2017年新版二级保密资格评分标准具体操作方法.doc-道客多多

资源描述

1、武器装备科研生产单位二级保密资格评分标准具体操作方法重要说明1、二级保密资格评分标准项目总分值设定为 500 分（不含重点检查项），达到 450 分（含）以上为符合标准，以下为不符合标准。2、评分标准共设置 6 个基本项，达不到基本项要求的，中止审查或者复查。3、评分标准第 38、52、119129 项为重点检查项。4、被审查单位没有的项目不扣分，分值计入单位总得分。基本项（共计 6 项）基本项操作方法支撑文件备注存在下列情况之一的，中止审查或者复查。1、保密工作机构设置不符合标准要求的查看单位会议记录、红头文件、审查审批记录、组织机构图，以及通过谈话等方式，了解保密工作

2、机构是否按要求单独设置，与其他内设二级机构平行，并独立行使管理职能。2、涉密信息设备和涉密存储设备接入互联网及其他公共信息网络，或者未采取防护措施与互联网及其他公共信息网络之间进行信息交換，可能造成涉密信息失控的a)查验涉密信息设备、涉密存储设备，是否存在接入互联网及其他公共信息网络的记录或者痕迹，并判定接入时间是否为该计算机定密（涉密）以后；b)查验涉密信息系统、涉密信息设备和涉密存储设备与互联网及其他公共信息网络之间进行信息交换时，采取的防护措施(如导入时采用单向导入盒、非涉密中间机，导出时采用刻录一次性非涉密光盘，并通过监控审计系统实施监督检查），是否能够控制涉密信

3、息泄露，是否能够防止因技术原因产生的泄密隐患；C)查验移动存储设备是否在涉密信息设备与互联网及其他公共信息网络之间交叉使用（记录或者痕迹)；d)可以采用数字取证或者信息恢复技术，对涉密信息设备、涉密存储设备违规外联痕迹进行技术检查和判定。3、在互联网及其他公共信息网络，或者在未采取保密措施的有线或者无线通讯中存储、处理、传递国家秘密的a)查验互联网计算机及其他公共信息网络设备、非涉密通信设备，是否存在涉密信息（无论是否有涉密标志）存储、处理、传输的记录或者痕迹，是否接入或者使用过涉密移动存储设备；b)查验涉密信息设备或者涉密存储设备上是否具有无线通信功能，或者是否外接过具有无线通信

4、功能的设备（部件)，如果单位周界以内存在无线通信的基站、中继站、无线发射装置，或者无线发射增强装置等，应当验证与涉密信息设备产生交叉耦合调制发射的可能性；C)查验保密要害部门部位内部是否使用无线通信设备或者无线控制设备，如果使用，且未履行审批程序，也未采取安全保密措施，则应当终止；d)查验采取的保密措施是否符合国家相关要求。4、未按保密要求进行安全技术处理，将退出使用的涉密信息设备、涉密信息存储设备赠送、出售、丢弃或者改为他用，可能造成涉密信息失控的a)查验退出使用的涉密信息设备、涉密存储设备的审批程序是否合规，审批单以及相关记录是否真实完整；b)查验退出使用的涉密信息设备是否拆除

5、了存储过涉密信息的硬件和固件，或者采用符合国家保密要求的消磁、清除等工具对涉密信息进行了处理；C)如果存在赠送、出售、丢弃或改为他用的涉密信息设备和涉密存储设备，查验清单以及相关的审批程序，判定是否进行迚符合国家保密要求的安全技术处理，是否能够确保国家秘密信息不被恢复和获取； d)查验涉密信息设备、涉密存储设备的最终去向。5、涉密信息系统未通过国家保密行政管理部门设立或者授权测评机构的系统测评并存储处理涉密信息的a)查验国家保密行政管理部门设立或者授权的测评机构的系统测评报告，是否经过涉密信息系统测评总中心认可并签字盖章；b)查验系统测评申请书的申请范围和内容，以及系统测评机构确定

6、的范围和内容是否与涉密信息系统（网络）的实际情况一致；c)查验单位全部涉密信息系统的使用情况，判定在系统则评通过前（具有总中心签字盖章的测评报告可确定为通过)，是否存储或者处理过涉密信息；d)在涉密信息系统建设方案中，已经明确的利旧设备（如原来使用的单台涉密计算机作为涉密信息系统的用户终端)，如果存储或者处理过涉密信息，在系统测评通过前，不应当接入涉密信息系统；e)属于扣分情形的，不作为终止内容。6、选择的涉密协作查验单位协作配套任务或项目合同，对属于涉密的任务，是否选择相配套单位不具备相应保密资格的应的具备相关保密资质单位承担。评分标准操作办法（共计 6 大项、243 小项）

7、1、保密责任（45 分）1.1、法定代表人或者主要负责人责任（13 分）项目细则操作方法支撑文件备注保证党和国家有关保密工作方针政策和法律法规贯彻执行（7 分）1.年度内未对贯彻落实党和国家保密工作的方针、政策和法律法规提出明确要求的，扣 2 分；2.未将保密管理纳入单位管理体系的，扣2 分;3.未将保密责任纳入绩效考核的，扣 2 分；4.年度内未对保密工作责任制落实情况进行监督考核的，扣 1 分。a)通过谈话，了解对保密法保密法实施条例和办法标准及单位相关保密制度熟悉情况；对自己应当承担的保密责任知悉情况；对本单位保密工作的基本情况和保密工作中的重点、难点知悉情况；b)查看单位

8、年度工作要点有无保密工作内容，在上级相关文件和指示、会议讲话、工作计划、工作总结等有无具体落实的批示、要求和参加单位保密学习培训情况；c)查看单位管理体系是否纳入保密管理；d)查看单位绩效考核标准有无保密责任考核项；e)查看保密工作责任制考核奖惩的相关材料，了解责任制落实情况。为保密工作提供支持和保障（6 分）5.对本单位保密工作整体情况掌握不够的，扣 2 分；6.未及时研究解决保密工作重大问题的，扣 1 分；7.未按要求在人力、财力、物力上为保密工作提供条件保障的，扣 3 分。查看单位人事任命文件或者相关会议纪要，了解保密工作机构设置、专职保密工作人员配备情况；根据年度预算、保密技防

9、建设方案等，现场检查保密条件保障落实情况，了解单位对保密工作人力、物力和财力提供支持保障情况。1.2、分管保密工作负责人责任（ 8 分）项目细则操作方法支撑文件备注研究部署保密工作（4 分）8.对本单位保密工作全面情况掌握不够的，扣 2 分；a)通过谈话，了解是否全面掌握本单位的保密工作情况；是否知悉单位保密工作中的难点、重点，采取了哪些组织协调落实措施；9.未对落实保密工作提出明确意见和要求的，扣 1 分；10.未及时组织研究保密工作中的重点、难点问题的，扣 1 分。b)查看工作计划、总结、会议纪要、审查审批事项文字记录等，了解对保密工作作了哪些具体的批示和要求。监督检查

10、保密工作落实情况（4 分）11.年度内未组织检查单位和部门负责人保密工作的，扣 1 分；12.未对不履行保密责任的人员进行责任追究的，扣 1 分；13.对保密工作落实情况监督不够的，扣1 分；14.对保密工作机构履行职责支持帮助和监督指导不够的，扣 1 分。a)查看检查记录，了解是否每年组织对单位和部门负责人保密工作进行检查，是否及时研究和解决发现的问题；b)查看有关记录，了解是否及时协调解决保密工作机构在履行职责中存在的问题，是否定期听取工作汇报；C)查看有关记录，了解是否对不履行保密责任的人员进行了追究或处罚；d)查看有关记录，包括保密工作机构的年度工作计划、请示性文件、规划性

11、文件，了解是否支持帮助和监督指导。1.3、其他负责人责任（8 分）项目细则操作方法支撑文件备注研究落实分管业务范围内的保密工作（4分）15.未组织将保密管理要求融入分管业务工作制度和流程中的，扣 1 分；16.对分管业务范围内的保密工作职责不清楚的，扣 1 分；17.未及时研究解决分管业务范围内的保密工作直点、难点冋题的，扣 1 分；18.未在分管业务工作中按照工作需要严格控制国家秘密知悉范围的，扣 1 分。a)通过谈话、查阅档案和有关业务管理制度、工作流程等，了解业务工作是否融入了保密管理要求；怎样做到保密工作与业务工作相融合以及采取了哪些措施；b)通过相关文字记录，查看是否

12、及时解决本单位保密工作中的重点、难点问题；C)通过谈话和实地询问相关业务部门，了解对分管业务中的涉密事项是否清楚；是否限定了范围，确定了知悉人员。监督检查保密工作落实情况（4 分）19.未组织对分管业务工作中的保密工作落实情况进行监督检查的，扣 1 分；20.未组织对分管业务工作中存在的保密管理问题督促整改的，扣 1 分；21.未对分管业务工作中的保密工作开展提供保障的，扣 1 分；22.对单位保密工作机构开展工作支持不a)通过谈话、查阅档案，了解对分管工作中的保密工作是否提供了支持和条件保障；b)查看会议记录等相关材料等，了解是否结合业务工作实际，对业务工作范围内的保密工作进

13、行了研究、部署和检查；C)查看保密检查记录，了解保密检查实效；是否对检查出的问题有书面整改要求并督促整改。够的，扣 1 分。1.4、涉密部门负责人或者涉密项目负责人责任 (10 分)项目细则操作方法支撑文件备注掌握本部门或者本项目的保密工作情况（3 分）23.对保密工作职责不清楚的，扣 1 分；24.对部门或者项目的整体保密情况掌握不够的，扣 1 分；25.对涉密人员基本情况掌握不够的，扣1 分。a)通过谈话，了解是否清楚保密工作职责；在保密工作与业务工作相结合方面采取了哪些措施；b)通过谈话，了解是否知悉本部门或者本项目涉密事项基本情况；C)通过谈话，了解部门（项目）负

14、责人是否知悉涉密人员的保密要点。采取具体措施落实保密管理要求（5 分）26.未将保密管 J 里要求融人业务工作制度中的，扣 1 分；27.对单位部署的保密工作落实不够的，扣 1 分；28.对专兼职保密工作人员工作支持不够的，扣 1 分；29.季度内未安排保密教育的，扣 1 分；30.未按照工作需要控制国家秘密的知悉范围的，扣 1 分。a)查阅有关业务资料、工作制度和管理流程，了解是否将保密要求融入业务工作制度；b)查看会议记录和保密教育记录，了解对接触涉密事项的人员是否有保密要求；C)查看教育培训大纲和人员签到表、考试试卷及笔记等，了解单位、部门对涉密人员保密教育培训情况； d

15、)通过谈话和实地询问，了解对涉密部门负责人或者涉密项目负责人业务中的涉密事项是否清楚，是否按照工作需要限定了范围，确定了知悉人员。监督检查保密工作落实情况（2 分）31.季度内未对保密措施落实情况进行检查的，扣 1 分；32.未对检查中发现的问题进行监督落实整改的，扣 1 分。查看检查记录，了解是否按规定每 3 个月进行1 次保密检查；检查是否真实有故，是否查出了普遍存在的问题；对检查出的隐患和问题是否整改落实。1.5、涉密人员责任 (6 分）项目细则操作方法支撑文件备注涉密人员履行职责（6 分）33.对本职岗位保密职责不清楚的，扣 1分；34.对本职岗位业务工作中的保密事项不清楚

16、的，扣 1 分；35.对保密知识、技能和要求掌握不够的，a)通过谈话，了解涉密人员对其岗位中的保密职责和保密事项是否清楚；b)谈话了解学习内容和掌握党和国家有关保密工作政策法规、上级规定、本单位制度以及对本职岗位保密职责是否清晰等情况，查看涉密人员保密知识、技能和要求的学习记录；扣 1 分；36.未履行本职岗位保密职责的，扣 1 分；37.未及吋报告泄密隐患、制止违法违规行为的，扣 2 分。c)通过提问，了解涉密人员对本职岗位各项保密审批程序、载体管理及计算机信息系统的有关要求是否熟悉清楚。2、归口管理 (6 分）项目细则操作方法支撑文件备注38.未根据业务工作实际，明确定

17、密、涉密人员、信息化、新闻宣传、外事等归口管理部门的，扣 10 分；39.未明确归口管理部门职责的，扣 3 分；40.归口管部门未履行职责的，扣 3 分。a)通过查看基本制度和业务流程，了解是否结合业务工作实际，在部门职能划分上明确了定密、涉密人员、信息化、新闻宣传、外事等归口管理部门和其管理职责；b)通过谈话，了解归口管理部门负责人及管理人员掌握管理职责情况；c)查归口部门年度工作计划、总结、业务制度及有关审查审核记录，看是否将保密管理要求融入业务工作制度和流程中，是否履行了保密管理职责。3、保密组织机构（32）分3.1、保密委员会（保密工作领导小组）（12 分）项目细则操作方法

18、支撑文件备注保密委员会（保密工作领导小组）组成及其职责（4 分）41.保密委员会（或保密工作领导小组）成员组成不符合要求的，扣 2 分；42.保密委员会（或保密工作领导小组）及其成员职责和分工不够明确的，扣 2 分；a)通过查看文件，了解保密委员会机构、人员的组成是否符合标准要求，是否有明确的职责与分工；保密委员会（保密工作领导小组）履行职责（8 分）43 年度内未召开工作例会的，扣 1 分；44.保密委员会成员未按分工履行职责的，扣 2 分；45.年度内未对保密工作进行研究和部署的，扣 2 分；46.未及时解决保密工作重大问题的，扣a)查看保密委员会或者保密工作领导小组会议记录，

19、了解参会人员范围及会议议题；了解是否实行例会制度及是否对本单位保密工作开展作出部署和总结；是否及时研究解决本单位保密工作中的重大问题；b)查看保密委员会签到记录及有关纪要，了解保密委员会成贾参加保密委员会会议情况，是否按职责分工将会议精神进行了传达、执行；2 分；47.保密委员会成员年度内未向保密委员会报告履职情况的，扣 2 分。c)查看保密委员会成员年度履职报告，了解保密委员会成员按照分工履职情况；d)查看相关资料，了解保密工作是否有年度计划和工作总结。3.2、保密工作机构 (20 分）项目细则操作方法支撑文件备注机构设置及履行职责（8 分）48.保密工作机构管理职责和权限

20、不够明确的，扣 2 分；49.保密工作机构履行保密管理职责不够的，扣 2 分；50.未参与涉密业务工作制度制定，指导业务部门将保密管理要求融人业务工作流程中的，扣 2 分；51.未提出保密责任追究和奖惩建议并监督落实的，扣 2 分。a)查看单位文件资料、基本制度和业务制度及审查审批记录，了解保密工作机构管理职责和权限是否明确清晰；b)查看档案资料、业务工作制度和流程，实地检查了解保密工作机构落实国家法律法规、上级文件及执行单位保密委员会会议精神情况；如何指导业务部门将保密管理要求融入业务工作流程中情况；监督检查指导协调单位各项保密工作开展情况；对违反保密规定是否进行责任追究，对保密先进

21、是否进行奖励；C)查看保密工作计划和工作记录，了解保密工作机构工作开展情况。保密工作人员配备（8 分）52.专职保密工作人员配备数量不符合标准要求的，扣 10 分；53.专职保密工作人员条件不符合标准要求或者未做到专职专用的，扣 4 分；54.专职保密工作人员 2 人(含）以上，未配备保密技术管理人员的，扣 2 分；55.兼职保密工作人员未按要求配备的，扣 2 分查看保密工作机构办公场所、相关文件和任职条件，了解保密工作机构人员配备数量情况是否符合要求，是否做到专职专用；是否按要求配备了保密技术管理人员。保密工作人员知识技能（4 分）56.保密工作机构人员对本单位、业务工作中的保密工作重点

22、和具体情况掌握不够的，扣 2 分；57.保密工作机构人员未经过保密知识技能培训的，扣 2 分。a)询问专职保密工作人员，了解保密管理知识掌握情况，是否掌握本单位保密工作重点情况；b)查看专职保密工作人员是否经过相应的保密知识技能培训。4、保密制度(20 分）项目细则操作方法支撑文件备注基本制度(12 分）58.未按要求制定的，扣 4 分；59.未结合单位工作实际、操作性不强的，扣 3 分；60.不够全面、准确规范的，扣 3 分；61.未及时修订完善的，扣 2 分。a)查看是否按要求制定了基本制度；了解是否有漏项，具体落实保障措施如何；b)查看基本制度，了解是否由归口管理部门结合单位工作

23、实际和特点制定；是否流程化和表单化；是否按照国家法律法规及上级有关要求，全面准确规范制定，并及时修订完善。专项制度(5 分）62.未按要求制定的，扣 2 分；63.职责分工不明确的，扣 1 分；64.未结合专项任务特点规定具体管理措施的，扣 2 分。a)查看专项工程（重要武器装备工程或项目）、外场试验活动，是否制定专项制度；b)查看专项制度，了解是否按照专项任务的特点和要求，明确任务密级和保密管理职责；是否有保密方案和具体实施的情况。业务制度(3 分）66.未将保密管理要求融入业务工作制度中的，扣 3 分。查看业务工作制度是否融入保密管理要求，并进行流程化和表单化管理。5、保密管理

24、（353）分5.1、定密管理（20 分）项目细则操作方法支撑文件备注66.未按定密权限依法开展定密工作的，扣 4 分；67.未明确定密工作流程的，扣 2 分；68.未制定国家秘密事项范围细目并及时调整的，扣 3 分；69.未按规定指定定密责任人的，扣 2 分；70.定密责任人未经过培训的，扣 2 分；71.定密程序不符合要求的，扣 3 分；72.密级、保密期限和知悉范围确定不够准确的，扣 2 分；73.未开展变更密级或者解密工作的，扣2 分。a)查看定密授权文件，了解是否被授予定密权限；查看定密工作流程及有关记录，了解单位按照定密权限依法开展定密工作情兄；b)查看资料，了解是否制定

25、本单位国家秘密事项范围细目，定密依据是否正确，并根据工作实际及时调整；C)查看单位指定定密责任人文件，是否符合任职条件，是否报国家国防科技工业局和军工集团公司备案；d)查看定密责任人是否经过保密知识技能培训；e)抽查部分涉密部门产生的涉密载体，检查定密程序和责任人是否符合要求；检查密级、保密期限确定、知悉范围是否准确，知悉范围是否最小化；f)抽查涉密载体，检查国家秘密标志是否标注规范；g)查阅文件资料，了解单位是否及时开展密级变更或者解密工作；h)通过与定密责任人谈话，了解定密责任人季度内是否组织了定密检查，年度内是否进行了定密情况统计，是否报保密工作机构备案。5.2、涉密人员管理（5

26、0 分）项目细则操作方法支撑文件备注上岗管理（14 分）74.未准确界定涉密岗位密级的，扣 4 分；75.未准确界定涉密人员密级并及时调整的，扣 4 分；76.未对进人涉密岗位的人员进行审查和定期复审的，扣 4 分；77.未对进人涉密岗位的人员进行岗前保密教育培训、签订保密承诺书的，扣 2分。a)查看归口管理部门工作制度和档案等资料，并与部门负责人谈话，了解是否对涉密岗位进行了界定，并检查涉密岗位、人员界定是否准确；b)检查进入涉密岗位的涉密人员是否进行了审查，审查内容是否符合有关规定要求；C)查看岗前保密教育培训记录、了解教育培训内容及学时是否符合要求；查看保密承诺书，了解

27、涉密人员是否按规定签订；保密承诺书内容是否明确应履行的责任义务和享有的权利情况。在岗管理（30 分）78.年度内涉密人员在岗保密教育和培训未满 15 学时的，扣 2 分；79.未对涉密人员进行年度考核的，扣 3分；80.涉密人员严重违反保密制度或者不符合基本条件，未及时调整的，扣 5 分；81.未根据涉密人员密级给予相应保密补贴的，扣 4 分；82.未将涉密人员在公安机关出入境管理机构备案的，扣 4 分；83.出入境证件未统一管理的，扣 2 分；84.出国(境) 未按要求审批的，扣 4 分;85.出国（境）未按要求执行提醒或者回访制度的，扣 2 分；86.现场审查保密知识考试良好率未达到8

28、0% 的，扣 4 分。a)查看涉密人员个人保密教育记录、签到表及学时统计是否达到 15 学时；重点检查单位负责人、部门负责人、高技术人才、项目负责人等涉密人员是否按时参加教育培训，培训学时是否达标；涉密人员未按时参加培训人员年度内是否进行了补课；b)通过抽取涉密人员进行保密知识考试以及实地检查、询问等，了解涉密人员掌握保密基本知识情况；C)查看单位是否对涉密人员进行年度考核；查看保密补贴发放表和奖惩情况，了解保密补贴是否如实发放；补贴发放以及保密奖惩是否与考核挂钩；d)查看涉密人员等级变更表和奖惩记录及年度考核，查看严重违反保密制度或者不符合基本条件的涉密人员，是否根据情况及时

29、调整涉密人员等级；e)查看有关材料，了解单位是否将涉密人员名单在公安机关出入境管理机构登记备案；f)检查涉密人员因私出国（境）证件是否按时收交，并建立台账统一管理；g)查看因私出国（境）审批表，了解涉密人员因私出国 (境）审批情况和保密提醒、回访制度落实情况。离岗管理（6 分）87.离岗离职涉密人员未及时清退涉密载体、涉密信息设备、涉密存储设备和密品的，扣 3 分。88.离职离岗涉密人员未签订保密承诺书，实行脱密期管理的，扣 3 分。a)查看制度和涉密载体登记记录，了解单位是否对脱离涉密岗位、内部调岗和涉密等级调整人员的涉密载体移交作出规定，并对移交涉密载体情况作出记录；b)查看涉

30、密人员离岗审查表，了解脱离涉密岗位和内部调岗的涉密人員是否实行脱密期管理并签订保密承诺书，以及脱密期管理具体情况的记录。5.3、涉密载体管理（45 分）项目细则操作方法支撑文件备注89.未建立涉密载体台账或者台账与实际不符、保存期限不足 3 年的，扣 4 分；90.涉密载体未正确标注密级和保密期限的，扣 2 分；91.涉密载体未按规定制作的，扣 3 分；92.涉密载体未按规定收发的，扣 2 分；93.涉密载体未按规定传递的，扣 2 分；94.涉密载体未按规定借阅的，扣 2 分；95.涉密载体未按规定使用的，扣 2 分；96.涉密载体未按规定复制的，发现一份扣 2 分，最高扣 6

31、分；97.涉密载体未按规定保存的，发现一份扣 2 分，最高扣 6 分；98.涉密载体未按规定销毁的，扣 3 分；99.记录涉密事项未使用保密本的，扣 3分；100.未严格控制国家秘密知悉范围的，发现一份扣 2 分，最高扣 6 分；101.持有涉密载体或者知悉国家秘密未履行审批程序的，发现一份扣 1 分，最a)查看近 3 年部门、个人涉密栽体台账，了解台账要素及登记记录是否齐全，手续是否清楚，账物是否相符；b)抽查单位制作的涉密文件、资料，是否按规定标明密级和保密期限；抽查电子文档和未定稿的涉密过程文件是否标密，标志是否正确；c)审查国家秘密载体制作、收发、传递、复制、借阅、使用、

32、销毁等环节审批、登记记录，是否审批权限准确，登记事项要素齐全；d)审查国家秘密载体保存是否符合规定要求；e)查看涉密人员保密记录本，了解记载涉密事项是否使用专用保密本；f)检查机要室、档案室(馆）、部门等内设机构，了解单位对接触、知悉和持有涉密载体的人员是否履行审批手续，审批手续是否确定了知悉范围，并进行了有效控制。高扣 4 分。5.4、密品管理（20 分）项目细则操作方法支撑文件备注102.未建立密品台账或者台账与实际不符的，扣 4 分；103.未准确确定密品的密级、保密期限和接触范围的，扣 2 分；104.密品未按规定标注密级的，扣 2 分；105.对外形和构造容易暴露国

33、家秘密信息的密品未采取遮挡或者保护性措施的，扣 2 分；106.密品未按规定存放的，扣 2 分；107.重要密品运输未制定安全保密方案，落实安全保密措施，并进行记录的，扣 3分；108.密品交接未履行签收手续的，扣 3 分；109.密品维修、销毁未经审批或者未采取安全保密措施的，扣 2 分。a)查看部门及保管人员是否建立密品台账，了解台账要素及登记记录是否齐全，手续是否清楚，账物是否相符；b)抽查密品定密是否准确；是否按规定标明密级和保密期限；是否确定接触范围；对接触人员是否进行文字记载；C)查看密品研制、生产、存放部位，了解保密技术防护措施是否符合保密规定；对外形和构造容易暴露国

34、家秘密信息的密品是否采取了遮挡、管理和技术性保护措施；d)检查业务部门档案，了解密品运输是否有安全保密工作方案，全程落实保密措施记录情况。5.5、保密要害部门部位管理（24 分）项目细则操作方法支撑文件备注110.未按规定确定保密要害部门部位，或者确定不准确的，扣 3 分；111.保密要害部门未实行区域隔离，或者保密要害部位未实施物理防护的，扣 2 分；112.未按规定采取出入口控制、人侵报警、视频监控等技防措施的，扣 4 分；113.出入口控制、入侵报警、视频监控等技防设施不能正常工作的，扣 3 分；114.非授权人员进入保密要害部门部位未经批准登记并采取监督管理措施的，扣 3 分

35、；115.未经批准，带入具有无线通信、拍摄、a）看单位文件、资料，了解保密要害部门部位界定是否符合标准，确定是否准确，是否履行审批手续；b）实地检查，了解保密要害部门区域隔离情兄；c）检查保密要害部门部位集中的安全控制区域、外周界、电子门禁系统、入侵报警装置和视频监控技防设施设备是否符合防范要求并正常工作。e）查看记录，了解进入保密要害部位的非授权人员是否经过审批，作出记载，并采取了相应的控制措施；f）查看记录，了解对进入保密要害部位的安全值录音等功能的电子设备的，扣 2 分；116.将手机带入保密要害部门部位的，扣2 分；117.未对进入的工勤服务人员采取管理措施的，扣 2

36、分；118.涉及保密要害部门部位的工程建设项目不符合安全保密要求或者保密防护措施未经保密工作机构审核的，扣 3 分。班、工勤服务人员杨文是否进行了审查，履行了审批手续，并签订有保密承诺书；g)调取监控、现场检查或者查看有关记录，了解使用或者存放的带有存储、拍摄、录音等功能的电子设备是否经过审批；h)调取监控、现场检查，是否有带入并使用手机等具有无限通信功能设备情况；i) 查看涉及保密要害部门部位的新建、扩建、改建工程档案，了解在立项、验收等环节是否经过单位保密工作机构组织的审核；j) 查看保密要害部门部位安防监控等技术防护措施是否选择具有涉密安防监控资质单位承建。5.6、信

37、息系统、信息设备和存储设备管理（140 分）5.6.1、重点项目（扣分项）项目细则操作方法支撑文件备注119.涉密信息系统通过系统测评但未提交涉密网络运行许可申请，或者已获得运行许可但未按要求进行风险评估的，扣20 分；a)查验是否按照系统测评（风险评估）报告的要求，对存在问题和隐患进行全面整改；b)查验按照系统测评(风险评估) 报告的要求整改后，是否及时(一般应当在 1 个月内）向国家保密行政管理部门申请涉及国家秘密的信息系统使用许可证；C)查验涉密信息系统获得使用许可证，投入涉密运行后，是否按照保密要求，每两年进行一次风险评估。应当至少提前 3 个月向国家保密行政管理部门或者

38、上级主管部门提交风险评估申请，并进行风险评估；d)如果已经提交风险评估申请，尚未进行风险评估的，验证未进行评估的原因，若属于测评机枸和审批部门的原因，不扣分。120.使用不与互联网及其他公共信息网络连接的内部非涉密信息系统、非涉密信息设备和非涉密存储设备存储、处理、传输涉密信息的，扣 10 分；a)查验内部非涉密计算机等信息设备、涉密信息系统非涉密安全域中的非涉密服务器、非涉密用户终端等信息设备以及非涉密存储设备，是否存储或者处理过涉密信息；b)查验是否存在无密级标志，但是与涉密计算机、涉密信息系统中涉密服务器和涉密用户终端中涉密文件主要内容相一致的涉密信息；C)采用符合国家保密要求的技

39、术手段，对内部非涉密计算机、涉密信息系统非涉密安全域中非涉密服务器、非涉密用户终端和非涉密外设进行抽查；也可以采用数据检索和数据恢复等技术，查验是否存在存储或处理涉密信息的痕迹；d)如果存在存储或者处理过涉密信息的内部非涉密计算机、非涉密用户终端等信息设备和存储设备，该设备连接或者接入过互联网或者其他公共信息网络，应当终止审查。121.修改、删除涉密计算机保密技术防护专用系统的监控程序报警回联地址的，扣 10 分；a)查验涉密计算机保密技术防护专用系统的监控程序报警回联地址，是否设定为国家保密行政管理部门规定的地址；b)查验涉密信息系统和涉密信息设备开机后，违规外联监控程序是否处于

40、工作状态，报警回联地址的状态是否有效；C)如果发现报警回联地址改变，应当查清改变的原因和操作动机，查清后报告国家保密行政管理部门。122.擅自访问、下载、存储、传输知悉范围以外的国家秘密的，扣 10 分；a)查验涉密计算机、涉密信息系统的服务器和用户终端，以及涉密存储设备中，是否存在责任人知悉范围以外的国家秘密信息（记录或痕迹）；b)如果存在，应当同时查验信息来源以及信息导入使用的存储设备和导入程序是否符合要求；c)如果经过业务主管部门和保密工作机构批准和授权，访问、下载、存储、传输知悉范围以外的国家秘密的，应当查验审批程序是否合规，审批单以及相关记录是否真实完整。123.擅自

41、扫描或者检测涉密信息系统的网络基础设施、安全保密产品以及应用系统的，扣 10 分；a)查验涉密信息系统服务器、用户终端和涉密计算机，是否具有（或者接入过）扫描或者检测网络基础设施、安全保密产品以及应用系统的工具（软件或者硬件）；b)查验是否存在使用过扫描或者检测工具的记录或痕迹；C)如果经过授权（涉密信息系统的运行维护人员和测评机构的人员可以被授权），查验审批程序是否合规，扫描或者检测工具的安装（接入）是否符合要求，审批单以及相关记录是否真实完整；d)如果安装使用的安全保密产品、病毒和恶意代码防护等工具，自身带有扫描或者检测涉密信息系统的网络基础设施、安全保密产品以及应用系统功

42、能的，查验是否已经禁止使用相应的功能。124.故意隐藏涉密信息设备和涉密存储设备，规避检査的，扣 10 分；a)查验台账上的涉密信息设备和涉密存储设备是否正常管理和使用；b)查验是否存在未列入台账，也未纳入单位正常管理范围，明显规避检查的涉密信息设备和涉密存储设备（可以追溯涉密文件和信息的产生来源，查验是在什么信息设备上处理的）;c)查验未列入台账，未纳入管理的涉密信息设备和涉密存储设备的存放地点是否符合保密要求，是否按照保密要求存放和管理125.测试、调试、仿真、工控、数控等专用信息设备或者信息系统，接入涉密信息系统未制定专门的安全保密方案并报国家保密行政管理部门审查的，扣 1

43、0 分；a)查验专门的安全保密方案，是否进行了风险评估，并针对存在的风险和隐患提出安全保密要求，并符合相关的保密法规和技术要求；b)专门的安全保密方案，是否经过本单位（或者上级主管单位）组织的专家评审会评审通过后，报国家保密行政管理部门审查；c)查验国家保密行政管理部门审查安全保密方案的相关审查意见，判定建设使用单位是否按照审查意见对方案进行了修改完善；d)查验实施过程和设备现场，是否与通过审查的安全保密方案相一致。126.涉密信息系统采用虚拟化技术，未制定专门的安全保密方案并报国家保密行政管理部门审查的，扣 10 分；a)查验专门的安全保密方案，是否针对存在的风险和隐患提出

44、安全保密要求，并符合相关的保密法规和技术要求；b)专门的安全保密方案，是否经过本单位(或者上级主管单位）组织的专家评审会评审通过后，报国家保密行政管理部门审查；C)查验国家保密行政管理部门审查安全保密方案的相关审查意见，判定建设使用单位是否按照审查意见对方案进行了修改完善； d)查验实施过程和设备现场，是否与通过审查的安全保密方案相一致。127.用无线方式接人涉密信息系统或者涉密计算机，未采用国家保密行政管理部门和国家密码管理部门检测合格的安全保密设施设备和密码设备，未制定专门的安全保密方案并报国家保密行政管理部门审查的，扣 10 分;a)查验是否科研生产工作必须采用无线接入方式；b)

45、查验专门的安全保密方案，是否针对存在的风险和隐患提出安全保密要求，并符合相关的保密法规和技术要求；C)专门的安全保密方案，是否经过本单位（或者上级主管单位）组织的专家评审会评审通过后，报国家保密行政管理部门审查，建设使用单位是否按照审查意见对方案进行了修改完善；d)查验是否采用国家保密行政管理部门或者国家密码管理部门检测合格、符合要求的安全深密设施设备和密码设备；e)查验采用的无线发射设备，验证发射距离是否符合安全要求；f)查验实施过程和设备现场，是否与安全保密方案的要求相一致。128.委托系统内无相应资质单位承担涉密信息系统运行维护的，扣 10 分；a)查验被委托承担涉密信

46、息系统运行维护的机构（单位）是否为本军工系统（同一法人或老同一上级法人）单位(一级保密资格单位仅允许委托本集团公司的单位承担运行维护工作）；b)单位信息化管理部门是否与被委托承担运行维护的机构（单位）签订运行维护合同和保密协议；C)如果委托非本军工系统内部单位，查殓是否具有国家保密行政管理部门颁发的涉密信息系统集成资质中的运行维护资质，且资质在有效期内。129.未经审批更换涉密服务器、涉密计算机硬盘，重装操作系统；或者现场审査前 6 个月内更换(报废）涉密服务器、涉密计算机硬盘，重装操作系统数量超过总a)查验更换涉密服务器、涉密用户终端、涉密计算机硬盘，重装操作系统的审批程序是

47、否合规，审批单、操作记录是否真实完整；b)查验年度内，更换涉密服务器、涉密终端、涉数 20%的，扣 10 分。密计算机硬盘，重装操作系统数量是否超过设备总数的 20% ；c)查验现场审查前 6 个月内（现场审查之日开始，向前倒推)，经过审批更换计算机硬盘等存储设备、重装操作系统数量，是否超过涉密服务器、涉密用户终端、涉密计算机总数的 20%，手入导出专用计算机、中间机和涉密便携式计算机的数量单独按其总教的 20%计算；d)涉密信息系统服务器、用户终端、涉密计算机的系统时间如果修改，重装操作系统的，不伦台数，一经发现直接扣 10 分。5.6.2、涉密信息系统（5 分）项目细

48、则操作方法支撑文件备注130.尚未存储处理涉密信息的涉密信息系统，未经系统测评的，扣 1 分；a)查验单位建立的信息系统建设方案和安全保密方案，确定是否为涉密信息系统；b)查验涉密信息系统是否建设完成，是否处于试运行期间；C)查验是否已经提交测评申请书，如果已经递交测评申请书，由于测评机构的原因未进行系统测评的，不扣分；d)如果涉密信息系统建设完成，由于建设使用单位自身的原因，未经系统测评，应当扣分；如果系统内存储或者处理过涉密信息（记录和痕迹)，则应当按照基本项第 6 条处理。131.涉及国家秘密的信息系统使用许可证涉及事项发生变化时未按有关规定及时报告的，扣 2 分；a)查验

49、被审查单位涉密信息系统是否具有国家保密行政管理部门颁发的涉及国家秘密的信息系统使用许可证，如果未取得使用许可证，则参考 121 条；b)查验许可证的内容与单位涉密信息系统的实际情况是否一致，是否发生变化（特别是增加或者减少安全域、应用系统和安全产品）；C)查验发生变化后是否及时报告(改变完成后 1个月内)，并申请新增应用系统单项检测、系统测评或者风险评估。132.提供的涉密信息系统拓扑结构图不完整，或者与测评报告、风险评估报告以及实际情况不符的，扣 2 分。a)查验涉密信息系统的拓扑结构图，与提交系统测评(风险评估）申请书中的拓扑结构图是否一致，涉密信息系统的实际情况是否与拓扑结构图相符合；b)拓扑结枸图中安全域划分是否符合国家保密标准要求，边界是否清楚；C)拓扑结枸图中是否标明核心交换机、汇聚交换机的 IP 地址以及接入交换机群的 IP 地址段，是否标明全部服务器的名称和 IP 地址，是否标明全部安全产品的接入（部署）位置等。5.6.3、管理结构及人员（23 分）项目细则操作方法支撑文件备注133.未明确信息化管理部门和运维机构的，扣 2 分；134.信息化管理部门和运维机构设置及人员配备未到位或者不能满足实际需要的，扣 2 分；a)查验明确或者任命的相关文件，以及相关的委托合同文本，确认是否明确管理部门，指定了运行维护机

展开阅读全文