2023年二级保密资格评分标准具体操作方法

武器装备科研生产单位二级保密资格评分原则具体操作办法重要阐明1、二级保密资格评分原则项目总分值设定为50０分(不含重点检查项）,达成４50分(含)以上为符合原则,如下为不符合原则。２、评分原则共设立6个基本项，达不到基本项规定，中断审查或者复查。3、评分原则第38、52、119—1２9项为重点检查项。４、被审查单位没有项目不扣分，分值计入单位总得分。基本项（共计6项)基本项操作办法支撑文献备注存在下列状况之一，中断审查或者复查。1、保密工作机构设立不符合原则规定查看单位会议记录、红头文献、审查审批记录、组织机构图,以及通过谈话等方式，理解保密工作机构与否按规定单独设立，与其她内设二级机构平行，并独立行使管理职能。２、涉密信息设备和涉密存储设备接入互联网及其她公共信息网络，或者未采取防护办法与互联网及其她公共信息网络之间进行信息交換,也许导致涉密信息失控a）查验涉密信息设备、涉密存储设备,与否存在接入互联网及其她公共信息网络记录或者痕迹,并鉴定接入时间与否为该计算机定密(涉密)后来;

b）查验涉密信息系统、涉密信息设备和涉密存储设备与互联网及其她公共信息网络之间进行信息互换时,采用防护办法(如导入时采用单向导入盒、非涉密中间机,导出时采用刻录一次性非涉密光盘，并通过监控审计系统实行监督检查），与否可以控制涉密信息泄露,与否可以防止因技术因素产生泄密隐患;ﻫC)查验移动存储设备与否在涉密信息设备与互联网及其她公共信息网络之间交叉使用(记录或者痕迹）;

d)可以采用数字取证或者信息恢复技术，对涉密信息设备、涉密存储设备违规外联痕迹进行技术检查和鉴定。3、在互联网及其她公共信息网络,或者在未采用保密办法有线或者无线通讯中存储、解决、传递国家秘密a)查验互联网计算机及其她公共信息网络设备、非涉密通信设备，与否存在涉密信息（无论与否有涉密标志)存储、解决、传播记录或者痕迹,与否接入或者使用过涉密移动存储设备；ﻫb)查验涉密信息设备或者涉密存储设备上与否具有无线通信功能,或者与否外接过具有无线通信功能设备（部件)，假如单位周界以内存在无线通信基站、中继站、无线发射装置，或者无线发射增强装置等,应当验证与涉密信息设备产生交叉耦合调制发射也许性；

Ｃ)查验保密要害部门部位内部与否使用无线通信设备或者无线控制设备，如果使用，且未履行审批程序，也未采用安全保密办法，则应当终结;

ｄ)查验采用保密办法与否符合国家有关规定。４、未按保密规定进行安全技术解决,将退出使用涉密信息设备、涉密信息存储设备赠送、出售、丢弃或者改为她用，也许导致涉密信息失控a)查验退出使用涉密信息设备、涉密存储设备审批程序与否合规，审批单以及有关记录与否真实完整;

b)查验退出使用涉密信息设备与否拆除了存储过涉密信息硬件和固件,或者采用符合国家保密规定消磁、清除等工具对涉密信息进行了解决;ﻫC）假如存在赠送、出售、丢弃或改为她用涉密信息设备和涉密存储设备,查验清单以及有关审批程序,鉴定与否进行迚符合国家保密规定安全技术解决，与否可以保证国家秘密信息不被恢复和获取；

ｄ)查验涉密信息设备、涉密存储设备最后去向。5、涉密信息系统未通过国家保密行政管理部门设立或者授权测评机构系统测评并存储解决涉密信息a)查验国家保密行政管理部门设立或者授权测评机构系统测评报告,是否通过涉密信息系统测评总中心认可并签字盖章;

b）查验系统测评申请书申请范畴和内容,以及系统测评机构拟定范畴和内容与否与涉密信息系统(网络)实际状况一致;ﻫｃ）查验单位所有涉密信息系统使用状况,鉴定在系统则评通过前(具有总中心签字盖章测评报告可拟定为通过)，与否存储或者解决过涉密信息；

d)在涉密信息系统建设方案中,已经明确利旧设备（如本来使用单台涉密计算机作为涉密信息系统顾客终端），假如存储或者解决过涉密信息,在系统测评通过前,不应当接入涉密信息系统；

e）属于扣分情形，不作为终结内容。6、选取涉密协作配套单位不具有相应保密资格查验单位协作配套任务或项目协议,对属于涉密任务,与否选取相应具备有关保密资质单位承担。评分原则操作办法（共计6大项、２４3小项）1、保密责任（45分）1.１、法定代表人或者重要负责人责任(１3分）项目细则操作办法支撑文献备注保证党和国家关于保密工作方针政策和法律法规贯彻执行（7分）

１.年度内未对贯彻贯彻党和国家保密工作方针、政策和法律法规提出明确规定，扣2分;

2.未将保密管理纳入单位管理体系，扣2分;

3.未将保密责任纳入绩效考核，扣２分;ﻫ4.年度内未对保密工作责任制贯彻状况进行监督考核,扣1分。a)通过谈话,理解对《保密法》《保密法实行条例》和《办法》《原则》及单位有关保密制度熟悉状况；对自己应当承担保密责任知悉状况;对本单位保密工作基本状况和保密工作中重点、难点知悉状况;ﻫb)查看单位年度工作要点有无保密工作内容，在上级有关文献和批示、会议发言、工作筹划、工作总结等有无具体贯彻批示、规定和参与单位保密学习培训状况;

c)查看单位管理体系与否纳入保密管理;ﻫｄ）查看单位绩效考核原则有无保密责任考核项;

e)查看保密工作责任制考核奖惩有关材料，理解责任制贯彻状况。为保密工作提供支持和保障（６分）ﻫ5.对本单位保密工作整体状况掌握不够,扣２分;

6.未及时研究解决保密工作重大问题,扣1分；

７．未按规定在人力、财力、物力上为保密工作提供条件保障，扣3分。查看单位人事任命文献或者有关会议纪要，理解保密工作机构设立、专职保密工作人员配备状况；依照年度预算、保密技防建设方案等,现场检查保密条件保障贯彻状况,理解单位对保密工作人力、物力和财力提供支持保障状况。1.2、分管保密工作负责人责任（8分）项目细则操作办法支撑文献备注研究布置保密工作（4分)

８．对本单位保密工作全面状况掌握不够,扣2分;ﻫ9．未对贯彻保密工作提出明确意见和规定,扣１分;ﻫ10.未及时组织研究保密工作中重点、难点问题,扣1分。a)通过谈话，理解与否全面掌握本单位保密工作情况；与否知悉单位保密工作中难点、重点，采用了哪些组织协调贯彻办法；ﻫb）查看工作筹划、总结、会议纪要、审查审批事项文字记录等,理解对保密工作作了哪些具体批示和规定。监督检查保密工作贯彻状况(４分）

1１.年度内未组织检查单位和部门负责人保密工作，扣１分；ﻫ１2.未对不履行保密负责人员进行责任追究,扣１分；

13.对保密工作贯彻状况监督不够，扣1分;ﻫ14．对保密工作机构履行职责支持协助和监督指引不够，扣１分。ａ)查看检查记录,理解与否每年组织对单位和部门负责人保密工作进行检查，与否及时研究和解决发现问题；

ｂ)查看关于记录，理解与否及时协调解决保密工作机构在履行职责中存在问题，与否认期听取工作报告；ﻫＣ)查看关于记录，理解与否对不履行保密负责人员进行了追究或处罚;ﻫd）查看关于记录,涉及保密工作机构年度工作筹划、请示性文献、规划性文献，理解与否支持协助和监督指引。１.3、其她负责人责任（8分)项目细则操作办法支撑文献备注研究贯彻分管业务范畴内保密工作(4分)

15．未组织将保密管理规定融入分管业务工作制度和流程中，扣1分；

16.对分管业务范畴内保密工作职责不清楚,扣1分；ﻫ1７.未及时研究解决分管业务范畴内保密工作直点、难点冋题，扣1分;

１8.未在分管业务工作中按照工作需要严格控制国家秘密知悉范畴,扣1分。a)通过谈话、查阅档案和关于业务管理制度、工作流程等，理解业务工作与否融入了保密管理规定;如何做到保密工作与业务工作相融合以及采用了哪些办法;ﻫb)通过有关文字记录，查看与否及时解决本单位保密工作中重点、难点问题;ﻫC)通过谈话和实地询问有关业务部门,理解对分管业务中涉密事项与否清楚；与否限定了范畴,拟定了知悉人员。监督检查保密工作贯彻状况（４分）ﻫ19.未组织对分管业务工作中保密工作贯彻状况进行监督检查,扣1分；ﻫ20.未组织对分管业务工作中存在保密管理问题督促整治,扣1分；ﻫ21．未对分管业务工作中保密工作开展提供保障,扣1分；ﻫ2２.对单位保密工作机构开展工作支持不够，扣1分。a）通过谈话、查阅档案,理解对分管工作中保密工作与否提供了支持和条件保障;ﻫb)查看会议记录等有关材料等,理解与否结合业务工作实际，对业务工作范畴内保密工作进行了研究、布置和检查;

C)查看保密检查记录,理解保密检查实效;与否对检查出问题有书面整治规定并督促整治。1．４、涉密部门负责人或者涉密项目负责人责任(1０分)项目细则操作办法支撑文献备注掌握本部门或者本项目保密工作状况(３分)ﻫ２3．对保密工作职责不清楚，扣1分;ﻫ２4.对部门或者项目整体保密状况掌握不够,扣1分;ﻫ25．对涉密人员基本状况掌握不够,扣1分。a）通过谈话，理解与否清楚保密工作职责;在保密工作与业务工作相结合方面采用了哪些办法；ﻫb)通过谈话，理解与否知悉本部门或者本项目涉密事项基本状况；ﻫC）通过谈话,理解部门(项目)负责人与否知悉涉密人员保密要点。采用具体办法贯彻保密管理规定（5分）ﻫ26.未将保密管J里规定融人业务工作制度中，扣1分;

2７.对单位布置保密工作贯彻不够,扣1分；

28.对专兼职保密工作人员工作支持不够,扣1分;

２9.季度内未安排保密教导，扣1分;

30.未按照工作需要控制国家秘密知悉范畴，扣1分。a)查阅关于业务资料、工作制度和管理流程,理解是否将保密规定融入业务工作制度;

b)查看会议记录和保密教导记录,理解对接触涉密事项人员与否有保密规定；ﻫC)查看教导培训大纲和人员签到表、考试试卷及笔记等，理解单位、部门对涉密人员保密教导培训状况；d)通过谈话和实地询问,理解对涉密部门负责人或者涉密项目负责人业务中涉密事项与否清楚,与否按照工作需要限定了范畴，拟定了知悉人员。监督检查保密工作贯彻状况（2分）ﻫ３１.季度内未对保密办法贯彻状况进行检查，扣1分;

32.未对检查中发现问题进行监督贯彻整治，扣1分。查看检查记录，理解与否按规定每3个月进行1次保密检查；检查与否真实有故,与否查出了普遍存在问题;对检查出隐患和问题与否整治贯彻。1.5、涉密人员责任(6分）项目细则操作办法支撑文献备注涉密人员履行职责(6分)

3３．对本职岗位保密职责不清楚，扣1分；ﻫ34.对本职岗位业务工作中保密事项不清楚,扣1分;

3５.对保密知识、技能和规定掌握不够,扣1分；ﻫ36.未履行本职岗位保密职责,扣1分;ﻫ3７.未及吋报告泄密隐患、制止违法违规行为,扣2分。a）通过谈话,理解涉密人员对其岗位中保密职责和保密事项与否清楚;ﻫb)谈话理解学习内容和掌握党和国家关于保密工作政策法规、上级规定、本单位制度以及对本职岗位保密职责与否清楚等状况,查看涉密人员保密知识、技能和规定学习记录;

c)通过提问,理解涉密人员对本职岗位各项保密审批程序、载体管理及计算机信息系统关于规定与否熟悉清楚。2、归口管理(6分)项目细则操作办法支撑文献备注38.未依照业务工作实际，明拟定密、涉密人员、信息化、新闻宣传、外事等归口管理部门，扣１０分；ﻫ３9.未明确归口管理部门职责，扣3分；

40.归口管部门未履行职责,扣3分。ａ)通过查看基本制度和业务流程,理解与否结合业务工作实际,在部门职能划分上明确了定密、涉密人员、信息化、新闻宣传、外事等归口管理部门和其管理职责；ﻫｂ）通过谈话，理解归口管理部门负责人及管理人员掌握管理职责状况；ﻫc)查归口部门年度工作筹划、总结、业务制度及关于审查审核记录，看与否将保密管理规定融入业务工作制度和流程中，与否履行了保密管理职责。3、保密组织机构(32）分3.１、保密委员会（保密工作领导小组)（12分）项目细则操作办法支撑文献备注保密委员会（保密工作领导小组)构成及其职责(4分）

41.保密委员会(或保密工作领导小组）成员构成不符合规定，扣2分；

42.保密委员会（或保密工作领导小组)及其成员职责和分工不够明确，扣２分;ａ）通过查看文献，理解保密委员会机构、人员构成与否符合原则规定，与否有明确职责与分工；保密委员会（保密工作领导小组）履行职责（8分)ﻫ４3年度内未召开工作例会,扣１分；ﻫ４4.保密委员会成员未按分工履行职责,扣2分；

45.年度内未对保密工作进行研究和布置,扣2分；

４６.未及时解决保密工作重大问题，扣２分;ﻫ47.保密委员会成员年度内未向保密委员会报告履职状况,扣2分。ａ）查看保密委员会或者保密工作领导小组会议记录,理解参会人员范畴及会议议题;理解与否实行例会制度及与否对本单位保密工作开展作出布置和总结；与否及时研究解决本单位保密工作中重大问题；

ｂ)查看保密委员会签到记录及关于纪要，理解保密委员会成贾参与保密委员会会议状况，与否按职责分工将会议精神进行了传达、执行;

c)查看保密委员会成员年度履职报告,理解保密委员会成员按照分工履职状况；

d）查看有关资料，理解保密工作与否有年度筹划和工作总结。３.2、保密工作机构(20分）项目细则操作办法支撑文献备注机构设立及履行职责（８分）

4８.保密工作机构管理职责和权限不够明确，扣2分;ﻫ49.保密工作机构履行保密管理职责不够，扣2分;

5０.未参与涉密业务工作制度制定，指引业务部门将保密管理规定融人业务工作流程中，扣２分;ﻫ5１.未提出保密责任追究和奖惩建议并监督贯彻，扣2分。ａ)查看单位文献资料、基本制度和业务制度及审查审批记录,理解保密工作机构管理职责和权限与否明确清楚；

b)查看档案资料、业务工作制度和流程,实地检查理解保密工作机构贯彻国家法律法规、上级文献及执行单位保密委员会会议精神状况；如何指引业务部门将保密管理规定融入业务工作流程中状况;监督检查指引协调单位各项保密工作开展状况；对违反保密规定与否进行责任追究,对保密先进与否进行奖励;

C）查看保密工作筹划和工作记录，理解保密工作机构工作开展状况。保密工作人员配备（8分)ﻫ52．专职保密工作人员配备数量不符合原则规定，扣10分；ﻫ53．专职保密工作人员条件不符合原则规定或者未做到专职专用，扣4分;ﻫ5４.专职保密工作人员2人(含)以上，未配备保密技术管理人员,扣2分;

５５.兼职保密工作人员未按规定配备,扣2分查看保密工作机构办公场合、有关文献和任职条件,理解保密工作机构人员配备数量状况与否符合规定,与否做到专职专用;与否按规定配备了保密技术管理人员。保密工作人员知识技能(4分）

56．保密工作机构人员对本单位、业务工作中保密工作重点和具体状况掌握不够,扣２分;

57.保密工作机构人员未通过保密知识技能培训,扣2分。a）询问专职保密工作人员,理解保密管理知识掌握状况,与否掌握本单位保密工作重点状况;ﻫb）查看专职保密工作人员与否通过相应保密知识技能培训。4、保密制度(20分）项目细则操作办法支撑文献备注基本制度(12分)

58.未按规定制定,扣4分；

59.未结合单位工作实际、操作性不强，扣3分;

60.不够全面、精确规范，扣３分;

６1.未及时修订完善,扣2分。a)查看与否按规定制定了基本制度;理解与否有漏项,具体贯彻保障办法如何;ﻫb）查看基本制度，理解与否由归口管理部门结合单位工作实际和特点制定；与否流程化和表单化；与否按照国家法律法规及上级关于规定，全面精确规范制定,并及时修订完善。专项制度(5分)

６２.未按规定制定,扣２分；ﻫ63．职责分工不明确,扣1分；

64.未结合专项任务特点规定具体管理办法，扣２分。a)查看专项工程（重要武器装备工程或项目）、外场试验活动，与否制定专项制度;

b）查看专项制度，理解与否按照专项任务特点和要求,明确任务密级和保密管理职责；与否有保密方案和具体实行状况。业务制度（3分）ﻫ６6．未将保密管理规定融入业务工作制度中，扣3分。查看业务工作制度与否融入保密管理规定，并进行流程化和表单化管理。５、保密管理（353）分5.1、定密管理（2０分)项目细则操作办法支撑文献备注66.未按定密权限依法开展定密工作,扣4分;

67.未明拟定密工作流程，扣2分；ﻫ68．未制定国家秘密事项范畴细目并及时调节，扣3分;ﻫ69.未按规定指定定密负责人，扣2分；ﻫ70.定密负责人未通过培训，扣2分；ﻫ7１．定密程序不符合规定，扣３分；

７2.密级、保密期限和知悉范畴拟定不够精确,扣２分；

73.未开展变更密级或者解密工作，扣2分。a）查看定密授权文献,理解与否被授予定密权限；查看定密工作流程及关于记录，理解单位按照定密权限依法开展定密工作情兄；

ｂ)查看资料，理解与否制定本单位《国家秘密事项范畴细目》,定密根据与否对的,并依照工作实际及时调节；

C)查看单位指定定密负责人文献，与否符合任职条件,与否报国家国防科技工业局和军工集团公司备案；ﻫｄ）查看定密负责人与否通过保密知识技能培训;ﻫe)抽查某些涉密部门产生涉密载体，检查定密程序和负责人与否符合规定;检查密级、保密期限拟定、知悉范畴与否精确,知悉范畴与否最小化；ﻫf)抽查涉密载体，检查国家秘密标志与否标注规范；

ｇ)查阅文献资料,理解单位与否及时开展密级变更或者解密工作；ﻫh)通过与定密负责人谈话，理解定密负责人季度内与否组织了定密检查,年度内与否进行了定密状况统计，与否报保密工作机构备案。５.2、涉密人员管理(50分)项目细则操作办法支撑文献备注上岗管理(14分）

74.未精确界定涉密岗位密级,扣4分；ﻫ7５．未精确界定涉密人员密级并及时调节,扣4分;

76.未对进人涉密岗位人员进行审查和定期复审，扣４分；

77.未对进人涉密岗位人员进行岗前保密教育培训、订立保密承诺书，扣2分。a)查看归口管理部门工作制度和档案等资料,并与部门负责人谈话,理解与否对涉密岗位进行了界定，并检查涉密岗位、人员界定与否精确；ﻫb)检查进入涉密岗位涉密人员与否进行了审查，审查内容与否符合关于规定规定;

C)查看岗前保密教导培训记录、理解教导培训内容及学时与否符合规定;查看保密承诺书,理解涉密人员与否按规定订立；保密承诺书内容与否明确应履行责任义务和享有权利状况。在岗管理(３0分）

78．年度内涉密人员在岗保密教导和培训未满１5学时,扣2分；

７9．未对涉密人员进行年度考核，扣３分;

80.涉密人员严重违反保密制度或者不符合基本条件，未及时调节,扣5分;ﻫ81.未依照涉密人员密级予以相应保密补贴,扣4分；

82.未将涉密人员在公安机关出入境管理机构备案,扣4分；

８3.出入境证件未统一管理，扣2分;

8４.出国（境)未按规定审批,扣４分;

85．出国(境)未按规定执行提醒或者回访制度,扣2分;

86.现场审查保密知识考试良好率未达成8０%，扣4分。a)查看涉密人员个人保密教导记录、签到表及学时统计与否达成15学时;重点检查单位负责人、部门负责人、高技术人才、项目负责人等涉密人员与否准时参与教导培训，培训学时与否达标;涉密人员未准时参与培训人员年度内与否进行了补课;ﻫｂ）通过抽取涉密人员进行保密知识考试以及实地检查、询问等，理解涉密人员掌握保密基本知识状况；

C)查看单位与否对涉密人员进行年度考核;查看保密补贴发放表和奖惩状况，理解保密补贴与否如实发放;补贴发放以及保密奖惩与否与考核挂钩;ﻫd）查看涉密人员级别变更表和奖惩记录及年度考核，查看严重违反保密制度或者不符合基本条件涉密人员，与否依照状况及时调节涉密人员级别;ﻫｅ）查看关于材料,理解单位与否将涉密人员名单在公安机关出入境管理机构登记备案；

f)检查涉密人员因私出国(境）证件与否准时收交,并建立台账统一管理;

g)查看因私出国（境）审批表,理解涉密人员因私出国（境)审批状况和保密提醒、回访制度贯彻状况。离岗管理(6分）ﻫ87.离岗离职涉密人员未及时清退涉密载体、涉密信息设备、涉密存储设备和密品,扣3分。ﻫ88．离职离岗涉密人员未订立保密承诺书,实行脱密期管理,扣3分。a)查看制度和涉密载体登记记录，理解单位与否对脱离涉密岗位、内部调岗和涉密级别调节人员涉密载体移送作出规定，并对移送涉密载体状况作出记录；ﻫb)查看涉密人员离岗审查表,理解脱离涉密岗位和内部调岗涉密人員与否实行脱密期管理并订立保密承诺书,以及脱密期管理具体状况记录。5.3、涉密载体管理(4５分）项目细则操作办法支撑文献备注89.未建立涉密载体台账或者台账与实际不符、保存期限局限性３年，扣4分；

90.涉密载体未对的标注密级和保密期限，扣2分；ﻫ91.涉密载体未按规定制作,扣3分;

９2．涉密载体未按规定收发,扣2分;ﻫ93．涉密载体未按规定传递,扣2分；ﻫ94.涉密载体未按规定借阅，扣2分；

9５.涉密载体未按规定使用,扣2分;

9６.涉密载体未按规定复制,发现一份扣2分，最高扣6分;

97.涉密载体未按规定保存，发现一份扣2分，最高扣6分;

98．涉密载体未按规定销毁，扣３分；ﻫ9９.记录涉密事项未使用保密本,扣3分;ﻫ1０0．未严格控制国家秘密知悉范畴,发现一份扣2分，最高扣6分;ﻫ１01.持有涉密载体或者知悉国家秘密未履行审批程序，发现一份扣１分,最高扣４分。a)查看近3年部门、个人涉密栽体台账，理解台账要素及登记记录与否齐全,手续与否清楚,账物与否相符；

b）抽查单位制作涉密文献、资料，与否按规定标明密级和保密期限;抽查电子文档和未定稿涉密过程文献与否标密,标志与否对的;

c）审查国家秘密载体制作、收发、传递、复制、借阅、使用、销毁等环节审批、登记记录，与否审批权限精确，登记事项要素齐全;ﻫd）审查国家秘密载体保存与否符合规定规定；ﻫe)查看涉密人员保密记录本,理解记载涉密事项与否使用专用保密本;

ｆ)检查机要室、档案室(馆)、部门等内设机构,理解单位对接触、知悉和持有涉密载体人员与否履行审批手续,审批手续与否拟定了知悉范畴,并进行了有效控制。5.4、密品管理(2０分)项目细则操作办法支撑文献备注10２.未建立密品台账或者台账与实际不符，扣4分；ﻫ1０3．未精确拟定密品密级、保密期限和接触范畴，扣２分；

104.密品未按规定标注密级,扣2分;

105.对外形和构造容易暴露国家秘密信息密品未采用遮挡或者保护性办法,扣2分；

1０6.密品未按规定存储,扣２分；ﻫ1０7.重要密品运送未制定安全保密方案，贯彻安全保密办法，并进行记录,扣3分;

108．密品交接未履行签罢手续,扣3分;ﻫ109.密品维修、销毁未经审批或者未采用安全保密办法，扣2分。a）查看部门及保管人员与否建立密品台账,理解台账要素及登记记录与否齐全，手续与否清楚，账物与否相符;ﻫb)抽查密品定密与否精确;与否按规定标明密级和保密期限；与否拟定接触范畴;对接触人员与否进行文字记载；

C)查看密品研制、生产、存储部位,理解保密技术防护办法与否符合保密规定;对外形和构造容易暴露国家秘密信息密品与否采用了遮挡、管理和技术性保护办法；

d)检查业务部门档案，理解密品运送与否有安全保密工作方案，全程贯彻保密办法记录状况。5.5、保密要害部门部位管理(24分）项目细则操作办法支撑文献备注1１０．未按规定拟定保密要害部门部位,或者拟定不精确，扣3分;ﻫ111.保密要害部门未实行区域隔离,或者保密要害部位未实行物理防护,扣２分;ﻫ1１2.未按规定采用出入口控制、人侵报警、视频监控等技防办法，扣4分；ﻫ113.出入口控制、入侵报警、视频监控等技防设施不能正常工作,扣3分；ﻫ114.非授权人员进入保密要害部门部位未经批准登记并采用监督管理办法，扣３分；

115.未经批准，带入具有无线通信、拍摄、录音等功能电子设备，扣２分；ﻫ１16．将手机带入保密要害部门部位，扣2分;

1１７.未对进入工勤服务人员采用管理办法，扣2分;ﻫ1１8．涉及保密要害部门部位工程建设项目不符合安全保密规定或者保密防护办法未经保密工作机构审核,扣3分。a）看单位文献、资料，理解保密要害部门部位界定

与否符合原则，拟定与否精确，与否履行审批手续;

b)实地检查，理解保密要害部门区域隔离情兄;ﻫc）检查保密要害部门部位集中安全控制区域、外周界、电子门禁系统、入侵报警装置和视频监控技防设施设备与否符合防范规定并正常工作。

ｅ)查看记录,理解进入保密要害部位非授权人员与否通过审批，作出记载，并采用了相应控制办法；ﻫf)查看记录,理解对进入保密要害部位安全值班、工勤服务人员杨文与否进行了审查，履行了审批手续，并订立有保密承诺书；ﻫg)调取监控、现场检查或者查看关于记录，理解使用或者存储带有存储、拍摄、录音等功能电子设备与否通过审批;ﻫh)调取监控、现场检查，与否有带入并使用手机等具有无限通信功能设备状况;

i)查看涉及保密要害部门部位新建、扩建、改建工程档案,理解在立项、验收等环节与否通过单位保密工作机构组织审核;

j）查看保密要害部门部位安防监控等技术防护办法与否选取具有涉密安防监控资质单位承建。5.6、信息系统、信息设备和存储设备管理(140分）5.6.1、重点项目（扣分项）项目细则操作办法支撑文献备注１1９．涉密信息系统通过系统测评但未提交涉密网络运营允许申请,或者已获得运营允许但未按规定进行风险评估，扣20分；a)查验与否按照系统测评（风险评估)报告规定,对存在问题和隐患进行全面整治;

b)查验按照系统测评(风险评估)报告规定整治后,与否及时(普通应当在1个月内）向国家保密行政管理部门申请《涉及国家秘密信息系统使用允许证》;

C)查验涉密信息系统获得使用允许证,投入涉密运营后,与否按照保密规定，每两年进行一次风险评估。应当至少提前３个月向国家保密行政管理部门或者上级主管部门提交风险评估申请,并进行风险评估;ﻫd）假如已经提交风险评估申请，尚未进行风险评估,验证未进行评估因素，若属于测评机枸和审批部门因素，不扣分。120.使用不与互联网及其她公共信息网络连接内部非涉密信息系统、非涉密信息设备和非涉密存储设备存储、解决、传播涉密信息,扣１0分;a）查验内部非涉密计算机等信息设备、涉密信息系统非涉密安全域中非涉密服务器、非涉密顾客终端等信息设备以及非涉密存储设备，与否存储或者处理过涉密信息;ﻫb）查验与否存在无密级标志,但是与涉密计算机、涉密信息系统中涉密服务器和涉密顾客终端中涉密文献重要内容相一致涉密信息;ﻫＣ）采用符合国家保密规定技术手段，对内部非涉密计算机、涉密信息系统非涉密安全域中非涉密服务器、非涉密顾客终端和非涉密外设进行抽查；也可以采用数据检索和数据恢复等技术,查验与否存在存储或解决涉密信息痕迹;ﻫd）假如存在存储或者解决过涉密信息内部非涉密计算机、非涉密顾客终端等信息设备和存储设备，该设备连接或者接入过互联网或者其她公共信息网络，应当终结审查。12１.修改、删除涉密计算机保密技术防护专用系统监控程序报警回联地址,扣10分；a)查验涉密计算机保密技术防护专用系统监控程序报警回联地址,与否设定为国家保密行政管理部门规定地址；ﻫb）查验涉密信息系统和涉密信息设备开机后,违规外联监控程序与否处在工作状态，报警回联地址状态与否有效;

Ｃ)假如发现报警回联地址变化，应当查清变化因素和操作动机，查清后报告国家保密行政管理部门。12２．擅自访问、下载、存储、传播知悉范畴以外国家秘密，扣１0分；a)查验涉密计算机、涉密信息系统服务器和顾客终端，以及涉密存储设备中，与否存在负责人知悉范畴以外国家秘密信息（记录或痕迹)；

ｂ）假如存在,应当同步查验信息来源以及信息导入使用存储设备和导入程序与否符合规定；

c）假如通过业务主管部门和保密工作机构批准和授权，访问、下载、存储、传播知悉范畴以外国家秘密,应当查验审批程序与否合规,审批单以及有关记录与否真实完整。123.擅自扫描或者检测涉密信息系统网络基本设施、安全保密产品以及应用系统,扣10分；a)查验涉密信息系统服务器、顾客终端和涉密计算机，与否具有(或者接入过)扫描或者检测网络基础设施、安全保密产品以及应用系统工具(软件或者硬件）；

b)查验与否存在使用过扫描或者检测工具记录或痕迹;ﻫＣ）假如通过授权(涉密信息系统运营维护人员和测评机构人员可以被授权），查验审批程序与否合规,扫描或者检测工具安装（接入）与否符合规定，审批单以及有关记录与否真实完整;

d)假如安装使用安全保密产品、病毒和恶意代码防护等工具,自身带有扫描或者检测涉密信息系统网络基本设施、安全保密产品以及应用系统功能,查验与否已经严禁使用相应功能。１２4.故意隐藏涉密信息设备和涉密存储设备，规避检査，扣１０分;a)查验台账上涉密信息设备和涉密存储设备与否正常管理和使用;

ｂ)查验与否存在未列入台账，也未纳入单位正常管理范畴,明显规避检查涉密信息设备和涉密存储设备（可以追溯涉密文献和信息产生来源,查验是在什么信息设备上解决);

c)查验未列入台账，未纳入管理涉密信息设备和涉密存储设备存储地点与否符合保密规定，与否按照保密规定存储和管理1２5.测试、调试、仿真、工控、数控等专用信息设备或者信息系统,接入涉密信息系统未制定专门安全保密方案并报国家保密行政管理部门审查，扣10分；ａ)查验专门安全保密方案，与否进行了风险评估,并针对存在风险和隐患提出安全保密规定,并符合有关保密法规和技术规定;

b)专门安全保密方案，与否通过本单位（或者上级主管单位）组织专家评审会评审通过后,报国家保密行政管理部门审查；ﻫc)查验国家保密行政管理部门审查安全保密方案相关审查意见,鉴定建设使用单位与否按照审查意见对方案进行了修改完善；

d)查验实行过程和设备现场，与否与通过审查安全保密方案相一致。126.涉密信息系统采用虚拟化技术,未制定专门安全保密方案并报国家保密行政管理部门审查,扣10分;ａ)查验专门安全保密方案，与否针对存在风险和隐患提出安全保密规定,并符合有关保密法规和技术规定；

b）专门安全保密方案，与否通过本单位(或者上级主管单位)组织专家评审会评审通过后，报国家保密行政管理部门审查；

C）查验国家保密行政管理部门审查安全保密方案相关审查意见,鉴定建设使用单位与否按照审查意见对方案进行了修改完善；ﻫｄ）查验实行过程和设备现场，与否与通过审查安全保密方案相一致。１27．用无线方式接人涉密信息系统或者涉密计算机,未采用国家保密行政管理部门和国家密码管理部门检测合格安全保密设施设备和密码设备，未制定专门安全保密方案并报国家保密行政管理部门审查，扣10分；ａ)查验与否科研生产工作必要采用无线接入方式;

b)查验专门安全保密方案，与否针对存在风险和隐患提出安全保密规定，并符合有关保密法规和技术规定;ﻫC)专门安全保密方案，与否通过本单位(或者上级主管单位)组织专家评审会评审通过后,报国家保密行政管理部门审查，建设使用单位与否按照审查意见对方案进行了修改完善;

ｄ)查验与否采用国家保密行政管理部门或者国家密码管理部门检测合格、符合规定安全深密设施设备和密码设备;

e)查验采用无线发射设备,验证发射距离与否符合安全规定；

f）查验实行过程和设备现场，与否与安全保密方案规定相一致。１28.委托系统内无相应资质单位承担涉密信息系统运营维护，扣10分；a)查验被委托承担涉密信息系统运营维护机构（单位）与否为本军工系统（同一法人或老同一上级法人）单位(一级保密资格单位仅允许委托本集团公司单位承担运营维护工作）；

ｂ）单位信息化管理部门与否与被委托承担运营维护机构（单位）订立运营维护协议和保密协议;ﻫC)假如委托非本军工系统内部单位,查殓与否具有国家保密行政管理部门颁发涉密信息系统集成资质中运营维护资质，且资质在有效期内。129．未经审批更换涉密服务器、涉密计算机硬盘，重装操作系统；或者现场审査前6个月内更换(报废)涉密服务器、涉密计算机硬盘，重装操作系统数量超过总数２0%,扣１0分。a)查验更换涉密服务器、涉密顾客终端、涉密计算机硬盘，重装操作系统审批程序与否合规，审批单、操作记录与否真实完整;ﻫb)查验年度内,更换涉密服务器、涉密终端、涉密计算机硬盘，重装操作系统数量与否超过设备总数20%;ﻫc)查验现场审查前６个月内(现场审查之日开始，向前倒推),通过审批更换计算机硬盘等存储设备、重装操作系统数量,与否超过涉密服务器、涉密用户终端、涉密计算机总数20％,手入导出专用计算机、中间机和涉密便携式计算机数量单独按其总教20％计算；ﻫd)涉密信息系统服务器、顾客终端、涉密计算机系统时间假如修改,重装操作系统，不伦台数,一经发现直接扣10分。５.6．2、涉密信息系统（5分)项目细则操作办法支撑文献备注１30.尚未存储解决涉密信息涉密信息系统,未经系统测评,扣1分；a)查验单位建立信息系统建设方案和安全保密方案，拟定与否为涉密信息系统;ﻫb)查验涉密信息系统与否建设完毕，与否处在试运营期间；ﻫC)查验与否已经提交测评申请书,假如已经递交测评申请书,由于测评机构因素未进行系统测评,不扣分；

d)假如涉密信息系统建设完毕，由于建设使用单位自身因素，未经系统测评，应当扣分；假如系统内存储或者解决过涉密信息(记录和痕迹),则应当按照基本项第6条解决。１3１．《涉及国家秘密信息系统使用允许证》涉及事项发生变化时未按关于规定及时报告，扣2分;a）查验被审查单位涉密信息系统与否具有国家保密行政管理部门颁发《涉及国家秘密信息系统使用允许证》,假如未获得使用允许证，则参照121条；

ｂ)查验允许证内容与单位涉密信息系统实际状况与否一致，与否发生变化(特别是增长或者减少安全域、应用系统和安全产品）;

C)查验发生变化后与否及时报告(变化完毕后1个月内），并申请新增应用系统单项检测、系统测评或者风险评估。132．提供涉密信息系统拓扑构造图不完整,或者与测评报告、风险评估报告以及实际状况不符,扣2分。ａ)查验涉密信息系统拓扑构造图,与提交系统测评(风险评估）申请书中拓扑构造图与否一致，涉密信息系统实际状况与否与拓扑构造图相符合；

b)拓扑结枸图中安全域划分与否符合国家保密原则要求,边界与否清楚;ﻫC)拓扑结枸图中与否标明核心互换机、汇聚互换机IP地址以及接入互换机群IP地址段，与否标明所有服务器名称和IＰ地址，与否标明所有安全产品接入(布置）位置等。5.6.3、管理构造及人员(23分)项目细则操作办法支撑文献备注１33.未明确信息化管理部门和运维机构，扣2分;

134.信息化管理部门和运维机构设立及人员配备未到位或者不能满足实际需要,扣2分；ａ)查验明确或者任命有关文献,以及有关委托协议文本,确认与否明确管理部门,指定了运营维护机构；

ｂ）查验实际人员配备与任命文献(协议文本)与否一致；ﻫC)查验单位与否按照最大化原则为运营维护机构配备“三员”，“三员”人数配备与否足够满足涉密信息系统、涉密信息设备和涉密存储设备运营维护需要。１35．未与受委托承相涉密信息系统运营维护内部机构（单位)订立保密协议,或者未对受委托承担运营维护人员进行保密审查、订立保密承诺书,扣1分；ａ)查验单位信息化管理部门与否与受委托承担涉密信息系统运营维护机构或者单位订立保密协议；

b）查验单位信息化管理部门与否会同人力资源部门对受委托承担运营维护人员进行保密审查和保密教导,并且留有有关记录;ﻫＣ)查验受委托承担运营维护人员订立保密承诺书;

d)查验实际参与运营维护“三员”与协议拟定人员是否一致。1３6．信息安全保密管理体系文献不符合国家保密法规原则和单位业务工作实际,扣2分;a)查验与否建立信息安全保密管理体系文献,假如未建立,则关联项（138、1３9、140、141）所有扣分;

b）查验体系文献内容与否符合国家有关保密法规和原则，特别注意与否存在与国家有关保密法规和原则不一致或者有冲突内容;

Ｃ）查验体系文献内容与否符合单位科研生产业务工作实际,与否存在与单位科研生产以及寻常工作不有关内容和条款；

d）查验体系文献与否由单位信息化管理部门组织并指导有关业务部门（机构）人员编制。137.信息安全方略存在明显安全隐患、漏洞,或者未及时依照安全状况变化进行调节，扣2分;a)查验信息安全方略文献，对照实际状况查找涉密信息系统、涉密信息设务、涉密存储设备,以及安全保密产品奂装和使用中,与否存在未被发现、明显安全隐患和风险；

b)查验与否对已经发现存在明显安全隐患和风险制定了控制或者规避办法;ﻫc）查验与否依照信息系统、信息设备和存储设备环境、系统和威胁变化状况,及时调节更新安全方略；

ｄ)查验安全方略文献变更与调节审批程序与否合规,审批单以及有关记录与否真实完整。１38.信息安全保密管理体系文献未按规定程序发布、宣贯、实行,扣１分;ａ)查验信息安全保密管理体系文献与否通过保密工作机构审查,发布流程与否符合单位行文规范,以及签发主体（信息化管理部门和保密主管领导)与否符合规定;规定程序指依照国家有关保密原则规定制定,在信息安全保密管理体系文献制作、发布、宣贯以及实行中,应当履行管理和控制程序;ﻫｂ)查验宣贯(教导培训)筹划，实行时间、地点、方式以及有关记录;ﻫC)查验教导培训签到记录以及全员普及率，现场审查时，可以通过随机抽查提问，判断教导培训效果；ﻫd)查验有关记录内容与否真实可信。139．有关人员不掌握信息安全保密管理体系文件应知基本内容，发现1人扣1分,最高扣2分；a)随机抽取单位涉密人员,查验与否懂得信息安全保密体系文献涉及管理制度、安全方略和操作规程,以及本职岗位中基本应知应会内容;

b）查验涉密信息系统、涉密信息设备和涉密存储设备使用人员，对体系文献中应知应会基本内容掌握状况;ﻫc)查验“三员”在履行运营维护等岗位职责中,与否掌握体系文献应知应会内容。14０.运营维护机构未制定运营维护工作制度和操作规程,未贯彻安全保密规定,扣1分；a)查验运营维护机构制定运营维护工作制度和操作规程;ﻫb)查验工作制度和操作规程中与否有贯彻保密规定条款；ﻫＣ)查验“三员”在运营维护工作中与否严格执行工作制度和操作规程，贯彻保密规定;ﻫd）查验“三员”与否对运营维护工作中发现泄密隐患、违规行为或者误操作等进行了监控和记录。141．“三员”未实现互相独立、互相制约,存在兼任或者代替,扣4分；

142.“三员”未拟定为重要以上涉密人员，或者未经安全保密培,发现1人扣1分,最高扣3分；a）查验运营维护岗位设立和“三员”配备任命文献,人数配备与否满足互相独立、互相制约规定；ﻫb)查验实际运营维护工作中，“三员”与否实际存在兼任或者代替状况;

C）查验涉密岗位一览表和涉密人员定密审批表,拟定每位“三员”涉密级别与否符合原则规定；ﻫd）查验“三员”教导培训状况,拟定与否具有上岗条件后,再由单位人力资源部门任命。14３．“三员”无运营维护记录，或者运营维护记录不能反映真实状况,扣１分；a)查验运营维护机构与否建立运营维护工作和操作记录(登记）本；

b)查验“三员”与否按照管理制度规定和实际工作状况，及时填写运营维护操作记录；ﻫc)查验操作记录内容,并且与实际状况进行比对;ﻫd）通过询问“三员”和查看工作记录,查验与否履行岗位职责。144．“三员”在运营维护中未能发现明显安全保密隐患和违规行为，或者未按规定程序解决,扣2分。a)查验运营维护记录和涉密信息系统、涉密信息设备以及涉密存储设备中有关记录，验证在管理使用和运营维护中,与否存在明显（不借助工具就可以发现)安全保密隐患或者速规行为；ﻫｂ)查验“三员”与否发现并记录了存在安全保密隐患和违规行为；

C）查验“三员”与否将安全保密隐患和违规行为及时上报,并按规定程序进行了解决；规定程序是指安全方略和管理制度中,依照国家有关保密原则规定制定,在涉密信息系统、涉密信息设备和涉密存储设备运营维护工作中，发现安全保密隆患和违规行为，应当履行管理和控制程序。5．6．4、设备管理(34分）项目细则操作办法支撑文献备注１4５．信息系统、信息设备和存储设备未简建立台账,或者台账信息要素不全、账物不符,扣２分;ａ)查验涉密信息设备和涉密存储设备与否分别单独建立全生命周期档案（电子或者纸质）；ﻫb）查验档案内容与否从定密(拟定涉密级别）开始,涉及了所有变更状况以及相应审批程序和操作记录；

C)查验审批程序和操作记录与否与涉密信息设备和涉密存储设备实际状况相符合。146.涉密信息设备和涉密存储设备未建立全生命周期管理档案,或者有关记录不全,扣2分；a）查验单位与否建立信息系统、信息设备、存储设备总台账和部门（机构)分台账;ﻫb）查验台账基本信息要素项与否齐全，信息要素内容填写与否对的；

c）查验台账信息要素内容与否与信息系统、信息设备、存储设备实际相符合；

d)查验信息化管理部门与否会同资产管理部门和运营维护机构定期(绝密级3个月、机密级6个月、秘密级12个月），对信息系统、信息设备、存储设备进行清查核对和登记。147.涉密信息设备和涉密存储设备未按规定程序拟定涉密级别,扣２分;

ﻫ148.涉密信息设备和涉密存储设备未拟定负责人，发现１个扣１分,最高扣３分；ａ)查验涉密信息设备和涉密存储设备拟定，与否履行了定密程序，程序与否合规，密级拟定与否精确;规定程序是指安全方略和管理制度中,依照国家相关保密原则规定制定,在涉密信息系统、涉密信息设备和涉密存储设备定密工作中,应当履行管理和控制程序;ﻫb)查验密级拟定审批单与否可以拟定有关设备唯一性;

Ｃ)查验涉密信息设备和涉密存储设备与否明确唯一负责人;ﻫﻫd)查验负责人涉密级别与责任设备密级与否相适应。14９．信息设备和存储设备无标记或者标记不符合规定,发现1台(个)扣１分,最高扣3分;ａ)查验信息设备、存储设备和安全保密产品等与否具有单位统一制作标记；ﻫb)查验标记与否符合国家保密原则和单位管理制度规定,与否不易涂改、擦除和损毁;

C)查验标记与否具有唯一性(一台设备不应当有各种标记）,与否与台账有关信息要素相一致;

d)查验标记上与否明确唯一负责人。150．涉密信息设备或者涉密存储设备中涉密信息无密级标志，或者密级标志与涉密等级不符，发现1台（个)扣1分，最高扣3分;a)查验涉密信息设备、涉密存储设备中存储和解决涉密信息与否具有密级标志;ﻫb)查验标志与否符合国家有关保密原则规定，并符合本单位管理制度和公文格式规定;ﻫC)查验标志密级与否与文献、资料、数据等信息涉密级别相一致；ﻫd）查验涉密过程文献和信息与否具有相应密级标志(注意：无标志过程文献和信息也也许涉密);ﻫe)一台涉密信息设备,或者一种涉密存储备中，只要存在无(或者不精确）密级标志涉密文献或者涉密信息,无论有多少份,都只扣1分。１51.未按规定程序对涉密信息设备和涉密存储设备进行变更和调节,或者记录不全、与实际状况严重不符,扣3分；ａ)查验涉密信息设备和涉密存储设备进行变更、调节审批单和记录(电子或者纸质)；规定程序是指安全方略和管理制度中，依照国家有关保密原则规定制定，在涉密信息设备和涉密存储设备变更和调节工作中,应当履行管理和控制程序;ﻫｂ)查验变更和调节理由与否充足,与否符合企务工作需要，而不是为了规避保密检查和审查；

C)查验审批程序与否符合国家保密原则规定，手符合单位管理制度和安全方略规定；

d)查验审批单以及有关变更记录、移送手续与否真实齐全,与否与实际状况相符合(特别注意与台账进行比对)。152．擅自卸载、修改涉密信息系统、涉密信息设备和涉密存储设备安全技术程序、管理程序，发现一起扣1分,最高扣4分；a)查验涉密信息系统、涉密信息设备和涉密存储设备安全技术程序、管理程序与否完整洁全;

ｂ)假如安全技术程序、管理程序等存在被卸载、删除、修改等现象，查验“三员”在运营维护工作中与否已经发现，判明因素并上报运营维护机构和信息化管理部门，假如“三员”在运营维护工作中未发现，直接扣分；ﻫC)假如卸栽、删除、修改理由充足,履行过审批程序,且审批程序合规,则不扣分;ﻫｄ）查验审批单以及有关记录与否真实完整,与否与实际状况相符合。15３.涉密信息设备连接未经授权存储设备，或者高密级存储设备接人低密级信息设备，扣2分；a）查验涉密信息系统服务器和顾客终端、涉密计算机等信息设备中与否存在不在台账上存储设备接入记录和痕迹,并查验授权审批记录，拟定与否通过授权使用；ﻫｂ)查验未经授权存储设备接入方式和连续时间,鉴定与否为误插（插入连续时间普通在1分钟以内，可以认为是误插);ﻫc）接入存储设备假如为互联网或者公共信息系统设备,且直接通过普通USB口（不涉及“三合一”单向导入盒绿口)、光驱等接口接入涉密信息系统或者涉密信息设备使用(或者误插接入时间长于1分钟),后来又继续在互联网上使用，属于交叉使用移动存储介质,按照连接国际互联网解决，终结审查；

ｄ)查验涉密信息系统服务器和顾客终端、涉密计算机等信息设备中,与否存在高密级存储设备接入使用记录和痕迹。154.超过涉密级别或者知悉范間配备、管理和使用涉密信息设备,扣2分;a)查验配发涉密信息系统顾客终端、涉密计算机等信息设备和涉密存储设备与否按照工作必须原则;ﻫb)查验涉密信息系统顾客终端、涉密计算机等信息设备和涉密存储设备负责人和使用人，与否符合相应涉密级别,以及对国家秘密知悉范畴规定;

C）查验内部非涉密人员配发秘密级计算机等信息设备,与否符合负责人和使用人汁国家秘密知悉范畴规定;

d)查验普通涉密人员配发机密级计算机等信息设备,内部非涉密人员配发秘密级计算机等信息设备中，相应涉密信息数量与否控制在规定数量范畴内(同一份文献或者信息各种修改稿算一份)。1５５.涉密存储设备未拟定控制范畴，或者未按规定程序授权使用,扣2分;a)查验涉密移动存储设备与否指定专人集中管理，并根据国家秘密知悉范畴拟定了使用范畴(应当在方略文献中阐明使用范畴限定);规定程序是栺安全方略和管理制度中，依照国家有关保密原则要求制定,在涉密存储设备管理和授权使用中，应当履行管理和控制程序；ﻫb)查验涉密移动存储设备与否依照密级存储在相应保密柜，或者密码保险柜中；

c)查验涉密移动存储设备借用人员与否符合授权使用规定，与否履行借用审批程序，用完与否及时归还，领用和归还与否留有记录；

ｄ）查验“三合一”红盘(硬盘和U盘）安全方略控制,应当严禁设立为通用方略。15６.超过涉密信息系统、涉密信息设备和涉密存储设备涉密级别存储、解决、传播涉密信息,发现1台(个)扣1分,最高扣4分；ａ)查验涉密信息系统服务器和顾客终端、涉密计算机等信息设备和涉密存储设备中,与否存在超过设备涉密级别涉密信息(解决或者存储记录或者痕迹）；

b)可以使用符合保密规定数据恢复技术进行检查和验证;ﻫC)查验信息来源和导入方式，假如不符合保密规定,则应当在相应条款扣分。157.测试、调试、仿真、工控、数控等专用信息设备或者信息系统，未明确涉密级别和保护规定，或者未采用相应安全控制措施,扣２分。a)查验测试、调试、仿真、工控、数控等专用信息设备或者信息系统，与否由有关业务部门拟定是否涉密；

ｂ)假如涉密，应当查验与否履行定密程序拟定其涉密级别和保护规定，审批单以及有关记录与否真实完整;ﻫC）查验与否按照国家有关保密原则规定,贯彻了安全保密管理和技术控制办法;无法安装安全保密产品,与否在使用中加强管理，制定了专项管理制度、安全保护方略和物理防护办法，同步加强监督检查力度;

d)查验采用安全技术控制办法与否有效。5．６.5、外出携带、维修、报废(１4分）项目细则操作办法支撑文献备注１58.未按工作需要配备专供外出携带涉密信息设备和涉密存储设备并由专人管理，扣1分；

1５９.携带外出未履行审批程序,扣2分;a）查验与否配备专供外出携带涉密信息设备和涉密存储设备(假如业务工作不需要，可以不配)；ﻫb)查验与否指定专人负责管理和维护;ﻫC）查验与否存在内外不分状况，专供外出携带一般不得内用，非专供外出携带,普通不得带出;假如有特殊使用需求,拟定设备不够用时，应当通过业务主管领导和信息化管理部门批准，允许相互借用;ﻫd)查验外出携带与否履行审批程序,审批单内容和项目与否齐全(如外出时间、地点、工作内容、所有设备名称以及密级、涉密信息名称以及密级等),审批程序与否合规；检查每次外出时，携带涉密信息设备和涉密存储设备中,与否仅存储与本次外出工作有关涉密文献和信息;

e）查验审批单以及有关记录内容与否真实齐全。160.携带外出期间未对设备接入和信息导入导出进行记录，扣２分;

ﻫ161.借出前或者归还后未进行保密检查，或者检查结论与实际状况不符,扣2分；a）查验专供外出携带设备与否配备和使用记录本,使用登记与否符合规定；ﻫb)查验携带外出期间接入各类设备,以及信息导入导出记录;特别是携带步密信息设备外出时，接入外部设备(如打印机、投影仪等),或者与其她涉密信息系统、涉密计算机相连接,与否记录精确,内容冗整；

ｃ)查验借出前或者归还后,与否进行了保密检查,并留有记录;

ｄ)查验检查结论与否与实际相符合,并且由管理人和借用人共同签字确认。162.涉密信息设备和涉密存储设备未按规定程序进行维修和报废，扣２分;a）查验维修报废流程与否符合保密原则规定;规定程序是指安全方略和管理制度中，依照国家有关保密原则规定制定,在涉密信息系统、涉密信息设备和涉密存储设备维修报废工作中,应当履行管理和控制程序;ﻫb)查验维修报废与否履行审批程序，审批程序与否合规,审批单以及有关记录与否真实完整；ﻫc）查验内部维修点设立与否符合保密规定;

d)查验与外部维修单位订立维修协议以及保密协议、外来维修人员控制、全程旁站陪同人员履职等与否符合保密规定;

ｅ)查验涉密信息设备、涉密存储设备和安全保密产品报废清单内容与记录信息要素，与否与台账中有关信息要素以及实际报废设备一致。１63.维修中未对维修人员以及存储过涉密信息硬件和固件采用有效管控办法,扣4分;

164.修报废中有关登记记录不完整,扣1分。a）查验维修报废中涉密信息转储和保护,与否符合国家有关保密原则规定，与否有专人负责；ﻫｂ)查验从涉密信息设备上拆卸存储部件全过程与否符合国家有关保密原则规定；ﻫＣ)查验拆下或者待报废涉密存储部件管控与否符合国家有关保密原则规定（交接签字、上台账、贴标记、专人管理、存储在保密柜或者密码保险柜中，假如待报废涉密存储部件存储数量超过2０块，则保密柜或者密码保险柜应当存储在保密要害部位)；

d)查验维修报废过程中各种登记和记录与否真实完整。5．６.6、安全产品与无线通信功能防护（8分）项目细则操作办法支撑文献备注165.对的配备和使用安全保密产品,扣2分；

ﻫ1６6.安全保密产品失效或者功能不符合保密规定，扣2分；a)查验涉密信息系统、涉密信息设备和涉密存储设备与否按照国家有关保密原则规定配备了必要安全保密产品；

b)查验安全保密产品功能和性能与否与产品证书和检测报告描述一致,并符合单位对涉密信息系统、涉密信息设备和涉密存储设备保护规定，购置时间与否符合规定;安全保密产品与否对的安装，并进行了安全方略配备（安全方略配备应当由安全保密管理贾实行，并留有记录)，与否可以正常工作；ﻫC)查验当安全保密产品不能安装或者安装后严重影响涉密信息系统和涉密信息设备彳吏用时，单位与否通过信息化管理部门和保密工作机构批准,并对相应涉密信息设备采用了更加严格管控和物理保护办法;ﻫｄ)查验与否依照需求及时调节方略配备或升级更新安全保密防护产品。1６７.涉密信息系统、涉密计算机等未采用病毒和恶意代码检测和查杀办法，扣1分;ａ）查验与否建立符合保密规定病毒与恶意代码查杀系统；ﻫb)查验与否认期进行病毒与恶意代码样本库更新,涉密信息系统至少每周更新1次，单台涉密计算机至少每两周更新1次，并及时进行查杀;

ｃ）查验假如存在不能被杀掉病毒与恶意代码，与否记录和及时上报（报告上级主管单位，或者属地保密行政管理部门）;

d）查验涉密信息系统和涉密计算机中与否有存活病毒与恶意代码，假如有，应当扣分。１6８．密信息系统、涉密信息设备和传播线路电磁泄漏发射不符合安全保密规定且未采用保护办法,扣1分；a)查验电磁泄漏发射检测报告或涉密信息系统测评(风险评估)报告，鉴定与否需要采用保护办法；

ｂ）查验采用保护办法与否符合国家有关保密原则规定；

C)查验与否采用了传导泄漏发射防护办法（滤波电源插座等）；ﻫd)查验涉密信息设备和传愉线路摆放和敷设与否满足国家保密原则中红黑隔离规定。１６９.涉密信息设备、涉密存储设备具有无线通信功能,或者连接具有无线通信功能外部设备，扣2分。a)查验涉密信息设备、涉密存储设备与否存在可用无线通信（无线联网）功能模块(部件）;

ｂ)涉密计算机等信息设备上，红外、蓝牙、迅驰等具有无线通信功能模块（部件),只要驱动程序可以安装成功，视为具有无线通信功能；

C)查验与否存在连接过具有无线功能外部设备记录或者痕迹;

d)涉密信息设备假如存在无线通信（无线联网)功能模块驱动程序安装成功,或者具有无线功能外部设备连接成功记录,无线通信功能模块和接入设备可用,视为破坏物理隔离，按照基本项,终结审查。５．6．7、软硬件安装卸载(５分)项目细则操作办法支撑文献备注170.密信息系统服务器、终端和涉密计算机更换涉密硬盘、重装操作系统，无操作内容记录和操作人员签字,扣1分;ａ）查验更换硬盘、重装操作系统操作内容和审批记录与否一致，与否冗整；

b）查验更换硬盘、重装操作系统与否为系统管理员或者被授权人员操作;

c)查验操作内容记录（旧硬盘拆卸时间和交接签字记录、新硬者安装时间、安装操作系统版本和承栽介质、操作系统安装人、操作系统方略配备人等)是否符合规定；ﻫd)查验安装曰期和操作人员签字与否与实际相符合。17１.按规定程序安装和拆卸涉密信息设备硬件或者外部设备,发现1台扣1分，最高扣2分;a）查验安装和拆卸外部设备与否履行审批程序，审批程序与否合规;规定程序是指安全方略和管理制度中，依照国家有关保密原则规定制定，在涉密信息系统服务器和顾客终端、涉密计算机等信息设备安装或者拆除外部设备工作中,应当履行管理和控制程序；ﻫb)查验硬件或者外部设备安装和拆卸与否与审批内容一致；应当特别注意“三员”在运营维护中安装和拆卸设备审批状况;

C)查验审批单以及有关记录与否真实完整；d)查验与否存在擅自安装或者拆卸状况。17２．涉密信息系统和涉密信息设备使用软件未统一管理并制定软件清单,扣1分；

ﻫ173.涉密信息系统和涉密信息设备安装软件白名单以外软件未履行审批程序,或者安装记录与实际不符，扣1分。a）查验单位建立软件清单,核对统一管控软件;ﻫｂ)查验软件白名单中软件与否进行过安全检测，并由运营维护机构放置在符合规定存储设备中(涉密信息系统使用,应当存储在规定非涉密服务器上,单台涉密计算机使用，应当存储在具有相应标记光盘上）,供顾客自行安装；操作系统、安全保密产品、检查工具、清除工具、设备驱动程序不得列入软件白名单；

C)查验软件白名单以外软件安装，与否履行审批程序，审批程序与否合规;d)查验审批单以及有关记录与否真实完整。５．6.8、身份鉴别（5分）项目细则操作办法支撑文献备注17４.涉密信息系统和涉密信息设备身份鉴别办法不符合有关保密原则规定，扣1分;ａ）查验顾客身份标记符唯一性，并验证与否与安全常计有关联;

ｂ)查验与否设立(存在）多余顾客身份标记符或账号；ﻫC)查验身份鉴别方式与否符合有关保密原则规定(按照不同密级，BＩOS、操作系统、应用系统和空闲操作超时顾客身份鉴别设立状况);与否采用用户名加口令（秘密级)、采用1Ｃ卡加PIＮ码或者UＳBＫey加PIN码（机密级),或者其她鉴别方式进行身份鉴别;假如涉密信息设备不合用,符合国家保密原则规定身份鉴别产品，则应当采用信息设备自身可以提供强度最高身份鉴别方式；

d)查验鉴别失败后记录和解决与否符合保密规定。175.份鉴别办法未依照涉密人员岗位和密级变化状况及时调节,或者ＵSBKeｙ等身份鉴别装置、账户信息与真实顾客不符，扣2分；ａ）查验身份鉴别办法与否根据涉密人员岗位和密级变化状况及时调节或者回收;

b)查验USBKｅy、IC卡、指纹仪等身份鉴别裴置发放记录,与否与真实顾客相符合；

Ｃ)查验身份鉴别装置购买总数,与发放、回收、库存和销毁忍数量与否一致;

d）查验发放、调节、回收与否履行审批程序，审批程序与否合规,审批单以及有关记录与否真实完整。１76．未经授权,知悉或者掌握她人身份鉴别装置和登录信息,扣1分；ﻫ

177.USBKey等身份鉴别装置未参照国家秘密载体规定管控，扣１分。a）查验与否存在未经授权,知悉或者掌握她人身份鉴别装置和登录信息状况，特别注意“三员”不应违规获得她人身份鉴别和登录信息；

ｂ)查验与否存在欺骗、绕过或者旁路身份鉴别机制状况；ﻫc)查验USBKｅy、IC卡、指纹仪等身份鉴别装置使用和保存与否符合保密规定,不使用时与否保存在符合保密规定容器中,与否存在未经批准带出工作场合状况;ﻫd）查验身份鉴别装置归还和报废与否符合原则规定。5.6.9、访问控制（８分)项目细则操作办法支撑文献备注１７8.未按规定程序依照国家秘密知悉范畴实现主体对客体访问授权,扣3分；a)查验制定和设立访问控制方略、细粒度以及控制列表与否符合国家有关保密原则规定,并满足对国家秘密信息访问控制规定；ﻫｂ)查验涉密信息系统、涉密信息设备和涉密存储设备访问控制,与否按照管理制度和安全方略规定对主体和客体分别进行了授权，授权审批程序与否合规；

Ｃ)查验安全保密管理员授权操作与否通过批准，操作与否符合保密规定,搡作记录与否完整;ﻫd)查验服务器和顾客终端安全域等与否采用了有效访问控制办法,高密级信息与否可以流向低档别(或者非涉密)安全域、顾客终端或信息设备。179.未采用管理或者技术办法，防止信息设备、存储设备非授权接入以及涉密信息非授权获取，扣2分;ａ)查验各种信息设备和存储设备与否通过授权审批后方能接入涉密信息系统和涉密信息设备，与否采用了控制办法(如８02.1x、端口或者接口控制等）,接入授权以及审批程序与否合规,审批单以及有关记录与否真实冗整;ﻫb)查验与否存在信息设备和存储设备非授权接入记录或者痕迹;ﻫＣ)查验涉密信息系统和涉密信息设备，与否存在擅自开放共享目录、共享文献夹或者建立其她共享信息互换方式;

d）查验采用管理或者技术办法，与否可以防止在涉密信息设备(或者涉密信息系统中非涉密信息设备)上，非授权查看或者获取涉密信息。１80.多人共同使用一台涉密计算机,可以非授权访问或者获取她人涉密信息,扣3分。ａ)查验多人共用一台涉密计算机时,与否有专人担任安全保密管理员,并为每一种使用者建立顾客账户(顾客账号普通不得设立为系统管理R权限);ﻫb）查验每一种顾客权限设立与否符合规定,每一种顾客与否使用本人独立身份登录使用;

C)查验每一种顾客与否具有独立硬盘存储空间、存储设备或者对涉密信息采用符合保密规定保护措施，独立存储和解决涉密信息;

d)查验其中任何一种顾客登录涉密计算机后，与否能够查看或者获取她人涉密信息。５.6.１0、信息导入导出（１3分）项目细则操作办法支撑文献备注181.未按照相对集中原则设立涉密信息系统、涉密信息设备和涉密存储设备信息导人导出点,并指定人员负责管控，扣1分;ａ）查验与否设立符合原则规定信息导入导出点;按照相对集中原则，普通一种部门、科室、机构、场所等,可以分别设立1-2个导入导出点；ﻫb)查验导入导出设备配备与否符合规定(如不应当选用多功能一体机作为打印设备);

C)查验与否配备导入导出点管理人员（不应当设为无人值守);

ｄ)查验与否按照保密规定对导入导出点设备进行管控，管理人员与否贯彻监管责任,登记记录等与否真实完整;

e）查验涉密信息系统和涉密信息设备与否存在不受控制或者违规安装信息输出点。１82.中间机管理和使用不符合保密规定，扣2分;a)查验单向导入盒、中间杌等单向导入设备配备与否符合规定（单向导入盒应当配4，中间机作为单向导入盒补充导入手段,可以依照实际业务工作需求配备)；ﻫb）查验与否在中间机上采用与涉密信息系统和涉密信息设备不同病毒与恶意代码查杀工具;ﻫC)查验单向导入盒、中间机使用与否履行审批程序;

d）查验中间机与否存储或者解决与导入导出无关其她工作信息;ﻫｅ)确因工作需要，采用大容量移动存储设备或者特殊移动存储设备进行信息导入，可用配备相应专用存储设备;

ｆ)查验专用存储设备配备、管理和使用与否履行审批程序,审批程序与否合规;ﻫg)查验专用存储设备与否标记清楚、专人管理与使用，并指定了专门接入信息设备;

h)查验专用存储设备每次使用、打开和关闭端口(数据接口）与否履行审批程序，打开和关闭端口时间与否与审批一致;ﻫi)查验专用存储设备与否在非授权信息设备上使用。１83.未按规定程序导人信息，或者未对导入信息内容、使用移动存储设备进行记录，发现1份扣1分,最高扣3分;a)查验信息导入与否履行审批程序,审批程序与否合规;ﻫb）查验信息导入使用单向导入设备和移动存储设备与否符合有关保密原则规定；

Ｃ）查验信息导入后，导入使用移动存储设备管控与否符合规定,应当特别注意非涉密移动存储介质（如非涉密光盘)使用后管控状况;信息导入产生(使用）涉密(非涉密）存储介质,可以交还原单位或者按照保密规定管控，定期销毁（普通应当保存6个月）；ﻫd）查验审批单以及有关导入记录与否真实完整。1８4.未按规定程序导出信息，或者导出信息内容与申请不一致，发现1份扣1分，最高扣4分;ａ）查验信息导出与否履行审批程序(涉密信息系统和涉密信息设备上任何导出都应当通过审批)，审批程序与否合规(批准人与否对导出信息进行了审阅）,已经通过审批允许导出信息,与否有控制办法严禁变更信息内容或者增长附件;

b)查验导出信息涉密级别与否与批准一致；特别注意与否存在以非涉密导出申请,通过非涉密途径导出涉密信息状况;

C)查验导出使用信息设备和移动存储设备与否符合有关保密规定,有关标记与否符合保密规定；ﻫd)查验输出涉密载体密级标记，以及领用与否符合有关保密规定;

e)查验非涉密信息导出后，单位与否指定专人对信息内容进行非涉密审查。1８５.信息导人导出监控审计记录与实际状况不符，扣4分。a)查验与否具有涉密信息系统信息和涉密计算机导入导出监控审计技术办法；ﻫb)查验监控审计记录与否完整，实际信息导入导出与否与监:控审计记录相一致;

C)查验单位与否指定专人汁涉密信息系统和涉密信息设备上导出非涉密信息,进行非涉密审查;d）查验与否存在通过非涉密渠道导出涉密信息记录或者痕迹。５.6.11、涉密信息系统机房、服务器与集中存储（９分）项目细则操作办法支撑文献备注186.涉密信息系统机房未划定安全控制区域,或者未采用有关安全保密控制办法,扣2分;a)查验机房与否按照使用功能划分为主机房、辅助区、支持区等工作区域,主机房与否拟定为要害部位;

b)查验主机房与其她区域与否采用符合规定控制措施（至少主机房与其她区域应当有隔离控制办法)，主机房与否按照保密要害部位规定采用了安全防护办法；ﻫＣ)与否采用管理和技术办法，严禁携带手机等无线通信设备，以及与工作无关具有录音、录像、拍照、信息存储等功能设备进入主机房；

d)查验进入主机房与否履行审批程序，审批程序与否合规，进入人员与否符合规定;ﻫｅ)查验在主机房内操作与否与审批内容相一致，全部操作内容与否如实记录。187.未按规定程序操作涉密信息系统服务器,或者采用堡垒机、KVM未对操作记录进行控制，扣２分；a)查验“三员”与否通过堡垒机或者ＫＶＭ对涉密信息系统实行运营维护操作;ﻫb)查验堡垒机、KVM布置位置和安全防护与否符合规定;

ｃ)查验堡垒机、KVM管理和操作权限控制与否有效；

d)查验堡垒机、KVM使用状况和有关记录,保证“三员”互相独立和互相监督;

ｅ）查验与否存在“三员”在顾客区顾客终端上，或者通过远程终端设备实行运营维护操作状况。１８８.密信息系统服务器未采用相应安全控制办法，扣2分；a)查验涉密信息系统服务器与否按照功能和涉密与否进行了区别，放置地点与否符合原则规定，与否采取了安全控制办法；

b)查验不同密级、不同功能服务器与否布置在不同安全域_，同一种物理服务器上不应当同步安装涉密应用系统与非涉密应用系统;ﻫＣ）查验与否对涉密信息系统服务器采用了安全加固办法（通过安全保密产品及有关方略配备、操作系统安全方略设立、进程控制、端口合接口控制等);

ｄ)查验服务器身份鉴别和访问控制机制，与否木取办法