基于DOS的信息安全产品评级准则
公安部
基于DOS的信息安全产品评级准则
公安部
1998/06/01
【题注】(GA174-1998 Evaluation Criteria for DOS-based Information Security Products)
前言
为了贯彻《中华人民共和国计算机信息系统安全保护条例》的精神,并配合计算机信息系统安全专用产品的销售许可证制度的实施,公安部计算机管理监察司委托天津市公安局计算机管理监察处和海军计算技术研究所共同编写《基于DOS的信息安全产品评级准则》。
本标准在技术上参照了美国DOD5200.28-STD可信计算机系统评估准则。
本标准由公安部计算机管理监察司提出;
本标准由公安部信息标准化技术委员会归口;
本标准起草单位:天津市公安局计算机管理监察处
海军计算技术研究所
本标准主要起草人:张健,周瑞平,王学海,张双桥,高新宇
1.范围
本标准的适用对象为基于DOS操作系统的信息安全产品。基于DOS的信息安全产品是指保护DOS操作系统环境下的信息免受故意的或偶然的非授权的泄漏、篡改和破坏的软件、硬件或软硬件结合产品,以及用于产品安装、执行、恢复的相关设施。在本标准中,对安全产品的评级等同于对加装了该安全产品的DOS操作系统的安全性能的评级。
标准根据安全产品的性能将其分为三个等级。从最低级d到最高级b,其安全保护性能逐级增加。
2.引用标准
美国DOD5200.28-STD可信计算机系统评估准则。
3.术语
3.1 客体 Object
含有或接收信息的被动实体。客体的例子如:文件、记录、显示器、键盘等。
3.2 主体 Subject
引起信息在客体之间流动的人、进程或装置等。
3.3 安全策略 Security policy
有关管理、保护和发布敏感信息的法律、规章和技术标准。
3.4 可信计算基 Trusted ComPuting Base-TCB
操作系统中用于实现安全策略的一个集合体(包含软件、固件和硬件),该集合体根据安全策略来处理主体对客体的访问,并满足以下特征:
a.TCB实施主体对客体的安全访问;
b.TCB是抗篡改的;
C.TCB的结构易于分析和测试。
3.5 安全策略模型 Security Policy Model
用于实施系统安全策略的模型,它表明信息的访问控制方式,以及信息的流程。
3.6 敏感标记 Sensitivity Label
表明一个客体的安全级并描述该客体中数据的敏感度(例如:密级)的一条信息。TCB依据敏感标记进行强制性访问控制。
3.7 用户访问级 User's Clearance
用户访问敏感信息的级别。
3.8 最小特权原理 Least Provilege Theorem
系统中的每个主体执行授权任务时,仅被授予完成任务所必需的最小访问权。
3.9 关键保护元素 Protection Critical Element
有TCB中,用来处理主体和客体间的访问控制的关键元素。
3.10 审计踪迹 Audit Trail
能提供客观证明的一组记录,用于从原始事务追踪到有关的记录,或从记录追踪到其原始事务。
3.11 信道 Channel
系统内的信息传输路径。
3.12 可信信道 Trusted Channel
符合系统安全策略的信道。
3.13 隐蔽信道 Covert Channel
违反系统安全策略的信道。
3.14 自主访问控制 Discretionary Access Control
根据主体身份或者主体所属组的身份或者二者的结合,对客体访问进行限制的一种方法。具有某种访问权的主体能够自行决定将其访问权直接或间接地转授给其它主体。
3.15 强制访问控制 Mandatory Access Control
根据客体中信息的敏感标记和访问敏感信息的主体的访问级对客体访问实行限制的一种方法。
4.评级等级
本标准将安全产品分为局部保护级、自主保护级、强制保护级三个等级。为便于和可信计算机系统评估准则互为参照,又表示有别于该标准,用d,c,b表示。
4.1 局部保护级(d)
提供一种或几种安全功能,但又未能达到c级标准的产品。
4.1.1 安全功能
必须明确定义每项安全功能预期达到的目标,描述为达到此目标而采用的TCB的安全机制及实现技术。
4.1.2 安全测试
必须对产品文档所述的安全功能进行测试,以确认其功能与文档描述相一致。
4.1.3 文档
安全特征用户指南文档要清楚地描述产品的保护原理、使用方法、使用限制及适用范围。
要提供一个测试文档,描述该产品的测试计划、安全机制的测试过程及安全功能测试的结果。
4.2 自主保护级(c)
c级主要提供自主访问控制功能,并通过审计手段,能对主体行为进行审查。
4.2.1 安全策略
4.2.1.1 自主访问控制
TCB需定义并控制系统中主体对客体的访问机制,所采用的机制(如访问控制表)要明确规定特定主体对其它主体控制下的信息的访问类型。系统和用户设定的自主访问控制机制,能保证受保护的客体不会被未经授权的用户访问。对客体没有访问权限的用户,只有对该客体有授权能力的用户才能为其指定访问权限。
4.2.1.2 客体再用
在将TCB的空闲存储客体池中客体初始指定、分配或再分配给一个主体之前,所有对于存储客体所含信息的授权都必须被撤销。当主体获得对一个已被释放的存储客体的访问权时,由原主体活动所产生的任何信息对当前主体都是不可获得的。
4.2.2 责任核查
4.2.2.1 身份鉴别
用户在要求TCB执行任何动作之前,必须首先向TCB表明自己的身份;TCB要使用保护机制(如:口令)来鉴别用户身份。为了防止任何未经授权的用户对鉴别数据进行访问,TCB要对鉴别数据进行保护。TCB需提供唯一标识每个系统用户的机制,并将用户的所有可审计行为与用户的标识联系起来。
4.2.2.2 审计
TCB必须能创建、维护由主体实施的操作(例如:读、删和改等)的审计记录。TCB要记录下列类型的事件:使用身份鉴别机制;客体的引用;客体的删除;以及其它与安全有关的事件。对于每一个记录事件,审计记录需标识:事件发生的日期和时间、用户、事件类型及事件的成功和失败。由可信软件执行的单个操作,如果对用户是完全透明的,则不必进行审计。TCB要保护审计数据,使得只有授权用户才能访问。
4.2.3 保证
4.2.3.1 操作保证
4.2.3.1.1 系统体系结构
TCB要在封闭的域中运行,使其不受外部干扰或篡改(例如:代码或数据结构的修改)。TCB要隔离受保护资源,以满足访问控制和审计的需求。
4.2.3.1.2 系统完整性
要提供相应的硬件或软件,用于定期确认TCB中硬件或固件元素的正常运行。
4.2.3.1.3 数据完整性
TCB要提供控制机制,以保证多个主体对同一客体访问时客体中数据的正确性和完整性,并且不影响系统的正常运行。
4.2.3.2 生命周期保证
4.2.3.2.1 安全测试
必须对产品文档所述的安全功能进行测试,以确认其功能与文档描述相一致。测试要证实未经授权的用户没有明显的办法可以绕过或攻破TCB的安全保护机制。测试还要搜索TCB中明显的缺陷,这些缺陷可能导致TCB中的外部主体能够违背资源隔离原则,或者对审计数据或鉴别数据进行未经授权的访问。
4.2.4 文档
4.2.4.1 安全特征用户指南
安全特征用户指南要描述TCB提供的保护机制、使用指南、以及保护机制之间的配合方法,必须清楚地描述TCB中安全机制之间的交互作用。
4.2.4.2 可信设施手册
在可信设施手册中,要明确描述TCB所支持的任何预定义用户或主体(例如:系统管理员),要对运行安全功能时必须受到控制的功能和特权提出警告,并清楚地描述上述受控功能和特权之间的关系。如果存在TCB的安全操作的配置选项,应该予以标识。
要提供用于检查和维护审计文件的规程。对每类审计事件,还要提供详细的审计记录结构。
4.2.4.3 测试文档
测试文档要描述安全保护机制的测试计划、测试步骤及其功能测试结果。
4.2.4.4 设计文档
设计文档要描述产品的保护原理,并解释该原理在TCB中的实现,如果TCB由多个不同的模块组成,还应描述各模块间的接口。
4.3 强制保护级(b)
b级的主要要求是:TCB能维护敏感标记及其完整性,并利用敏感标记来实施强制访问控制规则,b级的系统必须使系统中的主要数据结构带有敏感标记。系统开发者必须提供作为TCB基础的安全策略实现模型以及TCB的规约。
4.3.1 安全策略
4.3.1.1 自主访问控制
TCB需定义并控制系统中主体对客体的访问控制,所采用的机制(如访问控制表)要明确规定特定主体对其它主体控制下的信息的访问类型。自主访问控制机制应限制访问权限的扩展。系统和用户设定的自主访问控制机制,能保证受保护的客体不会被未经授权的用户访问。对客体没有访问权限的用户,只有对客体有授权能力的用户才能为其指定访问权限。
4.3.1.2 客体再用
在将TCB的空闲存储客体池中客体初始指定、分配或再分配给一个主体之前,所有对于存储客体所含信息的授权都必须被撤销。当主体获得对一个已被释放的存储客体的访问权时,由原主体活动所产生的任何信息对当前主体都是不可获得的。
4.3.1.3 标记
TCB要维护与每一主体及其可能访问的系统资源相关的敏感标记,以此作为强制访问控制决策的基础。系统必须明确规定需要标记的客体(如文件、外部设备等)与不需要标记的客体(如:用户不可见的内部资源)。对于需要标记的客体,系统要明确定义客体标记的粒度。除了不需要标记的客体外,所有其它客体从TCB外部观点看都要有明显标记。在输入未标记数据时,必须由授权用户向TCB提供这些数据的安全级别,而且所有这些行为都可以由TCB进行审计。
4.3.1.3.1 标记完整性
敏感标记必须准确地表示出与其相关的具体主体或客体的安全级别。当TCB输出敏感标记时,输出标记的外部表示要与其内部标记一致,并与输出的信息相关联。
4.3.1.3.2 标记信息的输出
TCB要能维护并审计与通信信道或I/O设备相关联的安全级别的任何变动。
4.3.1.3.3 主体标记
在TCB与用户交互期间,如果与用户有关的安全级发生任何变化,TCB应立刻通知用户。
4.3.1.3.4 设备标记
TCB应能对所辖的物理设备指定最小和最大安全级。TCB要使用这些安全级,在设备所处的物理环境中对设备的使用施加约束。
4.3.1.4 强制访问控制
TCB必须对所有可被TCB外部主体直接或间接访问的资源(例如:主体、存储客体、物理设备等)实施强制访问控制策略。必须为这些主体和资源指定敏感标记(它们是级别和类别的组合),这些标记将作为强制访问控制决策的基础。所有由TCB所控制的主体对客体的访问必须遵循以下规则:仅当主体的级别高于或等于客体的级别,且主体安全等级中的类别包含客体安全等级中的所有类别时,主体才能读客体;仅当主体的级别低于或等于客体的级别,且主体安全等级中的所有类别包含于客体安全等级中的类别时,主体才能写客体。TCB要使用标识和鉴别数据来鉴别用户的身份,并确保用户的访问级和授权高于或等于代表该用户的TCB外部主体的安全等级和授权。
4.3.2 责任核查
4.3.2.1 身份鉴别
用户在要求TCB执行任何动作之前,必须首先向TCB表明自己的身份。TCB要使用保护机制(如:口令)来鉴别用户身份。TCB必须保护鉴别数据,该数据不仅包含验证用户身份的信息(例如:口令),也包含确定用户访问级与授权的信息。TCB要使用这些数据来鉴别用户的身份,并确保用户的访问级和授权高于或等于代表该用户的TCB外部主体的安全等级和授权。为了防止任何未经授权的用户对鉴别数据进行访问,TCB必须对鉴别数据进行保护。TCB需提供唯一标识每个操作系统用户的机制,并将用户的所有可审计行为与用户的标识联系起来。
4.3.2.2 可信路径
在对初始登录的用户进行鉴别时,TCB要在它和用户之间维持一条可信信道。经由该路径的通信必须由专门用户或TCB进行初始化。
4.3.2.3 审计
TCB必须能创建、维护由主体实施的操作(例如:读、删和改等)的审计记录。TCB要记录下列类型的事件:使用身份鉴别机制;客体的引用;客体的删除;安全管理员的操作;以及其它与安全有关的事件。对于每一个记录事件,审计记录要标识:事件发生的日期和时间、主体、事件类型及事件的成功和失败。对于客体的引用及删除事件,审计记录还要包含客体名称。安全管理员应能够根据个体身份或个体安全等级有选择地审计一个或多个用户的行为。由可信软件执行的单个操作,如果对用户是完全透明的,则不必进行审计。TCB必须保护审计数据,使得只有授权用户才能对它进行读访问。当发生与安全有关的事件时,TCB要做到:(1)检测事件的发生;(2)记录审计踪迹条目;(3)通知安全管理员。
4.3.3 保证
4.3.3.1 操作保证
4.3.3.1.1 系统体系结构
TCB要在封闭的域中运行,使其不受外部干扰或篡改(例如:代码或数据结构的修改)。由TCB控制的资源可以是系统中主体和客体的一个子集。TCB要隔离受保护资源,以满足访问控制和审计的需求。TCB要通过不同的地址空间来维护进程隔离。TCB的内部要构造成定义良好的独立模块。TCB的模块设计要保证使最小特权原理得以实现。TCB需完整定义其用户接口,并且标识TCB的所有元素。TCB要有效地利用相关硬件把关键保护元素和非关键保护元素分隔开。
4.3.3.1.2 系统完整性
要提供相应的硬件或软件,用于定期确认TCB中硬件或固件元素的正常运行。
4.3.3.1.3 可信设施管理
TCB能支持独立的操作员和管理员功能。
4.3.3.1.4 可信恢复
TCB要提供诸如转贮和日志文件等机制,以保证在系统失效或其它中断发生后的数据恢复过程中不会导致任何安全泄漏。
4.3.3.1.5 数据完整性
TCB要定义及验证完整性约束条件的功能,以维护客体及敏感标记的完整性。
4.3.3.2 生命周期保证
4.3.3.2.1 安全测试
必须对产品文档所述的安全功能进行测试,以确认其功能与文档描述相一致。测试组应充分了解TCB的安全功能的实现,并彻底分析其测试设计文档、源码和目标码,其目标是:发现设计和实现中的所有缺陷,这些缺陷会引起TCB的外部主体能够实施违背强制或自主安全策略的某种操作;同时保证没有任何未授权主体能使TCB进入一种不能响应其它主体发起的通讯的状态。TCB应具有一定的抗渗透能力。必须消除所有被发现的缺陷,重新测试TCB要证实这些缺陷已不再存在且没有引入新的错误。
4.3.3.2.2 设计规约和验证
要证实TCB所支持的安全策略模型符合其安全策略,并在产品运行的整个生命周期中维护这一模型。
4.3.3.2.3 配置管理
在TCB的整个生命周期期间,即TCB的设计、开发和维护期间,要使用配置管理系统来控制对设计数据、实现文档、源代码、目标代码的运行版本、测试装置以及文档的任何更改。配置管理系统要保证与TCB当前版本相关联的所有文档和代码之间的一致映射。要提供从源代码生成TCB新版本的工具。要提供比较新版TCB和原版TCB的工具,只有在确定已按预期方案完成了修改后,才能启用新的TCB版本。
4.3.4 文档
4.3.4.1 安全特征用户指南
安全特征用户指南要描述TCB提供的保护机制、使用指南、以及保护机制之间的配合方法,必须清楚地描述TCB中完全机制之间的交互作用。
4.3.4.2 可信设施手册
在可信设施手册中,必须明确描述TCB所支持的任何预定义用户或主体(例如:系统管理员),要对运行安全功能时必须受到控制的功能和特权提出警告,并清楚地描述上述受控功能和特权之间的关系。如果存在TCB的安全操作的配置选项,应该予以标识。
要提供用于检查和维护审计文件的规程。对每类审计事件,还要提供详细的审计记录结构。
手册必须描述与操作员和管理员有关的安全功能,包括修改用户安全特征的方法。手册还要提供以下信息:如何一致地、有效地使用产品安全功能,安全功能之间的相互作用,以及操作规程、警告和特权。
4.3.4.3 测试文档
测试文档要描述安全保护机制的测试计划、测试步骤及其功能测试结果。
4.3.4.4 设计文档
设计文档要描述产品的保护原理,并解释该原理在TCB中的实现方法,如果TCB由多个不同的模块组成,还应描述各模块间的接口。应该具有TCB所实施的安全策略模型的非形式化或形式化描述,并给出它足以实施该安全策略的理由。要标识特定的TCB保护机制,并给出一个解释以证明它们满足模型。
福建省建设工程质量管理条例
福建省人大常委会
福建省建设工程质量管理条例
福建省人民代表大会常务委员会关于颁布施行《福建省建设工程质量管理条例》的公告
《福建省建设工程质量管理条例》已由福建省第九届人民代表大会常务委员会第三十三次会议于2002年7月26日通过,现予公布,自2002年10月1日起施行。
福建省人民代表大会常务委员会
2002年7月30日
第一章 总则
第一条为加强对建设工程质量的管理,保证建设工程质量,保护人民生命和财产安全,根据有关法律、法规的规定,结合本省实际,制定本条例。
第二条在本省行政区域内从事建设工程的新建、扩建、改建等有关活动和对建设工程质量实施监督管理的,必须遵守本条例。法律、法规另有规定的,从其规定。本条例所称建设工程,是指土木工程、建筑工程、线路管道和设备安装工程及装修工程。第三条县级以上地方人民政府建设行政主管部门负责对本行政区域内的建设工程质量的监督管理。县级以上地方人民政府交通、水利等有关行政主管部门在各自职责范围内,负责对本行政区域内的专业建设工程质量的监督管理。
第四条建设、勘察、设计、施工、工程监理等单位应当建立和完善建设工程质量责任制,依法对建设工程质量负责。鼓励采用先进的科学技术、施工方法和管理方法,推行质量体系认证制度,确保建设工程质量。加强对建设工程从业人员岗位培训,严格执行技术标准和操作规程,提高质量责任意识。
第二章 建设单位的质量责任和义务
第五条建设单位不得采取下列方式将建设工程肢解发包:
(一)将应当由一个承包单位施工完成的建设工程分解成若干部分发包给不同的承包单位;
(二)将一个单项工程的勘察或者设计分解成若干部分发包;
(三)专业工程不按照工程项目需要任意划分标段分别发包。
第六条建设单位不得要求承包单位垫资承包。建设单位应当向承包单位提供按时支付工程款的担保。建设单位可以要求承包单位提供工程质量担保。
第七条建设单位应当按照建设工程项目管理权限将施工图设计文件报县级以上地方人民政府建设行政主管部门或者交通、水利等有关行政主管部门审查批准。
第八条建设单位报送施工图设计文件审查时,应当提交下列材料:
(一)立项批准文件;(二)工程勘察成果文件和勘察设计合同副本;(三)初步设计批准文件和主要初步设计文件;(四)施工图设计文件;(五)结构计算书;(六)法律、法规规定的其他文件。
县级以上地方人民政府建设行政主管部门或者交通、水利等有关行政主管部门应当在收到材料之日起三十日内或者法律、法规规定的期限内作出审查结论;合格的,发给施工图设计文件审查批准书;不合格的,书面通知建设单位。大型的或者技术复杂的建设工程的基础部分施工图设计文件可以先行审查,审查期限可以适当延长。
第九条经批准的施工图设计文件因特殊情况确有必要进行修改的,应当由原设计单位修改。修改内容涉及公共利益、公众安全、结构安全、工程建设强制性标准以及提高或者降低装修标准的,应当报原审批部门批准。
第十条建设单位应当在领取施工许可证或者开工报告前,向县级以上地方人民政府建设行政主管部门或者交通、水利等有关行政主管部门办理建设工程质量监督手续,并按照规定提供相关材料。县级以上地方人民政府建设行政主管部门或者交通、水利等有关行政主管部门应当在收到材料之日起十五日内,发给建设工程质量监督通知书。
第十一条建设工程在建设过程中需增加外挂物和构筑物的,建设单位应当委托原设计单位进行统一设计。房屋建筑使用者在装修过程中,不得擅自变动建筑承重结构、原设计立面、色彩、外观格式。
第十二条实行监理的建设工程,建设单位应当委托具备相应资质等级的工程监理单位进行监理。下列建设工程应当实行监理:
(一)国家和省重点建设工程;
(二)大中型基础设施和公共建筑工程;
(三)成片开发建设的住宅小区以及建筑面积五千平方米以上的住宅建设工程;
(四)利用外国政府或者国际组织贷款、援助资金建设的工程;
(五)国家规定应当实行监理的其他建设工程。
第三章 勘察、设计单位的质量责任和义务
第十三条勘察、设计单位必须按照项目批准文件、城市规划、工程建设强制性标准、建设工程勘察、设计的深度要求和合同约定进行勘察、设计。专业建设工程的勘察、设计应当按照专业规划的要求进行勘察、设计。
第十四条设计单位应当根据勘察成果文件进行建设工程设计。建设工程的勘察成果文件应当符合国家规定的设计文件深度要求。建设工程的施工图设计文件深度应当按照国家规定满足施工需要。
第十五条勘察成果、设计文件不符合工程建设强制性标准和合同约定的质量要求的,由原勘察、设计单位改正,并不得另行收取勘察费、设计费。
第十六条勘察、设计单位应当参与建设单位组织的工程地基基础、主体结构及其主要隐蔽工程的验收。
第十七条设计单位应当及时解决施工过程中出现的设计问题。在下列建设工程的地基基础、主体结构、重要设备安装等施工阶段,设计单位应当向施工现场派驻设计代表:
(一)国家和省重点建设工程;(二)大中型公共建筑和大中型基础设施建设工程;(三)超限高层建设工程;(四)专业技术性强的建设工程;(五)采用新技术、新结构的建设工程。
第十八条设计代表应当向施工单位说明设计意图,解释设计文件,跟踪设计文件的实施情况,及时解决施工中出现的设计问题。
第四章 施工单位的质量责任和义务
第十九条施工单位应当依法取得相应的资质证书,并在其资质等级许可的范围内承揽工程。施工单位不得转包或者违法分包工程。
第二十条施工单位应当在施工前按照工程建设标准和设计文件要求编制施工组织设计或者施工方案。
第二十一条建设工程项目经理负责编制工程施工组织设计,制定保证建设工程施工质量的实施方案,对项目范围内的工程施工质量负责。
建设工程项目技术负责人和施工管理负责人应当对建设工程的施工质量承担相应的责任。
第二十二条工程监理人员在施工过程中依法对工程质量提出检测要求的,施工单位应当予以执行。
第二十三条施工单位应当按照设计要求进行施工,使用符合工程设计和质量要求的混凝土、建筑材料、建筑构配件、设备。装修工程使用的材料应当符合室内环境质量标准。施工单位有权拒绝使用设计、工程监理等单位和供水、供电、供气、公安消防、电信、环保等部门指定的生产商、供应商提供的混凝土、建筑材料、建筑构配件、设备。
第二十四条建设工程竣工后,施工单位应当向建设单位提出竣工报告,提交完整的质量保证资料、工程技术经济资料,并向建设单位出具工程质量保修书。
第五章 监理、检测单位的质量责任和义务
第二十五条工程监理单位的法定代表人、总监理工程师及有关工程监理人员,按照各自的职责对所监理的工程施工质量承担相应的监理责任。
第二十六条工程监理人员在实施工程监理时应当真实、完整地出具监理文件资料,按照工程项目提出监理报告。工程监理单位应当在工程竣工后如实出具工程质量评估报告。
第二十七条工程监理单位应当按照建设工程监理规范委派具有相应资质的工程监理人员进驻施工现场,采取旁站、巡视和平行检验等形式,对工程建设活动施行监理。
对建设工程地基基础和主体结构等重要的工程部位的重要工序和影响安全的隐蔽工程应当实行旁站监理。
第二十八条建设工程质量检测单位,必须具备与其业务范围相适应的检测条件和能力,并取得相应的资质证书,方可接受委托从事建设工程质量检测业务。
第二十九条建设工程质量检测单位出具的检测数据和检测结论必须真实、准确,并对检测数据和检测结论负责。
建设工程质量检测单位不得接受与其有隶属关系或者其他利害关系的施工单位,以及建筑材料、建筑构配件、设备的送检单位和供应商的检测业务。
第六章 建设工程验收和保修
第三十条建设工程竣工验收由建设单位组织。建设单位应当在收到建设工程竣工报告之日起三十日内组织设计、勘察、施工、监理等单位进行竣工验收。法律、法规及国务院部门规章另有规定的,从其规定。
第三十一条建设单位应当在组织建设工程竣工验收前七日内将建设工程竣工验收方案书面报告县级以上地方人民政府建设行政主管部门或者交通、水利等有关行政主管部门。
建设工程竣工验收方案应当包括验收条件和验收程序等内容。
第三十二条建设单位应当在建设工程竣工验收合格之日起十五日内,将建设工程竣工验收报告和规划、公安消防、环保等部门出具的认可或者准许使用文件,报县级以上地方人民政府建设行政主管部门或者交通、水利等有关行政主管部门备案。
建设工程竣工验收报告应当包括下列内容:(一)参加竣工验收的单位及人员;(二)竣工验收过程记录;(三)由施工单位签署的工程质量保修书;
(四)勘察、设计、施工、工程监理等有关单位分别签署的质量合格文件。
第三十三条建设单位应当在建设工程竣工验收合格之日起六个月内或者法律、法规规定的期限内,将建设项目档案移交给县级以上地方人民政府建设行政主管部门或者交通、水利等有关行政主管部门。省级以上重点建设工程的竣工验收资料应当按照规定同时送省档案馆保存。
第三十四条县级以上地方人民政府建设行政主管部门或者交通、水利等有关行政主管部门发现建设单位将不合格的建设工程按照合格建设工程验收的,应当责令建设单位停止使用,并进行整改后重新组织竣工验收。
第三十五条建设工程实行质量保修制度。质量保修期自工程竣工验收合格之日起计算。因使用不当、第三方过错以及地震、洪水、台风等不可抗力超过当地工程设防标准造成的质量缺陷,不属本条例规定的保修范围。
第三十六条建设工程在保修期内发生质量问题,由施工单位负责维修。建设单位或者使用单位应当书面通知施工单位,施工单位接到通知后应当到现场核实情况,在工程质量保修书约定的时间内负责维修。发生涉及公共利益、公共安全、结构安全或者严重影响使用功能的紧急抢修事故,施工单位接到保修通知后,应当立即到达现场抢修。施工单位无故拖延的,建设单位或者使用单位有权组织维修,所需费用由施工单位承担。
第三十七条建设工程保修费用按照下列规定承担:
(一)因勘察或者设计单位的责任造成质量问题的,由勘察或者设计单位承担相应的保修费用;
(二)施工单位未按照有关法律、法规、规章、技术规范、质量标准和设计文件的要求施工造成质量问题的,由施工单位负责无偿返修,并承担相应的赔偿责任;
(三)因建设单位的原因造成质量问题的,其保修费用由建设单位自行承担,工程监理单位有责任的,承担连带责任;
(四)因用户使用不当造成质量问题的,其保修费用由用户自行承担。
因双方或者多方的共同行为造成质量问题的,其保修费用由各方按照责任大小分别承担。
第七章 建设工程质量监督管理
第三十八条县级以上地方人民政府建设行政主管部门和交通、水利等有关行政主管部门应当加强对建设工程质量的监督管理,及时查处建设工程质量问题。
省人民政府发展计划行政主管部门按照省人民政府规定的职责,组织稽察特派员,对省级出资的重大建设项目实施监督检查。
省人民政府经济贸易行政主管部门按照省人民政府规定的职责,对省级重大技术改造项目实施监督检查。
第三十九条县级以上地方人民政府建设行政主管部门和交通、水利等有关行政主管部门应当对工程质量进行监督检查,发现建设、勘察、设计、施工、监理单位违反工程质量标准、技术规范要求的,应当书面责令有关责任单位立即改正。
第四十条县级以上地方人民政府建设行政主管部门和交通、水利等有关行政主管部门可以委托建设工程质量监督机构对建设工程质量进行监督。
建设工程质量监督机构必须经省人民政府建设行政主管部门或者交通、水利等有关行政主管部门考核合格并经县级以上地方人民政府建设行政主管部门或者交通、水利等有关行政主管部门委托,方可对建设工程进行质量监督。
第四十一条建设行政主管部门应当建立企业信用档案制度,加强对从事工程建设活动的企业和管理人员、技术人员的动态管理,保证工程质量。
第四十二条对建设工程质量有争议的,或者对建设工程质量检测单位出具的检测结论有异议的,双方当事人可以向建设工程所在地的设区的市的建设工程质量协会提出申请,由工程质量协会组织专家进行鉴定;对鉴定结论有异议的,可以申请省级建设工程质量协会组织专家重新鉴定。对建设工程质量有争议、对检测结论有异议,以及对鉴定结论、重新鉴定结论有异议的,双方当事人也可以依法向人民法院提起民事诉讼。
第四十三条建设工程发生质量事故时,建设单位应当组织勘察、设计、施工、监理等单位提出处理质量事故的技术处理方案,并按照有关规定组织实施。
第四十四条任何单位和个人有权就建设工程质量问题向县级以上地方人民政府建设行政主管部门或者交通、水利等其他有关行政主管部门检举、控告,受理部门应当及时处理。
第八章 法律责任
第四十五条违反本条例第九条规定,施工图设计文件修改未报原审批部门批准,擅自用于施工的,责令改正,处以二十万元以上五十万元以下的罚款。
第四十六条违反本条例第十一条规定的,责令改正,并可以由建设行政主管部门按照下列规定予以处罚:
(一)建设单位未委托设计单位对外挂物和构筑物进行统一设计的,处以一万元以上五万元以下的罚款;
(二)房屋建筑使用者在装修时擅自变动建筑原设计立面、色彩、外观格式的,处以三千元以上三万元以下的罚款。
第四十七条违反本条例第十四条第一款规定,设计单位不根据工程勘察成果文件或者无工程勘察成果文件进行建设工程设计的,责令改正,处以十万元以上三十万元以下的罚款。
第四十八条违反本条例第十七条规定,设计单位未向施工现场派驻设计代表的,责令改正,并处以五千元以上一万元以下的罚款。
第四十九条违反本条例第十九条第二款规定的,责令改正,没收违法所得,并处以工程合同价款百分之零点五以上百分之一以下的罚款;可以责令停业整顿,降低资质等级;情节严重的,吊销资质证书。
第五十条违反本条例第二十三条第一款规定,施工单位使用不符合室内环境质量标准的材料进行装修的,责令改正,并处以装修工程合同价款百分之二以上百分之四以下的罚款。
第五十一条违反本条例第二十六条第一款规定,工程监理人员出具不真实的监理文件资料的,对具有执业资格的直接责任人员予以停止执业三个月至一年的处罚。违反本条例第二十六条第一款规定,工程监理人员出具虚假监理报告的,吊销其资格证书;对工程监理单位处以一万元以上五万元以下的罚款;有违法所得的,予以没收。违反本条例第二十六条第二款规定,工程监理单位出具不真实的工程质量评估报告的,责令改正,对工程监理单位处以五万元以上十万元以下的罚款;情节严重的,责令停业整顿或者降低资质等级。违反本条例第二十六条第二款规定,工程监理单位出具虚假工程质量评估报告的,吊销其资质证书;对工程监理单位处以五万元以上十万元以下的罚款,有违法所得的,予以没收;对具有执业资格的直接责任人员,吊销其资格证书。
第五十二条违反本条例第二十七条第二款规定的,责令改正,并处以一万元以上二万元以下的罚款。
第五十三条违反本条例第二十九第一款规定,按照下列规定予以处罚:
(一)建设工程质量检测单位出具错误的检测结论的,责令改正,并可处一万元以上五万元以下的罚款;情节严重的,责令停业整顿、撤销部分检测业务或者降低资质等级。
(二)建设工程质量检测单位出具虚假的检测结论的,处以五万元以上十万元以下的罚款,吊销资质证书;对具有执业资格的直接责任人员,吊销其资格证书。违反本条例第二十九条第二款规定的,责令改正,并处以一万元以上五万元以下的罚款;有违法所得的,予以没收。因建设工程质量检测单位出具错误的检测数据或者检测结论造成工程质量缺陷的,检测单位应当返还检测费用,并承担赔偿责任。
第五十四条依照本条例规定,给予单位罚款处罚的,对单位直接负责的主管人员和其他直接责任人员处单位罚款数额百分之五以上百分之十以下的罚款。
第五十五条本条例规定的责令停业整顿、降低资质等级和吊销资质证书的行政处罚,由颁发资质证书的机关决定;其他行政处罚,由县级以上地方人民政府建设行政主管部门或者交通、水利等有关行政主管部门依照法定职权决定。依照本条例规定被吊销资质证书的,依法由工商行政管理部门吊销其营业执照。
第五十六条建设单位、设计单位、施工单位、工程监理单位违反国家规定,降低工程质量标准,造成重大安全事故,构成犯罪的,对直接责任人员依法追究刑事责任。
第五十七条国家机关工作人员在建设工程审批和质量监督管理工作中失职渎职、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第五十八条建设行政主管部门或者交通、水利等有关行政主管部门,对单位或者个人违反本条例规定受到的处罚,可以在有关媒体上公布。
第九章 附则
第五十九条本条例涉及交通、水利、铁路、电力、民航、通信、林业等建设工程质量管理,其他法规另有规定的,从其规定。
第六十条抢险救灾及其他临时性房屋建筑和农民自建的低层住宅建筑,不适用本条例。
第六十一条本条例自2002年10月1日起施行。