涉及國家秘密的通信、辦公自動化和計算機信息系統審批暫行辦法
1998年10月27日 中保委、國家保密局 中保辦發〔1998〕6號
第一章 總 則
第一條 為落實《中共中央關于加強新形勢下保密工作的決定》中“涉及國家秘密的通信、辦公自動化和計算機信息系統的建設,必須與保密設施的建設同步進行,報經地(市)級以上保密部門審批后,才能投入使用”的要求,規范審批工作,制定本辦法。
第二條 審批工作應當堅持講求科學,實事求是,既確保國家秘密又便利各項工作的原則。
第三條 本辦法適用于地(市)級以上保密部門對涉及國家秘密的通信、辦公自動化和計算機信息系統(以下簡稱涉密系統)的審批工作。
第四條 國家保密局主管涉密系統的審批工作。
第五條 本辦法所稱的通信、辦公自動化和計算機信息系統是指以計算機、電話機、傳真機、打印機、文字處理機、聲像設備等為終端設備,利用計算機、通信、網絡等技術進行信息采集、處理、存儲和傳輸的設備、技術、管理的組合。
第六條 本辦法所稱的保密設施是指為防止涉密信息的泄露或者被非法竊取而采取的設備、技術和管理的組合。
第二章 審批權限
第七條 地(市)級以上各級保密局審批本行政區域內的涉密系統。跨區域的涉密系統由上一級保密局審批。
第八條 中央和國家機關各部門管理的涉密系統由各部門的保密工作機構審查,由部門主管保密工作的領導批準,并報國家保密局備案。國家保密局視情況進行核查或抽查。
第三章 審批程序
第九條 涉密系統投入使用之前,保密部門應 當對涉密系統主管部門(單位)報送的保密設施情況書面材料進行初步審查。報送的書面材料應當包括:
(一)涉密系統的用途、結構及軟硬件配置的基本情況;
(二)涉密系統所處理信息的最高密級和涉密信息的運行狀況;
(三)涉密系統采取的安全保密技術措施以及有關的認證結論或者審批件(復印件);
(四)涉密系統保密管理制度。
第十條 保密部門進行現場考察和測試。
第十一條 保密部門組織有關主管部門、專家對涉密系統的安全保密情況進行評估論證。
第十二條 保密部門對具備投入運行條件的涉密系統應當批準使用。對不完全具備投入運行條件的應指出存在的問題和漏洞,由其主管部門(單位)改進后另行報批;對不采取改進措施繼續使用的,應當責令其主管部門(單位)停止使用。
第十三條 已經投入使用尚未經過審批的涉密系統,保密部門應當要求其主管部門(單位)報送保密設施情況的書面材料,并且按照上述程序進行審批。
第四章 審批內容
第十四條 涉密信息的定密制度和管理制度應當符合《中華人民共和國保守國家秘密法》及其實施辦法和有關法規。
第十五條 涉密系統應當符合《計算機信息系統保密管理暫行規定》。
第十六條 涉密系統不得直接或間接國際聯網,必須實行物理隔離。
第十七條 涉密系統的身份認證應當符合以下要求:
(一)口令應當由系統安全保密管理人員集中產生供用戶選用,并有口令更換記錄,不得由用戶產生;
(二)處理秘密級信息的系統口令長度不得少于六個字符,口令更換周期不得長于一個月;處理機密級信息的系統,口令長度不得少于八個字符,口令更換周期不得長于一周;處理絕密級信息的系統,應當采用一次性口令或生理特征等強認證措施;
(三)口令必須加密存儲,并且保證口令存放載體的物理安全;
(四)口令在網絡中必須加密傳輸。
第十八條 涉密系統的訪問控制應當符合以下要求:
(一)處理秘密級、機密級信息的系統,訪問應當按照用戶類別控制;
(二)處理絕密級信息的系統,訪問必須控制到單個用戶。
第十九條 涉密信息的存儲、傳輸應當符合以下要求:
(一)秘密級、機密級信息應當加密傳輸。涉密系統完全處于其主管部門(單位)獨立使用和管理的封閉建筑群內,可以只采取物理保護措施;
(二)絕密級信息應當加密存儲、加密傳輸;
(三)使用的加密措施應當經過有關主管部門批準,并且與所保護的信息密級一級。
第二十條 涉密系統的審計跟蹤應當符合以下要求:
(一)涉密系統應當有詳細的系統日志,記錄每個用戶的每次活動(訪問時間、地址、數據、程序、設備等)以及系統出錯和配置修改等信息;
(二)處理秘密級、機密級信息的系統,系統安全保密管理人員應當定期審查系統日志并作審查記錄,審查周期不得長于一個月;
(三)處理絕密級信息的系統,應當能夠檢測并且記錄侵犯系統的事件,及時自動告警。系統安全保密管理人員應當定期審查系統日志并作審查記錄,審查周期不得長于一周。
第二十一條 涉密系統有關設備電磁泄漏發射應當符合以下要求:
(一)有關設備應當具有符合國家保密標準《電話機電磁泄漏發射限值和測試方法》(BMB—1)或者中華人民共和國公共安全和保密標準《信息設備電磁泄漏發射限值》(GBB—1)的相應標識;
(二)不符合GBB—1標準的設備在處理絕密級信息的系統中應當在符合國家保密標準的屏蔽室內使用;
(三)不符合GBB—1標準的設備在處理秘密級、機密級信息的系統中使用,應當安裝經國家主管部門批準的干擾器;
(四)保密部門應當依據國家保密標準《使用現場的信息設備電磁泄漏發射測試方法和安全判據》(BMB—2),現場檢查有關設備的電磁泄漏發射情況。
第二十二條 黨政專用電信網應當符合《關于有線電通信保密技術要求暫行規定》和《黨政專用電話網保密技術驗收要求》。
第五 章附則
第二十三條 軍隊的涉密系統審批工作按軍隊的有關規定執行。
第二十四條 本辦法由國家保密局負責解釋。
第二十五條 本辦法自發布之日起施行。