等級保護與分級保護

等級保護/分級保護目錄TOC\o"1-5"\h\z\o"CurrentDocument"等級保護FAQ 2\o"CurrentDocument"什么是等級保護、有什么用？ 2\o"CurrentDocument"信息安全等級保護制度的意義與作用？ 2\o"CurrentDocument"等級保護與分級保護各分為幾個等級，對應關系是什么？ 2\o"CurrentDocument"等級保護的重要信息系統(tǒng)（8+2）有哪些？ 2\o"CurrentDocument"等級保護的主管部門是誰？ 2\o"CurrentDocument"國家密碼管理部門在等級保護/分級保護工作中的職責是什么？ 3\o"CurrentDocument"等級保護的政策依據(jù)是哪個文件？ 3\o"CurrentDocument"公安機關對等級保護的管理模式是什么，等級保護定級到哪里備案？ 3\o"CurrentDocument"等級保護是否是強制性的，可以不做嗎？ 3\o"CurrentDocument"等級保護的主要標準有哪些，是否已發(fā)布為正式的國家標準？ 3\o"CurrentDocument"哪些單位可以做等級保護的測評？ 3\o"CurrentDocument"做了等級測評之后，是否會給發(fā)合格證書？ 4\o"CurrentDocument"是否只是在政府行業(yè)實行？企業(yè)是否也在等級保護和分級保護范疇之內(nèi)？ 4\o"CurrentDocument"等級保護檢查的責任單位是誰？ 4分級保護FAQ 4\o"CurrentDocument"分級保護是什么？ 4\o"CurrentDocument"分級保護的主管部門是誰？ 4\o"CurrentDocument"分級保護定級到哪里備案？ 4\o"CurrentDocument"分級保護的政策依據(jù)是哪個文件？ 4\o"CurrentDocument"分級保護與等級保護的適用對象分別是什么？ 4\o"CurrentDocument"分級保護有關信息安全的標準相互關系是什么？ 5\o"CurrentDocument"分級保護與等級保護的定級依據(jù)有何區(qū)別？ 5\o"CurrentDocument"分級保護的建設依據(jù)、方案設計、測評分別依據(jù)哪些標準？ 5\o"CurrentDocument"分級保護設計方案是否需要經(jīng)過評審和審批，誰來評審和審批？ 5涉密信息系統(tǒng)投入使用前，是否需要經(jīng)過審批，由誰來審批？ 5\o"CurrentDocument"分級保護系統(tǒng)測評的作用是什么，是否必須做？ 5\o"CurrentDocument"哪些單位可以做分級保護的測評，有什么資質要求？ 5\o"CurrentDocument"分級保護對涉密系統(tǒng)中使用的安全保密產(chǎn)品有哪些要求？ 5\o"CurrentDocument"涉密系統(tǒng)分級保護多長時間需進行一次安全保密檢查？ 6\o"CurrentDocument"各級保密局與各單位保密辦的關系是什么？ 6\o"CurrentDocument"分級保護的系統(tǒng)集成對廠商的資質有什么要求？ 6\o"CurrentDocument"分級保護的安全建設是否必須監(jiān)理，對監(jiān)理資質有什么要求？ 6\o"CurrentDocument"分級保護的哪些具體工作對廠商有單項資質的要求？ 6綜合問題 6\o"CurrentDocument"等保與分保的本質區(qū)別是什么？ 6\o"CurrentDocument"等保與分保各有幾種級別？ 6\o"CurrentDocument"等級保護/分級保護什么區(qū)別哪些部門在管理，怎么做？ 6\o"CurrentDocument"企業(yè)出現(xiàn)泄密事件上報那些單位？ 7等保定級備案是依據(jù)單位還是系統(tǒng)？ 7\o"CurrentDocument"風險評估和等級保護的關系？ 7\o"CurrentDocument"方案設計階段及實施前是否需要報批？ 7\o"CurrentDocument"對于等保中產(chǎn)品使用及密碼產(chǎn)品是否有要求？ 7等級保護/分級保護FAQ1等級保護FAQ什么是等級保護、有什么用？【解釋】是我國實施信息安全管理的一項法定制度，1994年147號令、2003年27號文件、2004年66號文件都有明確規(guī)定，信息系統(tǒng)安全實施等級化保護和等級化管理。等級化管理是一種普遍適用的管理方法，是適用于我國當前實際的一種有效的信息安全管理方法。開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。信息安全等級保護制度的意義與作用？【解釋】實施信息安全等級保護制度能夠有效地提高我國信息和信息系統(tǒng)安全建設的整體水平。實施信息安全等級保護制度有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協(xié)調(diào)，為信息系統(tǒng)安全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務，有效控制信息安全建設成本。優(yōu)化信息安全資源配置，對信息系統(tǒng)分級實施保護，重點保障基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面重要信息系統(tǒng)的安全。明確國家、法人和其他組織、公民的信息安全責任，加強信息安全管理，推動信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應我國社會主義市場經(jīng)濟發(fā)展的信息安全模式。等級保護與分級保護各分為幾個等級，對應關系是什么？【解釋】等級保護分5個級別：一級（自主保護）、二級（指導保護）、三級（監(jiān)督保護）、四級（強制保護）、五級（專控保護）。分級保護分3個級別：秘密級、機密級（機密增強級）、絕密級。分級保護與等級保護對應關系：秘密級對應三級、機密級對應四級、絕密級對應五級。等級保護的重要信息系統(tǒng)（8+2）有哪些？【解釋】電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎信息網(wǎng)絡，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務單位、互聯(lián)網(wǎng)接入服務單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。市（地）級以上黨政機關的重要網(wǎng)站和辦公信息系統(tǒng)。涉及國家秘密的信息系統(tǒng)。等級保護的主管部門是誰？【解釋】公安機關是等級保護工作的主管部門，負責信息安全等級保護工作的監(jiān)督、檢查、指導，國家保密工作部門、國家密碼管理部門負責等級保護工作中有關保密工作和密碼工作的監(jiān)督、檢查、指導，國信辦及地方信息化領導小組辦事機構負責等級保護工作部門間的協(xié)調(diào)，涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管理工作由國家保密工作部門負責。1?6國家密碼管理部門在等級保護/分級保護工作中的職責是什么?【解釋】國家密碼管理部門負責等級保護/分級保護工作中有關保密工作和密碼工作的監(jiān)督、檢查、指導。等級保護的政策依據(jù)是哪個文件?【解釋】＞《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院147號令，1994年）；＞《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）；＞《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）；＞《信息安全等級保護管理辦法》（公通字[2007]43號）；＞《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）；＞《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》（發(fā)改高技[2008]2071號）。公安機關對等級保護的管理模式是什么，等級保護定級到哪里備案?【解釋】公安機關負責受理備案并進行備案管理。信息系統(tǒng)備案后，公安機關對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，頒發(fā)信息系統(tǒng)安全保護等級備案證明。發(fā)現(xiàn)不符合《管理辦法》及有關標準的，通知備案單位予以糾正。發(fā)現(xiàn)定級不準的，通知運營使用單位或其主管部門重新審核確定。已運營（運行）的第二級以上信息系統(tǒng)，應當在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應當在投入運行后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。注：北京市各部委上報北京測評中心備案。等級保護是否是強制性的，可以不做嗎?【解釋】國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。2級以上信息系統(tǒng)運營、使用單位依據(jù)《信息安全等級保護管理辦法》和相關技術標準對信息系統(tǒng)進行保護，國家有關信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。備案后3級系統(tǒng)每年進行一次監(jiān)督檢查，4級每半年進行一次監(jiān)督檢查。等級保護的主要標準有哪些，是否已發(fā)布為正式的國家標準?【解釋】＞《信息系統(tǒng)安全等級保護基本要求》（GB/T22239）；＞《信息系統(tǒng)安全等級保護定級指南》（GB/T22240）；＞《信息系統(tǒng)安全等級保護實施指南》（國標報批稿）；＞《信息系統(tǒng)安全等級保護測評規(guī)范》（國標報批稿）；＞《信息安全等級保護實施指南》（試用稿）；＞《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）。哪些單位可以做等級保護的測評?【解釋】第三級以上信息系統(tǒng)等級保護測評機構應符合下列條件：＞在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；＞由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；＞從事相關檢測評估工作兩年以上，無違法記錄；＞工作人員僅限于中國公民；＞法人及主要業(yè)務、技術人員無犯罪記錄；＞使用的技術裝備、設施應當符合本辦法對信息安全產(chǎn)品的要求；＞具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；＞對國家安全、社會秩序、公共利益不構成威脅。做了等級測評之后，是否會給發(fā)合格證書？【解釋】目前，公安機關只對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，頒發(fā)信息系統(tǒng)安全等級保護備案證明，發(fā)現(xiàn)不符合有關標準的，通知備案單位予以糾正，發(fā)現(xiàn)定級不準的，通知備案單位重新審核確定。沒有發(fā)測評合格證書。是否只是在政府行業(yè)實行？企業(yè)是否也在等級保護和分級保護范疇之內(nèi)？【解釋】等級保護涉及所有行業(yè)，只要有信息系統(tǒng)的單位都在等級保護覆蓋范圍（涉密系統(tǒng)除外）。等級保護檢查的責任單位是誰？【解釋】是公安機關，在檢查中需要穿警服及佩帶有效證件，協(xié)同技術支持單位到單位檢查。同時鼓勵各行業(yè)2開展分自查級。保護FAQ分級保護是什么？【解釋】涉密信息系統(tǒng)依據(jù)國家信息安全等級保護的基本要求，按照國家保密工作部門有關涉密信息系統(tǒng)分級保護的管理規(guī)定和技術標準，實施信息安全分級保護的強制執(zhí)行制度。涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級。分級保護的主管部門是誰？【解釋】國家保密工作部門（國家保密局、各省保密局、各地市市保密局）。分級保護定級到哪里備案？【解釋】涉密信息系統(tǒng)建設使用單位將涉密信息系統(tǒng)定級和建設使用情況，上報業(yè)務主管部門的保密工作機構和負責系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導。分級保護的政策依據(jù)是哪個文件？【解釋】＞《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》（國保發(fā)[2005]16號）。分級保護與等級保護的適用對象分別是什么？解釋】標準體系國家標準（GB、GB/T）國家保密標準（BMB，強制執(zhí)行）適用對象非涉密信息系統(tǒng)涉密信息系統(tǒng)_____’ ； 等級保護/分級保護FAQ2?6分級保護有關信息安全的標準相互關系是什么?【解釋】BMB17、BMB20為分級保護設計基本依據(jù)，BMB23是把BMB17、BMB20技術與管理要求實施落地，BMB18是系統(tǒng)建設實施過程中工程監(jiān)理依據(jù)，BMB22為系統(tǒng)上線前和系統(tǒng)變更中的測評依據(jù)。分級保護與等級保護的定級依據(jù)有何區(qū)別?【解釋】等級保護定級是依據(jù)重要業(yè)務系統(tǒng)與承載業(yè)務運行的網(wǎng)絡、設備、系統(tǒng)及單位屬性、遭到破壞后所影響的主、客體關系等。分級保護定級是依據(jù)信息的重要性，以信息最高密級確定受保護的級別。分級保護的建設依據(jù)、方案設計、測評分別依據(jù)哪些標準?【解釋】BMB23是把BMB17、BMB20技術與管理實施落地的建設與設計依據(jù)，BMB22為系統(tǒng)上線前和系統(tǒng)變更中的測評依據(jù)。分級保護設計方案是否需要經(jīng)過評審和審批，誰來評審和審批?【解釋】涉密信息系統(tǒng)建設使用單位應對系統(tǒng)設計方案進行審查論證，保密工作部門應當參與方案審查論證，在系統(tǒng)總體安全保密性方面加強指導，嚴格把關。涉密信息系統(tǒng)投入使用前，是否需要經(jīng)過審批，由誰來審批?【解釋】涉密信息系統(tǒng)投入使用前，必須經(jīng)過審批。未經(jīng)保密工作部門的審批，涉密信息系統(tǒng)不得投入使用。審批單位：國家保密局：負責審批中央和國家機關各部委及其所屬單位、國防武器裝備科研生產(chǎn)一級保密資格單位的涉密信息系統(tǒng)；?。ㄗ灾螀^(qū)、直轄市）保密局：負責審批省及機關及其所屬單位、國防武器科研生產(chǎn)二、三級保密資格單位的涉密信息系統(tǒng)；市（地）級保密局：負責審批市（地）直機關及其所屬單位、縣直機關所屬單位的涉密信息系統(tǒng)。分級保護系統(tǒng)測評的作用是什么，是否必須做?【解釋】涉密系統(tǒng)的分級保護測評是全面地驗證所采取的安全保密措施能否滿足安全保密需求和安全目標，為涉密信息系統(tǒng)審批提供依據(jù)。系統(tǒng)測評是系統(tǒng)審批的必要環(huán)節(jié)。沒有經(jīng)過測評，涉密信息系統(tǒng)將無法通過投入運行的審批。哪些單位可以做分級保護的測評，有什么資質要求?【解釋】目前，國家保密工作部門及國家保密局授權的系統(tǒng)測評機構負責測評，測評機構應具備涉及國家秘密的計算機信息系統(tǒng)集成風險評估單項資質。分級保護對涉密系統(tǒng)中使用的安全保密產(chǎn)品有哪些要求?【解釋】涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應當選用國產(chǎn)品，并應當通過國家保密局授權的檢測機構依據(jù)有關國家保密標準進行的檢測，通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。2.14涉密系統(tǒng)分級保護多長時間需進行一次安全保密檢查?【解釋】涉密信息系統(tǒng)投入運行后的安全保密測評，由負責該系統(tǒng)審批的保密工作部門組織系統(tǒng)評測機構進行，以檢驗系統(tǒng)安全保密措施的有效性和對環(huán)境變化的適應性。秘密級、機密級信息系統(tǒng)：應每兩年至少進行一次安全保密測評或保密檢查；絕密級信息系統(tǒng)：應每年至少進行一次安全保密測評或保密檢查。各級保密局與各單位保密辦的關系是什么?【解釋】各級保密局：國家保密工作部門，負責監(jiān)督、檢查、指導；各單位保密辦：保密工作機構，負責具體實施。分級保護的系統(tǒng)集成對廠商的資質有什么要求?【解釋】甲級資質單位可在全國范圍內(nèi)承接涉密信息系統(tǒng)的規(guī)劃、設計和實施業(yè)務，并僅可承擔本單位承建的涉密信息系統(tǒng)的系統(tǒng)服務和系統(tǒng)咨詢工作，不得從事其它單項資質業(yè)務。乙級資質單位可在所限定的行政區(qū)域內(nèi)承接涉密信息系統(tǒng)的規(guī)劃、設計和實施業(yè)務，并僅可承擔本單位承接的涉密信息系統(tǒng)的系統(tǒng)服務和系統(tǒng)咨詢工作，不得從事其它單項資質業(yè)務。分級保護的安全建設是否必須監(jiān)理，對監(jiān)理資質有什么要求?【解釋】在系統(tǒng)建設進行時,應選擇具有涉密工程監(jiān)理單項資質的單位或組織自身力量依據(jù)BMB18-2006的要求在安全保密控制、質量控制、進度控制、成本控制、合同管理和文檔管理六個方面加強監(jiān)督檢查。分級保護的哪些具體工作對廠商有單項資質的要求?解釋】單項業(yè)務：（全國,僅限所批準業(yè)務）軍工、軟件開發(fā)、綜合布線、系統(tǒng)服務、系統(tǒng)咨詢、風險評估、工程監(jiān)理、數(shù)據(jù)恢復、屏蔽室建設、3保密3保密綜安防合監(jiān)控