发布文号:
第一章 总则
第一条 为加强涉及国家秘密的通信、办公自动化和计算机信息系统的保密管理,确保国家秘密的安全,根据中央保密委员会办公室、国家保密局《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》(中保办发[1998]6号)及辽宁省国家保密局印发的《辽宁省涉及国家秘密的通信、办公自动化和计算机信息系统审批实施细则》的规定(辽保局[2002]20号),结合我市保密管理工作的实际,制定本细则。
第二条 审批工作坚持讲求科学,实事求是,既确保国家秘密又便利各项工作的原则。
第三条 市保密工作部门负责涉及国家秘密的通信、办公自动化和计算机信息系统(以下简称涉密系统)的审批工作。
第四条 涉密系统的建设,必须与保密设施的建设同步进行。报经市保密工作部门审批后,才能投入使用。
第五条 本细则所称的涉密系统是指利用通信、办公自动化和计算机信息系统进行涉及国家秘密信息的采集、处理、存储、传输的设备、技术、管理的组合。
第六条 本细则所称的保密设施是指为防止涉密信息的泄露或者被非法窃取而采用的设备、技术和管理的组合。
第二章 审批权限
第七条 市保密工作部门负责全市涉密系统的审批,并负责中央国家机关、省直各部门授权的(单位)延伸到本地区的涉密系统的审批。
各级保密工作机构负责组织本部门(单位)涉密系统的初审和报批工作。
第三章 审批内容
第八条 涉密信息的定密制度和管理制度应当符合《中华人民共和国保守国家秘密法》及其实施办法和有关法规。
关联法规:
第九条 涉密系统集成单位必须经过保密工作部门的资质认定,并取得国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》。未经保密工作部门资质认证的任何单位,不得承接涉密系统的建设任务。
第十条 涉密系统使用的安全保密技术产品、设备必须经过国家主管部门和测评认证机构的认证,并获得许可证。
第十一条 涉密系统不得直接或间接国际联网,必须实行物理隔离。对“一机多用,一机多网”的涉密计算机必须安装由市级以上保密工作部门认证的“网络安全隔离卡”,通过有效地物理隔离确保涉密网络的安全。
第十二条 涉密系统的身份认证应当符合以下要求:
(一)口令应当由系统安全保密管理人员集中产生供用户选用,并有口令更换记录,不得由用户产生;
(二)处理秘密级信息的系统口令长度不得少于八个字符,口令更换周期不得长于一个月;处理机密级信息的系统,口令长度不少于十个字符,口令更换周期不得长于一周;处理绝密级信息的系统,应当采用一次性口令或生理特征等强认证措施。
(三)口令必须加密存储,并保证口令存放载体的物理安全;
(四)口令在网络中必须加密传输。
第十三条 涉密系统的访问控制应当符合以下要求:
(一)处理秘密级、机密级信息的系统,访问应当按照用户类别控制;
(二)处理绝密级信息的系统,访问必须控制到单个用户。
第十四条 涉密信息的存储、传输应当符合以下要求:
(一)秘密级、机密级信息应当加密传输。涉密系统完全处于其主管部门(单位)独立使用和管理的封闭建筑群内,可以只采取物理保护措施;
(二)绝密级信息应当加密存储、加密传输;
(三)使用的加密措施应当经过有关主管部门批准,并且与所保护的信息密级一致。
第十五条 涉密系统的审计跟踪应当符合以下要求:
(一)涉密系统应当有详细的系统日志,记录每个用户的每次活动(访问时间、地址、数据、程序、设备等)以及系统出错和配置修改等信息;
(二)处理秘密级、机密级信息的系统,系统安全保密管理人员应当定期审查系统日志并作审查记录,审查周期不得长于一个月;
(三)处理绝密级信息的系统,应当能够检测并且记录侵犯系统的事件,及时自动告警。系统安全保密管理人员应当定期审查系统日志作审查记录,审查周期不得长于一周。
第十六条 涉密系统有关设备电磁泄漏发射应当符合以下要求:
(一)有关设备应当具有符合中华人民共和国公共安全和保密标准《信息设备电磁泄漏发射限值》(GBB-1)的相应标识;
(二)不符合GBB-1标准的设备在处理绝密级信息的系统中应当在符合国家保密标准的屏蔽室内使用;
(三)不符合GBB-1标准的设备在处理秘密级、机密级信息的系统中使用,应当安装经国家主管部门批准的干扰器;
(四)保密部门应当依据国家保密标准《使用现场的信息设备电磁泄漏发射测试方法和安全判据》(BMB-2),现场检查有关设备的电磁泄漏发射情况。
第十七条 涉密系统应配备国家主管部门批准的查毒杀毒软件。
第十八条 涉密系统应当符合《计算机信息系统保密管理暂行规定》。
关联法规:
第四章 审批程序
第十九条 涉密系统的建设单位在涉密系统施工前应将系统规划、设计、安全保密方案以及系统建设的实施计划等按审批权限报保密工作部门初审后施工。
第二十条 涉密系统投入使用之前,保密工作部门应当对涉密系统主管部门(单位)报送的书面申报材料进行初步审查。报送的书面材料应当包括:
(一)申请审批报告:概括说明系统用途、规划、设计、发展目标等情况。
(二)系统总体方案:包括系统的拓扑结构、软硬件配置等;系统涉密情况信息的最高密级,涉密信息的流向等;安全保密威胁分析;安全保密设备和产品的类别、型号、功能强度等配置,以及相关认证或审批复印件;涉密系统集成单位的资质情况。
(三)系统管理:系统运行单位、主管部门;安全保密领导管理体系,责任岗位设置,管理制度等。
第二十一条 保密工作部门根据所报的材料进行初审,如发现问题应要求系统主管部门改进、完善,然后再报或补报。补审的主要内容有:
(一)所报送的材料是否满足审批需要,是否能全面反映系统总体和保密设施及管理情况。
(二)保密设施有无明显不当,有无明显的安全保密漏洞和隐患,是否具备受理审批的基本条件。
第二十二条 保密工作部门根据涉密系统主管部门(单位)的申请,组织有关部门进行现场考察和测试。考察和测试的内容有:
(一)系统实际与书面材料是否一致。
(二)系统现场环境是否符合保密要求。
(三)相应的安全保密制度是否健全以及落实情况。
(四)现场检测电磁泄漏发射是否符合相关保密技术要求。
(五)利用技术手段,检测分析系统的安全保密隐患和漏洞,并提出改进意见。
第二十三条 保密工作部门根据申报材料和测试结果,组织保密技术专家对涉密系统的安全保密情况进行评估论证。
第二十四条 保密工作部门对具备投入运行条件的涉密系统批准其使用,并颁发《涉及国家秘密的计算机信息系统运行、使用许可证》。对不完全具备投入运行条件的指出存在问题和漏洞,由其主管部门(单位)改进后另行报批;对不采取改进措施继续使用的,不准按涉密系统运行使用。
第五章 附则
第二十五条 已经投入使用,但未经审批的涉密系统,应尽快补办审批手续。系统如经检查发现有泄密隐患,必须由涉密系统集成单位负责整改。对不采取整改措施继续使用的,保密部门将责令其停止运行。造成泄密后果的追究其行政、刑事责任。
第二十六条 本办法自2003年4月1日起施行。
