开展涉密信息系统分级保护工作应注意问题(2)

息化、业务工作、密码、保卫和人事等有关部门人员组成的安全保密管理机构，使用先进的安全保密管理技术，从人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息保密管理五个方面进行日常安全保密管理。 7.测评与检查

系统经审批投入运行后，应加强风险评估管理。秘密级、机密级信息系统，每两年至少进行一次保密检查或系统测评；绝密级信息系统每年至少进行一次保密检查或系统测评。安全保密测评和保密技术检查过程中形成的有关数据、刻录和评估报告，应定密并按照相应级文件进行管理。 8.系统废止

涉密信息系统不再使用时，涉密信息系统建设使用单位应向保密工作部门备案，并按照有关保密规定妥善处理涉及国家秘密信息的设备、产品介质和文档资料。对需要报废的涉密设备和介质，应进行信息消除和载体销毁处理，所采取的技术、设备和措施应符合相关标准和规定，防止泄密事件的发生。

四、了解政策，掌握标准

涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护。因此，涉密信息系统建设使用单位必须充分了解分级保护工作方面的政策要求，并熟练掌握和运用涉密

信息系统分级保护的标准。

1.涉密信息系统分级保护是国家信息安全等级保护的重要部分

涉密信息系统根据涉密程度，按照秘密级、级、绝密级进行分级保护；非涉密信息系统根据重要程度按照自主保护级（第一级）、指导保护级（第二级）、监督保护级（第三级）、强制保护级（第四级）、专控保护级（第五级）进行等级保护。秘密级、机密级、绝密级信息系统的整体防护水平不低于非涉密信息系统的第三、四、五级的要求。凡是用于处理、传输和存储国家秘密的信息系统（网络）都应按照分级保护的要求进行建设、使用和管理。

2.国家保密局是涉密信息系统分级保护工作的主管部门 国家保密工作部门负责全国涉密信息系统分级保护工作的指导、监督和检查；地方各级保密工作部门负责本行政区域涉密信息系统分级保护工作的指导、监督和检查。中央和国家机关各部门在其职权范围内，主管或指导本部门和本系统涉密信息系统的分级保护工作；涉密信息系统的建设使用单位则负责本单位涉密信息系统分级保护的具体实施工作。

3.国家保密法规与标准是组织开展分级保护工作的具体依据

涉密信息系统建设使用单位应依据《涉及国家秘密的信

息系统分级保护管理办法》（国保发〔2005〕16号）确定系统等级，结合本单位业务需求和涉密信息制定安全保密需求，依据国家保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》，设计系统安全保密方案。在工程实施过程中，应按照BMB18-2006《涉及国家秘密的信息系统工程监理规范》的要求进行工程监理。工程实施结束后,涉密信息系统

建设使用单位应当向保密工作部门提出申请，由国家保密局的涉密信息系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》，对涉密信息系统进行安全保密测评。在系统投入使用前，涉密信息系统 建设使用单位应当按照《涉及国家秘密的信息系统审批管理规定》,向市(地)级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。 五、合理分域,准确定级

涉密信息系统分级保护是以系统所处理信息的最高密级来确定安全等级的,在合理划分安全域边界安全可控的情况下,各安全域可根据涉密高定级单独定级,实施“分域分级防护”的策略,从而降低系统建设成本和管理风险。

⑴对于涉密程度层次分明、地域纵横分布睥我国党政部门的“电子政务广域网涉密信息系统”，可根据行政级别、信息密级和系统重要性划分不同的安全域。首先可根据行政级别将业务体系内的“电子政务广域网涉密信息系统”划分为中央、省、市（地）和县四个安全域，然后再根据各个安全域的所处理信息的最高密级单独确定保护等级和防护措施，例如按照机密级增强（中央）、机密级（省）、秘密级（市、地）和工作秘密级（县）“四层三级”的架构进行分域分级防护。

⑵对于使用范围集中的局域网涉密信息系统，可根据业务部门和信息密级划分不同的安全域。为了实现涉密信息系统的最小化，控制国家秘密的知晓范围，降低失泄密的风险，对于局域网涉密信息系统可根据业务部门和信息密级的不同划分安全域。首先通过使用VLAN、防火墙等技术划分不同的安全域，对不同部门的业务进行分割；然后，在同一部门内可再根据信息密级，将处理、存储不同密级信息的服务器和用户终端划分到不同的安全域。例如，可将一个机密级局域网划分为若干个机密级和秘密级安全域，进行分级分域管理，实现多边安全控制，保障系统的总体安全。 ⑶对整体涉密程度高、使用范围广且应用特殊的“军工单位涉密信息系统”，可根据行政管理结构和信息密级划分不同的安全域。我国的国防武器装备科研生产军工部门基本

实行集团总部、院和厂所三级独立法人负责制。因此可首先根据这种行政管理结构模式对整个系统进行安全域划分，然后再根据各个安全域的所处理信息的最高密级单独确定保护等级和防护措施。对于机密级的安全域，应采用机密级增强保护要求进行防护。

在对涉密信息系统进行分域分级防护的情况，还应考虑安全域边界防护问题，并建立“集中控制、分级负责”的安全保密监控平台，实现全网统一的安全保密管理与监控。 六、把握关键，确保安全

涉密信息系统分级保护就是要从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，突出重点，确保国家秘密的安全。在方案设计和工程实施中，应解决好以下几个方面的关键技术与管理措施： 1.安全保密产品选择

非涉密信息系统中使用的安全保密产品应选用国产设备，非安全保密产品应充分考虑国家安全保密需要，优先选择国产设备；在选用国外设备时，应进行详细调查和论证，不得选用国家保密工作部门禁用的设备或附件，必要时，应对选用的国外产品进行安全保密检测。

选用的计算机病毒防护产品应获得公安机关批准，密码产品应获得国家密码管理部门批准，其他安全保密产品均应获得国家保密工作部门批准。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库开展涉密信息系统分级保护工作应注意问题(2)在线全文阅读。