2023年二级保密资格评分标准具体操作方法

武器装备科研生产单位二级保密资格评分标准具体操作方法重要说明1、二级保密资格评分标准项目总分值设定为５０0分(不含重点检查项)，达成450分(含）以上为符合标准,以下为不符合标准。2、评分标准共设立６个基本项,达不到基本项规定的，中止审查或者复查。３、评分标准第38、52、119—１29项为重点检查项。4、被审查单位没有的项目不扣分，分值计入单位总得分。基本项（共计6项）基本项操作方法支撑文献备注存在下列情况之一的，中止审查或者复查。1、保密工作机构设立不符合标准规定的查看单位会议记录、红头文献、审查审批记录、组织机构图,以及通过谈话等方式，了解保密工作机构是否按规定单独设立，与其他内设二级机构平行，并独立行使管理职能。2、涉密信息设备和涉密存储设备接入互联网及其他公共信息网络,或者未采取防护措施与互联网及其他公共信息网络之间进行信息交換，也许导致涉密信息失控的a）查验涉密信息设备、涉密存储设备，是否存在接入互联网及其他公共信息网络的记录或者痕迹,并鉴定接入时间是否为该计算机定密(涉密）以后;ﻫb）查验涉密信息系统、涉密信息设备和涉密存储设备与互联网及其他公共信息网络之间进行信息互换时，采用的防护措施(如导入时采用单向导入盒、非涉密中间机，导出时采用刻录一次性非涉密光盘,并通过监控审计系统实行监督检查），是否可以控制涉密信息泄露,是否可以防止因技术因素产生的泄密隐患；

C)查验移动存储设备是否在涉密信息设备与互联网及其他公共信息网络之间交叉使用（记录或者痕迹)；

d)可以采用数字取证或者信息恢复技术，对涉密信息设备、涉密存储设备违规外联痕迹进行技术检查和鉴定。3、在互联网及其他公共信息网络，或者在未采用保密措施的有线或者无线通讯中存储、解决、传递国家秘密的a）查验互联网计算机及其他公共信息网络设备、非涉密通信设备,是否存在涉密信息(无论是否有涉密标志)存储、解决、传输的记录或者痕迹，是否接入或者使用过涉密移动存储设备；ﻫb）查验涉密信息设备或者涉密存储设备上是否具有无线通信功能，或者是否外接过具有无线通信功能的设备(部件)，假如单位周界以内存在无线通信的基站、中继站、无线发射装置,或者无线发射增强装置等,应当验证与涉密信息设备产生交叉耦合调制发射的也许性;ﻫC)查验保密要害部门部位内部是否使用无线通信设备或者无线控制设备,如果使用，且未履行审批程序，也未采用安全保密措施,则应当终止;

ｄ)查验采用的保密措施是否符合国家相关规定。４、未按保密规定进行安全技术解决，将退出使用的涉密信息设备、涉密信息存储设备赠送、出售、丢弃或者改为他用,也许导致涉密信息失控的ａ)查验退出使用的涉密信息设备、涉密存储设备的审批程序是否合规，审批单以及相关记录是否真实完整;

ｂ)查验退出使用的涉密信息设备是否拆除了存储过涉密信息的硬件和固件，或者采用符合国家保密规定的消磁、清除等工具对涉密信息进行了解决；

C)假如存在赠送、出售、丢弃或改为他用的涉密信息设备和涉密存储设备,查验清单以及相关的审批程序,鉴定是否进行迚符合国家保密规定的安全技术解决，是否可以保证国家秘密信息不被恢复和获取；ﻫd)查验涉密信息设备、涉密存储设备的最终去向。５、涉密信息系统未通过国家保密行政管理部门设立或者授权测评机构的系统测评并存储解决涉密信息的a)查验国家保密行政管理部门设立或者授权的测评机构的系统测评报告,是否通过涉密信息系统测评总中心认可并签字盖章;ﻫb)查验系统测评申请书的申请范围和内容，以及系统测评机构拟定的范围和内容是否与涉密信息系统（网络）的实际情况一致;ﻫｃ)查验单位所有涉密信息系统的使用情况，鉴定在系统则评通过前（具有总中心签字盖章的测评报告可拟定为通过),是否存储或者解决过涉密信息;ﻫd）在涉密信息系统建设方案中,已经明确的利旧设备（如本来使用的单台涉密计算机作为涉密信息系统的用户终端）,假如存储或者解决过涉密信息，在系统测评通过前,不应当接入涉密信息系统;

e)属于扣分情形的，不作为终止内容。6、选择的涉密协作配套单位不具有相应保密资格的查验单位协作配套任务或项目协议，对属于涉密的任务，是否选择相应的具备相关保密资质单位承担。评分标准操作办法(共计6大项、243小项）１、保密责任(４５分）１.１、法定代表人或者重要负责人责任（13分)项目细则操作方法支撑文献备注保证党和国家有关保密工作方针政策和法律法规贯彻执行（7分)ﻫ1.年度内未对贯彻贯彻党和国家保密工作的方针、政策和法律法规提出明确规定的，扣2分;ﻫ2．未将保密管理纳入单位管理体系的,扣2分;

3.未将保密责任纳入绩效考核的,扣2分；ﻫ4.年度内未对保密工作责任制贯彻情况进行监督考核的,扣１分。ａ)通过谈话,了解对《保密法》《保密法实行条例》和《办法》《标准》及单位相关保密制度熟悉情况；对自己应当承担的保密责任知悉情况;对本单位保密工作的基本情况和保密工作中的重点、难点知悉情况;

ｂ)查看单位年度工作要点有无保密工作内容,在上级相关文献和指示、会议发言、工作计划、工作总结等有无具体贯彻的批示、规定和参与单位保密学习培训情况;

c）查看单位管理体系是否纳入保密管理；ﻫd）查看单位绩效考核标准有无保密责任考核项；

e)查看保密工作责任制考核奖惩的相关材料,了解责任制贯彻情况。为保密工作提供支持和保障(6分)ﻫ５．对本单位保密工作整体情况掌握不够的，扣2分;ﻫ６.未及时研究解决保密工作重大问题的,扣１分;

７.未按规定在人力、财力、物力上为保密工作提供条件保障的,扣3分。查看单位人事任命文献或者相关会议纪要，了解保密工作机构设立、专职保密工作人员配备情况;根据年度预算、保密技防建设方案等，现场检查保密条件保障贯彻情况,了解单位对保密工作人力、物力和财力提供支持保障情况。1.2、分管保密工作负责人责任(8分）项目细则操作方法支撑文献备注研究部署保密工作(4分）

8.对本单位保密工作全面情况掌握不够的，扣２分；ﻫ9．未对贯彻保密工作提出明确意见和规定的,扣１分；

１0.未及时组织研究保密工作中的重点、难点问题的，扣1分。a)通过谈话,了解是否全面掌握本单位的保密工作情况；是否知悉单位保密工作中的难点、重点，采用了哪些组织协调贯彻措施；ﻫｂ）查看工作计划、总结、会议纪要、审查审批事项文字记录等,了解对保密工作作了哪些具体的批示和规定。监督检查保密工作贯彻情况(4分）

１１．年度内未组织检查单位和部门负责人保密工作的，扣1分；

12．未对不履行保密责任的人员进行责任追究的，扣1分；ﻫ13.对保密工作贯彻情况监督不够的,扣1分;ﻫ14.对保密工作机构履行职责支持帮助和监督指导不够的,扣1分。a)查看检查记录,了解是否每年组织对单位和部门负责人保密工作进行检查,是否及时研究和解决发现的问题；ﻫb)查看有关记录，了解是否及时协调解决保密工作机构在履行职责中存在的问题,是否认期听取工作报告；

Ｃ)查看有关记录,了解是否对不履行保密责任的人员进行了追究或处罚;ﻫd)查看有关记录,涉及保密工作机构的年度工作计划、请示性文献、规划性文献,了解是否支持帮助和监督指导。１.3、其他负责人责任（８分)项目细则操作方法支撑文献备注研究贯彻分管业务范围内的保密工作(4分）

１５.未组织将保密管理规定融入分管业务工作制度和流程中的,扣1分;ﻫ16.对分管业务范围内的保密工作职责不清楚的,扣1分；ﻫ1７.未及时研究解决分管业务范围内的保密工作直点、难点冋题的，扣1分；ﻫ１８.未在分管业务工作中按照工作需要严格控制国家秘密知悉范围的，扣１分。a)通过谈话、查阅档案和有关业务管理制度、工作流程等，了解业务工作是否融入了保密管理规定；如何做到保密工作与业务工作相融合以及采用了哪些措施;

b)通过相关文字记录,查看是否及时解决本单位保密工作中的重点、难点问题；

Ｃ）通过谈话和实地询问相关业务部门，了解对分管业务中的涉密事项是否清楚；是否限定了范围，拟定了知悉人员。监督检查保密工作贯彻情况(４分）ﻫ１９.未组织对分管业务工作中的保密工作贯彻情况进行监督检查的,扣1分；ﻫ20.未组织对分管业务工作中存在的保密管理问题督促整改的，扣1分;

21.未对分管业务工作中的保密工作开展提供保障的,扣１分；

22.对单位保密工作机构开展工作支持不够的,扣1分。a)通过谈话、查阅档案，了解对分管工作中的保密工作是否提供了支持和条件保障；

b）查看会议记录等相关材料等，了解是否结合业务工作实际，对业务工作范围内的保密工作进行了研究、部署和检查；

C)查看保密检查记录，了解保密检查实效;是否对检查出的问题有书面整改规定并督促整改。1.４、涉密部门负责人或者涉密项目负责人责任(10分)项目细则操作方法支撑文献备注掌握本部门或者本项目的保密工作情况(3分）

23.对保密工作职责不清楚的,扣1分；ﻫ24.对部门或者项目的整体保密情况掌握不够的，扣1分；ﻫ25.对涉密人员基本情况掌握不够的,扣1分。ａ)通过谈话,了解是否清楚保密工作职责;在保密工作与业务工作相结合方面采用了哪些措施；ﻫｂ)通过谈话,了解是否知悉本部门或者本项目涉密事项基本情况;ﻫC)通过谈话，了解部门（项目）负责人是否知悉涉密人员的保密要点。采用具体措施贯彻保密管理规定（5分）

26．未将保密管J里规定融人业务工作制度中的,扣1分;ﻫ27．对单位部署的保密工作贯彻不够的,扣1分；

２8.对专兼职保密工作人员工作支持不够的,扣1分；ﻫ29.季度内未安排保密教育的，扣１分；

3０.未按照工作需要控制国家秘密的知悉范围的，扣1分。a)查阅有关业务资料、工作制度和管理流程,了解是否将保密规定融入业务工作制度；

ｂ)查看会议记录和保密教育记录,了解对接触涉密事项的人员是否有保密规定；ﻫC)查看教育培训大纲和人员签到表、考试试卷及笔记等,了解单位、部门对涉密人员保密教育培训情况;d)通过谈话和实地询问，了解对涉密部门负责人或者涉密项目负责人业务中的涉密事项是否清楚，是否按照工作需要限定了范围，拟定了知悉人员。监督检查保密工作贯彻情况（2分）ﻫ31.季度内未对保密措施贯彻情况进行检查的，扣1分;ﻫ3２.未对检查中发现的问题进行监督贯彻整改的,扣1分。查看检查记录，了解是否按规定每3个月进行1次保密检查；检查是否真实有故，是否查出了普遍存在的问题；对检查出的隐患和问题是否整改贯彻。１.5、涉密人员责任(6分）项目细则操作方法支撑文献备注涉密人员履行职责(6分）ﻫ33.对本职岗位保密职责不清楚的,扣1分;

34.对本职岗位业务工作中的保密事项不清楚的,扣1分；ﻫ35.对保密知识、技能和规定掌握不够的，扣1分;

36.未履行本职岗位保密职责的,扣1分；ﻫ37.未及吋报告泄密隐患、制止违法违规行为的，扣2分。a)通过谈话，了解涉密人员对其岗位中的保密职责和保密事项是否清楚;ﻫb)谈话了解学习内容和掌握党和国家有关保密工作政策法规、上级规定、本单位制度以及对本职岗位保密职责是否清楚等情况，查看涉密人员保密知识、技能和规定的学习记录;ﻫｃ)通过提问,了解涉密人员对本职岗位各项保密审批程序、载体管理及计算机信息系统的有关规定是否熟悉清楚。2、归口管理(6分)项目细则操作方法支撑文献备注3８．未根据业务工作实际,明拟定密、涉密人员、信息化、新闻宣传、外事等归口管理部门的,扣10分;ﻫ３9.未明确归口管理部门职责的,扣３分；ﻫ40．归口管部门未履行职责的，扣３分。ａ)通过查看基本制度和业务流程，了解是否结合业务工作实际，在部门职能划分上明确了定密、涉密人员、信息化、新闻宣传、外事等归口管理部门和其管理职责;

b)通过谈话,了解归口管理部门负责人及管理人员掌握管理职责情况；ﻫc)查归口部门年度工作计划、总结、业务制度及有关审查审核记录，看是否将保密管理规定融入业务工作制度和流程中，是否履行了保密管理职责。3、保密组织机构(32)分3.1、保密委员会（保密工作领导小组）（12分）项目细则操作方法支撑文献备注保密委员会(保密工作领导小组)组成及其职责（4分)

41.保密委员会(或保密工作领导小组)成员组成不符合规定的，扣2分；

42.保密委员会（或保密工作领导小组）及其成员职责和分工不够明确的,扣2分;a）通过查看文献，了解保密委员会机构、人员的组成是否符合标准规定，是否有明确的职责与分工；保密委员会（保密工作领导小组）履行职责(8分）

43年度内未召开工作例会的，扣1分;

44．保密委员会成员未按分工履行职责的，扣2分;

4５.年度内未对保密工作进行研究和部署的，扣2分;ﻫ46.未及时解决保密工作重大问题的,扣2分;ﻫ4７.保密委员会成员年度内未向保密委员会报告履职情况的，扣2分。a)查看保密委员会或者保密工作领导小组会议记录，了解参会人员范围及会议议题；了解是否实行例会制度及是否对本单位保密工作开展作出部署和总结;是否及时研究解决本单位保密工作中的重大问题；ﻫb)查看保密委员会签到记录及有关纪要，了解保密委员会成贾参与保密委员会会议情况,是否按职责分工将会议精神进行了传达、执行；

c)查看保密委员会成员年度履职报告，了解保密委员会成员按照分工履职情况；ﻫd）查看相关资料,了解保密工作是否有年度计划和工作总结。3．2、保密工作机构(２0分）项目细则操作方法支撑文献备注机构设立及履行职责(８分)ﻫ4８.保密工作机构管理职责和权限不够明确的，扣2分;ﻫ49.保密工作机构履行保密管理职责不够的,扣2分;

50.未参与涉密业务工作制度制定，指导业务部门将保密管理规定融人业务工作流程中的，扣2分；

51.未提出保密责任追究和奖惩建议并监督贯彻的,扣2分。a)查看单位文献资料、基本制度和业务制度及审查审批记录,了解保密工作机构管理职责和权限是否明确清楚;ﻫｂ)查看档案资料、业务工作制度和流程，实地检查了解保密工作机构贯彻国家法律法规、上级文献及执行单位保密委员会会议精神情况；如何指导业务部门将保密管理规定融入业务工作流程中情况；监督检查指导协调单位各项保密工作开展情况;对违反保密规定是否进行责任追究,对保密先进是否进行奖励;ﻫC)查看保密工作计划和工作记录，了解保密工作机构工作开展情况。保密工作人员配备(8分)

5２．专职保密工作人员配备数量不符合标准规定的，扣10分；ﻫ53．专职保密工作人员条件不符合标准规定或者未做到专职专用的,扣4分;ﻫ5４.专职保密工作人员２人(含)以上，未配备保密技术管理人员的，扣2分；

5５.兼职保密工作人员未按规定配备的,扣2分查看保密工作机构办公场合、相关文献和任职条件，了解保密工作机构人员配备数量情况是否符合规定，是否做到专职专用；是否按规定配备了保密技术管理人员。保密工作人员知识技能（４分）

5６.保密工作机构人员对本单位、业务工作中的保密工作重点和具体情况掌握不够的，扣2分；ﻫ57.保密工作机构人员未通过保密知识技能培训的,扣2分。a)询问专职保密工作人员，了解保密管理知识掌握情况,是否掌握本单位保密工作重点情况;

ｂ)查看专职保密工作人员是否通过相应的保密知识技能培训。4、保密制度(20分）项目细则操作方法支撑文献备注基本制度(１２分）

５８.未按规定制定的,扣４分；ﻫ5９.未结合单位工作实际、操作性不强的，扣3分;

60.不够全面、准确规范的，扣３分;

61.未及时修订完善的,扣2分。a）查看是否按规定制定了基本制度；了解是否有漏项，具体贯彻保障措施如何；ﻫb)查看基本制度,了解是否由归口管理部门结合单位工作实际和特点制定;是否流程化和表单化；是否按照国家法律法规及上级有关规定，全面准确规范制定,并及时修订完善。专项制度(5分)

62．未按规定制定的,扣２分;

63.职责分工不明确的,扣1分；

6４.未结合专项任务特点规定具体管理措施的,扣２分。a)查看专项工程（重要武器装备工程或项目)、外场试验活动，是否制定专项制度；

ｂ）查看专项制度,了解是否按照专项任务的特点和要求,明确任务密级和保密管理职责；是否有保密方案和具体实行的情况。业务制度(3分）ﻫ６６.未将保密管理规定融入业务工作制度中的，扣3分。查看业务工作制度是否融入保密管理规定，并进行流程化和表单化管理。5、保密管理（3５3）分5.1、定密管理(20分)项目细则操作方法支撑文献备注６6.未按定密权限依法开展定密工作的,扣4分;ﻫ6７．未明拟定密工作流程的,扣2分；ﻫ6８.未制定国家秘密事项范围细目并及时调整的，扣3分；ﻫ69．未按规定指定定密负责人的,扣2分；ﻫ7０.定密负责人未通过培训的，扣2分;ﻫ７1.定密程序不符合规定的，扣３分；ﻫ72.密级、保密期限和知悉范围拟定不够准确的,扣2分;ﻫ７３.未开展变更密级或者解密工作的,扣2分。a)查看定密授权文献，了解是否被授予定密权限;查看定密工作流程及有关记录，了解单位按照定密权限依法开展定密工作情兄;ﻫｂ)查看资料,了解是否制定本单位《国家秘密事项范围细目》,定密依据是否对的,并根据工作实际及时调整;ﻫＣ)查看单位指定定密负责人文献，是否符合任职条件，是否报国家国防科技工业局和军工集团公司备案；

d)查看定密负责人是否通过保密知识技能培训；ﻫｅ)抽查部分涉密部门产生的涉密载体，检查定密程序和负责人是否符合规定;检查密级、保密期限拟定、知悉范围是否准确，知悉范围是否最小化;

f)抽查涉密载体，检查国家秘密标志是否标注规范；

g）查阅文献资料，了解单位是否及时开展密级变更或者解密工作;ﻫh)通过与定密负责人谈话，了解定密负责人季度内是否组织了定密检查,年度内是否进行了定密情况统计,是否报保密工作机构备案。5.2、涉密人员管理(50分)项目细则操作方法支撑文献备注上岗管理(14分）

74.未准确界定涉密岗位密级的,扣４分;ﻫ75．未准确界定涉密人员密级并及时调整的,扣4分；

７6.未对进人涉密岗位的人员进行审查和定期复审的,扣4分；ﻫ77.未对进人涉密岗位的人员进行岗前保密教育培训、签订保密承诺书的,扣２分。a)查看归口管理部门工作制度和档案等资料，并与部门负责人谈话,了解是否对涉密岗位进行了界定,并检查涉密岗位、人员界定是否准确；

ｂ)检查进入涉密岗位的涉密人员是否进行了审查,审查内容是否符合有关规定规定;

C)查看岗前保密教育培训记录、了解教育培训内容及学时是否符合规定;查看保密承诺书,了解涉密人员是否按规定签订；保密承诺书内容是否明确应履行的责任义务和享有的权利情况。在岗管理（3０分)ﻫ78.年度内涉密人员在岗保密教育和培训未满１５学时的,扣2分；

79.未对涉密人员进行年度考核的,扣3分；ﻫ80．涉密人员严重违反保密制度或者不符合基本条件，未及时调整的，扣5分;ﻫ81.未根据涉密人员密级给予相应保密补贴的,扣４分;ﻫ82.未将涉密人员在公安机关出入境管理机构备案的，扣4分；ﻫ8３.出入境证件未统一管理的，扣2分;

８4.出国(境)未按规定审批的，扣4分;

85.出国(境)未按规定执行提醒或者回访制度的,扣２分;ﻫ86.现场审查保密知识考试良好率未达成８0%的，扣4分。a)查看涉密人员个人保密教育记录、签到表及学时统计是否达成1５学时;重点检查单位负责人、部门负责人、高技术人才、项目负责人等涉密人员是否准时参与教育培训，培训学时是否达标;涉密人员未准时参与培训人员年度内是否进行了补课；

b)通过抽取涉密人员进行保密知识考试以及实地检查、询问等，了解涉密人员掌握保密基本知识情况；ﻫＣ)查看单位是否对涉密人员进行年度考核;查看保密补贴发放表和奖惩情况，了解保密补贴是否如实发放;补贴发放以及保密奖惩是否与考核挂钩;

d）查看涉密人员等级变更表和奖惩记录及年度考核，查看严重违反保密制度或者不符合基本条件的涉密人员,是否根据情况及时调整涉密人员等级;ﻫe)查看有关材料,了解单位是否将涉密人员名单在公安机关出入境管理机构登记备案；

f)检查涉密人员因私出国(境）证件是否准时收交,并建立台账统一管理；

g)查看因私出国(境)审批表,了解涉密人员因私出国(境)审批情况和保密提醒、回访制度贯彻情况。离岗管理(6分）ﻫ87.离岗离职涉密人员未及时清退涉密载体、涉密信息设备、涉密存储设备和密品的,扣3分。ﻫ88．离职离岗涉密人员未签订保密承诺书,实行脱密期管理的,扣3分。a)查看制度和涉密载体登记记录,了解单位是否对脱离涉密岗位、内部调岗和涉密等级调整人员的涉密载体移交作出规定,并对移交涉密载体情况作出记录；ﻫｂ)查看涉密人员离岗审查表，了解脱离涉密岗位和内部调岗的涉密人員是否实行脱密期管理并签订保密承诺书,以及脱密期管理具体情况的记录。5．3、涉密载体管理(４5分)项目细则操作方法支撑文献备注89.未建立涉密载体台账或者台账与实际不符、保存期限局限性3年的,扣4分；

90.涉密载体未对的标注密级和保密期限的,扣２分;ﻫ91.涉密载体未按规定制作的,扣3分；ﻫ９2.涉密载体未按规定收发的,扣2分；

９3．涉密载体未按规定传递的,扣2分;ﻫ９4.涉密载体未按规定借阅的,扣2分;

９５．涉密载体未按规定使用的,扣2分;

９6.涉密载体未按规定复制的,发现一份扣2分,最高扣６分;ﻫ97.涉密载体未按规定保存的,发现一份扣２分，最高扣6分;

9８.涉密载体未按规定销毁的,扣3分;

９9.记录涉密事项未使用保密本的,扣3分;

１00.未严格控制国家秘密知悉范围的,发现一份扣２分，最高扣６分;

１０1.持有涉密载体或者知悉国家秘密未履行审批程序的，发现一份扣1分，最高扣4分。a)查看近３年部门、个人涉密栽体台账，了解台账要素及登记记录是否齐全，手续是否清楚,账物是否相符;

b)抽查单位制作的涉密文献、资料，是否按规定标明密级和保密期限；抽查电子文档和未定稿的涉密过程文献是否标密，标志是否对的；

c)审查国家秘密载体制作、收发、传递、复制、借阅、使用、销毁等环节审批、登记记录,是否审批权限准确，登记事项要素齐全；

d)审查国家秘密载体保存是否符合规定规定；ﻫe)查看涉密人员保密记录本,了解记载涉密事项是否使用专用保密本;

f)检查机要室、档案室(馆)、部门等内设机构，了解单位对接触、知悉和持有涉密载体的人员是否履行审批手续,审批手续是否拟定了知悉范围，并进行了有效控制。5.4、密品管理（20分)项目细则操作方法支撑文献备注１02.未建立密品台账或者台账与实际不符的，扣4分;ﻫ103.未准确拟定密品的密级、保密期限和接触范围的,扣2分;ﻫ1０４.密品未按规定标注密级的,扣２分；ﻫ105.对外形和构造容易暴露国家秘密信息的密品未采用遮挡或者保护性措施的,扣2分；

1０6．密品未按规定存放的，扣２分;ﻫ107．重要密品运送未制定安全保密方案,贯彻安全保密措施，并进行记录的，扣3分；

1０8.密品交接未履行签罢手续的，扣3分；ﻫ109.密品维修、销毁未经审批或者未采用安全保密措施的,扣2分。a）查看部门及保管人员是否建立密品台账，了解台账要素及登记记录是否齐全,手续是否清楚,账物是否相符;ﻫｂ）抽查密品定密是否准确;是否按规定标明密级和保密期限；是否拟定接触范围;对接触人员是否进行文字记载;ﻫＣ)查看密品研制、生产、存放部位,了解保密技术防护措施是否符合保密规定;对外形和构造容易暴露国家秘密信息的密品是否采用了遮挡、管理和技术性保护措施;

d）检查业务部门档案，了解密品运送是否有安全保密工作方案，全程贯彻保密措施记录情况。5.５、保密要害部门部位管理（24分）项目细则操作方法支撑文献备注110.未按规定拟定保密要害部门部位,或者拟定不准确的,扣３分；ﻫ111．保密要害部门未实行区域隔离,或者保密要害部位未实行物理防护的,扣２分;ﻫ11２.未按规定采用出入口控制、人侵报警、视频监控等技防措施的，扣4分；

113.出入口控制、入侵报警、视频监控等技防设施不能正常工作的，扣3分；

１14.非授权人员进入保密要害部门部位未经批准登记并采用监督管理措施的,扣3分；ﻫ１15.未经批准,带入具有无线通信、拍摄、录音等功能的电子设备的，扣2分；ﻫ１16.将手机带入保密要害部门部位的,扣2分;ﻫ１17.未对进入的工勤服务人员采用管理措施的,扣2分；

118.涉及保密要害部门部位的工程建设项目不符合安全保密规定或者保密防护措施未经保密工作机构审核的,扣3分。ａ)看单位文献、资料，了解保密要害部门部位界定ﻫ是否符合标准，拟定是否准确,是否履行审批手续；ﻫb)实地检查，了解保密要害部门区域隔离情兄；ﻫc)检查保密要害部门部位集中的安全控制区域、外周界、电子门禁系统、入侵报警装置和视频监控技防设施设备是否符合防范规定并正常工作。ﻫe）查看记录,了解进入保密要害部位的非授权人员是否通过审批,作出记载，并采用了相应的控制措施;ﻫf)查看记录，了解对进入保密要害部位的安全值班、工勤服务人员杨文是否进行了审查，履行了审批手续,并签订有保密承诺书；ﻫg）调取监控、现场检查或者查看有关记录，了解使用或者存放的带有存储、拍摄、录音等功能的电子设备是否通过审批；ﻫh）调取监控、现场检查，是否有带入并使用手机等具有无限通信功能设备情况；ﻫi）查看涉及保密要害部门部位的新建、扩建、改建工程档案,了解在立项、验收等环节是否通过单位保密工作机构组织的审核；ﻫj）查看保密要害部门部位安防监控等技术防护措施是否选择具有涉密安防监控资质单位承建。5.6、信息系统、信息设备和存储设备管理（1４０分）5．６.１、重点项目(扣分项）项目细则操作方法支撑文献备注119.涉密信息系统通过系统测评但未提交涉密网络运营许可申请,或者已获得运营许可但未按规定进行风险评估的,扣2０分；ａ）查验是否按照系统测评（风险评估）报告的规定，对存在问题和隐患进行全面整改;

ｂ)查验按照系统测评(风险评估)报告的规定整改后,是否及时(一般应当在１个月内)向国家保密行政管理部门申请《涉及国家秘密的信息系统使用许可证》；ﻫC)查验涉密信息系统获得使用许可证，投入涉密运营后，是否按照保密规定,每两年进行一次风险评估。应当至少提前３个月向国家保密行政管理部门或者上级主管部门提交风险评估申请,并进行风险评估;

d)假如已经提交风险评估申请,尚未进行风险评估的，验证未进行评估的因素，若属于测评机枸和审批部门的因素,不扣分。120．使用不与互联网及其他公共信息网络连接的内部非涉密信息系统、非涉密信息设备和非涉密存储设备存储、解决、传输涉密信息的，扣10分；ａ）查验内部非涉密计算机等信息设备、涉密信息系统非涉密安全域中的非涉密服务器、非涉密用户终端等信息设备以及非涉密存储设备,是否存储或者处理过涉密信息;

b）查验是否存在无密级标志，但是与涉密计算机、涉密信息系统中涉密服务器和涉密用户终端中涉密文献重要内容相一致的涉密信息;

C)采用符合国家保密规定的技术手段,对内部非涉密计算机、涉密信息系统非涉密安全域中非涉密服务器、非涉密用户终端和非涉密外设进行抽查;也可以采用数据检索和数据恢复等技术，查验是否存在存储或解决涉密信息的痕迹;

d)假如存在存储或者解决过涉密信息的内部非涉密计算机、非涉密用户终端等信息设备和存储设备，该设备连接或者接入过互联网或者其他公共信息网络,应当终止审查。1２1.修改、删除涉密计算机保密技术防护专用系统的监控程序报警回联地址的，扣1０分；a）查验涉密计算机保密技术防护专用系统的监控程序报警回联地址，是否设定为国家保密行政管理部门规定的地址;

b)查验涉密信息系统和涉密信息设备开机后，违规外联监控程序是否处在工作状态，报警回联地址的状态是否有效;ﻫC）假如发现报警回联地址改变,应当查清改变的因素和操作动机,查清后报告国家保密行政管理部门。1２2．擅自访问、下载、存储、传输知悉范围以外的国家秘密的，扣10分；a)查验涉密计算机、涉密信息系统的服务器和用户终端，以及涉密存储设备中，是否存在负责人知悉范围以外的国家秘密信息（记录或痕迹）;ﻫb)假如存在，应当同时查验信息来源以及信息导入使用的存储设备和导入程序是否符合规定;ﻫｃ)假如通过业务主管部门和保密工作机构批准和授权，访问、下载、存储、传输知悉范围以外的国家秘密的,应当查验审批程序是否合规，审批单以及相关记录是否真实完整。１2３.擅自扫描或者检测涉密信息系统的网络基础设施、安全保密产品以及应用系统的，扣10分；a)查验涉密信息系统服务器、用户终端和涉密计算机，是否具有（或者接入过)扫描或者检测网络基础设施、安全保密产品以及应用系统的工具（软件或者硬件);

b)查验是否存在使用过扫描或者检测工具的记录或痕迹;

C)假如通过授权（涉密信息系统的运营维护人员和测评机构的人员可以被授权)，查验审批程序是否合规,扫描或者检测工具的安装（接入）是否符合规定，审批单以及相关记录是否真实完整；ﻫd）假如安装使用的安全保密产品、病毒和恶意代码防护等工具,自身带有扫描或者检测涉密信息系统的网络基础设施、安全保密产品以及应用系统功能的，查验是否已经严禁使用相应的功能。1２4.故意隐藏涉密信息设备和涉密存储设备，规避检査的,扣10分;ａ)查验台账上的涉密信息设备和涉密存储设备是否正常管理和使用;

b)查验是否存在未列入台账,也未纳入单位正常管理范围,明显规避检查的涉密信息设备和涉密存储设备（可以追溯涉密文献和信息的产生来源,查验是在什么信息设备上解决的）；ﻫc)查验未列入台账，未纳入管理的涉密信息设备和涉密存储设备的存放地点是否符合保密规定，是否按照保密规定存放和管理125.测试、调试、仿真、工控、数控等专用信息设备或者信息系统，接入涉密信息系统未制定专门的安全保密方案并报国家保密行政管理部门审查的，扣1０分；a)查验专门的安全保密方案,是否进行了风险评估，并针对存在的风险和隐患提出安全保密规定,并符合相关的保密法规和技术规定；ﻫｂ）专门的安全保密方案,是否通过本单位（或者上级主管单位)组织的专家评审会评审通过后，报国家保密行政管理部门审查；

c)查验国家保密行政管理部门审查安全保密方案的相关审查意见，鉴定建设使用单位是否按照审查意见对方案进行了修改完善；

d）查验实行过程和设备现场，是否与通过审查的安全保密方案相一致。１26.涉密信息系统采用虚拟化技术，未制定专门的安全保密方案并报国家保密行政管理部门审查的,扣10分;a)查验专门的安全保密方案,是否针对存在的风险和隐患提出安全保密规定,并符合相关的保密法规和技术规定;

ｂ)专门的安全保密方案，是否通过本单位（或者上级主管单位)组织的专家评审会评审通过后,报国家保密行政管理部门审查；ﻫＣ)查验国家保密行政管理部门审查安全保密方案的相关审查意见,鉴定建设使用单位是否按照审查意见对方案进行了修改完善;ﻫｄ)查验实行过程和设备现场，是否与通过审查的安全保密方案相一致。127.用无线方式接人涉密信息系统或者涉密计算机,未采用国家保密行政管理部门和国家密码管理部门检测合格的安全保密设施设备和密码设备,未制定专门的安全保密方案并报国家保密行政管理部门审查的，扣１0分;a)查验是否科研生产工作必须采用无线接入方式；ﻫb)查验专门的安全保密方案,是否针对存在的风险和隐患提出安全保密规定,并符合相关的保密法规和技术规定;

C)专门的安全保密方案,是否通过本单位（或者上级主管单位)组织的专家评审会评审通过后,报国家保密行政管理部门审查，建设使用单位是否按照审查意见对方案进行了修改完善;

ｄ)查验是否采用国家保密行政管理部门或者国家密码管理部门检测合格、符合规定的安全深密设施设备和密码设备;ﻫe)查验采用的无线发射设备,验证发射距离是否符合安全规定；

f)查验实行过程和设备现场,是否与安全保密方案的规定相一致。1２8．委托系统内无相应资质单位承担涉密信息系统运营维护的，扣10分;a)查验被委托承担涉密信息系统运营维护的机构（单位）是否为本军工系统（同一法人或老同一上级法人）单位(一级保密资格单位仅允许委托本集团公司的单位承担运营维护工作);

ｂ)单位信息化管理部门是否与被委托承担运营维护的机构(单位)签订运营维护协议和保密协议;ﻫC)假如委托非本军工系统内部单位,查殓是否具有国家保密行政管理部门颁发的涉密信息系统集成资质中的运营维护资质，且资质在有效期内。１２９.未经审批更换涉密服务器、涉密计算机硬盘，重装操作系统;或者现场审査前6个月内更换(报废）涉密服务器、涉密计算机硬盘，重装操作系统数量超过总数２0%的，扣10分。a)查验更换涉密服务器、涉密用户终端、涉密计算机硬盘，重装操作系统的审批程序是否合规,审批单、操作记录是否真实完整；

b）查验年度内，更换涉密服务器、涉密终端、涉密计算机硬盘,重装操作系统数量是否超过设备总数的２0％；

c）查验现场审查前６个月内（现场审查之日开始，向前倒推),通过审批更换计算机硬盘等存储设备、重装操作系统数量,是否超过涉密服务器、涉密用户终端、涉密计算机总数的20%，手入导出专用计算机、中间机和涉密便携式计算机的数量单独按其总教的20%计算;ﻫd）涉密信息系统服务器、用户终端、涉密计算机的系统时间假如修改,重装操作系统的，不伦台数，一经发现直接扣10分。5.６.2、涉密信息系统(5分)项目细则操作方法支撑文献备注１３0.尚未存储解决涉密信息的涉密信息系统,未经系统测评的,扣1分;ａ)查验单位建立的信息系统建设方案和安全保密方案,拟定是否为涉密信息系统；ﻫｂ）查验涉密信息系统是否建设完毕，是否处在试运营期间;ﻫＣ）查验是否已经提交测评申请书,假如已经递交测评申请书，由于测评机构的因素未进行系统测评的,不扣分；ﻫd）假如涉密信息系统建设完毕,由于建设使用单位自身的因素,未经系统测评,应当扣分；假如系统内存储或者解决过涉密信息（记录和痕迹)，则应当按照基本项第6条解决。1３1.《涉及国家秘密的信息系统使用许可证》涉及事项发生变化时未按有关规定及时报告的,扣2分;a）查验被审查单位涉密信息系统是否具有国家保密行政管理部门颁发的《涉及国家秘密的信息系统使用许可证》,假如未取得使用许可证,则参考１２1条;ﻫb）查验许可证的内容与单位涉密信息系统的实际情况是否一致,是否发生变化(特别是增长或者减少安全域、应用系统和安全产品）；ﻫC)查验发生变化后是否及时报告(改变完毕后1个月内），并申请新增应用系统单项检测、系统测评或者风险评估。13２.提供的涉密信息系统拓扑结构图不完整,或者与测评报告、风险评估报告以及实际情况不符的，扣2分。a)查验涉密信息系统的拓扑结构图,与提交系统测评（风险评估)申请书中的拓扑结构图是否一致，涉密信息系统的实际情况是否与拓扑结构图相符合；ﻫb）拓扑结枸图中安全域划分是否符合国家保密标准要求，边界是否清楚;

C)拓扑结枸图中是否标明核心互换机、汇聚互换机的IP地址以及接入互换机群的IＰ地址段，是否标明所有服务器的名称和IP地址,是否标明所有安全产品的接入（部署）位置等。5.6.3、管理结构及人员(23分）项目细则操作方法支撑文献备注１3３.未明确信息化管理部门和运维机构的，扣2分；

１３4.信息化管理部门和运维机构设立及人员配备未到位或者不能满足实际需要的,扣2分；ａ)查验明确或者任命的相关文献,以及相关的委托协议文本，确认是否明确管理部门,指定了运营维护机构;ﻫb)查验实际的人员配备与任命文献（协议文本)是否一致;ﻫC)查验单位是否按照最大化原则为运营维护机构配备“三员”，“三员”人数配备是否足够满足涉密信息系统、涉密信息设备和涉密存储设备的运营维护需要。13５．未与受委托承相涉密信息系统运营维护的内部机构（单位)签订保密协议，或者未对受委托承担运营维护人员进行保密审查、签订保密承诺书的，扣1分；a）查验单位信息化管理部门是否与受委托承担涉密信息系统运营维护的机构或者单位签订保密协议;

b)查验单位信息化管理部门是否会同人力资源部门对受委托承担运营维护的人员进行保密审查和保密教育，并且留有相关记录;

C)查验受委托承担运营维护人员签订的保密承诺书;

d)查验实际参与运营维护的“三员”与协议拟定人员是否一致。136.信息安全保密管理体系文献不符合国家保密法规标准和单位业务工作实际的，扣2分；a)查验是否建立信息安全保密管理体系文献，假如未建立,则关联项（1３8、13９、140、141)所有扣分;ﻫb）查验体系文献的内容是否符合国家相关保密法规和标准,特别注意是否存在与国家相关保密法规和标准不一致或者有冲突的内容;

C）查验体系文献的内容是否符合单位科研生产业务工作实际,是否存在与单位科研生产以及平常工作不相关的内容和条款；ﻫd）查验体系文献是否由单位信息化管理部门组织并指导相关业务部门(机构）人员编制。1３7.信息安全策略存在明显的安全隐患、漏洞，或者未及时根据安全情况变化进行调整的，扣2分；a)查验信息安全策略文献，对照实际情况查找涉密信息系统、涉密信息设务、涉密存储设备,以及安全保密产品奂装和使用中,是否存在未被发现的、明显的安全隐患和风险;

b)查验是否对已经发现存在的明显的安全隐患和风险制定了控制或者规避措施；

c)查验是否根据信息系统、信息设备和存储设备的环境、系统和威胁变化情况,及时调整更新安全策略；ﻫｄ）查验安全策略文献变更与调整的审批程序是否合规,审批单以及相关记录是否真实完整。1３８.信息安全保密管理体系文献未按规定程序发布、宣贯、实行的，扣1分;a）查验信息安全保密管理体系文献是否通过保密工作机构审查，发布流程是否符合单位行文规范，以及签发主体（信息化管理部门和保密主管领导)是否符合规定；规定程序指根据国家相关保密标准规定制定的，在信息安全保密管理体系文献的制作、发布、宣贯以及实行中，应当履行的管理和控制程序;ﻫｂ)查验宣贯(教育培训）计划,实行的时间、地点、方式以及相关的记录；

C)查验教育培训的签到记录以及全员普及率，现场审查时,可以通过随机抽查提问，判断教育培训的效果;

d)查验相关记录内容是否真实可信。１39.相关人员不掌握信息安全保密管理体系文件应知基本内容的，发现1人扣1分,最高扣２分；a）随机抽取单位涉密人员,查验是否知道信息安全保密体系文献包含管理制度、安全策略和操作规程,以及本职岗位中的基本应知应会内容;ﻫｂ)查验涉密信息系统、涉密信息设备和涉密存储设备的使用人员,对体系文献中应知应会基本内容的掌握情况；ﻫc)查验“三员”在履行运营维护等岗位职责中,是否掌握体系文献应知应会内容。１4０.运营维护机构未制定运营维护工作制度和操作规程，未贯彻安全保密规定的，扣1分；a)查验运营维护机构制定的运营维护工作制度和操作规程;ﻫb)查验工作制度和操作规程中是否有贯彻保密规定的条款；

Ｃ)查验“三员”在运营维护工作中是否严格执行工作制度和操作规程，贯彻保密规定；

ｄ)查验“三员”是否对运营维护工作中发现的泄密隐患、违规行为或者误操作等进行了监控和记录。141.“三员”未实现互相独立、互相制约，存在兼任或者替代的，扣4分；ﻫ14２.“三员”未拟定为重要以上涉密人员，或者未经安全保密培的，发现1人扣1分，最高扣3分;a)查验运营维护岗位设立和“三员”配置任命文献，人数配备是否满足互相独立、互相制约的规定；ﻫb)查验实际运营维护工作中，“三员”是否实际存在兼任或者替代的情况；ﻫC）查验涉密岗位一览表和涉密人员定密审批表，拟定每位“三员”的涉密等级是否符合标准规定；

d)查验“三员”的教育培训情况，拟定是否具有上岗条件后,再由单位人力资源部门任命。143.“三员”无运营维护记录，或者运营维护记录不能反映真实情况的，扣1分；a）查验运营维护机构是否建立运营维护工作和操作记录（登记）本;ﻫb)查验“三员”是否按照管理制度规定和实际工作情况，及时填写运营维护操作记录；

ｃ)查验操作记录内容，并且与实际情况进行比对；ﻫｄ)通过问询“三员”和查看工作记录,查验是否履行岗位职责。1４4.“三员”在运营维护中未能发现明显安全保密隐患和违规行为,或者未按规定程序解决的，扣2分。ａ）查验运营维护记录和涉密信息系统、涉密信息设备以及涉密存储设备中的相关记录，验证在管理使用和运营维护中，是否存在明显（不借助工具就可以发现）的安全保密隐患或者速规行为;

b)查验“三员”是否发现并记录了存在的安全保密隐患和违规行为；ﻫC)查验“三员”是否将安全保密隐患和违规行为及时上报,并按规定程序进行了解决;规定程序是指安全策略和管理制度中，根据国家相关保密标准规定制定的，在涉密信息系统、涉密信息设备和涉密存储设备的运营维护工作中，发现安全保密隆患和违规行为，应当履行的管理和控制程序。5.６.4、设备管理(３4分）项目细则操作方法支撑文献备注145．信息系统、信息设备和存储设备未简建立台账，或者台账信息要素不全、账物不符的,扣2分;a）查验涉密信息设备和涉密存储设备是否分别单独建立全生命周期档案(电子或者纸质）;ﻫｂ)查验档案内容是否从定密（拟定涉密等级）开始,涉及了所有的变更情况以及相应的审批程序和操作记录;

Ｃ)查验审批程序和操作记录是否与涉密信息设备和涉密存储设备的实际情况相符合。146.涉密信息设备和涉密存储设备未建立全生命周期管理档案,或者相关记录不全的，扣2分；a)查验单位是否建立信息系统、信息设备、存储设备的总台账和部门(机构)的分台账;ﻫb)查验台账的基本信息要素项是否齐全,信息要素内容的填写是否对的;ﻫc)查验台账的信息要素内容是否与信息系统、信息设备、存储设备的实际相符合；

d)查验信息化管理部门是否会同资产管理部门和运营维护机构定期(绝密级3个月、机密级6个月、秘密级１2个月）,对信息系统、信息设备、存储设备进行清查核对和登记。1４7.涉密信息设备和涉密存储设备未按规定程序拟定涉密等级的，扣2分；

14８.涉密信息设备和涉密存储设备未拟定负责人的,发现1个扣1分，最高扣3分；ａ)查验涉密信息设备和涉密存储设备的拟定,是否履行了定密程序，程序是否合规,密级拟定是否准确；规定程序是指安全策略和管理制度中,根据国家相关保密标准规定制定的,在涉密信息系统、涉密信息设备和涉密存储设备的定密工作中,应当履行的管理和控制程序;ﻫb)查验密级拟定审批单是否可以拟定相关设备的唯一性；ﻫC)查验涉密信息设备和涉密存储设备是否明确唯一的负责人；

ﻫd)查验负责人的涉密等级与责任设备的密级是否相适应。１４9.信息设备和存储设备无标记或者标记不符合规定的,发现１台(个）扣1分，最高扣3分;a)查验信息设备、存储设备和安全保密产品等是否具有单位统一制作的标记;

b)查验标记是否符合国家保密标准和单位管理制度的规定,是否不易涂改、擦除和损毁；ﻫC)查验标记是否具有唯一性(一台设备不应当有多个标记),是否与台账的相关信息要素相一致;

d)查验标记上是否明确唯一的负责人。150．涉密信息设备或者涉密存储设备中的涉密信息无密级标志，或者密级标志与涉密等级不符的,发现1台（个)扣１分,最高扣3分；ａ)查验涉密信息设备、涉密存储设备中存储和解决的涉密信息是否具有密级标志；ﻫb)查验标志是否符合国家相关保密标准规定,并符合本单位管理制度和公文格式的规定；

C)查验标志的密级是否与文献、资料、数据等信息的涉密等级相一致;

d）查验涉密的过程文献和信息是否具有相应的密级标志（注意:无标志的过程文献和信息也也许涉密）；ﻫe)一台涉密信息设备,或者一个涉密存储备中，只要存在无（或者不准确的)密级标志的涉密文献或者涉密信息，无论有多少份，都只扣1分。1５1．未按规定程序对涉密信息设备和涉密存储设备进行变更和调整的,或者记录不全、与实际情况严重不符的,扣３分;a)查验涉密信息设备和涉密存储设备进行变更、调整的审批单和记录(电子或者纸质）;规定程序是指安全策略和管理制度中,根据国家相关保密标准规定制定的，在涉密信息设备和涉密存储设备的变更和调整工作中,应当履行的管理和控制程序；

b)查验变更和调整的理由是否充足，是否符合企务工作需要,而不是为了规避保密检查和审查；ﻫＣ)查验审批程序是否符合国家保密标准规定，手符合单位管理制度和安全策略的规定;ﻫd）查验审批单以及相关的变更记录、移交手续是否真实齐全,是否与实际情况相符合（特别注意与台账进行比对)。15２．擅自卸载、修改涉密信息系统、涉密信息设备和涉密存储设备的安全技术程序、管理程序的,发现一起扣１分,最高扣４分;ａ)查验涉密信息系统、涉密信息设备和涉密存储设备的安全技术程序、管理程序是否完整齐全;

ｂ)假如安全技术程序、管理程序等存在被卸载、删除、修改等现象，查验“三员”在运营维护工作中是否已经发现,判明因素并上报运营维护机构和信息化管理部门，假如“三员”在运营维护工作中未发现的,直接扣分;ﻫC)假如卸栽、删除、修改理由充足，履行过审批程序,且审批程序合规，则不扣分;ﻫd)查验审批单以及相关记录是否真实完整，是否与实际情况相符合。153.涉密信息设备连接未经授权的存储设备，或者高密级存储设备接人低密级信息设备的,扣2分；ａ）查验涉密信息系统服务器和用户终端、涉密计算机等信息设备中是否存在不在台账上的存储设备接入的记录和痕迹,并查验授权审批记录,拟定是否通过授权使用;ﻫb）查验未经授权的存储设备的接入方式和连续时间,鉴定是否为误插（插入连续时间一般在1分钟以内的,可以认为是误插);

c)接入的存储设备假如为互联网或者公共信息系统设备，且直接通过普通USＢ口(不包含“三合一”单向导入盒的绿口)、光驱等接口接入涉密信息系统或者涉密信息设备使用（或者误插接入时间长于1分钟)，以后又继续在互联网上使用，属于交叉使用移动存储介质,按照连接国际互联网解决,终止审查;

d)查验涉密信息系统服务器和用户终端、涉密计算机等信息设备中，是否存在高密级存储设备接入使用的记录和痕迹。1５４.超过涉密等级或者知悉范間配备、管理和使用涉密信息设备的,扣2分；a)查验配发涉密信息系统用户终端、涉密计算机等信息设备和涉密存储设备是否按照工作必需的原则;ﻫb）查验涉密信息系统用户终端、涉密计算机等信息设备和涉密存储设备的负责人和使用人，是否符合相应的涉密等级,以及对国家秘密知悉范围的规定；

C)查验内部非涉密人员配发的秘密级计算机等信息设备,是否符合负责人和使用人汁国家秘密知悉范围的规定;

ｄ)查验一般涉密人员配发的机密级计算机等信息设备,内部非涉密人员配发的秘密级计算机等信息设备中，相应涉密信息的数量是否控制在规定的数量范围内(同一份文献或者信息的多个修改稿算一份)。１55.涉密存储设备未拟定控制范围，或者未按规定程序授权使用的,扣2分；ａ）查验涉密移动存储设备是否指定专人集中管理,并依据国家秘密的知悉范围拟定了使用范围（应当在策略文献中说明使用范围的限定）;规定程序是栺安全策略和管理制度中,根据国家相关保密标准要求制定的，在涉密存储设备的管理和授权使用中,应当履行的管理和控制程序；ﻫb)查验涉密移动存储设备是否根据密级存放在相应的保密柜，或者密码保险柜中；ﻫc)查验涉密移动存储设备借用人员是否符合授权使用规定，是否履行借用审批程序,用完是否及时归还,领用和归还是否留有记录；ﻫd）查验“三合一”红盘（硬盘和U盘）的安全策略控制,应当严禁设立为通用策略。１5６.超过涉密信息系统、涉密信息设备和涉密存储设备的涉密等级存储、解决、传输涉密信息的,发现１台(个)扣1分,最高扣4分;a）查验涉密信息系统服务器和用户终端、涉密计算机等信息设备和涉密存储设备中,是否存在超过设备涉密等级的涉密信息(解决或者存储的记录或者痕迹）；ﻫb)可以使用符合保密规定的数据恢复技术进行检查和验证；ﻫC)查验信息的来源和导入方式,假如不符合保密规定,则应当在相应条款扣分。157.测试、调试、仿真、工控、数控等专用信息设备或者信息系统，未明确涉密等级和保护规定的,或者未采用相应安全控制措施的,扣2分。a)查验测试、调试、仿真、工控、数控等专用信息设备或者信息系统,是否由相关业务部门拟定是否涉密;ﻫｂ)假如涉密,应当查验是否履行定密程序拟定其涉密等级和保护规定,审批单以及相关记录是否真实完整；

Ｃ）查验是否按照国家相关保密标准的规定，贯彻了安全保密管理和技术控制措施；无法安装安全保密产品的，是否在使用中加强管理,制定了专项管理制度、安全保护策略和物理防护措施,同时加强监督检查的力度；

d）查验采用的安全技术控制措施是否有效。5．6.5、外出携带、维修、报废(14分)项目细则操作方法支撑文献备注1５8.未按工作需要配备专供外出携带的涉密信息设备和涉密存储设备并由专人管理的,扣1分;

ﻫ15９.携带外出未履行审批程序的，扣2分;a）查验是否配备专供外出携带的涉密信息设备和涉密存储设备(假如业务工作不需要，可以不配）;

ｂ)查验是否指定专人负责管理和维护;

C)查验是否存在内外不分的情况，专供外出携带的一般不得内用，非专供外出携带的,一般不得带出;假如有特殊使用需求，拟定的设备不够用时,应当通过业务主管领导和信息化管理部门批准,允许相互借用；

d）查验外出携带是否履行审批程序，审批单内容和项目是否齐全(如外出时间、地点、工作内容、所有设备的名称以及密级、涉密信息的名称以及密级等),审批程序是否合规；检查每次外出时,携带的涉密信息设备和涉密存储设备中，是否仅存储与本次外出工作相关的涉密文献和信息；ﻫe)查验审批单以及相关记录内容是否真实齐全。160．携带外出期间未对设备接入和信息导入导出进行记录的，扣2分;

ﻫ1６1.借出前或者归还后未进行保密检查,或者检查结论与实际情况不符的，扣2分；ａ)查验专供外出携带设备是否配备和使用记录本，使用登记是否符合规定;ﻫb)查验携带外出期间接入各类设备，以及信息导入导出的记录;特别是携带步密信息设备外出时，接入的外部设备（如打印机、投影仪等），或者与其他涉密信息系统、涉密计算机相连接，是否记录准确,内容冗整;

c)查验借出前或者归还后，是否进行了保密检查,并留有记录;

ｄ）查验检查结论是否与实际相符合，并且由管理人和借用人共同签字确认。１6２．涉密信息设备和涉密存储设备未按规定程序进行维修和报废的，扣2分;a)查验维修报废流程是否符合保密标准规定;规定程序是指安全策略和管理制度中,根据国家相关保密标准规定制定的，在涉密信息系统、涉密信息设备和涉密存储设备的维修报废工作中,应当履行的管理和控制程序；ﻫb)查验维修报废是否履行审批程序,审批程序是否合规，审批单以及相关记录是否真实完整;

c)查验内部维修点设立是否符合保密规定;ﻫd)查验与外部维修单位签订的维修协议以及保密协议、外来维修人员的控制、全程旁站陪同人员履职等是否符合保密规定；ﻫe)查验涉密信息设备、涉密存储设备和安全保密产品的报废清单的内容与记录的信息要素，是否与台账中相关信息要素以及实际报废设备一致。16３.维修中未对维修人员以及存储过涉密信息的硬件和固件采用有效的管控措施的,扣4分；

ﻫ16４.修报废中相关登记记录不完整的，扣１分。a)查验维修报废中涉密信息的转储和保护,是否符合国家相关保密标准规定，是否有专人负责；

b)查验从涉密信息设备上拆卸存储部件全过程是否符合国家相关保密标准规定；ﻫＣ)查验拆下或者待报废的涉密存储部件的管控是否符合国家相关保密标准规定(交接签字、上台账、贴标记、专人管理、存放在保密柜或者密码保险柜中，假如待报废的涉密存储部件的存放数量超过20块,则保密柜或者密码保险柜应当存放在保密要害部位);ﻫd）查验维修报废过程中的各种登记和记录是否真实完整。5.6.６、安全产品与无线通信功能防护（8分）项目细则操作方法支撑文献备注165.对的配置和使用安全保密产品的，扣2分；

ﻫ16６.安全保密产品失效或者功能不符合保密规定的，扣2分；a)查验涉密信息系统、涉密信息设备和涉密存储设备是否按照国家相关保密标准规定配备了必要的安全保密产品；

b）查验安全保密产品的功能和性能是否与产品的证书和检测报告的描述一致,并符合单位对涉密信息系统、涉密信息设备和涉密存储设备的保护规定,购置时间是否符合规定；安全保密产品是否对的安装,并进行了安全策略配置（安全策略配置应当由安全保密管理贾实行,并留有记录),是否可以正常工作；

C)查验当安全保密产品不能安装或者安装后严重影响涉密信息系统和涉密信息设备的彳吏用时，单位是否通过信息化管理部门和保密工作机构批准，并对相应的涉密信息设备采用了更加严格的管控和物理保护措施;

d)查验是否根据需求及时调整策略配置或升级更新安全保密防护产品。167．涉密信息系统、涉密计算机等未采用病毒和恶意代码检测和查杀措施的,扣１分;a)查验是否建立符合保密规定的病毒与恶意代码查杀系统；ﻫｂ)查验是否认期进行病毒与恶意代码样本库的更新,涉密信息系统至少每周更新1次,单台涉密计算机至少每两周更新１次，并及时进行查杀；ﻫc)查验假如存在不能被杀掉的病毒与恶意代码，是否记录和及时上报（报告上级主管单位,或者属地保密行政管理部门);

d)查验涉密信息系统和涉密计算机中是否有存活的病毒与恶意代码,假如有，应当扣分。１68．密信息系统、涉密信息设备和传输线路的电磁泄漏发射不符合安全保密规定且未采用保护措施的,扣1分;ａ)查验电磁泄漏发射检测报告或涉密信息系统测评(风险评估)报告,鉴定是否需要采用保护措施；ﻫb)查验采用的保护措施是否符合国家相关保密标准规定;

Ｃ)查验是否采用了传导泄漏发射的防护措施（滤波电源插座等）；ﻫｄ)查验涉密信息设备和传愉线路的摆放和敷设是否满足国家保密标准中红黑隔离的规定。169.涉密信息设备、涉密存储设备具有无线通信功能,或者连接具有无线通信功能的外部设备的，扣2分。a)查验涉密信息设备、涉密存储设备是否存在可用的无线通信（无线联网)功能模块（部件）;ﻫb)涉密计算机等信息设备上，红外、蓝牙、迅驰等具有无线通信功能的模块（部件)，只要驱动程序可以安装成功,视为具有无线通信功能；ﻫC)查验是否存在连接过具有无线功能的外部设备的记录或者痕迹；

ｄ)涉密信息设备假如存在无线通信（无线联网)功能模块驱动程序安装成功,或者具有无线功能的外部设备连接成功的记录,无线通信功能模块和接入设备可用,视为破坏物理隔离，按照基本项,终止审查。5.6．７、软硬件安装卸载（5分)项目细则操作方法支撑文献备注170．密信息系统服务器、终端和涉密计算机更换涉密硬盘、重装操作系统,无操作内容记录和操作人员签字的，扣1分；ａ）查验更换硬盘、重装操作系统的操作内容和审批记录是否一致,是否冗整;

b）查验更换硬盘、重装操作系统是否为系统管理员或者被授权人员操作；

ｃ)查验操作内容记录(旧硬盘拆卸时间和交接签字记录、新硬者安装时间、安装操作系统版本和承栽介质、操作系统安装人、操作系统策略配置人等）是否符合规定;

d)查验安装曰期和操作人员签字是否与实际相符合。171.按规定程序安装和拆卸涉密信息设备硬件或者外部设备的，发现１台扣１分,最高扣2分；a)查验安装和拆卸外部设备是否履行审批程序,审批程序是否合规;规定程序是指安全策略和管理制度中，根据国家相关保密标准规定制定的，在涉密信息系统服务器和用户终端、涉密计算机等信息设备安装或者拆除外部设备的工作中，应当履行的管理和控制程序;

b)查验硬件或者外部设备的安装和拆卸是否与审批内容一致；应当特别注意“三员”在运营维护中安装和拆卸设备的审批情况；

C)查验审批单以及相关记录是否真实完整;d)查验是否存在擅自安装或者拆卸的情况。1７2.涉密信息系统和涉密信息设备使用的软件未统一管理并制定软件清单的,扣1分;

ﻫ173.涉密信息系统和涉密信息设备安装软件白名单以外的软件未履行审批程序,或者安装记录与实际不符的,扣1分。a）查验单位建立的软件清单，核对统一管控的软件；ﻫb)查验软件白名单中的软件是否进行过安全检测,并由运营维护机构放置在符合规定的存储设备中(涉密信息系统使用的，应当存放在规定的非涉密服务器上,单台涉密计算机使用的，应当存放在具有相应标记的光盘上)，供用户自行安装;操作系统、安全保密产品、检查工具、清除工具、设备驱动程序不得列入软件白名单;

Ｃ)查验软件白名单以外的软件安装,是否履行审批程序，审批程序是否合规；d)查验审批单以及相关记录是否真实完整。５.6.８、身份鉴别(5分)项目细则操作方法支撑文献备注17４.涉密信息系统和涉密信息设备的身份鉴别措施不符合相关保密标准规定的，扣1分;a）查验用户身份标记符的唯一性，并验证是否与安全常计相关联;ﻫb）查验是否设立（存在）多余的用户身份标记符或账号；

C）查验身份鉴别方式是否符合相关保密标准规定（按照不同密级，BIOS、操作系统、应用系统和空闲操作超时用户身份鉴别的设立情况）;是否采用用户名加口令(秘密级)、采用1Ｃ卡加PIＮ码或者USBＫｅy加PIＮ码(机密级)，或者其他鉴别方式进行身份鉴别;假如涉密信息设备不合用，符合国家保密标准规定的身份鉴别产品，则应当采用信息设备自身可以提供的强度最高的身份鉴别方式;ﻫｄ）查验鉴别失败后的记录和解决是否符合保密规定。１７5.份鉴别措施未根据涉密人员岗位和密级变化情况及时调整，或者USBKey等身份鉴别装置、账户信息与真实用户不符的,扣2分;a）查验身份鉴别措施是否依据涉密人员岗位和密级变化情况及时调整或者回收；

b)查验USBＫey、IC卡、指纹仪等身份鉴别裴置的发放记录，是否与真实用户相符合；ﻫC)查验身份鉴别装置的购置总数，与发放、回收、库存和销毁的忍数量是否一致；

d)查验发放、调整、回收是否履行审批程序，审批程序是否合规,审批单以及相关记录是否真实完整。176.未经授权,知悉或者掌握别人的身份鉴别装置和登录信息的,扣１分;

ﻫ１77.ＵSBＫey等身份鉴别装置未参照国家秘密载体的规定管控的，扣1分。ａ)查验是否存在未经授权,知悉或者掌握别人的身份鉴别装置和登录信息的情况，特别注意“三员”不应违规取得别人的身份鉴别和登录信息;

ｂ)查验是否存在欺骗、绕过或者旁路身份鉴别机制的情况；ﻫc）查验UＳＢＫeｙ、IC卡、指纹仪等身份鉴别装置的使用和保存是否符合保密规定,不使用时是否保存在符合保密规定的容器中，是否存在未经批准带出工作场合的情况；

d）查验身份鉴别装置的归还和报废是否符合标准规定。５.6．9、访问控制(８分）项目细则操作方法支撑文献备注178.未按规定程序根据国家秘密的知悉范围实现主体对客体的访问授权的，扣３分;a）查验制定和设立的访问控制策略、细粒度以及控制列表是否符合国家相关保密标准的规定，并满足对国家秘密信息的访问控制规定；

b)查验涉密信息系统、涉密信息设备和涉密存储设备的访问控制,是否按照管理制度和安全策略的规定对主体和客体分别进行了授权,授权审批程序是否合规;ﻫC)查验安全保密管理员的授权操作是否通过批准，操作是否符合保密规定，搡作记录是否完整;ﻫd)查验服务器和用户终端安全域等是否采用了有效的访问控制措施,高密级信息是否可以流向低等级(或者非涉密）的安全域、用户终端或信息设备。179.未采用管理或者技术措施,防止信息设备、存储设备的非授权接入以及涉密信息的非授权获取的，扣2分；ａ）查验各种信息设备和存储设备是否通过授权审批后方能接入涉密信息系统和涉密信息设备，是否采用了控制措施(如80２．1ｘ、端口或者接口控制等)，接入授权以及审批程序是否合规，审批单以及相关记录是否真实冗整；

b)查验是否存在信息设备和存储设备非授权接入的记录或者痕迹;

C）查验涉密信息系统和涉密信息设备，是否存在擅自开放共享目录、共享文献夹或者建立其他共享信息互换方式;

d）查验采用的管理或者技术措施,是否可以防止在涉密信息设备(或者涉密信息系统中的非涉密信息设备)上，非授权查看或者获取涉密信息。１８０.多人共同使用一台涉密计算机，可以非授权访问或者获取别人涉密信息的，扣３分。ａ)查验多人共用一台涉密计算机时,是否有专人担任安全保密管理员,并为每一个使用者建立用户账户（用户账号一般不得设立为系统管理R权限）;ﻫb)查验每一个用户的权限设立是否符合规定，每一个用户是否使用本人独立的身份登录使用；

Ｃ）查验每一个用户是否具有独立的硬盘存储空间、存储设备或者对涉密信息采用符合保密规定的保护措施,独立存储和解决涉密信息;

d)查验其中任何一个用户登录涉密计算机后,是否能够查看或者获取别人的涉密信息。５.6.１０、信息导入导出(13分)项目细则操作方法支撑文献备注1８1.未按照相对集中原则设立涉密信息系统、涉密信息设备和涉密存储设备的信息导人导出点,并指定人员负责管控的,扣１分；ａ)查验是否设立符合标准规定的信息导入导出点;按照相对集中原则,一般一个部门、科室、机构、场所等，可以分别设立1-2个导入导出点；

b)查验导入导出设备配置是否符合规定(如不应当选用多功能一体机作为打印设备）;ﻫC)查验是否配置导入导出点的管理人员(不应当设为无人值守);ﻫd)查验是否按照保密规定对导入导出点的设备进行管控，管理人员是否贯彻监管责任,登记记录等是否真实完整；ﻫe)查验涉密信息系统和涉密信息设备是否存在不受控制或者违规安装的信息输出点。182.中间机的管理和使用不符合保密规定的，扣2分；a)查验单向导入盒、中间杌等单向导入设备的配置是否符合规定（单向导入盒应当配４,中间机作为单向导入盒的补充导入手段,可以根据实际业务工作需求配备）；

b)查验是否在中间机上采用与涉密信息系统和涉密信息设备不同的病毒与恶意代码查杀工具；

C)查验单向导入盒、中间机的使用是否履行审批程序;

d)查验中间机是否存储或者解决与导入导出无关的其他工作信息;ﻫe)确因工作需要，采用大容量移动存储设备或者特殊移动存储设备进行信息导入的，可用配置相应的专用存储设备;

f)查验专用存储设备的配备、管理和使用是否履行审批程序，审批程序是否合规；

ｇ）查验专用存储设备是否标记清楚、专人管理与使用，并指定了专门的接入信息设备；ﻫh)查验专用存储设备每次使用、打开和关闭端口(数据接口）是否履行审批程序,打开和关闭端口时间是否与审批一致；

i)查验专用存储设备是否在非授权的信息设备上使用。1８3.未按规定程序导人信息,或者未对导入信息内容、使用的移动存储设备进行记录的，发现1份扣１分，最高扣３分;ａ）查验信息导入是否履行审批程序,审批程序是否合规;

b)查验信息导入使用的单向导入设备和移动存储设备是否符合相关保密标准规定；ﻫC)查验信息导入后，导入使用的移动存储设备的管控是否符合规定，应当特别注意非涉密移动存储介质(如非涉密光盘)使用后的管控情况;信息导入产生(使用）的涉密(非涉密)存储介质,可以交还原单位或者按照保密规定管控，定期销毁（一般应当保存6个月)；

ｄ)查验审批单以及相关导入记录是否真实完整。１84.未按规定程序导出信息,或者导出信息内容与申请不一致的，发现1份扣１分,最高扣4分；a)查验信息导出是否履行审批程序（涉密信息系统和涉密信息设备上的任何导出都应当通过审批），审批程序是否合规(批准人是否对导出信息进行了审阅），已经通过审批允许导出的信息，是否有控制措施严禁变更信息内容或者增长附件;ﻫb)查验导出信息的涉密等级是否与批准的一致；特别注意是否存在以非涉密导出申请，通过非涉密途径导出涉密信息的情况;ﻫC)查验导出使用的信息设备和移动存储设备是否符合相关保密规定,相关标记是否符合保密规定；

ｄ)查验输出的涉密载体的密级标记,以及领用是否符合相关保密规定；

e)查验非涉密信息导出后，单位是否指定专人对信息内容进行非涉密审查。１8５.信息导人导出的监控审计记录与实际情况不符的，扣4分。a)查验是否具有涉密信息系统信息和涉密计算机导入导出的监控审计技术措施；ﻫb）查验监控审计记录是否完整,实际的信息导入导出是否与监：控审计记录相一致;

C)查验单位是否指定专人汁涉密信息系统和涉密信息设备上导出的非涉密信息，进行非涉密审查；d)查验是否存在通过非涉密渠道导出涉密信息的记录或者痕迹。5.6．1１、涉密信息系统机房、服务器与集中存储(9分)项目细则操作方法支撑文献备注１８6．涉密信息系统机房未划定安全控制区域,或者未采用相关安全保密控制措施的,扣2分;a)查验机房是否按照使用功能划分为主机房、辅助区、支持区等工作区域,主机房是否拟定为要害部位；

ｂ)查验主机