第一章 审批依据及原则

第一条 为做好涉及国家秘密的通信、办公自动化和计算机信息系统（以下简称涉密系统）的保密审批工作，根据《中共中央关于加强新形势下保密工作的决定》（中发[1997]16号）、国家保密局《涉及国家秘密的通信、办公自动化和计算机信息系统审批审批暂行办法》（中保办发[1998]6号）和《计算机信息系统保密管理暂行规定》（国保发[1998]1号）的有关精神，结合我省实际，制定《江西省涉及国家秘密的通信、办公自动化和计算机信息系统审批实施细则》（以下简称《实施细则》）。

第二条 涉密系统的建设，必须与保密设施的建设同步进行，报经省、市保密工作部门审批后，才能投入使用。

第三条 审批工作应当坚持讲求科学，实事求是，既确保国家秘密又便利各项工作的原则。

第四条 本《实施细则》所称涉密系统是指以计算机、传真机、电话机等为终端设备，利用计算机、通信、网络等技术进行涉及国家秘密信息的采集、处理、存储和传输的设备、技术、管理的组合。

第五条 本《实施细则》所称保密设施是指为防止涉密信息的泄露或者被非法窃取而采用的设备、技术和管理的组合。

第二章 审批权限

第六条 省、市保密部门负责本行政区域的涉密系统审批工作。

第七条 省保密部门负责省直单位涉密系统及其延伸到市涉密系统的审批；市保密部门负责本市各单位涉密系统及其延伸到县（市、区）涉密系统的审批。

第八条 接入中央、国家机关延伸至省内涉密系统的审批，由省保密部门负责；接入省直单位延伸至市、县（市、区）涉密系统的审批，由所在地的市保密部门负责。未经保密部门审批的，不得接入上一级网络。

第三章 审批内容

第九条 涉密信息的定密制度和管理制度应符合《中华人民共和国保守国家秘密法》及其《实施办法》和有关法规。

第十条 涉密系统主管部门（单位）应选择经国家保密局批准并取得《涉及国家秘密的计算机信息系统集成资质证书》的集成单位（公司）来承建涉密系统。未取得《资质证书》的集成单位（公司）建设的涉密系统，保密部门不予审批。

第十一条 涉密系统使用的安全保密设备原则上必须选用国产设备，只有在无相应国产设备时方可选用经国家主管部门批准的国外设备。安全保密设备必须通过国家主管部门指定的测评认证机构的评测认证，并获得许可证。

第十二条 涉密系统不得直接或间接接国际联网，必须实行物理隔离，也可采取双计算机系统或网络安全隔离计算机、隔离卡等技术措施。

第十三条 涉密系统必须有身份认证系统，可采用生理特征认证、IC卡或口令等措施。如果采用口令身份认证措施，应达到以下要求：

（一）口令应由系统安全保密管理人员集中产生供用户选用，并有口令更换记录，不得由用户产生；

（二）处理秘密级信息的系统口令长度不得少于八个字符，口令更换周期不得长于一个月；处理机密级信息的系统，口令长度不得少于十个字符，口令更换周期不得长于一周；处理绝密级信息的系统，应当采用一次性口令或生理特征等强认证措施；

（三）口令必须加密存储，并且保证口令存放载体的物理安全；

（四）口令在网络中必须加密传输。

第十四条 涉密系统的访问控制应根据信息密级和信息重要性划分系统安全域，在安全域与安全域之间用安全保密设备（如放火墙、保密网关等）进行隔离和访问控制；同一安全域中根据信息的密级和信息重要性进行分割和访问控制。访问控制应符合以下要求：

（一）处理秘密级、机密级信息的系统，访问应按照用户类别控制；

（二）处理绝密级信息的系统，访问必须控制到单个用户。

第十五条 涉密系统的存储、传输应达到以下要求：

（一）秘密级、机密级信息应当加密传输。涉密系统完全处于其部门（单位）独立使用和管理的封闭建筑群内，可以选择采用光缆、良好接地的屏蔽电缆等物理保护措施。如果采用非屏蔽电缆，必须与其他并行线保持 1米（当平行长度小于30米时）或3米（当平行长度大于或等于30米时）以上的隔离距离，否则应加密传输；

（二）绝密级信息应当加密存储、加密传输；

（三）采用的加密措施应经过国家密码主管部门批准，并且采用的密码机应与所保护的信息密级一致。

第十六条 涉密系统的审计跟踪应达到以下要求：

（一）涉密系统应有详细的系统日志，记录每个用户的每次活动（访问时间、地址、数据、程序、设备等）以及系统出错和配置修改等信息；

（二）处理秘密级、机密级信息的系统，系统安全保密管理人员应定期审查系统日志并作审查记录，审查周期不得长于一个月；

（三）处理绝密级信息的系统，应能够检测并且记录侵犯系统的事件，及时自动告警。系统安全保密管理人员应当定期审查系统日志并作审查记录，审查周期不得长于一周。

第十七条 涉密系统有关设备电磁泄漏发射应达到以下要求：

（一）有关设备应符合中华人民共和国公共安全和保密标准《信息设备电磁泄漏发射限值》（ GGBB1-1999）的相应标识；

（二）不符合 GGBB1-1999标准的设备在处理绝密级信息的系统中使用，应当在符合国家保密标准的屏蔽室内使用；

（三）不符合 GGBB1-1999标准的设备在处理秘密级、机密级信息的系统中使用，应当安装经主管部门批准的干扰器；

（四）省、市保密部门应当依据国家保密标准《使用现场的信息设备电磁发射测试方法和安全判据》 BMB2-1998），现场检查有关设备的电磁泄漏发射情况。

第十八条 涉密系统应有健全的领导组织和管理制度，包括领导负责制和工作人员岗位责任制，信息定密和审批制度，系统使用管理制度，涉密信息载体管理制度和设备的维修、更新、报废、销毁制度，机房管理制度，病毒防治制度等。

第十九条 涉密系统的物理环境必须符合保密要求，并配有必要的防火、防盗等设备。

第二十条 党政专用电信网应当符合《关于有线电通信保密技术要求暂行规定》和《党政专用网保密技术验收要求》。

第四章 审批程序

第二十一条 建立涉密系统的单位在系统施工前应根据本《实施细则》第二、三章的要求，将系统规划、设计和安全方案，提交本部门（单位）保密委员会（领导小组）审核，之后按审批权限报省、市保密部门初审后在组织施工。

第二十二条 涉密系统投入使用一个月前，涉密系统主管部门（单位）保密委员会（领导小组）应按照《实施细则》第二章规定的审批内容负责初审，并向省、市保密部门办理报批手续。报批的书面材料应包括：

（一）申请审批报告：包括系统规划、设计、建设基本情况、发展目标等概况；

（二）系统总体方案：包括涉密系统的用途、拓朴结构、安全保密软硬件配置等基本情况；

（三）涉密系统所处理信息的最高密级和信息流向等；

（四）涉密系统所采取的安全保密措施及有关认证结论或审批件；

（五）涉密系统所采用的安全保密设备的类别、型号及相关认证或审批复印件；

（六）涉密系统保密管理制度：包括领导负责制和工作人员岗位责任制、信息定密和审批制度、机房管理和系统使用管理制度等；

（七）填写《涉密系统保密审批申报表》。

第二十三条 省、市保密部门根据涉密系统主管部门（单位）的申请，组织现场考察和测试。考察和测试的内容有：

（一）系统实际与书面材料是否一致；

（二）系统现场环境是否符合保密要求；

（三）有关保密制度是否健全与落实；

（四）现场检测所用信息设备电磁泄露发射是否符合相关保密技术要求；

（五）利用安全保密检查分析设备，分析涉密系统存在的泄密隐患和漏洞，并提出改进意见。

第二十四条 省、市保密部门组织保密技术工作专家组对涉密系统的安全保密情况进行评估论证。

第二十五条 省、市保密部门对具备运行条件的涉密系统给予批准使用，并颁发《涉密系统使用证书》；对不完全具备运行条件的应指出存在的问题和漏洞，由其主管部门（单位）改进后另行报批；对不完全具备运行条件又不采取改进措施的，责令其停止按涉密系统运行。

第二十六条 本《实施细则》下发前，涉密系统已经投入使用但未经保密审批的部门（单位），应在一个月内报送涉密系统有关情况的书面材料，按照规定的程序进行申报审批。

第五章 涉密系统的管理和检查

第二十七条 涉密系统主管部门（单位）要本着“同步建设、严格审批、注重防范、规范管理”的原则按照国家有关规定进行严格管理，其保密委员会（领导小组）应加强对涉密系统的保密管理和检查。

第二十八条 省、市保密部门应不定期对涉密系统进行保密检查。

第二十九条 已批准运行的涉密系统如有进行网络扩展等变动，应采取相应措施，由本部门（单位）保密委员会（领导小组）负责审批把关，并报省、市保密部门备案。

第三十条 涉密系统所有的计算机、传真机、电话机等信息处理设备应由定点单位负责维修，存有涉密信息的载体的销毁应采用不可恢复信息的技术处理措施。

第三十一条 对未经审批又未采取保密技术措施而投入使用的涉密系统，在规定的申报时限内仍未申报审批的部门（单位），保密部门将给予通报和督查，并责令其停止按涉密系统运行。

第六章 附则

第三十二条 本《实施细则》有江西省国家保密局负责解释。

第三十三条 本《实施细则》自下发之日起执行。