行政确认是否可作为“权证”的依据/谭智华

上一篇: “受委派”国家工作人员的认定/朱晓玉
下一篇: 家庭承包中一地数包纠纷的处理/刘光明

公安部


计算机信息系统安全专用产品分类原则

公安部

1997/04/21



　　【题注】ＧＡ１６３－１９９７



　　一、范围

　　本标准规定了计算机信息系统安全专用产品分类原则。

　　本标准适用于保护计算机信息系统安全专用产品，涉及实体安全、运行安全和信息安全三个方面。

　　实体安全包括环境安全，设备安全和媒体安全三个方面。

　　运行安全包括风险分析，审计跟踪，备份与恢复，应急四个方面。

　　信息安全包括操作系统安全，数据库安全，网络安全，病毒防护，访问控制，加密与鉴别七个方面。

　　二、分类原则

　　为了保证分类体系的科学性，遵循如下原则：

　　１．适度的前瞻性；

　　２．标准的可操作性；

　　３．分类体系的完整性；

　　４．与传统的兼容性；

　　５．按产品功能分类。

　　三、术语定义

　　３．１计算机信息系统 Computer Information System

　　是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

　　３．２计算机信息系统安全专用产品 Security Products for Computer InformationSystems

　　是指用于保护计算机信息系统安全的专用硬件和软件产品。

　　３．３实体安全 Physical Security

　　保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏的措施、过程。

　　３．４运行安全 Operation Security

　　为保障系统功能的安全实现，提供一套安全措施（如风险分析，审计跟踪，备份与恢复，应急等）来保护信息处理过程的安全。

　　３．５信息安全 Information Security

　　防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识，控制。即确保信息的完整性、保密性，可用性和可控性。

　　３．６黑客 Hacker

　　对计算机信息系统非授权访问的人员。

　　３．７应急计划 Contingency Plan

　　在紧急状态下，使系统能够尽量完成原定任务的计划。

　　３．８证书授权 Certificate Authority

　　通过证书的形式证明实体（如用户身份，用户的公开密钥等）的真实性。

　　３．９安全操作系统 Secure Operation System

　　为所管理的数据和资源提供相应的安全保护，而有效控制硬件和软件功能的操作系统。

　　３．１０访问控制 Sccess Control

　　指对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制）。

　　四、类别体系

　　４．１类别（Ａ）实体安全

　　４．１．１类别（Ａ１０）环境安全

　　本类产品提供对计算机信息系统所在环境的安全保护，主要包括受灾防护和区域防护。

　　４．１．１．１类别（Ａ１１）受灾防护

　　本类产品提供受灾报警，受灾保护和受灾恢复等功能，目的是保护计算机信息系统免受水、火、有害气体、地震、雷击和静电的危害。

　　本类产品的安全功能可归纳为三个方面：

　　（１）灾难发生前，对灾难的检测和报警；

　　（２）灾难发生时，对正遭受破坏的计算机信息系统，采取紧急措施，进行现场实时保护；

　　（３）灾难发生后，对已经遭受某种破坏的计算机信息系统进行灾后恢复。

　　任何提供以上一种或数种功能的产品均可归入本类。

　　４．１．１．２类别（Ａ１２）受灾恢复计划辅助软件

　　本类产品为制订受灾恢复计划提供计算机辅助，它主要是以受灾恢复计划辅助软件的形式提供。

　　本类产品的安全功能可归纳为三个方面：

　　（１）灾难发生时的影响分析；

　　（２）受灾恢复计划的概要设计或详细制订；

　　（３）受灾恢复计划的测试与完善。

　　任何提供以上一种或数种功能的产品均可归入本类。

　　４．１．１．３类别（Ａ１３）区域防护

　　本类产品对特定区域提供某种形式的保护和隔离。

　　本类产品的安全功能可归纳为两个方面：

　　（１）静止区域保护，如通过电子手段（如红外扫描等）或其它手段对特定区域（如机房等）进行某种形式的保护（如监测和控制等）；

　　（２）活动区域保护，对活动区域（如活动机房等）进行某种形式的保护。

　　任何提供以上一种或两种功能的产品均可归入本类。

　　４．１．２类别（Ａ２０）设备安全

　　本类产品提供对计算机信息系统设备的安全保护。它主要包括设备的防盗和防毁，防止电磁信息泄漏，防止线路截获，抗电磁干扰以及电源保护等六个方面。

　　４．１．２．１类别（Ａ２１）设备防盗

　　本类产品提供对计算机信息系统设备的防盗保护。

　　本类产品所提供的安全功能可归纳为：

　　使用一定的防盗手段（如移动报警器、数字探测报警和部件上锁）用于计算机信息系统设备和部件，以提高计算机信息系统设备和部件的安全性。

　　任何提供以上功能的产品均可归入本类。

　　４．１．２．２类别（Ａ２２）设备防毁

　　本类产品提供对计算机信息系统设备的防毁保护。

　　本类产品所提供的安全功能可归纳为两个方面：

　　（１）对抗自然力的破坏，使用一定的防毁措施（如接地保护等）保护计算机信息系统设备和部件；

　　（２）对抗人为的破坏，使用一定的防毁措施（如防砸外壳）保护计算机信息系统设备和部件。

　　任何提供以上一种或两种功能的产品均可归入本类。

　　４．１．２．３类别（Ａ２３）防止电磁信息泄漏

　　本类产品用于防止计算机信息系统中的电磁信息的泄漏，从而提高系统内敏感信息的安全性。如防止电磁信息泄漏的各种涂料、材料和设备等都属于本类。

　　本类产品所提供的安全功能可归纳为三个方面：

　　（１）防止电磁信息的泄漏（如屏蔽室等防止电磁辐射引起的信息泄漏）；

　　（２）干扰泄漏的电磁信息（如利用电磁干扰对泄漏的电磁信息进行置乱）；

　　（３）吸收泄漏的电磁信息（如通过特殊材料／涂料等吸收泄漏的电磁信息）。

　　任何提供以上一种或数种功能的产品均可归入本类。

　　４．１．２．４类别（Ａ２４）防止线路截获

　　本类产品用于防止对计算机信息系统通信线路的截获和外界对计算机信息系统的通信线路的干扰。

　　本类产品的安全功能可归纳为四个方面：

　　（１）预防线路截获，使线路截获设备无法正常工作；

　　（２）探测线路截获，发现线路截获并报警；

　　（３）定位线路截获，发现线路截获设备工作的位置；

　　（４）对抗线路截获，防止线路截获设备的有效使用。

　　任何提供以上一种或数种功能的产品可归入本类。

　　４．１．２．５类别（Ａ２５）抗电磁干扰

　　本类产品用于防止对计算机信息系统的电磁干扰，从而保护系统内部的信息。

　　本类产品的安全功能可归纳为两个方面：

　　（１）对抗外界对系统的电磁干扰；

　　（２）消除来自系统内部的电磁干扰。

　　任何提供以上一种或两种功能的产品可归入本类。

　　４．１．２．６类别（Ａ２６）电源保护

　　本类产品为计算机信息系统设备的可靠运行提供能源保障，例如不间断电源、纹波抑制器、电源调节软件等都属于本类。

　　本类产品的安全功能可归纳为两个方面：

　　（１）对工作电源的工作连续性的保护，如不间断电源；

　　（２）对工作电源的工作稳定性的保护，如纹波抑制器。

　　任何提供以上一种或两种功能的产品均可归入本类。

　　４．１．３类别（Ａ３０）媒体安全

　　本类产品提供对媒体数据和媒体本身的安全保护。

　　４．１．３．１类别（Ａ３１）媒体的安全

　　本类产品提供对媒体的安全保管，目的是保护存储在媒体上的信息。

　　本类产品的安全功能可归纳为两个方面：

　　（１）媒体的防盗；

　　（２）媒体的防毁，如防霉和防砸等。

　　任何提供以上一种或二种功能的产品均可归入本类。

　　４．１．３．２类别（Ａ３２）媒体数据的安全

　　本类产品提供对媒体数据的保护。媒体数据的安全删除和媒体的安全销毁是为了防止被删除的或者被销毁的敏感数据被他人恢复。

　　本类产品的安全功能可归纳为三个方面：

　　（１）媒体数据的防盗，如防止媒体数据被非法拷贝；

　　（２）媒体数据的销毁，包括媒体的物理销毁（如媒体粉碎等）和媒体数据的彻底销毁（如消磁等），防止媒体数据删除或销毁后被他人恢复而泄露信息；

　　（３）媒体数据的防毁，防止意外或故意的破坏使媒体数据的丢失。

　　任何提供以上一种或数种功能的产品均可归入本类。

　　４．２类别（Ｂ）运行安全

　　４．２．１类别（Ｂ１０）风险分析

　　本类产品提供对计算机信息系统进行人工或自动的风险分析。它首先是对系统进行静态的分析（尤指系统设计前和系统运行前的风险分析），旨在发现系统的潜在安全隐患；其次是对系统进行动态的分析，即在系统运行过程中测试，跟踪并记录其活动，旨在发现系统运行期的安全漏洞；最后是系统运行后的分析，并提供相应的系统脆弱性分析报告。

　　本类产品的安全功能可归纳为四个方面：

　　（１）系统设计前的风险分析。通过分析系统固有的脆弱性，旨在发现系统设计前潜在的安全隐患；

　　（２）系统试运行前的风险分析。根据系统试运行期的运行状态和结果，分析系统的潜在安全隐患，旨在发现系统设计的安全漏洞；

　　（３）系统运行期的风险分析。提供系统运行记录，跟踪系统状态的变化，分析系统运行期的安全隐患，旨在发现系统运行期的安全漏洞，并及时通告安全管理员；

　　（４）系统运行后的风险分析。分析系统运行记录，旨在发现系统的安全隐患，为改进系统的安全性提供分析报告。

　　任何提供以上一种或数种功能的产品均可归入本类。

　　４．２．２类别（Ｂ２０）审计跟踪

　　本类产品对计算机信息系统进行人工或自动的审计跟踪、保存审计记录和维护详尽的审计日志。

　　本类产品的安全功能可归纳为三个方面：

　　（１）记录和跟踪各种系统状态的变化，如提供对系统故意入侵行为的记录和对系统安全功能违反的记录；

　　（２）实现对各种安全事故的定位，如监控和捕捉各种安全事件；

　　（３）保存、维护和管理审计日志。

　　任何提供以上一种或数种功能的产品均可归入本类。

　　４．２．３类别（Ｂ３０）备份与恢复

　　本类产品提供对系统设备和系统数据的备份与恢复，对系统数据的备份和恢复可以使用多种介质（如磁介质、纸介质、光碟、缩微载体等）。

　　本类产品的安全功能可归纳为三个方面：

　　（１）提供场点内高速度、大容量自动的数据存储，备份和恢复；

　　（２）提供场点外的数据存储，备份和恢复，如通过专用安全记录存储设施对系统内的主要数据进行备份；

　　（３）提供对系统设备的备份。

　　任何提供以上一种或数种功能的产品均可归入本类。

　　４．２．４类别（Ｂ４０）应急

　　本类产品提供紧急事件或安全事故发生时，保障计算机信息系统继续运行或紧急恢复所需要的一类产品，如应急计划辅助软件和应急设施两个方面。

　　４．２．４．１类别（Ｂ４１）应急计划辅助软件

　　本类产品为制订应急计划提供计算机辅助，它主要是以应急计划辅助软件的形式提供。

　　本类产品的安全功能可归纳为三个方面：

　　（１）紧急事件或安全事故发生时的影响分析；

　　（２）应急计划的概要设计或详细制订；

　　（３）应急计划的测试与完善。

　　任何提供以上一种或数种功能的产品均可归入本类。

　　４．２．４．２类别（Ｂ４２）应急设施

　　本类产品提供紧急事件或安全事故发生时，计算机信息系统实施应急计划所需要的一类产品，它包括实时应急设施、非实时应急设施等。这些设施一般由专门厂商提供。实时应急设施、非实时应急设施的区别主要表现在对紧急事件发生时的响应时间长短上。

　　本类产品的安全功能可归纳为二个方面：

　　（１）提供实时应急设施，实现应急计划，保障计算机信息系统的正常安全运行；

　　（２）提供非实时应急设施，实现应急计划。

　　任何提供以上一种或两种功能的产品均可归入本类。

　　４．３类别（Ｃ）信息安全

　　４．３．１类别（Ｃ１０）操作系统安全

　　本类产品提供对计算机信息系统的硬件和软件资源的有效控制，能够为所管理的资源提供相应的安全保护。它们或是以底层操作系统所提供的安全机制为基础构作安全模块，或者完全取代底层操作系统，目的是为建立安全信息系统提供一个可信的安全平台。

　　４．３．１．１类别（Ｃ１１）安全操作系统

　　本类产品是安全操作系统，是指从系统设计、实现和使用等各个阶段都遵循了一套完整的安全策略的操作系统。

　　任何具有不同安全级别的安全操作系统产品均可归入本类。

　　４．３．１．２类别（Ｃ１２）操作系统安全部件

　　本类产品是操作系统安全部件，目的是增强现有操作系统的安全性。

　　本类产品的安全功能可归纳为两个方面：

　　（１）通过构作安全模块，增强现有操作系统的安全性；

　　（２）通过构作安全外罩，增强现有操作系统的安全性。

　　任何提供以上一种或两种功能的产品均可归入本类。

　　４．３．２类别（Ｃ２０）数据库安全

　　本类产品对数据库系统所管理的数据和资源提供安全保护。它一般采用多种安全机制与操作系统相结合，实现数据库的安全保护。

　　４．３．２．１类别（Ｃ２１）安全数据库系统

　　本类产品是安全数据库系统，即从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略的安全数据库系统。

　　任何具有不同安全级别的安全数据库系统均可归入本类。

　　４．３．２．２类别（Ｃ２２）数据库系统安全部件

　　本类产品是数据库系统安全部件，是以现有数据库系统所提供的功能为基础构作安全模块，旨在增强现有数据库系统的安全性。

　　本类产品的安全功能可归纳为两个方面：

　　（１）通过构作安全模块，增强现有数据库系统的安全性；

　　（２）通过构作安全外罩，增强现有数据库系统的安全性。

　　任何提供以上一种或两种功能的产品均可归入本类。

　　４．３．３类别（Ｃ３０）网络安全

　　本类产品提供访问网络资源或使用网络服务的安全保护。

　　４．３．３．１类别（Ｃ３１）网络安全管理

　　本类产品为网络的使用提供安全管理。

　　本类产品的安全功能可归纳为四个方面：

　　（１）帮助协调网络的使用，预防安全事故的发生；

　　（２）跟踪并记录网络的使用，监测系统状态的变化。如提供对网络系统故意入侵行为的记录和对违反网络系统安全管理行为的记录；

　　（３）实现对各种网络安全事故的定位，探测网络安全事件发生的确切位置；

　　（４）提供某种程度的对紧急事件或安全事故的故障排除能力。

　　任何提供以上一种或数种功能的产品均可归入本类。

　　４．３．３．２类别（Ｃ３２）安全网络系统

　　本类产品对网络资源的访问和网络服务的使用提供一套完整的安全保护。

　　本类产品是安全网络系统，即从网络系统的设计、实现、使用和管理各个阶段遵循一套完整的安全策略的网络系统。

　　任何具有不同安全级别的安全网络系统均可归入本类。

　　４．３．３．３类别（Ｃ３３）网络系统安全部件

　　本类产品是网络系统安全部件，是对网络系统的某个过程、部分或服务提供安全保护，旨在增强整个网络系统的安全性。

　　本类产品的安全功能可归纳为三个方面：

　　（１）对网络资源访问的某一过程提供安全保护，例如身份认证是对登录过程的保护，旨在防止黑客对网络资源的访问；

　　（２）对网络资源的某一部分提供安全保护，例如防火墙是对网络资源的某个部分（本地网络资源）的保护；

　　（３）对网络系统提供的某种服务提供安全保护，例如安全电子邮件服务是对网络系统提供的电子邮件服务的保护。

　　任何提供以上一种或数种功能的产品均可归入本类。

　　４．３．４类别（Ｃ４０）计算机病毒防护

　　本类产品提供对计算机病毒的防护。病毒防护包括单机系统的防护和网络系统的防护。

　　单机系统的防护侧重于防护本地计算机资源，而网络系统的防护侧重于防护网络系统资源。计算机病毒防护产品是通过建立系统保护机制，预防、检测和消除病毒。

　　４．３．４．１类别（Ｃ４１）单机系统病毒防护

　　本类产品提供对单机系统的病毒防护，既可以是软件产品，也可以是硬件产品。

　　本类产品的安全功能可归纳为以下五个方面：

　　（１）预防计算机病毒侵入系统；

　　（２）检测已侵入系统的计算机病毒；

　　（３）定位已侵入系统的病毒；

　　（４）防止病毒在系统中的传染；

　　（５）消除系统中已发现的计算机病毒。

　　任何提供以上一种或数种功能的产品均可归入本类。

　　４．３．４．２类别（Ｃ４２）网络系统病毒防护

　　本类产品提供对网络系统的病毒防护。

　　本类产品的安全功能可归纳为以下五个方面：

　　（１）预防计算机病毒侵入网络系统；

　　（２）检测已侵入网络系统的病毒；

　　（３）定位已侵入网络系统的病毒；

　　（４）防止网络系统中病毒的传染；

　　（５）清除网络系统中已发现的病毒。

　　任何提供以上一种或数种功能的产品均可归入本类。

　　４．３．５类别（Ｃ５０）访问控制

　　本类产品保证系统的外部用户或内部用户对系统资源的访问以及对敏感信息的访问方式符合组织安全策略。本类产品主要包括：出入控制和存取控制。

　　４．３．５．１类别（Ｃ５１）出入控制

　　本类产品主要用于阻止非授权用户进入机构或组织。一般是以电子技术、生物技术或者电子技术与生物技术结合阻止非授权用户进入。

　　本类产品包括：

　　（１）物理通道的控制，例如利用重量检查控制通过通道的人数；

　　（２）门的控制，例如双重门，陷阱门等。

　　凡是采用电子技术、生物特征技术以及与其他技术相结合以实现出入控制的安全产品均可归入本类。

　　４．３．５．２类别（Ｃ５２）存取控制

　　本类产品提供主体访问客体时的存取控制，如通过对授权用户存取系统敏感信息时进行安全性检查，以实现对授权用户的存取权限的控制。

　　本类产品提供的安全功能可归纳为以下四个方面：

　　（１）提供对口令字的管理和控制功能。例如提供一个弱口令字库，禁止用户使用弱口令字，强制用户更换口令字等；

　　（２）防止入侵者对口令字的探测；

　　（３）监测用户对某一分区或域的存取；

　　（４）提供系统中主体对客体访问权限的控制。

　　任何提供以上一种或数种功能的产品均可归入本类。

　　４．３．６类别（Ｃ６０）加密

　　本类产品提供数据加密和密钥管理。

　　４．３．６．１类别（Ｃ６１）加密设备

　　本类产品提供对数据的加密。

　　本类产品提供的安全功能可归纳为以下三个方面：

　　（１）对文字的加密；

　　（２）对语音的加密；

　　（３）对图象、图形的加密。

　　任何提供以上一种或数种功能的产品均可归入本类。

　　４．３．６．２类别（Ｃ６２）密钥管理

　　本类产品提供对密钥的管理。例如证书授权中心（提供对用户的公开密钥的管理）和密钥恢复，都属于本类。

　　本类产品的安全功能可归纳为六个方面：

不分页显示　　　总共2页　　1 [2]

　　下一页

江苏省人大常委会


江苏省国有企业法定代表人任期经济责任审计条例
江苏省人民代表大会常务委员会


《江苏省国有企业法定代表人任期经济责任审计条例》已由江苏省第九届人民代表大会常务委员会第十三次会议于1999年12月21日通过，现予公布，自2000年3月1日起施行。

第一章 总则
第一条 为了加强对国有企业法定代表人的监督，正确评价其任期经济责任，促进国有企业加强和改善经营管理，保障国有资产保值增值，根据《中华人民共和国审计法》和有关法律、行政法规的规定，结合本省实际，制定本条例。
第二条 本省国有企业法定代表人的任期经济责任审计（以下简称任期审计），适用本条例。
本条例所称国有企业包括国有独资企业、国有资产占控股或者主导地位的企业。
本条例所称任期经济责任，是指国有企业法定代表人在任职期间，对其所在企业资产、负债、损益的真实性、合法性、效益性，国有资产的安全、保值、增值，以及有关经济活动应当负有的责任。
第三条 国有企业法定代表人任期届满或者任期内办理调任、免职、辞职、退休等事项前，应当实施任期审计。
国有企业法定代表人因特殊情况确需先离职的，经有权机关、单位批准可以先办理离职手续，再实施任期审计。
国有企业出售、拍卖和破产，或者发生改制、改组、兼并等情况且法定代表人变更时，应当对其法定代表人实施任期审计。
第四条 县级以上地方人民政府审计机关负责实施国家和本条例规定范围的任期审计事项，并对本行政区域内任期审计工作进行业务指导和监督。
第五条 实施任期审计应当以法律、法规为依据，坚持独立审计、实事求是、客观公正的原则。
第六条 任期审计的结果，应当作为考核、任免和奖惩国有企业法定代表人的重要依据。
第七条 县级以上地方人民政府应当加强对任期审计工作的领导，充实审计力量，保障任期审计的实施。
审计机关实施任期审计所必需的经费应当列入本级人民政府专项财政预算，由本级人民政府予以保证。
第八条 审计机关和内部审计机构实施任期审计，不得向被审计的企业收取任何费用；社会审计机构受委托办理任期审计事项，由委托方支付审计费用。
实施任期审计应当在国家和本条例规定的审计管辖范围内进行，严格防止不必要的重复审计。

第二章 审计组织和审计管辖
第九条 国有企业法定代表人任期审计事项由下列审计组织实施：
（一）省、市、县（市、区）审计机关；
（二）国有企业的上级单位或者主要出资方（以下统称出资方）内部审计机构；
（三）依法成立的社会审计机构。
第十条 县级以上地方人民政府委派的国有企业法定代表人的任期审计，由审计机关直接实施审计，也可以由审计机关或者有关部门委托社会审计机构实施审计；对法定代表人所在企业的控股企业，可以由法定代表人所在企业组织力量在审计机关指导下进行审计，将审计情况提交审计
机关。
其他国有企业法定代表人的任期审计，由其所在企业出资方内部审计机构实施审计，也可以由其所在企业出资方委托社会审计机构实施审计。
审计机关对本条第二款所指国有企业法定代表人的任期审计事项，必要时可以直接实施审计。
第十一条 审计机关实施任期审计，应当依照法定代表人所在企业的财务隶属关系或者国有资产监督管理关系确定审计管辖范围。
国有企业的财务隶属关系或者国有资产监督管理关系与国有企业法定代表人的人事管理关系不一致的，其管辖范围由上级审计机关确定。
第十二条 上级审计机关对其审计管辖范围内的任期审计事项，必要时可以授权下级审计机关实施审计；上级审计机关对下级审计机关审计管辖范围内的重大任期审计事项，可以直接实施审计。
第十三条 审计机关应当建立健全任期审计监督管理制度和工作业务规范，组织审计人员业务培训，加强行风建设，规范审计行为；对内部审计机构任期审计业务进行指导和监督，对社会审计组织任期审计业务质量进行监督检查，并向本级人民政府报告任期审计工作情况。
第十四条 审计人员应当具备与任期审计工作相适应的专业知识和业务能力，遵守职业规范，保守国家秘密和在任期审计实施中知悉的商业秘密，不得徇私舞弊、弄虚作假、谋取私利。
第十五条 审计人员依法实施任期审计受法律保护。任何组织和个人不得拒绝、阻碍和干涉审计人员依法执行职务，不得打击报复审计人员。
第十六条 被审计的法定代表人及其所在企业认为审计人员与其有利害关系或者其他关系可能影响公正审计的，有权申请审计人员回避。审计人员也可以主动申请回避。
审计人员是否回避，由审计组织负责人按照《中华人民共和国审计法》、《中华人民共和国注册会计师法》和国家有关规定决定。

第三章 审计内容和审计程序
第十七条 实施任期审计，应当通过对国有企业资产、负债、损益的真实、合法和效益情况的审计，查清国有企业法定代表人在任职期间与企业资产、负债、损益有关的经济指标完成情况以及遵守财经法律、法规和规定的情况，有无侵占国有资产、违反与财务收支有关的廉政规定以及
其他违法、违纪的问题；分清国有企业法定代表人对企业资产、负债、损益不真实，投资效益差以及违反财经法律、法规和规定等方面应当负有的责任。
前款所指国有企业资产、负债、损益的情况，一般应当包括：
（一）企业资产、负债、损益的真实性；
（二）国有资产的安全、完整和保值增值情况；
（三）企业对外投资以及资产处置情况；
（四）企业收益分配情况；
（五）与财务收支有关的企业内部控制制度及其执行情况；
（六）其他需要审计的事项。
第十八条 实施任期审计，以法定代表人所在企业及其控股企业的审计事项为主，并应当运用已有的审计结果，发现重大问题也可以对其他参股法人单位进行调查取证。
第十九条 县级以上地方人民政府委派的国有企业法定代表人的任期审计事项，有关部门应当提前报送本级人民政府批准。审计机关根据本级人民政府指令实施审计。
其他国有企业法定代表人的任期审计事项，由所在企业出资方下达审计指令，其内部审计机构根据审计指令实施审计。
委托社会审计机构实施任期审计的，应当依法签订委托审计协议书。委托方应当在委托审计协议书中提出任期审计的内容和要求。社会审计机构应当依照委托审计协议书的约定实施任期审计。
第二十条 承担任期审计的审计机关、内部审计机构应当在接到审计指令后十五日内制定审计计划，作出审计安排。实施任期审计应当组成审计组，并于实施审计三日前，向被审计的法定代表人所在企业送达审计通知书，同时抄送被审计的法定代表人。
委托社会审计机构实施任期审计的，委托方应当在审计实施三日前通知被审计的法定代表人及其所在企业。社会审计机构应当组成审计组，实施任期审计时，应当出示委托审计协议书。
第二十一条 被审计的法定代表人所在企业接到审计通知后，应当组织自查，做好接受审计的有关准备工作，并按照规定的期限和要求提供下列资料：
（一）企业银行帐户开设情况资料；
（二）会计凭证、会计帐簿、会计报表、年度财务报告等财务会计资料；
（三）企业财产盘点、清查和债权、债务清理以及对外投资、担保等资料；
（四）经济考核指标、章程、协议、合同等资料；
（五）有关的内控制度建立以及执行情况资料；
（六）国有资产产权证明和国家资本金变动等资料；
（七）有关经济管理监督部门的检查报告、处理意见和社会审计机构的审计查证报告；
（八）其他有关任期审计的资料。
第二十二条 被审计的法定代表人接到审计通知后应当按照要求，对其负有主管责任和直接责任的企业资产，负债、损益事项和遵守廉政纪律等情况，写出书面材料，并于现场审计开始之日起五日内送交审计组。
第二十三条 被审计的法定代表人及其所在企业应当保证所提供的材料和资料真实、完整，不得转移、隐匿、篡改、伪造或者毁弃资料，不得转移或者隐匿有关资产。
第二十四条 审计组在实施任期审计时，应当听取董事会、监事会、企业工会和职工的意见。
第二十五条 审计组应当在实施审计之日起六十日内完成审计，确需延长审计时间的，应当经派出单位或者委托方同意，并通知被审计的法定代表人及其所在企业。
第二十六条 审计组完成审计后，应当向其派出单位提交审计报告，对法定代表人任期经济责任作出客观、公正的评价。审计报告提交前，应当征求被审计的法定代表人及其所在企业的意见。被审计的法定代表人及其所在企业应当在接到审计报告之日起十日内，提出书面意见，逾期未
提意见的，视为无异议。
被审计的法定代表人、所在企业对审计报告有异议的，审计组应当进一步核实情况，根据所核实的情况对审计报告作必要修改，并将他们的书面意见一并提交其派出单位，同时将核实和修改的情况告知被审计的法定代表人及其所在企业。
审计组应当对其提交的审计报告承担有关责任，派出单位发现审计报告有问题或者重要事项不予指明的，应当督促审计组进行校核更正。
第二十七条 审计机关审定期派出的审计组的审计报告，向本级人民政府提交审计结果报告，同时抄送有关部门。
内部审计机构审核审计组的审计报告后，报所在单位负责人审定，审定后的审计报告应当抄送同级审计机关。
委托审计的，由社会审计机构审定审计报告后，连同被审计的法定代表人及其所在企业的书面意见一并提交委托方，委托方应当将审计报告抄送同级审计机关。
第二十八条 审计机关和内部审计机构对被审计的法定代表人所在企业违反财经法律、法规的行为，需要依法给予处理、处罚的，应当在法定职权范围内作出审计决定或者向有关部门提出处理、处罚建议。
受委托实施任期审计的社会审计机构对被审计的法定代表人所在企业违反财经法律、法规的行为，应当向委托方如实反映，并有权向有关机关举报。

第四章 法律责任
第二十九条 违反本条例第三条、第十九条规定未实施任期审计的，由地方人民政府或者有关部门责令改正，并可以通报批评，给予警告；造成经济损失或者国有资产流失的，依法追究有关人员的责任。
第三十条 被审计的法定代表人有下列行为之一的，由有权机关、单位依法查处；构成犯罪的，依法追究刑事责任：
（一）弄虚作假、虚报经营业绩的；
（二）违反国家规定低价折股或者低价出售国有资产的；
（三）以单位名义将国有资产集体私分给个人的；
（四）贪污、行贿受贿、挪用公款的；
（五）其他违反财经法律、法规的行为。
第三十一条 被审计的法定代表人所在企业违反本条例规定，拒绝、阻碍任期审计，或者拒绝、拖延提供与任期审计事项有关的资料、证明材料的，由审计机关责令改正或者由出资方予以纠正；审计机关可以通报批评，给予警告，拒不改正的，处以五万元以下的罚款。审计机关认为应
当对负有直接责任的主管人员和其他直接责任人员给予行政处分或者纪律处分的，向有关部门、单位提出给予处分的建议，有关部门、单位应当依法及时作出决定；构成犯罪的，依法追究刑事责任。
依照前款规定追究责任后，被审计的法定代表人所在企业仍必须接受有关任期审计的监督。
第三十二条 被审计的法定代表人所在企业违反本条例规定，转移、隐匿、篡改、伪造、毁弃有关任期审计资料的，审计机关、出资方应当予以制止；审计机关可以责令交出、改正或者采取补救措施，直至依法采取取证、暂时封存的措施。转移、隐匿有关资产的，审计机关、出资方应
当予以制止，或者提请有关机关、本级人民政府予以制止，直至依法申请人民法院采取财产保全措施。
审计机关认为对前款所列行为负有直接责任的主管人员和其他直接责任人员应当给予行政处分或者纪律处分的，向有关部门、单位提出给予处分的建议，有关部门、单位应当及时作出决定；构成犯罪的，依法追究刑事责任。
第三十三条 打击报复或者陷害检举人、证明人、资料提供人和审计人员的，由有关机关、单位责令改正，给予行政处分或者纪律处分；给被侵害人造成损失的，应当依法给予赔偿；构成犯罪的，依法追究刑事责任。
第三十四条 审计机关和内部审计机构的审计人员有下列行为之一的，由其所在单位、有关机关给予行政处分或者纪律处分；对违法、违纪取得的财物，依法予以追缴、没收或者责令退赔；构成犯罪的，依法追究刑事责任：
（一）利用职权谋取私利的；
（二）徇私舞弊弄虚作假的；
（三）玩忽职守的；
（四）泄露国家秘密或者商业秘密的；
（五）索贿受贿的。
第三十五条 社会审计机构故意出具虚假的审计报告或者明知有重要事项不予指明的，由省人民政府财政部门给予警告，没收违法所得，可以并处违法所得一倍以上五倍以下的罚款，情节严重的，可以暂停其经营业务或者予以撤销；对责任人给予警告，情节严重的，可以暂停其执行业
务或者吊销注册会计师证书；构成犯罪的，依法追究刑事责任。
第三十六条 当事人对行政处罚决定不服的，可以依法申请行政复议或者提起行政诉讼。

第五章 附则
第三十七条 实行公司制的国有企业经理，经董事会决定进行任期审计的，适用本条例。
第三十八条 城镇集体企业、企业化管理的国有事业单位的法定代表人的任期审计，参照本条例执行。
第三十九条 本条例自2000年3月1日起施行。



1999年12月24日