关于涉密信息系统分级保护的几个问题

1、关于涉密信息系统分级保护的几个问题Companynumber：0089WT-8898YT-W8CCB-BUUT-202108关于涉密信息系统分级保护的几个问题2003年9月7日,中共中央办公厅、国务院办公厅转发了?国家信息化领导小组关于加强国家信息平安保证工作的意见?,其中明确提出了开展信息平安等级保护的任务,并指出涉及国家秘密的信息系统以下简称涉密信息系统要根据党和国家的有关保密规定进行保护.在已经开展的分级保护的具体工作中,有几个问题需要引起重视.一、分级保护与等级保护的关系2004年9月17日,公安部、国家保密局、国家密码治理委员会办公室、国务院信息办下发了?关于信息平安等级保护工作的实

2、施意见?,明确了信息平安等级保护的重要意义、原那么、根本内容、工作责任分工、要求和实施方案.2006年1月17日,四部门又下发了?信息平安等级保护治理方法试行?,进一步确定责任分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码治理部门负责密码工作、国务院信息办负责负责的治理责任和要求.其中明确规定：涉及国家秘密的信息系统应当依据国家信息平安等级保护的根本要求,根据国家保密工作部门涉密信息系统分级保护的治理规定和技术标准,结合系统实际情况进行保护.为贯彻落实两办文件精神,中央保密委员会于2004年12月23日下发了?关于增强信息平安保证工作中保密治理假设干意见?明确提出

3、要建立健全涉密信息系统分级保护制度.2005年12月28日,国家保密局下发了?涉及国家秘密的信息系统分级保护治理办法?,公布了国家保密标准?涉及国家秘密的信息系统分级保护技术要求?.目前,正在制订并将公布两个国家保密标准：?涉及国家秘密的信息系统分级保护治理标准?和?涉及国家秘密的信息系统分级保护测平指南?.2007年将制订其他标准.进一步完善标准体系.我国信息平安等级保护与涉密信息系统分级保护关系等级保护分级保护保护对象不同非涉密信息系统涉密信息系统治理体系不同公安机关国家保密工作部门标准体系不同国家标准GB、GB/T国家保密标准BMB,强制执行级别划分不同第一级：自主保护级第二级：指导保护

4、级第三级：监督保护级秘密级第四级：强制保护级机密级第五级：专控保护级绝密级涉密信息系统分级保护与信息平安等级保护制度相衔接,三个等级的防护水平不低于国家等级保护的第三、四、五级要求?二、关于涉密信息系统分级保护概况1、涉密信息系统分级保护的含义涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护治理方法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督治理,保证系统和信息平安.2、涉密信息系统分级保护治理原那么标准定密,准确定级；依据标准,同步建设；突出重点,保证核心；明确责任,增强监督.3、涉密信息系统分级保护的治理责任国家保密局负责全国涉

5、密信息系统分级保护工作的指导、监督和检查；地方各级保密局负责本行政区域涉密信息系统分级保护工作的指导、监督和检查；中央和国家机关负责本部门和本系统内涉密信息系统分级保护工作的主管和指导；建设使用单位负责本单位涉密信息系统分级保护工作的具体实施.4、涉密信息系统的等级划分涉密信息系统根据处理信息的最高密级确定,由低到高划分为秘密、机密和绝密三个等级.绝密级信息系统应限定在封闭、平安可控的独立建筑群内.集中处理工作秘密的信息系统,可参照秘密级信息系统的有关要求进行保护.5、涉密信息系统分级保护的实施步骤(1)标准信息定密；(2)确定系统等级；(3)方案设计与审核；(4)落实保护举措；(5)系统测评

6、；(6)系统审批；(7)平安保密评估与保密监督检查.6、涉密信息系统的监管(1)必须选择具有相应涉密资质的单位承当或参与涉密信息系统的方案设计与实施；(2)保密工作部门参加方案审查论证；(3)国家保密局授权的系统测评机构进行平安保密测评；(4)经保密工作部门审批后,系统方可投入使用；(5)保密工作部门定期进行保密检查或系统测评：秘密级和机密级信息系统,每两年至少一次；绝密级信息系统,每年至少一次.三、关于涉密信息系统分级保护治理标准根据“技管并重的指导思想.一个不同等级的信息系统既要采取不同强度的技术保护措施,还要采取不同的治理强度,才能保证这个信息系统的平安,因此需制订国家保密标准?涉密信息

7、系统分级保护治理标准?,它是以国家保密局?涉密信息系统分级保护治理方法?作为指导,以?涉密信息系统保密技术要求?中平安保密治理局部作为基础,结合ISO/ICE.TR13335?信息技术、IT平安治理指南?与涉密信息系统的治理实践确定治理过程,结合ISO/IEE17799?信息技术、信息平安治理实用规那么?与分级要求确定治理内容.在涉密信息系统的生命周期中应把握好八个根本环节：1、系统定级明确系统所处理信息的最高密级,确定系统保护等级.2、方案设计组织自身的技术力量或委托资质单位进行设计前的风险评估,确定系统风险.选择具有涉密资质的集成单位依据相关国家保密标准进行方案设计,并应通过专家论证,负责

8、系统审批的保密工作部门应参加论证.3、工程实施组建工程监理机构,细化治理制度,对工程实施进行监督,或者选择具有涉密资质的工程监理单位进行监理.4、系统测评系统工程实施完毕后,建设使用单位向保密工作部门申请进行系统测评,国家保密局涉密信息系统平安保密测评中央及分中央负责进行系统测评.5、系统审批涉密信息系统在投入运行后前,应经过地以上保密工作部门根据系统测评结果进行的审批.6、日常治理日常治理包括根本治理要求,人员治理、物理环境与设施治理、信息保密治理等.7、测评与检查涉密信息系统投入运行后还应定期进行平安保密测评和检查.8、系统废止废止涉密信息系统应向相关保密工作部门备案,并根据有关保密规定妥善处理涉及国家秘密信息的设备、产品和资料.涉密信息系统分级保护的核心思想是“实事求是与“具体问题具体分析,既预防欠保护,也预防过保护,以保证国家秘密平安为原那么.我国的涉密信息系统分级保护已经进