项目整体流程系统定级一-方案设计一-项目预评测一-项目招投标 (报财政局项目采购立项、跟财政局协商招标方式、确定招标机构、编制招标文件、招标 )一-工程实施一-系统测评一-> 系统审批—> 日常管理—测试与检查—系统废止关键环节是:项目招投标过程:一般流程是报财政局进行采购项目立项、跟财政局协 商招标方式、确定招标机构、编制招标文件、招标,重点控制项目招标的细节要求,特别 是招标文件中的设备参数要求及评标办法的确定,这两部分是项目成功的关键,在这个环 节每有一个变化我们都要及时沟通1.1分级保护整体工作流程系统定级一-方案设计一-工程实施一-系统测评一-系统审批一-> 日常管理一-测 试与检查一-系统废止阶段工作标准分级保护实施流程涉及单位管理办法、技术要求保密法系统定级 备案保密局详细系统识别 确定最高南级 确定惺护等级上报申批设计指南、技术理求管理规范:、安全产品标准保密局/评审专家组(召开方案评审会)风险评估* -确定保护要求规剑设计方案上报审苴论证工程监理方制I定实施保密制度确定工程监理方砒定产品集成方箱泮指南是 系统测评”二—授权洌评单位+提交浏汗申请提交测评资料技术要求、修理牌靠保密管理指南测评指南保密局/结论专斑交曲批申请提交申批获剧是-Jr日常管理制定保部tr理制度 组建安全俱密机构 设胃安全保密专员 定期风险自查 动态调蔡防护措施测试与检查定厢进行保密测评提交度止批申请 销毁涉密设籥黄料1.2实施过程概述卜面对整个过程做简单的概述01.2.1系统定级依据《保密法》密级范围的规定,本单位、各部门组织开展对所届信息系统 摸底调查工作。
按照涉密信息系统所处理信息的最高密级,由低到高划分为秘 密、机密和绝密三个等级识别信息系统调查信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业 务运行中的作用、岗位职责、系统管理、使用、运维的责任部门确定业务流、 数据流明确系统定级依据业务流所产生信息明确最高密级确定系统保护级别根据本单位信息的最高密级,依据 BMB-17确定系统的保护等级并整理 定级资料上报保密部门审批1.2.2方案设计选择建设方选择具备国家涉密资质的建设方设计信息系统安全保障体系系统风险评估在体系规划前根据方案设计要素制定详细调研、评估实施计划,识别用户 系统存在的脆弱性、风险确定保护要求根据可识别风险结合客户实际需求,确定最终保护要求规划设计方案结合风险评估数据和客户保护需求,并依据分级保护方案设计指南 (BMB-23)规划设计信息系统安全保障体系设计方案论证上报信息系统安全保障体系详细设计方案到保密部门,并组织评审专家做 一次论证1.2.3工程实施制定保密制度项目实施前根据工程具体情况制定涉密管理制度,严格对人员、设备、计 划实行保密控制 选择项目监理项目实施前选择具有单项监理资质的单位对工程保密、质量、进度、成本 进行控制。
选择产品集成项目实施中产品集成方应具有涉密资质,所有选购的安全产品应符合保密 要求1.2.4系统测评提交保密测评申请工程实施结束后向保密部门提出系统测评申请,由国家保密部门授权的系 统测评机构组织对涉密信息系统进行安全性测评,为一次测评为系统最终审批 提供依据提交系统测评资料根据国家保密部门授权的系统测评机构要求提供所有测评必要的资料1.2.5系统审批提交运行前审批申请涉密信息系统在上线运行前需要向保密部门提出系统运行审批申请,并组 织最终审批结论专家做论证提交系统审批资料根据国家保密部门所届审批单位范围向授权的系统测评机构要求提供所有 审批必要的资料1.2.6日常管理制定安全保密管理制度涉密信息系统上线运行后,根据分级保护管理规范制定管理策略、组建管 理机构,设置专职保密管理人员并监督制定的执行定期风险自查涉密信息系统上线运行后,根据使用单位具体情况进行定期或不定期风险 自评估工作,及时对系统运行、技术、管理新出现的安全威胁制定安全策略与补充措施,并严格管理评估数据动态调整安全防护技术涉密信息系统上线运行后,根据使用单位系统更新情况与风险自评估数据 及时发现存在的风险,并动态调整安全策略适时补充完善技术、管理的措施。
1.2.7测评与检查涉密信息系统保密测评与检查涉密信息系统上线运行后,根据国家保密部门要求秘密、机密级信息系统 每两年进行一次安全保密检查,绝密级信息系统每一年进行一次安全保密检 查信息系统环境或应用发生重大改变时,重新上报设计方案进行论证,并重 新保密测评,检测系统的安全保密措施的有效性和环境变化的适应性,发现隐 患及时采取相应的补充保护措施1.2.8系统废止提交系统废止备案申请涉密信息系统不再使用时,使用单位向保密工作部门提交系统废止申请备 案退密处理设备、产品依据保密规定对涉密设备、产品妥善退密处理销毁涉密介质对报废处理的涉密介质采用保密局统一规定使用的销毁软件工具,确保泄 密事件不发生1.3分级保护各相关方的职责划分分级保护实施工程所涉及的主管部门与协作单位�协调单位实施内容系统所 有方国家保 密局系统建 设方产品集 成方施工监 理方评审专家组授权测评单位结论专 家组系统定级详细系统 识别★V明确处理 信息的最 高密级★V确定系统 的保护等 级★V上报审核 批准★V系统保护级别变更★VV方案设计选择有涉 密资质的 建设方★对密级系统风险评估V★确定最终保护要求V★规划设计 方案V★上报审查论证★V工程实施制定实施 保密控制 制度★V选择有涉 密资质的 监理方★选择有涉 密资质的 产品集成 方★系统测评提交安全保密测评申请★V提交系统测评资料★V系统提交运行★V�协调单位实施内容系统所 有方国家保 密局系统建 设方产品集 成方施工监 理方评审专家组授权测评单位结论专 家组审批前审批申 请提交系统审批资料★V日常管理制定安全保密管理制度★V组建安全保密机构★设置安全保密专员★定期进行风险自查★严格管理 定密评估 数据★动态调整安全防护技术★V测评与检查每2年进行 秘密、机密 级系统保 密检查★V每1年进行绝密级系统保密检查★V定期进行系统安全保密测评V★严格管理 测评、检查 数据★系统废止提交系统废止备案申请★退密处理 设备、产品★V销毁处理涉密介质★V�说明:★代表主要协调单位、部门, V7代表辅助协调单位、部门。
1.4用户分级保护的实施要求管理要求内容系统定级涉密信息系统建设使用单位应根据系统所处理信息的最高密级, 确定系统的保护等级,并将系统定级情况书面报本单位保密工作机构或当 地保密工作部门审批批准对于包含多个安全域的信息系统,各安全 域可以分别确定保护等级涉密信息系统处理信息的密级和应用情况发生变化时, 建设使用单位应重新确定系统保护等级,并按相应等级要求调整保护措施方案设计选择具有相应涉密资质的承建单位承担活参与涉密信息系统的方案设计 与实施工程实施与监理在工程实施期间,涉密信息系统建设使用单位应按照 BMB17-2006的要求进行工程监理在进行工程监理是,应选择具有涉密工程监理单项资质 的单位或组织自身力量在安全保密控制、质量控制、进度控制、成本控 制、合同管理和文档管理留个方面加强监督检查定期的风险自评估涉密信息系统经过审批投入运行后, 建设使用单位应定期进行风险自评估,分析由于系统需求及技术与管理因素变化而新出现的安全威 胁,动态调整安全策略,适时补充和完善技术与管理措施,以使系统 保持与等级要求相一致的防护水平1.5主管部门的管理手段管理要求内容定级审批与备案管 理系统定级情况书面报本单位保密工作机构或当地保密工作部门审批 批准。
国家保密工作部门负责受理备案并进行备案管理分级保护方案审批涉密信息系统建设使用单位应对系统设计方案进行审查论证, 保密工作 部门应当参与方柔申查论证,在系统忌体安全保笞性方面加强指 导,严格把关系统测评涉密信息系统建设使用单位在系统工程施工结束后, 应向保密工作部门提出申请,由国家保密工作部门授权的系统测评机构对涉密信息系 统进行安全保密测评,系统全面地验证所采取的 安全保密措施能否满足安全保密需求和安全目标,为涉密信息系统审批提供依据系统审批国家对涉密信息系统拖入运行实行行政审批制度 涉密信息系统建设使用单位在系统投入使用前,应按照涉密信息系统审批管理办法的规 定进行审批,通过审批后方可投入使用未经保密工作部门的审批, 涉密信息系统不得投入使用 国家保密局:负责审批中央和国家机关各部委及其所属单位、国防武器装备科研生产一级保密资格单位的涉密信息系统;- 省(自治区、直辖市)保密局:负责审批省及机关及其所属单位、 国防武器科研生产二、三级保密资格单位的涉密信息系统;- 市(地)级保密局:负责审批市(地)直机关及其所属单位、县 直机关所属单位的涉密信息系统测评与检查系统投入运行后,秘密级、机密级信息系统应每两年至少进行一次安 全保密测评或保密检查;绝密级信息系统应每年至少进行一次安全保 密测评或保密检查。
涉密信息系统投入运行后的安全保密测评, 由负责该系统审批的保密 工作部门组织系统评测机构进行系统废止备案涉密信息系统不再使用时, 其建设使用单位应向负责该系统审批的保密工作部门备案,并按照有关保密规定妥善处理涉及国家秘密信息的 设备、产品、介质和文档资料1.6分级保护对厂商和产品的资质管理管理内容资质类型内容涉密信息系统集成资质甲级资质甲级资质单位可在全国范围内承接涉密信 息系统的规划、设计和实施业务,并仅可 承担本单位承建的涉密信息系统的系统服 务和系统咨询工作,不得从事其它单项资 质业。