一、 申请保密资格的单位应具备申请条件。
申请保密资格的单位应当具备以下基本条件:
(一)中华人民共和国境内登记注册的事业单位法人;
(二)承担或拟承担武器装备科研生产的项目或产品涉密;
(三)无外商(含港澳台)投资和雇佣外籍人员,国家有特殊规定的除外
(四)承担涉密武器装备科研生产任务的人员,应当具有中华人民共和国国籍,在中华人民共和国境内居住,与境外人员(含港澳台)无婚姻关系;
(五)有固定的科研生产和办公场所,并符合国家有关安全保密要求;
(六)1年内未发生泄密事件;
(七)无非法获取、持有国家秘密以及其他严重违法行为。
二、 具备申请条件的单位应提交相应材料。
申请保密资格的单位应当提供以下材料:
(一)《申请书》;
(二)组织机构代码证书(复印件);
(三)上一年度财务验资报告;
(四)国家军工保密资格认证委要求提供的其他材料。
三、 在提交相应材料后进行审查与批准(书面审查和现场审查)。
《武器装备科研生产单位一级保密资格评分标准》操作方法(即现场审查):
(一)保密责任
(1) 法定代表人、分管保密工作负责人及其他责任人对相关保密制度、应承担的保密责任、单位保密重点难点熟悉。
(2) 在上级相关文件和指示、会议讲话、工作计划、工作总结等单位年度工作要点上有保密工作内容。单位人事任命文件、人员工资发放表或会议纪要要体现保密工作机构设置、专职保密工作人员的配备情况以及保密条件保障落实情况。
(3) 保密责任制考核奖惩的相关材料。
(4) 涉密部门负责人的会议记录、保密教育记录、教育大纲、人员签到表、考试卷笔记及自查表。
(二)保密组织机构
(1) 保密委员会成单独设立有管理职能以及人员符合要求并有明确的职责与分工。
(2) 保密委员会小组人员培训证书、有关保密工作开展的部署和总结的会议记录、年度计划和工作总结。
(三)保密制度
(1) 保密基本制度健全无漏项,要害部门、部位界定履行审批手续符合标准,二级制度结合业务实际制定。
(2) 专项工程外场试验活动有保密方案和具体实施情况。
(3) 涉密部门人员述职单位的基本制度和本部门的二级制度的基本要求。
(四)保密监督管理
(1) 定密小组的文件和会议纪要。
(2) 有正确定密依据的本单位《国家秘密事项范围目录》或《涉密事项一览表》。
(3) 涉密人员保密教育培训记录和保密责任书。
(4) 保密补贴发放表。
(5) 涉密人员登记变更表。
(6) 涉密人员因私出境审批表。
(7) 涉密人员名单在公安机关出入境管理机构登记备案的相关材料。
(8) 涉密载体登记记录。
(9) 涉密人员离岗审查表。
(10)涉密载体台账登记、手续及帐物相符。
(11)有按规定表明密级和保密期限的涉密文件资料。
(12)涉密部门电子文档和未定稿的涉密过程文件标密并标识正确。
(13)涉密文件资料的文档的收发登记本。
(14)存放符合要求的涉密移动存储介质。
(15)涉密人员的专用保密本。
(16)要害部门安全值班、工勤服务人员审查审批手续和保密承诺书的记录,及外来人员的审批记载。
(17)要害部门、部位的新建、扩建、改建工程档案。
(18)涉密信息系统的《涉及国家秘密的信息系统使用许可证》。
(19)单台涉密计算机的联网或互联记录。
(20)涉密计算机操作系统安装和日志记录删除的审批记录。
(21)定期核对单位总台账和部门分台账的记录。
(22)维修、报废申请单和相关记录。
(23)信息设备和存储介质的标识符合要求。
(24)涉密计算机和信息系统服务器、用户终端和外部设备中存储涉密信息标识齐备。
(25)最新情况的文档化策略文件。
(26)安全保密审计报告。
(27)风险评估报告和记录及补救措施。
(28)涉密计算机和信息系统终端用户处和储存信息的密级、密级标识相一致。
(29)安全保密产品正确安装和配置工作正常,功能与保护要求一致,并根据信息系统的变更及时调整策略或升级更新安全保密防护产品。
(30)涉密计算机用户权限设置和硬盘分区符合要求,用户身份标识符合唯一性。
(31)BIOS、操作系统、应用系统和空闲操作查实用户身份鉴别的设置符合规范,鉴别失败后的记录和处理符合保密要求。
(32)访问控制策略、细粒度、控制列表有效,高密级信息能够流向低等级的安全域、用户端或信息设备。
(33)定期进行计算机病毒与恶意代码样本库的更新并及时查杀计算机病毒与恶意代码。
(34)涉密计算机和信息系统服务器、用户终端不应存在未查杀的、不能被清除的计算机病毒与恶意代码,若有应存在记录和上报记录。
(35)中间计算机采用同涉密计算机与信息系统的计算机病毒与恶意代码查杀工具。
(36)涉密计算机系统补丁的下载、分发与安装过程和日志记录,操作系统、数据库和应用系统中不存在中、高风险的漏洞;不存在不受控制或违规安装的信息输出点。
(37)涉密计算机的信息系统的服务器、用户终端的软硬件的安装情况和审批记录。
(38)涉密计算机和信息系统用户终端上不存在无线联网功能模块,无连接或使用无线功能外部设备的记录。
(39)涉密便携式计算机内涉密信息的存储情况和审批记录。
(40)绝密级计算机的屋里环境符合要求。
(41)绝密级计算机和存储介质的密码保护措施符合国家有关规定,需不需存储和传输有密码保护措施。
(42)移动存储结实的绑定措施有效,使用范围符合国家秘密的知悉范围。
(43)涉密计算机和信息系统中使用的存储介质有标识,涉密信息的密级与其他标识相符。
(44)用于信息交换的设备和记录符合有关保密规定。
(45)电磁泄漏发射检测报告或涉密信息系统测评报告采取保护措施。
(46)涉密信息设备和传输路线满足红黑隔离要求。
(47)涉密信息设备的电源滤波防护措施配置和使用符合保密要求。
(48)有明确专供外出携带并专人管理的计算机和存储介质,审批单项目齐全,流程符合要求,带回后有保密检查记录。
(49)安全保密人员有培训证书,满足上岗要求,明确岗位职责并实现互相独立互相监督,工作记录符合岗位职责,涉密等级符合要求。
(50)国际互联网计算机安全控制措施有效,要有信息发布保密审查记录。
(51)涉密办公自动化设备符合国家保密要求的技术手段,并没有打印、复印、传真等多功能的一体机与普通电话线连接,非涉密办公自动化设备不处理涉密信息。
(52)不催在无线通信的基站、天线、无线发射装置等,保密要害部门、部位不适用无线通信设备。
(53)办公自动化设备台账的项目与实物对照相同,并有制定专人进行管理,维修和报废处理符合规定。
(54)宣传报道、举办展览、发表的著作和论文等经过保密审查,展品制作过程中采取了严格控制措施,参观展室、密品采取保密措施,参观人员履行了审批登记手续并有审查审批记录。
(55)重大(机密级以上)涉密会议在内部场所召开并审批应在涉密会议审批表中有注明记录,且其保密工作方案的内容符合要求以及实施的可操作性,保密工作机构也对此进行了监督检查并有记录,有涉密会议签到表以明确人员身份确认,会议文件资料发放、清退和销毁的登记。
(56)外场试验有专项保密工作方案或现场管理措施,有外场试验档案及工作记录,包括涉密载体发放、借阅、清退、销毁及通信管理均符合要求,外场试验使用的涉密计算机和涉密存储介质的保密检查记录。
(57)涉密协作配套单位有相应的保密资格,协作配套任务合同书中有保密条款,重大项目签订的保密协议,以及业务部门对其协议执行情况的监督管理记录。
(58)对外交流、合作和谈判等活动的审查审批记录、保密提醒记录及重要涉外谈判时保密工作机构的现场监督记录。
(59)保密工作机构和涉密部门组织检查的记录,并有发现问题后提出的书面整改要求及反馈。
(60)保密自查表。
(61)表彰或追究保密工作先进集体和个人的文件。
(62)单位保密工作档案。
(63)涉密部门工作记录。
(五)保密条件保障
(1) 把保密管理经费列入年度财务预算的单位财务预算文件。
(2) 保密管理工作经费支出凭证。
(3) 转向经费支出凭证。