涉密信息系统集成资质管理办法

涉密信息系统集成资质管理办法国家保密局令 2020年第1号《涉密信息系统集成资质管理办法》已经国家保密局2020年11月13日局务会议通过，现予公布，自2021年3月1日起施行。局长：田静 2020年12月10日涉密信息系统集成资质管理办法第一章总则第一条为了加强涉密信息系统集成资质管理，确保国家秘密安全，根据《中华人民共和国保守国家秘密法》、《中华人民共和国行政许可法》、《中华人民共和国行政处罚法》、《中华人民共和国保守国家秘密法实施条例》等有关法律法规，制定本办法。第二条本办法所称涉密信息系统集成（以下简称涉密集成），是指涉密信息系统的规划、设计、建设、监理和运行维护等活动。涉密集成资质是指保密行政管理部门许可企业事业单位从事涉密信息系统集成业务的法定资格。第三条涉密集成资质的申请、受理、审查、决定、使用和监督管理，适用本办法。第四条从事涉密集成业务的企业事业单位应当依照本办法，取得涉密集成资质。国家机关和涉及国家秘密的单位（以下简称机关、单位）应当选择具有涉密集成资质的单位（以下简称资质单位）承接涉密集成业务。第五条涉密集成资质管理应当遵循依法管理、安全保密、科学发展、公平公正的原则。第六条国家保密行政管理部门主管全国涉密集成资质管理工作，省级保密行政管理部门主管本行政区域内涉密集成资质管理工作。省级以上保密行政管理部门根据工作需要，可以委托下一级保密行政管理部门开展审查工作，或者组织机构协助开展工作。第七条省级以上保密行政管理部门应当指定专门机构承担保密资质管理日常工作。第八条省级以上保密行政管理部门建立保密资质审查专家库，组织开展入库审查、培训考核等工作。第九条实施涉密集成资质许可不收取任何费用，所需经费纳入同级财政预算。第二章等级与条件第十条涉密集成资质分为甲级和乙级两个等级。甲级资质单位可以从事绝密级、机密级和秘密级涉密集成业务；乙级资质单位可以从事机密级、秘密级涉密集成业务。第十一条涉密集成资质包括总体集成、系统咨询、软件开发、安防监控、屏蔽室建设、运行维护、数据恢复、工程监理，以及国家保密行政管理部门许可的其他涉密集成业务。取得总体集成业务种类许可的，除从事系统集成业务外，还可从事软件开发、安防监控和所承建系统的运行维护业务。资质单位应当在保密行政管理部门许可的业务种类范围内承接涉密集成业务。承接涉密系统咨询、工程监理业务的，不得承接所咨询、监理业务的其他涉密集成业务。第十二条申请单位应当具备以下基本条件：（一）在中华人民共和国境内依法成立三年以上的法人；（二）无犯罪记录且近三年内未被吊销保密资质（资格），法定代表人、主要负责人、实际控制人未被列入失信人员名单；（三）法定代表人、主要负责人、实际控制人、董（监）事会人员、高级管理人员以及从事涉密集成业务人员具有中华人民共和国国籍，无境外永久居留权或者长期居留许可，与境外人员无婚姻关系，国家另有规定的除外；（四）具有从事涉密集成业务的专业能力；（五）法律、行政法规和国家保密行政管理部门规定的其他条件。第十三条申请单位应当具备以下保密条件：（一）有专门机构或者人员负责保密工作；（二）保密制度完善；（三）从事涉密集成业务的人员经过保密教育培训，具备必要的保密知识和技能；（四）用于涉密集成业务的场所、设施、设备符合国家保密规定和标准；（五）有专门的保密工作经费；（六）法律、行政法规和国家保密行政管理部门规定的其他保密条件。第十四条申请单位应当无外国投资者直接投资，且通过间接方式投资的外国投资者在申请单位中的出资比例最终不得超过20%；申请单位及其股东的实际控制人不得为外国投资者，外国投资者在申请单位母公司中的出资比例最终不得超过20%。在新三板挂牌的企业申请资质以及资质有效期内的，还应当符合以下条件：（一）参与挂牌交易的股份比例不高于总股本的30%；（二）实际控制人在申请期间及资质有效期内保持控制地位不变。第十五条申请单位应当建立完善的内部管理和信息披露制度，未经国务院有关主管部门或者省级人民政府有关主管部门批准，外国投资者不得接触、知悉国家秘密信息。第十六条申请单位申请不同等级和业务种类的涉密集成资质，应当符合涉密集成资质具体条件的要求。第三章申请、受理、审查与决定第十七条申请甲级资质的，应当向国家保密行政管理部门提出申请；申请乙级资质的，应当向注册地的省级保密行政管理部门提出申请。申请单位应当提交以下材料：（一）《涉密信息系统集成资质申请书》（以下简称申请书）；（二）企业营业执照或者事业单位法人证书；（三）在登记机关备案的章程；（四）法定代表人、主要负责人、实际控制人、董（监）事会人员、高级管理人员以及从事涉密集成业务的其他人员情况；（五）资本结构和股权情况；（六）生产经营和办公场所产权证书或者租赁合同；（七）近三年集成业务合同清单；（八）涉密集成业务场所和保密设施、设备情况；（九）基本管理制度、保密制度以及保密体系运行情况。申请书及相关材料不得涉及国家秘密，申请单位应当对申请材料的真实性和完整性负责。第十八条保密行政管理部门收到申请材料后，应当在五日内完成审查。申请材料齐全且符合法定形式的，应当受理并发出受理通知书；申请材料不齐全或者不符合法定形式的，应当一次告知申请单位十五日内补正材料；逾期未告知申请单位补正的，自收到申请材料之日起即为受理。申请单位十五日内不予补正的，视为放弃本次行政许可申请。第十九条资质审查分为书面审查、现场审查。确有需要的，可以组织专家开展评审。第二十条对作出受理决定的，保密行政管理部门应当对提交的申请材料进行书面审查。第二十一条对书面审查合格的单位，保密行政管理部门应当指派两名以上工作人员，并可以结合工作实际指派一名以上审查专家，依据涉密集成资质审查细则和评分标准，对保密制度、保密工作机构、保密监督管理、涉密人员管理、保密技术防护以及从事涉密集成业务的专业能力等情况进行现场审查。涉密集成资质审查细则和评分标准由国家保密行政管理部门另行规定。第二十二条现场审查应当按照以下程序进行：（一）提前五日以传真、电子邮件等形式书面通知申请单位现场审查时间；（二）听取申请单位情况汇报和对有关事项的说明；（三）审查有关材料；（四）与主要负责人、保密工作负责人及有关人员谈话了解情况；（五）组织涉密人员进行保密知识测试；（六）对涉密场所、涉密设备等进行实地查看；（七）汇总现场审查情况，形成现场审查报告；（八）通报审查情况，申请单位法定代表人或者主要负责人在现场审查报告上签字确认。第二十三条申请单位具有下列情形之一的，保密行政管理部门应当终止审查：（一）隐瞒有关情况或者提供虚假材料的；（二）采取贿赂、请托等不正当手段，影响审查工作公平公正进行的；（三）无正当理由拒绝按通知时间接受现场审查的；（四）现场审查中发现不符合评分标准基本项的；（五）其他违反保密法律法规的行为。第二十四条申请单位书面审查、现场审查合格的，保密行政管理部门应当准予行政许可。申请单位具有下列情形之一的，保密行政管理部门应当作出不予行政许可的书面决定，说明理由并告知申请单位相关权利: （一）书面审查不合格的；（二）现场审查不合格的；（三）终止审查的；（四）法律、行政法规规定的不予行政许可的其他情形。第二十五条保密行政管理部门应当自受理申请之日起二十日内，对申请单位作出准予行政许可或者不予行政许可的决定。二十日内不能作出决定的，经本行政机关负责人批准，可以延长十日，并应当将延长期限的理由告知申请单位。保密行政管理部门组织开展专家评审、鉴定所需时间不计入行政许可期限。第二十六条保密行政管理部门作出准予行政许可的决定的，自作出决定之日起十日内向申请单位颁发《涉密信息系统集成资质证书》（以下简称《资质证书》）。第二十七条《资质证书》有效期为五年，分为正本和副本，正本和副本具有同等法律效力。样式由国家保密行政管理部门统一制作，主要包括以下内容：（一）单位名称；（二）法定代表人；（三）注册地址；（四）证书编号；（五）资质等级；（六）业务种类；（七）发证机关；（八）有效期和发证日期。第二十八条《资质证书》有效期满，需要继续从事涉密集成业务的，应当在有效期届满三个月前向保密行政管理部门提出延续申请，保密行政管理部门应当按照本办法有关规定开展审查，申请单位未按规定期限提出延续申请的，视为重新申请。有效期届满且未准予延续前，不得签订新的涉密集成业务合同。对于已经签订合同但未完成的涉密业务，在确保安全保密的条件下可以继续完成。第二十九条省级保密行政管理部门应当将许可的乙级资质单位报国家保密行政管理部门备案。准予行政许可和注销、吊销、撤销以及暂停资质的决定，由作出决定的保密行政管理部门在一定范围内予以发布。第四章监督与管理第三十条省级以上保密行政管理部门应当加强对下一级保密行政管理部门以及协助开展审查工作的专门机构的监督检查，及时纠正资质管理中的违法违规行为。第三十一条保密行政管理部门应当开展“双随机”抽查、飞行检查等形式的保密检查，对资质单位从事涉密集成业务和保密管理情况进行监督。第三十二条机关、单位委托资质单位从事涉密集成业务，应当查验其《资质证书》，签订保密协议，提出保密要求，采取保密措施，加强涉密业务实施现场的监督检查。第三十三条资质单位与其他单位合作开展涉密集成业务的，合作单位应当具有相应的涉密集成资质且取得委托方书面同意。资质单位不得将涉密集成业务分包或者