涉密資訊系統整合資質管理辦法自2021年3月1日起施行

國家保密局令

2020年第1號

《涉密資訊系統整合資質管理辦法》已經國家保密局2020年11月13日局務會議通過，現予公佈，自2021年3月1日起施行。

   局 長：田靜

2020年12月10日

 

涉密資訊系統整合資質管理辦法

第一章總則

第一條 為了加強涉密資訊系統整合資質管理，確保國家祕密安全，根據《中華人民共和國保守國家祕密法》、《中華人民共和國行政許可法》、《中華人民共和國行政處罰法》、《中華人民共和國保守國家祕密法實施條例》等有關法律法規，制定本辦法。

第二條 本辦法所稱涉密資訊系統整合（以下簡稱涉密整合），是指涉密資訊系統的規劃、設計、建設、監理和執行維護等活動。

涉密整合資質是指保密行政管理部門許可企業事業單位從事涉密資訊系統整合業務的法定資格。

第三條 涉密整合資質的申請、受理、審查、決定、使用和監督管理，適用本辦法。

第四條 從事涉密整合業務的企業事業單位應當依照本辦法，取得涉密整合資質。

國家機關和涉及國家祕密的單位（以下簡稱機關、單位）應當選擇具有涉密整合資質的單位（以下簡稱資質單位）承接涉密整合業務。

第五條 涉密整合資質管理應當遵循依法管理、安全保密、科學發展、公平公正的原則。

第六條 國家保密行政管理部門主管全國涉密整合資質管理工作，省級保密行政管理部門主管本行政區域內涉密整合資質管理工作。

省級以上保密行政管理部門根據工作需要，可以委託下一級保密行政管理部門開展審查工作，或者組織機構協助開展工作。

第七條 省級以上保密行政管理部門應當指定專門機構承擔保密資質管理日常工作。

第八條 省級以上保密行政管理部門建立保密資質審查專家庫，組織開展入庫審查、培訓考核等工作。

第九條 實施涉密整合資質許可不收取任何費用，所需經費納入同級財政預算。

第二章等級與條件

第十條 涉密整合資質分為甲級和乙級兩個等級。

甲級資質單位可以從事絕密級、機密級和祕密級涉密整合業務；乙級資質單位可以從事機密級、祕密級涉密整合業務。

第十一條 涉密整合資質包括總體整合、系統諮詢、軟體開發、安防監控、遮蔽室建設、執行維護、資料恢復、工程監理，以及國家保密行政管理部門許可的其他涉密整合業務。取得總體整合業務種類許可的，除從事系統整合業務外，還可從事軟體開發、安防監控和所承建系統的執行維護業務。

資質單位應當在保密行政管理部門許可的業務種類範圍內承接涉密整合業務。承接涉密系統諮詢、工程監理業務的，不得承接所諮詢、監理業務的其他涉密整合業務。

第十二條 申請單位應當具備以下基本條件：

（一）在中華人民共和國境內依法成立三年以上的法人；

（二）無犯罪記錄且近三年內未被吊銷保密資質（資格），法定代表人、主要負責人、實際控制人未被列入失信人員名單；

（三）法定代表人、主要負責人、實際控制人、董（監）事會人員、高階管理人員以及從事涉密整合業務人員具有中華人民共和國國籍，無境外永久居留權或者長期居留許可，與境外人員無婚姻關係，國家另有規定的除外；

（四）具有從事涉密整合業務的專業能力；

（五）法律、行政法規和國家保密行政管理部門規定的其他條件。

第十三條 申請單位應當具備以下保密條件：

（一）有專門機構或者人員負責保密工作；

（二）保密制度完善；

（三）從事涉密整合業務的人員經過保密教育培訓，具備必要的保密知識和技能；

（四）用於涉密整合業務的場所、設施、裝置符合國家保密規定和標準；

（五）有專門的保密工作經費；

（六）法律、行政法規和國家保密行政管理部門規定的其他保密條件。

第十四條 申請單位應當無外國投資者直接投資，且通過間接方式投資的外國投資者在申請單位中的出資比例最終不得超過20%；申請單位及其股東的實際控制人不得為外國投資者，外國投資者在申請單位母公司中的出資比例最終不得超過20%。

在新三板掛牌的企業申請資質以及資質有效期內的，還應當符合以下條件：

（一）參與掛牌交易的股份比例不高於總股本的30%；

（二）實際控制人在申請期間及資質有效期內保持控制地位不變。

第十五條 申請單位應當建立完善的內部管理和資訊披露制度，未經國務院有關主管部門或者省級人民政府有關主管部門批准，外國投資者不得接觸、知悉國家祕密資訊。

第十六條 申請單位申請不同等級和業務種類的涉密整合資質，應當符合涉密整合資質具體條件的要求。

第三章申請、受理、審查與決定

第十七條 申請甲級資質的，應當向國家保密行政管理部門提出申請；申請乙級資質的，應當向註冊地的省級保密行政管理部門提出申請。申請單位應當提交以下材料：

（一）《涉密資訊系統整合資質申請書》（以下簡稱申請書）；

（二）企業營業執照或者事業單位法人證書；

（三）在登記機關備案的章程；

（四）法定代表人、主要負責人、實際控制人、董（監）事會人員、高階管理人員以及從事涉密整合業務的其他人員情況；

（五）資本結構和股權情況；

（六）生產經營和辦公場所產權證書或者租賃合同；

（七）近三年整合業務合同清單；

（八）涉密整合業務場所和保密設施、裝置情況；

（九）基本管理制度、保密制度以及保密體系執行情況。

申請書及相關材料不得涉及國家祕密，申請單位應當對申請材料的真實性和完整性負責。

第十八條 保密行政管理部門收到申請材料後，應當在五日內完成審查。申請材料齊全且符合法定形式的，應當受理併發出受理通知書；申請材料不齊全或者不符合法定形式的，應當一次告知申請單位十五日內補正材料；逾期未告知申請單位補正的，自收到申請材料之日起即為受理。申請單位十五日內不予補正的，視為放棄本次行政許可申請。

第十九條 資質審查分為書面審查、現場審查。確有需要的，可以組織專家開展評審。

第二十條 對作出受理決定的，保密行政管理部門應當對提交的申請材料進行書面審查。

第二十一條 對書面審查合格的單位，保密行政管理部門應當指派兩名以上工作人員，並可以結合工作實際指派一名以上審查專家，依據涉密整合資質審查細則和評分標準，對保密制度、保密工作機構、保密監督管理、涉密人員管理、保密技術防護以及從事涉密整合業務的專業能力等情況進行現場審查。

涉密整合資質審查細則和評分標準由國家保密行政管理部門另行規定。

第二十二條 現場審查應當按照以下程式進行：

（一）提前五日以傳真、電子郵件等形式書面通知申請單位現場審查時間；

（二）聽取申請單位情況彙報和對有關事項的說明；

（三）審查有關材料；

（四）與主要負責人、保密工作負責人及有關人員談話瞭解情況；

（五）組織涉密人員進行保密知識測試；

（六）對涉密場所、涉密裝置等進行實地檢視；

（七）彙總現場審查情況，形成現場審查報告；

（八）通報審查情況，申請單位法定代表人或者主要負責人在現場審查報告上簽字確認。

第二十三條 申請單位具有下列情形之一的，保密行政管理部門應當終止審查：

（一）隱瞞有關情況或者提供虛假材料的；

（二）採取賄賂、請託等不正當手段，影響審查工作公平公正進行的；

（三）無正當理由拒絕按通知時間接受現場審查的；

（四）現場審查中發現不符合評分標準基本項的；

（五）其他違反保密法律法規的行為。

第二十四條 申請單位書面審查、現場審查合格的，保密行政管理部門應當准予行政許可。

申請單位具有下列情形之一的，保密行政管理部門應當作出不予行政許可的書面決定，說明理由並告知申請單位相關權利:

（一）書面審查不合格的；

（二）現場審查不合格的；

（三）終止審查的；

（四）法律、行政法規規定的不予行政許可的其他情形。

第二十五條 保密行政管理部門應當自受理申請之日起二十日內，對申請單位作出准予行政許可或者不予行政許可的決定。二十日內不能作出決定的，經本行政機關負責人批准，可以延長十日，並應當將延長期限的理由告知申請單位。

保密行政管理部門組織開展專家評審、鑑定所需時間不計入行政許可期限。

第二十六條 保密行政管理部門作出准予行政許可的決定的，自作出決定之日起十日內向申請單位頒發《涉密資訊系統整合資質證書》（以下簡稱《資質證書》）。

第二十七條 《資質證書》有效期為五年，分為正本和副本，正本和副本具有同等法律效力。樣式由國家保密行政管理部門統一製作，主要包括以下內容：

（一）單位名稱；

（二）法定代表人；

（三）註冊地址；

（四）證書編號；

（五）資質等級；

（六）業務種類；

（七）發證機關；

（八）有效期和發證日期。

第二十八條 《資質證書》有效期滿，需要繼續從事涉密整合業務的，應當在有效期屆滿三個月前向保密行政管理部門提出延續申請，保密行政管理部門應當按照本辦法有關規定開展審查，申請單位未按規定期限提出延續申請的，視為重新申請。

有效期屆滿且未准予延續前，不得簽訂新的涉密整合業務合同。對於已經簽訂合同但未完成的涉密業務，在確保安全保密的條件下可以繼續完成。

第二十九條 省級保密行政管理部門應當將許可的乙級資質單位報國家保密行政管理部門備案。

准予行政許可和登出、吊銷、撤銷以及暫停資質的決定，由作出決定的保密行政管理部門在一定範圍內予以釋出。

第四章監督與管理

第三十條 省級以上保密行政管理部門應當加強對下一級保密行政管理部門以及協助開展審查工作的專門機構的監督檢查，及時糾正資質管理中的違法違規行為。

第三十一條 保密行政管理部門應當開展“雙隨機”抽查、飛行檢查等形式的保密檢查，對資質單位從事涉密整合業務和保密管理情況進行監督。

第三十二條 機關、單位委託資質單位從事涉密整合業務，應當查驗其《資質證書》，簽訂保密協議，提出保密要求，採取保密措施，加強涉密業務實施現場的監督檢查。

第三十三條 資質單位與其他單位合作開展涉密整合業務的，合作單位應當具有相應的涉密整合資質且取得委託方書面同意。

資質單位不得將涉密整合業務分包或者轉包給無相應涉密資質的單位。

第三十四條 資質單位承接涉密整合業務的，應當在簽訂合同後三十日內，向業務所在地省級保密行政管理部門備案，接受保密監督管理。

第三十五條 乙級資質單位擬在註冊地的省級行政區域外承接涉密整合業務的，應當向業務所在地的省級保密行政管理部門備案，接受保密監督管理。

第三十六條 資質單位實行年度自檢制度，應當於每年3月31日前向作出准予行政許可決定的保密行政管理部門報送上一年度自檢報告。

第三十七條 資質單位下列事項發生變更的，應當在變更前向保密行政管理部門書面報告：

（一）註冊資本或者股權結構；

（二）控股股東或者實際控制人；

（三）單位性質或者隸屬關係；

（四）用於涉密整合業務的場所。

保密行政管理部門應當對資質單位變更事項進行書面審查。通過審查的，資質單位應當按照審定事項實施變更，並在變更完成後十日內提交情況報告。

擬公開上市的，應當資質剝離後重新申請；對影響或者可能影響國家安全的外商投資，應當按照外商投資安全審查制度進行安全審查。

資質單位發生控股股東或者實際控制人、單位性質或者隸屬關係、用於涉密整合業務的場所等事項變更的，保密行政管理部門應當組織現場審查。

第三十八條 資質單位下列事項發生變更的，應當在變更後十日內向保密行政管理部門書面報告：

（一）單位名稱；

（二）註冊地址或者經營地址；

（三）經營範圍；

（四）法定代表人、董（監）事會人員或者高階管理人員。

資質單位變更完成需換髮《資質證書》的，由保密行政管理部門稽核後重新頒發。

第三十九條 保密行政管理部門在現場審查、保密檢查過程中，發現申請單位或者資質單位存在涉嫌洩露國家祕密的案件線索，應當根據工作需要，按照洩密案件管轄許可權，經保密行政管理部門負責人批准，由具備執法資格的人員對有關設施、裝置、載體等採取登記儲存措施，依法開展調查工作。

保密行政管理部門調查結束後，認定申請單位或者資質單位存在違反保密法律法規事實的，違法行為發生地的保密行政管理部門應當按照本辦法作出處理，並將違法事實、處理結果抄告受理申請或者准予行政許可的保密行政管理部門。

第四十條 有下列情形之一的，作出准予行政許可決定的保密行政管理部門或者其上級保密行政管理部門，依據職權可以撤銷行政許可：

（一）保密行政管理部門濫用職權、玩忽職守作出准予行政許可決定的；

（二）超越法定職權作出准予行政許可決定的；

（三）違反法定程式作出准予行政許可決定的；

（四）對不具備申請資格或者不符合法定條件的申請單位準予行政許可的；

（五）依法可以撤銷行政許可的其他情形。

資質單位採取欺騙、賄賂等不正當手段取得資質的，保密行政管理部門應當撤銷其資質，停止其涉密業務。自撤銷之日起，三年內不得再次申請。

第四十一條 資質單位具有下列情形之一的，作出准予行政許可決定的保密行政管理部門應當登出其資質：

（一）《資質證書》有效期屆滿未延續的；

（二）法人資格依法終止的；

（三）主動申請登出資質的；

（四）行政許可依法被撤銷、撤回，或者行政許可證件依法被吊銷的；

（五）因不可抗力導致行政許可事項無法實施的；

（六）法律、行政法規規定的應當登出資質的其他情形。

第四十二條 申請單位或者資質單位對保密行政管理部門作出的決定不服的，可以依法申請行政複議或者提起行政訴訟。

第五章法律責任

第四十三條 資質單位違反本辦法的，依照本辦法有關規定處理；構成犯罪的，依法追究刑事責任。

第四十四條 資質單位具有下列情形之一的，保密行政管理部門應當責令其在二十日內完成整改，逾期不改或者整改後仍不符合要求的，應當給予六個月以上十二個月以下暫停資質的處罰：

（一）未經委託方書面同意，擅自與其他涉密整合資質單位合作開展涉密整合業務的；

（二）超出行政許可的業務種類範圍承接涉密整合業務的；

（三）發生需要報告的事項，未及時報告的；

（四）承接涉密整合業務，未按規定備案的；

（五）未按本辦法提交年度自檢報告的；

（六）不符合其他保密管理規定，存在洩密隱患的。

第四十五條 資質單位不再符合申請條件，或者具有下列情形之一的，保密行政管理部門應當吊銷其資質，停止其涉密業務：

（一）塗改、出賣、出租、出借《資質證書》，或者以其他方式偽造、非法轉讓《資質證書》的；

（二）將涉密整合業務分包或者轉包給無相應涉密資質單位的；

（三）發現國家祕密已經洩露或者可能洩露，未按法定時限報告的；

（四）拒絕接受保密檢查的；

（五）資質暫停期間，承接新的涉密整合業務的；

（六）資質暫停期滿，仍不符合保密管理規定的；

（七）發生洩密案件的；

（八）其他違反保密法律法規的行為。

第四十六條 申請單位隱瞞有關情況或者提供虛假材料的，保密行政管理部門應當作出不予受理或者不予行政許可的決定。自不予受理或者不予行政許可之日起，一年內不得再次申請。

第四十七條 未經保密行政管理部門許可的單位從事涉密整合業務的，由保密行政管理部門責令停止違法行為，非法獲取、持有的國家祕密載體，應當予以收繳；有違法所得的，由市場監督管理部門沒收違法所得；構成犯罪的，依法追究刑事責任。

第四十八條 機關、單位委託未經保密行政管理部門許可的單位從事涉密整合業務的，應當由有關機關、單位對直接負責的主管人員和其他直接責任人員依法給予處分；構成犯罪的，依法追究刑事責任。

第四十九條 保密行政管理部門及其工作人員未依法履行職責，或者濫用職權、玩忽職守、徇私舞弊的，對直接負責的主管人員和其他直接責任人員依法給予政務處分；構成犯罪的，依法追究刑事責任。

第六章附則

第五十條 機關、單位自行開展涉密資訊系統整合業務，可以由本機關、單位內部資訊化工作機構承擔，接受同級保密行政管理部門監督指導。

第五十一條 申請單位資本結構包含香港特別行政區、澳門特別行政區、臺灣地區投資者以及定居在國外中國公民投資者的，參照本辦法管理。國家另有規定的，從其規定。

第五十二條 本辦法規定的實施行政許可的期限以工作日計算，不含法定節假日。

第五十三條 本辦法由國家保密局負責解釋。

第五十四條 本辦法自2021年3月1日起施行。國家保密局釋出的《涉密資訊系統整合資質管理辦法》（國保發〔2013〕7號，國保發〔2019〕13號修訂）同時廢止。

附件：涉密資訊系統整合資質具體條件