分级保护测评流程培训分级保护测评流程培训咨询顾问:宣淦淼�分级保护相关标准分级保护相关标准分级保护相关标准分级保护相关标准1分级保护测评流程分级保护测评流程分级保护测评流程分级保护测评流程4目目 录录分保测评适用范围分保测评适用范围分保测评适用范围分保测评适用范围2涉密系统建立流程涉密系统建立流程涉密系统建立流程涉密系统建立流程3� 分级保护相关标准分级保护相关标准分级保护相关标准分级保护相关标准1分级保护测评分级保护测评�1. BMB17-2006《《涉及国家秘密的信息系统分级保护技术要求涉及国家秘密的信息系统分级保护技术要求》》2. BMB20-2007《《涉及国家秘密的信息系统分级保护管理规范涉及国家秘密的信息系统分级保护管理规范》》3. BMB22-2007《《涉及国家秘密的信息系统分级保护测评指南涉及国家秘密的信息系统分级保护测评指南》》4.《《涉及国家秘密的信息系统分级保护管理办法涉及国家秘密的信息系统分级保护管理办法》》国家保密局国家保密局 国保发国保发【【2005】】16号号分级保护分级保护相关标准相关标准分级保护相关标准分级保护相关标准�分级保护测评指南分级保护测评指南–所在单位按照处理信息最高级别分为秘密级<机密级<绝密级;–涉密信息系统测评是依据国家保密标准,从风险管理角度,分析涉密信息系统所面临的威胁及其存在的脆弱性,提出有针对性的防护对策和整改措施,为防范和化解涉密信息系统安全保密风险,为涉密信息系统安全保密提供科学依据。
BMB22-2007《《涉及国家秘密的信息系统分级保护测评指南涉及国家秘密的信息系统分级保护测评指南》》�分级保护测评适用范围分级保护测评适用范围分级保护测评适用范围分级保护测评适用范围2�n测评适用系统分保适用系统分保适用系统存储、使用或产生涉密信息的计算机网络系统处理涉密信息的单独计算机不参与测评�分级保护适用单位n测评适用单位党政机关(法院、检查院、省级政府等)国防军工(航空、航天、兵器等)非公有制企业�涉密系统建立流程涉密系统建立流程涉密系统建立流程涉密系统建立流程3�系统定级系统定级方案设计方案设计工程实施工程实施n涉密系统建立流程分级保护测评分级保护测评�n系统定级党政机关国防军工非公有制企业由单位保密办依据密级范围规定,并由测评机构监督由承接军方项目级别、国防军工所设计项目重要性等方面来定级一级单位负责总体设计二级单位负责部分设计三级单位负责零配件设计由所承接项目合同规定处理信息级别,依据密级范围规定,并由测评机构监督定级定级�n方案设计1.选择有涉密资质的承建单位(涉密甲级、乙级),进行系统风险评估;2.根据分保方案指南bmb23、分保要求bmb17和分保管理规范bmb20进行方案设计;3.方案交由测评中心方案评审专家进行审查论证。
集中一批次方案,进行统一审查)方案设计方案设计�n工程实施1.方案通过后,进行项目实施2.实施单位必须有涉密集成资质,如无特殊情况选取就近涉密集成单位绝密级信息系统选用甲级资质单位)2.选择由工程监理单项资质的单位或组织本单位人员进行监理 (按照bmb18进行工程监理)工程实施工程实施�分级保护测评流程分级保护测评流程分级保护测评流程分级保护测评流程4�分级保护测评分级保护测评申报材料申报材料资料审查资料审查通过?通过?现场考察现场考察现场测评现场测评修改材料修改材料通过?通过?专家召开会议,出测评报告专家召开会议,出测评报告《《测评报告测评报告》》≥6060分分系统整改系统整改是是否否否n 流程图是�审查资料审查资料n审查资料(实施完毕后)1.测评申请书2.申请单位信息 3.系统测评委托书4.系统基本情况调查表 5.涉密信息系统建设情况6.防护措施调整情况7.涉密信息系统物理环境情况8.综合布线情况9.涉密信息系统网络、应用系统及技术防护情况10.系统的安全保密管理情况返回�n现场考察1.重点考察与申请书是否描述一致;2.简单审查,不合格项提出整改意见,必须先进行整改;3.本次审查不打分。
一般军工单位会由其上级测评中心来考察)现场考察现场考察返回�n现场测评1.由国家保密局授权的测评中心或分中心从专家库中抽调专家;2.制定测评方案,根据bmb22附录A、B、C测评表进行分保测评;3.相关分值记录在测评表;为不同安全域进行检测的,每个安全域有各自测评表现场测评现场测评返回�n 现场测评两大项满分为100分技术要求测评技术要求测评7070分分检测结果满分为检测结果满分为100100分分管理要求测评管理要求测评3030分分测评分值测评分值� 测评技术要求终止项测评技术要求终止项测评技术要求终止项测评技术要求终止项技术要求技术要求7070分分检测结果满分为检测结果满分为100100分分基本测评项基本测评项﹡物理隔离物理隔离﹡安全保密产品选择安全保密产品选择﹡安全边界防护安全边界防护﹡密级标识密级标识信息安全保密信息安全保密﹡用户身份鉴别用户身份鉴别﹡访问控制粒度访问控制粒度﹡信息输出信息输出﹡信息存储信息存储﹡边界控制边界控制﹡信息设备电磁泄漏信息设备电磁泄漏发射防护发射防护﹡违规外联监控违规外联监控技术中止项技术中止项�管理要求管理要求3030分分检测结果满分为检测结果满分为100100分分管理过程管理过程基本管理要求基本管理要求﹡管理机构管理机构﹡管理制度管理制度﹡管理人员管理人员﹡集成资质单位选择集成资质单位选择 测评管理要求终止项测评管理要求终止项测评管理要求终止项测评管理要求终止项管理中止项管理中止项返回�n专家评估1.测评机构组织专家评估会2. 专家组听取情况,介绍审阅检测报告,分析测评方法、流程和结果。
3.给出系统完善意见专家评估专家评估�n测评结论1.国家保密局负责审批中央和国家机关各部委、一级保密资格单位涉密信息系统2.省级(自治区、直辖市)保密局负责审批省直机关,二、三级保密资格单位涉密信息系统3.市级保密局负责审批市直机关、县直机关涉密信息系统测评结论测评结论�n涉密系统运行时效性1.涉密系统运行许可没有过期日,只有在系统环境或应用发生重大改变才需要重过测评2.绝密信息系统每年至少进行一次安全保密测评或保密检查3.秘密机密级信息系统每两年至少一次安全保密测评或保密检查时效性时效性�分级保护测评分级保护测评系统定级系统定级系统审批系统审批日常管理日常管理测评与检查测评与检查方案设计方案设计工程实施工程实施系统评测系统评测系统废止系统废止 涉密系统生命周期�小故事小故事v你能保密吗 ?�谢谢 谢谢 ! �。