项目整体步骤系统定级—→方案设计—→项目预评测—→项目招投标(报财政局项目采购立项、跟财政局协商招标方法、确定招标机构、编制招标文件、招标)—→工程实施—→系统测评—→系统审批—→日常管理—→测试和检验—→系统废止关键步骤是:项目招投标过程:通常步骤是报财政局进行采购项目立项、跟财政局协商招标方法、确定招标机构、编制招标文件、招标,关键控制项目招标细节要求,尤其是招标文件中设备参数要求及评标措施确实定,这两部分是项目成功关键,在这个步骤每有一个改变我们全部要立即沟通1.1 分级保护整体工作步骤 系统定级—→方案设计—→工程实施—→系统测评—→系统审批—→日常管理—→测试和检验—→系统废止1.2 实施过程概述下面对整个过程做简单概述1.2.1 系统定级依据《保密法》密级范围要求,本单位、各部门组织开展对所属信息系统摸底调查工作根据涉密信息系统所处理信息最高密级,由低到高划分为秘密、机密和绝密三个等级Ø 识别信息系统调查信息系统所在单位组织管理结构、管理策略、部门设置和部门在业务运行中作用、岗位职责、系统管理、使用、运维责任部门确定业务流、数据流Ø 明确系统定级依据业务流所产生信息明确最高密级。
Ø 确定系统保护等级依据本单位信息最高密级,依据BMB-17确定系统保护等级并整理定级资料上报保密部门审批1.2.2 方案设计Ø 选择建设方选择含有国家涉密资质建设方设计信息系统安全保障体系Ø 系统风险评定在体系计划前依据方案设计要素制订具体调研、评定实施计划,识别用户系统存在脆弱性、风险Ø 确定保护要求依据可识别风险结适用户实际需求,确定最终保护要求Ø 计划设计方案结合风险评定数据和用户保护需求,并依据分级保护方案设计指南(BMB-23)计划设计信息系统安全保障体系Ø 设计方案论证上报信息系统安全保障体系具体设计方案到保密部门,并组织评审教授做一次论证1.2.3 工程实施Ø 制订保密制度项目实施前依据工程具体情况制订涉密管理制度,严格对人员、设备、计划实施保密控制Ø 选择项目监理项目实施前选择含有单项监理资质单位对工程保密、质量、进度、成本进行控制Ø 选择产品集成项目实施中产品集成方应含有涉密资质,全部选购安全产品应符合保密要求1.2.4 系统测评Ø 提交保密测评申请工程实施结束后向保密部门提出系统测评申请,由国家保密部门授权系统测评机构组织对涉密信息系统进行安全性测评,为一次测评为系统最终审批提供依据。
Ø 提交系统测评资料依据国家保密部门授权系统测评机构要求提供全部测评必需资料1.2.5 系统审批Ø 提交运行前审批申请涉密信息系统在上线运行前需要向保密部门提出系统运行审批申请,并组织最终审批结论教授做论证Ø 提交系统审批资料依据国家保密部门所属审批单位范围向授权系统测评机构要求提供全部审批必需资料1.2.6 日常管理Ø 制订安全保密管理制度涉密信息系统上线运行后,依据分级保护管理规范制订管理策略、组建管理机构,设置专职保密管理人员并监督制订实施Ø 定时风险自查涉密信息系统上线运行后,依据使用单位具体情况进行定时或不定时风险自评定工作,立即对系统运行、技术、管理新出现安全威胁制订安全策略和补充方法,并严格管理评定数据Ø 动态调整安全防护技术涉密信息系统上线运行后,依据使用单位系统更新情况和风险自评定数据立即发觉存在风险,并动态调整安全策略适时补充完善技术、管理方法1.2.7 测评和检验Ø 涉密信息系统保密测评和检验涉密信息系统上线运行后,依据国家保密部门要求秘密、机密级信息系统每两年进行一次安全保密检验,绝密级信息系统每十二个月进行一次安全保密检验信息系统环境或应用发生重大改变时,重新上报设计方案进行论证,并重新保密测评,检测系统安全保密方法有效性和环境改变适应性,发觉隐患立即采取对应补充保护方法。
1.2.8 系统废止Ø 提交系统废止立案申请涉密信息系统不再使用时,使用单位向保密工作部门提交系统废止申请立案Ø 退密处理设备、产品依据保密要求对涉密设备、产品妥善退密处理Ø 销毁涉密介质对报废处理涉密介质采取保密局统一要求使用销毁软件工具,确保泄密事件不发生1.3 分级保护各相关方职责划分分级保护实施工程所包含主管部门和协作单位协调单位实施内容系统全部方国家保密局系统建设方产品集成方施工监理方评审教授组授权测评单位结论教授组系统定级具体系统识别★√明确处理信息最高密级★√确定系统保护等级★√上报审核同意★√系统保护等级变更★√√方案设计选择有涉密资质建设方★对密级系统风险评定√★确定最终保护要求√★计划设计方案√★上报审查论证★√工程实施制订实施保密控制制度★√选择有涉密资质监理方★选择有涉密资质产品集成方★系统测评提交安全保密测评申请★√提交系统测评资料★√系统审批提交运行前审批申请★√提交系统审批资料★√日常管理制订安全保密管理制度★√组建安全保密机构★设置安全保密专员★定时进行风险自查★严格管理定密评定数据★动态调整安全防护技术★√测评和检验每2年进行秘密、机密级系统保密检验★√每1年进行绝密级系统保密检验★√定时进行系统安全保密测评√★严格管理测评、检验数据★系统废止提交系统废止立案申请★退密处理设备、产品★√销毁处理涉密介质★√说明:★代表关键协调单位、部门,√代表辅助协调单位、部门。
1.4 用户分级保护实施要求管理要求内容系统定级涉密信息系统建设使用单位应依据系统所处理信息最高密级,确定系统保护等级,并将系统定级情况书面报本单位保密工作机构或当地保密工作部门审批同意对于包含多个安全域信息系统,各安全域能够分别确定保护等级涉密信息系统处理信息密级和应用情况发生改变时,建设使用单位应重新确定系统保护等级,并按对应等级要求调整保护方法方案设计选择含有对应涉密资质承建单位负担活参与涉密信息系统方案设计和实施工程实施和监理在工程实施期间,涉密信息系统建设使用单位应根据BMB17-要求进行工程监理在进行工程监理是,应选择含有涉密工程监理单项资质单位或组织本身力量在安全保密控制、质量控制、进度控制、成本控制、协议管理和文档管理留个方面加强监督检验定时风险自评定涉密信息系统经过审批投入运行后,建设使用单位应定时进行风险自评定,分析因为系统需求及技术和管理原因改变而新出现安全威胁,动态调整安全策略,适时补充和完善技术和管理方法,以使系统保持和等级要求相一致防护水平1.5 主管部门管理手段管理要求内容定级审批和立案管理系统定级情况书面报本单位保密工作机构或当地保密工作部门审批同意国家保密工作部门负责受理立案并进行立案管理。
分级保护方案审批涉密信息系统建设使用单位应对系统设计方案进行审查论证,保密工作 部门应该参与方案审查论证,在系统总体安全保密性方面加强指导,严格把关系统测评涉密信息系统建设使用单位在系统工程施工结束后,应向保密工作部门提出申请,由国家保密工作部门授权系统测评机构对涉密信息系统进行安全保密测评,系统全方面地验证所采取 安全保密方法能否满足安全保密需求和安全目标,为涉密信息系统审批提供依据系统审批国家对涉密信息系统拖入运行实施行政审批制度涉密信息系统建设使用单位在系统投入使用前,应根据涉密信息系统审批管理措施要求进行审批,经过审批后方可投入使用未经保密工作部门审批,涉密信息系统不得投入使用– 国家保密局:负责审批中央和国家机关各部委及其所属单位、国防武器装备科研生产一级保密资格单位涉密信息系统;– 省(自治区、直辖市)保密局:负责审批省及机关及其所属单位、国防武器科研生产二、三级保密资格单位涉密信息系统;– 市(地)级保密局:负责审批市(地)直机关及其所属单位、县直机关所属单位涉密信息系统测评和检验系统投入运行后,秘密级、机密级信息系统应每两年最少进行一次安全保密测评或保密检验;绝密级信息系统应每十二个月最少进行一次安全保密测评或保密检验。
涉密信息系统投入运行后安全保密测评,由负责该系统审批保密工作部门组织系统评测机构进行系统废止立案涉密信息系统不再使用时,其建设使用单位应向负责该系统审批保密工作部门立案,并根据相关保密要求妥善处理包含国家秘密信息设备、产品、介质和文档资料1.6 分级保护对厂商和产品资质管理管理内容资质类型内容涉密信息系统集成资质甲级资质甲级资质单位可在全国范围内承接涉密信息系统计划、设计和实施业务,并仅可负担本单位承建涉密信息系统系统服务和系统咨询工作,不得从事其它单项资质业务 乙级资质乙级资质单位可在所限定行政区域内承接涉密信息系统计划、设计和实施业务,并仅可负担本单位承接涉密信息系统系统服务和系统咨询工作,不得从事其它单项资质业务 军工系统集成单项资质军工系统集成单项资质单位只能在所属军工集团内承接涉密信息系统集成业务;单项资质:包含涉密信息系统软件开发、综合布线、系统服务、系统咨询、风险评定、屏蔽室建设、工程监理、数据恢复和保密安防监控等单项业务单项资质单位可在全国范围内承接所要求单项业务取得某一单项资质单位如需从事其它单项业务,必需申请对应单项资质涉密信息系统风险评定资质涉密信息系统风险评定单项资质涉密信息系统工程监理资质涉密信息系统工程监理单项资质系统测评由国家保密工作部门授权系统测评机构安全保密产品选择涉密信息系统中使用安全保密产品应选择国产设备。
安全保密产品应经过国家相关主管部门授权测评机构检测计算机病毒防护产品应取得公安机关同意密码产品应取得国家密码管理部门同意其它安全保密产品如身份判别、访问控制、安全审计、入侵检测和电磁泄漏发射防护等产品应取得国家保密工作部门同意。