计算机信息系统集成企业-涉密信息系统集成资质管理办法

　　国保发〔2019〕13号

　　各省、自治区、直辖市保密局，新疆生产建设兵团保密局，中央和国家机关各部委保密委员会办公室，中央军委保密委员会办公室，各人民团体保密委员会办公室：

　　现将《国家秘密载体印制资质管理办法》(国保发〔2012〕7号)、《涉密信息系统集成资质管理办法》(国保发〔2013〕7号)修改内容和修改后的文件印发你们，自印发之日起施行。

　　国 家 保 密 局

2019年12月30日

　　《涉密信息系统集成资质管理办法》修改内容

　　一、将《管理办法》第一条修改为：“......，根据《中华人民共和国保守国家秘密法》、《中华人民共和国行政许可法》、《中华人民共和国行政处罚法》、《中华人民共和国保守国家秘密法实施条例》等有关法律法规，制定本办法。”

　　二、将《管理办法》第四条修改为：“涉密信息系统集成资质管理应当遵循依法管理、安全保密、科学发展、公平公正的原则。”

　　三、将《管理办法》第八条修改为：“.......;

　　(二)依法成立三年以上，一年内未因违反保密法律法规受到处罚;

　　(三)从事涉密信息系统集成业务人员具有中华人民共和国国籍，无境外永久居留权或者长期居留许可;.......;

　　(五)具有承担涉密信息系统集成业务的专业能力。”

　　四、将《管理办法》第十三条修改为：“.......，应当在五日内完成申请材料书面审查。申请材料齐全且符合法定形式的，应当受理并发出受理通知书;申请材料不齐全或者不符合法定形式的，应当一次告知申请单位补正。”增加第二款：“申请单位不符合条件的，保密行政管理部门应当作出不予受理的决定，书面告知申请单位并说明理由。”

　　五、删除《管理办法》第十四条。

　　六、将《管理办法》第十五条改为第十四条，修改为：“对受理的申请单位，保密行政管理部门应当提前五日通知现场审查时间，并指派两名以上工作人员和一名以上审查专家对其保密制度、保密工作机构、保密监督管理、保密技术防护以及从事涉密业务的专业能力等情况进行检查，出具现场审查意见。”增加第二款：“现场审查满分为100分，达到80分(含)以上为现场审查通过，80分(不含)以下为现场审查不通过。通过现场审查的，申请单位应当按照现场审查意见整改;未通过现场审查的，保密行政管理部门应当作出不予许可的决定。”

　　七、增加一条，作为《管理办法》第十五条：“现场审查中发现申请单位存在涉嫌泄露国家秘密的案件线索，应当按照管辖权限，根据工作需要，由具备执法资格的人员对有关设施、设备、载体等采取登记保存措施。”

　　八、删除《管理办法》第十六条。

　　九、增加一条，作为《管理办法》第十六条：“申请单位具有下列情形之一的，保密行政管理部门应当终止审查：

　　(一)拒绝按要求接受现场审查的;

　　(二)现场审查中发现保密组织机构、用于涉密信息系统集成业务的场所、设施、设备等情况与申请材料不符的;

　　(三)未按现场审查意见完成整改的;

　　(四)采取贿赂、请托等不正当手段，影响审查工作公平公正进行的;

　　(五)隐瞒有关情况或者提供虚假材料的;

　　(六)存在违反保密法律法规行为的。对终止审查的申请单位，保密行政管理部门应当作出不予许可的决定。”

　　十、将《管理办法》第十七条修改为：“保密行政管理部门根据工作需要，可以组织专门机构，协助开展申请受理、书面审查、现场审查等工作，必要时，可以组织开展专家评审，出具评审意见。”

　　十一、将《管理办法》第十八条修改为：“保密行政管理部门应当根据审查情况，作出是否准予许可的决定。”增加第二款：“保密行政管理部门作出不予许可的书面决定的，应当说明理由并告知申请单位相关权利。”

　　十二、增加一条，作为《管理办法》第十九条：“保密行政管理部门应当自受理申请之日起二十日内，对申请单位作出准予许可或者不予许可的决定。二十日内不能作出决定的，经本行政机关负责人批准，可以延长十日，并应当将延长期限的理由告知申请单位。保密行政管理部门组织专家评审、鉴定所需时间不计入行政许可时限。”

　　十三、将《管理办法》第十九条改为第二十条，修改为：“保密行政管理部门对申请单位作出准予许可的决定的，自作出决定之日起十日内向申请单位颁发《涉密信息系统集成资质证书》(以下简称《资质证书》)。”

　　十四、将《管理办法》第二十一条改为第二十二条，删除第二款，第三款修改为：“《资质证书》样式由国家保密行政管理部门统一制作。”

　　十五、将《管理办法》第二十二条改为第二十三条，第一款修改为：“《资质证书》有效期为三年，保密行政管理部门另有规定的，依照其规定。”第二款修改为：“《资质证书》有效期满，需要继续从事涉密信息系统集成业务的，应当在有效期届满三十日前向保密行政管理部门提出资质申请，有效期满且申请未经保密行政管理部门准予许可前，不得签订新的涉密信息系统集成业务合同。”

　　十六、删除《管理办法》第二十三条。

　　十七、将《管理办法》第二十四条修改为：“作出准予许可、注销、吊销、撤销和暂停资质的决定，由保密行政管理部门在一定范围内予以发布。”

　　十八、将《管理办法》第二十六条第一款修改为：“从事涉密信息系统集成业务的人员，应当经过保密教育培训和考试，具备从事涉密信息系统集成业务的保密知识和技能。”

　　十九、将《管理办法》第三十一条修改为：“资质单位发生下列事项变更的，应当在变更前向保密行政管理部门报告：

　　(一)注册资本或者股权结构;

　　(二)控股股东或者实际控制人;

　　(三)单位性质或者隶属关系;

　　(四)用于涉密信息系统集成业务的场所。”增加第二款：“保密行政管理部门应当对资质单位变更事项进行审查，通过审查的，资质单位应当按照审定事项实施变更，并在变更完成后十日内提交情况报告。”增加第三款：“资质单位发生控股股东或者实际控制人、单位性质或者隶属关系、用于涉密信息系统集成业务的场所等事项变更的，保密行政管理部门应当组织现场审查。”

　　二十、增加一条，作为《管理办法》第三十二条：“资质单位发生下列事项变更的，应当在变更后十日内向保密行政管理部门报告：

　　(一)单位名称;

　　(二)注册地址或者经营地址;

　　(三)经营范围;

　　(四)法定代表人、董(监)事会人员或者高级管理人员。资质单位变更完成后需换发《资质证书》的，由保密行政管理部门重新颁发。”

　　二十一、将《管理办法》第三十二条改为第三十三条，修改为：“资质单位具有下列情形之一的，保密行政管理部门应当责令其在二十日内完成整改，逾期不改或者整改后仍不符合要求的，给予六个月以上十二个月以下暂停资质的处罚：

　　(一)未经涉密业务委托方书面同意，擅自将涉密业务与其他涉密资质单位合作开展的;

　　(二)超出许可的业务范围或者行政区域承接涉密信息系统集成业务的;

　　(三)发生需要报告的事项变更，未及时报告的;

　　(四)承接涉密业务未按规定备案的;

　　(五)未按规定提交年度自查自评报告的;

　　(六)不符合保密标准，存在泄密隐患的。”

　　二十二、增加一条，作为《管理办法》第三十四条：“资质单位具有下列情形之一的，保密行政管理部门应当吊销其资质：

　　(一)涂改、出卖、出租、出借《资质证书》，或者以其他方式伪造、非法转让《资质证书》的;

　　(二)将涉密信息系统集成业务分包或者转包给无相应涉密资质单位的;

　　(三)发现国家秘密已经泄露或者可能泄露，未及时报告的;

　　(四)不再符合申请条件的;

　　(五)拒绝接受保密检查的;

　　(六)资质暂停期间，承接新的涉密信息系统集成业务的;

　　(七)资质暂停期满，仍不符合保密标准要求的;

　　(八)发生泄密案件的;

　　(九)其他违反保密法律法规的行为。”

　　二十三、将《管理办法》第三十三条改为第三十五条，修改为：“资质单位具有以下情形之一的，保密行政管理部门应当注销其资质：

　　(一)《资质证书》有效期届满未延续的;

　　(二)法人资格依法终止的;

　　(三)主动申请注销资质的;

　　(四)法律、法规规定应当注销资质的其他情形。”

　　二十四、增加一条，作为《管理办法》第三十六条：“资质单位采取欺骗、贿赂等不正当手段取得资质的，保密行政管理部门应当撤销其资质。自撤销之日起，三年内不得再次申请。”

　　二十五、将《管理办法》第三十四条改为第三十七条，修改为：“被吊销、注销或者撤销资质的单位，自作出决定之日起，不得签订新的涉密信息系统集成业务合同。”增加第二款：“在作出吊销、注销或者撤销的决定之日前已签订有效合同的，在确保安全保密的情况下可以继续完成涉密信息系统集成业务。”

　　二十六、将《管理办法》第三十五条改为第三十八条，修改为：“申请单位或者资质单位对保密行政管理部门作出的决定不服的，可以依法申请行政复议或者提起行政诉讼。”

　　二十七、增加一条，作为《管理办法》第四十条：“申请单位隐瞒有关情况或者提供虚假材料的，保密行政管理部门应当作出不予受理或者不予许可的决定，自不予受理或者不予许可之日起，一年内不得再次申请。”

　　二十八、增加一条，作为《管理办法》第四十五条：“本办法规定的实施行政许可的期限以工作日计算，不含法定节假日。”

　　涉密信息系统集成资质管理办法

　　第一章 总 则

　　第一条 为加强涉密信息系统集成资质管理，确保国家秘密安全，根据《中华人民共和国保守国家秘密法》、《中华人民共和国行政许可法》、《中华人民共和国行政处罚法》、《中华人民共和国保守国家秘密法实施条例》等有关法律法规，制定本办法。

　　第二条 本办法所称涉密信息系统集成，是指涉密信息系统的规划、设计、建设、监理和运行维护等活动。

　　涉密信息系统集成资质是指保密行政管理部门审查确认的企业事业单位从事涉密信息系统集成业务的法定资格。

　　涉密信息系统集成资质的申请、受理、许可、使用和监督管理，适用本办法。

　　第三条 从事涉密信息系统集成业务的企业事业单位应当依照本办法，取得涉密信息系统集成资质。

　　国家机关和涉及国家秘密的单位(以下简称机关、单位)应当选择具有涉密信息系统集成资质的企业事业单位(以下简称资质单位)承接涉密信息系统集成业务。

　　第四条 涉密信息系统集成资质管理应当遵循依法管理、安全保密、科学发展、公平公正的原则。

　　第五条 国家保密行政管理部门主管全国涉密信息系统集成资质管理工作。

　　省、自治区、直辖市保密行政管理部门负责本行政区域内涉密信息系统集成资质管理工作。

　　第二章 资质等级与条件

　　第六条 涉密信息系统集成资质分为甲级和乙级两个等级。

　　甲级资质单位可以在全国范围内从事绝密级、机密级和秘密级信息系统集成业务。乙级资质单位可以在注册地省、自治区、直辖市行政区域内从事机密级、秘密级信息系统集成业务。

　　第七条 涉密信息系统集成业务种类包括：系统集成、系统咨询、软件开发、综合布线、安防监控、屏蔽室建设、运行维护、数据恢复、工程监理，以及国家保密行政管理部门审查批准的其他业务。

　　资质单位应当在保密行政管理部门审查批准的业务范围内承接涉密信息系统集成业务。承接涉密信息系统集成工程监理业务的，不得承接所监理工程的其他涉密信息系统集成业务。

　　第八条 涉密信息系统集成资质申请单位(以下简称申请单位)应当具备以下基本条件：

　　(一)在中华人民共和国境内注册的法人;

　　(二)依法成立三年以上，一年内未因违反保密法律法规受到处罚;

　　(三)从事涉密信息系统集成业务人员具有中华人民共和国国籍，无境外永久居留权或者长期居留许可;

　　(四)无境外(含香港、澳门、台湾)投资，国家另有规定的从其规定;

　　(五)具有承担涉密信息系统集成业务的专业能力。

　　第九条 申请单位应当具备以下保密条件：

　　(一)保密制度完善;

　　(二)保密组织健全，有专门机构或者人员负责保密工作;

　　(三)用于涉密信息系统集成业务的场所、设施、设备符合国家保密规定和标准;

　　(四)从事涉密信息系统集成业务人员的审查、考核手续完备;

　　(五)国家保密行政管理部门规定的其他条件。

　　第十条 涉密信息系统集成资质不同等级和业务种类的具体申请条件和评定标准由国家保密行政管理部门另行规定。

　　第十一条 甲级资质由国家保密行政管理部门许可。乙级资质由省、自治区、直辖市保密行政管理部门许可，报国家保密行政管理部门备案。

　　第三章 资质申请、受理、审查与许可

　　第十二条 申请涉密信息系统集成资质，应当对照资质申请条件，确定拟申请资质的等级和业务种类。申请甲级资质的，应当向国家保密行政管理部门提交申请书;申请乙级资质的，应当向注册地的省、自治区、直辖市保密行政管理部门提交申请书。

　　申请单位属于企业的，应当同时提交以下材料：

　　(一)工商营业执照正本、副本;

　　(二)组织机构代码证书;

　　(三)公司章程;

　　(四)验资报告及上一年度财务审计报告;

　　(五)生产经营场所产权证书或者租赁合同;

　　(六)保密行政管理部门要求提供的其他材料。

　　申请单位属于事业单位的，应当同时提交以下材料：

　　(一)事业单位法人证书;

　　(二)组织机构代码证书;

　　(三)办公场所产权证书或者租赁合同;

　　(四)保密行政管理部门要求提供的其他材料。

　　申请单位应当对申请材料的真实性和完整性负责。

　　第十三条 保密行政管理部门收到申请材料后，应当在五日内完成申请材料书面审查。申请材料齐全且符合法定形式的，应当受理并发出受理通知书;申请材料不齐全或者不符合法定形式的，应当一次告知申请单位补正。

　　申请单位不符合条件的，保密行政管理部门应当作出不予受理的决定，书面告知申请单位并说明理由。

　　第十四条 对受理的申请单位，保密行政管理部门应当提前五日通知现场审查时间，并指派两名以上工作人员和一名以上审查专家对其保密制度、保密工作机构、保密监督管理、保密技术防护以及从事涉密业务的专业能力等情况进行检查，出具现场审查意见。

　　现场审查满分为100分，达到80分(含)以上为现场审查通过，80分(不含)以下为现场审查不通过。通过现场审查的，申请单位应当按照现场审查意见整改;未通过现场审查的，保密行政管理部门应当作出不予许可的决定。

　　第十五条 现场审查中发现申请单位存在涉嫌泄露国家秘密的案件线索，应当按照管辖权限，根据工作需要，由具备执法资格的人员对有关设施、设备、载体等采取登记保存措施。

　　第十六条 申请单位具有下列情形之一的，保密行政管理部门应当终止审查：

　　(一)拒绝按要求接受现场审查的;

　　(二)现场审查中发现保密组织机构、用于涉密信息系统集成业务的场所、设施、设备等情况与申请材料不符的;

　　(三)未按现场审查意见完成整改的;

　　(四)采取贿赂、请托等不正当手段，影响审查工作公平公正进行的;

　　(五)隐瞒有关情况或者提供虚假材料的;

　　(六)存在违反保密法律法规行为的。

　　对终止审查的申请单位，保密行政管理部门应当作出不予许可的决定。

　　第十七条 保密行政管理部门根据工作需要，可以组织专门机构，协助开展申请受理、书面审查、现场审查等工作，必要时，可以组织开展专家评审，出具评审意见。

　　第十八条 保密行政管理部门应当根据审查情况，作出是否准予许可的决定。

　　保密行政管理部门作出不予许可的书面决定的，应当说明理由并告知申请单位相关权利。

　　第十九条 保密行政管理部门应当自受理申请之日起二十日内，对申请单位作出准予许可或者不予许可的决定。二十日内不能作出决定的，经本行政机关负责人批准，可以延长十日，并应当将延长期限的理由告知申请单位。

　　保密行政管理部门组织专家评审、鉴定所需时间不计入行政许可时限。

　　第二十条 保密行政管理部门对申请单位作出准予许可的决定的，自作出决定之日起十日内向申请单位颁发《涉密信息系统集成资质证书》(以下简称《资质证书》)。

　　第二十一条 《资质证书》主要包括以下内容：

　　(一)单位名称;

　　(二)法定代表人;

　　(三)注册地址;

　　(四)证书编号;

　　(五)资质等级;

　　(六)业务范围;

　　(七)发证机构;

　　(八)有效期和发证时间。

　　第二十二条 《资质证书》分为正本和副本，正本和副本具有同等法律效力。

　　《资质证书》样式由国家保密行政管理部门统一制作。

　　第二十三条 《资质证书》有效期为三年，保密行政管理部门另有规定的，依照其规定。

　　《资质证书》有效期满，需要继续从事涉密信息系统集成业务的，应当在有效期届满三十日前向保密行政管理部门提出资质申请，有效期满且申请未经保密行政管理部门准予许可前，不得签订新的涉密信息系统集成业务合同。

　　第二十四条 作出准予许可、注销、吊销、撤销和暂停资质的决定，由保密行政管理部门在一定范围内予以发布。

　　第四章 监督管理

　　第二十五条 保密行政管理部门应当对资质单位进行监督管理，组织开展保密教育培训和保密检查。

　　第二十六条 从事涉密信息系统集成业务的人员，应当经过保密教育培训和考试，具备从事涉密信息系统集成业务的保密知识和技能。

　　从事涉密信息系统集成业务人员应当保守工作中知悉的国家秘密。

　　第二十七条 机关、单位委托资质单位从事涉密信息系统集成业务，应当查验其《资质证书》，与其签订保密协议，提出保密要求，采取保密措施。

　　第二十八条 资质单位与其他单位合作开展涉密信息系统集成业务的，合作单位应当具有相应的涉密信息系统集成资质，且应当取得委托方书面同意。

　　资质单位不得将涉密信息系统集成业务分包或者转包给无相应资质的单位。

　　第二十九条 资质单位承接涉密信息系统集成业务的，应当在签订合同后，向业务项目所在地省、自治区、直辖市保密行政管理部门备案，接受保密监督管理。

　　涉密信息系统集成项目完成后，资质单位应当向业务项目所在地省、自治区、直辖市保密行政管理部门报告项目建设情况。

　　第三十条 涉密信息系统集成资质实行年度审查制度。甲级资质单位年度审查由国家保密行政管理部门组织实施;乙级资质单位年度审查由注册地的省、自治区、直辖市保密行政管理部门组织实施，审查情况报国家保密行政管理部门备案。

　　第三十一条 资质单位发生下列事项变更的，应当在变更前向保密行政管理部门报告：

　　(一)注册资本或者股权结构;

　　(二)控股股东或者实际控制人;

　　(三)单位性质或者隶属关系;

　　(四)用于涉密信息系统集成业务的场所。

　　保密行政管理部门应当对资质单位变更事项进行审查，通过审查的，资质单位应当按照审定事项实施变更，并在变更完成后十日内提交情况报告。

　　资质单位发生控股股东或者实际控制人、单位性质或者隶属关系、用于涉密信息系统集成业务的场所等事项变更的，保密行政管理部门应当组织现场审查。

　　第三十二条 资质单位发生下列事项变更的，应当在变更后十日内向保密行政管理部门报告：

　　(一)单位名称;

　　(二)注册地址或者经营地址;

　　(三)经营范围;

　　(四)法定代表人、董(监)事会人员或者高级管理人员。

　　资质单位变更完成后需换发《资质证书》的，由保密行政管理部门重新颁发。

　　第三十三条 资质单位具有下列情形之一的，保密行政管理部门应当责令其在二十日内完成整改，逾期不改或者整改后仍不符合要求的，给予六个月以上十二个月以下暂停资质的处罚：

　　(一)未经涉密业务委托方书面同意，擅自将涉密业务与其他涉密资质单位合作开展的;

　　(二)超出许可的业务范围或者行政区域承接涉密信息系统集成业务的;

　　(三)发生需要报告的事项变更，未及时报告的;

　　(四)承接涉密业务未按规定备案的;

　　(五)未按规定提交年度自查自评报告的;

　　(六)不符合保密标准，存在泄密隐患的。

　　第三十四条 资质单位具有下列情形之一的，保密行政管理部门应当吊销其资质：

　　(一)涂改、出卖、出租、出借《资质证书》，或者以其他方式伪造、非法转让《资质证书》的;

　　(二)将涉密信息系统集成业务分包或者转包给无相应涉密资质单位的;

　　(三)发现国家秘密已经泄露或者可能泄露，未及时报告的;

　　(四)不再符合申请条件的;

　　(五)拒绝接受保密检查的;

　　(六)资质暂停期间，承接新的涉密信息系统集成业务的;

　　(七)资质暂停期满，仍不符合保密标准要求的;

　　(八)发生泄密案件的;

　　(九)其他违反保密法律法规的行为。

　　第三十五条 资质单位具有以下情形之一的，保密行政管理部门应当注销其资质：

　　(一)《资质证书》有效期届满未延续的;

　　(二)法人资格依法终止的;

　　(三)主动申请注销资质的;

　　(四)法律、法规规定应当注销资质的其他情形。

　　第三十六条 资质单位采取欺骗、贿赂等不正当手段取得资质的，保密行政管理部门应当撤销其资质。自撤销之日起，三年内不得再次申请。

　　第三十七条 被吊销、注销或者撤销资质的单位，自作出决定之日起，不得签订新的涉密信息系统集成业务合同。

　　在作出吊销、注销或者撤销的决定之日前已签订有效合同的，在确保安全保密的情况下可以继续完成涉密信息系统集成业务。

　　第三十八条 申请单位或者资质单位对保密行政管理部门作出的决定不服的，可以依法申请行政复议或者提起行政诉讼。

　　第五章 法律责任

　　第三十九条 资质单位违反本办法的，依照本办法有关规定处理;泄露国家秘密构成犯罪的，依法追究刑事责任。

　　第四十条 申请单位隐瞒有关情况或者提供虚假材料的，保密行政管理部门应当作出不予受理或者不予许可的决定，自不予受理或者不予许可之日起，一年内不得再次申请。

　　第四十一条 无资质单位违反本办法，擅自从事涉密信息系统集成业务的，由保密行政管理部门责令停止违法行为;泄露国家秘密构成犯罪的，依法追究刑事责任。

　　第四十二条 机关、单位委托无资质单位从事涉密信息系统集成业务的，应当对直接负责的主管人员和其他直接责任人员依纪依法给予处分;泄露国家秘密构成犯罪的，依法追究刑事责任。

　　第四十三条 涉密信息系统集成资质管理工作人员在履行职责过程中滥用职权、玩忽职守、徇私舞弊的，依法给予处分;构成犯罪的，依法追究刑事责任。

　　第六章 附 则

　　第四十四条 机关、单位规划、设计、建设和运行维护涉密信息系统，可以由本机关、单位内部信息化工作机构承担，接受同级保密行政管理部门监督指导。

　　第四十五条 本办法规定的实施行政许可的期限以工作日计算，不含法定节假日。

　　第四十六条 本办法由国家保密局负责解释。

　　第四十七条 本办法自印发之日起施行。2005年7月1日发布的《涉及国家秘密的计算机信息系统集成资质管理办法》(国保发〔2005〕5号)同时废止。