公司保密管理情況報告

#/17階段工作階段工作標準分級保護實施流程涉及單位管理辦法、技術(shù)妾求

保密法系統(tǒng)定級—保密局*

備慕設(shè)計指南、技術(shù)要求

管理規(guī)范、安全產(chǎn)品

標準工程盟理規(guī)范測評指癇技術(shù)要求、管理規(guī)范

保密耆理指南測評指南是保密局/評審專F?家組〔召開方＜否案評審會）工稈實施系統(tǒng)測評管理辦法、技術(shù)妾求

保密法系統(tǒng)定級—保密局*

備慕設(shè)計指南、技術(shù)要求

管理規(guī)范、安全產(chǎn)品

標準工程盟理規(guī)范測評指癇技術(shù)要求、管理規(guī)范

保密耆理指南測評指南是保密局/評審專F?家組〔召開方＜否案評審會）工稈實施系統(tǒng)測評系統(tǒng)審批是1-2實施過程概述汀汀詳細系統(tǒng)識別確定最離密級確定尿護等級上報審批風險評姑確定尿護要求規(guī)劃浚計方第上報審查論證制定實施保密制度確定工稈監(jiān)理方確宦產(chǎn)品集成方提交測評申請?zhí)峤粶y評資料提交審批申it提交審批資料提交陵止批申請銷毀涉密設(shè)備資料F面對整個過程做簡單的概述。1.2.1系統(tǒng)定級依據(jù)《保密法》密級范圍的規(guī)定，本單位、各部門組織開展對所屬信息系統(tǒng)摸底調(diào)查工作。按照涉密信息系統(tǒng)所處理信息的最高密級，由低到高劃分為秘密、機密和絕密三個等級。＞識別信息系統(tǒng)調(diào)查信息系統(tǒng)所在單位的組織管理結(jié)構(gòu)、管理策略、部門設(shè)置和部門在業(yè)務(wù)運行中的作用、崗位職責、系統(tǒng)管理、使用、運維的責任部門確定業(yè)務(wù)流、數(shù)據(jù)流。＞明確系統(tǒng)定級依據(jù)業(yè)務(wù)流所產(chǎn)生信息明確最高密級。＞確定系統(tǒng)保護級別根據(jù)本單位信息的最高密級，依據(jù)BMB-17確定系統(tǒng)的保護等級。并整理定級資料上報保密部門審批1.2.2方案設(shè)計＞選擇建設(shè)方選擇具備國家涉密資質(zhì)的建設(shè)方設(shè)計信息系統(tǒng)安全保障體系。＞系統(tǒng)風險評估在體系規(guī)劃前根據(jù)方案設(shè)計要素制定詳細調(diào)研、評估實施計劃，識別用戶系統(tǒng)存在的脆弱性、風險。＞確定保護要求根據(jù)可識別風險結(jié)合客戶實際需求，確定最終保護要求。＞規(guī)劃設(shè)計方案結(jié)合風險評估數(shù)據(jù)和客戶保護需求，并依據(jù)分級保護方案設(shè)計指南(BMB-23)規(guī)劃設(shè)計信息系統(tǒng)安全保障體系。＞設(shè)計方案論證上報信息系統(tǒng)安全保障體系詳細設(shè)計方案到保密部門，并組織評審專家做一次論證。1.2.3工程實施＞制定保密制度項目實施前根據(jù)工程具體情況制定涉密管理制度，嚴格對人員、設(shè)備、計劃實行保密控制。＞選擇項目監(jiān)理項目實施前選擇具有單項監(jiān)理資質(zhì)的單位對工程保密、質(zhì)量、進度、成本進行控制。＞選擇產(chǎn)品集成項目實施中產(chǎn)品集成方應(yīng)具有涉密資質(zhì)，所有選購的安全產(chǎn)品應(yīng)符合保密要求。1.2.4系統(tǒng)測評＞提交保密測評申請工程實施結(jié)束后向保密部門提出系統(tǒng)測評申請，由國家保密部門授權(quán)的系統(tǒng)測評機構(gòu)組織對涉密信息系統(tǒng)進行安全性測評，為一次測評為系統(tǒng)最終審批提供依據(jù)。＞提交系統(tǒng)測評資料根據(jù)國家保密部門授權(quán)的系統(tǒng)測評機構(gòu)要求提供所有測評必要的資料。1.2.5系統(tǒng)審批＞提交運行前審批申請涉密信息系統(tǒng)在上線運行前需要向保密部門提出系統(tǒng)運行審批申請，并組織最終審批結(jié)論專家做論證。＞提交系統(tǒng)審批資料根據(jù)國家保密部門所屬審批單位范圍向授權(quán)的系統(tǒng)測評機構(gòu)要求提供所有審批必要的資料。1.2.6日常管理＞制定安全保密管理制度涉密信息系統(tǒng)上線運行后，根據(jù)分級保護管理規(guī)范制定管理策略、組建管理機構(gòu)，設(shè)置專職保密管理人員并監(jiān)督制定的執(zhí)行。＞定期風險自查涉密信息系統(tǒng)上線運行后，根據(jù)使用單位具體情況進行定期或不定期風險自評估工作，及時對系統(tǒng)運行、技術(shù)、管理新出現(xiàn)的安全威脅制定安全策略與補充措施，并嚴格管理評估數(shù)據(jù)。＞動態(tài)調(diào)整安全防護技術(shù)涉密信息系統(tǒng)上線運行后，根據(jù)使用單位系統(tǒng)更新情況與風險自評估數(shù)據(jù)及時發(fā)現(xiàn)存在的風險，并動態(tài)調(diào)整安全策略適時補充完善技術(shù)、管理的措施。1.2.7測評與檢查＞涉密信息系統(tǒng)保密測評與檢査涉密信息系統(tǒng)上線運行后，根據(jù)國家保密部門要求秘密、機密級信息系統(tǒng)每兩年進行一次安全保密檢查，絕密級信息系統(tǒng)每一年進行一次安全保密檢查。信息系統(tǒng)環(huán)境或應(yīng)用發(fā)生重大改變時，重新上報設(shè)計方案進行論證，并重新保密測評，檢測系統(tǒng)的安全保密措施的有效性和環(huán)境變化的適應(yīng)性，發(fā)現(xiàn)隱患及時采取相應(yīng)的補充保護措施。1.2.8系統(tǒng)廢止＞提交系統(tǒng)廢止備案申請涉密信息系統(tǒng)不再使用時，使用單位向保密工作部門提交系統(tǒng)廢止申請備案。＞退密處理設(shè)備、產(chǎn)品依據(jù)保密規(guī)定對涉密設(shè)備、產(chǎn)品妥善退密處理。＞銷毀涉密介質(zhì)對報廢處理的涉密介質(zhì)采用保密局統(tǒng)一規(guī)定使用的銷毀軟件工具，確保泄密事件不發(fā)生。1?3分級保護各相關(guān)方的職責劃分分級保護實施工程所涉及的主管部門與協(xié)作單位

協(xié)調(diào)單位實施內(nèi)容系統(tǒng)所有方國家保密局系統(tǒng)建設(shè)方產(chǎn)品集成方施工監(jiān)理方評審專家組授權(quán)測評單位結(jié)論專家組系統(tǒng)定級詳細系統(tǒng)識別★V明確處理信息的最咼密級★V確定系統(tǒng)的保護等級★V上報審核批準★V系統(tǒng)保護級別變更★VV方案設(shè)計選擇有涉密資質(zhì)的建設(shè)方★對密級系統(tǒng)風險評估V★確定最終保護要求V★規(guī)劃設(shè)計、.1>>萬案V★上報審查論證★V工程實施制定實施保密控制制度★V選擇有涉密資質(zhì)的監(jiān)理方★選擇有涉密資質(zhì)的產(chǎn)品集成方★系統(tǒng)測評提交安全保密測評申請★V提交系統(tǒng)測評資料★V系統(tǒng)提交運行★V

協(xié)調(diào)單位實施內(nèi)容系統(tǒng)所有方國家保密局系統(tǒng)建設(shè)方產(chǎn)品集成方施工監(jiān)理方評審專家組授權(quán)測評單位結(jié)論專家組審批前審批申請?zhí)峤幌到y(tǒng)審批資料★V日常管理制定安全保密管理制度★V組建安全保密機構(gòu)★設(shè)置安全保密專員★定期進行風險自查★嚴格管理定密評估數(shù)據(jù)★動態(tài)調(diào)整安全防護技術(shù)★V測評與檢查每2年進行秘密、機密級系統(tǒng)保密檢查★V每1年進行絕密級系統(tǒng)保密檢查★V定期進行系統(tǒng)安全保密測評V★嚴格管理測評、檢查數(shù)據(jù)★系統(tǒng)廢止提交系統(tǒng)廢止備案申請★退密處理設(shè)備、產(chǎn)品★V銷毀處理涉密介質(zhì)★V

說明：★代表主要協(xié)調(diào)單位、部門，"代表輔助協(xié)調(diào)單位、部門。1.4用戶分級保護的實施要求管理要求內(nèi)容系統(tǒng)定級涉密信息系統(tǒng)建設(shè)使用單位應(yīng)根據(jù)系統(tǒng)所處理信息的最高密級，確定系統(tǒng)的保護等級，并將系統(tǒng)定級情況書面報本單位保密工作機構(gòu)或當?shù)乇Ｃ芄ぷ鞑块T審批批準。對于包含多個安全域的信息系統(tǒng)，各安全域可以分別確定保護等級。涉密信息系統(tǒng)處理信息的密級和應(yīng)用情況發(fā)生變化時，建設(shè)使用單位應(yīng)重新確定系統(tǒng)保護等級，并按相應(yīng)等級要求調(diào)整保護措施。方案設(shè)計選擇具有相應(yīng)涉密資質(zhì)的承建單位承擔活參與涉密信息系統(tǒng)的方案設(shè)計與實施。工程實施與監(jiān)理在工程實施期間，涉密信息系統(tǒng)建設(shè)使用單位應(yīng)按照BMB17-2006的要求進行工程監(jiān)理。在進行工程監(jiān)理是，應(yīng)選擇具有涉密工程監(jiān)理單項資質(zhì)的單位或組織自身力量在安全保密控制、質(zhì)量控制、進度控制、成本控制、合冋管理和文檔管理留個方面加強監(jiān)督檢查定期的風險自評估涉密信息系統(tǒng)經(jīng)過審批投入運行后，建設(shè)使用單位應(yīng)定期進行風險自評估，分析由于系統(tǒng)需求及技術(shù)與管理因素變化而新出現(xiàn)的安全威脅，動態(tài)調(diào)整安全朿略，適時補充和兀善技術(shù)與官理措施，以使系統(tǒng)保持與等級要求相一致的防護水平。1.5主管部門的管理手段管理要求內(nèi)容定級審批與備案管理系統(tǒng)定級情況書面報本單位保密工作機構(gòu)或當?shù)乇Ｃ芄ぷ鞑块T審批批準。國家保密工作部門負責受理備案并進行備案管理。分級保護方案申批涉密信息系統(tǒng)建設(shè)使用單位應(yīng)對系統(tǒng)設(shè)計方案進行申查論證，保密工作部門應(yīng)當參與方案審查論證，在系統(tǒng)總體安全保密性方面加強指導，嚴格把關(guān)。系統(tǒng)測評涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程施工結(jié)束后，應(yīng)向保密工作部門提出申請，由國家保密工作部門授權(quán)的系統(tǒng)測評機構(gòu)對涉密信息系統(tǒng)進行安全保密測評，系統(tǒng)全面地驗證所采取的安全保密措施能否滿足安全保密需求和安全目標，為涉密信息系統(tǒng)審批提供依據(jù)。系統(tǒng)審批國家對涉密信息系統(tǒng)拖入運行實行行政審批制度。涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)按照涉密信息系統(tǒng)申批管理辦法的規(guī)定進行審批，通過審批后方可投入使用。未經(jīng)保密工作部門的審批，涉密信息系統(tǒng)不得投入使用。-國家保密局：負責審批中央和國家機關(guān)各部委及其所屬單位、國

防武器裝備科研生產(chǎn)一級保密資格單位的涉密信息系統(tǒng)；-?。ㄗ灾螀^(qū)、直轄市）保密局：負責審批省及機關(guān)及其所屬單位、國防武器科研生產(chǎn)二、三級保密資格單位的涉密信息系統(tǒng)；-市（地）級保密局：負責審批市（地）直機關(guān)及其所屬單位、縣直機關(guān)所屬單位的涉密信息系統(tǒng)。測評與檢查系統(tǒng)投入運行后，秘密級、機密級信息系統(tǒng)應(yīng)每兩年至少進行一次安全保密測評或保密檢查；絕密級信息系統(tǒng)應(yīng)每年至少進行一次安全保密測評或保密檢查。涉密信息系統(tǒng)投入運行后的安全保密測評，由負責該系統(tǒng)審批的保密工作部門組織系統(tǒng)評測機構(gòu)進行系統(tǒng)廢止備案涉密信息系統(tǒng)不再使用時，其建設(shè)使用單位應(yīng)向負責該系統(tǒng)審批的保密工作部門備案，并按照有關(guān)保密規(guī)定妥善處理涉及國家秘密信息的設(shè)備、產(chǎn)品、介質(zhì)和文檔資料。1?6分級保護對廠商和產(chǎn)品的資質(zhì)管理管理內(nèi)容資質(zhì)類型內(nèi)容涉密信息系統(tǒng)集成資質(zhì)甲級資質(zhì)甲級資質(zhì)單位可在全國范圍內(nèi)承接涉密信息系統(tǒng)的規(guī)劃、設(shè)計和實施業(yè)務(wù)，并僅可承擔本單位承建的涉密信息系統(tǒng)的系統(tǒng)服務(wù)和系統(tǒng)咨詢工作，不得從事其它單項資質(zhì)業(yè)務(wù)。乙級資質(zhì)乙級資質(zhì)單位可在所限定的行政區(qū)域內(nèi)承接涉密信息系統(tǒng)的規(guī)劃、設(shè)計和實施業(yè)務(wù)，并僅可承擔本單位承接的涉密信息系統(tǒng)的系統(tǒng)服務(wù)和系統(tǒng)咨詢工作，不得從事其它單項資質(zhì)業(yè)務(wù)。軍工系統(tǒng)集成單項資質(zhì)軍工系統(tǒng)集成單項資質(zhì)單位只能在所屬軍工集團內(nèi)承接涉密信息系統(tǒng)集成業(yè)務(wù)；單項資質(zhì)：包括涉密信息系統(tǒng)的軟件開發(fā)、綜合布線、系統(tǒng)服務(wù)、系統(tǒng)咨詢、風險評估、屏蔽室建設(shè)、工程監(jiān)理、數(shù)據(jù)恢復和保密安防監(jiān)控等單項業(yè)務(wù)。單項資質(zhì)單位可在全國范圍內(nèi)承接所規(guī)定的單項業(yè)務(wù)。取得某一單項資質(zhì)的單位如需從事其它單項業(yè)務(wù)，必須申請相應(yīng)的單項資質(zhì)。涉密信息系統(tǒng)風險評估資質(zhì)涉密信息系統(tǒng)風