版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
#/17阶段工作阶段工作标准分级保护实施流程涉及单位管理办法、技术妾求
保密法系统定级—保密局*
备慕设计指南、技术要求
管理规范、安全产品
标准工程盟理规范测评指痫技术要求、管理规范
保密耆理指南测评指南是保密局/评审专F•家组〔召开方<否案评审会)工稈实施系统测评管理办法、技术妾求
保密法系统定级—保密局*
备慕设计指南、技术要求
管理规范、安全产品
标准工程盟理规范测评指痫技术要求、管理规范
保密耆理指南测评指南是保密局/评审专F•家组〔召开方<否案评审会)工稈实施系统测评系统审批是1-2实施过程概述汀汀详细系统识别确定最离密级确定尿护等级上报审批风险评姑确定尿护要求规划浚计方第上报审查论证制定实施保密制度确定工稈监理方确宦产品集成方提交测评申请提交测评资料提交审批申it提交审批资料提交陵止批申请销毁涉密设备资料F面对整个过程做简单的概述。1.2.1系统定级依据《保密法》密级范围的规定,本单位、各部门组织开展对所属信息系统摸底调查工作。按照涉密信息系统所处理信息的最高密级,由低到高划分为秘密、机密和绝密三个等级。>识别信息系统调查信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责、系统管理、使用、运维的责任部门确定业务流、数据流。>明确系统定级依据业务流所产生信息明确最高密级。>确定系统保护级别根据本单位信息的最高密级,依据BMB-17确定系统的保护等级。并整理定级资料上报保密部门审批1.2.2方案设计>选择建设方选择具备国家涉密资质的建设方设计信息系统安全保障体系。>系统风险评估在体系规划前根据方案设计要素制定详细调研、评估实施计划,识别用户系统存在的脆弱性、风险。>确定保护要求根据可识别风险结合客户实际需求,确定最终保护要求。>规划设计方案结合风险评估数据和客户保护需求,并依据分级保护方案设计指南(BMB-23)规划设计信息系统安全保障体系。>设计方案论证上报信息系统安全保障体系详细设计方案到保密部门,并组织评审专家做一次论证。1.2.3工程实施>制定保密制度项目实施前根据工程具体情况制定涉密管理制度,严格对人员、设备、计划实行保密控制。>选择项目监理项目实施前选择具有单项监理资质的单位对工程保密、质量、进度、成本进行控制。>选择产品集成项目实施中产品集成方应具有涉密资质,所有选购的安全产品应符合保密要求。1.2.4系统测评>提交保密测评申请工程实施结束后向保密部门提出系统测评申请,由国家保密部门授权的系统测评机构组织对涉密信息系统进行安全性测评,为一次测评为系统最终审批提供依据。>提交系统测评资料根据国家保密部门授权的系统测评机构要求提供所有测评必要的资料。1.2.5系统审批>提交运行前审批申请涉密信息系统在上线运行前需要向保密部门提出系统运行审批申请,并组织最终审批结论专家做论证。>提交系统审批资料根据国家保密部门所属审批单位范围向授权的系统测评机构要求提供所有审批必要的资料。1.2.6日常管理>制定安全保密管理制度涉密信息系统上线运行后,根据分级保护管理规范制定管理策略、组建管理机构,设置专职保密管理人员并监督制定的执行。>定期风险自查涉密信息系统上线运行后,根据使用单位具体情况进行定期或不定期风险自评估工作,及时对系统运行、技术、管理新出现的安全威胁制定安全策略与补充措施,并严格管理评估数据。>动态调整安全防护技术涉密信息系统上线运行后,根据使用单位系统更新情况与风险自评估数据及时发现存在的风险,并动态调整安全策略适时补充完善技术、管理的措施。1.2.7测评与检查>涉密信息系统保密测评与检査涉密信息系统上线运行后,根据国家保密部门要求秘密、机密级信息系统每两年进行一次安全保密检查,绝密级信息系统每一年进行一次安全保密检查。信息系统环境或应用发生重大改变时,重新上报设计方案进行论证,并重新保密测评,检测系统的安全保密措施的有效性和环境变化的适应性,发现隐患及时采取相应的补充保护措施。1.2.8系统废止>提交系统废止备案申请涉密信息系统不再使用时,使用单位向保密工作部门提交系统废止申请备案。>退密处理设备、产品依据保密规定对涉密设备、产品妥善退密处理。>销毁涉密介质对报废处理的涉密介质采用保密局统一规定使用的销毁软件工具,确保泄密事件不发生。1・3分级保护各相关方的职责划分分级保护实施工程所涉及的主管部门与协作单位
协调单位实施内容系统所有方国家保密局系统建设方产品集成方施工监理方评审专家组授权测评单位结论专家组系统定级详细系统识别★V明确处理信息的最咼密级★V确定系统的保护等级★V上报审核批准★V系统保护级别变更★VV方案设计选择有涉密资质的建设方★对密级系统风险评估V★确定最终保护要求V★规划设计、.1>>万案V★上报审查论证★V工程实施制定实施保密控制制度★V选择有涉密资质的监理方★选择有涉密资质的产品集成方★系统测评提交安全保密测评申请★V提交系统测评资料★V系统提交运行★V
协调单位实施内容系统所有方国家保密局系统建设方产品集成方施工监理方评审专家组授权测评单位结论专家组审批前审批申请提交系统审批资料★V日常管理制定安全保密管理制度★V组建安全保密机构★设置安全保密专员★定期进行风险自查★严格管理定密评估数据★动态调整安全防护技术★V测评与检查每2年进行秘密、机密级系统保密检查★V每1年进行绝密级系统保密检查★V定期进行系统安全保密测评V★严格管理测评、检查数据★系统废止提交系统废止备案申请★退密处理设备、产品★V销毁处理涉密介质★V
说明:★代表主要协调单位、部门,"代表辅助协调单位、部门。1.4用户分级保护的实施要求管理要求内容系统定级涉密信息系统建设使用单位应根据系统所处理信息的最高密级,确定系统的保护等级,并将系统定级情况书面报本单位保密工作机构或当地保密工作部门审批批准。对于包含多个安全域的信息系统,各安全域可以分别确定保护等级。涉密信息系统处理信息的密级和应用情况发生变化时,建设使用单位应重新确定系统保护等级,并按相应等级要求调整保护措施。方案设计选择具有相应涉密资质的承建单位承担活参与涉密信息系统的方案设计与实施。工程实施与监理在工程实施期间,涉密信息系统建设使用单位应按照BMB17-2006的要求进行工程监理。在进行工程监理是,应选择具有涉密工程监理单项资质的单位或组织自身力量在安全保密控制、质量控制、进度控制、成本控制、合冋管理和文档管理留个方面加强监督检查定期的风险自评估涉密信息系统经过审批投入运行后,建设使用单位应定期进行风险自评估,分析由于系统需求及技术与管理因素变化而新出现的安全威胁,动态调整安全朿略,适时补充和兀善技术与官理措施,以使系统保持与等级要求相一致的防护水平。1.5主管部门的管理手段管理要求内容定级审批与备案管理系统定级情况书面报本单位保密工作机构或当地保密工作部门审批批准。国家保密工作部门负责受理备案并进行备案管理。分级保护方案申批涉密信息系统建设使用单位应对系统设计方案进行申查论证,保密工作部门应当参与方案审查论证,在系统总体安全保密性方面加强指导,严格把关。系统测评涉密信息系统建设使用单位在系统工程施工结束后,应向保密工作部门提出申请,由国家保密工作部门授权的系统测评机构对涉密信息系统进行安全保密测评,系统全面地验证所采取的安全保密措施能否满足安全保密需求和安全目标,为涉密信息系统审批提供依据。系统审批国家对涉密信息系统拖入运行实行行政审批制度。涉密信息系统建设使用单位在系统投入使用前,应按照涉密信息系统申批管理办法的规定进行审批,通过审批后方可投入使用。未经保密工作部门的审批,涉密信息系统不得投入使用。-国家保密局:负责审批中央和国家机关各部委及其所属单位、国
防武器装备科研生产一级保密资格单位的涉密信息系统;-省(自治区、直辖市)保密局:负责审批省及机关及其所属单位、国防武器科研生产二、三级保密资格单位的涉密信息系统;-市(地)级保密局:负责审批市(地)直机关及其所属单位、县直机关所属单位的涉密信息系统。测评与检查系统投入运行后,秘密级、机密级信息系统应每两年至少进行一次安全保密测评或保密检查;绝密级信息系统应每年至少进行一次安全保密测评或保密检查。涉密信息系统投入运行后的安全保密测评,由负责该系统审批的保密工作部门组织系统评测机构进行系统废止备案涉密信息系统不再使用时,其建设使用单位应向负责该系统审批的保密工作部门备案,并按照有关保密规定妥善处理涉及国家秘密信息的设备、产品、介质和文档资料。1・6分级保护对厂商和产品的资质管理管理内容资质类型内容涉密信息系统集成资质甲级资质甲级资质单位可在全国范围内承接涉密信息系统的规划、设计和实施业务,并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作,不得从事其它单项资质业务。乙级资质乙级资质单位可在所限定的行政区域内承接涉密信息系统的规划、设计和实施业务,并仅可承担本单位承接的涉密信息系统的系统服务和系统咨询工作,不得从事其它单项资质业务。军工系统集成单项资质军工系统集成单项资质单位只能在所属军工集团内承接涉密信息系统集成业务;单项资质:包括涉密信息系统的软件开发、综合布线、系统服务、系统咨询、风险评估、屏蔽室建设、工程监理、数据恢复和保密安防监控等单项业务。单项资质单位可在全国范围内承接所规定的单项业务。取得某一单项资质的单位如需从事其它单项业务,必须申请相应的单项资质。涉密信息系统风险评估资质涉密信息系统风
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024华商盛世成长股票型证券投资基金基金合同
- 2024饭店合伙人合同范本
- 2024至2030年中国连续式电磁感应封口机行业投资前景及策略咨询研究报告
- 2024至2030年中国黄铜内螺纹承口接头行业投资前景及策略咨询研究报告
- 2024至2030年中国顺送精密铜料带数据监测研究报告
- 2023年浸渗胶项目成效分析报告
- 2024至2030年中国蝎子纹革数据监测研究报告
- 2024至2030年中国肝康宁行业投资前景及策略咨询研究报告
- 2024至2030年中国玉兰杯碟数据监测研究报告
- 2024至2030年中国洗灌封一体机数据监测研究报告
- 机电安装单价表
- MSDS(T-09)快干水2x3
- 隧道衬砌环向裂缝的成因分析及预防建议
- 浅谈语文课程内容的横向联系
- 《烧烫伤的现场急救》ppt课件
- 职业卫生防护设施台账
- 危重新生儿的病情观察及护理要点
- 中国民航数据通信网项目情况介绍
- 旅游景区管理制度
- 五篇500字左右的短剧剧本
- 新形势下如何加强医院新闻宣传工作
评论
0/150
提交评论