涉密信息系統集成資質管理辦法征求意見稿

第一章? 總? 則
? ? 第一條 【目的和依據】 為了加強涉密信息系統集成資質管理，確保國家秘密安全，根據《中華人民共和國保守國家秘密法》、《中華人民共和國行政許可法》、《中華人民共和國行政處罰法》、《中華人民共和國保守國家秘密法實施條例》等有關法律法規，制定本辦法。
? ? 第二條 【有關定義】 本辦法所稱涉密信息系統集成（以下簡稱涉密集成），是指涉密信息系統的規劃、設計、建設、監理和運行維護等活動。
涉密集成資質是指保密行政管理部門許可企業事業單位從事涉密信息系統集成業務的法定資格。
? ? 第三條 【適用范圍】 涉密集成資質的申請、受理、審查、決定、使用和監督管理，適用本辦法。
? ? 第四條 【涉密業務服務要求】 從事涉密集成業務的企業事業單位應當依照本辦法，取得涉密集成資質。國家機關和涉及國家秘密的單位（以下簡稱機關、單位）應當選擇涉密集成資質單位（以下簡稱資質單位）承接涉密集成業務。
? ? 第五條 【管理原則】 涉密集成資質管理應當遵循依法管理、安全保密、科學發展、公平公正的原則。
? ? 第六條 【主管部門】 國家保密行政管理部門主管全國涉密集成資質管理工作，省級保密行政管理部門主管本行政區域內涉密集成資質管理工作。
省級以上保密行政管理部門根據工作需要，可以委托下一級保密行政管理部門開展審查工作，或者組織專門機構協助開展工作。
? ? 第七條 【工作機構】省級以上保密行政管理部門成立保密資質管理委員會，研究審議涉密集成資質管理工作中的重大問題和重要事項。
保密資質管理委員會下設辦公室，承擔保密資質管理委員會日常工作。
? ? 第八條 【專家庫建設】 省級以上保密行政管理部門建立保密資質審查專家庫，組織開展入庫審查、培訓考核等工作。
? ? 第九條 【工作經費】 實施涉密集成資質許可不收取任何費用，所需經費納入同級財政預算。
第二章? 等級與條件
? ? 第十條 【資質等級】 涉密集成資質分為甲級和乙級兩個等級。甲級資質單位可以從事絕密級、機密級和秘密級涉密集成業務；乙級資質單位可以從事機密級、秘密級涉密集成業務。
? ? 第十一條 【業務種類】 涉密集成資質包括總體集成、系統咨詢、軟件開發、安防監控、屏蔽室建設、運行維護、數據恢復、工程監理，以及國家保密行政管理部門許可的其他涉密集成業務。取得總體集成業務種類許可的，除從事系統集成業務外，還可從事軟件開發、安防監控和所承建系統的運行維護業務。
資質單位應當在保密行政管理部門許可的業務種類范圍內承接涉密集成業務。承接涉密系統咨詢、工程監理業務的，不得承接所咨詢、監理業務的其他涉密集成業務。
? ? 第十二條 【基本條件】 申請單位應當具備以下基本條件：
? ? （一）在中華人民共和國境內依法成立三年以上的法人；
? ? （二）近三年內未被列入嚴重違法失信企業名單且未被吊銷保密資質（資格），法定代表人、主要負責人、實際控制人未被列入失信人員名單；
? ? （三）法定代表人、主要負責人、實際控制人、董（監）事會人員、高級管理人員以及從事涉密集成業務人員具有中華人民共和國國籍，無境外永久居留權或者長期居留許可，與境外人員無婚姻關系，國家另有規定的除外；
? ?（四）具有從事涉密集成業務的專業能力；
? ?（五）法律、行政法規和國家保密行政管理部門規定的其他條件。
? ? 第十三條 【保密條件】申請單位應當具備以下保密條件：
? ?（一）有專門機構或者人員負責保密工作；
? ?（二）保密制度完善；
? ?（三）從事涉密集成業務的人員經過保密教育培訓，具備必要的保密知識和技能；
? ?（四）用于涉密集成業務的場所、設施、設備符合國家保密規定和標準；
? ?（五）有專門的保密工作經費；
? ?（六）法律、行政法規和國家保密行政管理部門規定的其他保密條件。
? ? 第十四條 【資本結構條件】 申請單位應當無境外直接投資，且通過間接方式投資的外方投資者及其一致行動人在申請單位中的出資比例最終不得超過20%；申請單位及其股東的實際控制人應當為中方，外方投資者及其一致行動人在申請單位母公司中的出資比例最終不得超過20%。在新三板掛牌的企業申請資質以及資質有效期內的，還應當符合以下條件：
? ?（一）參與掛牌交易的股份比例不高于總股本的30%；
? ?（二）信息披露制度完善；
? ?（三）實際控制人在申請期間及資質有效期內保持控制地位不變。
國家另有規定的，依照其規定。
? ? 第十五條 【具體條件】 申請單位申請不同等級和業務種類的涉密集成資質，應當符合涉密集成資質具體條件的要求。
? ? 第十六條 【審查細則】 涉密集成資質審查細則和評分標準由國家保密行政管理部門另行規定。
第三章? 申請、受理、審查與決定
? ? 第十七條 【資質申請】申請甲級資質、總體集成和運行維護乙級資質的，應當向國家保密行政管理部門提出申請；申請其他種類乙級資質的，應當向注冊地的省級保密行政管理部門提出申請。申請單位應當提交以下材料：
? ?（一）《涉密信息系統集成資質申請書》（以下簡稱申請書）；
? ?（二）企業營業執照或者事業單位法人證書；
? ?（三）在登記機關備案的章程；
? ?（四）法定代表人、主要負責人、實際控制人、董（監）事會人員、高級管理人員以及從事涉密集成業務的其他人員情況；
? ?（五）資本結構和股權情況；
? ?（六）生產經營和辦公場所產權證書或者租賃合同；
? ?（七）近三年集成業務合同清單；
? ?（八）涉密集成業務場所和保密設施、設備情況；
? ?（九）基本管理制度、保密制度以及保密體系運行情況。
? ? 申請書及相關材料不得涉及國家秘密，申請單位應當對申請材料的真實性和完整性負責。
? ? 第十八條 【資質受理】 保密行政管理部門收到申請材料后，應當在五日內完成審查。申請材料齊全且符合法定形式的，應當受理并發出受理通知書；申請材料不齊全或者不符合法定形式的，應當一次告知申請單位五日內補正材料；逾期未告知申請單位補正的，自收到申請材料之日起即為受理。申請單位五日內不予補正的，視為放棄本次行政許可申請。
? ? 第十九條 【審查程序】 資質審查分為書面審查、現場審查。確有需要的，可以組織專家開展評審。
? ? 第二十條 【書面審查】 對作出受理決定的，保密行政管理部門應當對提交的申請材料進行書面審查。
? ? 第二十一條 【現場審查】 對書面審查合格的單位，保密行政管理部門應當指派兩名以上工作人員，并可以結合工作實際指派一名以上審查專家，依據涉密集成資質審查細則和評分標準，對保密制度、保密工作機構、保密監督管理、涉密人員管理、保密技術防護以及從事涉密集成業務的專業能力等情況進行現場審查。
? ? 第二十二條 【現場審查程序】 現場審查應當按照以下程序進行：
? ?（一）提前五日以傳真、電子郵件等形式書面通知申請單位現場審查時間；
? ?（二）聽取申請單位情況匯報和對有關事項的說明；
? ?（三）審查有關材料；
? ?（四）與主要負責人、保密工作負責人及有關人員談話了解情況；
? ?（五）組織涉密人員進行保密知識測試；
? ?（六）對涉密場所、涉密設備等進行實地查看；
? ?（七）匯總現場審查情況，形成現場審查報告；
? ?（八）通報審查情況，申請單位法定代表人或者主要負責人在現場審查報告上簽字確認。
? ? 第二十三條 【終止審查情形】 申請單位具有下列情形之一的，保密行政管理部門應當終止審查：
? ?（一）隱瞞有關情況或者提供虛假材料的；
? ?（二）采取賄賂、請托等不正當手段，影響審查工作公平公正進行的；
? ?（三）無正當理由拒絕按通知時間接受現場審查的；
? ?（四）現場審查中發現不符合評分標準基本項的；
? ?（五）其他違反保密法律法規的行為。
? ?第二十四條 【許可決定】 申請單位書面審查、現場審查合格的，保密行政管理部門應當準予行政許可。
? ? 申請單位具有下列情形之一的，保密行政管理部門應當作出不予行政許可的書面決定，說明理由并告知申請單位相關權利:
? ?（一）書面審查不合格的；
? ?（二）現場審查不合格的；
? ?（三）終止審查的；
? ?（四）法律、行政法規規定的不予行政許可的其他情形。
? ? 第二十五條 【許可時限】 保密行政管理部門應當自受理申請之日起二十日內，對申請單位作出準予行政許可或者不予行政許可的決定。二十日內不能作出決定的，經本行政機關負責人批準，可以延長十日，并應當將延長期限的理由告知申請單位。
保密行政管理部門組織開展專家評審、鑒定所需時間不計入行政許可時限。
? ? 第二十六條 【證書頒發】 保密行政管理部門作出準予行政許可的決定，自作出決定之日起十日內向申請單位頒發《涉密信息系統集成資質證書》（以下簡稱《資質證書》）。
? ? 第二十七條 【證書內容】《資質證書》有效期為五年，分為正本和副本，正本和副本具有同等法律效力。樣式由國家保密行政管理部門統一制作，主要包括以下內容：
? ?（一）單位名稱；
? ?（二）法定代表人；
? ?（三）注冊地址；
? ?（四）證書編號；
? ?（五）資質等級；
? ?（六）業務種類；
? ?（七）發證機關；
? ?（八）有效期和發證日期。
? ? 第二十八條 【延續申請】 《資質證書》有效期滿，需要繼續從事涉密集成業務的，應當在有效期屆滿三個月前向保密行政管理部門提出延續申請，保密行政管理部門應當按照本辦法有關規定開展審查，申請單位未按規定期限提出延續申請的，視為重新申請。
? ? 有效期屆滿且未準予延續前，不得簽訂新的涉密集成業務合同。對于已經簽訂合同但未完成的涉密業務，在確保安全保密的條件下可繼續完成。
? ? 第二十九條 【備案及發布】 省級保密行政管理部門應當將許可的乙級資質單位報國家保密行政管理部門備案。
準予行政許可和注銷、吊銷、撤銷以及暫停資質的決定，由作出決定的保密行政管理部門在一定范圍內予以發布。
?第四章? 監督與管理
? ? 第三十條 【層級監督】 省級以上保密行政管理部門應當加強對下一級保密行政管理部門以及協助開展審查工作的專門機構的監督檢查，及時糾正資質管理中的違法違規行為。
? ? 第三十一條 【事中事后監管】 保密行政管理部門應當開展“雙隨機”抽查、飛行檢查等形式的保密檢查，對資質單位從事涉密集成業務和保密管理情況進行監督。
? ? 第三十二條 【委托方責任】 機關、單位委托資質單位從事涉密集成業務，應當查驗其《資質證書》，簽訂保密協議，提出保密要求，采取保密措施，加強涉密業務實施現場的監督檢查。
? ? 第三十三條 【合作要求】 資質單位與其他單位合作開展涉密集成業務的，合作單位應當具有相應的涉密集成資質且取得委托方書面同意。
資質單位不得將涉密集成業務分包或者轉包給無相應涉密資質的單位。
? ? 第三十四條 【項目備案】 資質單位承接涉密集成業務的，應當在簽訂合同后十日內，向業務所在地省級保密行政管理部門備案，接受保密監督管理。
? ? 第三十五條 【年度自檢】 資質單位實行年度自檢制度，應當于每年1月31日前向作出準予行政許可決定的保密行政管理部門報送上一年度自檢報告。
? ? 第三十六條 【變更事前報告】 資質單位發生下列事項變更的，應當在變更前向保密行政管理部門書面報告：
? ?（一）注冊資本或者股權結構；
? ?（二）控股股東或者實際控制人；
? ?（三）單位性質或者隸屬關系；
? ?（四）用于涉密集成業務的場所。
? ? 保密行政管理部門應當對資質單位變更事項進行書面審查。通過審查的，資質單位應當按照審定事項實施變更，并在變更完成后十日內提交情況報告。
? ? 資質單位發生控股股東或者實際控制人、單位性質或者隸屬關系、用于涉密集成業務的場所等事項變更的，保密行政管理部門應當組織現場審查。
? ? 第三十七條 【變更事后報告】 資質單位發生下列事項變更的，應當在變更后十日內向保密行政管理部門書面報告：
? ?（一）單位名稱；
? ?（二）注冊地址或者經營地址；
? ?（三）經營范圍；
? ?（四）法定代表人、董（監）事會人員或者高級管理人員。
? ? 資質單位變更完成需換發《資質證書》的，由保密行政管理部門審核后重新頒發。
? ? 第三十八條 【涉嫌泄密處置】 保密行政管理部門在現場審查、保密檢查過程中，發現申請單位或者資質單位存在涉嫌泄露國家秘密的案件線索，應當根據工作需要，按照泄密案件管轄權限，經保密行政管理部門負責人批準，由具備執法資格的人員對有關設施、設備、載體等采取登記保存措施，依法開展調查工作。
? ? 保密行政管理部門調查結束后，認定申請單位或者資質單位存在違反保密法律法規事實的，違法行為發生地的保密行政管理部門應當按照本辦法作出處理，并將違法事實、處理結果抄告受理申請或者準予行政許可的保密行政管理部門。
? ? 第三十九條 【資質撤銷】 有下列情形之一的，作出準予行政許可決定的保密行政管理部門或者其上級保密行政管理部門，依據職權可以撤銷行政許可：
? ?（一）保密行政管理部門濫用職權、玩忽職守作出準予行政許可決定的；
? ?（二）超越法定職權作出準予行政許可決定的；
? ?（三）違反法定程序作出準予行政許可決定的；
? ?（四）對不具備申請資格或者不符合法定條件的申請單位準予行政許可的。
? ?（五）依法可以撤銷行政許可的其他情形。
? ? 資質單位采取欺騙、賄賂等不正當手段取得資質的，保密行政管理部門應當撤銷其資質。自撤銷之日起，三年內不得再次申請。
? ? 第四十條 【資質注銷】 資質單位具有以下情形之一的，作出準予行政許可決定的保密行政管理部門應當注銷其資質：
? ?（一）《資質證書》有效期屆滿未延續的；
? ?（二）法人資格依法終止的；
? ?（三）主動申請注銷資質的；
? ?（四）行政許可依法被撤銷、撤回，或者《資質證書》依法被吊銷的；
? ?（五）因不可抗力導行政許可事項無法實施的；
? ?（六）法律、行政法規規定的應當注銷資質的其他情形。
? ? 第四十一條 【權利救濟】 申請單位或者資質單位對保密行政管理部門作出的決定不服的，可以依法申請行政復議或者提起行政訴訟。
第五章? 法律責任
? ? 第四十二條 【資質單位法律責任】 資質單位違反本辦法的，依照本辦法有關規定處理；構成犯罪的，依法追究刑事責任。
? ? 第四十三條 【資質暫停】 資質單位具有下列情形之一的，保密行政管理部門應當責令其在二十日內完成整改，逾期不改或者整改后仍不符合要求的，應當給予六個月以上十二個月以下暫停資質的處罰：
? ?（一）未經委托方書面同意，擅自與其他涉密集成資質單位合作開展涉密集成業務的；
? ?（二）超出行政許可的業務種類范圍承接涉密集成業務的；
? ?（三）發生需要報告的事項變更，未及時報告的；
? ?（四）承接涉密集成業務，未按規定備案的；
? ?（五）未按本辦法提交年度自檢報告的；
? ?（六）不符合其他保密管理規定，存在泄密隱患的。
? ? 第四十四條 【資質吊銷】 資質單位不再符合申請條件，或者具有下列情形之一的，保密行政管理部門應當吊銷其資質：
? ?（一）涂改、出賣、出租、出借《資質證書》，或者以其他方式偽造、非法轉讓《資質證書》的；
? ?（二）將涉密集成業務分包或者轉包給無相應涉密資質單位的；
? ?（三）發現國家秘密已經泄露或者可能泄露，未按法定時限報告的；
? ?（四）拒絕接受保密檢查的；
? ?（五）資質暫停期間，承接新的涉密集成業務的；
? ?（六）資質暫停期滿，仍不符合保密管理規定的；
? ?（七）發生泄密案件的；
? ?（八）其他違反保密法律法規的行為。
? ? 第四十五條 【申請不實法律責任】 申請單位隱瞞有關情況或者提供虛假材料的，保密行政管理部門應當作出不予受理或者不予行政許可的決定。自不予受理或者不予行政許可之日起，一年內不得再次申請。
? ? 第四十六條 【無資質單位法律責任】 未經保密行政管理部門許可的單位從事涉密集成業務的，由保密行政管理部門責令停止違法行為，非法獲取、持有的國家秘密載體，應當予以收繳；有違法所得的，由市場監督管理部門沒收違法所得；構成犯罪的，依法追究刑事責任。
? ? 第四十七條 【委托單位法律責任】 機關、單位委托未經保密行政管理部門許可的單位從事涉密集成業務的，應當由有關機關、單位對直接負責的主管人員和其他直接責任人員依法給予處分；構成犯罪的，依法追究刑事責任。
? ? 第四十八條 【管理人員法律責任】 保密行政管理部門及其工作人員未依法履行職責，或者濫用職權、玩忽職守、徇私舞弊的，對直接負責的主管人員和其他直接責任人員依法給予政務處分；構成犯罪的，依法追究刑事責任。
第六章? 附? 則
? ? 第四十九條 【自建系統要求】 機關、單位自行開展涉密信息系統集成業務，可以由本機關、單位內部信息化工作機構承擔，接受同級保密行政管理部門監督指導。
? ? 第五十條 【期限計算】 本辦法規定的實施行政許可的期限以工作日計算，不含法定節假日。
? ? 第五十一條 【解釋主體】 本辦法由國家保密局負責解釋。
? ? 第五十二條 【施行日期】 本辦法自? 年? 月? 日起施行。國家保密局發布的《涉密信息系統集成資質管理辦法》（國保發〔2013〕7號，國保發〔2019〕13號修訂）同時廢止。