千文网小编为你整理了多篇相关的《涉密信息系统资质保密标准(合集)》,但愿对你工作学习有帮助,当然你在千文网还可以找到更多《涉密信息系统资质保密标准(合集)》。
第一篇:关于涉密信息系统分级保护的几个问题
关于涉密信息系统分级保护的几个问题
2003年9月7日,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》,其中明确提出了开展信息安全等级保护的任务,并指出涉及国家秘密的信息系统(以下简称涉密信息系统)要按照党和国家的有关保密规定进行保护。在已经开展的分级保护的具体工作中,有几个问题需要引起重视。
一、分级保护与等级保护的关系
2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责负责的管理职责和要求。其中明确规定:涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
为贯彻落实两办文件精神,中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,颁布了国家保密标准《涉及国家秘密的信息系统分级保护技术要求》。目前,正在制订并将颁布两个国家保密标准:《涉及国家秘密的信息系统分级保护管理规范》和《涉及国家秘密的信息系统分级保护测平指南》。2007年将制订其他标准,进一步完善标准体系。
我国信息安全等级保护与涉密信息系统分级保护关系
等级保护 分级保护 保护对象不同 非涉密信息系统 涉密信息系统 管理体系不同 公安机关 国家保密工作部门
标准体系不同 国家标准(GB、GB/T)国家保密标准(BMB,强制执行)级别划分不同 第一级:自主保护级
第二级:指导保护级
第三级:监督保护级 秘密级
第四级:强制保护级 机密级
第五级:专控保护级 绝密级
涉密信息系统分级保护与信息安全等级保护制度相衔接,三个等级的防护水平不低于国家等级保护的第三、四、五级要求
二、关于涉密信息系统分级保护概况
1、涉密信息系统分级保护的含义
涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
2、涉密信息系统分级保护管理原则
规范定密,准确定级;依据标准,同步建设;突出重点,确保核心;明确责任,加强监督。
3、涉密信息系统分级保护的管理职责
国家保密局负责全国涉密信息系统分级保护工作的指导、监督和检查;地方各级保密局负责本行政区域涉密信息系统分级保护工作的指导、监督和检查;中央和国家机关负责本部门和本系统内涉密信息系统分级保护工作的主管和指导;建设使用单位负责本单位涉密信息系统分级保护工作的具体实施。
4、涉密信息系统的等级划分
涉密信息系统按照处理信息的最高密级确定,由低到高划分为秘密、机密和绝密三个等级。绝密级信息系统应限定在封闭、安全可控的独立建筑群内。集中处理工作秘密的信息系统,可参照秘密级信息系统的有关要求进行保护。
5、涉密信息系统分级保护的实施步骤(1)规范信息定密;(2)确定系统等级;(3)方案设计与审核;(4)落实保护措施;(5)系统测评;(6)系统审批;
(7)安全保密评估与保密监督检查。
6、涉密信息系统的监管
(1)必须选择具有相应涉密资质的单位承担或参与涉密信息系统的方案设计与实施;(2)保密工作部门参加方案审查论证;
(3)国家保密局授权的系统测评机构进行安全保密测评;(4)经保密工作部门审批后,系统方可投入使用;
(5)保密工作部门定期进行保密检查或系统测评:秘密级和机密级信息系统,每两年至少一次;绝密级信息系统,每年至少一次。
三、关于涉密信息系统分级保护管理规范
根据“技管并重”的指导思想,一个不同等级的信息系统既要采取不同强度的技术保护措施,还要采取不同的管理强度,才能保障这个信息系统的安全,因此需制订国家保密标准——《涉密信息系统分级保护管理规范》,它是以国家保密局《涉密信息系统分级保护管理办法》作为指导,以《涉密信息系统保密技术要求》中安全保密管理部分作为基础,结合ISO/ICE。TR13335《信息技术、IT安全管理指南》与涉密信息系统的管理实践确定管理过程,结合ISO/IEE17799《信息技术、信息安全管理实用规则》与分级要求确定管理内容。
在涉密信息系统的生命周期中应把握好八个基本环节:
1、系统定级
明确系统所处理信息的最高密级,确定系统保护等级。
2、方案设计
组织自身的技术力量或委托资质单位进行设计前的风险评估,确定系统风险。选择具有涉密资质的集成单位依据相关国家保密标准进行方案设计,并应通过专家论证,负责系统审批的保密工作部门应参加论证。
3、工程实施
组建工程监理机构,细化管理制度,对工程实施进行监督,或者选择具有涉密资 质的工程监理单位进行监理。
4、系统测评
系统工程实施完毕后,建设使用单位向保密工作部门申请进行系统测评,国家保密局涉密信息系统安全保密测评中心及分中心负责进行系统测评。
5、系统审批
涉密信息系统在投入运行后前,应经过(地)以上保密工作部门根据系统测评结果进行的审批。
6、日常管理
日常管理包括基本管理要求,人员管理、物理环境与设施管理、信息保密管理等。
7、测评与检查
涉密信息系统投入运行后还应定期进行安全保密测评和检查。
8、系统废止
废止涉密信息系统应向相关保密工作部门备案,并按照有关保密规定妥善处理涉及国家秘密信息的设备、产品和资料。
涉密信息系统分级保护的核心思想是“实事求是”与“具体问题具体分析”,既防止欠保护,也防止过保护,以确保国家秘密安全为原则。我国的涉密信息系统分级保护已经进入了建立制度、完善体系的阶段,但还有很长的路要走。由于存在信息系统所涉及技术、管理的复杂性、系统保护评价和不确定性以及安全防护与攻击技术存在的非对称性等因素,我们还有许多问题要研究、要探索,但只要我们坚持科学发展观,勇于实践,就会走出一条适合我国国情的道路。(杜虹)
第二篇:涉密信息系统信息安全分级保护体系案例
涉密信息系统信息安全分级保护体系案例
2012年05月14日10:12 it168网站原创 作者:太极 编辑:李伟 我要评论项目背景
为落实某部委党组“先从部机关信息化入手,带动全行业信息化发展”的有关部署,2001年、2005年和2007年,部机关先后实施了信息化一期、二期工程以及通信信息系统改造工程,建设了XX行业主管部门的涉密局域办公网,即某部委电子政务涉密信息系统,并与外网物理隔离,整体提高了部机关行政办公的信息化水平。为加强涉及国家涉密信息系统的保密管理,依据BMB相关国家标准,某部委对其内网电子政务涉密信息系统进行了相应等级的安全保密建设和管理。
2010年至2011年期间,先后开展了对分级保护建设的可研、方案设计、建设实施,并于2011年10月19日顺利通过了相关国家保密测评机构对某部委电子政务涉密信息系统的严格测评。建设路线
在某部委电子政务信息系统分级保护建设实施过程中,依据《某部委电子政务涉密信息系统分级保护工程详细设计方案》及国家相关标准规范等文件,严格按照PMP项目管理方法论,对项目启动后把实施过程分为设计(深化)过程、落地(建设)过程、监控过程三个过程组,并通过调研分析、体系规划、体系建设和体系完善(PDCA)的建设思路,运用岗位与职责、策略体系、流程体系、技术工具、人员培训、安全管控等方法进行落地实施。
在设计过程中,首先详细解读了《某部委电子政务涉密信息系统分级保护工程详细设计方案》,周密分析了客户信息系统应用环境,全面展开了对技术以及管理等的全面细致调研,分析现状与标准及客户需求的差距,逐项梳理实施建设任务,完成《分级保护深化设计及实施方案》、《安全保密策略总纲》、建设任务一览表、职责矩阵、《项目进度计划》等过程文档。在落地过程中,通过太极信息安全保障体系落地方法论,建立技术、管理、运维三大保障体系,按照《分级保护深化设计及实施方案》,分为安全域改造、应用系统改造、安全策略部署与试运行以及安全服务四个阶段,遵照“综合部署、分布落实、逐一核查”等原则,实现由标准紧扣方案、建设贴近客户需求的完美落地,从而完成某部委电子政务信息系统安全保护的建设工作。
在监控过程中,对常规项目落地过程中的内容进行监督管理,通过技术、工具和专家判断等方法对项目实施的内容,包括管理、技术方面的内容进行有效性检测,将不贴近客户需求、无法落地或由于条件限制暂时无法落地的内容进行记录,与客户沟通、交流,协调资源(人力资源、环境资源、必要的设备等)保障实施过程按照既定的项目计划进行,最关键的因素还是要取得客户认同和达到标准要求。监控手段包括有效性测量、不符合项记录、控制测量、内部审核、用户评审等。建设落地
通过基础调研,对某部委电子政务内网物理、网络、主机、终端、应用和制度等层面展开了全面了解及分析。基于此分析结果,编制体系完善的《某部委分级保护工程深化设计及实施方案》、《某部委涉密信息系统涉密安全保密策略总纲》、项目建设任务一览表、项目职责矩阵和《项目进度计划》等过程文档。
实施落地过程从安全域改造、网络割接到应用系统改造、集成部署、策略实施及安全服务全环节实现分级保护体系建设的落地过程。
(1)安全域改造
依据BMB标准要求,综合考虑信息密级、信息分类、信息交换、行政级别、功能需要和业务需求等方面,将原有内网结构及连接信息作备份,通过网络割接、区域调整、VLAN划分等方式,重新调整某部委涉密内网安全策略,包括内网中的网络、主机、终端、存储等密级标识、访问控制、权限绑定等策略,使不同密级的信息资源、用户不能互联互通,且需要物理隔离,安全域边界采用访问控制、入侵监测和网络审计等边界防护设备。通过划分安全域,可将传统的“按最高密级防护原则”转变为“分域分级防护策略”,大幅度降低建设成本和运营管理成本。
(2)应用系统改造
应用系统中严格遵照“最小授权原则”和“强制访问控制要求”,安全认证实现统一身份管理,统一身份认证,统一权限管理,统一访问控制、统一责任认定和统一信息交换“六个统一”等。对应用系统中产生的涉密文件进行密级标识,并与认证账户相关联实现抗抵赖性和不可否认性设计。改造应用系统实现账户管理和口令管理功能,根据账户授予其相应的访问权限,实现三权分立。对应用系统设计实现系统安全审计功能,进行系统启动和关闭,账户登录和修改,以及对涉密文件的操作:建立、复制、修改、删除、打印等进行审计内容设计和实现。
(3)集成部署
集成部署分为三个阶段,包括软、硬件产品集成采购、硬件设备安装、上架、软硬件系统配置,集成期间太极对人力资源进行优化配置,通过项目质量管理和沟通管理等手段协调各厂商工程师现场支持集成部署工作。
(4)安全策略实施与试运行
1.安全保密管理制度
成立推进信息化安全保密管理工作的管理机构,明确电子政务涉密信息系统中系统管理员、安全保密管理员和安全审计员三大员职责分工,设置三大员的具体负责人员。
某部委涉密信息系统保密管理制度以安全保密策略总纲为基石,以人员、终端管理为核心,围绕环境安全管理、设备与介质管理、运行与开发管理和信息保密管理等方面,制定满足安全保密合规性的三级制度体系,包括制度规定、细则、流程和表单等:第一级强调宏观:安全保密管理策略总纲。第二级强调合规:安全保密管理制度文件。第三级侧重可执行和可落地:安全保密管理制度细则及管理流程、表单类文件。
2.联调测试与试运行
系统联调测试及试运行时,对前期改造的结果进行验证性测试,监控信息系统运行的稳定性和安全性,记录在试运行发现的问题,分析并与客户达成一致,在获得环境条件的允许
下,调整某些安全策略,满足系统环境要求和客户需求,提高信息系统的安全合规性和可用性。
(5)安全服务
1.安全加固
严格遵照PMP项目管理理论框架,通过统筹规划、综合协调、实效性落实、人员考核等管控过程,将安全加固实施落地。对于网络及安全设备,提供专业加固建议和策略,防止大规模蠕虫病毒的攻击,将网络病毒的攻击影响降至最低;对于操作系统和应用,关闭远程桌面服务、禁用Windows共享、停止Windows自动更新、加装主机审计与补丁分发系统等安全加固策略;对于终端在涉密终端操作系统部署安全登录、主机监控与审计、补丁分发及网络准入控制系统,并对所有涉密终端进行IP与MAC地址绑定。每次加固都遵从规范化原则,确保加固过程的可控性、有效性、安全性。
2.风险评估
风险评估是对某部委电子政务内网中的服务器/网络设备/安全设备等资产进行威胁性和脆弱性分析,针对特定威胁利用资产一种或多种脆弱性,导致资产丢失或损害的潜在可能性评估分析,本项目中主要风险评估服务包括资产识别、威胁分析、脆弱性分析、已有安全措施分析和风险分析。经过量化评估后,形成风险评估报告,制定风险处理计划实施风险管控措施。
3.安全培训
安全及保密培训是本项目的一个重要组成部分,展开对全员主要是三大员安全意识和保密意识培训。培训落实到决策层、管理层和执行层各个层面,不仅是安全管理、使用、维护的一体化应用上,更重要的是通过对各层级的政策、制度、标准,使客户了解并掌握安全趋势,把握信息安全战略规划在信息化建设规划中的重要性,做好短中长期安全规划。培训工作主要包含现场培训、集中培训、安全保密培训和认证培训四个部分。项目价值
(1)响应贯彻政策要求
党中央、国务院高度重视新形势下的保密工作。某部委电子政务涉密信息系统分级保护工程的建设良好地贯彻上级指示,积极应对新形势下的保密工作开展。
(2)实现对内安全保护需求
当前,随着我国经济快速发展和国际地位不断提高,我国已成为各种情报窃密活动的重点目标。信息技术的发展和我国信息化建设的推进,涉密载体呈现出多样性和复杂性,泄密渠道随之增多,窃密与反窃密越来越具有高技术抗衡的特点。某部委电子政务涉密信息系统分级保护建设工程为维护国家秘密安全、保障国家涉密信息、推进XX行业系统保密工作,发挥重要作用。
(3)顺利通过安全保密测评
体系落地实施覆盖技术的物理、网络、主机、应用、数据等层面,管理覆盖策略、制度、流程、表单四级体系,做到技管并重,日常安全运维还包括了安全加固和风险评估,具有全面性、合规性和前瞻性,较好的通过职责、策略、流程、工具等进行落地,最终以较好的成绩通过安全保密测评。项目特点
为保障项目按质按量完成,并顺利通过安全保密测评,我方在充分调研和深化设计的基础上,将建设任务逐一分解,规划出项目进度计划、项目资源分配表等项目过程稳定,并将任务落实到具体的负责人身上,严格按照进度计划控制项目里程、交付成果和质量管理。建设过程中接相关主管部门通知,分级保护整改工作要求提前完成,也就意味着在一个多月内太极公司项目组要完成安全产品部署调试、700余台涉密终端安全加固、多台主机加固、网络安全改造与割接、涉密邮件系统改造以及保密制度的编制工作。在既要保证实施质量,又要管控时间进度的前提下,项目组成员充分分析了关键里程碑及交付成果,出台了项目赶工方案,加大了多种资源投入,最后以优异的成绩辅助某部委电子政务内网顺利通过了安全保密测评。
推荐专题: 涉密信息系统资质保密标准