武器装备科研生产单位二级保密资格评分标准2017.doc

武器装备科研生产单位二级保密资格评分标准 国家保密局、国家国防科技工业局、中央军委装备发展部制 说 明 1.二级保密资格评分标准项目总分值设定为500分(不含重点检查项)，达到450分(含)以上为符合标准，以下为不符合标准。 2.评分标准共设置6个基本项，达不到基本项要求的，中止审查或者复查。 3.评分标准第38、52、119-129项为重点检查项。 4.被审查单位没有的项目不扣分，分值计入单位总得分。 一、基本项 序号 基本项 存在下列情况之一的，中止审查或者复查 1 保密工作机构设置不符合标准要求的 2 涉密信息设备和涉密存储设备接入互联网及其他公共信息网络，或者未采取防护措施与互联网及其他公共信息网络之间进行信息交换，可能造成涉密信息失控的 3 在互联网及其他公共信息网络，或者在未采取保密措施的有线或者无线通讯中存储、处理、传递国家秘密的 4 未按保密要求进行安全技术处理，将退出使用的涉密信息设备、涉密信息存储设备赠送、出售、丢弃或者改为他用，可能造成涉密信息失控的 5 涉密信息系统未通过国家保密行政管理部门设立或者授权测评机构的系统测评并存储处理涉密信息的 6 选择的涉密协作配套单位不具备相应保密资格的 二、检查项目 项目 项目细则 分值 保密责任 法定代表人或者主要负责人责任(13分) 保证党和国家有关保密工作方针政策和法律法规贯彻执行 1.年度内未对贯彻落实党和国家保密工作的方针、政策和法律法规提出明确要求的，扣2分； 2.未将保密管理纳入单位管理体系的，扣2分； 3.未将保密责任纳入绩效考核的，扣2分； 4.年度内未对保密工作责任制落实情况进行监督考核的，扣1分。 7分 为保密工作提供支持和保障 5.对本单位保密工作整体情况掌握不够的，扣2分； 6.未及时研究解决保密工作重大问题的，扣1分； 7.未按要求在人力、财力、物力上为保密工作提供条件保障的，扣3分。 6分 分管保密工作负责人责任(8分) 研究部署保密工作 8.对本单位保密工作全面情况掌握不够的，扣2分； 9.未对落实保密工作提出明确意见和要求的，扣1分； 10.未及时组织研究保密工作中的重点、难点问题的，扣1分。 4分 监督检查保密工作落实情况 11.年度内未组织检查单位和部门负责人保密工作情况的，扣1分； 12.未对不履行保密责任的人员进行责任追究的，扣1分； 13.对保密工作落实情况监督不够的，扣1分； 14.对保密工作机构履行职责支持帮助和监督指导不够的，扣1分。 4分 其他负责人责任(8分) 研究落实分管业务范围内的保密工作 15.未组织将保密管理要求融入分管业务工作制度和流程中的，扣1分； 16.对分管业务范围内的保密工作职责不清楚的，扣1分； 17.未及时研究解决分管业务范围内的保密工作重点、难点问题的，扣1分； 18.未在分管业务工作中按照工作需要严格控制国家秘密知悉范围的，扣1分。 4分 监督检查保密工作落实情况 19.未组织对分管业务工作中的保密工作落实情况进行监督检查的，扣1分； 20.未组织对分管业务工作中存在的保密管理问题督促整改的，扣1分； 21.未对分管业务工作中的保密工作开展提供保障的，扣1分； 22.对单位保密工作机构开展工作支持不够的，扣1分。 4分 涉密部门负责入或者涉密项目负责人责任(10分) 掌握本部门或者本项目的保密工作情况 23.对保密工作职责不清楚的，扣1分； 24.对部门或者项目的整体保密情况掌握不够的，扣1分； 25.对涉密人员基本情况掌握不够的，扣1分。 3分 采取具体措施落实保密管理要求 26.未将保密要求融入业务工作制度中的，扣1分； 27.对单位部署的保密工作落实不够的，扣1分； 28.对专兼职保密工作人员工作支持不够的，扣1分； 29.季度内未安排保密教育的，扣1分； 30.未按照工作需要控制国家秘密的知悉范围的，扣1分。 5分 监督检查保密工作落实情况 31.季度内未对保密措施落实情况进行检查的，扣1分； 32.未对检查中发现的问题进行监督落实整改的，扣1分。 2分 涉密人员责任(6分) 涉密人员履行职责 33.对本职岗位保密以贡个清楚的，扣1分； 34.对本职岗位业务工作中的保密事项不清楚的，扣1分； 35.对保密知识、技能和要求掌握不够的，扣1分； 36.未履行本职岗位保密职责的，扣1分； 37.未及时报告泄密隐患、制止违法违规行为的，扣2分。 6分 归口管理 归口管理(6分) 38.未根据业务工作实际，明确定密、涉密人员、信息化、新闻宣传、外事等归口管理部门的，扣10分； 39.未明确归口管理部门职责的，扣3分； 40.归口管理部门未履行职责的，扣3分。 6分 保密组织机构 保密委员会(保密工作领导小组)(12分) 保密委员会(保密工作领导小组)组成及其职责 41.保密委员会(保密工作领导小组)成员组成不符合要求的，扣2分； 42.保密委员会(保密工作领导小组)及其成员职责和分工不够明确的，扣2分。 4分 保密委员会(保密工作领导小组)履行职责 43.年度内未召开工作例会的，扣1分； 44.保密委员会(保密工作领导小组)成员未按分工履行职责的，扣2分； 45.年度内未对保密工作进行研究和部署的，扣2分； 46.未及时解决保密工作重大问题的，扣2分： 47.保密委员会(保密工作领导小组)成员年度内未向保密委员会(保密工作领导小组)报告履职情况的，扣1分。 8分 保密工作机构(20分) 机构设置及履行职责 48.保密工作机构管理职责和权限不够明确的，扣2分； 49.保密工作机构履行保密管理职责不够的，扣2分； 50.未参与涉密业务工作制度制定，指导业务部门将保密管理要求融入业务工作中的，扣2分； 51.未提出保密责任追究和奖惩建议并监督落实的，扣2分。 8分 保密工作人员配备 52.专职保密工作人员配备数量不符合标准要求的，扣10分； 53.专职保密工作人员条件不符合标准要求或者未做到专职专用的，扣4分； 54.专职保密工作人员2人(含)以上，未配备保密技术管理人员的，扣2分； 55.兼职保密工作人员未按要求配备的，扣2分。 8分 保密工作人员知识技能 56.保密工作机构人员对本单位业务工作中的保密工作重点和具体情况掌握不够的，扣2分； 57.保密工作机构人员未经过保密知识技能培训的，扣2分。 4分 保密制度 基本制度(12分) 58.未按要求制定的，扣4分； 59.未结合单位工作实际、操作性不强的，扣3分； 61.不够全面、准确规范的，扣3分： 62.未及时修订完善的，扣2分。 12分 专项制度(5分) 62.未按要求制定的，扣2分； 63.职责分工不明确的，扣1分； 64.未结合专项任务特点规定具体管理措施的，扣2分。 5分 业务制度(3分) 65.未将保密管理要求融入业务工作制度中的，扣3分 3分 保密管理 定密管理(20分) 66.未按定密权限依法开展定密工作的，扣4分； 67.未明确定密工作流程的，扣2分； 68.未制定国家秘密事项范围细目并未及时调整的，扣3分； 69.未按规定指定定密责任人的，扣2分； 70.定密责任人未经过培训的，扣2分； 71.定密程序不符合要求的，扣3分； 72.密级、保密期限和知悉范围确定不够准确的，扣2分； 73.未开展变更密级或者解密工作的，扣2分。 20分 涉密人员管理(50分) 上岗管理 74.未准确界定涉密岗位密级的，扣4分； 75.未准确界定涉密人员密级并及时调整的，扣4分； 76.未对进入涉密岗位的人员进行审查和定期复审的，扣4分； 77.未对进入涉密岗位的人员进行岗前保密教育培训、签订保密承诺书的，扣2分。 14分 在岗管理 78.年度内涉密人员在岗保密教育和培训未满15学时的，扣2分； 79.未对涉密人员进行年度考核的，扣3分； 80.涉密人员严重违反保密制度或者不符合基本条件，未及时调整的，扣5分； 81.未根据涉密人员密级给予相应保密补贴的，扣4分； 82.未将涉密人员在公安机关出入境管理机构备案的，扣4分； 83.出入境证件未统一管理的，扣2分； 84.出国(境)未按要求审批的，扣4分； 85.出国(境)未按要求执行提醒或者回访制度的，扣2分； 86.现场审查保密知识考试良好率未达到80%的，扣4分。 30分 离岗管理 87.离岗离职涉密人员未及时清退涉密载体、涉密信息设备、涉密存储设备和密品的，扣3分； 88.离岗离职涉密人员未签订保密承诺书、实行脱密期管理的，扣3分。 6分 涉密载体管理(45分) 89.未建立涉密载体台账或者台账与实际不符、保存期限不足3年的，扣4分； 90.涉密载体未正确标注密级和保密期限的，扣2分； 91.涉密载体未按规定制作的，扣3分； 92.涉密载体未按规定收发的，扣2分； 93.涉密载体未按规定传递的，扣2分： 94.涉密载体未按规定借阅的，扣2分； 95.涉密载体未按规定使用的，扣2分； 96.涉密载体未按规定复制的，发现一份扣2分，最高扣6分； 97.涉密载体未按规定保存的，发现一份扣2分，最高扣6分； 98.涉密载体未按规定销毁的，扣3分； 99.记录涉密事项未使用保密本的，扣3分； 100.未严格控制国家秘密知悉范围的，发现一份扣2分，最高扣6分； 101.持有涉密载体或者知悉国家秘密未履行审批程序的，发现一份扣1分，最高扣4分。 45分 密品管理(20分) 102.未建立密品台账或者台账与实际不符的，扣4分； 103.未准确确定密品的密级、保密期限和接触范围的，扣2分； 104.密品未按规定标注密级的，扣2分； 105.对外形和构造容易暴露国家秘密信息的密品未采取遮挡或者保护性措施的，扣2分； 106.密品未按规定存放的，扣2分； 107.重要密品运输未制定安全保密方案，落实安全保密措施，并进行记录的，扣3分； 108.密品交接未履行签收手续的，扣3分； 109.密品维修、销毁未经审批或者未采取安全保密措施的，扣2分。 20分 保密要害部门部位管理(20分) 110.未按规定确定保密要害部门部位，或者确定不准确的，扣3分； 111.保密要害部门未实行区域隔离，或者保密要害部位未实施物理防护的，扣2分； 112.未按规定采取出入口控制、入侵报警、视频监控等技防措施的，扣4分； 113.出入口控制、入侵报警、视频监控等技防设施不能正常工作的，扣3分； 114.非授权人员进入保密要害部门部位未经批准登记并未采取监督管理措施的，扣3分； 115.未经批准，带入具有无线通信、拍摄、录音等功能的电子设备的，扣2分； 116.将手机带入保密要害部门部位的，扣2分； 117.未对进入的工勤服务人员采取管理措施的，扣2分； 118.涉及保密要害部门部位的工程建设项目不符合安全保密要求或者保密防护措施未经保密工作机构审核的，扣3分。 24分 信息系统、信息设备和存储设备管理(140分) 重点项目 119.涉密信息系统通过系统测评但未提交涉密网络运行许可申请，或者己获得运行许可但未按要求进行风险评估的，扣20分； 120.使用不与互联网及其他公共信息网络连接的内部非涉密信息系统、非涉密信息设备和非涉密存储设备存储、处理、传输涉密信息的，扣10分； 121.修改、删除涉密计算机保密技术防护专用系统的监控程序报警回联地址的，扣10分； 122.擅自访问、下载、存储、传输知悉范围以外的国家秘密的，扣10分： 123.擅自扫描或者检测涉密信息系统的网络基础设施、安全保密产品以及应用系统的，扣10分； 124.故意隐藏涉密信息设备和涉密存储设备，规避检查的，扣10分； 125.测试、调试、仿真、工控、数控等专用信息设备或者信息系统，接入涉密信息系统未制定专门的安全保密方案并报国家保密行政管理部门审查的，扣10分； 126.涉密信息系统采用虚拟化技术，未制定专门的安全保密方案并报国家保密行政管理部门审查的，扣lO分； 127.采用无线方式接入涉密信息系统或者涉密计算机，未采用国家保密行政管理部门和国家密码管理部门检测合格的安全保密设施设备和密码设备，未制定专门的安全保密方案并报国家保密行政管理部门审查的，扣10分； 128.委托无相应资质单位承担涉密信息系统运行维护的，扣10分； 129.未经审批更换涉密服务器、涉密计算机硬盘，重装操作系统；或者现场审查前6个月内，更换(报废)涉密服务器、涉密计算机硬盘，重装操作系统数量超过总数20%的，扣10分。 涉密信息系统 130.尚未存储处理涉密信息的涉密信息系统，未经系统测评的，扣1分； 131.《涉及国家秘密的信息系统使用许可证>涉及事项发生变化时未按有关规定及时报告的，扣2分； 132.提供的涉密信息系统拓扑结构图不完整，或者与测评报告、风险评估报告以及实际情况不符的，扣2分。 5分 管理机构及人员 133.未明确信息化管理部门和运维机构的，扣2分； 134.信息化管理部门和运维机构设置及人员配备未到位或者不能满足实际需要的，扣2分； 135.未与受委托承担涉密信息系统运行维护的机构(单位)签订保密协议，或者未对受委托承担运行维护人员进行保密审查、签订保密承诺书的，扣1分； 136.信息安全保密管理体系文件不符合国家保密法规标准和单位业务工作实际的，扣2分； 137.信息安全策略存在明显的安全隐患、漏洞的，或者未及时根据涉密信息系统变化情况进行调整的，扣2分； 138.信息安全保密管理体系文件未按规定程序发布、宣贯、实施的，扣1分； 139.相关人员不掌握信息安全保密管理体系文件应知基本内容的，发现1人扣1分，最高扣2分； 140.运行维护机构未制定运行维护工作制度和操作规程，未落实安全保密要求的，扣1分； 141.“三员”未实现相互独立、相互制约，存在兼任或者替代的，扣4分； 142.“三员”未确定为重要涉密人员，或者未经安全保密培训的，发现1人扣1分，最高扣3分； 143.“三员”无运行维护记录，或者运行维护记录不能反映真实情况的，扣1分： 144.“三员”在运行维护中未能发现明显安全保密隐患和违规行为，或者未按规定程序处理的，扣2分。 23分 设备管理 145.信息系统、信息设备和存储设备未建立台账，或者台账信息要素不全、账物不符的，扣2分； 146.涉密信息设备和涉密存储设备未建立全生命周期管理档案，或者相关记录不全的，扣2分； 147.涉密信息设备和涉密存储设备未按规定程序确定涉密等级的，扣2分； 148.涉密信息设备和涉密存储设备未确定责任人的，发现1个扣1分，最高扣3分； 149.信息设备和存储设备无标识或者标识不符合要求的，发现1台(个)扣1分，最高扣3分； 150.涉密信息设备或者涉密存储设备中的涉密信息无密级标志，或者密级标志与涉密等级不符的，发现1台(个)扣1分，最高扣3分； 151.未按规定程序对涉密信息设备和涉密存储设备进行变更和调整的，或者记录不全、与实际情况严重不符的，扣3分； 152.擅自卸载、修改涉密信息系统、涉密信息设备和涉密存储设备的安全技术程序、管理程序的，发现一起扣1分，最高扣4分； 153.涉密信息设备连接未经授权的存储设备的，或者高密级存储设备接入低密级信息设备的，扣2分； 154.超出涉密等级或者知悉范围配备、管理和使用涉密信息设备的，扣2分； 155.涉密存储设备未确定控制范围，或者未按规定程序授权使用的，扣2分； 156.超出涉密信息系统、涉密信息设备和涉密存储设备的涉密等级存储、处理、传输涉密信息的，发现l台(个)扣1分，最高扣4分； 157.测试、调试、仿真、工控、数控等专用信息设备或者信息系统，未明确涉密等级和保护要求的，或者未采取相应安全控制措施的，扣2分。 34分 外出携带、维修、报废 158.未按工作需要配备专供外出携带的涉密信息设备和涉密存储设备并由专人管理的，扣1分； 159.携带外出未履行审批程序的，扣2分； 160.携带外出期间未对设备接入和信息导入导出进行记录的，扣2分； 161.借出前或者归还后未进行保密检查，或者检查结论与实际情况不符的，扣2分； 162.涉密信息设备和涉密存储设备未按规定程序进行维修和报废的，扣2分； 163.维修中未对维修人员以及存储过涉密信息的硬件和固件采取有效的管控措施的，扣4分； 164.维修报废中相关登记记录不完整的，扣1分。 14分 安全产品与无线通信功能防护 165.未正确配置和使用安全保密产品的，扣2分； 166.安全保密产品失效或者功能不符合保密要求的，扣2分； 167.涉密信息系统、涉密计算机等未采取病毒和恶意代码检测和查杀措施的，扣1分； 168.涉密信息系统、涉密信息设备和传输线路的电磁泄漏发射不符合安全保密要求且未采取保护措施的，扣1分： 169.涉密信息设备和涉密存储设备具有无线通信功能，或者连接具有无线通信功能的外部设备的，扣2分。 8分 软硬件安装卸载 170.涉密信息系统服务器、终端和涉密计算机更换硬盘、重装操作系统，无操作内容记录和操作人员签字的，扣1分； 171.未按规定程序安装和拆卸涉密信息设备硬件或者外部设备的，发现l台扣1分，最高扣2分； 172.涉密信息系统和涉密信息设备使用的软件未统一管理并制定软件清单的，扣1分； 173.涉密信息系统和涉密信息设备安装软件白名单以外的软件未履行审批程序，或者安装记录与实际不符的，扣1分。 5分 身份鉴别 174.涉密信息系统和涉密信息设备的身份鉴别措施不符合相关保密标准要求的，扣1分； 175.身份鉴别措施未根据涉密人员岗位和密级变化情况及时调整，或者USB Key等身份鉴别装置、账户信息与真实用户不符的，扣2分； 176.未经授权，知悉或者掌握他人的身份鉴别装置和登录信息的，扣1分； 177.USB Key等身份鉴别装置未参照国家秘密载体的要求管控的，扣1分。 5分 访问控制 178.未按规定程序根据国家秘密的知悉范围实现主体对客体的访问授权的，扣3分； 179.未采取管理或者技术措施，防止信息设备、存储设备的非授权接入以及涉密信息的非授权获取的，扣2分； 180.多人共同使用一台涉密计算机，能够非授权访问或者获取他人涉密信息的，扣3分。 8分 信息导入导出 181.未按照相对集中原则设置涉密信息系统、涉密信息设备和涉密存储设备的信息导入导出点，并指定专人负责管控的，扣1分； 182.中间机的管理和使用不符合保密要求的，扣2分； 183.未按规定程序导入信息，或者未对导入信息内容、使用的移动存储设备进行记录的，发现1份扣1分，最高扣3分； 184.未按规定程序导出信息，或者导出信息内容与申请不一致的，发现l份扣1分，最高扣4分； 185.信息导入导出的监控审计记录与实际情况不符的，扣3分。 13分 涉密信息系统机房、服务器与集中存储 186.涉密信息系统机房未划定安全控制区域，或者未采取相关安全保密控制措施的，扣2分； 187.未按规定程序操作涉密信息系统服务器的，或者采用堡垒机、KVM未对操作记录进行控制的，扣2分； 188.涉密信息系统服务器未采取相应安全的控制措施的，扣2分； 189.未采取技术措施实现关键业务数据和涉密信息备份与恢复中的权限控制，或者操作记录与实际不符的，扣1分； 190.数据库服务器、磁盘阵列等集中存储的涉密信息，未采取管理和技术措施，实现安全可控的，扣2分。 9分 安全审计与风险评估 191.未根据审计策略对信息系统、信息设备和存储设备进行审计，或者明显编造审计报告的，扣3分； 192.审计报告内容与实际不符，或者未对审计中发现的问题提出整改建议的，扣2分； 193.信息化管理部门和分管业务负责人未对审计中发现的问题提出整改要求并监督落实的，扣1分； 194.年度内未对涉密信息系统、涉密信息设备和涉密存储设备进行风险自评估的，扣2分； 195.选择非国家保密行政管理部门授权机构进行风险自评估的，扣2分： 196.信息化管理部门及分管业务负责人未对风险自评估中发现的风险和隐患提出补救措施并监督落实的，扣1分。 11分 互联网接入 197.未建立互联网接入终端审批和登记制度，或者未设置管理人员的，扣1分； 198.单位在一地的互联网接入口多于2个，或者对接入口未采取符合规定的防护监管技术措施的，扣2分； 199.未采取管理和技术措施对互联网上网行为进行监控审计的，扣2分。 5分 新闻宣传管理(12分) 200.宣传报道未按规定进行保密审查的，扣2分； 201.举办展览未经保密审查或者主管部门审批的，扣2分； 202.展品制作未采取严格控制措施的，扣1分； 203.参观单位涉密展室未经批准的，扣1分； 204.发表著作和论文未经保密审查的，扣2分； 205.接受新闻媒体采访未经批准的，扣2分； 206.参观武器装备科研生产现场未经主管部门审批的，扣2分。 12分 涉密会议管理(10分) 207.涉密会议未准确确定密级，或者在不符合保密要求的场所召开的，扣2分； 208.重要涉密会议未按要求制定保密方案并采取保密防护措施的，扣1分； 209.未对与会人员进行身份登记确认的，扣1分； 210.涉密载体发放、清退、保管和销毁不符合要求的，扣3分： 211.携带手机等移动通信工具进入会议场所的，扣1分； 212.涉密会议的录音、录像等不符合要求的，扣1分； 213.会议设备的管理和使用不符合要求的，扣1分。 10分 外场试验管理(12分) 214.未制定保密方案或者未指定保密负责人的，扣2分； 215.牵头单位未履行试验现场组织协调保密管理工作职责的，扣2分； 216.涉密数据交换和通信未采取保密措施的，扣2分： 217.涉密载体和密品管理不符合要求的，扣2分； 218.外场试验记录不能反映保密管理情况的，扣2分； 219.外场试验牵头单位未定期对试验现场的保密工作进行检查的，扣2分。 12分 协作配套管理(10分) 220.在合同中未明确保密条款和签订保密协议或者未明确合同文本和项目密级以及保密责任的，扣3分； 221.向协作配套单位提供了项目研制必需的技术要求以外涉密内容的，扣3分； 222.未对协作配套单位履行合同保密条款和保密协议进行监督检查的，扣2分： 223.未严格执行合同保密条款或者未遵守保密协议的，扣2分。 10分 涉外管理(10分) 224.对外交流、合作和谈判等活动中未制定保密方案、明确保密事项的，扣2分； 225.对外交流、合作和谈判等活动中未采取相应保密措施、执行保密提醒制度的，扣3分； 226.接待境外人员来访，未按规定审批或者对境外人员进行身份确认登记、明确活动区域的，扣2分： 227.对外交流内容、谈判口径、提供文件资料和物品未经审查审批的，扣3分。 10分 监督与保障 保密监督检查(15分) 228.单位半年内未组织保密检查或者未按照要求开展专项检查的，扣5分； 229.涉密部门季度内未进行保密自查的，扣3分； 230.对保密检查中发现的问题未提出书面整改要求的，扣3分； 231.未监督检查整改落实情况的，扣4分。 15分 泄密事件查处(6分) 232.未按规定及时报告泄密事件并采取补救措施的，扣3分； 233.未按规定组织对泄密事件进行查处的，扣3分。 6分 考核与奖惩(10分) 234.未将履行保密职责情况纳入年度绩效考核的，扣4分： 235.未对保密工作先进集体和个人进行表彰奖励的，扣3分； 236.未对违规行为进行处罚或者未执行保密责任追究制度的，扣3分。 10分 保密工作经费(7分) 237.保密管理经费未单独列入单位年度财务预算的，扣2分； 238.保密管理经费数额未达到标准要求的，扣2分； 239.保密管理经费未根据工作需要保证足额开支的，扣2分： 240.专项经费未按照实际需要予以保障的，扣1分。 7分 保密工作档案(6分) 241.文字记载不完整的，扣2分： 242.文字记载不真实的，扣2分； 243.未按规定保存或者保存期限不符合要求的，扣2分。 6分