【文章內(nèi)容簡介】 措施與實(shí)際系統(tǒng)的結(jié)合，設(shè)計(jì)符合實(shí)際系統(tǒng)的方案 ? 對方案進(jìn)行審查論證時(shí)，應(yīng)當(dāng)與保密管理部門共同參與 53 分級(jí)保護(hù)制度體系 ? 分級(jí)保護(hù)過程管理 –分級(jí)保護(hù) 工程實(shí)施 環(huán)節(jié) ? 組織自身力量或通過具有涉密信息系統(tǒng)集成資質(zhì)的單位，嚴(yán)格依據(jù)分級(jí)保護(hù)建設(shè)方案，實(shí)施工程建設(shè)。 ? 組織自身力量或選擇工程監(jiān)理資質(zhì)單位，依據(jù)相關(guān)要求，在質(zhì)量控制、進(jìn)度控制、成本控制等方面進(jìn)行工程監(jiān)理 54 分級(jí)保護(hù)制度體系 ? 分級(jí)保護(hù)過程管理 –分級(jí)保護(hù) 系統(tǒng)測評 環(huán)節(jié) ? 投入使用前必須經(jīng)過安全保密測評 ? 系統(tǒng)工程實(shí)施完畢后，建設(shè)使用單位向保密工作部門申請進(jìn)行系統(tǒng)測評 ? 測評工作由國家保密局涉密信息系統(tǒng)安全保密測評中心及分中心負(fù)責(zé)進(jìn)行系統(tǒng)測評 55 分級(jí)保護(hù)制度體系 ? 分級(jí)保護(hù)過程管理 –分級(jí)保護(hù) 系統(tǒng)審批 環(huán)節(jié) ? 涉密信息系統(tǒng)在投入運(yùn)行后前，應(yīng)經(jīng)過保密工作部門根據(jù)系統(tǒng)測評結(jié)果進(jìn)行的審批 ? 對符合標(biāo)準(zhǔn)的批準(zhǔn)使用，對不符合的提出整改意見，整改后繼續(xù)審批。未經(jīng)審批，不得擅自使用 ? 涉密網(wǎng)絡(luò)環(huán)境或保密設(shè)施設(shè)備變更時(shí)，須向?qū)徟鷨挝粓?bào)告 56 分級(jí)保護(hù)制度體系 ? 分級(jí)保護(hù)過程管理 –分級(jí)保護(hù) 日常管理 環(huán)節(jié) ? 網(wǎng)絡(luò)投入使用后，應(yīng)根據(jù)規(guī)范要求，結(jié)合實(shí)際制定責(zé)任明確的安全保密管理策略 ? 日常管理包括基本管理要求，人員管理、物理環(huán)境與設(shè)施管理、信息保密管理等 57 分級(jí)保護(hù)制度體系 ? 分級(jí)保護(hù)過程管理 –分級(jí)保護(hù) 測評與檢查 環(huán)節(jié) ? 涉密信息系統(tǒng)投入運(yùn)行后還應(yīng)定期進(jìn)行安全保密測評和檢查 ? 使用單位應(yīng)進(jìn)行自查，并接受保密管理部門的監(jiān)督檢查 ? 秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)應(yīng)每兩年至少進(jìn)行一次安全保密測評或保密檢查 ? 絕密級(jí)信息系統(tǒng)應(yīng)每年至少進(jìn)行一次安全保密測評或保密檢查 58 分級(jí)保護(hù)制度體系 ? 分級(jí)保護(hù)過程管理 –分級(jí)保護(hù) 系統(tǒng)廢止 環(huán)節(jié) ? 涉密信息系統(tǒng)不再使用時(shí)，使用單位需向保密管理部門備案 ? 按要求對涉密設(shè)備、產(chǎn)品、信息載體等進(jìn)行處理 59 分級(jí)保護(hù)制度體系 本章課程提綱 ? 信息安全保密管理標(biāo)準(zhǔn)體系 –分級(jí)保護(hù)制度體系 –分級(jí)保護(hù)標(biāo)準(zhǔn)體系 60 ? 分級(jí)保護(hù)標(biāo)準(zhǔn)的體系框架 ? 涉密網(wǎng)分級(jí)保護(hù)標(biāo)準(zhǔn)是根據(jù)分級(jí)保護(hù)工作的實(shí)際需要，結(jié)合國內(nèi)外的先進(jìn)經(jīng)驗(yàn)，與國家相關(guān)法規(guī)和標(biāo)準(zhǔn)體系有機(jī)結(jié)合 ? 其體系框架 61 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 62 《 中華人民共和國保守國家秘密法 》 《 關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見 》 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法 》 《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》 BMB172023 《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》 BMB182023 《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》 BMB0202023 《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)測評指南》 BMB222023 《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)方案設(shè)計(jì)指南》 BMB232023 《涉及國家秘密的信息系統(tǒng)保密檢查技術(shù)指南》 BMB252023 《涉及國家秘密的信息系統(tǒng)安全檢測評估實(shí)施規(guī)范》 BMB22023 ? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求 》 BMB172023 –該標(biāo)準(zhǔn)規(guī)定了涉密網(wǎng)絡(luò) 等級(jí)劃分的準(zhǔn)則 ， 基本保護(hù)要求 和 不同等級(jí)的安全保密技術(shù)要求 –適用于使用單位對涉密信息系統(tǒng)的建設(shè)、使用和管理；也適用于保密管理部門對涉密信息系統(tǒng)的管理和審批 63 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 64 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求 物理隔離 安全保密產(chǎn)品選擇 安全域邊界防護(hù) 密級(jí)標(biāo)志 基本要求 備份與恢復(fù) 計(jì)算機(jī)病毒與惡意代碼防護(hù) 應(yīng)急響應(yīng) 運(yùn)行管理 運(yùn)行安全 環(huán)境安全 設(shè)備安全 介質(zhì)安全 物理安全 身份鑒別 訪問控制 密碼保護(hù) 電磁泄漏發(fā)射防護(hù) 信息完整性校驗(yàn) 系統(tǒng)安全性能檢測 操作系統(tǒng)安全 安全審計(jì) 抗抵賴 數(shù)據(jù)庫安全 邊界安全防護(hù) 信息安全保密 BMB172023框架 ? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求 》 主要內(nèi)容有四個(gè)方面 1. 將技術(shù)要求分為基本要求、物理安全、運(yùn)行安全和信息安全保密四個(gè)部分，對秘密級(jí)、機(jī)密級(jí)和絕密級(jí)涉密網(wǎng)絡(luò)的安全保密技術(shù)要求分別進(jìn)行了描述 65 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求 》 主要內(nèi)容 2. 提出了機(jī)密級(jí)增強(qiáng)保護(hù)要求 ? 屬于下列情況之一的機(jī)密級(jí)信息系統(tǒng)應(yīng)選擇機(jī)密級(jí)（增強(qiáng)）的要求： – 信息系統(tǒng)的使用單位為副省級(jí)以上的黨政首腦機(jī)關(guān)，以及國防、外交、國家安全、軍工等要害部門； – 信息系統(tǒng)中的機(jī)密級(jí)信息含量較高或數(shù)量較多； – 信息系統(tǒng)使用單位對信息系統(tǒng)的依賴程度較高。 66 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求 》 主要內(nèi)容 3. 提出了網(wǎng)絡(luò)劃分安全域的思想 – 不同的安全域可單獨(dú)確定等級(jí)，并按照相應(yīng)等級(jí)的保護(hù)要求進(jìn)行保護(hù) – 同一等級(jí)的不同安全域可根據(jù)風(fēng)險(xiǎn)分析的結(jié)果和實(shí)際安全保密需求，選擇不同的保護(hù)要求進(jìn)行保護(hù) 67 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 分域分級(jí) 分域不分級(jí) ? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求 》 主要內(nèi)容 4. 提出了根據(jù)風(fēng)險(xiǎn)分析結(jié)果調(diào)整保護(hù)措施的條款 –標(biāo)準(zhǔn)規(guī)定可對涉密網(wǎng)絡(luò)保護(hù)進(jìn)行調(diào)整。 –原則是確保國家秘密安全，不降低涉密系統(tǒng)總體保密強(qiáng)度 ?調(diào)整考慮相關(guān)性 ?調(diào)整的數(shù)量、原因等需要文檔化 68 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范 》 BMB202023 –該標(biāo)準(zhǔn)規(guī)定了涉密網(wǎng)絡(luò)分級(jí)保護(hù) 管理過程 、 管理要求 和 管理內(nèi)容 –適用于使用單位對涉密信息系統(tǒng)的建設(shè)、使用和管理；也適用于保密管理部門對涉密信息系統(tǒng)的管理和審批 69 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 70 涉 及 國 家 秘 密 的 信 息 系 統(tǒng) 分 級(jí) 保 護(hù) 管 理 規(guī) 范分 級(jí) 保 護(hù) 管 理 內(nèi) 容人員管理物理環(huán)境與設(shè)施管理設(shè)備與介質(zhì)管理運(yùn)行與開發(fā)管理信息保密管理基 本 管 理 要 求安全保密管理策略安全保密管理機(jī)構(gòu)安全保密管理制度安全保密管理人員管 理 過 程系 統(tǒng) 定 級(jí)方 案 設(shè) 計(jì)工 程 實(shí) 施系 統(tǒng) 測 評系 統(tǒng) 審 批日 常 保 密 管 理測 評 與 檢 查系 統(tǒng) 廢 止BMB202023框架 ? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范 》 主要內(nèi)容有三個(gè)方面 1. 提出了涉密網(wǎng)絡(luò)分級(jí)保護(hù)管理過程，明確劃分了系統(tǒng)周期的各個(gè)階段，指出了安全保密管理的八個(gè)具體環(huán)節(jié)：系統(tǒng)定級(jí)、方案設(shè)計(jì)、工程實(shí)施、系統(tǒng)測評、系統(tǒng)審批、日常保密管理、測評與檢查和系統(tǒng)廢止 71 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范 》 主要內(nèi)容有三個(gè)方面 2. 提出了 對涉密網(wǎng)絡(luò)保密管理的基本管理要求 ，對涉密網(wǎng)絡(luò)保密管理要求進(jìn)行了分等級(jí)描述 3. 提出了 涉密網(wǎng)絡(luò)分級(jí)保護(hù)管理 的內(nèi)容，形成了完整的涉密網(wǎng)絡(luò)安全保密管理框架。 ? 安全保密管理策略制定、組織機(jī)構(gòu)與制度建設(shè)、安全保密管理人員配備與權(quán)限劃分、人員管理、物理環(huán)境與設(shè)施管理、設(shè)備與介質(zhì)管理、運(yùn)行與開發(fā)管理和信息安全保密管理 72 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)方案設(shè)計(jì)指南 》 BMB232023 –該標(biāo)準(zhǔn)規(guī)定了涉密網(wǎng)絡(luò) 分級(jí)保護(hù)方案應(yīng)包括的主要內(nèi)容 –適用于建設(shè)單位和集成資質(zhì)單位對涉密網(wǎng)絡(luò)分級(jí)保護(hù)方案的設(shè)計(jì)與制定；也適用于保密管理部門對涉密信息系統(tǒng)的管理和審批 73 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 74 分級(jí)保護(hù)方案的主要內(nèi)容 系統(tǒng)分析 安全保密風(fēng)險(xiǎn)分析 安全保密需求分析 方案總體設(shè)計(jì) 方案詳細(xì)設(shè)計(jì) 殘留風(fēng)險(xiǎn)控制 實(shí)施計(jì)劃 經(jīng)費(fèi)預(yù)算 相關(guān)附件 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)方案設(shè)計(jì)指南 》 BMB232023框架 ? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)方案設(shè)計(jì)指南 》 主要內(nèi)容有四個(gè)方面 1. 提出了在涉密網(wǎng)絡(luò)分級(jí)保護(hù)方案設(shè)計(jì)之初要進(jìn)行細(xì)粒度的 系統(tǒng)分析、安全保密風(fēng)險(xiǎn)分析和安全保密需求分析 的要求 2. 提出了 涉密網(wǎng)絡(luò)安全保密防護(hù)框架結(jié)構(gòu) 并對各項(xiàng)內(nèi)容進(jìn)行了詳細(xì)闡述 ? 從物理安全、運(yùn)行安全、信息安全保密三個(gè)方面確定防護(hù)技術(shù)手段 ? 從管理機(jī)構(gòu)、管理人員、管理制度和運(yùn)行維護(hù)四個(gè)方面進(jìn)行安全保密管理設(shè)計(jì) 75 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)方案設(shè)計(jì)指南 》 主要內(nèi)容有四個(gè)方面 3. 提出了安全域劃分的原則與方法，提供了劃分依據(jù)，對劃分工作進(jìn)行了具體指導(dǎo)，體現(xiàn)了“規(guī)范定密，準(zhǔn)確定級(jí)”的工作思路 4. 提出了殘留風(fēng)險(xiǎn)控制的概念，明確了殘留風(fēng)險(xiǎn)存在的必然性，對涉密網(wǎng)絡(luò)安全保密防護(hù)的理論研究和實(shí)際工作有雙重意義 76 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)測評指南 》 BMB222023 –該標(biāo)準(zhǔn)規(guī)定了涉密網(wǎng)絡(luò)分級(jí)保護(hù)測評工作的工作流程、測評內(nèi)容、測評方法和測評結(jié)果判定的準(zhǔn)則 –適用于獲得國家保密局授權(quán)的涉密網(wǎng)絡(luò)風(fēng)險(xiǎn)評估機(jī)構(gòu)或單位對涉密網(wǎng)絡(luò)進(jìn)行安全保密測評；可用于保密管理部門檢查依據(jù)；也可作為涉密網(wǎng)使用單位自評依據(jù) 77 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 78 BMB222023框架 涉 及 國 家 秘 密 的 信 息 系 統(tǒng) 分 級(jí) 保