涉密软件项目实施过程保密管理

XXX有限公司

涉密软件项目实施过程保密管理

与一般软件项目相比，涉密软件项目除了具有管理上的共性之外，在保密管理方面还有一些特殊的要求。鉴于此，XX科技的软件保密项目应在遵守《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施条例》等相关法律法规的前提下，除了严格遵守XX科技保密管理相关制度（《XX科技保密工作制度汇编》）外，在实施涉密软件项目全过程，依据如下要求进行项目全生命周期的保密管理，以期提升公司涉密软件项目保密管理水平，促进项目顺利开展。

1投标阶段的保密管理

1）从公司涉密人员中筛选合适的人员，组成投标工作小组。对投标小组进行保密教育培训，落实保密责任，责任到人。

2）积极配合项目建设单位做好对本公司的背景、保密资质的审查工作，积极提供相应的审查材料；

3）积极配合项目建设单位对本公司的现场考察工作；

4）积极配合项目建设单位做好拟参与项目管理与实施的班子成员及参与投标等人员的背景审查工作。避免“密从口出”、“密从手出”，切实维护国家涉密信息的安全；

5)与招标单位签订保密责任书，明确承担的保密义务与责任；

6）在投标文件中编制详细的项目全周期的保密方案；

7）签订工程项目合同时，将保密协议纳入合同管理。

2项目准备与立项阶段的保密管理

1）组建项目组，所有项目组成员必须为本公司涉密人员；

2）成立项目安全保密组织机构，归属公司保密管理办公室管辖，项目安全保密组织由项目负责人及“三员”共同构成。项目经理负责项目安全保密工作的统一指挥和领导，并负责上级保密文件及相关指示的有效传达，确保各项保密管理工作落实到位；“三员”

即系统管理员、保密管理员及安全审计管理员，其中，系统管理员负责执行项目保密管理工作，安全审计管理员负责对前二者的行为实施审计、核查。

3）落实保密责任。涉密软件项目管理应依据“业务工作谁主管，保密工作谁负责”的原则，将项目过程中的保密责任落实到人，做到依法管理，有法可依，违法必究，责任落实到位。明确项目负责人兼任项目保密责任人。其他项目组成员作为其所负责的相关涉密工作的直接责任人。

4）对项目组成员进行保密教育培训，重申公司保密制度和项目实施保密方案。

5）与项目组成员签订保密承诺书，明确保密义务与责任和相关的奖惩措施。

6）明确项目过程中获取、产生的项目各阶段性成果的知悉范围，保密责任人，涉密文件的存储、传递、权限管理措施等。

7）为保密措施落到实处，真正发挥保密作用，应建立完善的监督检查机制。设置监督检查小组，对涉密项目各项管理要求的实施，定期进行检查核实。检查小组成员，可由项目组以外的人员组成或者由不同项目分别抽取人员组成。避免检查包庇、舞弊现象。

检查时间、可采用定期和突击检查相结合的方式，例如每月例行检查，对“三员”岗位职责、保密宣传培训、设备管理、机房管理、计算机及其存储介质管理等各方面，做现场检查，并记录实际情况。如果发现异常情况，更加应详细记录异常原因、发生异常时间、具体异常等，即使上报处理。对于检查结果应及时分析、总结经验、吸取教训。异常情况，在及时处理妥善的同时，更要追究异常的根本原因，及时调整保密措施，做到防患于未然。

8）做好项目保密风险评估工作，对项目全过程的保密风险点进行全面的识别与分析，并制定具体的风险应对措施。

3需求分析与设计阶段保密管理

1)在客户现场进行需求调研时，严格遵守现场保密管理规定；

2)需求调研后产生的调研报告，用户需求书以及编制的需求规格书依据项目保密方案

中的要求进行保密管理，纸质和磁存储介质等涉密载体的保密管理严格按照公司《保密工作制度汇编》中的涉密介质管理办法。打印、传递、销毁等严格遵守审批程序。严格控制涉密内容的知悉范围。

3)设计阶段产生的设计文档，包括技术架构设计、数据库设计、详细设计等文档按项

目的密级进行保密管理。

4)需求研讨和评审会、设计讨论和评审会、工作例会等会议以工作需要原则和知悉范

围最小化原则严格控制参会人员，非涉密人员不得参与。会议按照相关保密制度组织召开，加强安全保密措施与参会人员的教育等，并对与会人员进行登记备案，会议记录按涉密成果管理。

4系统开发与内部测试阶段保密管理1）技术架构、技术实现原理、程序源代码、可执行代码等按涉密文件进行管理，对上述文件内容进行浏览、复制、打印应该严格遵守公司保密制度和项目保密管理方案的要求进行，履行严格的登记审批手续，严格控制知悉范围，存储上述文件的纸介质与磁介质按公司保密管理制度的涉密载体管理要求进行保密管理。

2）程序开发人员对项目前阶段所产生的阶段性成果如需求文档、设计文档等的浏览或复制、打印要求应严格按照工作需要原则和最小知悉范围原则进行审批登记。

3）严格限制项目组成员必须在公司保密场所进行相关程序的开发，严格控制必须使用保密计算机进行程序代码的开发。

4）内部形成的测试报告依据项目密级作为涉密文件进行管理。

5）保密监督检查小组定期或随机对项目的保密工作进行监督检查，及时发现问题，及时上报，及时整改。

5系统测评

1）提交保密测评申请

内部开发与测试结束后向保密部门提出系统测评申请，由国家保密部门授权的系统测评机构组织对涉密信息系统进行安全性测评。

2）提交系统测评资料

根据国家保密部门授权的系统测评机构要求提供所有测评必要的资料。

6项目实施的保密管理

1)提交运行前审批申请

涉密信息系统在上线运行前需要向保密部门提出系统运行审批申请，并组织最终审批结论专家做论证。

2）提交系统审批资料

根据国家保密部门所属审批单位范围向授权的系统测评机构要求提供所有审批必要的资料。

3）客户现场实施

项目实施的现场管理按照公司《保密管理制度汇编》第十章“涉密项目实施现场管理”的规定执行。

7项目验收与归档的保密管理

1）组织开展项目的信息安全风险评估，并形成风险评估报告等相关文档；该文档作为建设单位向审批部门提出项目竣工验收申请时的资料之一。

2）项目初步验收：形成初步验收报告，对项目进行整体评价。

对项目的组织管理，项目建设完成情况，项目建设关键事宜和项目建设成果，保密