【正文】 護(hù) 測(cè) 評(píng) 指 南測(cè) 評(píng) 結(jié) 果 判 定 準(zhǔn) 則秘密級(jí)機(jī)密級(jí)絕密級(jí)技術(shù)要求測(cè)評(píng)工 作 流 程資 料 審 查現(xiàn) 場(chǎng) 考 察制 定 測(cè) 評(píng) 方 案現(xiàn) 場(chǎng) 檢 測(cè)檢 測(cè) 結(jié) 果 分 析專 家 評(píng) 估給 出 測(cè) 評(píng) 結(jié) 論管理要求測(cè)評(píng)測(cè) 評(píng) 小 項(xiàng) 得 分測(cè) 評(píng) 項(xiàng) 和 測(cè) 評(píng) 大 項(xiàng) 得 分系 統(tǒng) 檢 測(cè) 得 分專 家 評(píng) 估 提 出 調(diào) 整 意 見重 新 計(jì) 算 得 分并 給 出 測(cè) 評(píng) 結(jié) 論基 本 測(cè) 評(píng) 項(xiàng) 判 定測(cè) 評(píng) 內(nèi) 容 和 測(cè) 評(píng) 方 法? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南 》 主要內(nèi)容有三個(gè)部分 ? 分別是： 分級(jí)保護(hù)測(cè)評(píng)工作流程 、 測(cè)評(píng)內(nèi)容和方法 、 測(cè)評(píng)結(jié)果判定 1. 測(cè)評(píng)工作流程包括：資料審查、現(xiàn)場(chǎng)考察、制定測(cè)評(píng)方案、現(xiàn)場(chǎng)檢測(cè)、檢測(cè)結(jié)果分析、專家評(píng)估、給出測(cè)評(píng)結(jié)論七個(gè)環(huán)節(jié) 79 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 80 建設(shè)使用單位提交申請(qǐng)材料 測(cè)評(píng)機(jī)構(gòu)進(jìn)行資料審查 測(cè)評(píng)機(jī)構(gòu)現(xiàn)場(chǎng)考察 測(cè)評(píng)結(jié)構(gòu)制定 《 測(cè)評(píng)方案 》 測(cè)評(píng)機(jī)構(gòu)實(shí)施現(xiàn)場(chǎng)監(jiān)測(cè) 測(cè)評(píng)機(jī)構(gòu)分析檢測(cè)結(jié)果、提出檢測(cè)意見，起草 《 檢測(cè)報(bào)告 》 形成專家評(píng)估意見 編寫測(cè)評(píng)評(píng)估報(bào)告 通過？ 通過？ 及格？ 通過？ 將監(jiān)測(cè)評(píng)估報(bào)告交給建設(shè)單位并報(bào)備保密管理部門 建設(shè)使用單位修改資料 建設(shè)使用單位進(jìn)行整改 否 否 否 否 ? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南 》 主要內(nèi)容有三個(gè)部分 2. 測(cè)評(píng)內(nèi)容和方法：根據(jù) 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求 》 和 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范 》 ，從技術(shù)和管理兩個(gè)方面衡量涉密網(wǎng)的安全保密措施是否滿足安全需求和安全目標(biāo) ? 基本測(cè)評(píng)項(xiàng)：一項(xiàng)不符合則不合格 ? 一般測(cè)評(píng)項(xiàng)：除基本項(xiàng)之外的其他指標(biāo) 81 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 ? 《 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南 》 主要內(nèi)容有三個(gè)部分 3. 測(cè)評(píng)得分與結(jié)果 ? 分值分配：技術(shù)管理不同比例，技術(shù)比例多 ? 多個(gè)安全域：若存在多個(gè)安全域，則需要對(duì)其分別檢測(cè)并給出最后得分，結(jié)果取各域中的 最低的分 ? 結(jié)果為 0100分，合格、基本合格、不合格 82 分級(jí)保護(hù)標(biāo)準(zhǔn)體系 本節(jié)課程提綱 ? 信息安全 、密碼 管理體制 概述 ? 信息安全保密管理標(biāo)準(zhǔn)體系 ? 信息安全保密管理體系 –安全保密管理機(jī)構(gòu) –安全保密管理制度 –安全保密管理策略 –安全保密管理人員 83 信息安全保密管理體系 ? 信息安全保密管理體系 –意義：安全保密管理體系建設(shè)是保證涉密網(wǎng)絡(luò)穩(wěn)定可靠、安全保密運(yùn)行的必要條件和基本保證 –涉密網(wǎng)絡(luò)安全保密管理體系由 管理機(jī)構(gòu)、管理制度、管理策略 等要素組成。 84 本節(jié)課程提綱 ? 信息安全 、密碼 管理體制 概述 ? 信息安全保密管理標(biāo)準(zhǔn)體系 ? 信息安全保密管理體系 –安全保密管理機(jī)構(gòu) –安全保密管理制度 –安全保密管理策略 –安全保密管理人員 85 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –保密委員會(huì) 機(jī)關(guān)、單位的保密委員會(huì)負(fù)責(zé) 統(tǒng)籌協(xié)調(diào) 涉密網(wǎng)絡(luò)的安全保密工作。 ? 組成：由主管領(lǐng)導(dǎo)作為責(zé)任人，信息化、保密、密碼、業(yè)務(wù)部門、保衛(wèi)和人事部門責(zé)任人共同組成 86 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –保密委員會(huì) ? 職責(zé)（ 8）： ，提出涉密網(wǎng)絡(luò)的 安全目標(biāo) 和 安全要求 ，審查和批準(zhǔn)本單位涉密信息系統(tǒng)的 相關(guān)制度、策略和工作規(guī)程 設(shè)計(jì)、建設(shè)和運(yùn)維工作 保密檢查 ，對(duì)網(wǎng)絡(luò)管理人員進(jìn)行 教育培訓(xùn) 87 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –保密委員會(huì) ? 職責(zé)： 、確定本單位涉密信息系統(tǒng) 用戶的職責(zé)和權(quán)限 保密計(jì)劃、年度安全報(bào)告以及保密宣傳教育和培訓(xùn) 等工作 、消防、通信等機(jī)構(gòu) 建立日常工作關(guān)系，及時(shí)報(bào)告重大安全事件 執(zhí)行國家相關(guān)保密法律和技術(shù)指標(biāo) 的情況 88 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –保密工作機(jī)構(gòu) 在保密委員會(huì)的領(lǐng)導(dǎo)下， 管理 日常的保密管理工作，主要對(duì)涉密信息系統(tǒng)的設(shè)計(jì)建設(shè)、運(yùn)行維護(hù)等全過程進(jìn)行 監(jiān)督、檢查和指導(dǎo) 89 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –保密工作機(jī)構(gòu) ? 職責(zé)（ 9）： 分級(jí)保護(hù)方案進(jìn)行審查論證 、協(xié)調(diào)本單位涉密信息系統(tǒng)的 設(shè)計(jì)、建設(shè)、運(yùn)維和應(yīng)用系統(tǒng)的開發(fā) 、單位涉密網(wǎng)絡(luò)各類 規(guī)章制度 、 保密策略 、 工作規(guī)范 、檢查和指導(dǎo)本單位涉密信息系統(tǒng)運(yùn)維的 安全保密情況 90 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –保密工作機(jī)構(gòu) ? 職責(zé)： 、協(xié)調(diào)對(duì)本單位涉密信息系統(tǒng)的 檢查 、 應(yīng)急響應(yīng)預(yù)案編制 以及 恢復(fù)演練 授權(quán)使用 、保管以及維護(hù)工作 進(jìn)行指導(dǎo) 保密教育與考核 、審定全年 保密計(jì)劃、年度安全報(bào)告 上報(bào)、查處泄密事件以及重大安全事件 91 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –信息化工作機(jī)構(gòu) 在保密委員會(huì)的領(lǐng)導(dǎo)下，在保密工作機(jī)構(gòu)指導(dǎo)下，負(fù)責(zé)本單位涉密信息系統(tǒng)的 建設(shè) 、 日常安全保密管理 和運(yùn)行維護(hù) 92 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –信息化工作機(jī)構(gòu) ? 職責(zé)（ 8）： 程要求，組織開展涉密網(wǎng)絡(luò)的安全 方案設(shè)計(jì) 、 建設(shè) 、策略實(shí)施 、 試運(yùn)行 、 驗(yàn)收 等相關(guān)工作 日常維護(hù) ，進(jìn)行 用戶權(quán)限設(shè)置 保密檢查工作 93 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –信息化工作機(jī)構(gòu) ? 職責(zé)： ，組織恢復(fù)演練 、維護(hù) 況進(jìn)行監(jiān)督、審計(jì) ，編寫年度安全報(bào)告 94 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –業(yè)務(wù)部門 單位各業(yè)務(wù)部門負(fù)責(zé)本部門涉密網(wǎng)的保密管理。 業(yè)務(wù)部門主管領(lǐng)導(dǎo)：負(fù)責(zé)對(duì)本部門的人員配置和用戶終端設(shè)備提出保密要求，并監(jiān)督檢查落實(shí)情況 業(yè)務(wù)部門的安全保密人員：負(fù)責(zé)本部門日常使用情況的監(jiān)督檢查 使用人員：按照保密要求使用和管理信息設(shè)備 95 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –業(yè)務(wù)部門 ? 職責(zé)（ 6）： ，明確涉密網(wǎng)絡(luò)安全保密工作具體要求和管控措施 ，為部門員工申請(qǐng)、配備涉密終端和相關(guān)設(shè)備 96 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –業(yè)務(wù)部門 ? 職責(zé)： 備進(jìn)行安全保密管理和檢查 任 97 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –其他部門 ? 密碼管理部門 – 負(fù)責(zé)對(duì)所配備使用的密碼設(shè)備進(jìn)行管理 ? 人事管理部門 – 負(fù)責(zé)對(duì)人員進(jìn)行審查、任用、教育、培訓(xùn)、考核及任免 ? 保衛(wèi)管理部門 – 負(fù)責(zé)涉密系統(tǒng)周邊環(huán)境、建筑物、機(jī)房、設(shè)備間以及相關(guān)出入口的安全保衛(wèi) ? 資產(chǎn)管理部門 – 各類設(shè)備和存儲(chǔ)介質(zhì)的記錄和配發(fā)，以及維修、更換、回收、保存、報(bào)廢 98 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –人事管理部門 ? 負(fù)責(zé)涉密網(wǎng)絡(luò)使用人員的政治審查和涉密等級(jí)確定 ? 負(fù)責(zé)涉密網(wǎng)絡(luò)使用人員的保密教育培訓(xùn)和考核 ? 負(fù)責(zé)涉密網(wǎng)絡(luò)使用人員的調(diào)出、離崗、離職、退休前相關(guān)保密審查和脫密期管理 ? 協(xié)助對(duì)涉密網(wǎng)絡(luò)使用人員在出國前進(jìn)行保密教育和保密提醒 ? 對(duì)涉密網(wǎng)絡(luò)使用人員的試用、借調(diào)、掛職、學(xué)習(xí)、實(shí)習(xí)、返聘、外聘等進(jìn)行管理 99 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –保衛(wèi)管理部門 ? 負(fù)責(zé)涉密網(wǎng)絡(luò)所涉及地區(qū)的周邊環(huán)境、周界、建筑物及要害部門部位的 監(jiān)控和警戒 ? 負(fù)責(zé)對(duì)視頻監(jiān)控、電子門禁、防盜報(bào)警裝置等設(shè)備的 選型、采購、安裝和使用 ? 負(fù)責(zé)對(duì)涉密網(wǎng)絡(luò)所在建筑物的出入進(jìn)行 管理和監(jiān)控 ? 對(duì)帶入涉密場(chǎng)所的錄音、錄像及照相設(shè)備進(jìn)行控制，對(duì)無線通信設(shè)備的 攜帶與使用進(jìn)行控制 ? 對(duì)進(jìn)入涉密場(chǎng)所的值班、工勤服務(wù)人員進(jìn)行 保密教育和監(jiān)督 100 信息安全保密管理體系 ? 安全保密管理機(jī)構(gòu) –資產(chǎn)管理部門 ? 負(fù)責(zé)涉密網(wǎng)絡(luò)各類設(shè)備和存儲(chǔ)介質(zhì)的登記建賬和配發(fā) ? 負(fù)責(zé)涉密網(wǎng)絡(luò)各類設(shè)備和存儲(chǔ)介質(zhì)的維修、更換、回收、保存、報(bào)廢及過程管理 101 本節(jié)課程提綱 ? 信息安全 、密碼 管理體制 概述 ? 信息安全保密管理標(biāo)準(zhǔn)體系 ? 信息安全保密管理體系 –安全保密管理機(jī)構(gòu) –安全保密管理制度 –安全保密管理策略 –安全保密管理人員 102 信息安全保密管理體系 ? 安全保密管理制度 –應(yīng)依據(jù)國家相關(guān)保密法規(guī)和標(biāo)準(zhǔn)，結(jié)合本單位實(shí)際業(yè)務(wù)情況，建立健全涉密信息系統(tǒng)安全保密管理制度 –安全保密責(zé)任制應(yīng)明確崗位職責(zé)，實(shí)行領(lǐng)導(dǎo)責(zé)任制，層層落實(shí)，責(zé)任到人 ? 涉密信息產(chǎn)生、存儲(chǔ)、處理、傳輸、歸檔和銷毀的全過程 ? 人員管理、物理環(huán)境與設(shè)施管理、設(shè)備與介質(zhì)管理、運(yùn)行與開發(fā)管理和信息安全保密管理 103 信息安全保密管理體系 ? 安全保密管理制度 –管理制度一般包括： ? 涉密網(wǎng)絡(luò)安全保密管理規(guī)定 – 涉密信息系統(tǒng)的保密管理機(jī)構(gòu)與職責(zé)；系統(tǒng)的安全保密建設(shè)和保護(hù)要求、運(yùn)行要求；安全保密監(jiān)督檢查 ? 涉密網(wǎng)絡(luò)中心機(jī)房和設(shè)備間安全管理規(guī)定 – 涉密網(wǎng)絡(luò)機(jī)房和設(shè)備間的日常管理；值班人員管理；機(jī)房和設(shè)備間出入控制管理 ? 網(wǎng)絡(luò)設(shè)備與服務(wù)器安全保密管理規(guī)定 – 交換機(jī)、路由器安全保密管理內(nèi)容；服務(wù)器、數(shù)據(jù)庫管理、應(yīng)用軟件的安全保密管理 104 信息安全保密管理體系 ? 安全保密管理制度 –管理制度一般包括： ? 設(shè)備與介質(zhì)安全保密管理規(guī)定 – 設(shè)備與介質(zhì)選型與采購、交付與驗(yàn)收、臺(tái)賬管理、清查核對(duì)、標(biāo)識(shí)與安放、接入管理、變更管理、注銷管理、維修與管理 ? 安全保密產(chǎn)品管理規(guī)定 – 防火墻、入侵檢測(cè)產(chǎn)品