【文章內(nèi)容簡介】 措施與實際系統(tǒng)的結(jié)合，設(shè)計符合實際系統(tǒng)的方案 ? 對方案進行審查論證時，應(yīng)當(dāng)與保密管理部門共同參與 53 分級保護制度體系 ? 分級保護過程管理 –分級保護 工程實施 環(huán)節(jié) ? 組織自身力量或通過具有涉密信息系統(tǒng)集成資質(zhì)的單位，嚴(yán)格依據(jù)分級保護建設(shè)方案，實施工程建設(shè)。 ? 組織自身力量或選擇工程監(jiān)理資質(zhì)單位，依據(jù)相關(guān)要求，在質(zhì)量控制、進度控制、成本控制等方面進行工程監(jiān)理 54 分級保護制度體系 ? 分級保護過程管理 –分級保護 系統(tǒng)測評 環(huán)節(jié) ? 投入使用前必須經(jīng)過安全保密測評 ? 系統(tǒng)工程實施完畢后，建設(shè)使用單位向保密工作部門申請進行系統(tǒng)測評 ? 測評工作由國家保密局涉密信息系統(tǒng)安全保密測評中心及分中心負責(zé)進行系統(tǒng)測評 55 分級保護制度體系 ? 分級保護過程管理 –分級保護 系統(tǒng)審批 環(huán)節(jié) ? 涉密信息系統(tǒng)在投入運行后前，應(yīng)經(jīng)過保密工作部門根據(jù)系統(tǒng)測評結(jié)果進行的審批 ? 對符合標(biāo)準(zhǔn)的批準(zhǔn)使用，對不符合的提出整改意見，整改后繼續(xù)審批。未經(jīng)審批，不得擅自使用 ? 涉密網(wǎng)絡(luò)環(huán)境或保密設(shè)施設(shè)備變更時，須向?qū)徟鷨挝粓蟾? 56 分級保護制度體系 ? 分級保護過程管理 –分級保護 日常管理 環(huán)節(jié) ? 網(wǎng)絡(luò)投入使用后，應(yīng)根據(jù)規(guī)范要求，結(jié)合實際制定責(zé)任明確的安全保密管理策略 ? 日常管理包括基本管理要求，人員管理、物理環(huán)境與設(shè)施管理、信息保密管理等 57 分級保護制度體系 ? 分級保護過程管理 –分級保護 測評與檢查 環(huán)節(jié) ? 涉密信息系統(tǒng)投入運行后還應(yīng)定期進行安全保密測評和檢查 ? 使用單位應(yīng)進行自查，并接受保密管理部門的監(jiān)督檢查 ? 秘密級、機密級信息系統(tǒng)應(yīng)每兩年至少進行一次安全保密測評或保密檢查 ? 絕密級信息系統(tǒng)應(yīng)每年至少進行一次安全保密測評或保密檢查 58 分級保護制度體系 ? 分級保護過程管理 –分級保護 系統(tǒng)廢止 環(huán)節(jié) ? 涉密信息系統(tǒng)不再使用時，使用單位需向保密管理部門備案 ? 按要求對涉密設(shè)備、產(chǎn)品、信息載體等進行處理 59 分級保護制度體系 本章課程提綱 ? 信息安全保密管理標(biāo)準(zhǔn)體系 –分級保護制度體系 –分級保護標(biāo)準(zhǔn)體系 60 ? 分級保護標(biāo)準(zhǔn)的體系框架 ? 涉密網(wǎng)分級保護標(biāo)準(zhǔn)是根據(jù)分級保護工作的實際需要，結(jié)合國內(nèi)外的先進經(jīng)驗，與國家相關(guān)法規(guī)和標(biāo)準(zhǔn)體系有機結(jié)合 ? 其體系框架 61 分級保護標(biāo)準(zhǔn)體系 62 《 中華人民共和國保守國家秘密法 》 《 關(guān)于加強信息安全保障工作中保密管理的若干意見 》 《 涉及國家秘密的信息系統(tǒng)分級保護管理辦法 》 《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》 BMB172023 《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》 BMB182023 《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》 BMB0202023 《涉及國家秘密的信息系統(tǒng)分級保護測評指南》 BMB222023 《涉及國家秘密的信息系統(tǒng)分級保護方案設(shè)計指南》 BMB232023 《涉及國家秘密的信息系統(tǒng)保密檢查技術(shù)指南》 BMB252023 《涉及國家秘密的信息系統(tǒng)安全檢測評估實施規(guī)范》 BMB22023 ? 《 涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求 》 BMB172023 –該標(biāo)準(zhǔn)規(guī)定了涉密網(wǎng)絡(luò) 等級劃分的準(zhǔn)則 ， 基本保護要求 和 不同等級的安全保密技術(shù)要求 –適用于使用單位對涉密信息系統(tǒng)的建設(shè)、使用和管理；也適用于保密管理部門對涉密信息系統(tǒng)的管理和審批 63 分級保護標(biāo)準(zhǔn)體系 64 涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求 物理隔離 安全保密產(chǎn)品選擇 安全域邊界防護 密級標(biāo)志 基本要求 備份與恢復(fù) 計算機病毒與惡意代碼防護 應(yīng)急響應(yīng) 運行管理 運行安全 環(huán)境安全 設(shè)備安全 介質(zhì)安全 物理安全 身份鑒別 訪問控制 密碼保護 電磁泄漏發(fā)射防護 信息完整性校驗 系統(tǒng)安全性能檢測 操作系統(tǒng)安全 安全審計 抗抵賴 數(shù)據(jù)庫安全 邊界安全防護 信息安全保密 BMB172023框架 ? 《 涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求 》 主要內(nèi)容有四個方面 1. 將技術(shù)要求分為基本要求、物理安全、運行安全和信息安全保密四個部分，對秘密級、機密級和絕密級涉密網(wǎng)絡(luò)的安全保密技術(shù)要求分別進行了描述 65 分級保護標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求 》 主要內(nèi)容 2. 提出了機密級增強保護要求 ? 屬于下列情況之一的機密級信息系統(tǒng)應(yīng)選擇機密級（增強）的要求： – 信息系統(tǒng)的使用單位為副省級以上的黨政首腦機關(guān)，以及國防、外交、國家安全、軍工等要害部門； – 信息系統(tǒng)中的機密級信息含量較高或數(shù)量較多； – 信息系統(tǒng)使用單位對信息系統(tǒng)的依賴程度較高。 66 分級保護標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求 》 主要內(nèi)容 3. 提出了網(wǎng)絡(luò)劃分安全域的思想 – 不同的安全域可單獨確定等級，并按照相應(yīng)等級的保護要求進行保護 – 同一等級的不同安全域可根據(jù)風(fēng)險分析的結(jié)果和實際安全保密需求，選擇不同的保護要求進行保護 67 分級保護標(biāo)準(zhǔn)體系 分域分級 分域不分級 ? 《 涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求 》 主要內(nèi)容 4. 提出了根據(jù)風(fēng)險分析結(jié)果調(diào)整保護措施的條款 –標(biāo)準(zhǔn)規(guī)定可對涉密網(wǎng)絡(luò)保護進行調(diào)整。 –原則是確保國家秘密安全，不降低涉密系統(tǒng)總體保密強度 ?調(diào)整考慮相關(guān)性 ?調(diào)整的數(shù)量、原因等需要文檔化 68 分級保護標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范 》 BMB202023 –該標(biāo)準(zhǔn)規(guī)定了涉密網(wǎng)絡(luò)分級保護 管理過程 、 管理要求 和 管理內(nèi)容 –適用于使用單位對涉密信息系統(tǒng)的建設(shè)、使用和管理；也適用于保密管理部門對涉密信息系統(tǒng)的管理和審批 69 分級保護標(biāo)準(zhǔn)體系 70 涉 及 國 家 秘 密 的 信 息 系 統(tǒng) 分 級 保 護 管 理 規(guī) 范分 級 保 護 管 理 內(nèi) 容人員管理物理環(huán)境與設(shè)施管理設(shè)備與介質(zhì)管理運行與開發(fā)管理信息保密管理基 本 管 理 要 求安全保密管理策略安全保密管理機構(gòu)安全保密管理制度安全保密管理人員管 理 過 程系 統(tǒng) 定 級方 案 設(shè) 計工 程 實 施系 統(tǒng) 測 評系 統(tǒng) 審 批日 常 保 密 管 理測 評 與 檢 查系 統(tǒng) 廢 止BMB202023框架 ? 《 涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范 》 主要內(nèi)容有三個方面 1. 提出了涉密網(wǎng)絡(luò)分級保護管理過程，明確劃分了系統(tǒng)周期的各個階段，指出了安全保密管理的八個具體環(huán)節(jié)：系統(tǒng)定級、方案設(shè)計、工程實施、系統(tǒng)測評、系統(tǒng)審批、日常保密管理、測評與檢查和系統(tǒng)廢止 71 分級保護標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范 》 主要內(nèi)容有三個方面 2. 提出了 對涉密網(wǎng)絡(luò)保密管理的基本管理要求 ，對涉密網(wǎng)絡(luò)保密管理要求進行了分等級描述 3. 提出了 涉密網(wǎng)絡(luò)分級保護管理 的內(nèi)容，形成了完整的涉密網(wǎng)絡(luò)安全保密管理框架。 ? 安全保密管理策略制定、組織機構(gòu)與制度建設(shè)、安全保密管理人員配備與權(quán)限劃分、人員管理、物理環(huán)境與設(shè)施管理、設(shè)備與介質(zhì)管理、運行與開發(fā)管理和信息安全保密管理 72 分級保護標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級保護方案設(shè)計指南 》 BMB232023 –該標(biāo)準(zhǔn)規(guī)定了涉密網(wǎng)絡(luò) 分級保護方案應(yīng)包括的主要內(nèi)容 –適用于建設(shè)單位和集成資質(zhì)單位對涉密網(wǎng)絡(luò)分級保護方案的設(shè)計與制定；也適用于保密管理部門對涉密信息系統(tǒng)的管理和審批 73 分級保護標(biāo)準(zhǔn)體系 74 分級保護方案的主要內(nèi)容 系統(tǒng)分析 安全保密風(fēng)險分析 安全保密需求分析 方案總體設(shè)計 方案詳細設(shè)計 殘留風(fēng)險控制 實施計劃 經(jīng)費預(yù)算 相關(guān)附件 《 涉及國家秘密的信息系統(tǒng)分級保護方案設(shè)計指南 》 BMB232023框架 ? 《 涉及國家秘密的信息系統(tǒng)分級保護方案設(shè)計指南 》 主要內(nèi)容有四個方面 1. 提出了在涉密網(wǎng)絡(luò)分級保護方案設(shè)計之初要進行細粒度的 系統(tǒng)分析、安全保密風(fēng)險分析和安全保密需求分析 的要求 2. 提出了 涉密網(wǎng)絡(luò)安全保密防護框架結(jié)構(gòu) 并對各項內(nèi)容進行了詳細闡述 ? 從物理安全、運行安全、信息安全保密三個方面確定防護技術(shù)手段 ? 從管理機構(gòu)、管理人員、管理制度和運行維護四個方面進行安全保密管理設(shè)計 75 分級保護標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級保護方案設(shè)計指南 》 主要內(nèi)容有四個方面 3. 提出了安全域劃分的原則與方法，提供了劃分依據(jù)，對劃分工作進行了具體指導(dǎo)，體現(xiàn)了“規(guī)范定密，準(zhǔn)確定級”的工作思路 4. 提出了殘留風(fēng)險控制的概念，明確了殘留風(fēng)險存在的必然性，對涉密網(wǎng)絡(luò)安全保密防護的理論研究和實際工作有雙重意義 76 分級保護標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級保護測評指南 》 BMB222023 –該標(biāo)準(zhǔn)規(guī)定了涉密網(wǎng)絡(luò)分級保護測評工作的工作流程、測評內(nèi)容、測評方法和測評結(jié)果判定的準(zhǔn)則 –適用于獲得國家保密局授權(quán)的涉密網(wǎng)絡(luò)風(fēng)險評估機構(gòu)或單位對涉密網(wǎng)絡(luò)進行安全保密測評；可用于保密管理部門檢查依據(jù)；也可作為涉密網(wǎng)使用單位自評依據(jù) 77 分級保護標(biāo)準(zhǔn)體系 78 BMB222023框架 涉 及 國 家 秘 密 的 信 息 系 統(tǒng) 分 級 保