(第87期,供2018年11月14日学习使用)
重点文章核心内容导读——
堵住转发、引用、汇编涉密文件不按规定定密的漏洞
此文作者:刘景松,刊载于《保密工作》
依照保密法律法规规定,机关单位执行上级确定的国家秘密事项,需要定密的,根据所执行的国家秘密事项的密级确定;摘录、引用、汇编属于国家秘密的内容,应当按照规定报批,不得擅自改变原件的密级、保密期限和知悉范围。然而在实际工作中,转发、引用、汇编涉密文件不按规定定密,甚至擅自抹掉密级标志的违规案例不胜枚举,给国家安全和利益造成损害的同时,也使自己的前途蒙上了阴影。
案例1:转发涉密文件不按规定定密。2011年8月,某市卫生局收到上级1份秘密级文件,时任卫生监督科科长王某,在非涉密计算机上起草了转发该文件的通知,而且未按规定定密,并将另外2份秘密级文件一起扫描,上传至市政府网站,造成泄密。事件发生后,王某受到行政警告处分,其他责任人分别受到相应处理。
案例2:引用涉密文件不按规定定密。2012年4月,某县人防办综合股股长孙某,在起草本系统队伍组建方案时,引用上级有关涉密文件内容,未按规定定密。文稿拟定后,该办副主任郭某未严格审核把关,导致文稿被发布至县政府网站,造成泄密。事件发生后,孙某受到行政记过处分,郭某受到行政警告处分。
案例3:汇编涉密文件资料不按规定定密。2003年7月,某省直单位决定将国家及省、市出台的相关工作文件资料编印成资料选编,供本部门、本系统工作中使用。办公室工作人员金某具体负责此项工作,收集、整理了包括数十份涉密文件在内的文件资料,并录入形成电子稿,但未按照涉密文件的最高密级定密。后书稿交某出版社,出版社亦未作严格审查,并在未告知该省直单位的情况下,将该书交由县委防范办工作人员丁某在转发上级下发的2份机密级文件过程中,未按规定定密,并擅自将文件密级遮住,发至各乡镇。某乡镇工作人员将该文件主要内容整理后,上传至互联网,造成泄密。事件发生后,丁某受到行政警告处分,其他责任人分别受到相应处理。
案例4:擅自隐去涉密文件密级标识。2014年1月,某一些综合、秘书部门工作人员,经常在互联网上搜索资料,使用非涉密计算机撰写含有涉密或敏感信息的领导讲话、方案计划等;通过互联网邮箱,QQ、微信等社交媒体传输涉密文件信息;随意扫描、复印(复制)国家秘密,且扫描、复印(复制)件没有按规定纳入涉密文件管理范围等,致使保密“铁律”成了“自由律”。
上述案件的发生,充分暴露出一些机关单位和涉密人员保密意识淡薄、保密责任懈怠、保密管理松弛的问题,教训极为深刻。分析其原因,主要有以下几个方面。
一是保密纪律执行不严。保密纪律是政治纪律的重要内容。但是,有的机关单位执行保密纪律不严,其工作人员对使用非涉密计算机处理涉密信息、通过互联网传输涉密文件等现象见怪不怪。特别是某电子图书发行公司制作成电子版图书,造成泄密。事件发生后,有关部门给予相关责任人党纪政纪处理。
二是保密工作责任制形同虚设。保密工作责任制主要包括领导干部保密工作责任制、定密责任制、涉密信息系统管理和维护人员责任制等。实行保密工作责任制,就是为了加强保密工作组织领导,明确相关人员保密工作职责,确保保密工作落到实处。在查处上述案件中,这些机关单位要么没有制定相关保密制度,工作人员对什么是国家秘密、如何保守秘密、需要履行什么手续、遵循哪些程序,不知不懂;要么虽有制度也只是挂在墙上、写在纸上,联系本机关本单位实际不紧密,缺乏操作性和针对性,工作人员没有入心入脑,在一些具体环节上,把定密要求忘得一干二净,以致发生违规现象。
三是保密审查城门洞开。发生上述案件,一方面是源头没有把好关,不知道应该定密、不知道如何定密、不能按规定定密,使文件流转的下一环节无法正确履行保密程序;另一方面是信息公开保密审查不严格,不遵循“谁公开,谁审查”、事前审查和依法审查原则。一些机关单位政府信息发布保密审查城门洞开,流于形式,没有落实“三审三查制”,即系统信息提供部门自审、信息公开工作机构专门审查、主管领导审核批准的工作要求,导致不能及时发现并有效防止涉密信息上网,最终自酿苦果。
前车之辙,后车之鉴。从源头上遏制不按规定定密的错误现象,要从以下几个方面做起。
一是“两识”教育要如影相随。加强对涉密人员的教育培训,让广大领导干部和涉密人员学习保密知识、掌握定密程序、养成保密习惯。大力抓好日常宣教,引导广大党员干部和群众,学保密、知保密、懂保密,切实将保密意识、保密常识贯穿于各个环节、各个细节,不断提高领导干部和涉密人员的保密意识和信息化条件下的保密常识,筑牢思想防线,增强防范能力。
二是制度执行要铁板钉钉。要依据保密法律法规,结合本机关、本单位的具体情况,制定行之有效的具体管理措施,包括定密解密工作的管理制度、上网信息保密审查制度等,使保密管理工作有章可循。要定期排查保密制度执行过程中存在的突出问题和风险隐患,找准薄弱环节,补足短板,狠抓落实。属于制度不完善的,要督促有关部门抓紧完善;属于执行制度不严格的,要对有关责任人进行批评,对造成国家秘密泄露的,要给予直接责任人和负有领导责任的人员党纪政纪处分,严肃保密纪律。
三是责任担当要高度重视。机关单位是定密主体,应当对本机关本单位行使定密权、履行定密管理职责情况负责。机关单位负责人作为法定定密责任人,对机关单位定密工作负总责。负责保密工作的办公室负责同志和具体工作人员,要严格履行法定职责,确保工作落实。各级领导干部带头遵守好各项保密制度规定,以身作则、率先垂范、身体力行,就能有力带动全机关单位同志从善如流,各尽其责,共同承担起确保党的保密工作方针政策落到实处的重大责任。
四是自查自纠要有的放矢。要对本机关本单位及下级机关单位开展定密工作的情况进行定期检查,发现本机关本单位国家秘密的确定、变更和解除不当的,应当及时纠正。机关单位保密委员会和保密工作机构要承担起定密监督职责,对本机关本单位定密制度落实情况、定密责任人依法履责情况等进行监督检查,发现存在定密不当等问题,应及时予以纠正。要加强对信息公开保密审查制度落实情况的自我监督检查,及时发现并堵塞泄密漏洞,杜绝泄密事件的发生。
数字档案保密管理探析
此文作者:燕 杨,刊载于《保密工作》
数字档案以其利用的便捷性、传输的快捷性、存储的高密度性等无可比拟的优势,备受档案界的推崇,应用日益广泛。而与此同时,数字档案易于复制、易于传播,存在较大的安全隐患,也越来越引起人们的担忧。由于数字档案是以二进制代码的形式存在于计算机系统中并在网络中高速传输,具有非人工识读性,不但形式虚拟,难以把控,而且在数字档案的生成、流转、存储和利用过程中泄密渠道较多,安全隐患很大,给人一种无所适从的感觉。那么如何开展数字档案的安全保密防范工作,保证数字档案不丢失、不泄密呢?笔者根据自身工作实践,认为应该抓住问题的关键点,按照数字档案的运动轨迹,从其生成、流转、存储、利用4个环节入手,通过完善的技术手段和严格的管理措施,筑牢数字档案安全保密的4道防线。
加强数字档案生成环节的安全保密防范
数字档案一般通过两种途径生成:一种是原生性的,在线接收各业务系统等电子办公环境及网络环境中的电子文件;另一种是再生性的,通过技术手段将实体档案加工转换成数字档案,其中以纸质档案数字化扫描居多。鉴于目前档案部门所使用的数字档案绝大多数都是通过后一种途径生成的,因此,档案数字化加工过程是其生成环节安全保密防范的重点。
档案数字化加工一般都是档案部门通过外包形式聘请专业公司来完成的,因此,必须严格按照国家档案局印发的《档案数字化外包安全管理规范》的要求进行操作。数字化加工前,要到档案主管部门进行备案,通过备案不仅可以使本单位档案数字化加工项目“记录在案”,更重要的是可以在档案主管部门的指导下全面考察外包公司的资质、业绩、人员、设备等情况,深入了解其是否存在违约行为、安全事故等不良记录,从而选择有资质、业绩优、口碑好的外包公司。外包公司确定后,档案部门要与之签订保密协议,明确档案数字化外包加工的安全保密责任和技术要求,共同制定实体档案交接、数字化过程管理、数字化成果验收、存储介质管理、实体档案保护等操作规程。数字化加工过程中,要建立安全保密管理台账,全程记录项目实施过程;要加强数字化加工操作人员的安全保密教育,明确安全保密责任和安全保密操作规程;考虑到外包队伍工作人员具有较强的流动性,应留存每位参与数字化加工人员的身份证复印件,保证人员的可追踪性。要加强档案数字化加工现场管理,工作场所要与档案库房相连,且为封闭空间,严禁将实体档案带出工作场所,杜绝外来人员随意进入工作场所;数字化加工场所应安装监控录像设施,确保档案存放及作业区域不留死角;录像至少留存6个,且定时回放;要加强对数字化处理设备的管理,档案部门应提供计算机、存储等硬件设备,保证数据的集中管理,以免数据泄露;数字化加工区域内严禁安装任何无线设备,数字化加工操作人员所携带的手机、U盘等移动设备在工作过程中要进行封存管理,严禁带入工作场所。此外,档案部门还要指派专人,加强对数字化加工现场的安全巡查,防止数字化加工过程中的各种泄密行为。这样,通过全过程、全方位的严密监控与管理,确保数字档案生成环节的安全保密。
加强数字档案流转环节的安全保密防范
在档案数字化加工流转过程中,要把实体档案和数字档案安全保密防范工作放在同等重要的地位,不可失之偏颇。
对实体档案,重点要加强流程管理。库藏存量档案的数字化加工流程一般包括档案整理、档案出库、档案拆封、数字化加工、档案复原、档案清点、档案入库等环节。为保证安全,应制订工作计划,分批调档,一个目录一个目录地进行数字化加工:实体档案的出库、入库要有严格的交接手续;完成数字化加工后的实体档案要及时清点、及时入库,不得留存在工作场所;档案的拆封、数字化加工、档案的复原要逐卷进行,做到实体档案与数字档案一一对应,且不能出现混页现象。新产生的增量档案归档后,要及时整理、及时登记、及时交付数字化加工,完成数字化加工后的实体档案同样也要及时装订、及时装盒、及时入库、及时上架,以免散落丢失。
对数字档案,重点要加强跟踪管理。档案部门应指定专人负责档案数据的安全保密管理维护:每天要将数字化加工完成后所形成的合格电子数据及时进行收集,复制到专用移动硬盘后上传至服务器或存储阵列中,进行数据挂接;在数据的复制、上传过程中,要注意做好台账,保证每步工作都“有据可查”。此外,还要进行病毒和恶意代码的检测与查杀,在线运行的数字档案应进行加密处理,使其难以非法读取。
加强数字档案存储环节的安全保密防范
档案数据要存储在专用服务器或存储阵列中,与档案信息系统共同运行在内部网络上,内、外网络要完全物理隔离,严禁移动存储设备随意接入,以防止非法窃取;要加强档案信息系统硬件设备的管理,数字档案设备应专机专用,并采用技术手段或专业物理设备封闭所有不必要的输出端口,如USB接口、蓝牙、SCSI接口、光驱接口等,且定期进行检查;为防止数据丢失,应按照国家标准《电子文件归档与管理规范》的要求做好数据备份,档案数据一般备份三套,一套本地备份,一套异地容灾备份,一套离线备份,离线备份的数据应复制到专用移动硬盘中,并存放在保险防磁柜内;要严格机房管理,外来人员不得随意进入机房,所有机房设备的维修、保养必须由专人负责,设备报废要送至保密局指定地点进行销毁。
在做好数字档案数据存储的安全保密防范工作的同时,决不能忽视实体档案库房的安全保密防范工作。在对实体档案数字化后,由于日常查阅、统计等工作都不再动用实体档案,实体档案处于封存管理状态,这样虽然有利于实体档案的保护,但也带来了新的问题:库房极易疏于管理。为此,实体档案库房及周边要安装各种监控设施,如门禁系统、红外线监控、视频探头,加强对库房的远程监控,防止外来人员非法入侵。
加强数字档案使用环节的安全保密防范
在数字档案查阅使用过程中,首先,要加强档案查询网络的管理,所有接入档案信息系统中的计算机都应进行IP地址绑定,严禁外来计算机非法接入。其次,要根据使用级别的不同,规定档案使用者的查阅权限,严格限制数字档案的在线复制和打印,除非档案部门管理维护需要,数字档案一般不得复制,打印也必须在档案部门内部进行,且必须加盖档案部门专用章,以表明数字档案打印件的合法性。同时,要建立完善的后台管理机制,数字档案的使用“痕迹”要以日志的方式记录在案,保证查阅使用的可追踪性。最后,要严格区分涉密档案和非涉密档案,对于涉密档案,其数字化信息严禁通过网络查阅,必须使用专用涉密计算机进行查阅。此外,档案部门要制定应急预案,遇到突发事件,沉着应对,妥善处置;在平时的工作中,要定期组织数字档案载体及其软硬件的检测,及时发现安全隐患,及时堵住安全漏洞。要突出人防的重要性,通过开展经常性的保密法治宣传、技能培训,使每个工作人员都牢固树立强烈的数字档案安全保密意识,建立健全安全保密责任机制,将数字档案安全保密责任细化落实到每个具体责任人,共同筑牢数字档案的安全保密防线。
