武器装备科研生产单位一级保密资格标准说明.docx

资源描述

《武器装备科研生产单位一级保密资格标准》说明（2010 年）一级、二级、三级《标准》主要内容包括保密责任、保密组织机构、保密制度、保密监督管理、保密条件保障等 5 个方面，既是军工保密资格审查认证的重要依据，也是衡量军工单位保密工作水平的具体指标。本说明只注释一级《标准》条款。二级、三级《标准》条款具体内涵以本说明为基本参考依据，条款要求与一级《标准》条款不同之处以备注形式加以说明。一、适用范围【原文】 1.1 本标准为武器装备科研生产单位一级保密资格审查认证和复查的依据。【注释】本《标准》是对申请一级保密资格单位进行书面审查、现场审查或复查的依据，也是对一级保密资格单位保密工作的基本要求。二、实施原则【原文】 2.1 积极防范，突出重点，严格标准，严格管理。 2.2 业务工作谁主管，保密工作谁负责。【注释】本条对《标准》的实施原则作出规定。 1、积极防范是指保密资格申请单位的保密工作应当坚持预防为主，采取人防、物防和技防相结合的防范措施，提高防范、发现和处置等能力。 2、突出重点是指保密资格申请单位的保密管理工作，要从关系国家安全利益的角度和最容易发生问题的地方入手。 3、严格标准是指保密资格申请单位必须严格按照《标准》的各项要求，切实做好保密工作。第 1 页共 45 页 4、严格管理是指保密资格申请单位要按照党和国家有关保密工作方针政策、法律和法规要求，做到依法管理，严格执法，确保国家秘密安全。 5、业务工作谁主管，保密工作谁负责是指承担有关武器装备科研生产任务的业务部门负责业务范围内的保密工作，保密工作是业务工作的组成部分，抓好业务工作的同时必须抓好保密工作。三、具体标准【原文】 3.1 保密责任【注释】保密责任是保密工作落实的关键。本部分内容对法定代表人或主要负责人、分管保密工作负责人、其他负责人、涉密部门或项目负责人和涉密人员，从五个层次分别提出不同的保密责任要求。【原文】 3.1.1 法定代表人或主要负责人责任：对本单位保密工作负全面领导责任。 a)保证党和国家有关保密工作的方针政策和法律法规在本单位的贯彻执行； b)保证本标准在本单位的实施，及时解决保密工作中的重要问题，监督检查领导责任制的落实； c)为保密工作提供人力、财力、物力等条件保障。【注释】 1、法定代表人是指依法代表法人行使民事权利，履行民事义务的主要负责人，是单位重要决策者和资源管理者，对保密工作的开展起至关重要作用，对单位保密工作负全面领导责任。 2、主要负责人是指除法定代表人之外的主持单位全面工作的负责人。若企业法定代表人不实际履行企业管理领导职责，则由实际主持工作的主要负责人履行本单位法定代表人的责任，对本单位保密工作负全面领导责任。第 2 页共 45 页【原文】 3.1.2 分管保密工作负责人责任：对本单位保密工作负具体领导责任。 a)及时研究和部署保密工作； b)对保密工作落实情况组织监督检查； c)为保密工作机构履行职责提供保障。【注释】分管保密工作负责人是指单位保密委员会主任或实际主持单位保密委员会工作的负责人，对本单位保密工作负具体组织领导责任。【原文】 3.1.3 其他负责人责任：对分管工作范围内的保密工作负领导责任。 a)对分管工作中的保密工作进行研究和部署； b)对分管工作中的保密措施落实情况进行监督检查； c)为分管工作中的保密工作开展提供保障。【注释】其他负责人是指单位除法定代表人或主要负责人及保密委员会主任以外的单位其他领导成员，按照“业务谁主管、保密谁负责”的原则，对所分管的业务工作范围内的保密工作负领导责任。【原文】 3.1.4 涉密部门负责人或项目负责人责任：对本部门或本项目的保密工作负直接领导责任。 a)掌握本部门或本项目的保密工作情况； b)采取具体措施组织落实单位保密工作部署； c)对保密措施落实情况进行监督检查。【注释】涉密部门负责人是指单位二级涉密部门负责人；项目负责人是指具体负责涉密科研项目或课题的负责人。涉密部门负责人或项目负责人，直接管理本部第 3 页共 45 页门或本项目业务工作范围内的保密工作，对本部门或本项目的保密工作负直接领导责任。【原文】 3.1.5 涉密人员责任：对本职岗位的保密工作负直接责任。 a)熟悉本职岗位的保密要求； b)按规定履行保密工作职责。【注释】涉密人员直接接触和知悉国家秘密，负有保守国家秘密的责任和义务，对本职岗位的保密工作承担直接责任。【原文】 3.2 保密组织机构【注释】保密组织机构是开展保密工作的基本保障。本部分内容对保密委员会、保密工作机构、保密工作人员配备等方面提出要求。【原文】 3.2.1 保密委员会 3.2.1.1 单位应当成立保密委员会，保密委员会为单位保密工作领导机构，应当有明确的职责。 3.2.1.2 保密委员会由单位负责人和有关部门主要负责人组成。保密委员会主任由单位负责人担任，保密委员会成员应当有明确的职责分工。 3.2.1.3 保密委员会实行例会制度，对保密工作进行研究、部署和总结，及时解决保密工作中的重要问题。保密委员会例会每年不少于 2 次。【注释】 1、单位应当成立保密委员会。保密委员会主管本单位的保密工作。 2、保密委员会主任由单位负责人担任，保密委员会成员一般由单位其他负责人，综合、科研、生产、计划、组织人事、宣传、外事、财务、信息、保密和保卫等内设部门的主要负责人担任。第 4 页共 45 页 3、保密委员会应当制定明确的职责和工作规则。其基本职责是：贯彻落实党的保密工作方针政策及国家有关保密法律法规；研究部署本单位保密工作；组织审定本单位保密规章制度；审查审批本单位保密工作重要事项；组织检查单位保密工作开展情况；查处失泄密案件等。保密委员会具体工作规则根据单位实际情况自行确定。【原文】 3.2.2 保密工作机构 3.2.2.1 单位应当设置负责保密管理工作的专门处室，在保密委员会领导下独立行使保密管理职能。单位涉密人员 100 人以下的，可不设立专门处室，确定一部门负责保密管理工作。 3.2.2.2 保密工作机构应当履行下列职责： a)向保密委员会提出工作建议，组织落实保密委员会的工作部署； b)组织指导制定保密制度； c)组织指导涉密人员的审查界定和保密教育培训； d)组织保密检查工作； e)监督指导定密工作； f)组织协调保密审查工作； g)监督指导重要涉密活动的保密管理工作； h)组织确定和调整保密要害部门、部位； i)监督指导计算机和信息系统、通信及办公自动化设备的保密管理工作； j)监督指导保密防护措施的实施； k)查处违反保密法律法规的行为和泄密事件； l)提出保密责任追究和奖惩建议。【注释】 1、负责保密管理工作的专门处室是指列入单位编制序列，独立行使保密管理职能，专门从事保密管理工作，并直接对本单位保密委员会负责的专门机构。 2、单位涉密人员 100 人（含）以上的，应当成立保密工作专门处室；100 人以下的，指定一部门负责保密管理工作，成立保密工作办公室，独立行使保第 5 页共 45 页密管理职能。 3、保密工作机构设置不符合要求的，中止审查或复查。【备注】二级《标准》规定单位涉密人员 200 人以下的，可不设立保密管理工作专门处室。三级《标准》没有提出设立保密管理工作专门处室要求，确定负责保密管理工作的机构，其职责与一级和二级《标准》区别是制定保密制度。【原文】 3.2.3 保密工作机构人员配备 3.2.3.1 涉密人员 1000 人（含）以上的，专职保密工作人员配备不得少于 4 人；500 人（含）以上 1000 人以下的，不得少于 3 人；100 人（含）以上 500 人以下的，不得少于 2 人；100 人以下的，不得少于 1 人。管理多个独立法人单位的保密工作机构人员配备按所属单位涉密人员总数计算。军工集团公司总部保密工作机构人员配备不得少于 4 人。涉密部门涉密人员 100 人（含）以上的，应当配备 1 名专职保密工作人员；100 人以下的，配备兼职保密工作人员。 3.2.3.2 专职保密工作人员 2 人以上的，应当配备 1 名保密技术管理人员。 3.2.3.3 保密工作机构人员应当具备下列条件： a)具备良好的政治素质； b)熟悉保密法律法规，掌握保密知识技能，具有一定的管理工作能力； c)熟悉本单位业务工作和保密工作情况； d)通过培训和考核，获得保密工作资格证书。【注释】 1、涉密人员数量是指本单位及其所属单位涉密人员数量的总和。 2、专职保密工作人员是指专门从事保密管理工作的人员，不兼任除保密管理工作之外的其他工作。保密工作机构负责人应为单位专门从事保密管理工作的负责人。 3、单位保密工作机构专职保密工作人员配备人数不包括单位涉密部门所配备的专职保密员。第 6 页共 45 页 4、保密技术管理人员，是指接受过相关专业学习或培训，熟悉国家有关保密法律法规和与保密工作相关的各类信息安全技术防范知识，能够指导、监督和检查本单位保密技术防范措施建设和管理的人员。【备注】二级《标准》规定，涉密人员 1000 人（含）以上的，专职保密工作人员配备不得少于 3 人；200 人（含）以上 1000 人以下的，不得少于 2 人；200 人以下的，不得少于 1 人。涉密部门应当配备兼职保密工作人员。三级《标准》规定，涉密人员 100 人（含）以上的，专职保密工作人员配备不得少于 1 人；涉密人员 100 人以下的，应当配备兼职保密工作人员。【原文】 3.3 保密制度保密制度健全、规范，具有可操作性。保密制度包括基本制度、二级制度和专项制度。【注释】完善的保密规章制度是做好保密工作的基础。本部分内容对建立保密基本制度、二级制度和专项制度分别提出相应要求。【原文】 3.3.1 基本制度基本制度是单位依据国家保密法律法规和上级有关规定制定的日常保密管理总的工作规范，包括以下基本内容： a)保密教育； b)涉密人员管理； c)确定、变更和解除国家秘密管理； d)国家秘密载体管理； e)要害部门、部位管理； f)计算机和信息系统管理； g)通信及办公自动化设备管理； h)宣传报道管理；第 7 页共 45 页 i)涉密会议管理； j)协作配套管理； k)涉外活动管理； l)保密监督检查； m)泄密事件报告和查处； n)责任考核与奖惩。【注释】 1、基本制度是单位依据国家保密法规和上级有关规定制定的日常保密管理总的工作规范，涵盖单位保密工作各个方面。总的要求应符合国家规定，紧密联系实际，适应工作发展，做到健全、规范、可操作。若有的单位不涉及制度中规定的某项工作，可以免于制定有关该项工作的规定。 2、基本制度由单位保密工作机构组织制定，经单位保密委员会审核后，由单位法定代表人或主要负责人签发后实施。 3、基本制度要根据相关情况的发展变化及时进行修订完善，做到与上级有关保密工作方针、政策和法规标准要求相一致。【原文】 3.3.2 二级制度二级制度是单位内部涉密部门根据工作需要，依据基本制度，结合业务工作实际，制定的具体保密管理措施。应当按照业务工作流程，明确保密要求和保密责任，做到简明扼要，易记易懂易操作。【注释】 1、二级制度是在单位基本制度的基础上，涉密部门依据单位基本制度，针对本部门工作特点，按照各自部门业务工作流程制定的保密管理措施。 2、二级制度的内容应体现涉密部门的业务工作流程和特点，满足本部门保密工作特殊要求，做到简明扼要，易记易懂易操作。 3、二级制度由涉密部门根据需要制定，单位保密工作机构应当进行指导和监督，由涉密部门负责人签发后实施。基本制度能够满足工作需要的涉密部门，可不制定二级制度。第 8 页共 45 页【原文】 3.3.3 专项制度专项制度是针对重大涉密工程或项目、外场试验等制定的专门保密管理措施。应当按照专项任务的特点和要求，做到密级划分清楚，责任明确，措施具体。【注释】 1、专项制度是根据重大涉密工程或项目的特点，为保证重大涉密工程或项目科研生产过程中国家秘密安全，在现有保密基本制度的基础上制定的专门保密制度。 2、重大涉密工程或项目是指涉密程度高、研制周期长、参与单位多，在政治、军事、外交等方面较为敏感的重要武器装备研制工程或项目。 3、专项制度由单位业务主管部门负责制定，单位保密工作机构应当进行指导和监督，经单位法定代表人或主要负责人签发后实施。【原文】 3.3.4 保密制度应当根据实际情况及时修订完善。【注释】保密制度应当根据实际情况及时修订完善，要注意与党和国家新颁布的有关保密工作方针政策、保密法律法规精神相一致，与上级政策法规相衔接，与实际工作的要求相适应。【备注】三级《标准》末提出制定二级制度和专项制度的要求。【原文】 3.4 保密监督管理【注释】保密监督管理是落实保密制度的主要手段。《标准》分别从定密管理、涉密人员管理、涉密载体管理、要害部门部位管理、计算机和信息系统管理、通信及办公自动化设备管理、宣传报道管理、涉密会议管理、外场试验管理、协作配套管理、涉外管理、保密检查、考核与奖惩、工作档案管理等 14 个方面提出第 9 页共 45 页要求。【原文】 3.4.1 定密管理【注释】定密工作是保密工作的重要基础。本部分内容对定密工作的组织领导和工作要求等方面提出要求。【原文】 3.4.1.1 单位应当成立定密工作小组，负责本单位国家秘密事项密级确定审核工作。定密工作小组由单位有关业务工作负责人，业务部门、保密工作机构人员组成。 3.4.1.2 单位应当依据国家秘密及其密级具体范围及时确定本单位国家秘密事项、密级和保密期限。 3.4.1.3 单位应当根据情况变化，及时变更本单位国家秘密事项的密级和保密期限。国家秘密事项在保密期限内不需要继续保密的，单位应当及时解密。【注释】 1、定密工作小组一般由单位主管军品科研的负责人、总工程师、型号（项目）总设计师（负责人）和科研、计划、保密等部门人员组成。 2、定密工作小组在单位保密委员会领导下开展工作，应当结合实际，依据任务或项目原始密级和有关保密范围，研究制定本单位《国家秘密事项范围目录》或《涉密事项一览表》，并经单位法定代表人或主要负责人审批后生效。 3、工作中对依据单位《国家秘密事项范围目录》或《涉密事项一览表》不确定的密级事项，应当由承办人提出拟定密级、保密期限和知悉范围的初始建议，经部门或项目负责人审核，提交单位定密工作小组审核后，由单位主要领导审批确定。 4、定密工作小组对无法确定密级的事项，应当提出密级确定意见，报单位法定代表人或主要负责人审批后，提交业务主管机关确定。单位保密工作机构对定密工作负有监督指导职责。第 10 页共 45 页【备注】三级《标准》定密管理方面没有提出建立定密工作小组的要求。【原文】 3.4.2 涉密人员管理【注释】涉密人员管理是保密监督管理核心内容。本部分内容按照《国防科技工业涉密人员管理暂行办法》等规定要求，对涉密岗位和涉密人员等级界定、培训时间、涉密人员出国（境）、备案、脱密期等方面提出要求。【原文】 3.4.2.1 单位应当按照涉密程度对涉密岗位和涉密人员的涉密等级做出界定。涉密岗位和涉密人员的涉密等级分为核心（绝密级）、重要（机密级）和一般（秘密级）三个等级。 3.4.2.2 涉密人员的涉密等级，应当根据情况变化，及时进行调整。 3.4.2.3 进入涉密岗位的人员，单位人事部门应当会同保密工作机构进行审查和培训。 3.4.2.4 单位应当与涉密人员签订保密责任书。保密责任书包括涉密人员的保密义务和责任及享有的权利等基本内容。 3.4.2.5 单位对在岗涉密人员应当进行保密教育培训，每人每年度不少于 15 学时。 3.4.2.6 建立涉密人员保密自查制度。对涉密人员的保密义务和责任情况，应当进行监督考核。涉密人员严重违反保密法律法规应当调离涉密岗位。 3.4.2.7 单位应当根据涉密人员涉密等级，给予相应的保密补贴。 3.4.2.8 涉密人员脱离单位，应当与原单位签订保密承诺书。单位应当对其实行脱密期管理。核心涉密人员的脱密期为 3 年至 5 年，重要涉密人员的脱密期为 2 年至 3 年，一般涉密人员的脱密期为 1 年至 2 年。 3.4.2.9 单位应当及时将涉密人员名单在公安机关出入境管理机构登记备案。因私出国（境）的，应当按有关规定审批。出国（境）前应当对其第 11 页共 45 页进行保密教育。涉密人员擅自出国（境）的，单位应当立即向上级机关或有关部门报告。【注释】 1、单位应当根据产生，制作、使用、管理等因工作需要有条件经常接触、知悉与武器装备相关的国家秘密信息的岗位密级来确定涉密人员的涉密等级。 2、对涉密人员入岗前的保密审查，重点是涉密人员的基本情况（包括个人经历、政治表现和品行等），是否符合涉密人员的基本条件以及与境外人员有无婚姻关系。入岗前保密培训内容主要是保密形势、单位保密事项和保密规章制度等。由单位人事部门会同单位保密工作机构组织进行。 3、涉密人员入岗后，单位应当与涉密人员签订保密责任书（保密承诺书），主要内容包括涉密人员应当承担履行的保密义务等，由双方签字盖章后生效。 4、15 学时是指涉密人员参加有组织的各类保密教育培训合计时间。1 学时为 50 分钟。 5、保密自查应当包括自查时间、内容、存在问题等，单位保密工作机构和涉密部门或项目负责人应当对涉密人员履行保密责任和义务情况进行监督检查。 6、单位应当定期对涉密人员遵守保密制度，履行保密责任等情况进行考核，对考核不合格的以及严重违反保密法律法规的，应当及时调离涉密岗位。单位应当加强对脱离单位涉密人员的管理，对脱离单位的涉密人员，应当签订保密承诺书。涉密人员的脱密期管理严格按照《国防科技工业涉密人员保密管理暂行办法》执行。【备注】三级《标准》规定涉密人员岗位保密教育培训年度每人不少于 8 学时；涉密人员脱密期对象因不涉及核心涉密人员，没有提出对核心涉密人员脱密期的管理要求。【原文】第 12 页共 45 页 3.4.3 涉密载体管理【注释】涉密载体管理是保密监督管理的重点工作之一。本部分内容按照《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定》《国家、秘密载体销毁管理规定》《国家秘密设备、产品的保密规定》和《关于加强新、技术产品使用保密管理的通知》等有关文件规定，对涉密载体密级标识、保密期限、载体管理、密品管理、存放设备等方面提出要求。【原文】 3.4.3.1 国家秘密载体应当按有关规定标明密级和保密期限。 3.4.3.2 制作、收发、传递、使用、复制、保存、维修和销毁国家秘密载体（含纸介质、磁介质和光盘等各类物品）及其过程文件资料，应当符合国家有关保密管理规定。 3.4.3.3 密品研制、生产、试验、运输、使用、保存、维修和销毁，应当符合国家有关保密管理规定。 3.4.3.4 严格控制国家秘密载体的接触范围。对接触和知悉绝密级国家秘密的人员应当作出文字记载。 3.4.3.5 机密级(含)以下国家秘密载体应当存放在密码文件柜中，绝密级国家秘密载体应当存放在密码保险柜中。 3.4.3.6 涉密人员辞职、解聘、调离涉密岗位，应当在离岗前清退保管和使用的国家秘密载体。【注释】 1、应当在记载国家秘密信息的纸介质、光盘、磁介质等载体以及属于国家秘密的设备、产品上正确标明密级，作出国家秘密标志，标明保密期限。 2、国家秘密载体的制作、收发、传递、使用、复制、保存、维修和销毁应当严格执行国家保密管理规定，履行好签收、登记、审批等手续。 3、过程文件资料是指在工作过程中产生的未定稿的文件资料，也包括含有涉密信息的光盘、磁介质等载体。过程文件资料只要内容涉及国家秘密，应当标明密级并按照涉密载体管理。 4、对不需保存的国家秘密载体，应当及时销毁。随着涉密纸介质、磁介质第 13 页共 45 页载体数量不断增多，因销毁不及时，或不按规定进行销毁致使泄密隐患明显增多，因此对需要销毁的涉密载体应严格执行保密管理规定。 5、密品是指直接含有国家秘密信息的设备或产品，通过观察或者测试、分析等手段，能够获得该设备或产品的国家秘密信息。 6、单位应当根据工作需要，确定涉密载体的接触人员范围，不得擅自扩大国家秘密的知悉范围。单位对接触绝密级载体的人员要严格控制范围，并记录在案。 7、单位应当制定有关制度和措施，对涉密人员离岗应当及时清退所持有的国家秘密作出规定。涉密人员不再从事相关涉密工作，离开涉密岗位前，应当将管理、使用的全部涉密载体上交单位，列出移交数量清单，不得私自留存。【备注】三级《标准》因不涉及绝密级事项，没有提出对绝密级涉密载体的管理要求。【原文】 3.4.4 要害部门、部位管理【注释】要害部门、部位管理是保密工作重点。本部分内容按照《关于保密要害部门、部位保密管理的规定》以及有关法规、标准规定，对要害部门、部位的确定和保密防护措施等方面提出要求。 3.4.4.1 单位日常工作中经常产生、传递、使用和管理绝密级或较多机密级、秘密级国家秘密的内设机构，应当确定为保密要害部门。单位集中制作、存放、保管国家秘密载体及重要密品研制、实验的专门场所，应当确定为保密要害部位。 3.4.4.2 保密要害部门、部位的确定，应当按有关规定履行审批程序。 3.4.4.3 保密要害部门、部位应当采取严格的保密防护措施。根据有关规定安装防盗报警装置、视频监控和电子门禁系统。保密要害部门、部位相对集中的建筑物，应当确定安全控制区域，外周界应当安装防入侵报警装置和视频监控系统，配备安全值班人员，出入口应当设置第 14 页共 45 页电子门禁系统。 3.4.4.4 涉及保密要害部门、部位的新建、改建工程项目要符合安全保密要求，所采取的保密防护措施应当经单位保密工作机构组织的审核，与工程建设同计划、同设计、同建设、同验收。 3.4.4.5 对进入保密要害部门、部位的安全值班、工勤服务和外来人员应当有相应的保密管理措施。【注释】 1、要准确确定保密要害部门、部位，并按规定程序履行报批手续。 2、保密要害部门、部位的技术防护措施在设计和建设中要符合有关法规标准和规定要求，根据单位要害部门、部位的实际情况采取相应的保密技术防护措施，切实做到保密技术防护措施安全有效。 3、涉及保密要害部门、部位的新建和改建工程项目要符合安全保密要求是指符合《标准》3.4.4.3 规定的要求；工程立项方案中的保密防护措施要征求单位保密工作机构意见，拟采取的保密防护措施的实施方案应当经单位保密工作机构组织审核，竣工的保密防护建设工程要经单位保密工作机构组织审查验收，合格才能投入使用。 4、进入保密要害部门、部位的安全值班、工勤服务人员要经过审查培训并应对其采取相应的保密管理措施。进入要害部门的外来人员要经过审批登记并有专人全程陪同。【备注】二级《标准》没有对电子门禁系统作出强制性安装要求，三级《标准》没有对电子门禁和视频监控系统提出安装要求。【原文】 3.4.5 计算机和信息系统管理【注释】计算机和信息系统管理是保密工作的重点和难点。本部分内容依据国家有关规定和标准，结合军工单位的业务特点，对计算机和信息系统中的技术防护措施和保密管理工作等方面提出要求。第 15 页共 45 页【原文】 3.4.5.1 涉密信息系统投入运行前，应当经国家保密工作部门审批。【注释】 1、新建涉密信息系统是指在《涉及国家秘密的信息系统分级保护管理办法》正式发布以后，开始立项建设的涉密信息系统。新建系统应当在系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查、系统废止八个阶段中，严格按照涉密信息系统分级保护的一系列法规标准进行建设和管理，通过相关保密行政管理部门审批，取得《涉及国家秘密的信息系统使用许可证》后方可投入运行。新建涉密信息系统在未取得《涉及国家秘密的信息系统使用许可证》前，不得投入运行。在试运行期间不得存储和处理涉及国家秘密的信息。 2、在用涉密信息系统是指已经建设完成，按照《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》的要求完成审批，并已投入运行的涉密信息系统。在用涉密信息系统应当按照涉及国家秘密的信息系统分级保护的规定和标准进行密级核定，确定保护等级，制定系统分级保护方案，补充、完善保护措施，通过相关保密行政管理部门审批，取得《涉及国家秘密的信息系统使用许可证》后方可继续运行。 3、该条款作为基本项，单位递交《申请书》时，应当在《申请书》的“计算机和信息系统防护和管理情况”一栏中，填写本单位全部涉密信息系统的使用许可审批情况。现场审查时查验《涉及国家秘密的信息系统使用许可证》原件，对不符合要求的单位中止审查。 4、未建立涉密信息系统的单位，在《申请书》的“计算机和信息系统防护和管理情况”一栏中，应当填写“本单位没有建设涉密信息系统，采用单台计算机处理涉密信息”。现场审查时，应当依据《标准》，全面检查技术防护措施和保密管理制度的落实情况，并按照《评分标准》的相关内容进行扣分。 5、未取得《涉及国家秘密的信息系统使用许可证》的涉密信息系统，在现场审查或复查前将其临时拆除变为单台计算机使用的，一经发现，中止审查或复查。【备注】二级和三级《标准》要求涉密信息系统投入运行前，应当经省（区、市）第 16 页共 45 页保密行政管理部门审批。【原文】 3.4.5.2 涉密计算机和信息系统应当与国际互联网和其它公共信息网络实行物理隔离；禁止使用非涉密的计算机、信息系统和存储介质存储和处理涉密信息；禁止将涉密计算机和信息系统接入内部非涉密信息系统；涉密信息的远程传输应当按国家有关部门要求采取密码保护措施；未经单位信息化管理部门审批，禁止对涉密计算机和信息系统格式化或重装操作系统，禁止删除涉密计算机和信息系统的移动存储介质及外部设备等日志记录。【注释】 1、涉密计算机和信息系统应当与国际互联网和其他公共信息网络实行物理隔离是考查涉密计算机和信息系统是否与国际互联网和其他公共信息网络做到真正物理隔离。公共信息网络是指处于开放环境中，利用公共信息基础设施，传输和处理不涉及国家秘密信息的计算机、通信和社会服务信息网络。例如有线电话网、有线电视网、微波通信网、移动通信网等。物理隔离是指与国际互联网和其他公共信息网络没有任何直接或间接的连接，保证在网络物理连接上是完全分离的，且没有任何公用的存储信息。直接连接是指涉密信息系统中的任何设备采用有线或无线方式与国际互联网或其他公共信息网络的交换机、服务器、信息终端等设备进行连接。间接连接是指涉密信息系统中的任何设备连接外部设备，而外部设备（或外部设备的延伸连接设备）采用有线或无线方式与国际互联网或其他公共信息网络的交换机、服务器、信息终端等设备进行连接。涉密计算机和信息系统应当采取技术措施，如：违规外联监控系统、存储介质管理系统等，防止破坏物理隔离，所选用的安全保密产品应当获得国家保密行政管理部门的批准。涉密计算机和信息系统直接或间接连接互联网和其他公共信息网络，就是破坏了物理隔离。一经发现，中止审查或复查。 2、禁止使用非涉密计算机、信息系统和存储介质存储和处理涉密信息是指第 17 页共 45 页以下两种情况：一是使用连接国际互联网和其他公共信息网络的非涉密计算机、信息系统、存储介质存储和处理涉密信息，这种情况将直接造成涉密信息失控。一经发现，中止审查或复查。二是使用单位内部不与国际互联网和其他公共信息网络相连接的内部非涉密计算机、信息系统、存储介质存储和处理涉密信息，这种情况将导致涉密信息被非授权查看和获取，属于严重违规行为。一经发现，加重扣分。如果单位内部非涉密计算机、信息系统、存储介质存储和处理涉密信息，又存在曾经与国际互联网和其他公共信息网络相连接的记录或痕迹，一经发现，中止审查或复查。 3、禁止将涉密计算机和信息系统接入内部非涉密信息系统是考查涉密计算机和信息系统是否接入与国际互联网和其他公共信息网络不相连接的内部非涉密信息系统。内部非涉密信息系统是指由单位建立的，用于处理不涉及国家秘密的内部工作信息，并与涉密信息系统实现物理隔离的信息系统。涉密计算机和信息系统用户终端联入内部非涉密信息系统（非国际互联网和其他公共信息网络），可能导致涉密信息被非授权查看和获取，属于严重违规行为。一经发现，加重扣分。应当区分内部非涉密信息系统与涉密信息系统的非涉密安全域。非涉密安全域是指单位涉及国家秘密的信息系统按照分级保护要求确定的非涉密安全保护域。通常采用安全域边界防护措施，实现非涉密安全域与其他涉密安全域的逻辑隔离，并符合相关安全防护要求。如果在涉密信息系统中存在非涉密安全域，应当控制涉密信息从涉密安全域流向非涉密安全域。如果涉密信息能够从涉密安全城流向非涉密安全域，或能够从非涉密安全域查看或获取涉密安全域中的涉密信息，则按照涉密计算机和信息系统连入内部非涉密信息系统处理。 4、涉密信息的远程传输应当按照国家有关部门要求采取密码保护措施是考查涉密信息的远程传输是否符合保密要求。远程传输是指涉密信息的传输线路超出了封闭、独立可控的建筑群，且超出了单位警卫人员的可控区域。第 18 页共 45 页传输线路无论是自己敷设还是商业租用，采用架空或地埋的敷设方式，只要存在不可监控的区域，就应当采取密码保护措施。密码保护应当采用国家密码管理部门批准的加密措施，密码保护等级应当与传输信息的涉密等级相符合。如果涉密信息的远程传输线路不符合安全要求，也没有按照国家有关部门要求采取密码保护措施。一经发现，中止审查或复查。 5、未经本单位信息化管理部门审批，禁止对涉密计算机和信息系统格式化或重装操作系统，禁止删除涉密计算机和信息系统的移动存储介质及外部设备等日志记录是考查涉密计算机和信息系统的使用人员是否存在掩盖和销毁违规行为的操作。涉密计算机和信息系统中服务器、用户终端，其操作系统应当由系统管理员负责安装，系统管理员因故不能安装的，可填写授权安装表，授权专人负责安装。安装完成后，应当填写安装记录并修改台帐记录。未经批准和授权，任何人不得擅自进行格式化和安装操作系统。因系统崩溃、操作系统损坏等原因确需重新安装操作系统的，应当由涉密计算机和信息系统服务器、用户终端的使用人员提出申请，并说明理由，经单位信息化管理部门审批后，由系统管理员安装或由系统管理员授权用户安装。安装操作系统后，应当依据涉密计算机和信息系统服务器、用户终端的密级，安装必要的安全保密产品，配置完整的安全策略，更新台帐的相关内容，并将审批表和授权安装表存档备案。涉密计算机和信息系统中服务器、用户终端操作系统的版本信息、安装时间、安装记录应当与台帐中记录一致。不得擅自更改或清除涉密计算机和信息系统服务器、用户终端中移动存储介质、外部设备等安装和使用日志记录，确需更改的，应当提出申请，经单位信息化管理部门审批后由涉密计算机和信息系统安全保密管理员实施并记录更改项目，审批表和更改项目记录表应当存档备案。擅自对涉密计算机和信息系统中服务器、用户终端已安装操作系统的硬盘进行格式化后重新安装操作系统，可以掩盖和销毁使用中的违规行为，甚至消除泄密痕迹；更改或清除涉密计算机和信息系统服务器、用户终端中移动存储介质、外部设备等安装和使用日志记录，可以掩盖或消除违规安装软硬件、违规使用移动存储介质等违规行为的记录，都属于严重违规行为。一经发现，加第 19 页共 45 页重扣分。【原文】 3.4.5.3 应当建立信息设备和存储介质台帐；涉密信息设备和存储介质的维修、报废应当符合国家有关保密管理规定。【注释】 1、单位应当通过建立信息设备总台帐，加强计算机和信息系统的资产管理。总台帐应当包括本单位的各类信息设备，通常有：计算机（含服务器、用户终端）、网络设备和外部设备、存储介质、安全保密产品等。高等学校应当根据实际情况，对不涉及武器装备科研生产任务院系的信息设备，可不纳入单位的总台帐。单位各部门应当建立相应的分台帐，总台帐和分台帐的内容应当吻合，并与实有物品相符合，台帐应当以电子和文档版本两种形式存在。各类台帐应当包含以下信息要素：（1）计算机台帐（含服务器、用户终端）至少应当包括：部门、使用人、名称型号、密级（非密的标明用途）、操作系统安装日期、硬盘序列号、IP 地址（信息系统的设备填写）、MAC 地址、使用情况等。（2）网络设备和外部设备是指交换机、路由器、网关、网闸、VPN 设备、打印机、制图（绘图）机、扫描仪、光盘刻录机（外接式）等。其台帐至少应当包括：部门、使用人、名称型号、使用情况等。（3）安全保密产品包括计算机病毒防治产品，密码产品，身份鉴别、访问控制、安全审计、入侵监测、边界防护和电磁泄漏发射防护等产品。其台帐至少应当包括：使用人、名称型号、检测证书名称和编号、购置时间、使用情况等。（4）存储介质台帐至少应当包括：部门、使用人、名称、编号、序列号、密级（按照实际情况填写绝密、机密、秘密、内部、非密、互联网、中间转换等）、使用情况等。信息要素中的“使用情况”包括在用、停用、维修、报废、销毁等。单位信息化管理部门应当会同保密工作机构定期（绝密级至少 3 个月、机密级至少 6 个月、秘密级至少 12 个月）对信息设备进行清查核对和登记。 2、涉密计算机和信息系统服务器、用户终端、外部设备、存储介质发生故第 20 页共 45 页障时，应当向单位信息化管理部门提出维修申请，经批准后到指定维修地点修理，维修后应当进行保密检查。（1）现场维修时，一般应当由本单位内部维修人员实施；需由外部人员到现场维修时，维修过程中应当由有关人员全程旁站陪同。禁止维修人员恢复、读取和复制被维修设备中的涉密信息。禁止通过远程维护和远程监控，对涉密计算机和信息系统服务器、用户终端进行维修和维护工作。（2）需要带离现场进行维修的，应当拆除所有可能存储过涉密信息的硬件和固件。维修地点在单位内部的，维修部门应当设立符合保密要求

展开阅读全文