云阿云智库平台信息保密与安全管理规定

云阿云智库平台理事长办公室发布

授权编者按：《云阿云智库平台信息保密与安全管理规定》。本附件旨在构建一个全方位、多层次、可追溯的信息安全防护体系，确保平台各类信息，特别是国家秘密和核心智力资产，得到最高级别的保护。

本附件通过建立严格的信息分类体系、明确的管理责任、全方位的技术防护和贯穿始终的人员管理，为云阿云智库平台构筑了一道坚不可摧的信息安全防线，确保其在服务国家战略的征程中行稳致远。

附件五：

《云阿云智库平台信息保密与安全管理规定》

第一章 总则

第一条【制定目的与依据】

为严格保守国家秘密、工作秘密和商业秘密，保障云阿云智库平台（以下简称“平台”）信息安全，防止敏感信息泄露、丢失和滥用，维护平台核心利益与国家安全，依据《中华人民共和国保守国家秘密法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》及相关法律法规，结合平台实际，制定本规定。

第二条【适用范围】

本规定适用于平台所有机构、全体工作人员（含在编、聘用、借调、实习、顾问等）、理事、监事以及为平台提供服务并接触平台信息的第三方合作方。

第三条【管理原则】

信息保密与安全管理遵循以下原则：

1.谁主管、谁负责： 各部门、各中心负责人是本部门信息保密安全的第一责任人。

2.谁使用、谁负责： 信息使用者对信息在其接触期间的安全负直接责任。

3.最小化原则： 信息访问权限按需分配，确保授权范围与工作职责严格匹配。

4.全程管控原则： 对信息的产生、传递、存储、使用、归档和销毁实施全生命周期管理。

5.技管结合原则： 综合运用技术手段与管理措施，构建人防、物防、技防相结合的综合防护体系。

6.涉密不上网，上网不涉密： 严格实行涉密信息与非涉密信息的物理隔离与逻辑隔离。

第二章 信息分类与密级界定

第四条【信息分类】

平台信息根据其敏感性和一旦泄露可能造成的损害程度，划分为以下类别：

1.国家秘密： 关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。密级分为绝密、机密、秘密。

2.平台核心工作秘密： 不属于国家秘密，但泄露会严重干扰平台工作秩序、损害平台声誉或导致重大利益损失的信息。包括：

①未发布的重大政策研究报告、内参专报。

②理事会、学术委员会等重要会议的未公开决策过程与纪要。

③核心研究方法、独家数据模型、未公开的调研数据。

④重要的合作伙伴名单、战略规划、谈判底牌。

⑤重大人事任免、未公开的财务数据。

3.一般工作信息： 仅在平台内部传播的日常行政管理、业务操作信息，泄露可能造成一定不便，但影响有限。

4.公开信息： 已通过官方渠道向社会发布的信息。

第五条【定密与标识】

1.国家秘密的定密，严格依据国家规定，由平台保密委员会会同相关业务部门提出定密建议，报有相应定密权的上级主管部门审批。

2.平台核心工作秘密由信息产生部门负责人初步认定，报平台保密委员会审核批准，并明确知悉范围。

所有涉密载体（纸质、电子）必须在明显位置标注密级、保密期限和知悉范围。电子文件应3.在文件头、文件名中明确标识。

第三章 组织架构与职责

第六条【保密委员会】

平台设立保密委员会，作为平台信息保密与安全工作的最高领导机构。

1.组成： 由理事长担任主任，秘书长担任常务副主任，成员包括分管科研、行政、技术的副秘书长的核心理事。

2.职责：

①贯彻国家保密工作方针政策，审定平台保密工作规章制度。

②领导、协调和部署全平台的保密工作。

③审定平台核心工作秘密的范围与密级。

④组织处理重大泄密事件。

第七条【保密办公室】

保密委员会下设保密办公室，负责日常工作的执行与监督。

1.组成： 设在平台办公室，由办公室主任兼任保密办公室主任，配备专职保密干部。

2.职责：

①拟定保密管理制度并组织实施。

②组织开展保密宣传教育与培训。

③指导、监督、检查各部门保密工作。

④管理涉密人员，组织签订保密承诺书。

⑤负责涉密载体的日常管理。

⑥协助调查处理泄密事件。

第八条【各部门职责】

各研究中心、职能部门负责人负责落实本部门的各项保密措施，对本部门人员履行保密义务情况进行日常监督和教育。

第四章 人员管理

第九条【涉密人员管理】

1.界定与审查： 根据岗位职责界定涉密岗位与涉密人员，并对涉密人员进行严格的岗前保密审查。

2.保密承诺： 所有涉密人员入职前必须签订《保密承诺书》。

3.教育培训： 涉密人员每年必须接受不少于规定学时的保密教育培训，并通过考核。

4.离职离岗管理： 涉密人员离职、离岗时，必须办理交接手续，清退所有涉密载体，并由保密办公室进行离岗保密提醒谈话。

第十条【全员保密义务】

平台全体人员均有保守国家秘密和平台工作秘密的义务，并应：

1.不打听、不记录、不传播、不持有与自己工作无关的涉密信息。

2.不在私人交往和通信中涉及涉密信息。

3.不在非保密场所、非保密设备上处理、存储涉密信息。

4.不擅自携带涉密载体外出，确因工作需要，须履行审批手续。

5.发现涉密信息泄露或可能泄露时，立即采取补救措施并向保密办公室报告。

第五章 物理环境与介质安全管理

第十一条【涉密区域管理】

1.设立涉密研究专区，实行门禁管理，严禁无关人员进入。

2.涉密会议室在使用前应进行安全检查，会议期间禁止携带手机等无线通信设备。

3.安装视频监控系统，对重点涉密区域进行24小时监控。

第十二条【涉密载体管理】

1.纸质载体： 在涉密专区内指定的涉密计算机上打印、复印，并进行登记。销毁须使用符合国家保密标准的碎纸机。

2.移动存储介质：

①严格区分涉密与非涉密移动存储介质（如U盘、移动硬盘）。

②涉密介质不得在非涉密计算机上使用。

③涉密介质外出携带须审批，并采取物理加密措施。

3.电子设备： 涉密计算机严禁接入互联网或其他公共网络，实行物理隔离。报废涉密计算机及存储设备，须由专业机构进行不可恢复的信息消除处理。

第六章 网络与信息系统安全

第十三条【网络分区】

平台网络严格划分为：

1.涉密网： 处理国家秘密信息，与其他网络物理隔离。

2.内部工作网： 处理平台核心工作秘密，与互联网逻辑隔离，部署防火墙、入侵检测系统等高级别安全防护措施。

3.互联网： 用于一般办公和对外信息发布。

第十四条【访问控制】

1.实行严格的账户和口令管理，强制使用强密码并定期更换。

2.实行基于角色的访问控制（RBAC），确保用户只能访问其授权范围内的信息。

3.对所有网络访问和重要操作行为进行日志记录，并定期审计。

第十五条【数据传输与加密】

1.在内部工作网传输核心工作秘密，必须使用平台批准的加密通道和加密软件。

2.严禁通过互联网电子邮件、微信、QQ等公共通信工具传输任何涉密信息及核心工作秘密。

第七章 科研活动中的保密管理

第十六条【项目启动】

1.在科研项目立项时，即由项目负责人与保密办公室共同进行保密风险评估，确定项目密级和保密要求，并纳入项目任务书。

2.项目组全体成员须接受针对该项目的专项保密教育。

第十七条【研究过程】

1.涉密项目的数据采集、处理、分析和存储必须在指定的涉密环境中进行。

2.涉密项目的研究讨论、内部交流应在符合保密要求的场所进行。

3.对外合作研究中，不得提供涉及国家秘密和平台核心工作秘密的信息。确需提供的，须签订专项保密协议，并报保密委员会审批。

第十八条【成果输出】

1.涉密研究成果的撰写、修改、保存必须在涉密计算机上完成。

2.成果发布（包括上报、发表、交流）前，必须经过保密审查，由项目负责人、研究中心主任和保密办公室三级联审，确保不涉及泄密内容。

3.涉密研究成果的归档，按涉密载体管理规定执行。

第八章 涉外活动保密管理

第十九条【对外交流】

1.参与国际会议、学术交流、合作研究等涉外活动，须提前制定保密预案，报保密委员会审批。

2.在涉外活动中，不得泄露国家秘密和平台核心工作秘密。对外介绍情况，应严格遵循事先审定的口径和范围。

第二十条【境外人员与设备】

1.接待境外人员访问，不得进入涉密区域，不得接触涉密信息。活动范围需事先划定并审批。

2.严禁使用境外机构赠送的或来源不明的电子设备处理平台内部信息。

第九章 应急处理与法律责任

第二十一条【泄密事件应急处理】

1.一旦发生或发现泄密事件，当事人或知情人必须立即报告部门负责人和保密办公室，并采取措施防止泄密范围扩大。

2.保密办公室应立即启动应急预案，组织调查，查明情况，采取补救措施，并在24小时内向保密委员会和上级主管部门报告。

3.对泄密事件的处理过程和处理结果应详细记录并归档。

第二十二条【法律责任】

1.违反本规定，视情节轻重，给予批评教育、诫勉谈话、通报批评、调离涉密岗位、行政处分等处理。

2.故意或因重大过失泄露国家秘密，构成犯罪的，依法移送司法机关追究刑事责任。

3.对发生重大泄密事件或多次发生泄密事件的部门，追究其负责人的领导责任。

第十章 附则

第二十三条【解释权】

本规定由云阿云智库平台保密委员会负责解释。

第二十四条【实施细则】

平台可根据本规定，针对特定领域（如计算机网络、涉外交流等）制定具体的实施细则。

第二十五条【生效日期】

本规定自理事会审议通过并报理事长审核签署之日起生效。