2017年新版三级保密资格评分标准具体操作方法

2017年新版三级保密资格评分标准具体操作方法2017年新版三级保密资格评分标准具体操作方法2017年新版三级保密资格评分标准具体操作方法资料仅供参考文件编号：2022年4月2017年新版三级保密资格评分标准具体操作方法版本号：A修改号：1页次：1.0审核：批准:发布日期：武器装备科研生产单位三级保密资格评分标准具体操作方法重要说明1、三级保密资格评分标准项目总分值设定为500分（不含重点检查项），达到450分（含）以上为符合标准，以下为不符合标准。2、评分标准共设置6个基本项，达不到基本项要求的，中止审查或者复查。3、评分标准第38、52、115—125项为重点检查项。4、被审查单位没有的项目不扣分，分值计入单位总得分。基本项（共计6项）基本项操作方法支撑文件备注存在下列情况之一的，中止审查或者复查。1、保密工作机构设置不符合标准要求的查看单位会议记录、红头文件、审查审批记录、组织机构图，以及通过谈话等方式，了解保密工作机构是否按要求单独设置，与其他内设二级机构平行，并独立行使管理职能。2、涉密信息设备和涉密存储设备接入互联网及其他公共信息网络，或者未采取防护措施与互联网及其他公共信息网络之间进行信息交換，可能造成涉密信息失控的a)查验涉密信息设备、涉密存储设备，是否存在接入互联网及其他公共信息网络的记录或者痕迹，并判定接入时间是否为该计算机定密（涉密）以后；

b)查验涉密信息系统、涉密信息设备和涉密存储设备与互联网及其他公共信息网络之间进行信息交换时，采取的防护措施(如导入时采用单向导入盒、非涉密中间机，导出时采用刻录一次性非涉密光盘，并通过监控审计系统实施监督检查），是否能够控制涉密信息泄露，是否能够防止因技术原因产生的泄密隐患；

C)查验移动存储设备是否在涉密信息设备与互联网及其他公共信息网络之间交叉使用（记录或者痕迹)；

d)可以采用数字取证或者信息恢复技术，对涉密信息设备、涉密存储设备违规外联痕迹进行技术检查和判定。3、在互联网及其他公共信息网络，或者在未采取保密措施的有线或者无线通讯中存储、处理、传递国家秘密的a)查验互联网计算机及其他公共信息网络设备、非涉密通信设备，是否存在涉密信息（无论是否有涉密标志）存储、处理、传输的记录或者痕迹，是否接入或者使用过涉密移动存储设备；

b)查验涉密信息设备或者涉密存储设备上是否具有无线通信功能，或者是否外接过具有无线通信功能的设备（部件)，如果单位周界以内存在无线通信的基站、中继站、无线发射装置，或者无线发射增强装置等，应当验证与涉密信息设备产生交叉耦合调制发射的可能性；

C)查验保密要害部门部位内部是否使用无线通信设备或者无线控制设备，如果使用，且未履行审批程序，也未采取安全保密措施，则应当终止；

d)查验采取的保密措施是否符合国家相关要求。4、未按保密要求进行安全技术处理，将退出使用的涉密信息设备、涉密信息存储设备赠送、出售、丢弃或者改为他用，可能造成涉密信息失控的a)查验退出使用的涉密信息设备、涉密存储设备的审批程序是否合规，审批单以及相关记录是否真实完整；

b)查验退出使用的涉密信息设备是否拆除了存储过涉密信息的硬件和固件，或者采用符合国家保密要求的消磁、清除等工具对涉密信息进行了处理；

C)如果存在赠送、出售、丢弃或改为他用的涉密信息设备和涉密存储设备，查验清单以及相关的审批程序，判定是否进行迚符合国家保密要求的安全技术处理，是否能够确保国家秘密信息不被恢复和获取；

d)查验涉密信息设备、涉密存储设备的最终去向。5、涉密信息系统未通过国家保密行政管理部门设立或者授权测评机构的系统测评并存储处理涉密信息的a)查验国家保密行政管理部门设立或者授权的测评机构的系统测评报告，是否经过涉密信息系统测评总中心认可并签字盖章；

b)查验系统测评申请书的申请范围和内容，以及系统测评机构确定的范围和内容是否与涉密信息系统（网络）的实际情况一致；

c)查验单位全部涉密信息系统的使用情况，判定在系统则评通过前（具有总中心签字盖章的测评报告可确定为通过)，是否存储或者处理过涉密信息；

d)在涉密信息系统建设方案中，已经明确的利旧设备（如原来使用的单台涉密计算机作为涉密信息系统的用户终端)，如果存储或者处理过涉密信息，在系统测评通过前，不应当接入涉密信息系统；

e)属于扣分情形的，不作为终止内容。6、选择的涉密协作配套单位不具备相应保密资格的查验单位协作配套任务或项目合同，对属于涉密的任务，是否选择相应的具备相关保密资质单位承担。评分标准操作办法（共计6大项、237小项）1、保密责任（50分）、法定代表人或者主要负责人责任（15分）项目细则操作方法支撑文件备注保证党和国家有关保密工作方针政策和法律法规贯彻执行（8分）

1.年度内未对贯彻落实党和国家保密工作的方针、政策和法律法规提出明确要求的，扣2分；

2.未将保密管理纳入单位管理体系的，扣2分;

3.未将保密责任纳入绩效考核的，扣2分；

4.年度内未对保密工作责任制落实情况进行监督考核的，扣2分。a)通过谈话，了解对《保密法》《保密法实施条例》和《办法》《标准》及单位相关保密制度熟悉情况；对自己应当承担的保密责任知悉情况；对本单位保密工作的基本情况和保密工作中的重点、难点知悉情况；

b)查看单位年度工作要点有无保密工作内容，在上级相关文件和指示、会议讲话、工作计划、工作总结等有无具体落实的批示、要求和参加单位保密学习培训情况；

c)查看单位管理体系是否纳入保密管理；

d)查看单位绩效考核标准有无保密责任考核项；

e)查看保密工作责任制考核奖惩的相关材料，了解责任制落实情况。为保密工作提供支持和保障（7分）

5.对本单位保密工作整体情况掌握不够的，扣2分；

6.未及时研究解决保密工作重大问题的，扣2分；

7.未按要求在人力、财力、物力上为保密工作提供条件保障的，扣3分。查看单位人事任命文件或者相关会议纪要，了解保密工作机构设置、专职保密工作人员配备情况；根据年度预算、保密技防建设方案等，现场检查保密条件保障落实情况，了解单位对保密工作人力、物力和财力提供支持保障情况。、分管保密工作负责人责任（10分）项目细则操作方法支撑文件备注研究部署保密工作（4分）

8.对本单位保密工作全面情况掌握不够的，扣2分；

9.未对落实保密工作提出明确意见和要求的，扣1分；

10.未及时组织研究保密工作中的重点、难点问题的，扣1分。a)通过谈话，了解是否全面掌握本单位的保密工作情况；是否知悉单位保密工作中的难点、重点，采取了哪些组织协调落实措施；

b)查看工作计划、总结、会议纪要、审查审批事项文字记录等，了解对保密工作作了哪些具体的批示和要求。监督检查保密工作落实情况（6分）

11.年度内未组织检查单位和部门负责人保密工作的，扣1分；

12.未对不履行保密责任的人员进行责任追究的，扣2分；

13.对保密工作落实情况监督不够的，扣1分；

14.对保密工作机构履行职责支持帮助和监督指导不够的，扣2分。a)查看检查记录，了解是否每年组织对单位和部门负责人保密工作进行检查，是否及时研究和解决发现的问题；

b)查看有关记录，了解是否及时协调解决保密工作机构在履行职责中存在的问题，是否定期听取工作汇报；

C)查看有关记录，了解是否对不履行保密责任的人员进行了追究或处罚；

d)查看有关记录，包括保密工作机构的年度工作计划、请示性文件、规划性文件，了解是否支持帮助和监督指导。、其他负责人责任（9分）项目细则操作方法支撑文件备注研究落实分管业务范围内的保密工作（4分）

15.未组织将保密管理要求融入分管业务工作制度和流程中的，扣1分；

16.对分管业务范围内的保密工作职责不清楚的，扣1分；

17.未及时研究解决分管业务范围内的保密工作直点、难点冋题的，扣1分；

18.未在分管业务工作中按照工作需要严格控制国家秘密知悉范围的，扣1分。a)通过谈话、查阅档案和有关业务管理制度、工作流程等，了解业务工作是否融入了保密管理要求；怎样做到保密工作与业务工作相融合以及采取了哪些措施；

b)通过相关文字记录，查看是否及时解决本单位保密工作中的重点、难点问题；

C)通过谈话和实地询问相关业务部门，了解对分管业务中的涉密事项是否清楚；是否限定了范围，确定了知悉人员。监督检查保密工作落实情况（5分）

19.未组织对分管业务工作中的保密工作落实情况进行监督检查的，扣1分；

20.未组织对分管业务工作中存在的保密管理问题督促整改的，扣2分；

21.未对分管业务工作中的保密工作开展提供保障的，扣1分；

22.对单位保密工作机构开展工作支持不够的，扣1分。a)通过谈话、查阅档案，了解对分管工作中的保密工作是否提供了支持和条件保障；

b)查看会议记录等相关材料等，了解是否结合业务工作实际，对业务工作范围内的保密工作进行了研究、部署和检查；

C)查看保密检查记录，了解保密检查实效；是否对检查出的问题有书面整改要求并督促整改。、涉密部门负责人或者涉密项目负责人责任(10分)项目细则操作方法支撑文件备注掌握本部门或者本项目的保密工作情况（3分）

23.对保密工作职责不清楚的，扣1分；

24.对部门或者项目的整体保密情况掌握不够的，扣1分；

25.对涉密人员基本情况掌握不够的，扣1分。a)通过谈话，了解是否清楚保密工作职责；在保密工作与业务工作相结合方面采取了哪些措施；

b)通过谈话，了解是否知悉本部门或者本项目涉密事项基本情况；

C)通过谈话，了解部门（项目）负责人是否知悉涉密人员的保密要点。采取具体措施落实保密管理要求（5分）

26.未将保密管J里要求融人业务工作制度中的，扣1分；

27.对单位部署的保密工作落实不够的，扣1分；

28.对专兼职保密工作人员工作支持不够的，扣1分；

29.季度内未安排保密教育的，扣1分；

30.未按照工作需要控制国家秘密的知悉范围的，扣1分。a)查阅有关业务资料、工作制度和管理流程，了解是否将保密要求融入业务工作制度；

b)查看会议记录和保密教育记录，了解对接触涉密事项的人员是否有保密要求；

C)查看教育培训大纲和人员签到表、考试试卷及笔记等，了解单位、部门对涉密人员保密教育培训情况；d)通过谈话和实地询问，了解对涉密部门负责人或者涉密项目负责人业务中的涉密事项是否清楚，是否按照工作需要限定了范围，确定了知悉人员。监督检查保密工作落实情况（2分）

31.季度内未对保密措施落实情况进行检查的，扣1分；

32.未对检查中发现的问题进行监督落实整改的，扣1分。查看检查记录，了解是否按规定每3个月进行1次保密检查；检查是否真实有故，是否查出了普遍存在的问题；对检查出的隐患和问题是否整改落实。、涉密人员责任(6分）项目细则操作方法支撑文件备注涉密人员履行职责（6分）

33.对本职岗位保密职责不清楚的，扣1分；

34.对本职岗位业务工作中的保密事项不清楚的，扣1分；

35.对保密知识、技能和要求掌握不够的，扣1分；

36.未履行本职岗位保密职责的，扣1分；

37.未及吋报告泄密隐患、制止违法违规行为的，扣2分。a)通过谈话，了解涉密人员对其岗位中的保密职责和保密事项是否清楚；

b)谈话了解学习内容和掌握党和国家有关保密工作政策法规、上级规定、本单位制度以及对本职岗位保密职责是否清晰等情况，查看涉密人员保密知识、技能和要求的学习记录；

c)通过提问，了解涉密人员对本职岗位各项保密审批程序、载体管理及计算机信息系统的有关要求是否熟悉清楚。2、归口管理(6分）项目细则操作方法支撑文件备注38.未根据业务工作实际，明确定密、涉密人员、信息化、新闻宣传、外事等归口管理部门的，扣10分；

39.未明确归口管理部门职责的，扣3分；

40.归口管部门未履行职责的，扣3分。a)通过查看基本制度和业务流程，了解是否结合业务工作实际，在部门职能划分上明确了定密、涉密人员、信息化、新闻宣传、外事等归口管理部门和其管理职责；

b)通过谈话，了解归口管理部门负责人及管理人员掌握管理职责情况；

c)查归口部门年度工作计划、总结、业务制度及有关审查审核记录，看是否将保密管理要求融入业务工作制度和流程中，是否履行了保密管理职责。3、保密组织机构（32）分、保密委员会（保密工作领导小组）（12分）项目细则操作方法支撑文件备注保密委员会（保密工作领导小组）组成及其职责（4分）

41.保密委员会（或保密工作领导小组）成员组成不符合要求的，扣2分；

42.保密委员会（或保密工作领导小组）及其成员职责和分工不够明确的，扣2分；a)通过查看文件，了解保密委员会机构、人员的组成是否符合标准要求，是否有明确的职责与分工；保密委员会（保密工作领导小组）履行职责（8分）

43年度内未召开工作例会的，扣1分；

44.保密委员会成员未按分工履行职责的，扣2分；

45.年度内未对保密工作进行研究和部署的，扣2分；

46.未及时解决保密工作重大问题的，扣2分；

47.保密委员会成员年度内未向保密委员会报告履职情况的，扣2分。a)查看保密委员会或者保密工作领导小组会议记录，了解参会人员范围及会议议题；了解是否实行例会制度及是否对本单位保密工作开展作出部署和总结；是否及时研究解决本单位保密工作中的重大问题；

b)查看保密委员会签到记录及有关纪要，了解保密委员会成员参加保密委员会会议情况，是否按职责分工将会议精神进行了传达、执行；

c)查看保密委员会成员年度履职报告，了解保密委员会成员按照分工履职情况；

d)查看相关资料，了解保密工作是否有年度计划和工作总结。、保密工作机构(20分）项目细则操作方法支撑文件备注机构设置及履行职责（8分）

48.保密工作机构管理职责和权限不够明确的，扣2分；

49.保密工作机构履行保密管理职责不够的，扣2分；

50.未参与涉密业务工作制度制定，指导业务部门将保密管理要求融人业务工作流程中的，扣2分；

51.未提出保密责任追究和奖惩建议并监督落实的，扣2分。a)查看单位文件资料、基本制度和业务制度及审查审批记录，了解保密工作机构管理职责和权限是否明确清晰；

b)查看档案资料、业务工作制度和流程，实地检查了解保密工作机构落实国家法律法规、上级文件及执行单位保密委员会会议精神情况；如何指导业务部门将保密管理要求融入业务工作流程中情况；监督检查指导协调单位各项保密工作开展情况；对违反保密规定是否进行责任追究，对保密先进是否进行奖励；

C)查看保密工作计划和工作记录，了解保密工作机构工作开展情况。保密工作人员配备（8分）

52.专职保密工作人员配备数量不符合标准要求的，扣10分；

53.专职保密工作人员条件不符合标准要求或者未做到专职专用的，扣4分；

54.专职保密工作人员2人(含）以上，未配备保密技术管理人员的，扣2分；

55.兼职保密工作人员未按要求配备的，扣2分查看保密工作机构办公场所、相关文件和任职条件，了解保密工作机构人员配备数量情况是否符合要求，是否做到专职专用；是否按要求配备了保密技术管理人员。保密工作人员知识技能（4分）

56.保密工作机构人员对本单位、业务工作中的保密工作重点和具体情况掌握不够的，扣2分；

57.保密工作机构人员未经过保密知识技能培训的，扣2分。a)询问专职保密工作人员，了解保密管理知识掌握情况，是否掌握本单位保密工作重点情况；

b)查看专职保密工作人员是否经过相应的保密知识技能培训。4、保密制度(16分）项目细则操作方法支撑文件备注58.未按要求制定的，扣4分；

59.未结合单位工作实际，扣3分；

60.操作性不强的，扣3分；

61.不够全面、准确规范的，扣3分；

62.未及时修订完善的，扣2分。a)查看是否按要求制定了基本制度；了解是否有漏项，具体落实保障措施如何；

b)查看基本制度，了解是否由归口管理部门结合单位工作实际和特点制定；是否流程化和表单化；是否按照国家法律法规及上级有关要求，全面准确规范制定，并及时修订完善。5、保密管理（352）分、定密管理（20分）项目细则操作方法支撑文件备注63.未按定密权限依法开展定密工作的，扣4分；

64.未明确定密工作流程的，扣2分；

65.未制定国家秘密事项范围细目并及时调整的，扣3分；

66.未按规定指定定密责任人的，扣2分；

67.定密责任人未经过培训的，扣2分；

68.定密程序不符合要求的，扣3分；

69.密级、保密期限和知悉范围确定不够准确的，扣2分；

70.未开展变更密级或者解密工作的，扣2分。a)查看定密授权文件，了解是否被授予定密权限；查看定密工作流程及有关记录，了解单位按照定密权限依法开展定密工作情兄；

b)查看资料，了解是否制定本单位《国家秘密事项范围细目》，定密依据是否正确，并根据工作实际及时调整；

C)查看单位指定定密责任人文件，是否符合任职条件，是否报国家国防科技工业局和军工集团公司备案；

d)查看定密责任人是否经过保密知识技能培训；

e)抽查部分涉密部门产生的涉密载体，检查定密程序和责任人是否符合要求；检查密级、保密期限确定、知悉范围是否准确，知悉范围是否最小化；

f)抽查涉密载体，检查国家秘密标志是否标注规范；

g)查阅文件资料，了解单位是否及时开展密级变更或者解密工作；

h)通过与定密责任人谈话，了解定密责任人季度内是否组织了定密检查，年度内是否进行了定密情况统计，是否报保密工作机构备案。、涉密人员管理（50分）项目细则操作方法支撑文件备注上岗管理（14分）

71.未准确界定涉密岗位密级的，扣4分；

72.未准确界定涉密人员密级并及时调整的，扣4分；

73.未对进人涉密岗位的人员进行审查和定期复审的，扣4分；

74.未对进人涉密岗位的人员进行岗前保密教育培训、签订保密承诺书的，扣2分。a)查看归口管理部门工作制度和档案等资料，并与部门负责人谈话，了解是否对涉密岗位进行了界定，并检查涉密岗位、人员界定是否准确；

b)检查进入涉密岗位的涉密人员是否进行了审查，审查内容是否符合有关规定要求；

C)查看岗前保密教育培训记录、了解教育培训内容及学时是否符合要求；查看保密承诺书，了解涉密人员是否按规定签订；保密承诺书内容是否明确应履行的责任义务和享有的权利情况。在岗管理（30分）

75.年度内涉密人员在岗保密教育和培训未满15学时的，扣2分；

76.未对涉密人员进行年度考核的，扣3分；

77.涉密人员严重违反保密制度或者不符合基本条件，未及时调整的，扣5分；

78.未根据涉密人员密级给予相应保密补贴的，扣4分；

79.未将涉密人员在公安机关出入境管理机构备案的，扣4分；

80.出入境证件未统一管理的，扣2分；

81.出国(境)未按要求审批的，扣4分;

82.出国（境）未按要求执行提醒或者回访制度的，扣2分；

83.现场审查保密知识考试良好率未达到80%的，扣4分。a)查看涉密人员个人保密教育记录、签到表及学时统计是否达到15学时；重点检查单位负责人、部门负责人、高技术人才、项目负责人等涉密人员是否按时参加教育培训，培训学时是否达标；涉密人员未按时参加培训人员年度内是否进行了补课；

b)通过抽取涉密人员进行保密知识考试以及实地检查、询问等，了解涉密人员掌握保密基本知识情况；

C)查看单位是否对涉密人员进行年度考核；查看保密补贴发放表和奖惩情况，了解保密补贴是否如实发放；补贴发放以及保密奖惩是否与考核挂钩；

d)查看涉密人员等级变更表和奖惩记录及年度考核，查看严重违反保密制度或者不符合基本条件的涉密人员，是否根据情况及时调整涉密人员等级；

e)查看有关材料，了解单位是否将涉密人员名单在公安机关出入境管理机构登记备案；

f)检查涉密人员因私出国（境）证件是否按时收交，并建立台账统一管理；

g)查看因私出国（境）审批表，了解涉密人员因私出国(境）审批情况和保密提醒、回访制度落实情况。离岗管理（6分）

84.离岗离职涉密人员未及时清退涉密载体、涉密信息设备、涉密存储设备和密品的，扣3分。

85.离职离岗涉密人员未签订保密承诺书，实行脱密期管理的，扣3分。a)查看制度和涉密载体登记记录，了解单位是否对脱离涉密岗位、内部调岗和涉密等级调整人员的涉密载体移交作出规定，并对移交涉密载体情况作出记录；

b)查看涉密人员离岗审查表，了解脱离涉密岗位和内部调岗的涉密人員是否实行脱密期管理并签订保密承诺书，以及脱密期管理具体情况的记录。、涉密载体管理（48分）项目细则操作方法支撑文件备注86.未建立涉密载体台账或者台账与实际不符、保存期限不足3年的，扣4分；

87.涉密载体未正确标注密级和保密期限的，扣2分；

88.涉密载体未按规定制作的，扣3分；

89.涉密载体未按规定收发的，扣3分；

90.涉密载体未按规定传递的，扣3分；

91.涉密载体未按规定借阅的，扣3分；

92.涉密载体未按规定使用的，扣3分；

93.涉密载体未按规定复制的，发现一份扣2分，最高扣6分；

94.涉密载体未按规定保存的，发现一份扣2分，最高扣7分；

95.涉密载体未按规定销毁的，扣3分；

96.记录涉密事项未使用保密本的，扣3分；

97.未严格控制国家秘密知悉范围的，发现一份扣2分，最高扣6分；

98.持有涉密载体或者知悉国家秘密未履行审批程序的，发现一份扣1分，最高扣2分。a)查看近3年部门、个人涉密栽体台账，了解台账要素及登记记录是否齐全，手续是否清楚，账物是否相符；

b)抽查单位制作的涉密文件、资料，是否按规定标明密级和保密期限；抽查电子文档和未定稿的涉密过程文件是否标密，标志是否正确；

c)审查国家秘密载体制作、收发、传递、复制、借阅、使用、销毁等环节审批、登记记录，是否审批权限准确，登记事项要素齐全；

d)审查国家秘密载体保存是否符合规定要求；

e)查看涉密人员保密记录本，了解记载涉密事项是否使用专用保密本；

f)检查机要室、档案室(馆）、部门等内设机构，了解单位对接触、知悉和持有涉密载体的人员是否履行审批手续，审批手续是否确定了知悉范围，并进行了有效控制。、密品管理（20分）项目细则操作方法支撑文件备注99.未建立密品台账或者台账与实际不符的，扣4分；

100.未准确确定密品的密级、保密期限和接触范围的，扣2分；

101.密品未按规定标注密级的，扣2分；

102.对外形和构造容易暴露国家秘密信息的密品未采取遮挡或者保护性措施的，扣2分；

103.密品未按规定存放的，扣2分；

104.重要密品运输未制定安全保密方案，落实安全保密措施，并进行记录的，扣3分；

105.密品交接未履行签收手续的，扣3分；

106.密品维修、销毁未经审批或者未采取安全保密措施的，扣2分。a)查看部门及保管人员是否建立密品台账，了解台账要素及登记记录是否齐全，手续是否清楚，账物是否相符；

b)抽查密品定密是否准确；是否按规定标明密级和保密期限；是否确定接触范围；对接触人员是否进行文字记载；

C)查看密品研制、生产、存放部位，了解保密技术防护措施是否符合保密规定；对外形和构造容易暴露国家秘密信息的密品是否采取了遮挡、管理和技术性保护措施；

d)检查业务部门档案，了解密品运输是否有安全保密工作方案，全程落实保密措施记录情况。、保密要害部门部位管理（20分）项目细则操作方法支撑文件备注107.未按规定确定保密要害部门部位，或者确定不准确的，扣3分；

108.保密要害部门未实行区域隔离，或者保密要害部位未实施物理防护的，扣2分；

109.未按规定采取出入口控制、人侵报警、视频监控等技防措施或者技防设施不能正常工作的，扣4分；

110.非授权人员进入保密要害部门部位未经批准登记并采取监督管理措施的，扣2分；

111.未经批准，带入具有无线通信、拍摄、录音等功能的电子设备的，扣2分；

112.将手机带入保密要害部门部位的，扣2分；

113.未对进入的工勤服务人员采取管理措施的，扣2分；

114.涉及保密要害部门部位的工程建设项目不符合安全保密要求或者保密防护措施未经保密工作机构审核的，扣3分。a）看单位文件、资料，了解保密要害部门部位界定

是否符合标准，确定是否准确，是否履行审批手续；

b）实地检查，了解保密要害部门区域隔离情兄；

c）检查保密要害部门部位集中的安全控制区域、外周界、电子门禁系统、入侵报警装置和视频监控技防设施设备是否符合防范要求并正常工作。

e）查看记录，了解进入保密要害部位的非授权人员是否经过审批，作出记载，并采取了相应的控制措施；

f）查看记录，了解对进入保密要害部位的安全值班、工勤服务人员是否进行了审查，履行了审批手续，并签订有保密承诺书；

g)调取监控、现场检查或者查看有关记录，了解使用或者存放的带有存储、拍摄、录音等功能的电子设备是否经过审批；

h)调取监控、现场检查，是否有带入并使用手机等具有无限通信功能设备情况；

i)查看涉及保密要害部门部位的新建、扩建、改建工程档案，了解在立项、验收等环节是否经过单位保密工作机构组织的审核；

j)查看保密要害部门部位安防监控等技术防护措施是否选择具有涉密安防监控资质单位承建。、信息系统、信息设备和存储设备管理（140分）、重点项目（扣分项）项目细则操作方法支撑文件备注115.涉密信息系统通过系统测评但未提交涉密网络运行许可申请，或者已获得运行许可但未按要求进行风险评估的，扣20分；a)查验是否按照系统测评（风险评估）报告的要求，对存在问题和隐患进行全面整改；

b)查验按照系统测评(风险评估)报告的要求整改后，是否及时(一般应当在1个月内）向国家保密行政管理部门申请《涉及国家秘密的信息系统使用许可证》；

C)查验涉密信息系统获得使用许可证，投入涉密运行后，是否按照保密要求，每两年进行一次风险评估。应当至少提前3个月向国家保密行政管理部门或者上级主管部门提交风险评估申请，并进行风险评估；

d)如果已经提交风险评估申请，尚未进行风险评估的，验证未进行评估的原因，若属于测评机枸和审批部门的原因，不扣分。116.使用不与互联网及其他公共信息网络连接的内部非涉密信息系统、非涉密信息设备和非涉密存储设备存储、处理、传输涉密信息的，扣10分；a)查验内部非涉密计算机等信息设备、涉密信息系统非涉密安全域中的非涉密服务器、非涉密用户终端等信息设备以及非涉密存储设备，是否存储或者处理过涉密信息；

b)查验是否存在无密级标志，但是与涉密计算机、涉密信息系统中涉密服务器和涉密用户终端中涉密文件主要内容相一致的涉密信息；

C)采用符合国家保密要求的技术手段，对内部非涉密计算机、涉密信息系统非涉密安全域中非涉密服务器、非涉密用户终端和非涉密外设进行抽查；也可以采用数据检索和数据恢复等技术，查验是否存在存储或处理涉密信息的痕迹；

d)如果存在存储或者处理过涉密信息的内部非涉密计算机、非涉密用户终端等信息设备和存储设备，该设备连接或者接入过互联网或者其他公共信息网络，应当终止审查。117.修改、删除涉密计算机保密技术防护专用系统的监控程序报警回联地址的，扣10分；a)查验涉密计算机保密技术防护专用系统的监控程序报警回联地址，是否设定为国家保密行政管理部门规定的地址；

b)查验涉密信息系统和涉密信息设备开机后，违规外联监控程序是否处于工作状态，报警回联地址的状态是否有效；

C)如果发现报警回联地址改变，应当查清改变的原因和操作动机，查清后报告国家保密行政管理部门。118.擅自访问、下载、存储、传输知悉范围以外的国家秘密的，扣10分；a)查验涉密计算机、涉密信息系统的服务器和用户终端，以及涉密存储设备中，是否存在责任人知悉范围以外的国家秘密信息（记录或痕迹）；

b)如果存在，应当同时查验信息来源以及信息导入使用的存储设备和导入程序是否符合要求；

c)如果经过业务主管部门和保密工作机构批准和授权，访问、下载、存储、传输知悉范围以外的国家秘密的，应当查验审批程序是否合规，审批单以及相关记录是否真实完整。119.擅自扫描或者检测涉密信息系统的网络基础设施、安全保密产品以及应用系统的，扣10分；a)查验涉密信息系统服务器、用户终端和涉密计算机，是否具有（或者接入过）扫描或者检测网络基础设施、安全保密产品以及应用系统的工具（软件或者硬件）；

b)查验是否存在使用过扫描或者检测工具的记录或痕迹；

C)如果经过授权（涉密信息系统的运行维护人员和测评机构的人员可以被授权），查验审批程序是否合规，扫描或者检测工具的安装（接入）是否符合要求，审批单以及相关记录是否真实完整；

d)如果安装使用的安全保密产品、病毒和恶意代码防护等工具，自身带有扫描或者检测涉密信息系统的网络基础设施、安全保密产品以及应用系统功能的，查验是否已经禁止使用相应的功能。120.故意隐藏涉密信息设备和涉密存储设备，规避检査的，扣10分；a)查验台账上的涉密信息设备和涉密存储设备是否正常管理和使用；

b)查验是否存在未列入台账，也未纳入单位正常管理范围，明显规避检查的涉密信息设备和涉密存储设备（可以追溯涉密文件和信息的产生来源，查验是在什么信息设备上处理的）;

c)查验未列入台账，未纳入管理的涉密信息设备和涉密存储设备的存放地点是否符合保密要求，是否按照保密要求存放和管理121.测试、调试、仿真、工控、数控等专用信息设备或者信息系统，接入涉密信息系统未制定专门的安全保密方案并报国家保密行政管理部门审查的，扣10分；a)查验专门的安全保密方案，是否进行了风险评估，并针对存在的风险和隐患提出安全保密要求，并符合相关的保密法规和技术要求；

b)专门的安全保密方案，是否经过本单位（或者上级主管单位）组织的专家评审会评审通过后，报国家保密行政管理部门审查；

c)查验国家保密行政管理部门审查安全保密方案的相关审查意见，判定建设使用单位是否按照审查意见对方案进行了修改完善；

d)查验实施过程和设备现场，是否与通过审查的安全保密方案相一致。122.涉密信息系统采用虚拟化技术，未制定专门的安全保密方案并报国家保密行政管理部门审查的，扣10分；a)查验专门的安全保密方案，是否针对存在的风险和隐患提出安全保密要求，并符合相关的保密法规和技术要求；

b)专门的安全保密方案，是否经过本单位(或者上级主管单位）组织的专家评审会评审通过后，报国家保密行政管理部门审查；

C)查验国家保密行政管理部门审查安全保密方案的相关审查意见，判定建设使用单位是否按照审查意见对方案进行了修改完善；

d)查验实施过程和设备现场，是否与通过审查的安全保密方案相一致。123.用无线方式接人涉密信息系统或者涉密计算机，未采用国家保密行政管理部门和国家密码管理部门检测合格的安全保密设施设备和密码设备，未制定专门的安全保密方案并报国家保密行政管理部门审查的，扣10分;a)查验是否科研生产工作必须采用无线接入方式；

b)查验专门的安全保密方案，是否针对存在的风险和隐患提出安全保密要求，并符合相关的保密法规和技术要求；

C)专门的安全保密方案，是否经过本单位（或者上级主管单位）组织的专家评审会评审通过后，报国家保密行政管理部门审查，建设使用单位是否按照审查意见对方案进行了修改完善；

d)查验是否采用国家保密行政管理部门或者国家密码管理部门检测合格、符合要求的安全深密设施设备和密码设备；

e)查验采用的无线发射设备，验证发射距离是否符合安全要求；

f)查验实施过程和设备现场，是否与安全保密方案的要求相一致。124.委托系统内无相应资质单位承担涉密信息系统运行维护的，扣10分；a)查验被委托承担涉密信息系统运行维护的机构（单位）是否为本军工系统（同一法人或老同一上级法人）单位(一级保密资格单位仅允许委托本集团公司的单位承担运行维护工作）；

b)单位信息化管理部门是否与被委托承担运行维护的机构（单位）签订运行维护合同和保密协议；

C)如果委托非本军工系统内部单位，查殓是否具有国家保密行政管理部门颁发的涉密信息系统集成资质中的运行维护资质，且资质在有效期内。125.未经审批更换涉密服务器、涉密计算机硬盘，重装操作系统；或者现场审査前6个月内更换(报废）涉密服务器、涉密计算机硬盘，重装操作系统数量超过总数20%的，扣10分。a)查验更换涉密服务器、涉密用户终端、涉密计算机硬盘，重装操作系统的审批程序是否合规，审批单、操作记录是否真实完整；

b)查验年度内，更换涉密服务器、涉密终端、涉密计算机硬盘，重装操作系统数量是否超过设备总数的20%；

c)查验现场审查前6个月内（现场审查之日开始，向前倒推)，经过审批更换计算机硬盘等存储设备、重装操作系统数量，是否超过涉密服务器、涉密用户终端、涉密计算机总数的20%，手入导出专用计算机、中间机和涉密便携式计算机的数量单独按其总教的20%计算；

d)涉密信息系统服务器、用户终端、涉密计算机的系统时间如果修改，重装操作系统的，不伦台数，一经发现直接扣10分。、涉密信息系统（5分）项目细则操作方法支撑文件备注126.尚未存储处理涉密信息的涉密信息系统，未经系统测评的，扣1分；a)查验单位建立的信息系统建设方案和安全保密方案，确定是否为涉密信息系统；

b)查验涉密信息系统是否建设完成，是否处于试运行期间；

C)查验是否已经提交测评申请书，如果已经递交测评申请书，由于测评机构的原因未进行系统测评的，不扣分；

d)如果涉密信息系统建设完成，由于建设使用单位自身的原因，未经系统测评，应当扣分；如果系统内存储或者处理过涉密信息（记录和痕迹)，则应当按照基本项第6条处理。127.《涉及国家秘密的信息系统使用许可证》涉及事项发生变化时未按有关规定及时报告的，扣2分；a)查验被审查单位涉密信息系统是否具有国家保密行政管理部门颁发的《涉及国家秘密的信息系统使用许可证》，如果未取得使用许可证，则参考121条；

b)查验许可证的内容与单位涉密信息系统的实际情况是否一致，是否发生变化（特别是增加或者减少安全域、应用系统和安全产品）；

C)查验发生变化后是否及时报告(改变完成后1个月内)，并申请新增应用系统单项检测、系统测评或者风险评估。128.提供的涉密信息系统拓扑结构图不完整，或者与测评报告、风险评估报告以及实际情况不符的，扣2分。a)查验涉密信息系统的拓扑结构图，与提交系统测评(风险评估）申请书中的拓扑结构图是否一致，涉密信息系统的实际情况是否与拓扑结构图相符合；

b)拓扑结枸图中安全域划分是否符合国家保密标准要求，边界是否清楚；

C)拓扑结枸图中是否标明核心交换机、汇聚交换机的IP地址以及接入交换机群的IP地址段，是否标明全部服务器的名称和IP地址，是否标明全部安全产品的接入（部署）位置等。、管理结构及人员（23分）项目细则操作方法支撑文件备注129.未明确信息化管理部门和运维机构的，扣2分；

130.信息化管理部门和运维机构设置及人员配备未到位或者不能满足实际需要的，扣2分；a)查验明确或者任命的相关文件，以及相关的委托合同文本，确认是否明确管理部门，指定了运行维护机构；

b)查验实际的人员配备与任命文件(合同文本)是否一致；

C)查验单位是否按照最大化原则为运行维护机构配备“三员”，“三员”人数配备是否足够满足涉密信息系统、涉密信息设备和涉密存储设备的运行维护需要。131.未与受委托承相涉密信息系统运行维护的内部机构(单位)签订保密协议，或者未对受委托承担运行维护人员进行保密审查、签订保密承诺书的，扣1分；a)查验单位信息化管理部门是否与受委托承担涉密信息系统运行维护的机构或者单位签订保密协议；

b)查验单位信息化管理部门是否会同人力资源部门对受委托承担运行维护的人员进行保密审查和保密教育，并且留有相关记录；

C)查验受委托承担运行维护人员签订的保密承诺书；

d)查验实际参加运行维护的“三员”与合同确定人员是否一致。132.信息安全保密管理体系文件不符合国家保密法规标准和单位业务工作实际的，扣2分；a)查验是否建立信息安全保密管理体系文件，如果未建立，则关联项（138、139、140、141)全部扣分；

b)查验体系文件的内容是否符合国家相关保密法规和标准，特别注意是否存在与国家相关保密法规和标准不一致或者有冲突的内容；

C)查验体系文件的内容是否符合单位科研生产业务工作实际，是否存在与单位科研生产以及日常工作不相关的内容和条款；

d)查验体系文件是否由单位信息化管理部门组织并指导相关业务部门（机构）人员编制。133.信息安全策略存在明显的安全隐患、漏洞，或者未及时根据安全情况变化进行调整的，扣2分；a)查验信息安全策略文件，对照实际情况查找涉密信息系统、涉密信息设务、涉密存储设备，以及安全保密产品奂装和使用中，是否存在未被发现的、明显的安全隐患和风险；

b)查验是否对已经发现存在的明显的安全隐患和风险制定了控制或者规避措施；

c)查验是否根据信息系统、信息设备和存储设备的环境、系统和威胁变化情况，及时调整更新安全策略；

d)查验安全策略文件变更与调整的审批程序是否合规，审批单以及相关记录是否真实完整。134.信息安全保密管理体系文件未按规定程序发布、宣贯、实施的，扣1分；a)查验信息安全保密管理体系文件是否经过保密工作机构审查，发布流程是否符合单位行文规范，以及签发主体（信息化管理部门和保密主管领导）是否符合要求；规定程序指根据国家相关保密标准要求制定的，在信息安全保密管理体系文件的制作、发布、宣贯以及实施中，应当履行的管理和控制程序；

b)查验宣贯（教育培训）计划，实施的时间、地点、方式以及相关的记录；

C)查验教育培训的签到记录以及全员普及率，现场审查时，可以通过随机抽查提问，判断教育培训的效果；

d)查验相关记录内容是否真实可信。135.相关人员不掌握信息安全保密管理体系文件应知基本内容的，发现1人扣1分，最高扣2分；a)随机抽取单位涉密人员，查验是否知道信息安全保密体系文件包含管理制度、安全策略和操作规程，以及本职岗位中的基本应知应会内容；

b)查验涉密信息系统、涉密信息设备和涉密存储设备的使用人员，对体系文件中应知应会基本内容的掌握情况；

c)查验“三员”在履行运行维护等岗位职责中，是否掌握体系文件应知应会内容。136.运行维护机构未制定运行维护工作制度和操作规程，未落实安全保密要求的，扣1分；a)查验运行维护机构制定的运行维护工作制度和操作规程；

b)查验工作制度和操作规程中是否有落实保密要求的条款；

C)查验“三员”在运行维护工作中是否严格执行工作制度和操作规程，落实保密要求；

d)查验“三员”是否对运行维护工作中发现的泄密隐患、违规行为或者误操作等进行了监控和记录。137.“三员”未实现相互独立、相互制约，存在兼任或者替代的，扣4分；

138.“三员”未确定为重要以上涉密人员，或者未经安全保密培的，发现1人扣1分，最高扣3分；a)查验运行维护岗位设置和“三员”配置任命文件，人数配备是否满足相互独立、相互制约的要求；

b)查验实际运行维护工作中，“三员”是否实际存在兼任或者替代的情况；

C)查验涉密岗位一览表和涉密人员定密审批表，确定每位“三员”的涉密等级是否符合标准要求；

d)查验“三员”的教育培训情况，确定是否具备上岗条件后，再由单位人力资源部门任命。139.“三员”无运行维护记录，或者运行维护记录不能反映真实情况的，扣1分；a)查验运行维护机构是否建立运行维护工作和操作记录(登记）本；

b)查验“三员”是否按照管理制度要求和实际工作情况，及时填写运行维护操作记录；

c)查验操作记录内容，并且与实际情况进行比对；

d)通过问询“三员”和查看工作记录，查验是否履行岗位职责。140.“三员”在运行维护中未能发现明显安全保密隐患和违规行为，或者未按规定程序处理的，扣2分。a)查验运行维护记录和涉密信息系统、涉密信息设备以及涉密存储设备中的相关记录，验证在管理使用和运行维护中，是否存在明显（不借助工具就能够发现）的安全保密隐患或者速规行为；

b)查验“三员”是否发现并记录了存在的安全保密隐患和违规行为；

C)查验“三员”是否将安全保密隐患和违规行为及时上报，并按规定程序进行了处理；规定程序是指安全策略和管理制度中，根据国家相关保密标准要求制定的，在涉密信息系统、涉密信息设备和涉密存储设备的运行维护工作中，发现安全保密隆患和违规行为，应当履行的管理和控制程序。、设备管理（33分）项目细则操作方法支撑文件备注141.信息系统、信息设备和存储设备未简建立台账，或者台账信息要素不全、账物不符的，扣1分；a)查验涉密信息设备和涉密存储设备是否分别单独建立全生命周期档案（电子或者纸质）;

b)查验档案内容是否从定密（确定涉密等级）开始，包括了所有的变更情况以及相应的审批程序和操作记录；

C)查验审批程序和操作记录是否与涉密信息设备和涉密存储设备的实际情况相符合。142.涉密信息设备和涉密存储设备未建立全生命周期管理档案，或者相关记录不全的，扣2分；a)查验单位是否建立信息系统、信息设备、存储设备的总台账和部门（机构）的分台账；

b)查验台账的基本信息要素项是否齐全，信息要素内容的填写是否正确；

c)查验台账的信息要素内容是否与信息系统、信息设备、存储设备的实际相符合；

d)查验信息化管理部门是否会同资产管理部门和运行维护机构定期（绝密级3个月、机密级6个月、秘密级12个月），对信息系统、信息设备、存储设备进行清查核对和登记。143.涉密信息设备和涉密存储设备未按规定程序确定涉密等级的，扣2分；

144.涉密信息设备和涉密存储设备未确定责任人的，发现1个扣1分，最高扣3分；a)查验涉密信息设备和涉密存储设备的确定，是否履行了定密程序，程序是否合规，密级确定是否准确；规定程序是指安全策略和管理制度中，根据国家相关保密标准要求制定的，在涉密信息系统、涉密信息设备和涉密存储设备的定密工作中，应当履行的管理和控制程序；

b)查验密级确定审批单是否能够确定相关设备的唯一性；

C)查验涉密信息设备和涉密存储设备是否明确唯一的责任人；

d)查验责任人的涉密等级与责任设备的密级是否相适应。145.信息设备和存储设备无标识或者标识不符合要求的，发现1台（个)扣1分，最高扣3分；a)查验信息设备、存储设备和安全保密产品等是否具有单位统一制作的标识；

b)查验标识是否符合国家保密标准和单位管理制度的要求，是否不易涂改、擦除和损毁；

C)查验标识是否具有唯一性（一台设备不应当有多个标识)，是否与台账的相关信息要素相一致；

d)查验标识上是否明确唯一的责任人。146.涉密信息设备或者涉密存储设备中的涉密信息无密级标志，或者密级标志与涉密等级不符的，发现1台（个)扣1分，最高扣3分；a)查验涉密信息设备、涉密存储设备中存储和处理的涉密信息是否具有密级标志；

b)查验标志是否符合国家相关保密标准要求，并符合本单位管理制度和公文格式的要求；

C)查验标志的密级是否与文件、资料、数据等信息的涉密等级相一致；

d)查验涉密的过程文件和信息是否具有相应的密级标志(注意：无标志的过程文件和信息也可能涉密）；

e)一台涉密信息设备，或者一个涉密存储备中，只要存在无（或者不准确的）密级标志的涉密文件或者涉密信息，无论有多少份，都只扣1分。147.未按规定程序对涉密信息设备和涉密存储设备进行变更和调整的，或者记录不全、与实际情况严重不符的，扣3分；a)查验涉密信息设备和涉密存储设备进行变更、调整的审批单和记录（电子或者纸质）；规定程序是指安全策略和管理制度中，根据国家相关保密标准要求制定的，在涉密信息设备和涉密存储设备的变更和调整工作中，应当履行的管理和控制程序；

b)查验变更和调整的理由是否充分，是否符合企务工作需要，而不是为了规避保密检查和审查；

C)查验审批程序是否符合国家保密标准要求，手符合单位管理制度和安全策略的要求；

d)查验审批单以及相关的变更记录、移交手续是否真实齐全，是否与实际情况相符合（特别注意与台账进行比对)。148.擅自卸载、修改涉密信息系统、涉密信息设备和涉密存储设备的安全技术程序、管理程序的，发现一起扣1分，最高扣4分；a)查验涉密信息系统、涉密信息设备和涉密存储设备的安全技术程序、管理程序是否完整齐全；

b)如果安全技术程序、管理程序等存在被卸载、删除、修改等现象，查验“三员”在运行维护工作中是否已经发现，判明原因并上报运行维护机构和信息化管理部门，如果“三员”在运行维护工作中未发现的，直接扣分；

C)如果卸栽、删除、修改理由充分，履行过审批程序，且审批程序合规，则不扣分；

d)查验审批单以及相关记录是否真实完整，是否与实际情况相符合。149.涉密信息设备连接未经授权的存储设备，或者高密级存储设备接人低密级信息设备的，扣2分；a)查验涉密信息系统服务器和用户终端、涉密计算机等信息设备中是否存在不在台账上的存储设备接入的记录和痕迹，并查验授权审批记录，确定是否经过授权使用；

b)查验未经授权的存储设备的接入方式和持续时间，判定是否为误插（插入持续时间一般在1分钟以内的，可以认为是误插）；

c)接入的存储设备如果为互联网或者公共信息系统设备，且直接通过普通USB口（不包含“三合一”单向导入盒的绿口)、光驱等接口接入涉密信息系统或者涉密信息设备使用（或者误插接入时间长于1分钟)，以后又继续在互联网上使用，属于交叉使用移动存储介质，按照连接国际互联网处理，终止审查；

d)查验涉密信息系统服务器和用户终端、涉密计算机等信息设备中，是否存在高密级存储设备接入使用的记录和痕迹。150.超出涉密等级或者知悉范間配备、管理和使用涉密信息设备的，扣2分；a)查验配发涉密信息系统用户终端、涉密计算机等信息设备和涉密存储设备是否按照工作必需的原则；

b)查验涉密信息系统用户终端、涉密计算机等信息设备和涉密存储设备的责任人和使用人，是否符合相应的涉密等级，以及对国家秘密知悉范围的要求；

C)查验内部非涉密人员配发的秘密级计算机等信息设备，是否符合责任人和使用人汁国家秘密知悉范围的要求；

d)查验一般涉密人员配发的机密级计算机等信息设备，内部非涉密人员配发的秘密级计算机等信息设备中，相应涉密信息的数量是否控制在规定的数量范围内(同一份文件或者信息的多个修改稿算一份)。151.涉密存储设备未确定控制范围，或者未按规定程序授权使用的，扣2分；a)查验涉密移动存储设备是否指定专人集中管理，并依据国家秘密的知悉范围确定了使用范围（应当在策略文件中说明使用范围的限定）；规定程序是栺安全策略和管理制度中，根据国家相关保密标准要求制定的，在涉密存储设备的管理和授权使用中，应当履行的管理和控制程序；

b)查验涉密移动存储设备是否根据密级存放在相应的保密柜，或者密码保险柜中；

c)查验涉密移动存储设备借用人员是否符合授权使用要求，是否履行借用审批程序，用完是否及时归还，领用和归还是否留有记录；

d)查验“三合一”红盘（硬盘和U盘）的安全策略控制，应当禁止设置为通用策略。152.超出涉密信息系统、涉密信息设备和涉密存储设备的涉密等级存储、处理、传输涉密信息的，发现1台(个)扣1分，最高扣4分；a)查验涉密信息系统服务器和用户终端、涉密计算机等信息设备和涉密存储设备中，是否存在超出设备涉密等级的涉密信息（处理或者存储的记录或者痕迹)；

b)可以使用符合保密要求的数据恢复技术进行检查和验证；

C)查验信息的来源和导入方式，如果不符合保密要求，则应当在相应条款扣分。153.测试、调试、仿真、工控、数控等专用信息设备或者信息系统，未明确涉密等级和保护要求的，或者未采取相应安全控制措施的，扣2分。a)查验测试、调试、仿真、工控、数控等专用信息设备或者信息系统，是否由相关业务部门确定是否涉密；

b)如果涉密，应当查验是否履行定密程序确定其涉密等级和保护要求，审批单以及相关记录是否真实完整；

C)查验是否按照国家相关保密标准的要求，落实了安全保密管理和技术控制措施；无法安装安全保密产品的，是否在使用中加强管理，制定了专项管理制度、安全保护策略和物理防护措施，同时加强监督检查的力度；

d)查验采用的安全技术控制措施是否有效。、外出携带、维修、报废（16分）项目细则操作方法支撑文件备注154.未按工作需要配备专供外出携带的涉密信息设备和涉密存储设备并由专人管理的，扣1分；

155.携带外出未履行审批程序的，扣2分；a)查验是否配备专供外出携带的涉密信息设备和涉密存储设备（如果业务工作不需要，可以不配)；

b)查验是否指定专人负责管理和维护；

C)查验是否存在内外不分的情况，专供外出携带的一般不得内用，非专供外出携带的，一般不得带出；如果有特殊使用需求，确定的设备不够用时，应当经过业务主管领导和信息化管理部门批准，允许相互借用；

d)查验外出携带是否履行审批程序，审批单内容和项目是否齐全（如外出时间、地点、工作内容、全部设备的名称以及密级、涉密信息的名称以及密级等)，审批程序是否合规；检查每次外出时，携带的涉密信息设备和涉密存储设备中，是否仅存储与本次外出工作相关的涉密文件和信息；

e)查验审批单以及相关记录内容是否真实齐全。156.携带外出期间未对设备接入和信息导入导出进行记录的，扣2分；

157.借出前或者归还后未进行保密检查，或者检查结论与实际情况不符的，扣3分；a)查验专供外出携带设备是否配备和使用记录本，使用登记是否符合要求；

b)查验携带外出期间接入各类设备，以及信息导入导出的记录；特别是携带步密信息设备外出时，接入的外部设备（如打印机、投影仪等)，或者与其他涉密信息系统、涉密计算机相连接，是否记录准确，内容冗整；

c)查验借出前或者归还后，是否进行了保密检查，并留有记录；

d)查验检查结论是否与实际相符合，并且由管理人和借用人共同签字确认。158.涉密信息设备和涉密存储设备未按规定程序进行维修和报废的，扣2分；a)查验维修报废流程是否符合保密标准要求；规定程序是指安全策略和管理制度中，根据国家相关保密标准要求制定的，在涉密信息系统、涉密信息设备和涉密存储设备的维修报废工作中，应当履行的管理和控制程序；

b)查验维修报废是否履行审批程序，审批程序是否合规，审批单以及相关记录是否真实完整；

c)查验内部维修点设置是否符合保密要求；

d)查验与外部维修单位签订的维修合同以及保密协议、外来维修人员的控制、全程旁站陪同人员履职等是否符合保密要求；

e)查验涉密信息设备、涉密存储设备和安全保密产品的报废清单的内容与记录的信息要素，是否与台账中相关信息要素以及实际报废设备一致。159.维修中未对维修人员以及存储过涉密信息的硬件和固件采取有效的管控措施的，扣5分；

160.修报废中相关登记记录不完整的，扣1分。a)查验维修报废中涉密信息的转储和保护，是否符合国家相关保密标准要求，是否有专人负责；

b)查验从涉密信息设备上拆卸存储部件全过程是否符合国家相关保密标准要求；

C)查验拆下或者待报废的涉密存储部件的管控是否符合国家相关保密标准要求（交接签字、上台账、贴标识、专人管理、存放在保密柜或者密码保险柜中，如果待报废的涉密存储部件的存放数量超过20块，则保密柜或者密码保险柜应当存放在保密要害部位)；

d)查验维修报废过程中的各种登记和记录是否真实完整。、安全产品与无线通信功能防护（9分）项目细则操作方法支撑文件备注161.正确配置和使用安全保密产品的，扣2分；

162.安全保密产品失效或者功能不符合保密要求的，扣2分；a)查验涉密信息系统、涉密信息设备和涉密存储设备是否按照国家相关保密标准要求配备了必要的安全保密产品；

b)查验安全保密产品的功能和性能是否与产品的证书和检测报告的描述一致，并符合单位对涉密信息系统、涉密信息设备和涉密存储设备的保护要求，购置时间是否符合要求；安全保密产品是否正确安装，并进行了安全策略配置（安全策略配置应当由安全保密管理贾实施，并留有记录)，是否能够正常工作；

C)查验当安全保密产品不能安装或者安装后严重影响涉密信息系统和涉密信息设备的彳吏用时，单位是否经过信息化管理部门和保密工作机构批准，并对相应的涉密信息设备采取了更加严格的管控和物理保护措施；

d)查验是否根据需求及时调整策略配置或升级更新安全保密防护产品。163.涉密信息系统、涉密计算机等未采取病毒和恶意代码检测和查杀措施的，扣1分；a)查验是否建立符合保密要求的病毒与恶意代码查杀系统；

b)查验是否定期进行病毒与恶意代码样本库的更新，涉密信息系统至少每周更新1次，单台涉密计算机至少每两周更新1次，并及时进行查杀；

c)查验如果存在不能被杀掉的病毒与恶意代码，是否记录和及时上报（报告上级主管单位，或者属地保密行政管理部门）；

d)查验涉密信息系统和涉密计算机中是否有存活的病毒与恶意代码，如果有，应当扣分。164.密信息系统、涉密信息设备和传输线路的电磁泄漏发射不符合安全保密要求且未采取保护措施的，扣1分；a)查验电磁泄漏发射检测报告或涉密信息系统测评(风险评估）报告，判定是否需要采取保护措施；

b)查验采取的保护措施是否符合国家相关保密标准要求；

C)查验是否采取了传导泄漏发射的防护措施（滤波电源插座等）；

d)查验涉密信息设备和传愉线路的摆放和敷设是否满足国家保密标准中红黑隔离的要求。165.涉密信息设备、涉密存储设备具有无线通信功能，或者连接具有无线通信功能的外部设备的，扣3分。a)查验涉密信息设备、涉密存储设备是否存在可用的无线通信（无线联网）功能模块（部件）；

b)涉密计算机等信息设备上，红外、蓝牙、迅驰等具有无线通信功能的模块（部件)，只要驱动程序能够安装成功，视为具有无线通信功能；

C)查验是否存在连接过具有无线功能的外部设备的记录或者痕迹；

d)涉密信息设备如果存在无线通信（无线联网）功能模块驱动程序安装成功，或者具有无线功能的外部设备连接成功的记录，无线通信功能模块和接入设备可用，视为破坏物理隔离，按照基本项，终止审查。、软硬件安装卸载（6分）项目细则操作方法支撑文件备注166.密信息系统服务器、终端和涉密计算机更换涉密硬盘、重装操作系统，无操作内容记录和操作人员签字的，扣2分；a)查验更换硬盘、重装操作系统的操作内容和审批记录是否一致，是否冗整；

b)查验更换硬盘、重装操作系统是否为系统管理员或者被授权人员操作；

c)查验操作内容记录(旧硬盘拆卸时间和交接签字记录、新硬者安装时间、安装操作系统版本和承栽介质、操作系统安装人、操作系统策略配置人等）是否符合要求；

d)查验安装曰期和操作人员签字是否与实际相符合。167.按规定程序安装和拆卸涉密信息设备硬件或者外部设备的，发现1台扣1分，最高扣2分；a)查验安装和拆卸外部设备是否履行审批程序，审批程序是否合规；规定程序是指安全策略和管理制度中，根据国家相关保密标准要求制定的，在涉密信息系统服务器和用户终端、涉密计算机等信息设备安装或者拆除外部设备的工作中，应当履行的管理和控制程序；

b)查验硬件或者外部设备的安装和拆卸是否与审批内容一致；应当特别注意“三员”在运行维护中安装和拆卸设备的审批情况；

C)查验审批单以及相关记录是否真实完整；d)查验是否存在擅自安装或者拆卸的情况。168.涉密信息系统和涉密信息设备使用的软件未统一管理并制定软件清单的，扣1分；

169.涉密信息系统和涉密信息设备安装软件白名单以外的软件未履行审批程序，或者安装记录与实际不符的，扣1分。a)查验单位建立的软件清单，核对统一管控的软件；

b)查验软件白名单中的软件是否进行过安全检测，并由运行维护机构放置在符合要求的存储设备中（涉密信息系统使用的，应当存放在规定的非涉密服务器上，单台涉密计算机使用的，应当存放在具有相应标识的光盘上)，供用户自行安装；操作系统、安全保密产品、检查工具、清除工具、设备驱动程序不得列入软件白名单；

C)查验软件白名单以外的软件安装，是否履行审批程序，审批程序是否合规；d)查验审批单以及相关记录是否真实完整。、身份鉴别（6分）项目细则操作方法支撑文件备注170.涉密信息系统和涉密信息设备的身份鉴别措施不符合相关保密标准要求的，扣2分；a)查验用户身份标识符的唯一性，并验证是否与安全常计相关联；

b)查验是否设置（存在）多余的用户身份标识符或账号；

C)查验身份鉴别方式是否符合相关保密标准要求(按照不同密级，BIOS、操作系统、应用系统和空闲操作超时用户身份鉴别的设置情况）；是否采用用户名加口令（秘密级)或者其他鉴别方式进行身份鉴别；如果涉密信息设备不适用，符合国家保密标准要求的身份鉴别产品，则应当采取信息设备自身能够提供的强度最高的身份鉴别方式；

d)查验鉴别失败后的记录和处理是否符合保密要求。171.份鉴别措施未根据涉密人员岗位和密级变化情况及时调整，或者USBKey等身份鉴别装置、账户信息与真实用户不符的，扣2分；a)查验身份鉴别措施是否依据涉密人员岗位和密级变化情况及时调整或者回收；

b)查验USBKey、IC卡、指纹仪等身份鉴别裴置的发放记录，是否与真实用户相符合；

C)查验身份鉴别装置的购置总数，与发放、回收、库存和销毁的忍数量是否一致；

d)查验发放、调整、回收是否履行审批程序，审批程序是否合规，审批单以及相关记录是否真实完整。172.未经授权，知悉或者掌握他人的身份鉴别装置和登录信息的，扣1分；

Key等身份鉴别装置未参照国家秘密载体的要求管控的，扣1分。a)查验是否存在未经授权，知悉或者掌握他人的身份鉴别装置和登录信息的情况，特别注意“三员”不应违规取得他人的身份鉴别和登录信息；

b)查验是否存在欺骗、绕过或者旁路身份鉴别机制的情况；

c)查验USBKey、IC卡、指纹仪等身份鉴别装置的使用和保存是否符合保密要求，不使用时是否保存在符合保密要求的容器中，是否存在未经批准带出工作场所的情况；

d)查验身份鉴别装置的归还和报废是否符合标准要求。、访问控制（7分）项目细则操作方法支撑文件备注174.未按规定程序根据国家秘密的知悉范围实现主体对客体的访问授权的，扣3分；a)查验制定和设置的访问控制策略、细粒度以及控制列表是否符合国家相关保密标准的要求，并满足对国家秘密信息的访问控制要求；

b)查验涉密信息系统、涉密信息设备和涉密存储设备的访问控制，是否按照管理制度和安全策略的要求对主体和客体分别进行了授权，授权审批程序是否合规；

C)查验安全保密管理员的授权操作是否经过批准，操作是否符合保密要求，搡作记录是否完整；

d)查验服务器和用户终端安全域等是否采取了有效的访问控制措施，高密级信息是否能够流向低等级(或者非涉密）的安全域、用户终端或信息设备。175.未采取管理或者技术措施，防止信息设备、存储设备的非授权接入以及涉密信息的非授权获取的，扣2分；a)查验各种信息设备和存储设备是否经过授权审批后方能接入涉密信息系统和涉密信息设备，是否采取了控制措施(如、端口或者接口控制等)，接入授权以及审批程序是否合规，审批单以及相关记录是否真实冗整；

b)查验是否存在信息设备和存储设备非授权接入的记录或者痕迹；

C)查验涉密信息系统和涉密信息设备，是否存在擅自开放共享目录、共享文件夹或者建立其他共享信息交换方式；

d)查验采取的管理或者技术措施，是否能够防止在涉密信息设备(或者涉密信息系统中的非涉密信息设备）上，非授权查看或者获取涉密信息。176.多人共同使用一台涉密计算机，能够非授权访问或者获取他人涉密信息的，扣2分。a)查验多人共用一台涉密计算机时，是否有专人担任安全保密管理员，并为每一个使用者建立用户账户(用户账号一般不得设置为系统管理R权限）；

b)查验每一个用户的权限设置是否符合要求，每一个用户是否使用本人独立的身份登录使用；

C)查验每一个用户是否具有独立的硬盘存储空间、存储设备或者对涉密信息采取符合保密要求的保护措施，独立存储和处理涉密信息；

d)查验其中任何一个用户登录涉密计算机后，是否能够查看或者获取他人的涉密信息。、信息导入导出（12分）项目细则操作方法支撑文件备注177.未按照相对集中原则设置涉密信息系统、涉密信息设备和涉密存储设备的信息导人导出点，并指定人员负责管控的，扣2分；a)查验是否设置符合标准要求的信息导入导出点；按照相对集中原则，一般一个部门、科室、机构、场所等，可以分别设置1-2个导入导出点；

b)查验导入导出设备配置是否符合要求（如不应当选用多功能一体机作为打印设备）；

C)查验是否配置导入导出点的管理人员（不应当设为无人值守）；

d)查验是否按照保密要求对导入导出点的设备进行管控，管理人员是否落实监管责任，登记记录等是否真实完整；

e)查验涉密信息系统和涉密信息设备是否存在不受控制或者违规安装的信息输出点。178.中间机的管理和使用不符合保密要求的，扣2分；a)查验单向导入盒、中间杌等单向导入设备的配置是否符合要求（单向导入盒应当配4，中间机作为单向导入盒的补充导入手段，可以根据实际业务工作需求配备)；

b)查验是否在中间机上采用与涉密信息系统和涉密信息设备不同的病毒与恶意代码查杀工具；

C)查验单向导入盒、中间机的使用是否履行审批程序；

d)查验中间机是否存储或者处理与导入导出无关的其他工作信息；

e)确因工作需要，采用大容量移动存储设备或者特殊移动存储设备进行信息导入的，可用配置相应的专用存储设备；

f)查验专用存储设备的配备、管理和使用是否履行审批程序，审批程序是否合规；

g)查验专用存储设备是否标识清晰、专人管理与使用，并指定了专门的接入信息设备；

h)查验专用存储设备每次使用、打开和关闭端口(数据接口）是否履行审批程序，打开和关闭端口时间是否与审批一致；

i)查验专用存储设备是否在非授权的信息设备上使用。179.未按规定程序导人信息，或者未对导入信息内容、使用的移动存储设备进行记录的，发现1份扣1分，最高扣2分；a)查验信息导入是否履行审批程序，审批程序是否合规；

b)查验信息导入使用的单向导入设备和移动存储设备是否符合相关保密标准要求；

C)查验信息导入后，导入使用的移动存储设备的管控是否符合要求，应当特别注意非涉密移动存储介质(如非涉密光盘)使用后的管控情况；信息导入产生(使用）的涉密（非涉密）存储介质，可以交还原单位或者按照保密要求管控，定期销毁（一般应当保留6个月）；

d)查验审批单以及相关导入记录是否真实完整。180.未按规定程序导出信息，或者导出信息内容与申请不一致的，发现1份扣1分，最高扣4分；a)查验信息导出是否履行审批程序（涉密信息系统和涉密信息设备上的任何导出都应当经过审批），审批程序是否合规(批准人是否对导出信息进行了审阅），已经通过审批允许导出的信息，是否有控制措施禁止变更信息内容或者增加附件；

b)查验导出信息的涉密等级是否与批准的一致；特别注意是否存在以非涉密导出申请，通过非涉密途径导出涉密信息的情况；

C)查验导出使用的信息设备和移动存储设备是否符合相关保密要求，相关标识是否符合保密要求；

d)查验输出的涉密载体的密级标识，以及领用是否符合相关保密要求；

e)查验非涉密信息导出后，单位是否指定专人对信息内容进行非涉密审查。181.信息导人导出的监控审计记录与实际情况不符的，扣2分。a)查验是否具备涉密信息系统信息和涉密计算机导入导出的监控审计技术措施；

b)查验监控审计记录是否完整，实际的信息导入导出是否与监:控审计记录相一致；

C)查验单位是否指定专人汁涉密信息系统和涉密信息设备上导出的非涉密信息，进行非涉密审查；d)查验是否存在通过非涉密渠道导出涉密信息的记录或者痕迹。、涉密信息系统机房、服务器与集中存储（7分）项目细则操作方法支撑文件备注182.涉密信息系统机房未采取相关安全保密控制措施的，扣2分；a)查验机房是否按照使用功能划分为主机房、辅助区、支持区等工作区域，主机房是否确定为要害部位；

b)查验主机房与其他区域是否采取符合要求的控制措施（至少主机房与其他区域应当有隔离控制措施)，主机房是否按照保密要害部位的要求采取了安全防护措施；

C)是否采取管理和技术措施，禁止携带手机等无线通信设备，以及与工作无关的具有录音、录像、拍照、信息存储等功能的设备进入主机房；

d)查验进入主机房是否履行审批程序，审批程序是否合规，进入人员是否符合要求；

e)查验在主机房内的