中国人民解放军计算机信息系统安全保密规定

第一章总则

第一条为了加强军队计算机信息系统的安全保密，保障军队建设和军事行动的顺利进行，根据《中国人民解放军保密条例》和《中国人民解放军技术安全保密条例》，制定本规定。

第二条本规定所称计算机信息系统，是指以计算机及其网络为主体、按照一定的应用目标和规则构成的用于处理军事信息的人机系统。

计算机信息系统安全保密，是为防止泄密、窃密和破坏，对计算机信息系统及其所载的信息和数据、相关的环境与场所、安全保密产品的安全保护。

第三条规定适用于军队涉及计算机信息系统的单位和人员。

第四条军队计算机信息系统安全保密工作，实行保密委员会统一领导下的部门分工负责制，坚持行政管理与技术防范相结合。

各级计算机信息系统建设主管部门，负责本级和所属计算机信息系统安全保密的规划和建设。

各级密码主管部门，按照规定负责计算机信息系统所需密码系统的建设规划以及对密码设备和技术的研制开发管理。

计算机信息系统的使用单位，负责上网信息的审批和日常安全保密管理工作。

各级保密委员会办事机构，负责本级和所属计算机信息系统安全保密工作的组织协调和监督检查。

解放军信息安全测评认证中心负责军队计算机信息系统安全技术和产品的测评认证工作。

第五条军队计算机信息系统的安全保密建设，应当与计算机信息系统的总体建设同步规划，同步发展，其所需费用列入系统建设预算。

第六条任何单位或者个人不得利用军队计算机信息系统从事危害国家、军队和公民合法权益的活动，不得危害军队计算机信息系统的安全和正常运行。

第二章防护等级划分

第七条军队计算机信息系统，按照下列规定划分防护等级:

(一)处理绝密信息或者遭受攻击破坏后会给军队安全与利益造成特别严重损害的计算机信息系统，实行五级防护;

(二)处理机密信息或者遭受攻击破坏后会给军队安全与利益造成严重损害的计算机信息系统，实行四级防护;

(三)处理秘密信息或者遭受攻击破坏后会给军队安全与利益造成比较严重损害的计算机信息系统，实行三级防护;

(四)处理军队内部信息或者遭受攻击破坏后会给军队安全与利益造成一定损害的计算机信息系统，实行二级防护;

(五)接入军外信息网的计算机信息系统，实行一级防护。

第八条军队计算机信息系统应当按照《军队计算机信息系统安全防护标准》(见附录一)，采取与其防护等级相应的防护措施，选用符合《军用计算机安全评估准则》的产品。因技术或者产品等原因，一时达不到防护标准要求的，必须采取有效的补救措施。

第三章计算机及其网络

第九条军队计算机及其网络的设计、研制、建设、运行、使用和维护应当满足规定的战术、技术条件下的安全保密要求。

新建、改建重要计算机网络必须报上一级军事信息系统建设主管部门审批，并经军队技术安全保密检查机构检测评估。未通过检测评估的不得交付使用。

第十条军队计算机及其网络应当尽量采取国产设备和软件。确需要采取境外产品时，应当按照安全保密要求进行技术改造。

第十一条军队计算机及其网络的安装、调试和维修，应当由军内单位和人员承担。确需军外单位和人员承担时，必须经过师级以上单位批准，并指定专人陪同，工作结束后进行技术安全保密检查。

第十二条军队计算机及其网络的设计、研制、建设和维修，不得使用国家和军队已明令禁用或者有严重安全保密缺陷的硬件和软件。

第十三条用于处理内部信息和涉密信息的计算机及其网络，必须与国外、军外计算机及其网络实行物理隔绝，并不得出借、转让给军外单位或者个人。

第十四条管理使用大型计算机信息系统的军队单位，应当设立安全保密小组。一般计算机信息系统，应当有负责安全保密日常工作的安全管理员。

第十五条军队计算机信息系统操作人员、管理人员和安全保密人员(以下统称计算机信息系统工作人员)的涉密范围和访问权限，由业务主官部门按照权限分隔、相互制约与最小授权的原则确定。

军队计算机信息系统工作人员上岗前应当经过安全保密培训，工作时佩带明显的标志，并遵守《军队计算机信息系统工作人员安全保密守则》(见附录二)。

第十六条管理使用计算机信息系统的军队单位和人员，必须接受保密管理部门的监督检查。对检查中发现的问题，主管部门和使用单位应当及时解决。