軍工保密認證資格審查要求
一、 申請保密資格的單位應具備申請條件。
申請保密資格的單位應當具備以下基本條件:
(一) 中華人民共和國境內登記注冊的事業(yè)單位法人;
(二) 承擔或擬承擔武器裝備科研生產的項目或產品涉密;
(三) 無外商(含港澳臺)投資和雇傭外籍人員,國家有特殊規(guī)定的除外
(四) 承擔涉密武器裝備科研生產任務的人員,應當具有中華人民共和國國籍,在中華人民共和國境內居住,與境外人員(含港澳臺)無婚姻關系;
(五) 有固定的科研生產和辦公場所,并符合國家有關安全保密要求;
(六) 1年內未發(fā)生泄密事件;
(七) 無非法獲取、持有國家秘密以及其他嚴重違法行為。
二、 具備申請條件的單位應提交相應材料。
申請保密資格的單位應當提供以下材料:
(一) 《申請書》;
(二) 組織機構代碼證書(復印件);
(三) 上一年度財務驗資報告;
(四) 國家軍工保密資格認證委要求提供的其他材料。
三、 在提交相應材料后進行審查與批準(書面審查和現場審查)。
《武器裝備科研生產單位一級保密資格評分標準》操作方法(即現場審查):
(一) 保密責任
(1) 法定代表人、分管保密工作負責人及其他責任人對相關保密制度、應承擔的保密責任、單位保密重點難點熟悉。
(2) 在上級相關文件和指示、會議講話、工作計劃、工作總結等單位年度工作要點上有保密工作內容。單位人事任命文件、人員工資發(fā)放表或會議紀要要體現保密工作機構設置、專職保密工作人員的配備情況以及保密條件保障落實情況。
(3) 保密責任制考核獎懲的相關材料。
(4) 涉密部門負責人的會議記錄、保密教育記錄、教育大綱、人員簽到表、考試卷筆記及自查表。
(二) 保密組織機構
(1) 保密委員會成單獨設立有管理職能以及人員符合要求并有明確的職責與分工。
(2) 保密委員會小組人員培訓證書、有關保密工作開展的部署和總結的會議記錄、年度計劃和工作總結。
(三) 保密制度
(1) 保密基本制度健全無漏項,要害部門、部位界定履行審批手續(xù)符合標準,二級制度結合業(yè)務實際制定。
(2) 專項工程外場試驗活動有保密方案和具體實施情況。
(3) 涉密部門人員述職單位的基本制度和本部門的二級制度的基本要求。
(四) 保密監(jiān)督管理
(1) 定密小組的文件和會議紀要。
(2) 有正確定密依據的本單位《國家秘密事項范圍目錄》或《涉密事項一覽表》。
(3) 涉密人員保密教育培訓記錄和保密責任書。
(4) 保密補貼發(fā)放表。
(5) 涉密人員登記變更表。
(6) 涉密人員因私出境審批表。
(7) 涉密人員名單在公安機關出入境管理機構登記備案的相關材料。
(8) 涉密載體登記記錄。
(9) 涉密人員離崗審查表。
(10) 涉密載體臺賬登記、手續(xù)及帳物相符。
(11) 有按規(guī)定表明密級和保密期限的涉密文件資料。
(12) 涉密部門電子文檔和未定稿的涉密過程文件標密并標識正確。
(13) 涉密文件資料的文檔的收發(fā)登記本。
(14) 存放符合要求的涉密移動存儲介質。
(15) 涉密人員的專用保密本。
(16) 要害部門安全值班、工勤服務人員審查審批手續(xù)和保密承諾書的記錄,及外來人員的審批記載。
(17) 要害部門、部位的新建、擴建、改建工程檔案。
(18) 涉密信息系統(tǒng)的《涉及國家秘密的信息系統(tǒng)使用許可證》。
(19) 單臺涉密計算機的聯(lián)網或互聯(lián)記錄。
(20) 涉密計算機操作系統(tǒng)安裝和日志記錄刪除的審批記錄。
(21) 定期核對單位總臺賬和部門分臺賬的記錄。
(22) 維修、報廢申請單和相關記錄。
(23) 信息設備和存儲介質的標識符合要求。
(24) 涉密計算機和信息系統(tǒng)服務器、用戶終端和外部設備中存儲涉密信息標識齊備。
(25) 最新情況的文檔化策略文件。
(26) 安全保密審計報告。
(27) 風險評估報告和記錄及補救措施。
(28) 涉密計算機和信息系統(tǒng)終端用戶處和儲存信息的密級、密級標識相一致。
(29) 安全保密產品正確安裝和配置工作正常,功能與保護要求一致,并根據信息系統(tǒng)的變更及時調整策略或升級更新安全保密防護產品。
(30) 涉密計算機用戶權限設置和硬盤分區(qū)符合要求,用戶身份標識符合唯一性。
(31) BIOS、操作系統(tǒng)、應用系統(tǒng)和空閑操作查實用戶身份鑒別的設置符合規(guī)范,鑒別失敗后的記錄和處理符合保密要求。
(32) 訪問控制策略、細粒度、控制列表有效,高密級信息能夠流向低等級的安全域、用戶端或信息設備。
(33) 定期進行計算機病毒與惡意代碼樣本庫的更新并及時查殺計算機病毒與惡意代碼。
(34) 涉密計算機和信息系統(tǒng)服務器、用戶終端不應存在未查殺的、不能被清除的計算機病毒與惡意代碼,若有應存在記錄和上報記錄。
(35) 中間計算機采用同涉密計算機與信息系統(tǒng)的計算機病毒與惡意代碼查殺工具。
(36) 涉密計算機系統(tǒng)補丁的下載、分發(fā)與安裝過程和日志記錄,操作系統(tǒng)、數據庫和應用系統(tǒng)中不存在中、高風險的漏洞;不存在不受控制或違規(guī)安裝的信息輸出點。
(37) 涉密計算機的信息系統(tǒng)的服務器、用戶終端的軟硬件的安裝情況和審批記錄。
(38) 涉密計算機和信息系統(tǒng)用戶終端上不存在無線聯(lián)網功能模塊,無連接或使用無線功能外部設備的記錄。
(39) 涉密便攜式計算機內涉密信息的存儲情況和審批記錄。
(40) 絕密級計算機的屋里環(huán)境符合要求。
(41) 絕密級計算機和存儲介質的密碼保護措施符合國家有關規(guī)定,需不需存儲和傳輸有密碼保護措施。
(42) 移動存儲結實的綁定措施有效,使用范圍符合國家秘密的知悉范圍。
(43) 涉密計算機和信息系統(tǒng)中使用的存儲介質有標識,涉密信息的密級與其他標識相符。
(44) 用于信息交換的設備和記錄符合有關保密規(guī)定。
(45) 電磁泄漏發(fā)射檢測報告或涉密信息系統(tǒng)測評報告采取保護措施。
(46) 涉密信息設備和傳輸路線滿足紅黑隔離要求。
(47) 涉密信息設備的電源濾波防護措施配置和使用符合保密要求。
(48) 有明確專供外出攜帶并專人管理的計算機和存儲介質,審批單項目齊全,流程符合要求,帶回后有保密檢查記錄。
(49) 安全保密人員有培訓證書,滿足上崗要求,明確崗位職責并實現互相獨立互相監(jiān)督,工作記錄符合崗位職責,涉密等級符合要求。
(50) 國際互聯(lián)網計算機安全控制措施有效,要有信息發(fā)布保密審查記錄。
(51) 涉密辦公自動化設備符合國家保密要求的技術手段,并沒有打印、復印、傳真等多功能的一體機與普通電話線連接,非涉密辦公自動化設備不處理涉密信息。
(52) 不催在無線通信的基站、天線、無線發(fā)射裝置等,保密要害部門、部位不適用無線通信設備。
(53) 辦公自動化設備臺賬的項目與實物對照相同,并有制定專人進行管理,維修和報廢處理符合規(guī)定。
(54) 宣傳報道、舉辦展覽、發(fā)表的著作和論文等經過保密審查,展品制作過程中采取了嚴格控制措施,參觀展室、密品采取保密措施,參觀人員履行了審批登記手續(xù)并有審查審批記錄。
(55) 重大(機密級以上)涉密會議在內部場所召開并審批應在涉密會議審批表中有注明記錄,且其保密工作方案的內容符合要求以及實施的可操作性,保密工作機構也對此進行了監(jiān)督檢查并有記錄,有涉密會議簽到表以明確人員身份確認,會議文件資料發(fā)放、清退和銷毀的登記。
(56) 外場試驗有專項保密工作方案或現場管理措施,有外場試驗檔案及工作記錄,包括涉密載體發(fā)放、借閱、清退、銷毀及通信管理均符合要求,外場試驗使用的涉密計算機和涉密存儲介質的保密檢查記錄。
(57) 涉密協(xié)作配套單位有相應的保密資格,協(xié)作配套任務合同書中有保密條款,重大項目簽訂的保密協(xié)議,以及業(yè)務部門對其協(xié)議執(zhí)行情況的監(jiān)督管理記錄。
(58) 對外交流、合作和談判等活動的審查審批記錄、保密提醒記錄及重要涉外談判時保密工作機構的現場監(jiān)督記錄。
(59) 保密工作機構和涉密部門組織檢查的記錄,并有發(fā)現問題后提出的書面整改要求及反饋。
(60) 保密自查表。
(61) 表彰或追究保密工作先進集體和個人的文件。
(62) 單位保密工作檔案。
(63) 涉密部門工作記錄。
(五) 保密條件保障
(1) 把保密管理經費列入年度財務預算的單位財務預算文件。
(2) 保密管理工作經費支出憑證。
(3) 轉向經費支出憑證。