中国人民解放军计算机信息系统安全保密规定

中国人民解放军计算机信息系统安全保密规定

第一章总则

第一条为了加强军队计算机信息系统的安全保密，保障军队建设和军事行动的顺利进行，根据《中国人民解放军保密条例》和《中国人民解放军技术安全保密条例》，制定本规定。

第二条本规定所称计算机信息系统，是指以计算机及其网络为主体、按照一定的应用目标和规则构成的用于处理军事信息的人机系统。

计算机信息系统安全保密，是为防止泄密、窃密和破坏，对计算机信息系统及其所载的信息和数据、相关的环境与场所、安全保密产品的安全保护。

第三条规定适用于军队涉及计算机信息系统的单位和人员。

第四条军队计算机信息系统安全保密工作，实行保密委员会统一领导下的部门分工负责制，坚持行政管理与技术防范相结合。

各级计算机信息系统建设主管部门，负责本级和所属计算机信息系统安全保密的规划和建设。

各级密码主管部门，按照规定负责计算机信息系统所需密码系统的建设规划以及对密码设备和技术的研制开发管理。

计算机信息系统的使用单位，负责上网信息的审批和日常安全保密管理工作。

各级保密委员会办事机构，负责本级和所属计算机信息系统安全保密工作的组织协调和监督检查。

解放军信息安全测评认证中心负责军队计算机信息系统安全技术和产品的测评认证工作。

第五条军队计算机信息系统的安全保密建设，应当与计算机信息系统的总体建设同步规划，同步发展，其所需费用列入系统建设预算。

第六条任何单位或者个人不得利用军队计算机信息系统从事危害国家、军队和公民合法权益的活动，不得危害军队计算机信息系统的安全和正常运行。

第二章防护等级划分

第七条军队计算机信息系统，按照下列规定划分防护等级：

（一）处理绝密信息或者遭受攻击破坏后会给军队安全与利益造成特别严重损害的计算机信息系统，实行五级防护；

（二）处理机密信息或者遭受攻击破坏后会给军队安全与利益造成严重损害的计算机信息系统，实行四级防护；

（三）处理秘密信息或者遭受攻击破坏后会给军队安全与利益造成比较严重损害的计算机信息系统，实行三级防护；

（四）处理军队内部信息或者遭受攻击破坏后会给军队安全与利益造成一定损害的计算机信息系统，实行二级防护；

（五）接入军外信息网的计算机信息系统，实行一级防护。

第八条军队计算机信息系统应当按照《军队计算机信息系统安全防护标准》（见附录一），采取与其防护等级相应的防护措施，选用符合《军用计算机安全评估准则》的产品。因技术或者产品等原因，一时达不到防护标准要求的，必须采取有效的补救措施。

第三章计算机及其网络

第九条军队计算机及其网络的设计、研制、建设、运行、使用和维护应当满足规定的战术、技术条件下的安全保密要求。

新建、改建重要计算机网络必须报上一级军事信息系统建设主管部门审批，并经军队技术安全保密检查机构检测评估。未通过检测评估的不得交付使用。

第十条军队计算机及其网络应当尽量采取国产设备和软件。确需要采取境外产品时，应当按照安全保密要求进行技术改造。

第十一条军队计算机及其网络的安装、调试和维修，应当由军内单位和人员承担。确需军外单位和人员承担时，必须经过师级以上单位批准，并指定专人陪同，工作结束后进行技术安全保密检查。

第十二条军队计算机及其网络的设计、研制、建设和维修，不得使用国家和军队已明令禁用或者有严重安全保密缺陷的硬件和软件。

第十三条用于处理内部信息和涉密信息的计算机及其网络，必须与国外、军外计算机及其网络实行物理隔绝，并不得出借、转让给军外单位或者个人。

第十四条管理使用大型计算机信息系统的军队单位，应当设立安全保密小组。一般计算机信息系统，应当有负责安全保密日常工作的安全管理员。

第十五条军队计算机信息系统操作人员、管理人员和安全保密人员（以下统称计算机信息系统工作人员）的涉密范围和访问权限，由业务主官部门按照权限分隔、相互制约与最小授权的原则确定。

军队计算机信息系统工作人员上岗前应当经过安全保密培训，工作时佩带明显的标志，并遵守《军队计算机信息系统工作人员安全保密守则》（见附录二）。

第十六条管理使用计算机信息系统的军队单位和人员，必须接受保密管理部门的监督检查。对检查中发现的问题，主管部门和使用单位应当及时解决。

第四章信息与介质

第十七条军队计算机信息系统中的涉密信息和重要数据，必须按照秘密性、完整性、可用性和安全性的要求进行生产、传递、存储和使用。

第十八条军队计算机信息系统中的涉密信息，必须按照《中国人民解放军保密条例》的有关规定划定密级，并具有与该涉密信息不可分离的密级标记和出网标记。

第十九条向军队计算机及其网络所在控制区外传输秘密信息，必须按照信息的密级采取加密措施；在控制区内传输秘密信息，视需要采取相应的加密措施。

第二十条军队计算机信息系统中的涉密信息和重要数据，应当根据工作需要和最小授权原则进行存取，任何单位或者个人不得越权调阅、使用、修改、复制和删除。

第二十一条用于存储涉密信息和重要数据的数据库，必须具备相应的安全保密防护措施。

第二十二条军队计算机信息系统中重要的涉信息和数据，必须及时备份和异地存放，并按照其原密级采取相应的安全保护措施。

第二十三条存储涉密信息的硬盘、软盘、光盘、磁带等介质，应当按照其中存放信息的最高密级划定秘密等级，并按照秘密载体安全保密要求进行管理。

第二十四条处理过军队涉密信息或者重要数据的存储介质，不得转让或者出借给无关人员使用，不得私自带往境外，不得送往无安全保密保障的机构修理。已划定秘密等级的存储介质报废后，应当彻底销毁。第五章环境与场所

第二十五条军队计算机信息系统所在的环境，必须符合国家和军队有关电磁环境的安全要求。对涉密或者重要的计算机信息系统，必须采取防电磁泄漏的措施。

第二十六条集中设置计算机及其网络设备的场所，应当根据涉密程度、重要程度和周围环境状况，按照国家与军队的有关规定、标准进行建设管理，并划定带有明显标志的控制区。

分散设置的涉密计算机及其网络设备，应当置于办公区域的安全部位，并采取相应的安全保密措施。

第二十七条军队计算机信息系统的重要机房和网络设施，必须按照国家和军队的有关规定，与境外驻华机构、人员驻地和涉外建筑保持相应的安全距离，并不得共用电源、金属管线和通风管道。无法达到上述要求的，必须采取有效的防护措施。

第二十八条新建涉密的大型机房，必须经过技术安全保密检查合格后方可使用。

第六章安全保密产品

第二十九条用于军队计算机信息系统安全保密防护与检测的硬件、软件和系统，必须选用军内或者国内研制开发并经解放军信息安全测评认证中心测评认证的产品；其中的密码技术和设备，必须符合国家和军队有关密码管理的政策和规定。

经测评认证合格的安全保密产品，由解放军保密委员会技术安全检查办公室列入军队安全保密产品目录；需要在全军推广应用的，由解放军保密委员会批准。

第三十条军队单位研制和开发安全保密产品，应当执行军队有关的规定和标准；军队暂无规定和标准的参

照国家有关规定和标准执行。

第三十一条专门用于军队计算机信息系统的安全保密产品，未经解放军保密委员会办事机构批准，不得对外宣传和销售。

第七章应急处置

第三十二条军队计算机信息系统在面临危险或者遭受攻击、破坏的情况下，必须采取安全保密应急处置行动。

第三十三条军队计算机信息系统应急处置行动，由各级计算机信息系统主管部门组织实施；各级保密委员会技术安全检查办公室负责应急行动的协调与支援。

第三十四条师级以上单位计算机信息系统主管部门应当指定安全保密应急组织，担负下列任务：

（一）按照应急处置方案组织演练；

（二）采取应急处置措施，实施应急处置计划，阻止侵袭蔓延，消除泄密、窃密隐患和破坏威胁；

（三）查明侵袭破坏情况和威胁来源；

（四）恢复系统正常运行；

（五）上级赋予的其他任务。

第三十五条军区级以上单位的技术安全检查办公室应当建立应急支援与协调组织，担负下列任务：（一）制定本级安全保密应急支援预案；

（二）发布应急处置有关预警信息；

（三）采取应急支援措施，实施应急计划；

（四）查明侵袭破坏情况和威胁来源，必要时组织反击行动；

（五）对指挥机关和部队有关的军事行动提供安全保密应急支援；

（六）上级赋予的其他任务。

第三十六条计算机信息系统工作人员发现针对军队计算机信息系统的恶意攻击、黑客侵袭、计算机病毒危害、网上窃密及破坏、电磁攻击以及其他重大破坏活动或者征候时，应当立即报告计算机信息系统主管部门和本级保密委员会办事机构，并采取相应的应急措施。

第八章奖励与处分

第三十七条符合下列条件之一的单位和人员，依照《中国人民解放军纪律条令》的有关规定，给予奖励：（一）在计算机信息系统安全保密理论研究和法规标准制定方面做出重要贡献的；

（二）研究、开发计算机信息系统安全保密技术、产品、设施取得重要成果的；

（三）在计算机信息系统安全保密检查、检测手段和方法方面有发明创造的；

（四）及时发现或者有效消除计算机信息系统安全保密重大缺陷或者隐患的；

（五）在紧急情况下保护计算机信息系统安全免遭损失的；

（六）在计算机信息系统安全保密工作的其他方面做出显著成绩的。

第三十八条有下列情形之一的，依照《中国人民解放军纪律条令》的有关规定，对负有直接责任的主管人员和其他直接责任人员给予处分；构成犯罪的，依法追究刑事责任：

（一）侵袭计算机信息系统的；

（二）非法删除、修改、增加、干扰计算机信息系统的功能、数据、程序，造成严重后果的；

（三）制造、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的；

（四）发现计算机信息系统安全保密隐患或者计算机病毒及其他破坏性威胁，不及时报告或者不采取措施，造成严重后果的；

（五）泄漏军队计算机信息系统安全保密防护技术、方法、措施、产品性能、效果和应用范围，造成后果的；

（六）使用已经禁用或者不符合规定的计算机信息系统、安全保密产品，造成严重安全保密隐患的；（七）其他危害计算机信息系统安全保密的。

第九章附则

第三十九条中国人民武装警察部队的计算机信息系统安全保密工作参照本规定执行。

第四十条本规定由中国人民解放军保密委员会负责解释。

第四十一条本规定自发布之日起施行。

附录

军队计算机信息系统安全防护标准

军队计算机网络安全保密守则