電子政務(wù)涉密信息系統(tǒng)的分級(jí)保護(hù)建設(shè)修改版

第一篇：電子政務(wù)涉密信息系統(tǒng)的分級(jí)保護(hù)建設(shè)

電子政務(wù)涉密信息系統(tǒng)的分級(jí)保護(hù)建設(shè)

當(dāng)前，我國(guó)電子政務(wù)建設(shè)取得了顯著成效。同時(shí)，由于國(guó)際國(guó)內(nèi)形勢(shì)特點(diǎn)，信息安全保密問(wèn)題日益

突出，病毒、木馬、網(wǎng)絡(luò)攻擊等越來(lái)越多，給國(guó)家安全帶來(lái)威脅。很多單位開始準(zhǔn)備涉及國(guó)家秘密的信

息系統(tǒng)（以下簡(jiǎn)稱涉密信息系統(tǒng)）建設(shè)，但由于對(duì)政策的不了解,加之建設(shè)標(biāo)準(zhǔn)的復(fù)雜和操作難度等問(wèn)題,

導(dǎo)致一些單位感到無(wú)從下手，建設(shè)進(jìn)度緩慢。本文從涉密信息系統(tǒng)準(zhǔn)備、實(shí)施、測(cè)評(píng)、監(jiān)管等方面作了

闡述，供大家參考。

2003年9月7日，中共中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)國(guó)家信

息安全保障工作的意見》，明確提出了開展信息安全等級(jí)保護(hù)的任務(wù)，指出涉密信息系統(tǒng)要按照翔口國(guó)

家的有關(guān)保密規(guī)定進(jìn)行保護(hù)。中央保密委員會(huì)于2004年12月23日下發(fā)了《關(guān)于加強(qiáng)信息安全保障

工作中保密管理若干意見》，明確提出要建立健全涉密信息系統(tǒng)分級(jí)保護(hù)制度。2006年1月17日，公

安部等四部門下發(fā)了《信息安全等級(jí)保護(hù)管理辦法（試行）》，其中規(guī)定：涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國(guó)家信

息安全等級(jí)保護(hù)的基本要求，按照涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實(shí)際情況進(jìn)

行保護(hù)。從廣義上來(lái)講，涉密信息系統(tǒng)分級(jí)保護(hù)是信息安全等級(jí)保護(hù)的一個(gè)重要內(nèi)容和組成部分，但兩

者有區(qū)別也有聯(lián)系，從表一可以看出，涉密信息系統(tǒng)分級(jí)保護(hù)三個(gè)等級(jí)的防護(hù)水平不低于國(guó)家等級(jí)保護(hù)

的第

四、五級(jí)要求。

表一信息安全等級(jí)保護(hù)與涉密信息系統(tǒng)分級(jí)保護(hù)對(duì)照表

涉密信息系統(tǒng)分級(jí)保護(hù)是指建設(shè)使用單位根據(jù)分級(jí)保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn)對(duì)涉密信息系統(tǒng)分等

級(jí)實(shí)施保護(hù)，各級(jí)保密工作部門根據(jù)涉密信息系統(tǒng)的保護(hù)等級(jí)實(shí)施監(jiān)督管理，確保系統(tǒng)和信息安全。按

照處理信息的最高密級(jí)確定，涉密信息系統(tǒng)由低到高劃分為秘密、機(jī)密和絕密三個(gè)等級(jí)。絕密級(jí)信息系

統(tǒng)應(yīng)限定在封閉、安全可控的獨(dú)立建筑群內(nèi)。下面談下建設(shè)過(guò)程。

一、涉密信息系統(tǒng)分級(jí)保護(hù)實(shí)施過(guò)程

(-)學(xué)習(xí)相關(guān)文件和標(biāo)準(zhǔn)。近年來(lái)，由于信息安全技術(shù)的快速發(fā)展，涉密信息系統(tǒng)的建設(shè)標(biāo)準(zhǔn)也

不斷變化。目前，以下四個(gè)文件基本涵蓋了建設(shè)內(nèi)容，建議學(xué)習(xí)掌握，具體如下：《涉及國(guó)家秘密的信

息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》、《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》、《涉及國(guó)家秘密的信息系統(tǒng)

分級(jí)保護(hù)測(cè)評(píng)I旨南》和《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)方案設(shè)計(jì)指南》。

(-)規(guī)范信息定密。規(guī)范信息定密是所有工作的基礎(chǔ)，有兩層含義：一是定密科學(xué)，確定哪些信

息是涉密信息，同時(shí)明確涉密時(shí)限；二是確定涉密信息上網(wǎng)的范圍。

(三)確定涉密等級(jí)。原則是合理定密，防止過(guò)高或者過(guò)低，一般根據(jù)處理信息的最高等級(jí)確定分

級(jí)保護(hù)等級(jí)。

(四)方案設(shè)計(jì)與審核。方案設(shè)計(jì)必須選擇具有相應(yīng)涉密資質(zhì)的單位承擔(dān)，并且需要保密工作部門

參加方案審查論證。根據(jù)相關(guān)要求，方案設(shè)計(jì)主要包括如下內(nèi)容：

1、系統(tǒng)分析。含使用單位情況、物理環(huán)境、網(wǎng)絡(luò)平臺(tái)、軟硬件、信息資源與應(yīng)用系統(tǒng)方面。

2、安全保密分析。包括脆弱性、威脅、風(fēng)險(xiǎn)識(shí)別與確定。

3、安全保密需求分析。有技術(shù)和管理需求分析，其中技術(shù)防護(hù)分析，包括機(jī)房與重要部位、網(wǎng)絡(luò)、

主機(jī)、介質(zhì)、數(shù)據(jù)與應(yīng)用、隔離與信息交換；管理需求分析，包括人員、物理環(huán)境和設(shè)施、運(yùn)行和開發(fā)、

設(shè)計(jì)與介質(zhì)、信息保密管理。

4、方案總體設(shè)計(jì)。目標(biāo)、原則與依據(jù)、防護(hù)框架、安全域劃分和定級(jí)、保護(hù)要求調(diào)整和確定。

5、方案詳細(xì)設(shè)計(jì)。包括物理安全、運(yùn)行安全、信息安全保密、安全保密管理、產(chǎn)品選型與安全服

務(wù)、殘留風(fēng)險(xiǎn)控制、實(shí)施計(jì)劃、預(yù)算。

（五）落實(shí)保護(hù)措施。根據(jù)方案，進(jìn)行政府采購(gòu)、項(xiàng)目實(shí)施、監(jiān)理執(zhí)行。在監(jiān)理執(zhí)行階段，建議了

解《涉及國(guó)家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》，可把握質(zhì)量控制、進(jìn)度控制、驗(yàn)收等相關(guān)環(huán)節(jié)。

（六）系統(tǒng)測(cè)評(píng).建設(shè)完成后,必須經(jīng)過(guò)測(cè)評(píng)，測(cè)評(píng)機(jī)構(gòu)為國(guó)家保密局授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)，一般

為涉密信息系統(tǒng)測(cè)評(píng)中心或各地分中心。測(cè)評(píng)主要內(nèi)容如下：

1、技術(shù)要求?；颈Ｗo(hù)要求，物理安全（環(huán)境、設(shè)備和介質(zhì)），運(yùn)行安全（備份與恢復(fù)、應(yīng)急響

應(yīng)和運(yùn)行管理），信息安全保密要求（身份鑒別、訪問(wèn)控制、密碼保護(hù)、安全審計(jì)、數(shù)據(jù)庫(kù)、邊界防護(hù)

等I

2、管理要求。分級(jí)保護(hù)管理過(guò)程，基本管理要求（策略、機(jī)構(gòu)、制度和人員），系統(tǒng)管理要求。

測(cè)評(píng)流程主要如下：

1、資料審查，建設(shè)單位遞交《申請(qǐng)書》。

2、測(cè)評(píng)機(jī)構(gòu)現(xiàn)場(chǎng)考察，修改《申請(qǐng)書》。

作廢物標(biāo)準(zhǔn)和規(guī)范，從而阻礙了涉密信息系統(tǒng)建設(shè)。

（二）保密技術(shù)滯后于應(yīng)用發(fā)展。如隔離交換技術(shù)，涉密介質(zhì)管理技術(shù)等，無(wú)法跟上應(yīng)用的發(fā)展，

說(shuō)了很多年，具體可操作的產(chǎn)品還是很少。另外，有些保密技術(shù)制定出來(lái)后，非?？量?，導(dǎo)致無(wú)法與應(yīng)

用結(jié)合。

（三）測(cè)評(píng)方法部分脫離現(xiàn)實(shí)。由于現(xiàn)有政務(wù)內(nèi)網(wǎng)全國(guó)匚乎連在一起，如果按照斷網(wǎng)分開測(cè)評(píng)、合

格一個(gè)接入一個(gè)的方式，所有應(yīng)用都要中斷，時(shí)間周期太長(zhǎng)，不符合我國(guó)國(guó)情。建議可考慮分開和整體

測(cè)評(píng)相結(jié)合的方式逐步推廣涉密信息系統(tǒng)建設(shè)。

我國(guó)的涉密信息系統(tǒng)分級(jí)保護(hù)已經(jīng)進(jìn)入了建立標(biāo)準(zhǔn)、完善體系的階段，但還有很長(zhǎng)的路要走。由于

所涉及技術(shù)、管理的復(fù)雜性、安全防護(hù)與攻擊技術(shù)存在的非對(duì)稱性等因素，還有許多問(wèn)題要待研究，但

只要我們堅(jiān)持科學(xué)發(fā)展觀，實(shí)事求是地分析和解決問(wèn)題，以應(yīng)用促發(fā)展，以安全作保障，就會(huì)探索出一

條適合我國(guó)國(guó)情的電子政務(wù)涉密信息系統(tǒng)建設(shè)道路。

第二篇：涉密信息系統(tǒng)信息安全分級(jí)保護(hù)體系案例

涉密信息系統(tǒng)信息安全分級(jí)保護(hù)體系案例

2012年05月14日10:12itl68網(wǎng)站原創(chuàng)作者：太極編輯：李偉我要評(píng)論

1項(xiàng)目背景

為落實(shí)某部委黨組"先從部機(jī)關(guān)信息化入手，帶動(dòng)全行業(yè)信息化發(fā)展”的有關(guān)部署,2001年、2005

年和2007年，部機(jī)關(guān)先后實(shí)施了信息化一期、二期工程以及通信信息系統(tǒng)改造工程，建設(shè)了XX行業(yè)

主管部門的涉密局域辦公網(wǎng)，即某部委電子政務(wù)涉密信息系統(tǒng)，并與外網(wǎng)物理隔離，整體提高了部機(jī)關(guān)

行政辦公的信息化水平。為加強(qiáng)涉及國(guó)家涉密信息系統(tǒng)的保密管理，依據(jù)BMB相關(guān)國(guó)家標(biāo)準(zhǔn)，某部委

對(duì)其內(nèi)網(wǎng)電子政務(wù)涉密信息系統(tǒng)進(jìn)行了相應(yīng)等級(jí)的安全保密建設(shè)和管理。

2010年至2011年期間，先后開展了對(duì)分級(jí)保護(hù)建設(shè)的可研、方案設(shè)計(jì)、建設(shè)實(shí)施，并于2011

年10月19日順利通過(guò)了相關(guān)國(guó)家保密測(cè)評(píng)機(jī)構(gòu)對(duì)某部委電子政務(wù)涉密信息系統(tǒng)的嚴(yán)格測(cè)評(píng)。

2建設(shè)路線

在某部委電子政務(wù)信息系統(tǒng)分級(jí)保護(hù)建設(shè)實(shí)施過(guò)程中，依據(jù)《某部委電子政務(wù)涉密信息系統(tǒng)分級(jí)保

護(hù)工程詳細(xì)設(shè)計(jì)方案》及國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)范等文件,嚴(yán)格按照PMP項(xiàng)目管理方法論，對(duì)項(xiàng)目啟動(dòng)后把

實(shí)施過(guò)程分為設(shè)計(jì)（深化）過(guò)程、落地（建設(shè)）過(guò)程、監(jiān)控過(guò)程三個(gè)過(guò)程組，并通過(guò)調(diào)研分析、體系規(guī)劃、

體系建設(shè)和體系完善（PDCA）的建設(shè)思路，運(yùn)用崗位與職責(zé)、策略體系、流程體系、技術(shù)工具、人員培

訓(xùn)、安全管控等方法進(jìn)行落地實(shí)施。

在設(shè)計(jì)過(guò)程中，首先詳細(xì)解讀了《某部委電子政務(wù)涉密信息系統(tǒng)分級(jí)保護(hù)工程詳細(xì)設(shè)計(jì)方案》，周

密分析了客戶信息系統(tǒng)應(yīng)用環(huán)境，全面展開了對(duì)技術(shù)以及管理等的全面細(xì)致調(diào)研，分析現(xiàn)狀與標(biāo)準(zhǔn)及客

戶需求的差距，逐項(xiàng)梳理實(shí)施建設(shè)任務(wù)，完成《分級(jí)保護(hù)深化設(shè)計(jì)及實(shí)施方案》、《安全保密策略總綱》、

建設(shè)任務(wù)一覽表、職責(zé)矩陣、《項(xiàng)目進(jìn)度計(jì)劃》等過(guò)程文檔。在落地過(guò)程中，通過(guò)太極信息安全保障體

系落地方法論，建立技術(shù)、管理、運(yùn)維三大保障體系，按照《分級(jí)保護(hù)深化設(shè)計(jì)及實(shí)施方案》，分為安

全域改造、應(yīng)用系統(tǒng)改造、安全策略部署與試運(yùn)行以及安全月艮務(wù)四個(gè)階段，遵照"綜合部署、分布落實(shí)、

逐一核查”等原則，實(shí)現(xiàn)由標(biāo)準(zhǔn)緊扣方案、建設(shè)貼近客戶需求的完美落地，從而完成某部委電子政務(wù)信

息系統(tǒng)安全保護(hù)的建設(shè)工作。

在監(jiān)控過(guò)程中，對(duì)常規(guī)項(xiàng)目落地過(guò)程中的內(nèi)容進(jìn)行監(jiān)督管理，通過(guò)技術(shù)、工具和專家判斷等方法對(duì)

項(xiàng)目實(shí)施的內(nèi)容，包括管理、技大方面的內(nèi)容進(jìn)行有效性檢測(cè)，將不貼近客戶需求、無(wú)法落地或由于條

件限制暫時(shí)無(wú)法落地的內(nèi)容進(jìn)行記錄，與客戶溝通、交流，辦調(diào)資源（人力資源、環(huán)境資源、必要的設(shè)

備等）保障實(shí)施過(guò)程按照既定的項(xiàng)目計(jì)劃進(jìn)行，最關(guān)鍵的因素還是要取得客戶認(rèn)同和達(dá)到標(biāo)準(zhǔn)要求。監(jiān)

控手段包括有效性測(cè)量、不符合項(xiàng)記錄、控制測(cè)量、內(nèi)部審核、用戶評(píng)審等。

3建設(shè)落地

通過(guò)基礎(chǔ)調(diào)研，對(duì)某部委電子政務(wù)內(nèi)網(wǎng)物理、網(wǎng)絡(luò)、主機(jī)、終端、應(yīng)用和制度等層面展開了全面了

解及分析?；诖朔治鼋Y(jié)果，編制體系完善的《某部委分級(jí)保護(hù)工程深化設(shè)計(jì)及實(shí)施方案》、《某部委涉

密信息系統(tǒng)涉密安全保密策略總綱》、項(xiàng)目建設(shè)任務(wù)一覽表、項(xiàng)目職責(zé)矩陣和《項(xiàng)目進(jìn)度計(jì)劃》等過(guò)程

文檔。

實(shí)施落地過(guò)程從安全域改造、網(wǎng)絡(luò)割接到應(yīng)用系統(tǒng)改造、集成部署、策略實(shí)施及安全服務(wù)全環(huán)節(jié)實(shí)

現(xiàn)分級(jí)保護(hù)體系建設(shè)的落地過(guò)程。

⑴安全域改造

依據(jù)BMB標(biāo)準(zhǔn)要求，綜合考慮信息密級(jí)、信息分類、信息交換、行政級(jí)別、功能需要和業(yè)務(wù)需求

等方面，將原有內(nèi)網(wǎng)結(jié)構(gòu)及連接信息作備份，通過(guò)網(wǎng)絡(luò)割接、區(qū)域調(diào)整、VLAN劃分等方式，重新調(diào)整

某部委涉密內(nèi)網(wǎng)安全策略，包括內(nèi)網(wǎng)中的網(wǎng)絡(luò)、主機(jī)、終端、存儲(chǔ)等密級(jí)標(biāo)識(shí)、訪問(wèn)控制、權(quán)限綁定等

策略，使不同密級(jí)的信息資源、用戶不能互聯(lián)互通，且需要物理隔離，安全域邊界采用訪問(wèn)控制、入侵

監(jiān)測(cè)和網(wǎng)絡(luò)審計(jì)等邊界防護(hù)設(shè)備。通過(guò)劃分安全域，可將彳專統(tǒng)的"按最高密級(jí)防護(hù)原則"轉(zhuǎn)變?yōu)?分域

分級(jí)防護(hù)策略〃，大幅度降低建設(shè)成本和運(yùn)營(yíng)管理成本。

⑵應(yīng)用系統(tǒng)改造

應(yīng)用系統(tǒng)中嚴(yán)格遵照"最小授權(quán)原貝『和"強(qiáng)制訪問(wèn)控制要求’，安全認(rèn)證實(shí)現(xiàn)統(tǒng)一身份管理，統(tǒng)

一身份認(rèn)證，統(tǒng)一權(quán)限管理，統(tǒng)一訪問(wèn)控制、統(tǒng)一責(zé)任認(rèn)定和統(tǒng)一信息交換"六個(gè)統(tǒng)一”等。對(duì)應(yīng)用系

統(tǒng)中產(chǎn)生的涉密文件進(jìn)行密級(jí)標(biāo)識(shí)，并與認(rèn)證賬戶相關(guān)聯(lián)實(shí)現(xiàn)抗抵賴性和不可否認(rèn)性設(shè)計(jì)。改造應(yīng)用系

統(tǒng)實(shí)現(xiàn)賬戶管理和口令管理功能，根據(jù)賬戶授予其相應(yīng)的訪問(wèn)權(quán)限，實(shí)現(xiàn)三權(quán)分立。對(duì)應(yīng)用系統(tǒng)設(shè)計(jì)實(shí)

現(xiàn)系統(tǒng)安全審計(jì)功能，進(jìn)行系統(tǒng)啟動(dòng)和關(guān)閉，賬戶登錄和修改，以及對(duì)涉密文件的操作：建立、復(fù)制、

修改、刪除、打印等進(jìn)行審計(jì)內(nèi)容設(shè)計(jì)和實(shí)現(xiàn)。

(3)集成部署

集成部署分為三個(gè)階段,包括軟、硬件產(chǎn)品集成采購(gòu)、碩件設(shè)備安裝、上架、軟硬件系統(tǒng)配置，集

成期間太極對(duì)人力資源進(jìn)行優(yōu)化配置通過(guò)項(xiàng)目質(zhì)量管理和溝通管理等手段協(xié)調(diào)各廠商工程師現(xiàn)場(chǎng)支持

集成部署工作。

(4)安全策略實(shí)施與試運(yùn)行

1.安全保密管理制度

成立推進(jìn)信息化安全保密管理工作的管理機(jī)構(gòu)，明確電子政務(wù)涉密信息系統(tǒng)中系統(tǒng)管理員、安全保

密管理員和安全審計(jì)員三大員職責(zé)分工，設(shè)置三大員的具體負(fù)責(zé)人員.

某部委涉密信息系統(tǒng)保密管理制度以安全保密策略總綱為基石，以人員、終端管理為核心，圍繞環(huán)

境安全管理、設(shè)備與介質(zhì)管理、運(yùn)行與開發(fā)管理和信息保密管理等方面，制定滿足安全保密合規(guī)性的三

級(jí)制度體系，包括制度規(guī)定、細(xì)則、流程和表單等：第一級(jí)強(qiáng)調(diào)宏觀：安全保密管理策略總綱。第二級(jí)

強(qiáng)調(diào)合規(guī)：安全保密管理制度文件。第三級(jí)側(cè)重可執(zhí)行和可落地：安全保密管理制度細(xì)則及管理流程、

表單類文件.

2.聯(lián)調(diào)測(cè)試與試運(yùn)行

系統(tǒng)聯(lián)調(diào)測(cè)試及試運(yùn)行時(shí)，對(duì)前期改造的結(jié)果進(jìn)行驗(yàn)證性測(cè)試，監(jiān)控信息系統(tǒng)運(yùn)行的穩(wěn)定性和安全

性，記錄在試運(yùn)行發(fā)現(xiàn)的問(wèn)題，分析并與客戶達(dá)成一致，在獲得環(huán)境條件的允許

下，調(diào)整某些安全策略，滿足系統(tǒng)環(huán)境要求和客戶需求，提高信息系統(tǒng)的安全合規(guī)性和可用性。

(5)安全服務(wù)

1.安全加固

嚴(yán)格遵照PMP項(xiàng)目管理理論框架，通過(guò)統(tǒng)籌規(guī)劃、綜合協(xié)調(diào)、實(shí)效性落實(shí)、人員考核等管控過(guò)程，

將安全加固實(shí)施落地。對(duì)于網(wǎng)絡(luò)及安全設(shè)備，提供專業(yè)加固建議和策略，防止大規(guī)模蠕蟲病毒的攻擊,

將網(wǎng)絡(luò)病毒的攻擊影響降至最低;對(duì)于操作系統(tǒng)和應(yīng)用，關(guān)閉遠(yuǎn)程桌面服務(wù)、禁用Windows共享、停

止Windows自動(dòng)更新、加裝主機(jī)審計(jì)與補(bǔ)丁分發(fā)系統(tǒng)等安全加固策略;對(duì)于終端在涉密終端操作系統(tǒng)

部署安全登錄、主機(jī)監(jiān)控與審計(jì)、補(bǔ)丁分發(fā)及網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，并對(duì)所有涉密終端進(jìn)行IP與MAC

地址綁定。每次加固都遵從規(guī)范化原則，確保加固過(guò)程的可控性、有效性、安全性。

2.風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是對(duì)某部委電子政務(wù)內(nèi)網(wǎng)中的服務(wù)器/網(wǎng)絡(luò)設(shè)備/安全設(shè)備等資產(chǎn)進(jìn)行威脅性和脆弱性分

析,針對(duì)特定威脅利用資產(chǎn)一種或多種脆弱性，導(dǎo)致資產(chǎn)丟失或損害的潛在可能性評(píng)估分析，本項(xiàng)目中

主要風(fēng)險(xiǎn)評(píng)估服務(wù)包括資產(chǎn)識(shí)別、威脅分析、脆弱性分析、已有安全措施分析和風(fēng)險(xiǎn)分析。經(jīng)過(guò)量化評(píng)

估后，形成風(fēng)險(xiǎn)評(píng)估報(bào)告，制定風(fēng)險(xiǎn)處理計(jì)劃實(shí)施風(fēng)險(xiǎn)管控措施。

3.安全培訓(xùn)

安全及保密培訓(xùn)是本項(xiàng)目的一個(gè)重要組成部分展開對(duì)全員主要是三大員安全意識(shí)和保密意識(shí)培訓(xùn)。

培訓(xùn)落實(shí)到?jīng)Q策層、管理層和執(zhí)行層各個(gè)層面，不僅是安全管理、使用、維護(hù)的一體化應(yīng)用上，更重要

的是通過(guò)對(duì)各層級(jí)的政策、制度、標(biāo)準(zhǔn)，使客戶了解并掌握安全趨勢(shì)，把握信息安全戰(zhàn)略規(guī)劃在信息化

建設(shè)規(guī)劃中的重要性，做好短中長(zhǎng)期安全規(guī)劃。培訓(xùn)工作主要包含現(xiàn)場(chǎng)培訓(xùn)、集中培訓(xùn)、安全保密培訓(xùn)

和認(rèn)證培訓(xùn)四個(gè)部分。

4項(xiàng)目?jī)r(jià)值

Q)響應(yīng)貫徹政策要求

黨中央、國(guó)務(wù)院高度重視新形勢(shì)下的保密工作。某部委電子政務(wù)涉密信息系統(tǒng)分級(jí)保護(hù)工程的建設(shè)

良好地貫徹上級(jí)指示，積極應(yīng)對(duì)新形勢(shì)下的保密工作開展。

(2)實(shí)現(xiàn)對(duì)內(nèi)安全保護(hù)需求

當(dāng)前，隨著我國(guó)經(jīng)濟(jì)快速發(fā)展和國(guó)際地位不斷提高，我國(guó)已成為各種情報(bào)竊密活動(dòng)的重點(diǎn)目標(biāo)。信

息技術(shù)的發(fā)展和我國(guó)信息化建設(shè)的推進(jìn)，涉密載體呈現(xiàn)出多樣性和復(fù)雜性，泄密渠道隨之增多，竊密與

反竊密越來(lái)越具有高技術(shù)抗衡的特點(diǎn)。某部委電子政務(wù)涉密信息系統(tǒng)分級(jí)保護(hù)建設(shè)工程為維護(hù)國(guó)家秘密

安全、保障國(guó)家涉密信息、推進(jìn)XX行業(yè)系統(tǒng)?？展ぷ?，發(fā)揮重要作用。

⑶順利通過(guò)安全保密測(cè)評(píng)

體系落地實(shí)施覆蓋技術(shù)的物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面，管理覆蓋策略、制度、流程、表

單四級(jí)體系，做到技管并重，日常安全運(yùn)維還包括了安全加固和風(fēng)險(xiǎn)評(píng)估，具有全面性、合規(guī)性和前瞻

性,較好的通過(guò)職責(zé)、策略、流程、工具等進(jìn)行落地，最終以較好的成績(jī)通過(guò)安全保密測(cè)評(píng)。

5項(xiàng)目特點(diǎn)

為保障項(xiàng)目按質(zhì)按量完成，并順利通過(guò)安全保密測(cè)評(píng)，我方在充分調(diào)研和深化設(shè)計(jì)的基礎(chǔ)上，將建

設(shè)任務(wù)逐一分解，規(guī)劃出項(xiàng)目進(jìn)度計(jì)劃、項(xiàng)目資源分配表等項(xiàng)目過(guò)程穩(wěn)定，并將任務(wù)落實(shí)到具體的負(fù)責(zé)

人身上，嚴(yán)格按照進(jìn)度計(jì)劃控制項(xiàng)目里程、交付成果和質(zhì)量管理。建設(shè)過(guò)程中接相關(guān)主管部門通知，分

級(jí)保護(hù)整改工作要求提前完成，也就意味著在一個(gè)多月內(nèi)太極公司項(xiàng)目組要完成安全產(chǎn)品部署調(diào)試、

700余臺(tái)涉密終端安全加固、多臺(tái)主機(jī)加固、網(wǎng)絡(luò)安全改造與割接、涉密郵件系統(tǒng)改造以及保密制度

的編制工作。在既要保證實(shí)施質(zhì)量，又要管控時(shí)間進(jìn)度的前提下，項(xiàng)目組成員充分分析了關(guān)鍵里程碑及

交付成果，出臺(tái)了項(xiàng)目趕工方案，加大了多種資源投入，最后以優(yōu)異的成績(jī)輔助某部委電子政務(wù)內(nèi)網(wǎng)順

利通過(guò)了安全保密測(cè)評(píng)。

第三篇：關(guān)于涉密信息系統(tǒng)分級(jí)保護(hù)的幾個(gè)問(wèn)題

關(guān)于涉密信息系統(tǒng)分級(jí)保護(hù)的幾個(gè)問(wèn)題

2003年9月7日，中共中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)國(guó)家信

息安全保障工作的意見》，其中明確提出了開展信息安全等級(jí)保護(hù)的任務(wù)，并指出涉及國(guó)家秘密的信息

系統(tǒng)（以下簡(jiǎn)稱涉密信息系統(tǒng)）要按照黨和國(guó)家的有關(guān)保密規(guī)定進(jìn)行保護(hù)。在已經(jīng)開展的分級(jí)保護(hù)的具

體工作中，有幾個(gè)問(wèn)題需要弓I起重視。

一、分級(jí)保護(hù)與等級(jí)保護(hù)的關(guān)系

2004年9月17日，公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息辦下發(fā)了《關(guān)

于信息安全等級(jí)保護(hù)工作的實(shí)施意見》，明確了信息安全等級(jí)保護(hù)的重要意義、原則、基本內(nèi)容、工作

職責(zé)分工、要求和實(shí)施計(jì)劃.2006年1月17日，四部門又下發(fā)了《信息安全等級(jí)保護(hù)管理辦法（試

行）》，進(jìn)一步確定職責(zé)分工，明確了公安機(jī)關(guān)負(fù)責(zé)全面工作、國(guó)家保密工作部門負(fù)責(zé)涉密信息系統(tǒng)、國(guó)

家密碼管理部門負(fù)責(zé)密碼工作、國(guó)務(wù)院信息辦負(fù)責(zé)負(fù)責(zé)的管理職責(zé)和要求。其中明確規(guī)定：涉及國(guó)家秘

密的信息系統(tǒng)應(yīng)當(dāng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的基本要求按照國(guó)家保密工作部門涉密信息系統(tǒng)分級(jí)保

護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。

為貫徹落實(shí)兩辦文件精神，中央保密委員會(huì)于2004年12月23日下發(fā)了《關(guān)于加強(qiáng)信息安全保

障工作中保密管理若干意見》明確提出要建立健全涉密信息系統(tǒng)分級(jí)保護(hù)制度。2005年12月28日，

國(guó)家保密局下發(fā)了《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》，頒布了國(guó)家保密標(biāo)準(zhǔn)《涉及國(guó)家秘

密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》。目前，正在制訂并將頒布兩個(gè)國(guó)家保密標(biāo)準(zhǔn)：《涉及國(guó)家秘密的信息

系統(tǒng)分級(jí)保護(hù)管理規(guī)范》和《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)測(cè)平指南》。2007年將制訂其他標(biāo)準(zhǔn)，

進(jìn)一步完善標(biāo)準(zhǔn)體系。

我國(guó)信息安全等級(jí)保護(hù)與涉密信息系統(tǒng)分級(jí)保護(hù)關(guān)系

等級(jí)保護(hù)分級(jí)保護(hù)保護(hù)對(duì)象不同非涉密信息系統(tǒng)涉密信息系統(tǒng)管理體系不同公安機(jī)關(guān)國(guó)家

保密工作部門

標(biāo)準(zhǔn)體系不同國(guó)家標(biāo)準(zhǔn)（GB、GB/T）國(guó)家保密標(biāo)準(zhǔn)（BMB，強(qiáng)制執(zhí)行）級(jí)別劃分不同第一級(jí)：

自主保護(hù)級(jí)

第二級(jí)：指導(dǎo)保護(hù)級(jí)

第三級(jí)：監(jiān)督保護(hù)級(jí)秘密級(jí)

第四級(jí)：強(qiáng)制保護(hù)級(jí)機(jī)密級(jí)

第五級(jí)：專控保護(hù)級(jí)絕密級(jí)

涉密信息系統(tǒng)分級(jí)保護(hù)與信息安全等級(jí)保護(hù)制度相銜接三個(gè)等級(jí)的防護(hù)水平不低于國(guó)家等級(jí)保護(hù)

的第

四、五級(jí)要求

二、關(guān)于涉密信息系統(tǒng)分級(jí)保護(hù)概況

1、涉密信息系統(tǒng)分級(jí)保護(hù)的含義

涉密信息系統(tǒng)分級(jí)保護(hù)是指涉密信息系統(tǒng)的建設(shè)使用單位根據(jù)分級(jí)保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn)對(duì)涉

密信息系統(tǒng)分等級(jí)實(shí)施保護(hù)，各級(jí)保密工作部門根據(jù)涉密信息系統(tǒng)的保護(hù)等級(jí)實(shí)施監(jiān)督管理，確保系統(tǒng)

和信息安全。

2、涉密信息系統(tǒng)分級(jí)保護(hù)管理原則

規(guī)范定密，準(zhǔn)確定級(jí)；依據(jù)標(biāo)準(zhǔn)，同步建設(shè)；突出重點(diǎn)，確保核心；明確責(zé)任，加強(qiáng)監(jiān)督。

3、涉密信息系統(tǒng)分級(jí)保護(hù)的管理職責(zé)

國(guó)家保密局負(fù)責(zé)全國(guó)涉密信息系統(tǒng)分級(jí)保護(hù)工作的指導(dǎo)、監(jiān)督和檢查；地方各級(jí)保密局負(fù)責(zé)本行政

區(qū)域涉密信息系統(tǒng)分級(jí)保護(hù)工作的指導(dǎo)、監(jiān)督和檢查；中央和國(guó)家機(jī)關(guān)負(fù)責(zé)本部門和本系統(tǒng)內(nèi)涉密信息

系統(tǒng)分級(jí)保護(hù)工作的主管和指導(dǎo)；建設(shè)使用單位負(fù)責(zé)本單位涉密信息系統(tǒng)分級(jí)保護(hù)工作的具體實(shí)施。

4、涉密信息系統(tǒng)的等級(jí)劃分

涉密信息系統(tǒng)按照處理信息的最高密級(jí)確定，由低到高劃分為秘密、機(jī)密和絕密三個(gè)等級(jí)。絕密級(jí)

信息系統(tǒng)應(yīng)限定在封閉、安全可控的獨(dú)立建筑群內(nèi)。集中處理工作秘密的信息系統(tǒng)，可參照秘密級(jí)信息

系統(tǒng)的有關(guān)要求進(jìn)行保護(hù)。

5、涉密信息系統(tǒng)分級(jí)保護(hù)的實(shí)施步驟（1）規(guī)范信息定密；（2）確定系統(tǒng)等級(jí)；（3）方案設(shè)

計(jì)與審核；（4）落實(shí)保護(hù)措施；（5）系統(tǒng)測(cè)評(píng)；（6）系統(tǒng)審批；

（7）安全保密評(píng)估與保密監(jiān)督檢查。

6、涉密信息系統(tǒng)的監(jiān)管

（1）必須選擇具有相應(yīng)涉密資質(zhì)的單位承擔(dān)或參與涉密信息系統(tǒng)的方案設(shè)計(jì)與實(shí)施；（2）保密

工作部門參加方案審查論證；

（3）國(guó)家保密局授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)進(jìn)行安全保密測(cè)評(píng)；（4）經(jīng)保密工作部門審批后，系統(tǒng)方

可投入使用；

（5）保密工作部門定期進(jìn)行保密檢查或系統(tǒng)測(cè)評(píng)：秘密級(jí)和機(jī)密級(jí)信息系統(tǒng)，每?jī)赡曛辽僖淮危?/p>

絕密級(jí)信息系統(tǒng)，每年至少一次。

三、關(guān)于涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范

根據(jù)"技管并重”的指導(dǎo)思想，一個(gè)不同等級(jí)的信息系統(tǒng)既要采取不同強(qiáng)度的技術(shù)保護(hù)措施，還要

采取不同的管理強(qiáng)度，才能保障這個(gè)信息系統(tǒng)的安全，因此需制訂國(guó)家保密標(biāo)準(zhǔn)——《涉密信息系統(tǒng)

分級(jí)保護(hù)管理規(guī)范》，它是以國(guó)家保密局《涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法》作為指導(dǎo)，以《涉密信息

系統(tǒng)保密技術(shù)要求》中安全保密管理部分作為基礎(chǔ)，結(jié)合ISO/ICE。TR13335《信息技術(shù)、IT安全管

理指南》與涉密信息系統(tǒng)的管理實(shí)踐確定管理過(guò)程，結(jié)合ISO/IEE17799《信息技術(shù)、信息安全管理實(shí)

用規(guī)則》與分級(jí)要求確定管理內(nèi)容。

在涉密信息系統(tǒng)的生命周期中應(yīng)把握好八個(gè)基本環(huán)節(jié)：

1、系統(tǒng)定級(jí)

明確系統(tǒng)所處理信息的最高密級(jí)，確定系統(tǒng)保護(hù)等級(jí)。

2、方案設(shè)計(jì)

組織自身的技術(shù)力量或委托資質(zhì)單位進(jìn)行設(shè)計(jì)前的風(fēng)險(xiǎn)評(píng)估，確定系統(tǒng)風(fēng)險(xiǎn)。選擇具有涉密資質(zhì)的

集成單位依據(jù)相關(guān)國(guó)家保密標(biāo)準(zhǔn)進(jìn)行方案設(shè)計(jì)，并應(yīng)通過(guò)專家論證，負(fù)責(zé)系統(tǒng)審批的保密工作部門應(yīng)參

加論證。

3、工程實(shí)施

組建工程監(jiān)理機(jī)構(gòu)，細(xì)化管理制度，對(duì)工程實(shí)施進(jìn)行監(jiān)督，或者選擇具有涉密資質(zhì)的工程監(jiān)理單

位進(jìn)行監(jiān)理。

4、系統(tǒng)測(cè)評(píng)

系統(tǒng)工程實(shí)施完畢后，建設(shè)使用單位向保密工作部門申請(qǐng)進(jìn)行系統(tǒng)測(cè)評(píng)，國(guó)家保密局涉密信息系統(tǒng)

安全保密測(cè)評(píng)中心及分中心負(fù)責(zé)進(jìn)行系統(tǒng)測(cè)評(píng)。

5、系統(tǒng)審批

涉密信息系統(tǒng)在投入運(yùn)行后前，應(yīng)經(jīng)過(guò)（地）以上保密工作部門根據(jù)系統(tǒng)測(cè)評(píng)結(jié)果進(jìn)行的審批。

6、日常管理

曰常管理包括基本管理要求，人員管理、物理環(huán)境與設(shè)施管理、信息保密管理等。

7、測(cè)評(píng)與檢查

涉密信息系統(tǒng)投入運(yùn)行后還應(yīng)定期進(jìn)行安全保密測(cè)評(píng)和檢查。

8、系統(tǒng)廢止

廢止涉密信息系統(tǒng)應(yīng)向相關(guān)保密工作部門備案并按照有關(guān)保密規(guī)定妥善處理涉及國(guó)家秘密信息的

設(shè)備、產(chǎn)品和資料。

涉密信息系統(tǒng)分級(jí)保護(hù)的核心思想是"實(shí)事求是"與"具體問(wèn)題具體分析〃，既防止欠保護(hù)，也防

止過(guò)保護(hù)，以確保國(guó)家秘密安全為原則。我國(guó)的涉密信息系統(tǒng)分級(jí)保護(hù)已經(jīng)進(jìn)入了建立制度、完善體系

的階段，但還有很長(zhǎng)的路要走。曰于存在信息系統(tǒng)所涉及技術(shù)、管理的復(fù)雜性、系統(tǒng)保護(hù)評(píng)價(jià)和不確定

性以及安全防護(hù)與攻擊技術(shù)存在的非對(duì)稱性等因素，我們還有許多問(wèn)題要研究、要探索，但只要我們堅(jiān)

持科學(xué)發(fā)展觀，勇于實(shí)踐，就會(huì)走出一條適合我國(guó)國(guó)情的道路。（杜虹）

第四篇：涉密信息分級(jí)保護(hù)項(xiàng)目工作指導(dǎo)

涉密信息系統(tǒng)分級(jí)保護(hù)過(guò)程指導(dǎo)

1、項(xiàng)目立項(xiàng)。

2、項(xiàng)目定級(jí)（處級(jí)以上擁有定密權(quán)，處級(jí)以下必須有市保密局授權(quán)定密權(quán)X

3、項(xiàng)目名稱定代號(hào)（如：01工程、02項(xiàng)目X

4、項(xiàng)目方案設(shè)計(jì)及預(yù)算。

1）設(shè)計(jì)單位必須具有涉密信息系統(tǒng)集成資質(zhì)。

2）選用涉密設(shè)備產(chǎn)品必須通過(guò)國(guó)家保密科技技術(shù)中心測(cè)評(píng)及取得證書。3）設(shè)計(jì)方案，詳見方

案設(shè)計(jì)樣板。

5、設(shè)計(jì)方案提交國(guó)家保密科技測(cè)評(píng)中心福建分中心進(jìn)行方案評(píng)審。

6、方案評(píng)審?fù)ㄟ^(guò)后進(jìn)行邀清或者比選招標(biāo)（同時(shí)委托具有保密資質(zhì)的監(jiān)理公司進(jìn)行監(jiān)理X

7、中標(biāo)后簽訂合同并進(jìn)行施工

8、施工詳情：

1）施工單位成立項(xiàng)目組確定負(fù)責(zé)人，項(xiàng)目經(jīng)理，施工人員并做好工作證（參與人員必須經(jīng)過(guò)是

公司保密委員會(huì)保密人員）o

2）施工單位（監(jiān)理單位）及到場(chǎng)工作人員與業(yè)主簽訂保密協(xié)議。

3）項(xiàng)目組發(fā)起業(yè)主、監(jiān)理、設(shè)計(jì)及施工方四方方案會(huì)審并確定是否對(duì)設(shè)計(jì)做出變更。4）與業(yè)

主配合統(tǒng)計(jì)本次涉密設(shè)備數(shù)量、終端數(shù)量、對(duì)應(yīng)科室位置。

5）項(xiàng)目組對(duì)已有涉密設(shè)備進(jìn)行再次編號(hào)后登記編冊(cè)，對(duì)每臺(tái)涉密終端（電腦及網(wǎng)絡(luò)打印機(jī)）進(jìn)

行IP、MAC、網(wǎng)口、使用人、位置、對(duì)應(yīng)交換機(jī)口進(jìn)行對(duì)應(yīng)登記編冊(cè)。6）重要部門、部位必須明

確標(biāo)示如涉密要害部位無(wú)關(guān)人員嚴(yán)禁入內(nèi)、禁止攜帶通訊設(shè)備，涉密計(jì)算機(jī)嚴(yán)禁連接互聯(lián)網(wǎng)“機(jī)密），

非密打印機(jī)貼禁止復(fù)印涉密材料07）所有保密產(chǎn)品必須具有不可更改的保密標(biāo)示：設(shè)備類型、設(shè)備

編號(hào)、密級(jí)、定密時(shí)間、責(zé)任人、安裝位置、設(shè)備用途；紅黑電源及微機(jī)視頻保護(hù)器可以不定密級(jí)。8）

所有涉密信息網(wǎng)口標(biāo)涉密口涉密信息網(wǎng)絡(luò)布線系統(tǒng)采用屏蔽產(chǎn)品原有非屏蔽產(chǎn)品加線路傳導(dǎo)干擾器）

涉密設(shè)備與非密設(shè)備間隔不低于1米。9）所有樓層交換機(jī)必須選用可綁定管理型交換機(jī)。

10）根據(jù)保密要求對(duì)每臺(tái)涉密終端機(jī)服務(wù)器進(jìn)行策略加固、密碼加固，安裝三合一系統(tǒng)、主機(jī)監(jiān)

控與審計(jì)系統(tǒng)、網(wǎng)絡(luò)行為審計(jì)系統(tǒng)（機(jī)要機(jī)及服務(wù)器可以不裝三合一避免無(wú)法接收機(jī)要文件及系統(tǒng)數(shù)據(jù)

庫(kù)崩潰）

11）一體式網(wǎng)絡(luò)打印機(jī)必須拆除或者封堵傳真功能模塊及無(wú)線通訊模塊并進(jìn)行卬、MAC、網(wǎng)口

的綁定。

12）安全域劃分一般為：服務(wù)器安全域、安全產(chǎn)品安全域、終端安全域。

13）VLAN劃分：根據(jù)現(xiàn)有IP進(jìn)行規(guī)劃。對(duì)服務(wù)器、安全產(chǎn)品、終端、部門、用途進(jìn)行劃分，

如果遇到IP不夠用的情況，交換機(jī)的管理IP可以開辟192.168.X.X段位進(jìn)行管理。

14）根據(jù)保密要求進(jìn)行終端、服務(wù)器、交換機(jī)、路由、防火墻策略加固、服務(wù)器打補(bǔ)丁。15）施

工過(guò)程中的所有操作步驟必須記錄并形成策略文檔并指導(dǎo)業(yè)主進(jìn)行操作組織業(yè)主主要負(fù)責(zé)人進(jìn)行安全

保密產(chǎn)品的操作培訓(xùn)（詳見：策略文檔范本X16）所有安全保密產(chǎn)品到場(chǎng)必須進(jìn)行開箱檢驗(yàn)并做好

記錄，嚴(yán)格核對(duì)外觀、型號(hào)、規(guī)格、功能，必須與國(guó)家保密科技測(cè)評(píng)中心的檢測(cè)報(bào)告嚴(yán)格一致。

17）如有采用線路傳導(dǎo)干擾器需注意：每臺(tái)干擾器分為4口、8口、16口、32□,樓層每層的

最遠(yuǎn)端及次遠(yuǎn)端也就是每層2口-4口就夠用。

18）每臺(tái)終端必須配備紅黑電源，涉密機(jī)柜必須配用紅黑電源，紅黑電源上禁止接入非密設(shè)備。

19）涉密場(chǎng)所內(nèi)嚴(yán)禁使用無(wú)線設(shè)備如：紅外、藍(lán)牙、無(wú)線類型的鼠標(biāo)、鍵盤、話筒、音箱,不允

許出現(xiàn)WIFI、MIFL無(wú)線信號(hào)發(fā)射器、無(wú)線信號(hào)放大器等無(wú)線設(shè)備。20）涉密筆記本電腦必須拆除

無(wú)線網(wǎng)卡模塊及攝像頭，一體式電腦必須拆除無(wú)線網(wǎng)卡模塊。

21）涉密設(shè)備與圍墻外馬路警戒距離要在30米以上不足30米的必須加裝微機(jī)視頻保護(hù)器及紅

黑電源。

22）要害部位、機(jī)房的門、窗必須具備防盜門、防盜窗、監(jiān)控、報(bào)警器，設(shè)備接地值小于0.5歐

姆。

23）所有布線節(jié)點(diǎn)必須做好良好標(biāo)示注明起始點(diǎn)、終結(jié)點(diǎn)（含桌面跳線、機(jī)房跳線、布線節(jié)點(diǎn)）,

對(duì)布線節(jié)點(diǎn)數(shù)量進(jìn)行登記造冊(cè)（每層布線點(diǎn)、合計(jì)布線點(diǎn)、實(shí)際使用布線點(diǎn)I

24）樓棟間的光纖連接必須做好每個(gè)可查看節(jié)點(diǎn)的標(biāo)示牌，標(biāo)明起始點(diǎn)、經(jīng)由點(diǎn)、終點(diǎn)。25）項(xiàng)

目進(jìn)行時(shí)必須嚴(yán)格按照項(xiàng)目建設(shè)內(nèi)頁(yè)規(guī)范編寫相應(yīng)施工內(nèi)頁(yè)資料。

26）每臺(tái)終端都必須進(jìn)行IP、MAC、網(wǎng)口三項(xiàng)綁定，交換機(jī)上多余未用的端口必須在物理及配

置上進(jìn)行關(guān)閉。

9、業(yè)主方配合項(xiàng)：

1）成立保密委及下屬保密辦公室。2）全體人員與保密委簽訂保密協(xié)議。

3）請(qǐng)保密局對(duì)全體人員進(jìn)行，崗前、崗中、領(lǐng)導(dǎo)負(fù)責(zé)人進(jìn)行培訓(xùn)并做好培訓(xùn)記錄。4）向上級(jí)

要安全保密管理制度或者自行編制安全保密管理制度匯編。

5）統(tǒng)計(jì)全體人員的涉密設(shè)備，編制成表格具體體現(xiàn)：責(zé)任人、設(shè)備標(biāo)號(hào)、設(shè)備IP,設(shè)備MAC、

設(shè)備對(duì)應(yīng)網(wǎng)口。

10、編制測(cè)評(píng)申請(qǐng)書（含：測(cè)評(píng)申請(qǐng)書，附件：設(shè)計(jì)方案、實(shí)施方案、安全保密管理制度匯編）

11、項(xiàng)目施工驗(yàn)收后向國(guó)家保密科技測(cè)評(píng)中心福建分中心提交測(cè)評(píng)申請(qǐng)。

12、不足的待補(bǔ)充。

第五篇：開展涉密信息系統(tǒng)分級(jí)保護(hù)工作應(yīng)注意的幾個(gè)問(wèn)題

開展涉密信息系統(tǒng)分級(jí)保護(hù)工作應(yīng)注意的幾個(gè)問(wèn)題

一、引言

2003年9月，中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工

作的意見》（中辦發(fā)[2003]27號(hào)）提出了"實(shí)行信息安全等級(jí)保護(hù)"的要求,并指出“對(duì)涉及國(guó)家

秘密的信息系統(tǒng)，要按照黨和國(guó)家有關(guān)保密規(guī)定進(jìn)行保護(hù)中共中央保密委員會(huì)《關(guān)于加強(qiáng)信息安全

保障工作中保密管理的若干意見》（中保委發(fā)[2004]7號(hào)）提出要建立涉密信息系統(tǒng)分級(jí)保護(hù)制度。

自2005年起，國(guó)家保密局組織制定并頒布實(shí)施了一系列關(guān)于涉密信息系統(tǒng)分級(jí)保護(hù)的法規(guī)與標(biāo)準(zhǔn)，并

于2006年9月至2007年3月，組織中央組織部、中央聯(lián)絡(luò)部和航天科技集團(tuán)進(jìn)行了分級(jí)保護(hù)試點(diǎn)工

作。20047年9月7日，國(guó)家保密局召開了全國(guó)涉密信息系統(tǒng)分級(jí)保護(hù)工作會(huì)議，推廣了試點(diǎn)工作經(jīng)

驗(yàn)，部署了分級(jí)保護(hù)工作。自此,涉密信息系統(tǒng)分級(jí)保護(hù)工作已進(jìn)入了全面推進(jìn)階段。

二、領(lǐng)導(dǎo)重視,建立機(jī)制

我國(guó)的國(guó)家秘'密分為秘'密、機(jī)密、絕密三級(jí)，涉密信息系統(tǒng)也按照秘密、機(jī)密、絕密三級(jí)進(jìn)行分級(jí)

管理。根據(jù)"誰(shuí)主管、誰(shuí)負(fù)責(zé)〃的保密管理原則，涉密信息系統(tǒng)建設(shè)使用單位應(yīng)負(fù)責(zé)本單位涉密信息系

統(tǒng)分級(jí)保護(hù)的具體實(shí)施工作。涉密信息系統(tǒng)分級(jí)保護(hù)工作是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及到單位內(nèi)部的保

密、信息化、業(yè)務(wù)工作、密碼、保衛(wèi)和人事等部門，各相關(guān)部門只有密切合作、統(tǒng)籌實(shí)施，才能保障整

個(gè)工作的順利進(jìn)行。這就要求涉密信息系統(tǒng)的建設(shè)使用單位領(lǐng)導(dǎo)高度重視此項(xiàng)工作，組建強(qiáng)有力的領(lǐng)導(dǎo)

班子，建立起確保措施到位、人員到位、資金到位的分級(jí)保護(hù)工作組織保障體系，形成強(qiáng)有力的工作機(jī)

制。

⑴在系統(tǒng)定級(jí)方面，保密管理部門要發(fā)揮準(zhǔn)確掌握國(guó)家保密政策的優(yōu)勢(shì)，與信息化建設(shè)部門、業(yè)務(wù)

工作部門一起研究確定系統(tǒng)和安全域所處理信息的最高密級(jí)，從而確定保護(hù)等級(jí)。

⑵在方案設(shè)計(jì)方面，信息化建設(shè)部門要充分利用熟悉技術(shù)的特點(diǎn)，按照分級(jí)保護(hù)技術(shù)要求和管理規(guī)

范，組織設(shè)計(jì)符合保密要求的分級(jí)保護(hù)方案。保密管理部門應(yīng)對(duì)總體方案進(jìn)行監(jiān)督、檢查和指導(dǎo),組織

專家進(jìn)行評(píng)審論證。

㈤在工程實(shí)施方面，信息化建設(shè)部門應(yīng)具體承擔(dān)組織實(shí)施工作，并與保密管理部門定期檢查工作進(jìn)

展情況，對(duì)于發(fā)現(xiàn)的問(wèn)題及時(shí)協(xié)調(diào)處理，確保各項(xiàng)安全保護(hù)措施落到實(shí)處。

⑷在系統(tǒng)工程施工結(jié)束后,保密管理部門應(yīng)負(fù)責(zé)組織系統(tǒng)測(cè)評(píng)和系統(tǒng)審批工作。

⑸在系統(tǒng)投入運(yùn)行后，保密、信息化、業(yè)務(wù)工作、密碼、保衛(wèi)和人事等有關(guān)部門應(yīng)按照"分工合作、

各司其責(zé)"的原則，積極配合完成各方面的日常安全保密管理工作。

三、把握方法，遵循流程

涉密信息系統(tǒng)分級(jí)保護(hù)工作包括系統(tǒng)定級(jí)、方案設(shè)計(jì)、工程實(shí)施、系統(tǒng)測(cè)評(píng)、系統(tǒng)審批、日常管理、

測(cè)評(píng)與檢查和系統(tǒng)廢止八個(gè)環(huán)節(jié)，貫穿于涉密信息系統(tǒng)的整個(gè)生命周期之中，是對(duì)涉密信息系統(tǒng)進(jìn)行的

全過(guò)程保密管理。因此，涉密信息系統(tǒng)建設(shè)使用單位應(yīng)該按照“規(guī)范定密，準(zhǔn)確定級(jí)；依照標(biāo)準(zhǔn)，同步

建設(shè)；突出重點(diǎn)，確保核心；明確責(zé)任，加強(qiáng)監(jiān)督”的原則，遵循分級(jí)保護(hù)工作的基本流程，突出重點(diǎn)

環(huán)節(jié)，強(qiáng)化過(guò)程管理。

1.系統(tǒng)定級(jí)

涉密信息系統(tǒng)按照所處理信息的最高密級(jí)，由低到高劃分為秘密、機(jī)密、絕密三個(gè)等級(jí)。因此，在

確定涉密信息系統(tǒng)內(nèi)信息的最高密級(jí)后，就可具體確定涉密信息系統(tǒng)安全等級(jí)。對(duì)于新建系統(tǒng)，涉密信

息系統(tǒng)建設(shè)使用單位應(yīng)根據(jù)實(shí)際工作需要，通過(guò)下位系統(tǒng)所要處理信息的最高密級(jí)來(lái)確定系統(tǒng)等級(jí)；對(duì)

于已建系統(tǒng)，應(yīng)對(duì)照定密范圍，對(duì)系統(tǒng)中處理的信息進(jìn)行密級(jí)核定，并補(bǔ)充采取相應(yīng)的保護(hù)措施.

2.方案設(shè)計(jì)

涉密信息系統(tǒng)建設(shè)使用單位在各級(jí)保密工作部門的指導(dǎo)與監(jiān)督下選拔具有相應(yīng)涉密資質(zhì)的承建單

位承擔(dān)或參與涉密信息系統(tǒng)的系統(tǒng)集成、軟件開發(fā)、綜合布線、系統(tǒng)服務(wù)、系統(tǒng)咨詢、風(fēng)險(xiǎn)評(píng)估、屏蔽

室建設(shè)、工程監(jiān)理和保密安防監(jiān)控的方案設(shè)計(jì)與實(shí)施工作。涉密信息系統(tǒng)建設(shè)使用單位在工程實(shí)施前,

應(yīng)對(duì)系統(tǒng)設(shè)計(jì)方案進(jìn)行審查論證，保密工作部門應(yīng)當(dāng)參與方案審查論，在系統(tǒng)總體安全保密性方面加強(qiáng)

指導(dǎo)，嚴(yán)

格把關(guān)。

3.工程實(shí)施

在工程實(shí)施階段，主要抓好保密管理和工程監(jiān)理工作。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)根據(jù)工程的具

體情況劃定保密范圍，制定相應(yīng)的保密措施和保密控制流程，嚴(yán)格控制接觸涉密信息的人員范圍。同時(shí)

還應(yīng)選擇具有涉密工程監(jiān)理單項(xiàng)資質(zhì)的單位或組織自身力量在安全保密控制、質(zhì)量控制、進(jìn)度控制、成

本控制、合同管理和文檔管理六個(gè)方面加強(qiáng)監(jiān)督檢查。

4.測(cè)評(píng)階段

涉密信息系統(tǒng)投入運(yùn)行必須先測(cè)評(píng)后審批涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實(shí)施結(jié)束后應(yīng)當(dāng)

向保密工作部門提出申請(qǐng)，按照國(guó)家保密工作部門授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)的要求，提交測(cè)評(píng)所需的必要資

料。由測(cè)評(píng)機(jī)構(gòu)對(duì)涉密信息系統(tǒng)進(jìn)行安全保密測(cè)評(píng)，全面驗(yàn)證所采取的安全保密措施能否滿足安全保密

需求和分級(jí)保護(hù)的要求，為涉密信息系統(tǒng)審批提供依據(jù)。

5.系統(tǒng)審批

國(guó)家對(duì)涉密信息系統(tǒng)的投入運(yùn)行實(shí)行行政審批制度。國(guó)家保密工作部門負(fù)責(zé)審批中央和國(guó)家機(jī)關(guān)各

部委及其所屬單位、國(guó)防武器裝備科研生產(chǎn)一級(jí)保密資格單位的涉密信息系統(tǒng)；?。ㄗ灾螀^(qū)、直轄市）

保密工作部門負(fù)責(zé)審批省直機(jī)關(guān)各部門及其所屬單位、國(guó)防武器裝備科研生產(chǎn)

二、三級(jí)保密資格單位的涉密信息系統(tǒng)；市（地）級(jí)保密工作部門負(fù)責(zé)審批市（地1縣直機(jī)關(guān)及

其所屬的涉密信息系統(tǒng)。

保密工作部門在系統(tǒng)測(cè)評(píng)的基礎(chǔ)上對(duì)系統(tǒng)進(jìn)行審批，對(duì)符合要求的涉密信息系統(tǒng)批準(zhǔn)其投入使用。

對(duì)不符合要求的，保密工作部門提出整改意見，由使用單位對(duì)系統(tǒng)進(jìn)行整改后另行報(bào)批。未經(jīng)保密工作

部門審批，擅自將涉密信息系統(tǒng)投入使用的，必須立即停止存儲(chǔ)、處理和傳輸國(guó)家秘密信息，并追究部

門領(lǐng)導(dǎo)和相關(guān)責(zé)任人的責(zé)任；造成泄密的,依法追究法律責(zé)任。

6.日常管理

隨著涉密信息系統(tǒng)的開通運(yùn)行，系統(tǒng)的規(guī)模、具體業(yè)務(wù)范圍以及用戶都可能發(fā)生變化，這些變化和

運(yùn)行過(guò)程出現(xiàn)的安全事件都可能使過(guò)去相對(duì)安全的系統(tǒng)不再安全。涉密信息系統(tǒng)的管理者和使用者，應(yīng)

結(jié)合系統(tǒng)實(shí)際制定明確的安全保密管理策略，成立由單位主管領(lǐng)導(dǎo)任責(zé)任人，包括保密、信息化、業(yè)務(wù)

工作、密碼、保12和人事等有關(guān)部門人員組成的安全保密管理機(jī)構(gòu),使用先進(jìn)的安全保密管理技術(shù)，從

人員管理、物理環(huán)境與設(shè)施管理、設(shè)備與介質(zhì)管理、運(yùn)行與開發(fā)管理和信息保密管理五個(gè)方面進(jìn)行日常

安全保密管理。

7.測(cè)評(píng)與檢查

系統(tǒng)經(jīng)審批投入運(yùn)行后，應(yīng)加強(qiáng)風(fēng)險(xiǎn)評(píng)估管理。秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)，每?jī)赡曛辽龠M(jìn)行一次保

密檢查或系統(tǒng)測(cè)評(píng)；絕密級(jí)信息系統(tǒng)每年至少進(jìn)行一次保密檢查或系統(tǒng)測(cè)評(píng)。安全保密測(cè)評(píng)和保密技術(shù)

檢查過(guò)程中形成的有關(guān)數(shù)據(jù)、刻錄和評(píng)估報(bào)告，應(yīng)定密并按照相應(yīng)級(jí)文件進(jìn)行管理。

8.系統(tǒng)廢止

涉密信息系統(tǒng)不再使用時(shí)，涉密信息系統(tǒng)建設(shè)使用單位應(yīng)向保密工作部門備案，并按照有關(guān)保密規(guī)

定妥善處理涉及國(guó)家秘'密信息的設(shè)備、產(chǎn)品介質(zhì)和文檔資料。對(duì)需要報(bào)廢的涉密設(shè)備和介質(zhì)，應(yīng)進(jìn)行信

息消除和載體銷毀處理，所采取的技術(shù)、設(shè)備和措施應(yīng)符合相關(guān)標(biāo)準(zhǔn)和規(guī)定”方止泄密事件的發(fā)生。

四、了解政策，掌握標(biāo)準(zhǔn)

涉密信息系統(tǒng)分級(jí)保護(hù)是指涉密信息系統(tǒng)的建設(shè)使用單位根據(jù)分級(jí)保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn)對(duì)涉

密信息系統(tǒng)分等級(jí)實(shí)施保護(hù)。因此，涉密信息系統(tǒng)建設(shè)使用單位必須充分了解分級(jí)保護(hù)工作方面的政策

要求，并熟練掌握和運(yùn)用涉密信息系統(tǒng)分級(jí)保護(hù)的標(biāo)準(zhǔn)。

1.涉密信息系統(tǒng)分級(jí)保護(hù)是國(guó)家信息安全等級(jí)保護(hù)的重要部分

涉密信息系統(tǒng)根據(jù)涉密程度，按照秘密級(jí)、級(jí)、絕密級(jí)進(jìn)行分級(jí)保護(hù)；非涉密信息系統(tǒng)根據(jù)重要程

度按照自主保護(hù)級(jí)（第一級(jí)）、指導(dǎo)保護(hù)級(jí)（第二級(jí)）、監(jiān)督保護(hù)級(jí)（第三級(jí)）、強(qiáng)制保護(hù)級(jí)（第四級(jí)）、

?？乇Ｗo(hù)級(jí)（第五級(jí)）進(jìn)行等級(jí)保護(hù)。秘密級(jí)、機(jī)密級(jí)、絕密級(jí)信息系統(tǒng)的整體防護(hù)水平不低于非涉密

信息系統(tǒng)的第

四、五級(jí)的要求。凡是用于處理、傳輸和存儲(chǔ)國(guó)家秘密的信息系統(tǒng)（網(wǎng)絡(luò)）都應(yīng)按照分級(jí)保護(hù)的要

求進(jìn)行建設(shè)、使用和管理。

2.國(guó)家保密局是涉密信息系統(tǒng)分級(jí)保護(hù)工作的主管部門

國(guó)家保密工作部門負(fù)責(zé)全國(guó)涉密信息系統(tǒng)分級(jí)保護(hù)工作的指導(dǎo)、監(jiān)督和檢查；地方各級(jí)保密工作部

門負(fù)責(zé)本行政區(qū)域涉密信息系統(tǒng)分級(jí)保護(hù)工作的指導(dǎo)、監(jiān)督和檢查。中央和國(guó)家機(jī)關(guān)各部門在其職權(quán)范

圍內(nèi)，主管或指導(dǎo)本部門和本系統(tǒng)涉密信息系統(tǒng)的分級(jí)保護(hù)工作；涉密信息系統(tǒng)的建設(shè)使用單位則負(fù)責(zé)

本單位涉密信息系統(tǒng)分級(jí)保護(hù)的具體實(shí)施工作。

3.國(guó)家保密法規(guī)與標(biāo)準(zhǔn)是組織開展分級(jí)保護(hù)工作的具體依據(jù)

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)依據(jù)《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法*國(guó)保發(fā)[2005]

16號(hào)）確定系統(tǒng)等級(jí)，結(jié)合本單位業(yè)務(wù)需求和涉密信息制定安全保密需求，依據(jù)國(guó)家保密標(biāo)準(zhǔn)

BMB17-2006《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》和BMB20-2007《涉及國(guó)家秘密的信息

系統(tǒng)分級(jí)保護(hù)管理規(guī)范》，設(shè)計(jì)系統(tǒng)安全保密方案。在工程實(shí)施過(guò)程中，應(yīng)按照BMB18-2006《涉及國(guó)

家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》的要求進(jìn)行工程監(jiān)理。工程實(shí)施結(jié)束后,涉密信息系統(tǒng)

建設(shè)使用單位應(yīng)當(dāng)向保密工作部門提出申請(qǐng)，由國(guó)家保密局的涉密信息系統(tǒng)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家保密

標(biāo)準(zhǔn)BMB22-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保戶測(cè)評(píng)指南》，對(duì)涉密信息系統(tǒng)進(jìn)行安全保

密測(cè)評(píng)。在系統(tǒng)投入使用前,涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)按照《涉及國(guó)家秘密的信息系統(tǒng)審批管

理規(guī)定》，向市（地）級(jí)以上保密工作部門申請(qǐng)進(jìn)行系統(tǒng)審批,涉密信息系統(tǒng)通過(guò)審批后方可投入使用。已

投入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在按照分級(jí)保護(hù)要求完成系統(tǒng)整改后，應(yīng)當(dāng)向保密工作部門備

案。

五、合理分域，準(zhǔn)確定級(jí)

涉密信息系統(tǒng)分級(jí)保護(hù)是以系統(tǒng)所處理信息的最高密級(jí)來(lái)確定安全等級(jí)的，在合理劃分安全域邊界

安全可控的情況下，各安全域可根據(jù)涉密高定級(jí)單獨(dú)定級(jí)，實(shí)施"分域分級(jí)防護(hù)”的策略，從而降低系統(tǒng)建

設(shè)成本和管理風(fēng)險(xiǎn)。

⑴對(duì)于涉密程度層次分明、地域縱橫分布睥我國(guó)黨政部門的"電子政務(wù)廣域網(wǎng)涉密信息系統(tǒng)：可

根據(jù)行政級(jí)別、信息密級(jí)和系統(tǒng)重要性劃分不同的安全域。首先可根據(jù)行政級(jí)別將業(yè)務(wù)體系內(nèi)的"電子

政務(wù)廣域網(wǎng)涉密信息系統(tǒng)”劃分為中央、省、市（地）和縣四個(gè)安全域，然后再根據(jù)各個(gè)安全域的所處

理信息的最高密級(jí)單獨(dú)確定保護(hù)等級(jí)和防護(hù)措施，例如按照機(jī)密級(jí)增強(qiáng)（中