保密认证评分标准及操方法一.docx
《保密认证评分标准及操方法一.docx》由会员分享,可在线阅读,更多相关《保密认证评分标准及操方法一.docx(40页珍藏版)》请在冰豆网上搜索。
保密认证评分标准及操方法一
保密认证评分标准及操方法
项目
项 目 细 则
分值
操作方法
保密责任(40分)
法定代表人或主要负责人责任(10分)
保证党和国家有关保密工作方针政策和法律法规的贯彻执行
1. 对保密工作重要性认识不够和对自己职不清的,扣1分;
2. 对上级有关保密工作的重要指示和要求不够清楚的,扣1分
3.对《保密资格标准》有关要求不够清楚的,扣1分;
4. 年度内未对保密工作提出明确要求的,扣1分。
4分
a)通过谈话,了解对《保密法》、《意见》和《办法》、《标准》及单位相关保密制度熟悉情况;对本单位保密工作中的重点、难点知悉情况。
b)查看单位年度工作要点有无保密工作内容,在上级相关文件和指示、会议讲话、工作计划、工作总结等有无具体落实的批示和要求。
C)查看单位人事任命文件、人员工资发放表或会议纪要,了解保密工作机构设置、专职保密工作人员配备情况;现场检查保密条件保障落实情况,了解对保密工作人力、物力和财力提供支持保障情况。
d)查看保密责任制考核奖惩的相关材料,了解责任制落实情况。
落实保密责任
5. 对本单位保密工作整体情况掌握不够的,扣1分;
6. 未及时研究解决保密工作重要问题的,扣1分;
7. 年度内未对领导责任制落实情况进行监督考核的,扣1分。
3分
提供保密工作条件保障
8. 未按要求在人力上为保密工作提供条件保障的,扣1分;
9. 未按要求在财力上为保密工作提供条件保障的,扣1分;
10. 未按要求在物力上为保密工作提供条件保障的,扣1分;
3分
分管保密工作负责人责任 (8分)
对保密工作组织研究和部署
11. 对本单位保密工作全面情况掌握不够的,扣1分;
12. 半年内未组织研究部署保密工作的,扣1分;
13. 对保密工作未作出批示并提出明确意见和要求的,扣1分
3分
a)通过谈话,了解是否全面掌握本单位的保密工作情况;是否知悉单位保密工作中的难点、重点,采取了哪些组织协调落实措施。
b)查看工作计划、总结、会议纪要、审查审批事项文字记录等,了解对保密工作作了哪些具体的批示和要求。
C)查看检查记录,了解是否每年组织2次保密专项保密专项检查(包括对单位负责人),是否及时研究和解决发现的问题。
d)查看有关记录,了解是否及时协调解决保密工作机构在履行职责中存在的问题,是否定期听取工作汇报。
对保密工作落实情况组织监督检查
14. 半年内未组织检查保密工作落实情况的,扣2分;
15. 年度内未组织检查单位负责人保密工作情况的,扣1分。
3分
保证秘密工作机构履行职责
16. 关心支持保密工作机构工作不够的,扣1分;
17. 对保密工作机构履行职责监督指导不够的,扣1分。
2分
其它负责人责任
(8分)
对保密工作进行研究和部署
18. 对分管业务工作范围内的保密工作职责不清楚的,扣1分;
19. 对分管业务中保密重点不清楚的,扣1分;
20. 年度内未结合分管工作实际对保密工作进行研究和部署,提出明确要求的,扣1分。
3分
a)通过谈话和实地询问相关业务部门,了解对分管业务中的涉密事项是否清楚;对分管工作中的保密工作是否提供了支持和条件保障。
b)查看会议记录,是否结合业务工作实际,对业务工作范围内的保密工作进行了研究和部署。
c)查看保密检查记录,了解保密检查情况;是否对检查出的问题有书面整改要求并督促整改。
对保密措施落实情况进行监督检查
21. 半年内未对分管业务的保密工作落实情况进行监督检查,扣2分;
22. 未对存在的问题整改情况进行监督检查的,扣1分。
3分
为保密工作开展提供保障
23. 未对分管工作中的保密工作开展提供保障的,扣1分;
24. 对单位保密工作机构开展工作支持不够的,扣1分。
2分
涉密部门负责人或项目责任人责任
(10分)
掌握本部门或本项目的保密工作情况
25. 对保密工作职责不清楚的,扣1分;
26. 对业务工作中的重要涉密事项掌握不够的,扣1分;
27. 对涉密人员基本情况掌握不够的,扣1分;
3分
a)通过谈话,了解是否清楚保密工作职责;怎样做到保密工作与业务工作相结合并采取那些措施。
b)通过谈话,了解是否知悉本部门或项目涉及事项的密级、数量、人员的涉密登记。
c)查看会议记录和保密教育记录,了解对接触涉密事项的人员是否有保密要求。
d)查看教育培训大纲和人员签到表、考试卷及笔记等,了解单位对涉密人员保密教育培训情况。
e)查看检查记录,了解是否按规定每3个月进行1次保密检查和对检查出问题的整改落实情况。
对单位保密工作部署采取具体落实措施
28. 对单位部署的保密工作落实不够的,扣2分;
29. 季度内未安排保密教育的,扣1分;
30. 对专兼职保密工作人员关心支持不够的,扣1分。
4分
对保密措施落实情况进行监督检查
31. 季度内未对保密措施落实情况进行检查的,扣2分;
32. 对检查中发现的问题未监督落实整改的,扣1分。
3分
涉密人员责任
(4分)
涉密人员履行职责
33. 对本职岗位保密职责不清楚的,发现一人扣1分;
34. 对本职岗位业务工作中的保密事项不清楚,发现一人扣1分;
35. 未按要求进行保密自查的,发现一人扣1分;
36. 对保密知识和基本要求掌握不够的,发现一人扣1分。
4分
a)通过谈话,;了解涉密人员对其岗位中保密职责和保密事项是否清楚;
b)查看涉密人员自查表,了解每月是否进行了保密自查,内容是否具体;
c)通过提问,了解涉密人员对各项保密审批程序、载体管理及计算机信息系统有关要求是否清楚。
保密组织机构
40分
保密委员会或保密工作领导小组
(10分)
保密委员会组成及职责
37. 保密委员会成员组成不符合要求的,扣1分;
38. 保密委员会及其成员职责和分工不够明确的,扣1分。
2分
a)通过查看文件,了解保密委员会成立、人员的组成是否符合标准要求,是否有明确职责与分工。
b)查看保密委员会或保密工作领导小组会议记录,了解参会人员范围和会议议题;了解是否实行例会制度及是否对本单位保密工作开展做出部署各总结;是否及时研究解决本单位保密工作中的重大问题。
c)查看相关资料,了解保密工作是否有年度计划和工作总结。
保密委员会履行职责
39. 年度内召开工作例会少于2次的,扣1分;
40. 年度内未对保密工作研究和部署的,扣2分;、
41. 未及时解决保密工作重要问题的,扣3分;
42. 保密委员会成员未按分工履行职责的,扣2分。
8分
保密工作机构
(30分)
机构设置及其职责
43. 保密工作机构设置不符合标准要求的,中止审查或复查;
44. 保密工作机构管理职责和权限不够明确的,扣3分。
3分
a)通过查看查看单位文件、审查审批记录,了解保密工作机构是否按要求单独设置,并独立行使管理职能(此条为基本项,不符合要求的,中止审查或复查);
b)查看保密工作计划和工作记录,了解保密工作机构工作开展情况;
c)查看保密工作机构办公场所和相关文件,了解保密工作机构人员配备情况;
d)询问专职保密工作人员,了解保密管理知识掌握情况;
e)查看培训证书,了解专职保密工作人员是否特有保密工作培训证书。
人员配备
45. 专职保密工作人员配备数量不符合标准要求的,扣10分;
46. 专职保密工作人员条件不符合标准要求的,扣2分;
47. 专职保密工作人员为做到专用的,扣4分;
48. 兼职保密工作人员未按要求配备的,扣2分;
18分
履行职责
49.保密工作机构履行保密管理职责不够的,扣4分。
4分
专职保密工作人员知识技能
50.对保密法律法规和保密知识技能掌握不够的。
扣1分;
51.对本单位业务工作中的保密工作情况掌握不够的,扣1分;
52.组织协调和管理能力不强的,扣1分;
53.未通过保密培训考试、获得资格证书的,扣2分。
5分
保密制度(30分)
基本制度
(15分)
54.不够健全的,扣5分;
55.不够准确规范的,扣4分;
56.操作性不强的,扣3分;
57.未及时修订完善的,扣3分。
15分
a)查看基本制度(14项),了解是否有漏项,具体落实保障措施如何;
b)查看二级制度,了解是否借个业务实际制定;
c)查看专项工程(重要武器装备工程或项目)外场试验活动,了解是否有保密方案和具体实施的情况;
d)通过询问,了解涉密部门的人员是否熟知单位的基本制度和本部门的二级制度的基本要求。
二级制度
(10分)
58.未按要求制定的,发现一个部门扣1分,最高扣4分;
59.结合业务工作实际和特点不够的,扣3分;
60.保密责任不明确的,扣3分。
10分
专项制度
(5分)
61.未按要求制定的,扣2分。
62.工程或项目密级不确定的,扣1分。
63.职责分工不清的,扣1分。
64.未结合专项任务特点,管理措施不具体的,扣1分。
5分
定密管理
(10分)
65.未建立定密工作小组的,扣2分。
66.定密工作小组未按要求开展工作的,扣1分。
67.定密及变更密级程序和责任不明确的,扣2分;
68.未确定本单位国家秘密事项的,扣2分;
69密级确定不够准确的,扣2分;
70.变更密级和解密不及时的,扣1分。
10分
a)查看文件、会议纪要,了解是否成立定密工作小组;
b)查看资料,了解是否制定本单位《国家秘密事项范围目录》或《涉密事项一览表》,定密依据是否正确;
c)抽查部分涉密部门产生的涉密载体,了解是否按规定开展定密工作,程序和责任是否明确。
涉密人员管理
(50分)
上岗管理
71.未界定涉密岗位和涉密人员的,扣2分;
72.对涉密岗位和涉密人员涉密等级界定不准确的,扣2分;
73.未对进入涉密岗位的人员进行审查和培训的,扣4分;
74未按要求与涉密人员签订保密责书的,扣2分。
10分
a)查看档案和工作制度等资料,了解是否对涉密岗位进行了界定、对涉密人员是否进行审查,并检查涉密岗位、人员界定是否准确。
b)查看保密教育培训记录,了解教育培训内容及学时是否符合要求。
C)查看保密责任书,了解涉密人员是否按规定签订;保密责任书内容是否明确双方应履行的责任义务和享有的权利情况。
d)通过抽取涉密人员进行保密知识考试以及实地检查、询问等,了解涉密人员掌握保密基本知识情况。
e)查看保密补贴发表,了解保密补贴发放情况,是否与考核挂钩,
f)查看涉密人员等级变更表,了解涉密人员因私出境审批情况和保密提醒制度落实情况录。
g)查看因私出境审批表,了解涉密人员因私出境审批情况和保密提醒制度落实情况录。
h)查看有关材料,了解单位是否将涉密人员名单在公安机关出入境管理机构登记备案。
i)查看有关材料,了解单位对涉密人员擅自出国(镜)的是否按规定及时进行报告。
j)查看制度和涉密载体登记记录,里欧阿姐单位是否对离岗人员的涉密载体移交做出规定并对移交涉密载体情况做出记录。
K)查看涉密人员离岗审批表,了解脱离单位涉密人员是否实行了脱密期管理并签订保密承诺书。
在岗管理
75.年度内对涉密人员进行保密教育和培训未达到15学时,扣4分;
76.现场审查保密知识考试良好率未达到80%的,扣4分;
77.未对涉密人员采取监督制约措施和进行考核的,扣4分;
78.对不符合条件的涉密人员未及时调离涉密岗位的,扣4分;
79.年度内未根据情况的变化对涉密人员涉密等级进行调整,扣2分;
80.未按规定对涉密人员因私自出国(境)进行管理的,扣4分;
81.未按规定对涉密人员进行备案的,扣2分;
82.对涉密人员擅自出国(境)未按规定及时报告的,扣2分;
83保密补贴制度不落实的,扣4分;
30分
离岗管理
84.对离开涉密岗位的人员未及时清退涉密载体的,扣6分;
85.对脱离单位的涉密人员未按规定实行脱密期管理的,扣2分;
86.未与脱离单位的涉密人员签订保密承诺书的,扣2分;
10分
涉密载体管理(50分)
87.涉密部门未建立涉密载体台帐的,扣2分;
88.涉密载体台帐与实际不符的,扣2分;
89.涉密载体未标明密级的,发现一份扣2分,最高扣4分;
90.涉密载体未按规定制作的,扣2分;
91.涉密载体未按规定收发的,扣2分;
92.涉密载体未按规定传递的,扣2分;
93.涉密载体未按规定借阅的,扣2分;
94.涉密载体未按规定使用的,扣2分;
95.涉密载体未按规定复制的,发现一份扣2分,最高4分;
96.涉密载体未按规定保存的,发现一份扣2分,最高扣5分;
97.涉密载体未按规定销毁的,扣3分;
50分
a)查看部门涉密载体台帐,了解登记是否齐全,手续是否清楚,帐物是否相符;
b)抽查单位制作的涉密文件资料,是否按规定标明密级和保密期限;
C)抽查单位涉密部门电子文档和未定稿的涉密过程文件是否标密,标识是否正确;
d)查看文件和文件资料收发登记本、审批记录,了解涉密文件资料制作、收发、传递、复印、保存、借阅、使用、销毁等环节审批登记管理情况;
e)查看涉密移动存储介质的存放是否符合要求;
f)检查机要室、档案管理部门,了解单位对接触和知悉绝密级国家秘密人员,是否明确指定,有文字记载以及涉密文件资料借阅管理控制情况;
g)查看涉密人员保密记录本,了解记载涉密事项是否使用专用保密本;
h)查看密品研制、生产、存放部门,了解保密技术防护措施是否符合保密规定。
98.过程文件资料管理不符合要求的,扣3分;
99.记录涉密事项未使用保密本的,扣3分;
100.未严格控制涉密载体的知悉范围的,扣5分;
101.对接触和知悉绝密级国家秘密载体人员未做文字记载,扣4分;
102.密品管理不符合有关规定的,扣5分;
保密管理措施
103.未按规定确定保密要害部门部位的,扣3分;
104.保密要害部门部位确定不准确的,扣2分;
105.保密管理措施不落实的,扣3分
8分
a)位文件资料,了解保密要害部门、部位界定是否符合标准,是否履行审批手续;
b)查看二级制度是否结合业务部门的自身实际;
c)实地检查,了解保密要害部门、部位的人防、物防和技防的基本情况;
d)检查保密要害部门、部位集中的安全控制区域、外周界和视频监控室技防设施设备及应急方案的有效性及人员值班情况等;
e)查看记录,了解对保密要害部位的安全值班、工勤服务人员是否进行了审查,履行了审批手续,并签订由保密承诺书;
f)查看记录,了解进入要害部位的外来人员是否经过审批,做出记载,并采取了相应的控制措施;
g)查看涉及保密要害部门、部位的新建、扩建、改建工程档案,了解在立项、验收等环节是否经过单位保密工作机构组织的审核。
要害部门部位管理
(40分)
保密防护措施
106.未按规定安装防盗报警装置的,扣3分;
107.未按规定安装视频监控装置的,扣3分;
108未按规定安装电子门禁系统的,扣3分;
109.要害部门、部位相对集中的建筑物未确定安装控制区域,扣3分;
110.安全控制区域外周界未安装防入侵报警装置和视频监控系统的,扣3分;
111.安全控制区域出入口未设置电子门禁系统,配置安全值班人员,扣3分;
112.未对安全值班和工勤服务人员采取保密监督管理措施,扣3分;
113.未对外来人员进入采取措施的,扣3分。
24分
新建、改建工程项目防护措施
114.未经保密工作机构组织审核的,扣4分;
115.未按要求同计划、同设计、同建设、同验收的,扣4分;
8分
涉密信息系统审批
116.涉密信息系统未经国家保密工作部门审批的,中止审查复查。
a)查验被审查单位涉密信息系统是否具有国家保密行政管理部门颁发《涉及国家秘密的信息系统使用许可证》;
b)查验单台涉密计算机是否存在联网互联记录。
计算机和信息系统管理(80分)
基本要求
117.涉密计算机或信息系统连接国际互联网和其他公共信息网络的,中止审查或复查;
118.使用连接国际互联网或其他公共信息网络的计算机和信息设备存储和处理涉密信息的,中止审查或复查;
119.涉密信息运程传输未按国家有关部门要求采取密码保护措施的,中止审查或复查;
120.涉密计算机或信息系统接入内部非涉密信息系统的,发现一台扣10分;
121.使用费涉密的计算机、信息系统和存储介质存储和处理涉密信息的,发现一份扣5分;
122.未经审批对涉密计算机和信息系统格式化或重装系统的,发现一台扣5分,最高扣20分;
123.未经审批删除涉密计算机和信息系统的移动存储介质及外部设备等日志记录的,发现一台扣5分,最高扣20分。
a)保密要求的技术手段,对单台计算机、信息系统服务器、用户终端和外部设备进行抽查;
b)采用数据检索和数据恢复等技术手段,检查涉密信息存储或处理痕迹;
c)采用数字取证技术,对计算机、服务器、用户终端和外部设备违规外联痕迹进行技术检查;
d)对照审批记录,验证操作系统安装和日志记录删除是否符合标准要求。
台帐、维修、报废
124.信息设备台帐不符合保密要求的,扣1分;
125.存储介质台帐不符合保密要求的,扣1分;
126.涉密信息设备维修、报废不符合要求的,扣2分;
127.涉密存储介质维修、报废不符合要求的,扣2分;
6分
a)分别检查单位总台帐和部门分台帐。
验证台帐是否缺少基本项、与实物不一致、没有定期对台帐进行核对等;
b)检查维修、报废的申请单喝相关记录,内部或外部维修点设置,维修中的信息转储和涉密存储介质管理情况。
标识
128.信息设备和存储介质的标识不符合要求的,扣2分;
129.涉密信息设备和存储介质中的涉密信息未标注相应密级标识的,发现一份扣1分,最高扣5分;
7分
a)验证信息设备和存储介质的标识是否符合要求;
b)验证涉密计算机和信息系统服务器、用户终端和外部设备中存储涉密信息的密级标识。
安全保密策略与审计
130.未建立文档化的涉密计算机和信息系统安全保密策略的,扣2分;
131.未根据环境、系统和威胁变化情况及时调整更新涉密计算机和信息系统安全保密策略的,扣1分;
132.未按要求建立文档化的涉密计算机和信息系统安全保密审计报告的,扣1分;
133.未定期进行涉密计算机和信息系统风险自评估的,扣1分;
134.未根据风险分析报告对涉密计算机和信息系统隐患漏洞及时采取补救措施的,扣1分;
6分
a) 检查文档化的策略文件;
b) 检查策略文件的更新情况;
c) 检查安全保密审计报告;
d) 检查风险评估报告和记录;
e) 检查是否根据风险评估结果采取必要的补救措施。
安全保密措施
135.超越计算机及信息系统涉密等级存储和处理涉密信息的,扣2分;
136.未正确配置和使用安全保密产品的,扣2分;
137.安全保密产品失效或功能不符合保密要求的,扣2分;
138.涉密计算机和信息系统身份鉴别不符合保密要求的,扣2分;
139.未有效实现涉密计算机和信息系统访问控制策略的,扣2分;
140.未进行涉密计算机和信息系统病毒和恶意代码查杀并及时升级样本库的,扣1分;
141.未及时安装涉密计算机和信息系统操作系统、数据库、应用系统补丁程序的,扣2分;
142.涉密计算机和信息系统的信息输出未做到相对集中、有效控制的,扣2分;
24分
a)查验涉密计算机和信息系统终端用户处和存储信息的密级是否高于设备标识的密级;
b)查验安全保密产品是否正确安装和配置,是否能够正常工作;
c)查验安全保密产品的功能是否与保护要求相一致,是否根据信息系统的变更及时调整策略配置或升级更新安全保密防护产品;
d)多人共用一台涉密计算机时,谗言用户权限设置和硬盘分区是否符合要求;
e)查验用户身份标示符的唯一性,并验证是否与安全审计相关联,是否设置了多余的用户身份标识符;
f)查验BIOS、操作系统、应用系统和空闲操作超时用户身份鉴别的设置情况,查验鉴别失败后的记录和处理是否符合保密要求;
g)查验访问控制策略、细粒度、控制列表是否有效,特别要验证高密级信息是否能够流向低等级的安全域、用户终端或信息设备;
h)查验是否定期进行计算机病毒与恶意代码样本库的更新并及时查杀计算机病毒与恶意代码;
i)涉密计算机和信息系统服务器、用户终端是否存在未查杀的计算机病毒与恶意代码,发现存在不能被清除的计算机病毒与恶意代码,是否记录和及时上报;
j)查验是否在中间计算机上采取与涉密计算机和信息系统不同的计算机病毒与恶意代码查杀工具
k)查验系统补丁的下载、分发与安装过程和日志记录,操作系统、数据库和应用系统中是否存在中、高风险的漏洞;
l)查验涉密计算机和信息系统是否存在不受控制或违规安装的信息输出点;
m)查验涉密计算机和信息系统的服务器、用户终端的软硬件的安装情况和审批记录;
n)查验涉密计算机和信息系统用户终端上是否存在无线联网功能模块,涉密计算机(便携式计算机)和信息系统用户终端上是否存在连接或使用无线功能外部设备的记录;
o)查验涉密便携式计算机内涉密信息存储情况和审批录
143.未经审批涉密计算机和信息系统用户终端安装或拆卸硬件设备和软件的,发现一起扣2分,最高扣4分;
144.未拆除涉密便携式计算机无线联网功能硬件模块的,扣2分;
145.涉密计算机和信息系统使用无线键盘、鼠标等具有无线功能外部设备的,扣1分;
146.未经审批在涉密便携式计算机中存储涉密信息的,扣2分;
绝密级信息保护
147.绝密级计算机的使用环境不符合保密要求的,扣2分;
148.绝密级信息未按国家有关部门要求采取密码保护措施进行存储和传输的,扣2分;
4分
a)检查绝密计算机的物理环境是否符合要求;
b)检查绝密级计算机和存储介质的密码保护措施是否符合国家有关规定;
c)如果有绝密级信息系统,应当查验信息储存和传输的密码保护措施。
存储介质
149.存储介质未与涉密计算机和信息系统采用绑定或有效技术措施的,扣5分;
150.使用无标识存储介质的,扣2分;
151.使用低密级存储介质存储高密级信息的,扣1分;
152.高密级存储介质在低密级计算机上使用的,扣1分;
153.信息交换未按规定配备并正确使用中间交换机的,扣3分;
12分
a)检查移动存储介质的绑定措施是否有效,使用范围是否符合国家秘密的知悉范围;
b)检查涉密计算机和信息系统中使用的存储介质是否具有标识;
c)检查存储介质中涉密信息的密集与其标识是否相符;
d)检查用于信息交换的设备和记录,是否符合有关保密规定。
电磁泄漏发射防护
154.涉密信息设备的电磁泄漏发射部符合安全要求,且未采取防护措施的,扣1分;
155.涉密信息设备和传输线路不符合红黑隔离要求的,扣1分;
156.涉密信息设备未采取电源滤波防护措施的,扣1分;
3分
a)查看电磁泄漏发射检测报告或涉密信息系统测评报告,检查是否采取保护措施;
b)查验涉密信息设备和传输线路是否满足红黑隔离要求;
c)查验涉密信息设备的电源滤波防护措施配置和使用是否符合要求。
外
升级会员 