审计局信息安全保密制度

PAGE审计局信息安全保密制度一、总则（一）制定目的为加强审计局信息安全保密工作，确保审计工作中涉及的国家秘密、工作秘密和敏感信息不被泄露，保障审计工作的顺利开展，维护国家利益和审计机关的公信力，特制定本制度。（二）适用范围本制度适用于审计局全体工作人员，以及因工作需要接触审计信息的外部人员，包括被审计单位人员、相关协作单位人员等。（三）基本原则1.严格依法原则：严格遵守国家有关信息安全保密的法律法规，如《中华人民共和国保守国家秘密法》《中华人民共和国网络安全法》等，确保信息安全保密工作在法律框架内进行。2.预防为主原则：强化信息安全保密意识教育，完善信息安全保密管理措施，从源头上防止信息泄露事件的发生。3.全面覆盖原则：涵盖审计工作的各个环节，包括审计项目实施、信息存储与传输、数据处理与分析等，确保信息安全保密无死角。4.责任追究原则：对违反信息安全保密制度的行为，依法依规追究相关人员的责任。二、信息安全保密管理职责（一）领导职责1.审计局领导班子对信息安全保密工作负总责，定期研究部署信息安全保密工作，协调解决工作中的重大问题。2.明确一名领导分管信息安全保密工作，负责组织实施本制度，监督检查信息安全保密工作落实情况。（二）部门职责1.办公室负责制定和完善信息安全保密工作制度、流程和规范。组织开展信息安全保密宣传教育和培训工作。负责信息系统安全管理，定期进行安全检查和风险评估，及时发现和处理安全隐患。负责信息设备的采购、配备、维护和管理，确保设备安全可靠。负责信息存储介质的管理，包括存储介质的采购、登记、使用、保管和销毁等环节。负责与外部单位签订信息安全保密协议，明确双方的权利和义务。负责信息安全保密工作的档案管理，包括文件、资料、记录等的收集、整理、归档和保管。2.业务部门负责本部门审计项目中涉及的信息安全保密工作，制定具体的保密措施和工作流程。对审计人员进行信息安全保密培训，提高审计人员的保密意识和技能。在审计项目实施过程中，严格遵守信息安全保密制度，确保审计信息不被泄露给无关人员。对审计工作中获取的信息进行分类、标识和管理，按照规定的密级和保密期限进行存储和使用。负责审计工作中涉及的纸质文件、电子数据等资料的安全保管，防止丢失、被盗或损坏。在审计项目结束后，及时清理和销毁审计过程中产生的各类资料，确保信息不留存隐患。3.信息技术部门负责信息系统的安全建设和维护，保障信息系统的稳定运行和数据安全。制定信息系统安全策略和应急预案，定期进行应急演练，提高应对信息安全事件的能力。负责信息系统的访问控制和权限管理，确保只有授权人员能够访问和操作信息系统。对信息系统的数据进行备份和恢复管理，防止数据丢失或损坏。协助办公室开展信息安全保密检查和风险评估工作，提供技术支持和建议。（三）人员职责1.审计局全体工作人员应严格遵守本制度，自觉履行信息安全保密义务，不泄露工作中知悉的国家秘密、工作秘密和敏感信息。2.审计人员在审计过程中，应严格遵守审计工作纪律，不得擅自扩大审计范围，不得泄露审计工作中的任何信息。3.涉及信息安全保密工作的人员，应经过专门的培训，具备相应的知识和技能，熟悉信息安全保密制度和工作流程。4.对违反信息安全保密制度的行为，工作人员有权进行制止和举报，维护信息安全保密秩序。三、信息分类与标识（一）信息分类1.国家秘密：涉及国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。包括绝密级、机密级和秘密级信息。2.工作秘密：审计局在履行工作职责过程中产生的，不属于国家秘密，但不宜公开的信息。3.敏感信息：可能对审计工作、被审计单位或社会造成不利影响的信息，如涉及个人隐私、商业秘密、重要数据等。（二）信息标识1.对确定为国家秘密的信息，应按照国家保密规定和标准进行标识，标明密级、保密期限和知悉范围。2.对工作秘密和敏感信息，应根据其重要性和敏感性进行分类标识，如“内部资料，请勿外传”“敏感信息，注意保密”等。3.在信息存储介质、文件资料、电子数据等载体上，应显著标明信息的分类和标识，以便于识别和管理。四、信息存储与传输（一）信息存储1.审计信息应存储在安全可靠的存储设备上，如服务器、硬盘、光盘等。存储设备应具备数据加密、访问控制、数据备份等安全功能。2.对存储的信息应进行分类管理，按照不同的密级和类别进行存储，确保信息存储有序、易于查找和使用。3.定期对存储的信息进行备份，备份数据应存储在不同的物理位置，以防止数据丢失或损坏。备份数据应进行加密处理，并妥善保管。4.存储信息的场所应具备安全防护措施，如防火、防盗、防潮、防虫等，确保信息存储环境安全可靠。（二）信息传输1.审计信息的传输应采用安全可靠的传输方式，如加密网络传输、专用存储介质传输等，确保信息在传输过程中不被泄露或篡改。2.在通过网络传输信息时，应使用加密技术对信息进行加密处理，确保信息传输的保密性和完整性。3.对涉及国家秘密、工作秘密和敏感信息的传输，应严格按照规定的程序和渠道进行，不得通过不安全的网络或未经授权的设备进行传输。4.在传输信息前，应对接收方的身份进行验证，确保信息传输到合法的接收方。五、信息使用与共享（一）信息使用1.审计人员在使用审计信息时，应严格遵守信息安全保密制度，按照规定的权限和程序进行操作。2.查阅、使用信息时，应进行登记，记录查阅时间、查阅人员、查阅内容等信息，以便于追溯和管理。3.对涉及国家秘密、工作秘密和敏感信息的使用，应经过严格的审批程序，确保信息使用合法合规。4.不得擅自复制、传播、泄露审计信息，不得将审计信息用于与审计工作无关的目的。（二）信息共享1.审计局内部各部门之间因工作需要共享信息时，应按照规定的程序进行审批，明确共享信息的范围、用途和期限。2.与外部单位共享审计信息时，应签订信息安全保密协议，明确双方的权利和义务，确保信息共享过程中的安全保密。3.共享信息时，应根据信息的密级和敏感程度，采取相应的安全措施，如加密传输、限制访问权限等，防止信息泄露。4.对共享信息的使用情况进行跟踪和监督，确保共享信息得到妥善使用和管理。六、信息安全保密检查与监督（一）定期检查1.办公室应定期组织开展信息安全保密检查工作，检查内容包括信息安全保密制度执行情况、信息存储与传输安全情况、信息设备管理情况等。2.业务部门应每月对本部门的信息安全保密工作进行自查，及时发现和整改存在的问题。3.信息技术部门应定期对信息系统进行安全检查和风险评估，及时发现和处理系统安全隐患。（二）专项检查1.根据工作需要，审计局可组织开展信息安全保密专项检查工作，对特定领域或重点项目的信息安全保密情况进行深入检查。2.专项检查可邀请专业机构或专家进行指导，提高检查的专业性和准确性。（三）监督举报1.审计局设立信息安全保密监督举报电话和邮箱，接受全体工作人员和社会公众的监督举报。2.对监督举报的信息安全保密问题，应及时进行调查核实，依法依规处理，并将处理结果反馈给举报人。（四）责任追究1.对违反信息安全保密制度的行为，应依法依规追究相关人员的责任。责任追究方式包括批评教育、警告、记过、记大过、降级、撤职、开除等。2.对因违反信息安全保密制度导致信息泄露，给国家利益、审计机关或被审计单位造成损失的，应依法追究相关人员的法律责任，并要求其承担相应的赔偿责任。七、信息安全保密培训与教育（一）培训计划1.办公室应制定年度信息安全保密培训计划，明确培训内容、培训对象、培训时间和培训方式等。2.培训计划应根据审计工作实际需要和信息安全保密形势变化进行调整和完善。（二）培训内容1.国家有关信息安全保密的法律法规和政策文件。2.审计局信息安全保密制度和工作流程。3.信息安全保密意识和技能，如信息加密、访问控制、数据备份与恢复等。4.信息安全保密案例分析，提高工作人员的风险意识和防范能力。（三）培训方式1.定期组织集中培训，邀请专家学者或专业机构进行授课。2.开展在线培训，通过网络平台提供培训课程和学习资料，方便工作人员自主学习。3.组织专题讲座和研讨会，针对特定的信息安全保密问题进行深入探讨和交流。4.结合实际工作案例进行培训，提高培训的针对性和实效性。（四）培训考核1.对参加信息安全保密培训的人员进行考核，考核方式包括考试、撰写心得体会、实际操作等。2.考核结果应作为工作人员年度考核、评先评优的重要依据，对考核不合格的人员应进行补考或重新培训。八、信息安全保密应急处置（一）应急预案1.信息技术部门应制定信息安全保密应急预案，明确应急处置的组织机构、职责分工、应急处置流程和措施等。2.应急预案应定期进行演练和修订，确保其科学性、实用性和可操作性。（二）应急处置流程1.发生信息安全保密事件时，应立即启动应急预案，采取相应的应急处置措施，如隔离网络、关闭系统、加密数据等，防止信息进一步泄露和扩散。2.及时向上级主管部门报告信息安全保密事件的情况，包括事件发生的时间、地点、原因、影响范围等。3.组织专业技术人员对事件进行调查和分析，查明事件原因，评估事件造成的损失和影响。4.根据事