分級保護測評流程(宣)

分級保護相關(guān)標(biāo)準(zhǔn)1分級保護測評流程4目錄分保測評適用范圍2涉密系統(tǒng)建立流程3第一頁，共26頁。分級保護相關(guān)標(biāo)準(zhǔn)1分級保護測評第二頁，共26頁。1.BMB17-2006《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》

2.BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》3.BMB22-2007《涉及國家秘密的信息系統(tǒng)分級保護測評指南》4.《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》國家保密局國保發(fā)【2005】16號分級保護相關(guān)標(biāo)準(zhǔn)分級保護相關(guān)標(biāo)準(zhǔn)第三頁，共26頁。分級保護測評指南所在單位按照處理信息最高級別分為秘密級＜機密級＜絕密級；涉密信息系統(tǒng)測評是依據(jù)國家保密標(biāo)準(zhǔn)，從風(fēng)險管理角度，分析涉密信息系統(tǒng)所面臨的威脅及其存在的脆弱性，提出有針對性的防護對策和整改措施，為防范和化解涉密信息系統(tǒng)安全保密風(fēng)險，為涉密信息系統(tǒng)安全保密提供科學(xué)依據(jù)。BMB22-2007《涉及國家秘密的信息系統(tǒng)分級保護測評指南》第四頁，共26頁。分級保護測評適用范圍2第五頁，共26頁。測評適用系統(tǒng)分保適用系統(tǒng)存儲、使用或產(chǎn)生涉密信息的計算機網(wǎng)絡(luò)系統(tǒng)處理涉密信息的單獨計算機不參與測評第六頁，共26頁。分級保護適用單位測評適用單位黨政機關(guān)（法院、檢查院、省級政府等）國防軍工（航空、航天、兵器等）非公有制企業(yè)第七頁，共26頁。涉密系統(tǒng)建立流程3第八頁，共26頁。系統(tǒng)定級方案設(shè)計工程實施涉密系統(tǒng)建立流程分級保護測評第九頁，共26頁。系統(tǒng)定級黨政機關(guān)國防軍工非公有制企業(yè)由單位保密辦依據(jù)密級范圍規(guī)定，并由測評機構(gòu)監(jiān)督由承接軍方項目級別、國防軍工所設(shè)計項目重要性等方面來定級一級單位負責(zé)總體設(shè)計二級單位負責(zé)部分設(shè)計三級單位負責(zé)零配件設(shè)計由所承接項目合同規(guī)定處理信息級別，依據(jù)密級范圍規(guī)定，并由測評機構(gòu)監(jiān)督定級第十頁，共26頁。方案設(shè)計1.選擇有涉密資質(zhì)的承建單位（涉密甲級、乙級），進行系統(tǒng)風(fēng)險評估；2.根據(jù)分保方案指南bmb23、分保要求bmb17和分保管理規(guī)范bmb20進行方案設(shè)計；3.方案交由測評中心方案評審專家進行審查論證。（集中一批次方案，進行統(tǒng)一審查）方案設(shè)計第十一頁，共26頁。工程實施1.方案通過后，進行項目實施。2.實施單位必須有涉密集成資質(zhì)，如無特殊情況選取就近涉密集成單位。（絕密級信息系統(tǒng)選用甲級資質(zhì)單位）2.選擇由工程監(jiān)理單項資質(zhì)的單位或組織本單位人員進行監(jiān)理。（按照bmb18進行工程監(jiān)理）工程實施第十二頁，共26頁。分級保護測評流程4第十三頁，共26頁。分級保護測評申報材料資料審查通過？現(xiàn)場考察現(xiàn)場測評修改材料通過？專家召開會議，出測評報告《測評報告》≥60分系統(tǒng)整改是是否否否流程圖是第十四頁，共26頁。審查資料審查資料（實施完畢后）1.測評申請書2.申請單位信息3.系統(tǒng)測評委托書4.系統(tǒng)基本情況調(diào)查表5.涉密信息系統(tǒng)建設(shè)情況6.防護措施調(diào)整情況7.涉密信息系統(tǒng)物理環(huán)境情況8.綜合布線情況9.涉密信息系統(tǒng)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)及技術(shù)防護情況10.系統(tǒng)的安全保密管理情況返回第十五頁，共26頁?，F(xiàn)場考察1.重點考察與申請書是否描述一致；2.簡單審查，不合格項提出整改意見，必須先進行整改；3.本次審查不打分。（一般軍工單位會由其上級測評中心來考察）現(xiàn)場考察返回第十六頁，共26頁?，F(xiàn)場測評1.由國家保密局授權(quán)的測評中心或分中心從專家?guī)熘谐檎{(diào)專家；2.制定測評方案，根據(jù)bmb22附錄A、B、C測評表進行分保測評；3.相關(guān)分值記錄在測評表；為不同安全域進行檢測的，每個安全域有各自測評表?，F(xiàn)場測評返回第十七頁，共26頁。

現(xiàn)場測評兩大項滿分為100分技術(shù)要求測評70分檢測結(jié)果滿分為100分管理要求測評30分測評分值第十八頁，共26頁。測評技術(shù)要求終止項技術(shù)要求70分檢測結(jié)果滿分為100分基本測評項﹡物理隔離﹡安全保密產(chǎn)品選擇﹡安全邊界防護﹡密級標(biāo)識信息安全保密﹡用戶身份鑒別﹡訪問控制粒度﹡信息輸出﹡信息存儲﹡邊界控制﹡信息設(shè)備電磁泄漏發(fā)射防護﹡違規(guī)外聯(lián)監(jiān)控技術(shù)中止項第十九頁，共26頁。管理要求30分檢測結(jié)果滿分為100分管理過程基本管理要求﹡管理機構(gòu)﹡管理制度﹡管理人員﹡集成資質(zhì)單位選擇測評管理要求終止項管理中止項返回第二十頁，共26頁。專家評估1.測評機構(gòu)組織專家評估會2.專家組聽取情況，介紹審閱檢測報告，分析測評方法、流程和結(jié)果。3.給出系統(tǒng)完善意見專家評估第二十一頁，共26頁。測評結(jié)論1.國家保密局負責(zé)審批中央和國家機關(guān)各部委、一級保密資格單位涉密信息系統(tǒng)。2.省級（自治區(qū)、直轄市）保密局負責(zé)審批省直機關(guān)，二、三級保密資格單位涉密信息系統(tǒng)3.市級保密局負責(zé)審批市直機關(guān)、縣直機關(guān)涉密信息系統(tǒng)。測評結(jié)論第二十二頁，共26頁。涉密系統(tǒng)運行時效性1.涉密系統(tǒng)運行許可沒有過期日，只有在系統(tǒng)環(huán)境或應(yīng)用發(fā)生重大改變才需要重過測評。2.絕密信息系統(tǒng)每年至少進行一次安全保密測評或保密檢查3.秘密機密級信息系統(tǒng)每兩年至少一次安全保密測評或保密檢查時效性第二十三頁，共2