第三章涉密信息系統分級保護1內容摘要我國對涉及國家秘密的信息系統實行分級保護，主要內容包括系統分級保護、分級測評與檢查、防護產品分級管理、泄密事件分級處置等。23.1基本概念3.1.1涉密信息系統何為涉密信息系統？是指由計算機及其相關配套設施、設備構成的，按照一定的應用目標和規(guī)則存儲、處理、傳輸國家秘密的信息系統33.1基本概念3.1.2保密管理何為保密管理？保密管理是指國家通過各級保密組織，運用法律賦予的行政權利，對涉密載體以及涉密人員所進行的一系列組織實施活動，包括決策、計劃、組織、指導、協調、監(jiān)督等43.1基本概念3.1.3信息系統的安全風險信息系統的安全風險是指由于系統存在的脆弱性，認為或自然的威脅導致安全事件發(fā)生的可能性及其影響3.1.4信息安全風險評估指依據國家有關信息安全標準，對信息系統及由其處理、傳輸和存儲的信息的安全屬性（CIA等）進行科學評價的過程。它要評估信息系統的脆弱性、面臨的威脅以及脆弱性被威脅源利用后所產生的實際負面影響，并根據安全事件發(fā)生的可能性和負面影響的成都來識別信息系統的安全風險。53.1基本概念3.1.4信息安全風險評估信息安全風險評估的作用和意義風險評估是信息系統安全的基礎性工作風險評估是分級保護和突出重點的具體體現加強風險評估工作是當前信息安全工作的客觀需要和緊迫需求63.1基本概念3.1.5涉密信息系統安全風險評估涉密信息系統安全風險評估是依據國家保密標準，從風險管理角度，運用科學的分析方法和手段，分析涉密信息系統所面臨的威脅及其存在的脆弱性，提出具有針對性的防護對策和整改措施，為防范和化解涉密信息系統安全保密風險、保障涉密信息系統安全風險評估工作涉密信息系統安全風險評估由負責該涉密信息系統審批的保密行政管理部門進行組織，國家保密行政管理部門負責全國涉密信息系統安全風險評估工作73.1基本概念3.1.6涉密信息系統分級保護制度按照涉密信息系統所處理國家秘密信息的不同將系統劃分為秘密、機密、絕密三個等級，分別采取不同強度的技術防護措施和管理模式實施保護。83.2分級保護3.2.1基本原則規(guī)范定密，準確定級依據標準，同步建設突出重點，確保核心明確責任，加強監(jiān)督93.2分級保護3.2.2法律標準體系10《國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)[2003]27號）》《涉及國家秘密的信息系統分級保護技術要求》BMB17-2006《關于加強信息安全保障工作中保密管理的若干意見（中保委發(fā)[2004]7號）》《涉及國家秘密的信息系統分級保護管理辦法（國保發(fā)[2005]16號）》《涉及國家秘密的信息系統分級保護管理意見》BMB20-2007《涉及國家秘密的信息系統分級保護評測指南》BMB22-2007《涉及國家秘密的信息系統分級保護方案涉及》BMB23-20083.2分級保護3.2.3工作體制國家保密行政管理部門負責全國涉密信息系統分級保護工作的指導、監(jiān)督和檢查地方各級保密行政管理部門負責本行政區(qū)域涉密信息系統分級保護工作的指導、監(jiān)督和檢查中央和國家機關各部門在其職權范圍內，主管或指導本部門和本系統涉密信息系統的分級保護工作113.2分級保護3.2.3工作體制國家和地方各級保密行政管理部門依法對各地區(qū)、各部門涉密信息系統分級保護工作實施監(jiān)督管理，同時指導、監(jiān)督和檢查分級保護工作的開展指導涉密信息系統建設使用單位規(guī)范信息定密，合理確定系統保護等級參與涉密信息系統分級保護方案論證，指導建設使用單位做好保密設施的同步規(guī)范設計依法對涉密信息系統集成資質單位進行監(jiān)督管理123.2分級保護3.2.3工作體制嚴格進行系統評測和審批工作，監(jiān)督檢查設秘密信息系統建設使用單位分級保護管理制度和技術措施的落實情況加強涉密信息系統運行中的保密監(jiān)督檢查。絕密1年一次，秘密與機密級2年一次了解掌握各級各類涉密信息系統的管理使用情況，及時發(fā)現和查處各種違規(guī)違法行為和泄密事件涉密信息系統的建設使用單位要按照“誰主管、誰負責”的原則，負責本單位涉密信息系統分級保護工作的具體實施133.2分級保護3.2.3工作體制涉密信息系統分級保護工作的工作機制在系統定級方面，系統建設使用單位保密工作機構要發(fā)揮準確掌握國家秘密政策的優(yōu)勢，與信息化、業(yè)務工作等部門一起研究決定系統和安全域所處理信息的最高秘密，從而確定保護等級在方案設計方面，按照國家保密標準BMB23-2008，組織設計符合保密要求的分級保護方案在工程實施方面，信息化建設部門應具體承擔組織實施工作，與保密行政管理部門定期檢查工作進展情況，并及時協調處理發(fā)現問題，確保各項安全保護措施落到實處143.2分級保護3.2.3工作體制在系統工程實施結束后，保密行政管理部門應負責組織系統評測和系統審批工作在系統投入運行后，保密、信息化、業(yè)務工作、密碼、保衛(wèi)和人事等有關部門應按照“分工合作、各司其職”的原則，積極配合完成各方面的日常安全保密管理工作153.2分級保護3.2.3實施過程涉密信息系統分級保護實施過程包括系統定級、方案設計、工程實施、系統評測、系統審批、日常管理、評測與檢查、系統廢止八個環(huán)節(jié)系統定級：秘密、機密和絕密三級方案設計：根據BMB23-2008，設計符合BMB17-2006，BMB20-2007的系統建設和安全保密方案工程實施：按照BMB18-2006進行工程監(jiān)理系統評測：涉密信息系統投入運行必須先評測、后審批163.2分級保護3.2.3實施過程系統審批：國家對涉密信息系統的投入使用實行行政審批制度；在系統評測的基礎上對系統進行審批；當應用環(huán)境或安全保密設施發(fā)生重大變更時，應報告或重新測評和審批日常管理：按照BMB20-2007的要求進行管理測評與檢查：按照《分級保護管理辦法》進行檢查系統廢止：不再使用時，應備案，妥善處理涉密信息設備和文檔資料，做相應銷毀處理173.2分級保護3.3技術國家保密標準BMB17-2006規(guī)定了涉密信息系統的等級劃分準則、基本保護要求和相應等級的安全保密技術要求該標準從基本要求、物理安全、運行安全、和信息安全保密四個方面，規(guī)定了秘密、機密和絕密級信息系統的安全保密技術要求183.3技術19涉密信息系統分級保護技術要求基本要求物理安全運行安全信息安全保密物理隔離安全保密產品選擇安全域間邊界防護密級標志環(huán)境安全計算機病毒與而已代碼防護應急響應運行管理設備安全介質安全備份與恢復身份鑒別訪問控制密碼保護措施電磁泄漏發(fā)射防護信息完整性校驗系統安全性能檢測安全審計抗抵賴操作系統安全邊界安全防護3.4管理20涉密信息系統分級保護管理規(guī)范管理過程基本管理要求管理內容系統定級方案設計工程實施系統評測系統審批日常管理評測與檢查系統廢止安全保密管理策略安全保密管理機構安全保密管理制度安全保密管理人員人員管理物理環(huán)境與設施管理設備與介質管理運行與開發(fā)管理信息保密管理國家保密標準BMB20-2007框架3.5檢查評估21涉密信息系統分級保護測評指南評測流程評測內容和方法評測結果判定準則資料審查現場考察制定評測方案現場檢測檢測結果分析專家評估給出測評結論和得分秘密級機密級絕密級國家保密標準BMB22-2007框架技術要求測評管理要求測評基本測評項判定測評小項得分測評項和測評大項得分系統檢測得分專家評估提出調整意見重新計算得分并給出測評結論3.5檢測評估3.5.2測評結構從事涉密信息系統風險評估的機構或單位應具有國家保密局的授權或資質，無授權或資質不能進行風險評估測評機構是指國家保密局涉密信息系統安全保密測評中心及其分中心，主要承擔涉密信息系統審批前和審批運行后的檢查評估工作風評中的有關數據、記錄和評估報告應根據涉密信息系統的密級，確定密級，并按照相應的密級文件管理風評中不要引入新的安全風險223.5檢測評估3.5.3測評流程233.6安全保密產品的評測認證3.6.1測評機構由國家保密局涉密信息系統安全保密測評中心和國家保密局電磁泄漏發(fā)射防護產品檢測中心（）負責國家保密局涉密信息系統安全保密測評中心，02年6月國家保密局電磁泄漏發(fā)射防護產品檢測中心，01年8月243.6安全保密產品的評測認證3.6.2測評標準國家保密局涉密信息系統安全保密測評中心國家保密局標準BMB10-2004,BMB11-2004,BMB12-2004,BMB13-2004,BMB15-2011,BMB16-2011國家保密局電磁泄漏發(fā)射防護產品檢