• 動態資訊
    您當前所在的位置 :首頁 -> 動態資訊 -> 保密規定

    涉及國家秘密的通信 、辦公自動化和計算機信息係統審批暫行辦法


    第一章    總    則

          第一條  為落實《中共中央關於加強新形勢下保密工作的決定》中“涉及國家秘密的通信 、辦公自動化和計算機信息係統的建設 ,必須與保密設施的建設同步進行 ,報經地(市)級以上保密部門審批後 ,才能投入使用”的要求 ,規範審批工作 ,製定本辦法 。

      第二條 審批工作應當堅持講求科學 ,實事求是 ,既確保國家秘密又便利各項工作的原則 。

      第三條 本辦法適用於地(市)級以上保密部門對涉及國家秘密的通信 、辦公自動化和計算機信息係統(以下簡稱涉密係統)的審批工作 。

      第四條 國家保密局主管涉密係統的審批工作 。

      第五條 本辦法所稱的通信 、辦公自動化和計算機信息是指以計算機 、電話機 、傳真機 、打印機 、文字處理機 、聲象設備等為終端設備 ,利用計算機 、通信 、網絡等技術進行信息采集 、處理 、存儲和傳輸的設備 、技術 、管理的組合 。

      第六條 本辦法所稱的保密設施是指為防止涉密信息的泄露或者被非法竊取而采用的設備 、技術和管理的組合 。

    第二章  審批權限

      第七條 地(市)級以上各級保密局審批本行政區域內的涉密係統 。跨區域的涉密係統由上一級保密局審批 。

      第八條 中央和國家機關各部門管理的涉密係統由各部門的保密工作機構審查 ,由部門主管保密工作的領導批準 ,並報國家保密局備案 。國家保密局視情進行核查或抽查。

    第三章  審批程序

      第九條 涉密係統投入使用之前 ,保密部門應當對涉密係統主管部門(單位)報送的保密設施情況書麵材料進行初步審查 。報送的書麵材料應當包括 :

      (一)涉密係統的用途 、結構及軟硬件配置的基本情況 ;

      (二)涉密係統所處理信息的最高密級和涉密信息的運行狀況 ;

      (三)涉密係統采取的安全保密措施以及有關的認證結論或者審批件(複印件) ;

      (四)涉密係統保密管理製度 。

      第十條 保密部門進行現場考察和測試 。

      第十一條 保密部門組織有關主管部門 、專家對涉密係統的安全保密情況進行評估論證 。

      第十二條 保密部門對具備投入運行條件的涉密係統應當批準使用 。對不完全具備投入運行條件的應指出存在的問題和漏洞 ,由其主管部門(單位)改進後另行報批 ;對不采取改進措施繼續使用的 ,應當責令其主管部門(單位)停止使用 。

      第十三條 已經投入使用尚未經過審批的涉密係統 ,保密部門應當要求其主管部門(單位)報送保密設施情況的書麵材料 ,並且按照上述程序進行審批 。

    第四章  審批內容

      第十四條 涉密信息的定密製度和管理製度應當符合《中華人民共和國保守國家秘密法》及其實施辦法和有關法規 。

      第十五條 涉密係統應當符合《計算機信息係統保密管理暫行規定》

      第十六條 涉密係統不得直接或間接國際聯網 ,必須實行物理隔離 。

      第十七條 涉密係統的身份認證應當符合以下要求 :

      (一)口令應當由係統安全保密管理人員集中產生供用戶選用 ,並有口令更換記錄 ,不得由用戶產生 ;

      (二)處理秘密信息的係統口令長度不得少於六個字符 ,口令更換周期不得長於一個月 ;處理機密級信息的係統 ,口令長度不得少於八個字符 ,口令更換周期不得長於一周 ;處理絕密級信息的係統 ,應當采用一次性口令或生理特征等強認證措施 ;

      (三)口令必須加密存儲 ,並且保證口令存放載體的物理安全 ;

      (四)口令在網絡中必須加密傳輸 。

      第十八條 涉密係統的訪問控製應當符合以下要求 :

      (一)處理秘密級 、機密級信息的係統 ,訪問應當按照用戶類別控製 ;

      (二)處理絕密級信息的係統 ,訪問必須控製到單個用戶 。

      第十九條 涉密信息的存儲 、傳輸應當符合以下要求 :

      (一)秘密級 、機密級信息應當加密傳輸 。涉密係統完全處於其主管部門(單位)獨立使用和管理的封閉建築群內 ,可以隻采取物理保護措施;

      (二)絕密級信息應當加密存儲 、加密傳輸 ;

      (三)使用的加密措施應當經過有關主管部門批準 ,並且與所保護的信息密級一致 。

      第二十條 涉密係統的審計跟蹤應當符合以下要求 :

      (一)涉密係統應當有詳細的係統日誌 ,記錄每個用戶的每次活動(訪問時間 、地址 、數據 、程序 、設備等)以及係統出錯和配置修改等信息 ;

      (二)處理秘密級 、機密級信息的係統 ,係統安全保密管理人員應當定期審查係統日誌並作審查記錄 ,審查周期不得長於一個月 ;

      (三)處理絕密級信息的係統 ,應當能夠檢測並且記錄侵犯係統的事件 ,及時自動告警 。係統安全保密管理人員應當定期審查係統日誌並作審查記錄 ,審查周期不得長於一周 。

      第二十一條 涉密係統有關設備電磁泄漏發射應當符合以下要求 :

      (一)有關設備應當具有符合國家保密標準《電話機電磁泄漏發射限值和測試方法》(BMB-1)或者中華人民共和國公共安全和保密標準《信息設備電磁泄漏發射限值》(GBB-1)的相應標識 ;

      (二)不符合GBB-1標準的設備在處理絕密級信息的係統中應當在符合國家保密標準的屏蔽室內使用 ;

      (三)不符合GBB-1標準的設備在處理秘密級 、機密級信息的係統中使用 ,應當安裝經國家主管部門批準的幹擾器 ;

      (四)保密部門應當依據國家保密標準《使用現場的信息設備電磁泄漏發射測試方法和安全判據》(BMB-2) ,現場檢查有關設備的電磁泄漏發射情況 。

      第二十二條 黨政專用電信網應當符合《關於有線電通信保密技術要求暫行規定》和《黨政專用電話網保密技術驗收要求》 。

    第五章   附  則

      第二十三條 軍隊的涉密係統審批工作按軍隊的有關規定執行 。

      第二十四條 本辦法由國家保密局負責解釋 。

      第二十五條 本辦法自發布之日起施行 。


    | 發布時間 :2011.03.18    來源:    查看次數 :2383