軍工保密資格審查認證問題解釋
在新一輪軍工保密資格審查認證中,不少申請軍工保密資格的單位提出了許多問題,我們通過咨詢認證機構的有關專家,對大家提出的問題進行了整理解答,現將其中具有代表性的問題歸納如下,希望能對大家有所幫助。
1.如何理解軍工保密資格審查認證與軍工單位日常保密管理的關系?
軍工保密資格審查認證是保密管理工作中的一個重要環節,但不能替代軍工單位日常保密管理工作。日常保密管理應當按照國家有關保密法規、政策和相關規定進行,保密資格認證與保密管理相輔相成,相互促進。
2.《武器裝備科研生產單位保密資格標準》規定,如果有單位不涉及某項工作,可以免予制定相關保密制度。但《武器裝備科研生產單位保密資格評分標準》中又規定,基本制度不健全的要扣分,如何理解?
單位基本制度制定過程中,對單位不涉及的事項可以免于制定相關制度,現場審查時可以不予扣分。
3.對于二級、三級單位的復查時間以何為準?
在新一輪軍工保密資格認證中,二級、三級保密資格單位取得保密資格的時間以省(區、市)軍工保密資格認證委的批準時間為起算點。
4.有的單位只對生產場所進行搬遷,不是整體搬遷,這種情況是否重新申請認證?
如搬遷部分涉及重大涉密科研生產任務,應當重新申請現場審查認證。若只是單位少部分涉密場所搬遷,按照審查權限,軍工保密資格審查認證機構應當派人到現場進行實地考察,根據情況做出是否需要重新進行認證的決定。
5.項目或產品僅有背景、用途、數量涉密的,不屬于保密資格審查認證范圍,其中“背景”如何理解?
在軍工保密資格審查認證中,背景只針對工程、項目,用途針對具體產品。
6.保密管理經費開支不合理的,是否需要扣分?
保密管理經費應當用于保密管理工作,若發現其用于與保密工作無關的辦公費等,現場審查中應當扣分。
7.如何區別保密責任書、保密協議書、保密承諾書?
一般來講,保密承諾書是涉密人員對國家做出的保密承諾,保密責任書是單位內部上下級之間責任歸屬的界定,保密協議書是單位與單位或個人與單位之間承擔義務、享有權利的約定。近年來,一些軍工企事業單位為了加強對涉密人員的責任約束,明確涉密人員應當承擔的保密義務,以承諾書、責任書、協議書等形式與本單位工作人員簽訂了各種法律文書。2009年3月14日,國家保密局等幾部委局聯合下發了《關于組織開展保密承諾書簽訂工作的通知》(國保發[2009]3號),對保密承諾書簽訂工作進行了規范。各軍工企事業單位已經按該通知要求對保密承諾工作進行了規范,其與本單位涉密人員簽訂的保密承諾書可以視為《武器裝備科研生產單位保密資格標準》中要求簽訂的保密責任書。
8.通過涉密信息系統測評,并經過專家評審,是否可以申請軍工保密資格審查認證?
為加快新一輪軍工保密資格審查認證工作整體進度,申請單位涉密信息系統通過測評可以申請保密資格現場審查。通過現場審查認證,待取得國家保密行政管理部門頒發的《涉及國家秘密的信息系統使用許可證》,經國家或省級武器裝備科研生產單位保密資格審查認證委員會批準后,方可正式取得保密資格,列入《武器裝備科研生產單位保密資格名錄》。
9.武器裝備科研生產單位申請一級保密資格時,涉密信息系統必須通過測評。申請二級或三級保密資格時,涉密信息系統是否也必須通過測評?
不論申請哪級保密資格,只要有涉密信息系統,有關單位必須先通過測評和審批,最終取得國家保密行政管理部門頒發的《涉及國家秘密的信息系統使用許可證》。
10.涉密信息系統中的應用系統能否單獨進行測評和審批?
如果涉密信息系統已經通過測評和審批,取得國家保密行政管理部門頒發的《涉及國家秘密的信息系統使用許可證》,之后新增的涉密應用系統,屬于涉密信息系統變更,根據《涉及國家秘密的信息系統審批管理規定》,應當及時向原批準的保密行政管理部門報告,保密行政管理部門根據實際情況,可以決定是否對其重新進行測評和審批。
11.單位沒有涉密信息系統,涉密單機是否需要進行測評?
保密資格審查認證標準中對此沒有強制要求,即對于只有單臺涉密計算機的單位,并不要求獲得《涉及國家秘密的信息系統使用許可證》。
12.經批準后,有的單位對涉密計算機頻繁格式化并重新安裝操作系統,如何認定?
經單位有關部門批準對涉密計算機進行格式化,重新安裝操作系統,理由充分的不扣分。但經檢查發現,以規避審查認證為目的對涉密計算機和信息系統進行突擊性格式化或重新安裝操作系統的,以及審批手續不嚴格、不嚴肅的,應按標準要求,作扣分處理。
13.相關保密工作部門(機構)能否購買國外研制的技術檢查取證工具?
不允許。保密技術檢查取證工具必須通過國家有關主管部門指定測評機構的測評或鑒定。
14.“三員”(即涉密信息系統配備的系統管理員、安全保密管理員、安全審計員)中的安全保密管理員或安全審計員是否可兼任單位保密工作機構中技術人員的崗位?“三員”可否隸屬于不同部門?
可以。“三員”(即涉密信息系統配備的系統管理員、安全保密管理員、安全審計員)中的安全保密管理員或安全審計員可兼任單位保密工作機構中技術人員的崗位,并可以隸屬于不同部門。
15.單臺涉密計算機需要配備“三員”嗎?
按照有關要求,單臺涉密計算機應當配備一名安全保密管理員,由該管理員負責全部安全保密管理工作,不用再配備其他管理人員。
16.如何從涉密信息系統中輸出電子涉密文件?
經業務主管部門和信息化管理部門審批后輸出。
業務主管部門負責文件輸出內容的審批,包括涉密文件是否確需輸出,內容是否符合保密范圍規定,文件去向是否可控等;信息化管理部門進行具體輸出操作的審批管理,確定經由刻錄光盤或專用涉密移動存儲介質輸出。輸出的涉密載體應當由專人簽字領取。
17.涉密(非涉密)設備總臺賬應由什么部門管理?
應由信息化管理部門管理、維護,報單位保密工作機構備案。
18.涉密設備臺賬是否應按照密級文件管理?
涉密設備臺賬中有設備密級、部門、人員姓名、IP地址、MAC地址等內容,應當定密并按密級文件管理。
19.如果單位擁有少量涉密單臺計算機(2~3臺),每臺均有專人管理,是否強制設置一個信息出口?
由單位自行規定,按照有關要求實現出口可控即可。
20.現場審查時,發現涉密計算機殺毒軟件有殺毒的歷史記錄(即曾經中毒但已殺掉),如何處理?
現場審查時,如涉密計算機中已無存活病毒,不扣分;若有存活病毒則需按有關要求扣分。
21.筆記本電腦中的無線互聯功能硬件模塊都包括什么?
無線網卡、藍牙、紅外設備。
22.如何理解“禁止非涉密中間機導出信息”?
非涉密中間機用于將國際互聯網、公共信息網絡和其他非涉密信息系統的信息導入涉密計算機和信息系統。禁止從非涉密中間機導出信息,是為避免在涉密計算機及信息系統與非涉密中間機之間形成擺渡通道,破壞物理隔離。
23.涉密信息系統建設經費可否列入保密專項經費?
用于涉密信息系統安全保密防護系統的經費可以列入。
24.涉密安全域的信息如何傳向非涉密安全域?
涉密信息不允許由涉密安全域傳向非涉密安全域。涉密安全域中的非密信息可使用涉密信息系統中的應用系統(如文件傳輸或交換系統等)傳向非涉密安全域,但需要有安全域邊界控制和訪問控制。
25、原來的信息設備及存貯介質已經有資產管理部門的標簽了,還要另貼保密部門的標識嗎?
所有涉密和非涉密的信息設備和存貯介質雖然有資產管理部門的標簽了,但還要貼保密部門的專用標識,這是兩回事。
信息設備和存儲介質保密標識要求:
(1)清晰、內容完整準確;
(2)主題、徽標、警示語突出;
(3)標明用途、密級、責任部門、責任人、序列編號等;
(4)粘貼正確,不易損毀。
涉密信息設備和存儲介質中的涉密信息保密標識要求:
(1)計算機和存儲介質中的涉密信息須標明密級;
(2)過程文件、資料涉密信息也必須標明密級。
26、涉密人員考試的內容是什么?題量有多大?
考試的內容是在題庫中隨機抽取的。題量一般是:填空題10道,單選題和多選題各10道,判斷題10道,簡答題3道,論述題1道。時間60分鐘。
27、新申辦單位怎么著手整理檔案?有哪些檔案需要整理歸檔?
檔案整理要嚴格按認證標準按照六大項,一級248小項;二級243小項;三級237小項逐條通過。一般情況下檔案應該有半年以上的運行資料。如會議記錄、機構成立、人員培訓教育、要害部門部位等。
檔案應該包括領導責任檔案、保密組織機構檔案、專職保密工作人員檔案、保密工作經費檔案、保密制度檔案、涉密人員管理檔案、國家秘密載體管理檔案、保密要害部門部位及其防護措施檔案、通信和計算機信息系統及辦公自動化設備的管理檔案、重點涉密活動和涉外保密管理檔案、保密獎懲檔案、保密工作檔案、泄密事件查處檔案和工作獎勵檔案等。
28、中間機的作用是什么?能用中間機往外導數據嗎?
答:中間機用途是“只進不出”,即一般將外來的數據往里導,而不往外導數據。中間機分涉密和非涉密中間機,分別往里導涉密和非涉密信息。切記:非涉密中間機絕對不能處理涉密信息!
29、定密負責人必須是單位領導嗎?保密辦負責定密嗎?定密的依據是什么?
定密負責人不一定是單位領導,一般是總師或非常熟悉項目型號的負責人,關鍵是有定密的能力。
保密辦一般不負責定密,定密的責任在定密領導小組。
定密的依據是:《保密法》、《保密法實施辦法》、《國家秘密及其密級具體范圍的規定》、《國家秘密文件、資料和其他物品標志的規定》和項目的《合同書》、《任務書》等。
30、密級可以調高嗎?也可以降低嗎?
密級可以調整,但一般只升不降。
定密難度大,定密不準也是常有的問題。
31、怎么將財務中涉密項目的帳歸到單位的大帳中去?
可以將財務中的涉密項目進行脫密處理,如可用內部編號的方式處理。
如果使用涉密機處理財務數據,可用刻錄光盤方式把數據導出來。
32、涉密計算機和非涉密計算機能不能同置一室?
涉密和非涉密計算機一般不要安排在同一室,如果確因條件所限必須同置一室時,在布線和距離上必須符合要求,且有明顯提醒標識。另外涉密計算機須用紅黑電源。
33、涉密單位能不能使用手機?哪些情況下不能使用手機?
標準中對此并無明確要求。目前的情況是,一級單位一般不讓使用,二、三級單位大多可以使用。但是在重點要害部門部位和涉密會議是明確規定不允許使用手機。
34、分布在各部門的涉密設施存放有什么要求?涉密人員能不能自己存管自己使用的涉密設施?
涉密設施要求使用電子防盜鐵皮柜存放。保密本也必須存放在防盜鐵皮柜中。涉密人員也必須按此規定存放自己使用的涉密設施。
35、保密辦就是重點要害部門部位嗎?一般涉密單位哪些是重點要害部門部位?
保密辦一般不是重點要害部門部位,除非它集中存放了大量的國家秘密。
要害部門部位一般指的機要室、檔案室、密品集中存放場所、信息中心機房等。
36、涉密部門就一定是涉密部位嗎?
單位內部業務工作中經常或大量產生國家秘密的部門,應確立為保密要害部門。涉密部門是指產生流轉國家秘密的機構,主要指人。
集中存放國家秘密載體的場所,應確定為保密要害部位。涉密部位是指存放國家秘密的場所,主要指物。
涉密部門不一定就是涉密場所。如國家保密局技術處是涉密部門,但并不是涉密場所。
37、新申辦單位能不能全部使用新機子參加認證審查?
可以,實際上很多新申辦的單位都采用這種方式,但需要有一定的運行時間。
38、涉密人員在100人以下的單位能不能不單獨設立保密辦,而將其設在辦公室?
可以,但必須有兼職保密干部,且有紅頭文件明確保密辦職能在辦公室,明確保密辦負責人,明確保密組織機構及職責等。
39、二級單位能否配套三級單位?即高密級單位能否配套低密級單位?
可以。實際上很多一級單位的下級配套單位就是二、三級單位,而再往下的配套單位可能就是三級了,這是正常的。
40、有無必要由保密辦或信息中心集中存管日常使用的涉密計算機?
這樣實際上不大可行。因為涉密人員每次用機都要辦手續,就可能有人嫌麻煩,而在非涉密機上處理涉密信息。
41、是不是所有涉密單位都要向保密認證機構提供保密實施方案?
有涉密內網的單位必須提供保密認證實施方案,而只有涉密單機的單位只須做好單機的技術防護工作就行了。
42、怎樣做好保密機構建設工作?
(1)根據涉密單位的規模,成立保密委員會或保密工作領導小組(要有紅頭文件)。
(2)領導小組會議記錄每年至少1次,含會議簽到表等。
(3)年度保密工作要點或計劃。
(4)年底保密工作總結(年初自查報告上報科工辦)。
(5)成立保密辦,配備相應的保密工作機構人員(明確人員和職責等)。
(6)保密辦工作例會記錄。
(7)保密干部要有培訓證書。
43、如何確定涉密人員?
先明確《涉密崗位及等級》,再根據涉密人員工作任務、工作崗位及職責范圍的實際涉密情況綜合界定其涉密等級。
44、高、低密移動存儲介質能交叉使用嗎?
低密移動存儲介質可以在高密機上使用,但不能存儲高于其密級的涉密信息。高密移動存儲介質不能在低密機上使用。
45、“三合一”系統能用于管理單位非涉密計算機或內網嗎?
不能。因為目前“三合一”設備國家將其定性為“密品”,所以不能用于非涉密網絡和費涉密計算機。
