基于DOS的信息安全产品评级准则
作者:法律资料网 时间:2024-07-03 10:04:10 浏览:8798
来源:法律资料网
基于DOS的信息安全产品评级准则
公安部
基于DOS的信息安全产品评级准则
公安部
1998/06/01
【题注】(GA174-1998 Evaluation Criteria for DOS-based Information Security Products)
前言
为了贯彻《中华人民共和国计算机信息系统安全保护条例》的精神,并配合计算机信息系统安全专用产品的销售许可证制度的实施,公安部计算机管理监察司委托天津市公安局计算机管理监察处和海军计算技术研究所共同编写《基于DOS的信息安全产品评级准则》。
本标准在技术上参照了美国DOD5200.28-STD可信计算机系统评估准则。
本标准由公安部计算机管理监察司提出;
本标准由公安部信息标准化技术委员会归口;
本标准起草单位:天津市公安局计算机管理监察处
海军计算技术研究所
本标准主要起草人:张健,周瑞平,王学海,张双桥,高新宇
1.范围
本标准的适用对象为基于DOS操作系统的信息安全产品。基于DOS的信息安全产品是指保护DOS操作系统环境下的信息免受故意的或偶然的非授权的泄漏、篡改和破坏的软件、硬件或软硬件结合产品,以及用于产品安装、执行、恢复的相关设施。在本标准中,对安全产品的评级等同于对加装了该安全产品的DOS操作系统的安全性能的评级。
标准根据安全产品的性能将其分为三个等级。从最低级d到最高级b,其安全保护性能逐级增加。
2.引用标准
美国DOD5200.28-STD可信计算机系统评估准则。
3.术语
3.1 客体 Object
含有或接收信息的被动实体。客体的例子如:文件、记录、显示器、键盘等。
3.2 主体 Subject
引起信息在客体之间流动的人、进程或装置等。
3.3 安全策略 Security policy
有关管理、保护和发布敏感信息的法律、规章和技术标准。
3.4 可信计算基 Trusted ComPuting Base-TCB
操作系统中用于实现安全策略的一个集合体(包含软件、固件和硬件),该集合体根据安全策略来处理主体对客体的访问,并满足以下特征:
a.TCB实施主体对客体的安全访问;
b.TCB是抗篡改的;
C.TCB的结构易于分析和测试。
3.5 安全策略模型 Security Policy Model
用于实施系统安全策略的模型,它表明信息的访问控制方式,以及信息的流程。
3.6 敏感标记 Sensitivity Label
表明一个客体的安全级并描述该客体中数据的敏感度(例如:密级)的一条信息。TCB依据敏感标记进行强制性访问控制。
3.7 用户访问级 User's Clearance
用户访问敏感信息的级别。
3.8 最小特权原理 Least Provilege Theorem
系统中的每个主体执行授权任务时,仅被授予完成任务所必需的最小访问权。
3.9 关键保护元素 Protection Critical Element
有TCB中,用来处理主体和客体间的访问控制的关键元素。
3.10 审计踪迹 Audit Trail
能提供客观证明的一组记录,用于从原始事务追踪到有关的记录,或从记录追踪到其原始事务。
3.11 信道 Channel
系统内的信息传输路径。
3.12 可信信道 Trusted Channel
符合系统安全策略的信道。
3.13 隐蔽信道 Covert Channel
违反系统安全策略的信道。
3.14 自主访问控制 Discretionary Access Control
根据主体身份或者主体所属组的身份或者二者的结合,对客体访问进行限制的一种方法。具有某种访问权的主体能够自行决定将其访问权直接或间接地转授给其它主体。
3.15 强制访问控制 Mandatory Access Control
根据客体中信息的敏感标记和访问敏感信息的主体的访问级对客体访问实行限制的一种方法。
4.评级等级
本标准将安全产品分为局部保护级、自主保护级、强制保护级三个等级。为便于和可信计算机系统评估准则互为参照,又表示有别于该标准,用d,c,b表示。
4.1 局部保护级(d)
提供一种或几种安全功能,但又未能达到c级标准的产品。
4.1.1 安全功能
必须明确定义每项安全功能预期达到的目标,描述为达到此目标而采用的TCB的安全机制及实现技术。
4.1.2 安全测试
必须对产品文档所述的安全功能进行测试,以确认其功能与文档描述相一致。
4.1.3 文档
安全特征用户指南文档要清楚地描述产品的保护原理、使用方法、使用限制及适用范围。
要提供一个测试文档,描述该产品的测试计划、安全机制的测试过程及安全功能测试的结果。
4.2 自主保护级(c)
c级主要提供自主访问控制功能,并通过审计手段,能对主体行为进行审查。
4.2.1 安全策略
4.2.1.1 自主访问控制
TCB需定义并控制系统中主体对客体的访问机制,所采用的机制(如访问控制表)要明确规定特定主体对其它主体控制下的信息的访问类型。系统和用户设定的自主访问控制机制,能保证受保护的客体不会被未经授权的用户访问。对客体没有访问权限的用户,只有对该客体有授权能力的用户才能为其指定访问权限。
4.2.1.2 客体再用
在将TCB的空闲存储客体池中客体初始指定、分配或再分配给一个主体之前,所有对于存储客体所含信息的授权都必须被撤销。当主体获得对一个已被释放的存储客体的访问权时,由原主体活动所产生的任何信息对当前主体都是不可获得的。
4.2.2 责任核查
4.2.2.1 身份鉴别
用户在要求TCB执行任何动作之前,必须首先向TCB表明自己的身份;TCB要使用保护机制(如:口令)来鉴别用户身份。为了防止任何未经授权的用户对鉴别数据进行访问,TCB要对鉴别数据进行保护。TCB需提供唯一标识每个系统用户的机制,并将用户的所有可审计行为与用户的标识联系起来。
4.2.2.2 审计
TCB必须能创建、维护由主体实施的操作(例如:读、删和改等)的审计记录。TCB要记录下列类型的事件:使用身份鉴别机制;客体的引用;客体的删除;以及其它与安全有关的事件。对于每一个记录事件,审计记录需标识:事件发生的日期和时间、用户、事件类型及事件的成功和失败。由可信软件执行的单个操作,如果对用户是完全透明的,则不必进行审计。TCB要保护审计数据,使得只有授权用户才能访问。
4.2.3 保证
4.2.3.1 操作保证
4.2.3.1.1 系统体系结构
TCB要在封闭的域中运行,使其不受外部干扰或篡改(例如:代码或数据结构的修改)。TCB要隔离受保护资源,以满足访问控制和审计的需求。
4.2.3.1.2 系统完整性
要提供相应的硬件或软件,用于定期确认TCB中硬件或固件元素的正常运行。
4.2.3.1.3 数据完整性
TCB要提供控制机制,以保证多个主体对同一客体访问时客体中数据的正确性和完整性,并且不影响系统的正常运行。
4.2.3.2 生命周期保证
4.2.3.2.1 安全测试
必须对产品文档所述的安全功能进行测试,以确认其功能与文档描述相一致。测试要证实未经授权的用户没有明显的办法可以绕过或攻破TCB的安全保护机制。测试还要搜索TCB中明显的缺陷,这些缺陷可能导致TCB中的外部主体能够违背资源隔离原则,或者对审计数据或鉴别数据进行未经授权的访问。
4.2.4 文档
4.2.4.1 安全特征用户指南
安全特征用户指南要描述TCB提供的保护机制、使用指南、以及保护机制之间的配合方法,必须清楚地描述TCB中安全机制之间的交互作用。
4.2.4.2 可信设施手册
在可信设施手册中,要明确描述TCB所支持的任何预定义用户或主体(例如:系统管理员),要对运行安全功能时必须受到控制的功能和特权提出警告,并清楚地描述上述受控功能和特权之间的关系。如果存在TCB的安全操作的配置选项,应该予以标识。
要提供用于检查和维护审计文件的规程。对每类审计事件,还要提供详细的审计记录结构。
4.2.4.3 测试文档
测试文档要描述安全保护机制的测试计划、测试步骤及其功能测试结果。
4.2.4.4 设计文档
设计文档要描述产品的保护原理,并解释该原理在TCB中的实现,如果TCB由多个不同的模块组成,还应描述各模块间的接口。
4.3 强制保护级(b)
b级的主要要求是:TCB能维护敏感标记及其完整性,并利用敏感标记来实施强制访问控制规则,b级的系统必须使系统中的主要数据结构带有敏感标记。系统开发者必须提供作为TCB基础的安全策略实现模型以及TCB的规约。
4.3.1 安全策略
4.3.1.1 自主访问控制
TCB需定义并控制系统中主体对客体的访问控制,所采用的机制(如访问控制表)要明确规定特定主体对其它主体控制下的信息的访问类型。自主访问控制机制应限制访问权限的扩展。系统和用户设定的自主访问控制机制,能保证受保护的客体不会被未经授权的用户访问。对客体没有访问权限的用户,只有对客体有授权能力的用户才能为其指定访问权限。
4.3.1.2 客体再用
在将TCB的空闲存储客体池中客体初始指定、分配或再分配给一个主体之前,所有对于存储客体所含信息的授权都必须被撤销。当主体获得对一个已被释放的存储客体的访问权时,由原主体活动所产生的任何信息对当前主体都是不可获得的。
4.3.1.3 标记
TCB要维护与每一主体及其可能访问的系统资源相关的敏感标记,以此作为强制访问控制决策的基础。系统必须明确规定需要标记的客体(如文件、外部设备等)与不需要标记的客体(如:用户不可见的内部资源)。对于需要标记的客体,系统要明确定义客体标记的粒度。除了不需要标记的客体外,所有其它客体从TCB外部观点看都要有明显标记。在输入未标记数据时,必须由授权用户向TCB提供这些数据的安全级别,而且所有这些行为都可以由TCB进行审计。
4.3.1.3.1 标记完整性
敏感标记必须准确地表示出与其相关的具体主体或客体的安全级别。当TCB输出敏感标记时,输出标记的外部表示要与其内部标记一致,并与输出的信息相关联。
4.3.1.3.2 标记信息的输出
TCB要能维护并审计与通信信道或I/O设备相关联的安全级别的任何变动。
4.3.1.3.3 主体标记
在TCB与用户交互期间,如果与用户有关的安全级发生任何变化,TCB应立刻通知用户。
4.3.1.3.4 设备标记
TCB应能对所辖的物理设备指定最小和最大安全级。TCB要使用这些安全级,在设备所处的物理环境中对设备的使用施加约束。
4.3.1.4 强制访问控制
TCB必须对所有可被TCB外部主体直接或间接访问的资源(例如:主体、存储客体、物理设备等)实施强制访问控制策略。必须为这些主体和资源指定敏感标记(它们是级别和类别的组合),这些标记将作为强制访问控制决策的基础。所有由TCB所控制的主体对客体的访问必须遵循以下规则:仅当主体的级别高于或等于客体的级别,且主体安全等级中的类别包含客体安全等级中的所有类别时,主体才能读客体;仅当主体的级别低于或等于客体的级别,且主体安全等级中的所有类别包含于客体安全等级中的类别时,主体才能写客体。TCB要使用标识和鉴别数据来鉴别用户的身份,并确保用户的访问级和授权高于或等于代表该用户的TCB外部主体的安全等级和授权。
4.3.2 责任核查
4.3.2.1 身份鉴别
用户在要求TCB执行任何动作之前,必须首先向TCB表明自己的身份。TCB要使用保护机制(如:口令)来鉴别用户身份。TCB必须保护鉴别数据,该数据不仅包含验证用户身份的信息(例如:口令),也包含确定用户访问级与授权的信息。TCB要使用这些数据来鉴别用户的身份,并确保用户的访问级和授权高于或等于代表该用户的TCB外部主体的安全等级和授权。为了防止任何未经授权的用户对鉴别数据进行访问,TCB必须对鉴别数据进行保护。TCB需提供唯一标识每个操作系统用户的机制,并将用户的所有可审计行为与用户的标识联系起来。
4.3.2.2 可信路径
在对初始登录的用户进行鉴别时,TCB要在它和用户之间维持一条可信信道。经由该路径的通信必须由专门用户或TCB进行初始化。
4.3.2.3 审计
TCB必须能创建、维护由主体实施的操作(例如:读、删和改等)的审计记录。TCB要记录下列类型的事件:使用身份鉴别机制;客体的引用;客体的删除;安全管理员的操作;以及其它与安全有关的事件。对于每一个记录事件,审计记录要标识:事件发生的日期和时间、主体、事件类型及事件的成功和失败。对于客体的引用及删除事件,审计记录还要包含客体名称。安全管理员应能够根据个体身份或个体安全等级有选择地审计一个或多个用户的行为。由可信软件执行的单个操作,如果对用户是完全透明的,则不必进行审计。TCB必须保护审计数据,使得只有授权用户才能对它进行读访问。当发生与安全有关的事件时,TCB要做到:(1)检测事件的发生;(2)记录审计踪迹条目;(3)通知安全管理员。
4.3.3 保证
4.3.3.1 操作保证
4.3.3.1.1 系统体系结构
TCB要在封闭的域中运行,使其不受外部干扰或篡改(例如:代码或数据结构的修改)。由TCB控制的资源可以是系统中主体和客体的一个子集。TCB要隔离受保护资源,以满足访问控制和审计的需求。TCB要通过不同的地址空间来维护进程隔离。TCB的内部要构造成定义良好的独立模块。TCB的模块设计要保证使最小特权原理得以实现。TCB需完整定义其用户接口,并且标识TCB的所有元素。TCB要有效地利用相关硬件把关键保护元素和非关键保护元素分隔开。
4.3.3.1.2 系统完整性
要提供相应的硬件或软件,用于定期确认TCB中硬件或固件元素的正常运行。
4.3.3.1.3 可信设施管理
TCB能支持独立的操作员和管理员功能。
4.3.3.1.4 可信恢复
TCB要提供诸如转贮和日志文件等机制,以保证在系统失效或其它中断发生后的数据恢复过程中不会导致任何安全泄漏。
4.3.3.1.5 数据完整性
TCB要定义及验证完整性约束条件的功能,以维护客体及敏感标记的完整性。
4.3.3.2 生命周期保证
4.3.3.2.1 安全测试
必须对产品文档所述的安全功能进行测试,以确认其功能与文档描述相一致。测试组应充分了解TCB的安全功能的实现,并彻底分析其测试设计文档、源码和目标码,其目标是:发现设计和实现中的所有缺陷,这些缺陷会引起TCB的外部主体能够实施违背强制或自主安全策略的某种操作;同时保证没有任何未授权主体能使TCB进入一种不能响应其它主体发起的通讯的状态。TCB应具有一定的抗渗透能力。必须消除所有被发现的缺陷,重新测试TCB要证实这些缺陷已不再存在且没有引入新的错误。
4.3.3.2.2 设计规约和验证
要证实TCB所支持的安全策略模型符合其安全策略,并在产品运行的整个生命周期中维护这一模型。
4.3.3.2.3 配置管理
在TCB的整个生命周期期间,即TCB的设计、开发和维护期间,要使用配置管理系统来控制对设计数据、实现文档、源代码、目标代码的运行版本、测试装置以及文档的任何更改。配置管理系统要保证与TCB当前版本相关联的所有文档和代码之间的一致映射。要提供从源代码生成TCB新版本的工具。要提供比较新版TCB和原版TCB的工具,只有在确定已按预期方案完成了修改后,才能启用新的TCB版本。
4.3.4 文档
4.3.4.1 安全特征用户指南
安全特征用户指南要描述TCB提供的保护机制、使用指南、以及保护机制之间的配合方法,必须清楚地描述TCB中完全机制之间的交互作用。
4.3.4.2 可信设施手册
在可信设施手册中,必须明确描述TCB所支持的任何预定义用户或主体(例如:系统管理员),要对运行安全功能时必须受到控制的功能和特权提出警告,并清楚地描述上述受控功能和特权之间的关系。如果存在TCB的安全操作的配置选项,应该予以标识。
要提供用于检查和维护审计文件的规程。对每类审计事件,还要提供详细的审计记录结构。
手册必须描述与操作员和管理员有关的安全功能,包括修改用户安全特征的方法。手册还要提供以下信息:如何一致地、有效地使用产品安全功能,安全功能之间的相互作用,以及操作规程、警告和特权。
4.3.4.3 测试文档
测试文档要描述安全保护机制的测试计划、测试步骤及其功能测试结果。
4.3.4.4 设计文档
设计文档要描述产品的保护原理,并解释该原理在TCB中的实现方法,如果TCB由多个不同的模块组成,还应描述各模块间的接口。应该具有TCB所实施的安全策略模型的非形式化或形式化描述,并给出它足以实施该安全策略的理由。要标识特定的TCB保护机制,并给出一个解释以证明它们满足模型。
审计署、人力资源社会保障部、国家公务员局关于印发贯彻加强审计机关公务员队伍专业化建设意见实施办法的通知
审计署 人力资源和社会保障部 国家公务员局
审计署、人力资源社会保障部、国家公务员局关于印发贯彻加强审计机关公务员队伍专业化建设意见实施办法的通知
审人发〔2011〕170号
各省、自治区、直辖市审计厅(局),人力资源社会保障厅(局)、公务员局,新疆生产建设兵团审计局、人事局,审计署机关各单位、各特派员办事处、各派出审计局,南京审计学院:
为推进《关于加强审计机关公务员队伍专业化建设的意见》的贯彻落实,进一步加快审计机关公务员队伍专业化建设进程,审计署、人力资源社会保障部、国家公务员局制定了《关于贯彻加强审计机关公务员队伍专业化建设意见的实施办法》。现予印发,请遵照执行。
审 计 署
人力资源社会保障部
国家公务员局
二○一一年十一月七日
关于贯彻加强审计机关公务员队伍专业化建设意见的实施办法
为适应审计工作需要,加快审计机关公务员队伍专业化建设进程,为审计事业的科学发展提供组织保证和人才支持,根据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》以及审计署、人力资源社会保障部、国家公务员局《关于加强审计机关公务员队伍专业化建设的意见》,制定本实施办法。
一、主要目标
(一)能够直接从事审计业务工作的公务员比例。
审计机关公务员执行审计业务,应当具备相应的专业知识、业务能力和工作经验,并不断提高与其从事业务相适应的职业胜任能力。到2013年,各级审计机关能够直接从事审计业务工作的公务员比例达到80%以上。
(二)专业技术资格比例。
到2013年,审计署具有与审计工作相关的中级及以上专业技术资格的公务员比例原则上要达到70%,其中高级专业技术资格的公务员比例原则上要达到25%。
省级审计机关具有与审计工作相关的中级及以上专业技术资格的公务员比例原则上要达到65%,其中高级专业技术资格的公务员比例原则上要达到20%。
市(地、州)、县(市、区)级审计机关具有与审计工作相关的中级及以上专业技术资格的公务员比例原则上要达到50%,其中高级专业技术资格的公务员比例原则上要达到10%。
(三)专业结构比例。
审计机关公务员队伍的专业结构要适应审计工作需要。到2013年,各级审计机关具有与审计工作相关的经济类、管理类以及法律、计算机、工程等专业背景的公务员比例应达到80%以上。其中法律、计算机、工程等专业背景的公务员比例,应在2010年的基础上有所提高。
(四)文化程度比例。
审计机关45岁及以下的公务员,一般应具有大学本科以上文化程度。到2013年,审计署大学本科以上文化程度的公务员比例达到90%以上;各省级审计机关大学本科以上文化程度的公务员比例达到80%以上;市(地、州)、县(市、区)级审计机关大学本科以上文化程度的公务员比例原则上达到60%以上。
(五)审计专业领军人才和审计业务骨干人才比例。
各级审计机关参照《审计署关于培养审计业务骨干人才和审计专业领军人才的实施意见(试行)》,制定高层次专业人才培养计划。到2013年,审计署符合审计业务骨干人才和审计专业领军人才条件的高层次审计专业人才的比例达到20%以上,省级审计机关符合审计业务骨干人才和审计专业领军人才条件的高层次审计专业人才的比例达到10%以上。
二、具体措施
(一)坚持标准,严把进人关。
1.通过考试录用的公务员,应当具有大学本科以上文化程度。具有与审计工作相关专业技术资格或相关执(职)业资格的人员,同等条件下可优先录用。
2.通过调入方式进入审计机关担任副职领导职务及以下的公务员,特别是从事审计业务工作的人员,除应具有法律法规规定的条件和资格外,一般应当具有大学本科以上文化程度、审计业务专业知识和相关技能,以及5年以上与审计工作相关的财经、法律、计算机、工程、管理等方面的工作经历。
3.审计机关根据审计工作需要,经省级及以上公务员主管部门批准,可以对工程审计、资源环境审计、计算机审计等专业性较强的职位试行聘任制,按照公务员法和聘任合同管理所聘公务员。
(二)切实提高专业素质和业务能力。
1.新录用的公务员,应自进入审计机关3年内通过审计专业技术资格考试。届时不具备初级及以上专业技术资格的公务员,一般不得从事审计复核、审理工作。
2.审计机关担任项目主审的公务员,一般应具有与审计工作相关的中级及以上专业技术资格。
3.审计机关年龄在45岁及以下的公务员,符合审计师资格考试报名条件但未取得审计师等中级及以上专业技术资格或相关执(职)业资格的,应自本办法下发之日起3年内取得审计师等中级及以上专业技术资格或相关执(职)业资格;尚不符合审计师资格考试报名条件的,应在符合条件后3年内取得相应资格。在上述规定时间内不能取得审计师等中级及以上专业技术资格的,不得担任审计组组长、主审。鼓励45岁以上的公务员报名参加审计师等专业技术资格或相关执(职)业资格考试。
4.审计机关公务员拟取得审计专业技术初级、中级资格的,应参加全国统一的审计专业技术资格考试;拟取得高级审计师资格的,应按照国家有关规定,通过考试与评审相结合的方式取得。
(三)深化审计专业技术资格考试(评)工作。
1.深化考试制度改革,增强审计专业技术资格考试命题工作的科学性,强化对参加考试人员能力的考察和测试。
2.完善取得审计专业技术资格人员继续教育制度,实施分层次的继续教育培训。加强中、高级审计师研究能力培训,着力提升审计专业人才从审计实践中发现问题、分析问题、解决问题,并从理论高度系统地进行归纳总结、科学阐述的能力。
(四)加强教育培训工作。
1.鼓励和引导各级审计机关公务员参加审计硕士等专业学位教育,充分发挥学历学位教育在培养复合型、应用型、高层次审计专业人才方面的作用。
2.各级审计机关认真开展任职和初任培训、审计业务培训、审计项目培训、领导能力培训,审计署要做好对省级审计机关厅(局)级和部分正处级公务员、市(地、州)、县(市、区)级审计局局长的轮训工作。
3.开展一定数量的考试辅导培训,帮助审计机关公务员考取审计专业技术资格。
4.加强投资、企业、金融等行业模拟审计实验室建设,推广模拟教学、案例教学等培训方法。
5.加强师资选聘和培养力度,形成规模适当、类别齐全的师资库,促进全国各级审计机关之间师资共享。
6.加大教材和网络课件建设力度,形成包括纸质图书、网络课件、模拟教材等多种形式,涵盖政治类、公共类、法规类、审计类等多个门类的教育培训教材体系。
(五)加大在实践中发现、培养和使用审计专业人才力度。
畅通地方审计机关与审计署之间以及地方各级审计机关之间公务员挂职锻炼渠道,让人才在实践中得到锻炼培养。审计署原则上每年选派30名左右干部到地方审计机关挂职锻炼,省级审计机关选派30名左右干部到审计署挂职锻炼。
三、检查指导
(一)审计署领导全国审计机关公务员队伍专业化建设,省级审计机关负责统一组织本地区审计机关公务员队伍专业化建设工作。上一级审计机关对下一级审计机关专业化建设工作进行指导和检查,并将检查结果作为考核领导班子的重要内容。
审计署人才工作领导小组根据设定的目标要求和各地工作进展情况,对各地专业化建设工作进行重点指导和检查,及时宣传重大举措和先进典型,总结推广好做法、好经验;对存在的问题及时提出意见,促进解决。
(二)建立情况报告制度。审计机关在专业化建设过程中遇到重大政策问题,应逐级上报,由上级审计机关会同有关部门协商解决。各级审计机关应于每年12月底前向上一级审计机关报告年度专业化建设工作情况。
(三)建立年度通报制度。对专业化建设达不到目标的地方审计机关,审计署要向当地党委、政府通报,并提出相关建议。
(四)各级审计机关要加强组织领导和统筹协调,建立长期规划与年度计划相衔接的专业化建设目标体系,分解任务,落实责任,加强查核,形成统一领导、部署有序、上下协调、稳步推进的良性工作机制。
郑州市建设工程勘察设计管理办法
河南省郑州市人民政府
郑州市人民政府令
政府令第90号
《郑州市建设工程勘察设计管理办法》业经2000年8月11日市人民政府第9次常务会议审议通过,现予发布,自2000年9月1日起施行。
市 长 陈义初
二○○○年八月十五日
郑州市建设工程勘察设计管理办法
第一章 总 则
第一条 为加强建设工程勘察设计管理,规范勘察设计行为,保证勘察设计质量,提高投资效益,根据《中华人民共和国建筑法》和国务院发布的《建设工程质量管理条例》,结合本市实际情况,制定本办法。
第二条 凡在本市行政区域内从事建设工程勘察设计活动及其相关的单位和个人,均应遵守本办法。
第三条 建设工程勘察是指依据建设目标,通过对地形、地貌、地质、水文等要素进行测绘、勘察、测试及综合分析评定,查明建设场地和有关范围内的地质、地理环境特征,提供建设所需要的勘察成果资料的活动。
建设工程设计是指依据建设目标,运用工程技术和经济方法,对建设工程的工艺、土木、建筑、公用、装饰、环境等系统进行综合策划、论证,编制建设所需要的设计文件及其相关的活动。
第四条 建设工程勘察设计必须遵守国家有关法律、法规、规章,执行国家和省有关工程建设的标准、规范、规程,坚持选勘察、后设计、再施工的原则,保证建设工程质量。
建设工程设计应当采用成熟的新技术、新工艺、新材料、新设备,符合环境保护要求,有利于节约资源,提高建设工程综合效益。
第五条 市建设行政主管部门负责全市建设工程勘察设计管理工作。
县(市)、上街区建设行政主管部门负责本行政区域内建设工程勘察设计管理工作。
市、县(市)、上街区地质矿产部门对涉及的水文地质、工程地质勘察予以指导。
第二章 资质管理
第六条 从事建设工程勘察、设计的单位应当具备下列条件:
(一)有与其从事业务相适应的管理机构;
(二)有与其从事的勘察设计业务相适应的具有法定执业资格的专业技术人员;
(三)有与其从事业务相适应的技术装备及注册资金;
(四)有固定的办公场所;
(五)法律、法规、规章规定的其他条件。
第七条 从事建设工程勘察设计的单位应当依法取得建设工程勘察或设计资质证书,领取营业执照后,方可从事建设工程勘察、设计业务。
第八条 建设工程勘察设计单位申请办理资质证书,应经市或所在地县(市)、上街区建设行政主管部门初审合格后,按照规定的审批权限逐级上报审批。
第九条 建设工程勘察设计单位申请核定资质等级应提交下列资料:
(一)申请报告;
(二)批准设立文件;
(三)法定代表人和主要技术负责人的任命(聘用)文件;
(四)在职人员统计表、专业技术人员的职称证明及法定执业资格证书;
(五)注册资金的验资证明;
(六)固定办公场所证明;
(七)单位章程及有关管理制度;
(八)技术装备一览表;
(九)其他需要出具的证明材料。
第十条 勘察设计单位资质由市、县(市)、上街区建设行政主管部门实行年度审验。对年度审验不合格的,应报原发证部门,并建议降低资质等级或收回资质证书。
第十一条 勘察设计单位分立、合并、歇业、应自分立、合并、歇业之日起30日内到市、县(市)、上街区建设行政主管部门办理资质核定、注销手续。
勘察设计单位变更名称、地址、法定代表人(单位负责人),应自变更之日起30日内到市、县(市)、上街区建设行政主管部门办理备案手续。
第十二条 勘察设计单位资质证书不得涂改、伪造、转让、出借。
第三章 市场管理
第十三条 建设工程勘察设计单位,应当在其资质等级证书核准的级别、范围内承揽勘察设计业务。
因特殊情况需要超级别或超范围承接勘察设计业务的,经市建设行政主管部门审查同意,按照有关规定办理《勘察设计项目一次性临时许可证》后,可以承担许可范围内的勘察设计业务。
第十四条 外地建设工程勘察设计单位在本市承接工程勘察设计业务,应具有乙级以上资质,并持资质证书、营业执照及其他有关资料到到市或县(市)、上街区建设行政主管部门登记备案。
第十五条 国外或港澳台地区的工程勘察设计单位在本市承接勘察设计业务,按国家有关规定办理。
第十六条 从事勘察设计活动的专业人员,只能在一个勘察设计单位从事勘察设计工作,不得私自挂靠其他勘察设计单位承接勘察设计业务。
第十七条 勘察设计业务承接方应当自行完成承接的勘察设计业务。承接方无能力完成的部分勘察设计业务,经委托方同意,可以委托给其他具有相应资质的分承接方,但必须签订分委托合同,并对分承接方所承接的业务负责。
第十八条 建设工程勘察设计单位不得为其他单位和个人的勘察成果资料、设计文件加盖图签、图章。勘察设计专业技术人员不得为他人的勘察成果资料、设计文件签字或加盖执业印章。
第十九条 勘察、设计单项合同估算价或项目总投资额在应当实行招标范围内的下列建设工程项目,建设单位应当采用招标方式选择勘察设计单位:
(一)基础设施、公用事业等关系社会公共利益、公共安全的项目;
(二)全部或者部分使用国有资产投资或者国家融资的项目;
(三)使用国际组织或进者外国政府贷款、援助资金的项目。
军事工程、保密工程按国家有关规定执行。
第二十条 建设单位原则上应将整个工程建设项目的设计业务委托给一个承接方。但对专业技术性较强的专项设计业务,也可以在保证整个建设项目完整性和统一性的前提下,分别委托给几个承接方。分别委托给几个承接方时,必须选定一个承接方作为主体承接方,负责对整个建设工程项目设计的总体协调。
第二十一条 建设工程勘察设计项目发包后,建设单位应与承包单位签订书面勘察设计合同。签订合同应使用统一的合同文本。
建设工程勘察设计合同签订后10日内,承包单位应将合同书送交市或所在地的县(市)、上街区建设行政主管部门登记备案。
第二十二条 勘察设计费用应当依据国家有关规定由双方在合同中约定。合同双方不得违反国家有关最低收费标准的规定压低勘察设计费用,不得不按合同约定给付或收取勘察设计费。
第二十三条 任何单位和个人不得抄袭、剽窃其他单位的勘察设计成果。使用其他单位的设计成果,必须征得成果权属单位同意。未经设计单位同意,建设单位不得将委托该单位设计的成果用于本工程以外的工程。
勘察设计成果归勘察设计单位所有。但双方合同另有约定的,从其约定。
第四章 质量管理
第二十四条 勘察设计质量实行行政监督、社会监理、企业自控的管理制度。
建设工程勘察设计单位对本单位编制的勘察设计文件质量负责,因勘察设计文件错误影响建设工程质量的,勘察设计文件编制单位应承担相应责任。
第二十五条 勘察设计文件应符合下列要求:
(一)工程勘察文件应反映工程地质、地形、地貌、水文状况,并数据可靠、评价准确;
(二)工程设计文件应符合工程设计技术标准和合同约定;
(三)工程设计文件应满足相应设计阶段的技术、深度要求,注明工程合理使用年限;
(四)国家对工程勘察设计有强制性标准的,必须执行强制性标准;
(五)设计文件中选用的材料、设备等,应注明其规格、型号、性能等技术指标,但不得指定生产厂家和供应商。
第二十六条 建设工程勘察单位提交或更改的勘察成果文件必须加盖单位公章和专业技术人员注册执业印章。
建设工程设计单位提交或更改的设计文件必须加盖单位公章、出图专用章、设计人员注册执业印章。
第二十七条 建设单位应向勘察设计单位提供勘察设计工作所需的原始资料,并对所提供的真实性、可靠性负责。
建设单位不得明示或暗示设计单位违反工程设计强制性标准,降低建设工程质量。
第二十八条 建设工程设计应当以工程勘察成要为依据。未经工程勘察或工程勘察达不到工程设计要求的,工程设计单位可以要求建设单位提供或补充满足设计要求的工程勘察成果资料。
第二十九条 建设单位应按有关规定将施工图设计文件报市或所在地县(市)、上街区建设行政主管部门审查。施工图设计文件未经审查批准的不得使用。
建设单位报送施工图设计文件审查时,还应提供初步设计文件、工程勘察成果报告及审查机构认为需要的其他资料。
铁道、交通、水利等专业工程的施工图设计文件审查以及国家、省规定由其他部门负责的施工图设计文件审查,由其他部门按有关规定办理。
第三十条 施工图设计文件审查的主要内容:
(一)建筑物的稳定性、安全性审查,包括地基基础和主体结构体系是否安全、可靠;
(二)是否符合消防、节能、环保、抗震、卫生、人防等有关强制性标准、规范;
(三)施工图是否达到规定的深度要求;
(四)是否按照经批准的初步设计文件进行设计;
(五)是否损害国家和社会公众利益。
第三十一条 施工图设计文件审查由建设行政主管部门委托有关审查机构进行审查。对审查合格的,由建设行政主管部门统一加盖设计审查专用章,并发给施工图审查批准书。
施工图设计文件审查应在相关材料报齐后20个工作日内完成并提出审查意见,特级和一级建设项目应在30个工作日内完成并提出审查意见。
第三十二条 建设单位对报送审查的施工图设计文件及相关资料的真实性负责。
施工图设计文件经建设行政主管部门审查批准后,不得擅自修改。如因特殊情况需要对涉及审查主要内容的修改时,必须报请原审查批准的建设行政主管部门审查批准。
第三十三条 从事建设工程施工图设计文件审查的人员必须是从事建设工程勘察设计工作实践10年以上的注册建筑师、注册结构工程师或具有相关专业高级技术职称的人员。
第三十四条 施工图设计文件未经审查或经审查不合格的建设项目,建设行政主管部门不予办理施工许可证。擅自修改施工图设计文件的,竣工验收单位不予验收。
第五章 罚 则
第三十五条 有下列行为之一的,由市、县(市)、上街区建设行政主管部门按照国务院《建设工程质量管理条例》的规定予以处罚:
(一)无资质证书擅自承接勘察设计业务的;
(二)勘察设计单位未经批准超越资质等级证书所核准的级别、范围承接勘察设计业务的;
(三)勘察设计单位为其他单位或个人的勘察成果资料、设计文件加盖本单位图签、图章的;
(四)勘察设计单位未按照工程勘察设计强制性标准进行勘察设计的;
(五)设计单位指定建筑材料、建筑构配件的生产厂家和供应商的;
(六)建设单位明示或暗示设计单位违反工程设计强制性标准,降低建设工程质量的;
(七)施工图设计文件未经审查批准建设单位擅自施工的。
第三十六条 建设单位有下列情形之一的,由市、县(市)、上街区建设行政主管部门责令改正,并可处以3000元以上20000元以下罚款:
(一)擅自修改施工图设计文件的;
(二)未经原勘察设计单位同意,擅自将勘察设计成果用于本工程以外的工程的;
(三)报送审查施工图设计文件及相关资料时弄虚作假的。
第三十七条 有下列行为之一的,由市、县(市)、上街区建设行政主管部门责令改正,并可以处以2000元以上5000元以下罚款;
(一)涂改、伪造、转让、出借勘察设计资质证书及其他证件;
(二)勘察设计单位分立、合并、歇业,未按本办法规定办理资质核定、注销手续的;
(三)外地勘察设计单位在本市承接勘察设计业务,未按本办法规定办理登记备案手续的。
第三十八条 勘察设计单位或建设单位以低于国家规定的最低收费标准收取或给付勘察设计费,不按合同约定收取或给付勘察设计费的,由市、县(市)、上街区建设行政主管部门责令改正,并可处以低于国家规定最低标准部分的二倍以下罚款,但最高不超过30000元。
第三十九条 勘察设计专业技术人员和执业注册人员有下列行为之一的,由市、县(市)、上街区建设行政主管部门责令改正,给予警告,并可处以违法所得五倍以下罚款,但最高不超过30000元:
(一)同时受聘于两个或者两个以上勘察设计单位执业或者私自挂靠其他勘察设计单位执业的;
(二)私下组织、参与承接勘察设计业务活动的;
(三)出借、转让执业资格证书、执业印章和职称证书的;
(四)为其他单位设计文件签字、盖章的。
第四十条 建设行政主管部门工作人员玩忽职守、滥用职权、徇私舞弊、索贿受贿或者以行政权利非法干预勘察设计活动的,由有关部门责令改正,并对直接责任人给予行政处分;构成犯罪的,依法追究刑事责任。
第四十一条 当事人对建设行政主管部门的具体行政行为不服的,可依法申请复议或提起诉讼。
第六章 附 则
第四十二条 本办法自2000年9月1日起施行。
