涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法

中共中央保密委员会办公室、国家保密局关于印发
《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》的通知  

１９９８年１０月２９日　中保办发［１９９８］６号

  各省、自治区、直辖市党委保密委员会办公室（保密局），中央和国家机关各部委保密委员会办公室，解放军保密委员会办公室，各人民团体保密委员会办公室：

  为落实《中共中央关于加强新形势下保密工作的决定》中提出的“涉及国家秘密的通信、办公自动化和计算机信息系统的建设，必须与保密设施的建设同步进行，报经地（市）级以上保密部门审批后，才能投入使用”的要求，规范保密部门的审批工作，经报请中央保密委员会领导同意，现将《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》印发给你们，请照此执行，执行中有何问题望及时反馈。

  附：涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法

  第一章 总 则

  第一条   为落实《中共中央关于加强新形势下保密工作的决定》中“涉及国家秘密的通信、办公自动化和计算机信息系统的建设，必须与保密设施的建设同步进行，报经地（市）级以上保密部门审批后，才能投入使用”的要求，规范审批工作，制定本办法。

  第二条   审批工作应当坚持讲求科学，实事求是，既确保国家秘密又便利各项工作的原则。

  第三条   本办法适用于地（市）级以上保密部门对涉及国家秘密的通信、办公自动化和计算机信息系统（以下简称涉密系统）的审批工作。

  第四条   国家保密局主管涉密系统的审批工作。

  第五条   本办法所称的通信、办公自动化和计算机信息系统是指以计算机、电话机、传真机、打印机、文字处理机、声像设备等为终端设备，利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。

  第六条   本办法所称的保密设施是指为防止涉密信息的泄露或者被非法窃取而采用的设备、技术和管理的组合。

  第二章 审批权限

  第七条   地（市）级以上各级保密局审批本行政区域内的涉密系统。跨区域的涉密系统由上一级保密局审批。

  第八条   中央和国家机关各部门管理的涉密系统由各部门的保密工作机构审查，由部门主管保密工作的领导批准，并报国家保密局备案。国家保密局视情进行核查或抽查。

  第三章 审批程序

  第九条   涉密系统投入使用之前，保密部门应当对涉密系统主管部门（单位）报送的保密设施情况书面材料进行初步审查。报送的书面材料应当包括：

  （一）涉密系统的用途、结构及软硬件配置的基本情况；

  （二）涉密系统所处理信息的最高密级和涉密信息的运行状况；

  （三）涉密系统采取的安全保密技术措施以及有关的认证结论或者审批件（复印件）；

  （四）涉密系统保密管理制度。

  第十条   保密部门进行现场考察和测试。

  第十一条   保密部门组织有关主管部门、专家对涉密系统的安全保密情况进行评估论证。

  第十二条   保密部门对具备投入运行条件的涉密系统应当批准使用。对不完全具备投入运行条件的应指出存在的问题和漏洞，由其主管部门（单位）改进后另行报批；对不采取改进措施继续使用的，应当责令其主管部门（单位）停止使用。

  第十三条   已经投入使用尚未经过审批的涉密系统，保密部门应当要求其主管部门（单位）报送保密设施情况的书面材料，并且按照上述程序进行审批。

  第四章 审批内容

  第十四条   涉密信息的定密制度和管理制度应当符合《中华人民共和国保守国家秘密法》及其实施办法和有关法规。

  第十五条   涉密系统应当符合《计算机信息系统保密管理暂行规定》。

  第十六条   涉密系统不得直接或间接国际联网，必须实行物理隔离。

  第十七条   涉密系统的身份认证应当符合以下要求：

  （一）口令应当由系统安全保密管理人员集中产生供用户选用，并有口令更换记录，不得由用户产生；

  （二）处理秘密级信息的系统口令长度不得少于六个字符，口令更换周期不得长于一个月，处理机密级信息的系统，口令长度不得少于八个字符，口令更换周期不得长于一周；处理绝密级信息的系统，应当采用一次性口令或生理特征等强认证措施；

  （三）口令必须加密存储，并且保证口令存放载体的物理安全；

  （四）口令在网络中必须加密传输。

  第十八条   涉密系统的访问控制应当符合以下要求：

  （一）处理秘密级、机密级信息的系统，访问应当按照用户类别控制；

  （二）处理绝密级信息的系统，访问必须控制到单个用户。

  第十九条   涉密信息的存储、传输应当符合以下要求：

  （一）秘密级、机密级信息应当加密传输。涉密系统完全处于其主管部门（单位）独立使用和管理的封闭建筑群内，可以只采取物理保护措施；

  （二）绝密级信息应当加密存储、加密传输；

  （三）使用的加密措施应当经过有关主管部门批准，并且与所保护的信息密级一致。

  第二十条   涉密系统的审计跟踪应当符合以下要求：

  （一）涉密系统应当有详细的系统日志，记录每个用户的每次活动（访问时间、地址、数据、程序、设备等）以及系统出错和配置修改等信息；

  （二）处理秘密级、机密级信息的系统，系统安全保密管理人员应当定期审查系统日志并作审查记录，审查周期不得长于一个月； （三）处理绝密级信息的系统，应当能够检测并且记录侵犯系统的事件，及时自动告警。系统安全保密管理人员应当定期审查系统日志并作审查记录，审查周期不得长于一周。

  第二十一条   涉密系统有关设备电磁泄漏发射应当符合以下要求：

  （一）有关设备应当具有符合国家保密标准《电话机电磁泄漏发射限值和测试方法》（现ＢＭＢ－１）或者中华人民共和国公共安全和保密标准《信息设备电磁泄漏发射限值》（GBB－１）的相应标识；

  （二）不符合GBB－１标准的设备在处理绝密级信息的系统中应当在符合国家保密标准的屏蔽室内使用；

  （三）不符合GBB－１标准的设备在处理秘密级、机密级信息的系统中使用，应当安装经国家主管部门批准的干扰器；

  （四）保密部门应当依据国家保密标准《使用现场的信息设备电磁泄漏发射测试方法和安全判据》（BMB－２），现场检查有关设备的电磁泄漏发射情况。

  第二十二条   党政专用电信网应当符合《关于有线电通信保密技术要求暂行规定》和《党政专用电话网保密技术验收要求》。

  第五章 附 则

  第二十三条   军队的涉密系统审批工作按军队的有关规定执行。

  第二十四条   本办法由国家保密局负责解释。

  第二十五条   本办法自发布之日起施行。