资源描述
武器装备科研生产单位
二级保密资格评分标准
具体操作方法
重要说明
1、二级保密资格评分标准项目总分值设定为500分(不含重点检查项),达到450分(含)以上为符合标准,以下为不符合标准。
2、评分标准共设置6个基本项,达不到基本项要求的,中止审查或者复查。
3、评分标准第38、52、119—129项为重点检查项。
4、被审查单位没有的项目不扣分,分值计入单位总得分。
基本项(共计6项)
基本项
操作方法
支撑文件
备注
存在下列情况之一的,中止审查或者复查。
1、保密工作机构设置不符合标准要求的
查看单位会议记录、红头文件、审查审批记录、组织机构图,以及通过谈话等方式,了解保密工作机构是否按要求单独设置,与其他内设二级机构平行, 并独立行使管理职能。
2、涉密信息设备和涉密存储设备接入互 联网及其他公共信息网络,或者未采 取防护措施与互联网及其他公共信息 网络之间进行信息交換,可能造成涉 密信息失控的
a)查验涉密信息设备、涉密存储设备,是否存在接入互联网及其他公共信息 网络的记录或者痕迹,并判定接入时间是否为该计算机定密(涉密)以后;
b)查验涉密信息系统、涉密信息设备和涉密存储设备与互联网及其他公共信息网 络之间进行信息交换时,采取的防护措施(如导入时采用单向导入盒、非涉密中 间机,导出时采用刻录一次性非涉密光盘,并通过监控审计系统实施监督检查) ,是否能够控制涉密信息泄露,是否能够防止因技术原因产生的泄密隐患;
C)查验移动存储设备是否在涉密信息设备与互联网及其他公共信息网络之间交叉使用(记录或者痕迹);
d)可以采用数字取证或者信息恢复技术,对涉密信息设备、涉密存储设备违 规外联痕迹进行技术检查和判定。
3、在互联网及其他公共信息网络,或者 在未采取保密措施的有线或者无线通 讯中存储、处理、传递国家秘密的
a)查验互联网计算机及其他公共信息网络设备、非涉密通信设备,是否存在 涉密信息(无论是否有涉密标志)存储、处理、传输的记录或者痕迹,是否 接入或者使用过涉密移动存储设备;
b)查验涉密信息设备或者涉密存储设备上是否具有无线通信功能,或者是否 外接过具有无线通信功能的设备(部件),如果单位周界以内存在无线通信 的基站、中继站、无线发射装置,或者无线发射增强装置等,应当验证与 涉密信息设备产生交叉耦合调制发射的可能性;
C)查验保密要害部门部位内部是否使用无线通信设备或者无线控制设备,如 果使用,且未履行审批程序,也未采取安全保密措施,则应当终止;
d)查验采取的保密措施是否符合国家相关要求。
4、未按保密要求进行安全技术处理,将退出使用的涉密信息设备、涉密信息存储设备赠送、出售、丢弃或者改为他用,可能造成涉密信息失控的
a)查验退出使用的涉密信息设备、涉密存储设备的审批程序是否合规,审批 单以及相关记录是否真实完整;
b)查验退出使用的涉密信息设备是否拆除了存储过涉密信息的硬件和固件, 或者采用符合国家保密要求的消磁、清除等工具对涉密信息进行了处理;
C)如果存在赠送、出售、丢弃或改为他用的涉密信息设备和涉密存储设备, 查验清单以及相关的审批程序,判定是否进行迚符合国家保密要求的安全 技术处理,是否能够确保国家秘密信息不被恢复和获取;
d)查验涉密信息设备、涉密存储设备的最终去向。
5、涉密信息系统未通过国家保密行政管 理部门设立或者授权测评机构的系统 测评并存储处理涉密信息的
a)查验国家保密行政管理部门设立或者授权的测评机构的系统测评报告,是 否经过涉密信息系统测评总中心认可并签字盖章;
b)查验系统测评申请书的申请范围和内容,以及系统测评机构确定的范围和 内容是否与涉密信息系统(网络)的实际情况一致;
c)查验单位全部涉密信息系统的使用情况,判定在系统则评通过前(具有总中 心签字盖章的测评报告可确定为通过),是否存储或者处理过涉密信息;
d)在涉密信息系统建设方案中,已经明确的利旧设备(如原来使用的单台涉密 计算机作为涉密信息系统的用户终端),如果存储或者处理过涉密信息,在 系统测评通过前,不应当接入涉密信息系统;
e)属于扣分情形的,不作为终止内容。
6、选择的涉密协作配套单位不具备相应 保密资格的
查验单位协作配套任务或项目合同,对属于涉密的任务,是否选择相应的具 备相关保密资质单位承担。
评分标准操作办法(共计6大项、243小项)
1、保密责任(45分)
1.1、法定代表人或者主要负责人责任(13分)
项目细则
操作方法
支撑文件
备注
保证党和国家有关保密工作方针政策和法律法规贯彻执行(7分)
1.年度内未对贯彻落实党和国家保密工作的方针、政策和法律法规提出明确要求的,扣2分;
2.未将保密管理纳入单位管理体系的,扣2分;
3.未将保密责任纳入绩效考核的,扣2分;
4.年度内未对保密工作责任制落实情况进行监督考核的,扣1分。
a)通过谈话,了解对《保密法》《保密法实施条 例》和《办法》《标准》及单位相关保密制度熟悉 情况;对自己应当承担的保密责任知悉情况;对本单位保密工作的基本情况和保密工作中的重点、难点知悉情况;
b)查看单位年度工作要点有无保密工作内容,在上级相关文件和指示、会议讲话、工作计划、工作总结等有无具体落实的批示、要求和参加单位保密学 习培训情况;
c)查看单位管理体系是否纳入保密管理;
d)查看单位绩效考核标准有无保密责任考核项;
e)查看保密工作责任制考核奖惩的相关材料,了解责任制落实情况。
为保密工作提供支持和保障(6分)
5.对本单位保密工作整体情况掌握不够的,扣 2分;
6.未及时研究解决保密工作重大问题的,扣 1分;
7.未按要求在人力、财力、物力上为保密工作 提供条件保障的,扣3分。
查看单位人事任命文件或者相关会议纪要,了解保密 工作机构设置、专职保密工作人员配备情况;根据年度预算、保密技防建设方案等,现场检查保密条件保 障落实情况,了解单位对保密工作人力、物力和财力提供支持保障情况。
1.2、分管保密工作负责人责任(8分)
项目细则
操作方法
支撑文件
备注
研究部署保密工作(4分)
8.对本单位保密工作全面情况掌握不够的,扣 2分;
9.未对落实保密工作提出明确意见和要求的, 扣1分;
10.未及时组织研究保密工作中的重点、难点 问题的,扣1分。
a)通过谈话,了解是否全面掌握本单位的保密工作情 况;是否知悉单位保密工作中的难点、重点,采取了哪些组织协调落实措施;
b)查看工作计划、总结、会议纪要、审查审批事项文字记录等,了解对保密工作作了哪些具体的批示和要求。
监督检查保密工作落实情况(4分)
11.年度内未组织检查单位和部门负责人保密 工作的,扣1分;
12.未对不履行保密责任的人员进行责任追究 的,扣1分;
13.对保密工作落实情况监督不够的,扣1分;
14.对保密工作机构履行职责支持帮助和监督 指导不够的,扣1分。
a)查看检查记录,了解是否每年组织对单位和部门负 责人保密工作进行检查,是否及时研究和解决发现的问题;
b)查看有关记录,了解是否及时协调解决保密工作机构在履行职责中存在的问题,是否定期听取工作汇报;
C)查看有关记录,了解是否对不履行保密责任的人员 进行了追究或处罚;
d)查看有关记录,包括保密工作机构的年度工作计划、请示性文件、规划性文件,了解是否支持帮助和监督指导。
1.3、其他负责人责任(8分)
项目细则
操作方法
支撑文件
备注
研究落实分管业务范围内的保密工作(4分)
15.未组织将保密管理要求融入分管业务工作 制度和流程中的,扣1分;
16.对分管业务范围内的保密工作职责不清楚 的,扣1分;
17.未及时研究解决分管业务范围内的保密工 作直点、难点冋题的,扣1分;
18.未在分管业务工作中按照工作需要严格控 制国家秘密知悉范围的,扣1分。
a)通过谈话、查阅档案和有关业务管理制度、工作流 程等,了解业务工作是否融入了保密管理要求;怎样做到保密工作与业务工作相融合以及采取了哪些措施;
b)通过相关文字记录,查看是否及时解决本单位保密 工作中的重点、难点问题;
C)通过谈话和实地询问相关业务部门,了解对分管业 务中的涉密事项是否清楚;是否限定了范围,确定了知悉人员。
监督检查保密工作落实情况(4分)
19.未组织对分管业务工作中的保密工作落实 情况进行监督检查的,扣1分;
20.未组织对分管业务工作中存在的保密管理 问题督促整改的,扣1分;
21.未对分管业务工作中的保密工作开展提供 保障的,扣1分;
22.对单位保密工作机构开展工作支持不够的, 扣1分。
a)通过谈话、查阅档案,了解对分管工作中的保密工 作是否提供了支持和条件保障;
b)查看会议记录等相关材料等,了解是否结合业务工 作实际,对业务工作范围内的保密工作进行了研究、部署和检查;
C)查看保密检查记录,了解保密检查实效;是否对检 查出的问题有书面整改要求并督促整改。
1.4、涉密部门负责人或者涉密项目负责人责任 (10 分)
项目细则
操作方法
支撑文件
备注
掌握本部门或者本项目的保密工作情况(3分)
23.对保密工作职责不清楚的,扣1分;
24.对部门或者项目的整体保密情况掌握不够 的,扣1分;
25.对涉密人员基本情况掌握不够的,扣1分。
a)通过谈话,了解是否清楚保密工作职责;在保密工 作与业务工作相结合方面采取了哪些措施;
b)通过谈话,了解是否知悉本部门或者本项目涉密事 项基本情况;
C)通过谈话,了解部门(项目)负责人是否知悉涉密人 员的保密要点。
采取具体措施落实保密管理要求(5分)
26.未将保密管J里要求融人业务工作制度中的, 扣1分;
27.对单位部署的保密工作落实不够的,扣 1分;
28.对专兼职保密工作人员工作支持不够的, 扣1分;
29.季度内未安排保密教育的,扣1分;
30.未按照工作需要控制国家秘密的知悉范围 的,扣1分。
a)查阅有关业务资料、工作制度和管理流程,了解是 否将保密要求融入业务工作制度;
b)查看会议记录和保密教育记录,了解对接触涉密事 项的人员是否有保密要求;
C)查看教育培训大纲和人员签到表、考试试卷及笔记 等,了解单位、部门对涉密人员保密教育培训情况; d)通过谈话和实地询问,了解对涉密部门负责人或者 涉密项目负责人业务中的涉密事项是否清楚,是否按照工作需要限定了范围,确定了知悉人员。
监督检查保密工作落实情况(2分)
31.季度内未对保密措施落实情况进行检查的, 扣1分;
32.未对检查中发现的问题进行监督落实整改 的,扣1分。
查看检查记录,了解是否按规定每3个月进行1次保密检查;检查是否真实有故,是否查出了普遍存在的问题;对检查出的隐患和问题是否整改落实。
1.5、涉密人员责任 (6分)
项目细则
操作方法
支撑文件
备注
涉密人员履行职责(6分)
33.对本职岗位保密职责不清楚的,扣1分;
34.对本职岗位业务工作中的保密事项不清楚 的,扣1分;
35.对保密知识、技能和要求掌握不够的,扣 1分;
36.未履行本职岗位保密职责的,扣1分;
37.未及吋报告泄密隐患、制止违法违规行为 的,扣2分。
a)通过谈话,了解涉密人员对其岗位中的保密职责和保密事项是否清楚;
b)谈话了解学习内容和掌握党和国家有关保密工作政策法规、上级规定、本单位制度以及对本职岗位保密职责是否清晰等情况,查看涉密人员保密知识、 技能和要求的学习记录;
c)通过提问,了解涉密人员对本职岗位各项保密审批程序、载体管理及计算机信息系统的有关要求是否熟悉清楚。
2、归口管理 (6分)
项目细则
操作方法
支撑文件
备注
38.未根据业务工作实际,明确定密、涉密人员、信息化、新闻宣传、外事等归口管理部门的,扣10分;
39.未明确归口管理部门职责的,扣3分;
40.归口管部门未履行职责的,扣3分。
a)通过查看基本制度和业务流程,了解是否结合业务工作实际,在部门职能划分上明确了定密、涉密人 员、信息化、新闻宣传、外事等归口管理部门和其管理职责;
b)通过谈话,了解归口管理部门负责人及管理人员掌 握管理职责情况;
c)查归口部门年度工作计划、总结、业务制度及有关审查审核记录,看是否将保密管理要求融入业务工作制度和流程中,是否履行了保密管理职责。
3、保密组织机构(32)分
3.1、保密委员会(保密工作领导小组)(12 分)
项目细则
操作方法
支撑文件
备注
保密委员会(保密工作领导小组)组成及其职责(4分)
41.保密委员会(或保密工作领导小组)成员组成不符合要求的,扣2 分;
42.保密委员会(或保密工作领导小组)及其成员职责和分工不够明确 的,扣2分;
a)通过查看文件,了解保密委员会机构、人员的组成 是否符合标准要求,是否有明确的职责与分工;
保密委员会(保密工作领导小组)履行职责(8分)
43年度内未召开工作例会的,扣1分;
44.保密委员会成员未按分工履行职责的,扣 2分;
45.年度内未对保密工作进行研究和部署的, 扣2分;
46.未及时解决保密工作重大问题的,扣2分;
47.保密委员会成员年度内未向保密委员会报 告履职情况的,扣2分。
a)查看保密委员会或者保密工作领导小组会议记录, 了解参会人员范围及会议议题;了解是否实行例会制度及是否对本单位保密工作开展作出部署和总 结;是否及时研究解决本单位保密工作中的重大问题;
b)查看保密委员会签到记录及有关纪要,了解保密委 员会成贾参加保密委员会会议情况,是否按职责分工将会议精神进行了传达、执行;
c)查看保密委员会成员年度履职报告,了解保密委员 会成员按照分工履职情况;
d)查看相关资料,了解保密工作是否有年度计划和工 作总结。
3.2、保密工作机构 (20分)
项目细则
操作方法
支撑文件
备注
机构设置及履行职责(8分)
48.保密工作机构管理职责和权限不够明确的, 扣2分;
49.保密工作机构履行保密管理职责不够的, 扣2分;
50.未参与涉密业务工作制度制定,指导业务部门将保密管理要求融人业务工作流程中的,扣2分;
51.未提出保密责任追究和奖惩建议并监督落实的,扣2分。
a)查看单位文件资料、基本制度和业务制度及审查审批记 录,了解保密工作机构管理职责和权限是否明确清晰;
b)查看档案资料、业务工作制度和流程,实地检查了解保密工作机构落实国家法律法规、上级文件及执行单位保密委员会会议精神情况;如何指导业务部门将保密管理要求融入业务工作流程中情况;监督检查指导协调单位各项保密工作开展情况;对违反保密规定是否进行责任追究,对保密先进是否进行奖励;
C)查看保密工作计划和工作记录,了解保密工作机构工作开展情况。
保密工作人员配备(8分)
52.专职保密工作人员配备数量不符合标准要求的,扣10分;
53.专职保密工作人员条件不符合标准要求或者未做到专职专用的,扣4分;
54.专职保密工作人员2人(含)以上,未配备保密技术管理人员的,扣2分;
55.兼职保密工作人员未按要求配备的,扣2分
查看保密工作机构办公场所、相关文件和任职条件,了解保密工作机构人员配备数量情况是否符合要求, 是否做到专职专用;是否按要求配备了保密技术管理 人员。
保密工作人员知识技能(4分)
56.保密工作机构人员对本单位、业务工作中的保密工作重点和具体情况掌握不够的,扣 2分;
57.保密工作机构人员未经过保密知识技能培 训的,扣2分。
a)询问专职保密工作人员,了解保密管理知识掌握情况,是否掌握本单位保密工作重点情况;
b)查看专职保密工作人员是否经过相应的保密知识技能培训。
4、保密制度(20分)
项目细则
操作方法
支撑文件
备注
基本制度(12分)
58.未按要求制定的,扣4分;
59.未结合单位工作实际、操作性不强的,扣 3分;
60.不够全面、准确规范的,扣3分;
61.未及时修订完善的,扣2分。
a)查看是否按要求制定了基本制度;了解是否有漏项,具体落实保障措施如何;
b)查看基本制度,了解是否由归口管理部门结合单位工作实际和特点制定;是否流程化和表单化;是否 按照国家法律法规及上级有关要求,全面准确规范制定,并及时修订完善。
专项制度(5分)
62.未按要求制定的,扣2分;
63.职责分工不明确的,扣1分;
64.未结合专项任务特点规定具体管理措施的, 扣2分。
a)查看专项工程(重要武器装备工程或项目)、外场试 验活动,是否制定专项制度;
b)查看专项制度,了解是否按照专项任务的特点和要 求,明确任务密级和保密管理职责;是否有保密方案和具体实施的情况。
业务制度(3分)
66.未将保密管理要求融入业务工作制度中的, 扣3分。
查看业务工作制度是否融入保密管理要求,并进行流 程化和表单化管理。
5、保密管理(353)分
5.1、定密管理(20分)
项目细则
操作方法
支撑文件
备注
66.未按定密权限依法开展定密工作的,扣 4分;
67.未明确定密工作流程的,扣2分;
68.未制定国家秘密事项范围细目并及时调整 的,扣3分;
69.未按规定指定定密责任人的,扣2分;
70.定密责任人未经过培训的,扣2分;
71.定密程序不符合要求的,扣3分;
72.密级、保密期限和知悉范围确定不够准确 的,扣2分;
73.未开展变更密级或者解密工作的,扣2分。
a)查看定密授权文件,了解是否被授予定密权限;查 看定密工作流程及有关记录,了解单位按照定密权限依法开展定密工作情兄;
b)查看资料,了解是否制定本单位《国家秘密事项范围细目》,定密依据是否正确,并根据工作实际及时调整;
C)查看单位指定定密责任人文件,是否符合任职条件, 是否报国家国防科技工业局和军工集团公司备案;
d)查看定密责任人是否经过保密知识技能培训;
e)抽查部分涉密部门产生的涉密载体,检查定密程序 和责任人是否符合要求;检查密级、保密期限确定、 知悉范围是否准确,知悉范围是否最小化;
f)抽查涉密载体,检查国家秘密标志是否标注规范;
g)查阅文件资料,了解单位是否及时开展密级变更或者解密工作;
h)通过与定密责任人谈话,了解定密责任人季度内是否组织了定密检查,年度内是否进行了定密情况统 计,是否报保密工作机构备案。
5.2、涉密人员管理(50分)
项目细则
操作方法
支撑文件
备注
上岗管理(14分)
74.未准确界定涉密岗位密级的,扣4分;
75.未准确界定涉密人员密级并及时调整的, 扣4分;
76.未对进人涉密岗位的人员进行审查和定期 复审的,扣4分;
77.未对进人涉密岗位的人员进行岗前保密教 育培训、签订保密承诺书的,扣2分。
a)查看归口管理部门工作制度和档案等资料,并与部门负责人谈话,了解是否对涉密岗位进行了界定, 并检查涉密岗位、人员界定是否准确;
b)检查进入涉密岗位的涉密人员是否进行了审查,审查内容是否符合有关规定要求;
C)查看岗前保密教育培训记录、了解教育培训内容及 学时是否符合要求;查看保密承诺书,了解涉密人 员是否按规定签订;保密承诺书内容是否明确应履行的责任义务和享有的权利情况。
在岗管理(30分)
78.年度内涉密人员在岗保密教育和培训未满 15学时的,扣2分;
79.未对涉密人员进行年度考核的,扣3分;
80.涉密人员严重违反保密制度或者不符合基本条件,未及时调整的,扣5分;
81.未根据涉密人员密级给予相应保密补贴的, 扣4分;
82.未将涉密人员在公安机关出入境管理机构备案的,扣4分;
83.出入境证件未统一管理的,扣2分;
84.出国(境)未按要求审批的,扣4分;
85.出国(境)未按要求执行提醒或者回访制度的,扣2分;
86.现场审查保密知识考试良好率未达到80% 的,扣4分。
a)查看涉密人员个人保密教育记录、签到表及学时统 计是否达到15学时;重点检查单位负责人、部门 负责人、高技术人才、项目负责人等涉密人员是否 按时参加教育培训,培训学时是否达标;涉密人员 未按时参加培训人员年度内是否进行了补课;
b)通过抽取涉密人员进行保密知识考试以及实地检查、询问等,了解涉密人员掌握保密基本知识情况;
C)查看单位是否对涉密人员进行年度考核;查看保密 补贴发放表和奖惩情况,了解保密补贴是否如实发放;补贴发放以及保密奖惩是否与考核挂钩;
d)查看涉密人员等级变更表和奖惩记录及年度考核,查看严重违反保密制度或者不符合基本条件的涉密人员,是否根据情况及时调整涉密人员等级;
e)查看有关材料,了解单位是否将涉密人员名单在公 安机关出入境管理机构登记备案;
f)检查涉密人员因私出国(境)证件是否按时收交,并 建立台账统一管理;
g)查看因私出国(境)审批表,了解涉密人员因私出国 (境)审批情况和保密提醒、回访制度落实情况。
离岗管理(6分)
87.离岗离职涉密人员未及时清退涉密载体、 涉密信息设备、涉密存储设备和密品的, 扣3分。
88.离职离岗涉密人员未签订保密承诺书,实行脱密期管理的,扣3分。
a)查看制度和涉密载体登记记录,了解单位是否对脱离涉密岗位、内部调岗和涉密等级调整人员的涉密载体移交作出规定,并对移交涉密载体情况作出记录;
b)查看涉密人员离岗审查表,了解脱离涉密岗位和内 部调岗的涉密人員是否实行脱密期管理并签订保密 承诺书,以及脱密期管理具体情况的记录。
5.3、涉密载体管理(45分)
项目细则
操作方法
支撑文件
备注
89.未建立涉密载体台账或者台账与实际不符、 保存期限不足3年的,扣4分;
90.涉密载体未正确标注密级和保密期限的, 扣2分;
91.涉密载体未按规定制作的,扣3分;
92.涉密载体未按规定收发的,扣2分;
93.涉密载体未按规定传递的,扣2分;
94.涉密载体未按规定借阅的,扣2分;
95.涉密载体未按规定使用的,扣2分;
96.涉密载体未按规定复制的,发现一份扣2 分,最高扣6分;
97.涉密载体未按规定保存的,发现一份扣2 分,最高扣6分;
98.涉密载体未按规定销毁的,扣3分;
99.记录涉密事项未使用保密本的,扣3分;
100.未严格控制国家秘密知悉范围的,发现一 份扣2分,最高扣6分;
101.持有涉密载体或者知悉国家秘密未履行审 批程序的,发现一份扣1分,最高扣4分。
a)查看近3年部门、个人涉密栽体台账,了解台账要 素及登记记录是否齐全,手续是否清楚,账物是否相符;
b)抽查单位制作的涉密文件、资料,是否按规定标明 密级和保密期限;抽查电子文档和未定稿的涉密过 程文件是否标密,标志是否正确;
c)审查国家秘密载体制作、收发、传递、复制、借阅、使用、销毁等环节审批、登记记录,是否审批权限准确,登记事项要素齐全;
d)审查国家秘密载体保存是否符合规定要求;
e)查看涉密人员保密记录本,了解记载涉密事项是否 使用专用保密本;
f)检查机要室、档案室(馆)、部门等内设机构,了解 单位对接触、知悉和持有涉密载体的人员是否履行审批手续,审批手续是否确定了知悉范围,并进行了有效控制。
5.4、密品管理(20分)
项目细则
操作方法
支撑文件
备注
102.未建立密品台账或者台账与实际不符的, 扣4分;
103.未准确确定密品的密级、保密期限和接触 范围的,扣2分;
104.密品未按规定标注密级的,扣2分;
105.对外形和构造容易暴露国家秘密信息的密 品未采取遮挡或者保护性措施的,扣2分;
106.密品未按规定存放的,扣2分;
107.重要密品运输未制定安全保密方案,落实安全保密措施,并进行记录的,扣3分;
108.密品交接未履行签收手续的,扣3分;
109.密品维修、销毁未经审批或者未采取安全保密措施的,扣2分。
a)查看部门及保管人员是否建立密品台账,了解台账 要素及登记记录是否齐全,手续是否清楚,账物是否相符;
b)抽查密品定密是否准确;是否按规定标明密级和保 密期限;是否确定接触范围;对接触人员是否进行 文字记载;
C)查看密品研制、生产、存放部位,了解保密技术防 护措施是否符合保密规定;对外形和构造容易暴露 国家秘密信息的密品是否采取了遮挡、管理和技术性保护措施;
d)检查业务部门档案,了解密品运输是否有安全保密 工作方案,全程落实保密措施记录情况。
5.5、保密要害部门部位管理(24分)
项目细则
操作方法
支撑文件
备注
110.未按规定确定保密要害部门部位,或者确定不准确的,扣3分;
111.保密要害部门未实行区域隔离,或者保密要害部位未实施物理防护的,扣2分;
112.未按规定采取出入口控制、人侵报警、视频监控等技防措施的,扣4分;
113.出入口控制、入侵报警、视频监控等技防设施不能正常工作的,扣3分;
114.非授权人员进入保密要害部门部位未经批准登记并采取监督管理措施的,扣3分;
115.未经批准,带入具有无线通信、拍摄、录音等功能的电子设备的,扣2分;
116.将手机带入保密要害部门部位的,扣2分;
117.未对进入的工勤服务人员采取管理措施的,扣2分;
118.涉及保密要害部门部位的工程建设项目不符合安全保密要求或者保密防护措施未经保密工作机构审核的,扣3分。
a)看单位文件、资料,了解保密要害部门部位界定
是否符合标准,确定是否准确,是否履行审批手续;
b)实地检查,了解保密要害部门区域隔离情兄;
c)检查保密要害部门部位集中的安全控制区域、外周界、电子门禁系统、入侵报警装置和视频监控技防设施设备是否符合防范要求并正常工作。
e)查看记录,了解进入保密要害部位的非授权人员是否经过审批,作出记载,并采取了相应的控制措施;
f)查看记录,了解对进入保密要害部位的安全值班、 工勤服务人员杨文是否进行了审查,履行了审批手续, 并签订有保密承诺书;
g)调取监控、现场检查或者查看有关记录,了解使用或者存放的带有存储、拍摄、录音等功能的电子设备是否经过审批;
h)调取监控、现场检查,是否有带入并使用手机等具有无限通信功能设备情况;
i) 查看涉及保密要害部门部位的新建、扩建、改建工程档案,了解在立项、验收等环节是否经过单位保密工作机构组织的审核;
j) 查看保密要害部门部位安防监控等技术防护措施是否选择具有涉密安防监控资质单位承建。
5.6、信息系统、信息设备和存储设备管理(140分)
5.6.1、重点项目(扣分项)
项目细则
操作方法
支撑文件
备注
119.涉密信息系统通过系统测评但未提交涉密网络运行许可申请,或者已获得运行许可但未按要求进行风险评估的,扣20分;
a)查验是否按照系统测评(风险评估)报告的要求,对 存在问题和隐患进行全面整改;
b)查验按照系统测评(风险评估)报告的要求整改后,是否及时(一般应当在1个月内)向国家保密行政管理部门申请《涉及国家秘密的信息系统使用许可证》;
C)查验涉密信息系统获得使用许可证,投入涉密运行 后,是否按照保密要求,每两年进行一次风险评估。 应当至少提前3个月向国家保密行政管理部门或者 上级主管部门提交风险评估申请,并进行风险评估;
d)如果已经提交风险评估申请,尚未进行风险评估的, 验证未进行评估的原因,若属于测评机枸和审批部门的原因,不扣分。
120.使用不与互联网及其他公共信息网络连接的内部非涉密信息系统、非涉密信息设备和非涉密存储设备存储、处理、传输涉密信息的,扣10分;
a)查验内部非涉密计算机等信息设备、涉密信息系统非涉密安全域中的非涉密服务器、非涉密用户终端 等信息设备以及非涉密存储设备,是否存储或者处 理过涉密信息;
b)查验是否存在无密级标志,但是与涉密计算机、涉密信息系统中涉密服务器和涉密用户终端中涉密文件主要内容相一致的涉密信息;
C)采用符合国家保密要求的技术手段,对内部非涉密计算机、涉密信息系统非涉密安全域中非涉密服务器、非涉密用户终端和非涉密外设进行抽查;也可 以采用数据检索和数据恢复等技术,查验是否存在存储或处理涉密信息的痕迹;
d)如果存在存储或者处理过涉密信息的内部非涉密计算机、非涉密用户终端等信息设备和存储设备,该设备连接或者接入过互联网或者其他公共信息网 络,应当终止审查。
121.修改、删除涉密计算机保密技术防护专用系统的监控程序报警回联地址的, 扣10分;
a)查验涉密计算机保密技术防护专用系统的监控程序 报警回联地址,是否设定为国家保密行政管理部门 规定的地址;
b)查验涉密信息系统和涉密信息设备开机后,违规外 联监控程序是否处于工作状态,报警回联地址的状态是否有效;
C)如果发现报警回联地址改变,应当查清改变的原因和操作动机,查清后报告国家保密行政管理部门。
122.擅自访问、下载、存储、传输知悉范围以 外的国家秘密的,扣10分;
a)查验涉密计算机、涉密信息系统的服务器和用户终端,以及涉密存储设备中,是否存在责任人知悉范围以外的国家秘密信息(记录或痕迹);
b)如果存在,应当同时查验信息来源以及信息导入使用的存储设备和导入程序是否符合要求;
c)如果经过业务主管部门和保密工作机构批准和授 权,访问、下载、存储、传输知悉范围以外的国家 秘密的,应当查验审批程序是否合规,审批单以及 相关记录是否真实完整。
123.擅自扫描或者检测涉密信息系统的网络基础设施、安全保密产品以及应用系统的, 扣10分;
a)查验涉密信息系统服务器、用户终端和涉密计算 机,是否具有(或者接入过)扫描或者检测网络基 础设施、安全保密产品以及应用系统的工具(软件 或者硬件);
b)查验是否存在使用过扫描或者检测工具的记录或痕迹;
C)如果经过授权(涉密信息系统的运行维护人员和测评机构的人员可以被授权),查验审批程序是否合规,扫描或者检测工具的安装(接入)是否符合 要求,审批单以及相关记录是否真实完整;
d)如果安装使用的安全保密产品、病毒和恶意代码 防护等工具,自身带有扫描或者检测涉密信息系统的网络基础设施、安全保密产品以及应用系统功能 的,查验是否已经禁止使用相应的功能。
124.故意隐藏涉密信息设备和涉密存储设备, 规避检査的,扣10分;
a)查验台账上的涉密信息设备和涉密存储设备是否正 常管理和使用;
b)查验是否存在未列入台账,也未纳入单位正常管理 范围,明显规避检查的涉密信息设备和涉密存储设备(可以追溯涉密文件和信息的产生来源,查验是在什么信息设备上处理的);
c)查验未列入台账,未纳入管理的涉密信息设备和涉 密存储设备的存放地点是否符合保密要求,是否按照保密要求存放和管理
125.测试、调试、仿真、工控、数控等专用信 息设备或者信息系统,接入涉密信息系统未制定专门的安全保密方案并报国家保密行政管理部门审查的,扣10分;
a)查验专门的安全保密方案,是否进行了风险评估, 并针对存在的风险和隐患提出安全保密要求,并符 合相关的保密法规和技术要求;
b)专门的安全保密方案,是否经过本单位(或者上级主管单位)组织的专家评审会评审通过后,报国家保密行政管理部门审查;
c)查验国家保密行政管理部门审查安全保密方案的相 关审查意见,判定建设使用单位是否按照审查意见对方案进行了修改完善;
d)查验实施过程和设备现场,是否与通过审查的安全 保密方案相一致。
126.涉密信息系统采用虚拟化技术,未制定专门的安全保密方案并报国家保密行政管理部门审查的,扣10分;
a)查验专门的安全保密方案,是否针对存在的风险和隐患 提出安全保密要求,并符合相关的保密法规和技术要求;
b)专门的安全保密方案,是否经过本单位(或者上级 主管单位)组织的专家评审会评审通过后,报国家保密行政管理部门审查;
C)查验国家保密行政管理部门审查安全保密方案的相 关审查意见,判定建设使用单位是否按照审查意见对方案进行了修改完善;
d)查验实施过程和设备现场,是否与通过审查的安全 保密方案相一致。
127.用无线方式接人涉密信息系统或者涉密计算机,未采用国家保密行政管理部门和国家密码管理部门检测合格的安全保密设 施设备和密码设备,未制定专门的安全保密方案并报国家保密行政管理部门审查的,扣10分;
a)查验是否科研生产工作必须采用无线接入方式;
b)查验专门的安全保密方案,是否针对存在的风险和 隐患提出安全保密要求,并符合相关的保密法规和 技术要求;
C)专门的安全保密方案,是否经过本单位(或者上级 主管单位)组织的专家评审会评审通过后,报国家 保密行政管理部门审查,建设使用单位是否按照审 查意见对方案进行了修改完善;
d)查验是否采用国家保密行政管理部门或者国家密码管理部 门检测合格、符合要求的安全深密设施设备和密码设备;
e)查验采用的无线发射设备,验证发射距离是否符合 安全要求;
f)查验实施过程和设备现场,是否与安全保密方案的 要求相一致。
128.委托系统内无相应资质单位承担涉密信息系统运行维护的,扣10分;
a)查验被委托承担涉密信息系统运行维护的机构(单 位)是否为本军工系统(同一法人或老同一上级法 人)单位(一级保密资格单位仅允许委托本集团公 司的单位承担运行维护工作);
b)单位信息化管理部门是否与被委托承担运行维护的 机构(单位)签订运行维护合同和保密协议;
C)如果委托非本军工系统内部单位,查殓是否具有国 家保密行政管理部门颁发的涉密信息系统集成资质中的运行维护资质,且资质在有效期内。
129.未经审批更换涉密服务器、涉密计算机硬 盘,重装操作系统;或者现场审査前6个月内更换(
展开阅读全文