一、主体资格与业务适配性
申请单位须为境内依法注册的独立法人,无外资背景或外资控股。业务范围需与保密资质类别高度匹配,具备承接涉密项目的专业能力与历史业绩。行业主管部门将重点审查企业资质与涉密业务的技术关联性,避免"资质挂靠"现象。
二、保密组织架构与制度体系
需建立覆盖决策层、管理层、执行层的三级保密管理网络,明确保密委员会职责与人员配置标准。制度体系需涵盖保密责任、涉密人员管理、信息系统防护等12项核心模块,且制度内容须与《保密法》及行业标准完全对接,体现动态更新机制。
三、涉密人员全周期管理
实施涉密岗位分级制度,按核心、重要、一般三类设置准入门槛。人员背景审查需覆盖政治表现、信用记录、境外关系等维度,审查周期延长至6个月。在职期间需完成年度保密培训、离岗脱密期管理,并建立违规行为终身追责机制。
四、保密技术防护能力
物理场所须达到分级保护标准,设置独立涉密区域与监控系统。信息系统需通过三级等保认证,部署加密传输、权限管控、审计追溯等技术手段。重点领域企业还需建立"红蓝对抗"测试机制,定期模拟攻击以验证防护有效性。
五、保密风险管控与持续改进
需建立保密风险评估体系,对供应链、合作方、境外业务等环节进行动态监测。制定应急预案并开展年度演练,确保泄密事件48小时内完成处置与上报。监管部门将通过"双随机一公开"检查,督促企业持续优化保密管理体系。
第一步:企业需依据《保密资质申请条件指南》开展内部评估,识别制度、技术、人员三大领域的短板。制定整改方案并明确时间表,同步启动保密管理体系建设,确保申请前运行满6个月。
第二步:提交申请书、营业执照、保密制度汇编等15类材料,重点突出制度执行记录、人员审查档案、技术防护方案等实证材料。部分地区推行"预审服务",由保密局专家提前指导材料完善。
第三步:审查组通过文件审查、人员访谈、技术检测等方式,评估制度落实与技术防护效果。重点核查涉密信息系统、涉密载体管理等高风险环节。企业需在15个工作日内完成整改并提交报告,逾期未达标将终止流程。
第四步:主管部门综合审查结果,经集体审议后作出决定。通过企业名单将在官方平台公示10个工作日,接受社会监督。未通过企业可申请复审,但需间隔6个月并提交整改证明。
第五步:资质有效期为5年,期间需接受年度自查与专项检查。复审申请须在有效期届满前3个月提交,流程与首次申请基本一致,但更注重体系运行质量与持续改进能力。