理 特殊保护 （上传解密、下载加密） （透明强制加密） （格式将修改） 外发管理 特殊保护

5.对重要信息系统开展商密合标改造 根据公司的统一部署，对相关的业务流程进行二次开发，逐步实现通过这些流程下载的文档自动加密、标密处理。 财务系统的合标改造 02 合同系统的合标改造 04 文档系统的合标改造 01 人力资源系统的合标改造 03 根据公司的统一部署，对相关的业务流程进行二次开发，逐步实现通过这些流程下载的文档自动加密、标密处理。 根据本单位特点，对信息系统进行定密分析，然后对重要的商密信息系统进行必要合标改造。

6. 对网络与信息安全商密合标加固 加强网络安全策略的集中管理； 针对核心商密，终端必须再进行足够的加强措施； 实施服务器加固； 购置专用的数据擦除工具； 提高网络边界防护能力； 做好数据备份管理。

7. 对IT运维管理开展商密合标提升 配备好信息系统运维的“三员”（系统管理员、安全管理员或操作人员）； 建立“三员”的日常安全工作或操作规范、标准流程等，不允许对操作日志的修改或删除，以便于事后审计； 加强机房等重要涉密区域或重要商密系统的管理， 建立操作规程和登记制度。

8. 开发文件外发与打印监控程序 在公司统一的文档防扩散体系下，通过调用相应的API接口，开发文件外发控制流程，对涉及商业秘密的文件通过一定的审批程序，进行解密或实施外发控制策略，确保文件外发的商业秘密文件安全可控。同时对外发的文件进行存档，以备事后审计。 通过开发和部署商密文件打印监控程序，对内网文件打印进行事前控制；对标记商业秘密的文件，履行相应的审核审批程序；对核心商密文件强制增加水印或条码，增强打印事后审计能力。

9.持续完善商保体系 商保目录 商保运维 商保运维 商保目录 商保安全体系 常态化商保评价 常态化商保评价

谢谢！ Thank you