二级保密单位保密制度

二级保密单位保密制度一、二级保密单位保密制度

第一条总则

二级保密单位应当根据国家保密法律法规及上级保密工作要求，建立健全保密管理体系，完善保密制度，明确保密责任，确保国家秘密安全。本制度适用于二级保密单位内部所有涉密人员、涉密场所、涉密载体和涉密信息系统。

第二条保密组织机构及职责

二级保密单位应当设立保密工作领导机构，由单位主要领导担任组长，分管领导担任副组长，相关部门负责人为成员。保密工作领导机构负责统筹协调本单位保密工作，制定保密工作计划，审核保密规章制度，监督保密制度执行情况。

二级保密单位应当配备专职或兼职保密工作人员，负责日常保密管理工作，包括保密宣传教育、保密监督检查、保密技术防护、保密事件处置等。

第三条涉密人员管理

二级保密单位应当对涉密人员进行上岗前保密教育培训，考核合格后方可上岗。涉密人员应当接受定期的保密教育培训，更新保密知识，提高保密意识。

涉密人员应当严格遵守保密纪律，不得擅自扩大知悉范围，不得将涉密信息告知无关人员。涉密人员离岗、离职时，应当办理保密脱密期手续，并按照规定销毁或移交涉密载体。

第四条涉密场所管理

二级保密单位应当对涉密场所进行物理隔离和技术防护，确保涉密场所的安全。涉密场所应当设置明显的保密标志，实行门禁管理，限制无关人员进入。

涉密场所应当配备必要的保密设备，如保密电话、保密计算机、保密文件柜等，并定期进行保密技术检测，确保设备安全可靠。

第五条涉密载体管理

二级保密单位应当对涉密载体实行分类管理，明确涉密载体的密级、保管责任人和使用范围。涉密载体应当存放在符合保密要求的场所，并采取相应的物理和技术防护措施。

涉密载体使用应当遵守审批程序，不得擅自复制、摘抄、携带涉密载体外出。涉密载体传递应当使用符合保密要求的渠道，并记录传递过程。

第六条涉密信息系统管理

二级保密单位应当对涉密信息系统进行安全防护，采取防火墙、入侵检测、数据加密等技术措施，防止信息泄露。涉密信息系统应当与互联网物理隔离，并定期进行安全评估和漏洞修复。

涉密信息系统用户应当遵守保密管理规定，不得在非涉密网络中使用涉密信息，不得将涉密信息存储在个人计算机或移动存储设备中。

第七条保密监督检查

二级保密单位应当定期开展保密监督检查，及时发现和纠正保密工作中存在的问题。保密监督检查应当包括涉密人员、涉密场所、涉密载体和涉密信息系统等方面。

保密监督检查结果应当形成书面报告，并报保密工作领导机构研究处理。对发现的保密问题，应当及时采取措施进行整改，并追究相关人员的责任。

第八条保密事件处置

二级保密单位应当制定保密事件处置预案，明确保密事件的分类、报告程序、处置措施和责任人员。发生保密事件时，应当立即采取措施控制事态，并按照规定程序报告上级保密工作部门。

保密事件处置应当坚持及时、准确、有效的原则，最大限度减少损失，并防止事件再次发生。

第九条奖惩

二级保密单位应当对在保密工作中表现突出的集体和个人给予表彰奖励，对违反保密规定的集体和个人给予批评教育或纪律处分。

对违反保密规定，造成泄密事件的，应当依法依规追究相关人员的责任，构成犯罪的，依法追究刑事责任。

第十条附则

本制度由二级保密单位保密工作领导机构负责解释，自发布之日起施行。

二、涉密人员分类管理及培训考核

第一条内部涉密人员分类

二级保密单位内部涉密人员按照涉密程度和工作性质分为核心涉密人员、重要涉密人员和一般涉密人员三类。核心涉密人员直接接触、知悉或掌握特别重要、重要国家秘密；重要涉密人员接触、知悉或掌握一般国家秘密；一般涉密人员偶尔接触、知悉或掌握内部工作秘密。

第二条分类管理要求

核心涉密人员实行严格管理，其岗位变动、脱密期管理、保密审查等均需经过单位保密工作领导机构审批。重要涉密人员的管理相对宽松，但需确保其知悉范围最小化，并定期接受保密教育。一般涉密人员的管理侧重于日常保密意识的培养，通过宣传和警示教育提高其保密自觉性。

第三条职务变动管理

涉密人员在单位内部调动岗位时，需重新进行保密资格认定。若新岗位涉密等级高于原岗位，需补充接受相应的保密培训；若涉密等级降低，需明确新的知悉范围，并收回原岗位的涉密文件和设备。离职或退休的涉密人员，需按照密级规定执行脱密期管理，核心涉密人员脱密期不少于两年，重要涉密人员不少于一年。

第四条脱密期管理

脱密期管理由单位人事部门和保密部门共同负责，核心涉密人员脱密期内不得从事任何涉密工作，重要涉密人员需限制接触涉密信息。脱密期满后，需经单位保密工作领导机构审核，确认其已完全脱离涉密环境后方可解除管理。脱密期管理期间，单位应提供必要的经济补助和职业指导，帮助涉密人员顺利过渡。

第五条保密承诺制度

所有涉密人员上岗前必须签署保密承诺书，明确保密义务和责任。保密承诺书应包括以下内容：遵守国家保密法律法规、保守工作中知悉的国家秘密和工作秘密、不得擅自泄露涉密信息、不得私自复制或携带涉密载体外出等。保密承诺书一式两份，一份由涉密人员本人保存，一份由单位保密部门存档。

第六条保密监督机制

单位应当建立涉密人员监督机制，通过定期谈话、问卷调查等方式，了解涉密人员的思想动态和工作表现。对发现存在泄密风险的涉密人员，应及时进行提醒和教育，必要时可调整其工作岗位或暂停其涉密权限。

第二条外部涉密人员管理

第一款外部人员分类

二级保密单位的外部涉密人员包括合作单位人员、委托人员、实习人员等，按照涉密程度分为临时涉密人员和长期涉密人员。临时涉密人员参与项目时间不超过三个月，仅接触一般工作秘密；长期涉密人员参与项目时间超过三个月，可能接触一般或部分内部工作秘密。

第二款管理要求

临时涉密人员在参与涉密项目前，需接受单位组织的简要保密培训，签署保密承诺书，并登记其身份信息和涉密范围。长期涉密人员需经过更严格的审查，包括背景调查和保密协议签订，并定期接受保密教育。

第三款涉密信息控制

外部涉密人员的涉密信息知悉范围仅限于其工作必需，不得扩大或泄露。单位应指定专人对外部涉密人员进行工作指导和监督，确保其遵守保密规定。项目结束后，外部涉密人员需交还所有涉密载体，并解除保密承诺。

第三条涉密人员培训体系

第一款培训内容设计

二级保密单位的涉密人员培训内容分为基础培训和进阶培训。基础培训包括保密法律法规、保密制度、保密标志识别、涉密载体管理等基本知识；进阶培训针对不同密级和岗位需求，提供信息安全、网络安全、物理防护等专项培训。

第二款培训方式多样化

单位采用线上线下相结合的培训方式，基础培训通过内部讲座、保密手册发放等形式进行；进阶培训则邀请外部专家开展专题讲座，或组织参训人员到保密基地进行实操演练。培训过程中注重案例教学，通过真实泄密案例警示涉密人员，增强培训效果。

第三款培训考核与评估

培训结束后，需进行闭卷考试或实操考核，考核合格者方可上岗。单位定期对培训效果进行评估，通过问卷调查、保密检查等方式，收集涉密人员对培训内容的反馈意见，及时调整培训计划。

第四条保密协议签订

第一款协议适用范围

所有涉密人员，包括内部和外部人员，上岗前必须签订保密协议。保密协议明确双方的权利义务，包括保密责任、违约责任、保密期限等。核心涉密人员的保密协议期限与其脱密期保持一致，一般涉密人员和外部涉密人员的保密协议期限为项目期内或一年，根据实际情况调整。

第二款协议内容规范

保密协议应包括以下条款：涉密人员知悉的国家秘密和工作秘密范围、保密期限、违约责任（包括经济赔偿和法律责任）、双方权利义务、争议解决方式等。协议内容应清晰明确，避免歧义。

第三款违约处理

对违反保密协议的涉密人员，单位应根据情节严重程度给予相应处理，包括警告、降级、解雇等；构成犯罪的，移交司法机关追究刑事责任。同时，单位保留向违约人员追偿经济损失的权利。

第五条保密奖励机制

第一款奖励条件

二级保密单位设立保密奖励基金，对在保密工作中表现突出的集体和个人给予奖励。奖励条件包括：有效防止泄密事件发生、及时发现并报告泄密隐患、在保密技术创新方面取得显著成效、在反泄密工作中作出突出贡献等。

第二款奖励形式

奖励形式包括物质奖励和精神奖励。物质奖励包括奖金、荣誉证书等；精神奖励包括通报表扬、优先晋升等。对作出重大贡献的集体和个人，可给予特别奖励，包括高级别荣誉称号和专项经费支持。

第三款奖励程序

涉密人员或集体发现符合奖励条件的情况，可向单位保密部门提出奖励申请，经保密工作领导机构审核后报单位主要领导批准。奖励结果应在单位内部公示，接受全体人员监督。

三、涉密场所及设施保密管理

第一条涉密场所分类及标识

二级保密单位内的涉密场所根据密级和工作性质分为核心涉密场所、重要涉密场所和一般涉密场所。核心涉密场所用于处理特别重要、重要国家秘密，如核心领导会议室、绝密级档案室等；重要涉密场所用于处理一般国家秘密，如普通会议室、一般档案室等；一般涉密场所仅用于处理内部工作秘密，如办公室、资料室等。

涉密场所应设置明显的保密标识，包括“保密场所”字样、密级标识（如“核心涉密”、“重要涉密”）以及禁止拍照、禁止录音录像等警示标志。标识应醒目、规范，并定期检查更新，确保其清晰可见。

第二条物理隔离与门禁管理

核心涉密场所应与其他区域实行严格的物理隔离，包括设置实体墙、门窗、围墙等，防止无关人员随意进入。重要涉密场所应与一般办公区域保持适当距离，并设置单独的出入口或通道。一般涉密场所虽无需严格隔离，但应保持相对独立，避免与公共区域混用。

所有涉密场所应建立门禁管理系统，采用刷卡、指纹、人脸识别等多种方式控制出入。核心涉密场所的门禁系统应具备最高安全级别，实行多重认证，并记录所有出入人员及时间。重要涉密场所的门禁系统可适当放宽，但仍需确保授权人员才能进入。一般涉密场所的门禁管理相对宽松，但需定期核对人员身份。

第三条监控系统配置与使用

涉密场所应安装视频监控系统，覆盖所有出入口、通道、关键区域，并确保监控设备正常运行。监控系统应具备录像保存功能，核心涉密场所的录像保存期限不少于三个月，重要涉密场所不少于一个月。录像资料应加密存储，并指定专人管理，非授权人员不得调阅。

监控系统应定期维护保养，确保设备灵敏可靠。如发现监控设备故障或异常，应及时维修或更换，并记录处理过程。同时，应定期检查监控录像，发现可疑情况立即报告保密部门调查处理。

第四条环境安全防护

涉密场所应配备必要的消防安全设施，如灭火器、消防栓、烟雾报警器等，并定期检查维护，确保其有效可用。核心涉密场所还应安装防雷、防电磁干扰等设施，防止自然灾害或意外事件影响涉密工作。

涉密场所的空调、通风系统应定期消毒，防止病菌传播。核心涉密场所的空气应保持洁净，可安装空气净化设备，确保空气质量和环境安全。同时，应定期检查场所的卫生状况，保持整洁有序。

第五条临时涉密场所管理

如因工作需要，在非涉密场所临时开展涉密活动，需提前制定保密方案，并采取临时性防护措施。临时涉密场所应设置物理隔离设施，如屏风、隔断等，并配备必要的安全设备，如监控摄像头、保密电话等。

临时涉密场所的使用期限应尽量缩短，活动结束后及时拆除防护设施，恢复原状。参与临时涉密活动的人员需经过保密审查，并签署保密承诺书，确保其遵守保密规定。同时，应指定专人负责现场管理，防止泄密事件发生。

第六条涉密设施保密管理

涉密场所内的设施设备，如计算机、打印机、复印机、传真机等，均需按照涉密等级进行管理。核心涉密场所的设备应具备最高安全防护措施，如硬盘加密、屏幕遮蔽、语音识别等，防止信息泄露。重要涉密场所的设备可适当放宽，但仍需确保其安全性。一般涉密场所的设备虽无需严格管理，但应定期检查，防止被非法使用。

所有涉密设备应与其他网络物理隔离，并安装防火墙、入侵检测等安全防护措施。设备使用应遵守审批程序，非授权人员不得操作涉密设备。设备报废或转让前，需进行保密清理，确保存储介质中的信息被彻底销毁。

第七条维护与检查

涉密场所及设施应定期进行维护保养，确保其正常运行。维护工作应由具备资质的专业人员进行，并记录维护过程和结果。核心涉密场所的设备维护需格外谨慎，维护人员需经过严格审查，并签署保密协议。

单位应定期对涉密场所及设施进行安全检查，包括门禁系统、监控系统、消防设施、安全防护设备等。检查结果应形成书面报告，并针对发现的问题及时整改，确保涉密场所及设施的安全可靠。

四、涉密载体管理细则

第一条涉密载体分类与登记

二级保密单位内的涉密载体包括文件、资料、数据、磁盘、U盘、光盘、录音录像带等，按照密级分为绝密级、机密级、秘密级和内部级。绝密级载体涉及国家核心秘密，泄露会造成特别严重损害；机密级载体涉及国家重要秘密，泄露会造成严重损害；秘密级载体涉及国家一般秘密，泄露会造成损害；内部级载体属于工作秘密，泄露会对单位造成不良影响。

所有涉密载体进入单位前必须进行登记，注明载体名称、密级、数量、来源、去向等信息。登记工作由保密部门负责，并建立涉密载体台账，实行动态管理。台账应存储在安全可靠的场所，并指定专人保管，防止丢失或泄密。

第二条制作与复制管理

涉密载体的制作需在符合保密要求的场所进行，核心涉密载体的制作应安排在核心涉密场所，重要涉密载体的制作可安排在重要涉密场所。制作过程中应指定专人监督，防止信息泄露。

涉密载体的复制需经过严格审批，核心涉密载体不得复制，机密级载体复制需经单位主要领导批准，秘密级和内部级载体复制需经分管领导批准。复制工作应在指定场所进行，并记录复制数量、用途等信息。复制后的涉密载体应按原密级管理，并加强监督。

第三条使用与传递管理

涉密载体的使用需严格遵守审批程序，核心涉密载体仅限单位主要领导授权使用，机密级载体仅限分管领导和核心涉密人员使用，秘密级和内部级载体仅限相关人员使用。使用人员需经过保密审查，并签署保密承诺书。

涉密载体的传递应使用符合保密要求的渠道，如机要交换、专人递送等。传递过程中应确保载体安全，防止丢失或泄密。传递前需填写传递清单，注明载体名称、密级、数量、收发单位、收发人员等信息，并记录传递时间和路线。

第四条存储与保管管理

涉密载体应存放在符合保密要求的场所，如保密柜、保密箱等，并采取必要的物理防护措施，如上锁、加密码等。核心涉密载体应存放在核心涉密场所的保密柜中，机密级载体可存放在重要涉密场所的保密柜中，秘密级和内部级载体可存放在一般涉密场所的保密柜中。

保密柜应定期检查，确保其完好无损。存储涉密载体的场所应保持干燥、通风、防潮、防火，并安装监控摄像头，防止偷窃或破坏。保管人员需经过严格审查，并签署保密协议，定期接受保密教育，提高保密意识。

第五条销毁与废弃管理

涉密载体不再使用或超过保管期限时，需及时销毁。销毁工作应在指定场所进行，并指定专人监督。核心涉密载体应采用物理销毁方式，如粉碎、焚烧等，确保信息无法恢复。机密级和秘密级载体可采用专业销毁设备进行销毁，内部级载体可采用普通销毁方式，但需确保信息无法读取。

销毁工作完成后应填写销毁清单，注明载体名称、密级、数量、销毁方式、销毁时间、销毁人员等信息，并签字确认。销毁清单应与涉密载体台账一并存档，作为保密工作的依据。

第六条借阅与归还管理

涉密载体的借阅需经过严格审批，核心涉密载体不得借阅，机密级载体借阅需经单位主要领导批准，秘密级和内部级载体借阅需经分管领导批准。借阅人员需填写借阅申请，注明借阅目的、借阅时间、归还时间等信息，并经审批后借阅。

借阅期间，涉密载体应始终处于借阅人员的保管之下，不得转借他人或擅自复制。借阅人员应妥善保管涉密载体，防止丢失或泄密。归还时需检查载体完好性，并确认信息未被复制或泄露。

第七条信息系统涉密载体管理

信息系统中的涉密数据、文件等应进行加密存储，并设置访问权限，确保只有授权人员才能访问。信息系统应定期进行安全检测，防止黑客攻击或病毒感染，导致信息泄露。

信息系统中的涉密数据传输应采用加密通道，防止信息在传输过程中被窃取。传输前需确认接收方的安全可靠性，并记录传输时间、路线、内容等信息。

第八条应急处置

如发生涉密载体丢失或泄密事件，应立即采取措施控制事态，并报告单位保密部门。保密部门应立即组织调查，查明原因，并采取补救措施，防止损失扩大。

处置过程中应遵循及时、准确、有效的原则，并保护涉密载体安全，防止信息进一步泄露。事件处理完成后应形成书面报告，并追究相关人员的责任，防止类似事件再次发生。

五、涉密信息系统与网络安全管理

第一条信息系统分类与隔离

二级保密单位内部的信息系统根据涉密等级分为核心涉密网络、重要涉密网络和一般办公网络。核心涉密网络用于处理绝密级和机密级国家秘密，重要涉密网络用于处理秘密级国家秘密，一般办公网络用于处理内部工作信息。不同密级的信息系统应实行物理隔离或逻辑隔离，防止信息交叉泄露。

核心涉密网络应与其他网络完全隔离，不得连接互联网或任何非授权网络。重要涉密网络可与一般办公网络通过防火墙进行隔离，但需严格控制信息交互。一般办公网络可与外部网络连接，但需安装安全防护措施，防止病毒入侵或信息泄露。

第二条设备安全配置

涉密信息系统中的计算机、服务器、存储设备等应进行安全配置，核心涉密网络中的设备应启用全盘加密，重要涉密网络中的设备应启用文件级加密，一般办公网络中的设备应安装杀毒软件和防火墙。所有设备应定期进行安全检测，防止漏洞存在。

涉密信息系统中的网络设备，如路由器、交换机、防火墙等，应进行安全配置，关闭不必要的端口和服务，并启用入侵检测系统，防止网络攻击。核心涉密网络中的网络设备应采用专用设备，并定期进行安全升级，确保其安全可靠。

第三条访问控制管理

涉密信息系统的访问需严格控制，核心涉密网络的访问仅限单位主要领导授权的人员，重要涉密网络的访问仅限分管领导和核心涉密人员，一般办公网络的访问仅限单位内部人员。访问人员需经过严格审查，并设置强密码，定期更换密码。

访问人员应使用专用账号登录涉密信息系统，不得使用公共账号或个人账号。登录过程应进行身份认证，如密码验证、指纹识别、人脸识别等，并记录所有登录信息，包括登录时间、地点、账号、IP地址等。

第四条数据安全防护

涉密信息系统中的数据应进行加密存储，核心涉密网络中的数据应采用高强度加密算法，重要涉密网络中的数据可采用中等强度加密算法，一般办公网络中的数据可适当放宽。数据加密密钥应妥善保管，不得泄露。

涉密信息系统中的数据传输应采用加密通道，核心涉密网络中的数据传输应采用专用线路，重要涉密网络中的数据传输应采用VPN加密，一般办公网络中的数据传输可使用HTTPS等加密协议。数据传输前需确认接收方的安全可靠性，并记录传输时间、路线、内容等信息。

第五条应用安全管理

涉密信息系统中的应用软件应进行安全审查，核心涉密网络中的应用软件应采用专用软件，并定期进行安全检测，防止漏洞存在。重要涉密网络中的应用软件可适当放宽，但需安装杀毒软件和防火墙，防止病毒入侵或信息泄露。一般办公网络中的应用软件应进行安全配置，关闭不必要的功能，并定期更新补丁。

涉密信息系统中的应用软件不得连接互联网或任何非授权网络，核心涉密网络中的应用软件不得连接任何网络，重要涉密网络中的应用软件仅能连接一般办公网络，一般办公网络中的应用软件可连接外部网络，但需安装安全防护措施，防止病毒入侵或信息泄露。

第六条安全审计与监控

涉密信息系统应安装安全审计系统，记录所有操作信息，包括登录、访问、修改、删除等，并定期进行审计，防止违规操作。核心涉密网络中的安全审计系统应具备最高安全级别，重要涉密网络中的安全审计系统可适当放宽，一般办公网络中的安全审计系统可适当简化。

涉密信息系统应安装入侵检测系统，实时监控网络流量，发现异常情况立即报警。核心涉密网络中的入侵检测系统应采用专用设备，并定期进行安全升级，确保其能够检测到最新的网络攻击手段。重要涉密网络中的入侵检测系统可适当放宽，一般办公网络中的入侵检测系统可适当简化。

第七条应急响应与处置

如发生涉密信息系统安全事件，应立即采取措施控制事态，并报告单位保密部门。保密部门应立即组织调查，查明原因，并采取补救措施，防止损失扩大。

处置过程中应遵循及时、准确、有效的原则，并保护涉密信息系统安全，防止信息进一步泄露。事件处理完成后应形成书面报告，并追究相关人员的责任，防止类似事件再次发生。

第八条外部信息系统接入管理

如需将外部信息系统接入涉密信息系统，需经过严格审批，并采取必要的安全防护措施，防止信息泄露。接入前需对外部信息系统进行安全评估，确保其符合保密要求。接入过程中应进行监控，防止信息泄露。接入完成后应定期进行安全检查，确保其安全可靠。

外部信息系统接入涉密信息系统时，应采用专用线路或VPN加密通道，并设置访问权限，防止未经授权的访问。接入过程中应记录所有操作信息，并定期进行审计，防止违规操作。

六、保密宣传教育与检查监督

第一条保密宣传教育体系

二级保密单位应建立常态化、多层次的保密宣传教育体系，覆盖所有涉密人员及涉及保密工作的相关人员。宣传教育旨在增强全体人员的保密意识，使其充分认识保密工作的重要性、复杂性及违反保密规定的严重后果。

宣传教育内容应结合实际案例，采用通俗易懂的语言和形式，如举办保密知识讲座、观看保密教育影片、张贴保密宣传海报、组织保密知识竞赛等。针对不同岗位和密级的人员，应开展有针对性的宣传教育，确保内容贴合实际需求。例如，核心涉密人员需重点强调核心国家秘密的特殊性和保密工作的极端重要性，一般涉密人员则侧重于日常工作中可能遇到的保密风险及防范措施。

宣传教育应定期开展，新入职人员必须接受岗前保密教育培训，考核合格后方可接触涉密信息。在重大时间节点，如国家秘密泄露事件发生时，应组织专题教育活动，提醒全体人员保持警惕。同时，应鼓励员工主动学习保密知识，将保密意识融入日常工作生活的方方面面。

第二条保密培训与考核

二级保密单位应制定年度保密培训计划，明确培训对象、内容、形式和考核标准。培训内容除保密法律法规、制度规定外，还应包括保密技术防范知识、泄密案例分析、应急处突技能等。培训形式应多样化，既可通过集中授课、专题讲座进行，也可利用网络平台开展在线学习，提高培训的灵活性和实效性。

培训结束后，应组织考核，考核方式可包括笔试、口试、实际操作等，确保参训人员真正掌握保密知识和