检察机关信息系统中分级保护的问题
XXXXX院涉密网络分级保护实施方案
XXXXX院涉密网络分级保护实施方案涉密信息系统分级保护项目实施方案XXX2014年12月一、概述1.1 项目背景随着信息技术的快速发展,人类进入了全球化和网络化的新时代。
信息化和数字化已经改变了人们的生活和生产方式,深刻地影响着国际政治经济关系,有力地推动了世界经济贸易的发展。
然而,随着我国国民经济和社会化信息化建设的全面加快,网络信息系统的安全保密性保障问题得到了各级领导和有关部门的重视。
党中央和国务院高度重视加强检察机关的信息化建设。
近年来,国家有关部门也按照中央指示精神,采取多种措施支持检察机关的信息化建设。
根据国家信息安全分级保护的总体部署,高检院下发了《关于开展检察机关涉密信息系统分级保护工作的通知》(高检发办【2008】30号)及相关文件规定,明确指出全国各级检察机关连接检察专线网的信息系统(包括各级检察院分支网络信息系统,下同)均为涉密信息系统。
要求各级检察院必须按照分级保护管理办法、标准和规划,对涉密信息系统根据处理信息的最高密级(密级、机密及绝密)划分等级实施保护。
各级保密行政管理部门将根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
XXXXXX是国家的法律监督机关。
为了贯彻落实高检院及国家保密局有关文件精神,XXXXXX将按照分级保护管理办法、标准和规划的要求,对本院涉密信息系统进行建设,加强安全防护,保护涉密信息的安全。
1.2 建设范围本次XXXXXX涉密信息系统分级保护项目建设范围为XXXXX综合大楼(共7层)。
1.3 建设目标XXXXXX涉密信息系统分级保护建设的总体目标是:严格按照国家相关安全保密标准和法规,将XXXXXX涉密信息系统建设成符合国家相关法规和标准要求的涉密信息系统。
使XXXXXXX涉密信息系统具备安全防护能力、隐患发现能力、应急反应能力和审计追踪能力等,保证XXXXX涉密信息系统中涉密信息的保密性、完整性、可用性和可控性等。
确保XXXXX涉密信息系统符合BMB17-2006和BMB20-2007等的要求,使之能够处理相对应密级的信息,为单位日常政务处理和与市院传递政务信息提供安全可靠的信息化基础平台。
西城检察院涉密信息系统分级保护设计方案
西城检察院涉密信息系统分级保护设计方案
通过专家评审
2009年9月10日,北京市西城区人民检察院组织召开了《北京市西城区人民检察院涉密信息系统分级保护方案》的评审会,评审小组由国家保密局、区保密局、高检保密办等单位的五位专家组成。
我院主管副检察长杨淑雅,办公室、技术处、行装处的相关人员参加了此次评审会。
评审会上,专家认真听取了我院的方案汇报,并就有关细节问题进行了质询。
经过评议,专家组认为:该方案遵照国家相关安全保密标准,结合西城区检察院安全保密的实际需求,在安全保密风险分析和评估的基础上,从物理安全、运行安全、信息安全保密和安全保密管理等方面进行了方案设计。
该方案能够满足西城区检察院的实际需求,基本符合国家相关安全保密标准。
专家组同意该方案通过评审。
同时,评审组专家也提出一些改进意见,如:“建议细化系统现有的涉密笔记本电脑及移动存储介质的使用的基本情况,并明确涉密系统数据导入及导出的安全保密管理措施。
”
会上,专家组还认真解答我院分级保护工作中的一些具体问题,并就今后方案实施、系统使用时应注意的问题,提出了意见和建议。
通过此次评审会使我们对分级保护工作有了更清楚的理解和认识,我们将进一步完善分级保护工作的组织架构,合理配置有关人员,明确安全人员责任、细化管理制度,为分级保护方案的实施做好充分的准备。
《信息系统安全等级保护基本要求》二级三级等级保护要求比较
《信息系统安全等级保护基本要求》二级三级等级保护要求比较信息系统安全等级保护是指根据信息系统的安全风险等级,对信息系统进行分级管理,制定相应的安全保护要求和技术措施。
我将对二级和三级等级保护要求进行比较。
一、安全管理要求1.1二级等级保护要求:有完善的信息系统安全管理规章制度,明确的安全运维责任,健全的安全组织机构和安全管理人员。
实施定期的安全教育培训,对安全事件、漏洞、威胁进行分析和处理。
建立安全审计体系,对安全事件进行追踪和溯源。
1.2三级等级保护要求:在二级的基础上,要求建立风险管理体系,对信息系统的风险进行评估和控制。
建立信息安全委员会或安全管理领导小组,参与信息系统的安全决策和规划。
实施日志和审计记录的收集和分析,监测安全事件并及时响应。
二、物理安全要求2.1二级等级保护要求:要求建立信息系统的物理安全管理责任制,对关键设备和场所进行安全防护和监控。
设立访问控制措施,限制物理访问权限。
对物理环境进行监控和巡视,防止未经授权的人员进入设备和设施。
2.2三级等级保护要求:在二级的基础上,要求建立设备和设施的防护体系,确保信息系统的可靠性和连续性。
加强对场所、机房、环境等的安全控制,加强监控和预警能力,及时发现并应对风险事件。
三、网络安全要求3.1二级等级保护要求:要求建立网络安全管理机构和网络安全责任制,健全网络边界防护机制。
采取合理的网络隔离措施,确保内外网之间的安全通信。
建立访问控制机制,限制外部访问权限。
定期检查和维护网络设备和系统,防止网络攻击。
3.2三级等级保护要求:在二级的基础上,要求提高网络安全防护能力,完善网络入侵检测和防御系统。
建立网络安全事件管理和响应机制,加强对入侵和攻击的监测和处置。
加强对网络设备和系统的安全管理,规范网络配置和管理。
四、数据安全要求4.1二级等级保护要求:要求建立数据安全管理制度和数据分类管理机制,确保敏感数据的保护和隐私的保密。
采取加密和安全传输措施,保护数据的完整性和可用性。
检察机关信息系统分级保护工作研究
检察机关信息系统分级保护工作研究天极网信息化频道2013-08-12 17:36分享到:我要吐槽中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。
自2005年起,国家保密局组织制定并颁布实施了一系列关于涉密信息系统分级保护的法规与标准。
2007年9月7日,国家保密局召开了全国涉密信息系统分级保护工作会议,推广了试点工作经验,部署了分级保护工作。
自此,涉密信息系统分级保护工作已进入了全面推进阶段。
检察机关作为国家法律监督机关,是国家保密局确定的高涉密单位,检察专网因而成为全国检察机关当前唯一的涉密网络。
随着检察信息化建设快速推进,检察机关各类信息包括涉及国家秘密的信息越来越多的以电子数据形式出现在检察专网上,大量涉密信息材料都将在检察专网上运行,因此检察专网分级保护工作已成为当前刻不容缓的工作任务。
一、涉密信息系统分级保护工作概况1、涉密信息系统分级保护的含义涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
2、涉密信息系统分级保护管理原则涉密信息系统分级保护管理原则为:规范定密,准确定级;依据标准,同步建设;突出重点,确保核心;明确责任,加强监督。
3、涉密信息系统的等级划分涉密信息系统安全分级保护根据涉密信息系统处理信息的最高密级,由低到高可以划分为秘密、机密和绝密三个等级。
秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。
绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
信息系统安全等级保护三级
信息系统安全等级保护三级信息系统安全等级保护是指根据信息系统的重要性和安全性要求,对信息系统进行分级保护,以保障信息系统的安全运行。
信息系统安全等级保护分为一级、二级、三级,其中三级保护是最高级别的保护要求。
本文将对信息系统安全等级保护三级进行详细介绍,以帮助相关人员更好地了解和应用这一安全标准。
首先,信息系统安全等级保护三级要求对信息系统进行全面的保护,包括物理安全、网络安全、数据安全等多个方面。
在物理安全方面,要求建立严格的门禁系统、监控系统和安全防护设施,确保未经授权的人员无法接触到信息系统。
在网络安全方面,要求建立健全的防火墙、入侵检测系统和安全审计系统,保障信息系统不受网络攻击的威胁。
在数据安全方面,要求建立完善的数据加密、备份和恢复机制,确保数据不会丢失或泄露。
其次,信息系统安全等级保护三级要求对信息系统的运行进行严格的监控和管理。
要求建立健全的安全管理制度和安全管理流程,明确各类安全事件的处理流程和责任人,确保安全事件能够及时有效地得到处理。
同时,要求建立健全的安全监控系统,对信息系统的运行状态、安全事件等进行实时监控,及时发现并处理安全风险和安全事件。
再次,信息系统安全等级保护三级要求对信息系统进行定期的安全评估和测试。
要求建立健全的安全评估和测试机制,定期对信息系统进行安全评估和测试,发现安全隐患并及时进行整改。
同时,要求建立健全的安全漏洞管理机制,对已知的安全漏洞进行及时的修复和更新,确保信息系统的安全性能始终处于最佳状态。
最后,信息系统安全等级保护三级要求对信息系统的安全管理人员进行专业的培训和考核。
要求建立健全的安全管理人员培训机制,对安全管理人员进行专业的安全知识培训和技能培训,提高其安全意识和应急处置能力。
同时,要求建立健全的安全管理人员考核机制,对安全管理人员进行定期的安全知识考核和技能考核,确保其具备足够的能力和素质来保障信息系统的安全运行。
综上所述,信息系统安全等级保护三级是对信息系统安全的最高要求,要求对信息系统进行全面的保护、严格的监控和管理、定期的评估和测试,以及对安全管理人员的专业培训和考核。
检察信息系统中的涉密信息分级保护问题和对策
保密要求仍存在较大 差距 ,制约着检 察 机关 信息化应用的进 一步推进 ,严重 阻
碍 了检察机关信 息化的发展 。 目前,多数检察院都在组织推进各 类 办公 和办案等应用 ,有 的甚至数年前 就 已完成各项准 备工作 ,但 至今没有取 得 实质性 的成效 ,主要原 因就在于信息 安 全建设严重滞后。信息安 全建设的首
统分级保护实施 方案 》是 最高人 民检察 院 机关 分级保 护工 作的具体 实施 方 案, 是 在对 最 高人 民检 察 院机 关 信息 系统
定 级 、 分析 的基 础 上 ,结 合 现 有 的 安 全
信息 系统 总体方 案的部署,在对现状分 析 、风险分析和需求分析 的基 础上,正 确 选 择 相应 的 防护 措施 ,制定 具体 实 施 方案 ,在 方案设计 中,既要考虑确保 安全 ,又要考虑尽可能节约经费。降低 成本 ,做到科学实用。
信息系统分级保 护的实施 ,必 须加强对 涉密信息系统分级保护 的培 训T作 ,加 强 日常工作 中的涉密安 全教育。最 高人
民 检 察 院 和 各 省 级 人 民 检 察 院 举 力、 了相
涉密信息 系统分级保护工程的实施
必 须由具有涉密信息系统集成资质的单
位 严 格 按 照其 资质 种类 和业 务范 围 进 行 .
和相关规范 .对检 察机关涉密信息 系统 进行分级保护,加强措施 ,坚持一手抓
中图分类 号 : P9. 文献标识码 : T 33 8 0 A
信息化建设 , 一手抓信息安 全保密工作,
0引言
随 着 全 球 信息 技 术 的快 速 发 展 ,信
浅谈如何做好基层检察机关涉密信息系统的安全保密工作
浅谈如何做好基层检察机关涉密信息系统的安全保密工作作者:孙萌萌来源:《城市建设理论研究》2013年第32期【摘要】随着科学技术的快速发展,基层检察机关的检察信息化工作也得到了广泛开展,如何做好基层检察机关涉密信息系统的安全保密工作已成为检察工作面临的重要课题。
本文从做好检察机关涉密信息系统安全保密工作的重要性入手,简要分析了目前检察机关涉密信息系统存在的各类问题,并相应提出了一些对策作为探讨。
【关键词】基层检察机关涉密信息系统安全保密中图分类号:TU714文献标识码: A近年来随着“科技强检”步伐的不断加快, 检察机关的信息化建设工作也取得了长足进展。
办公自动化系统得到了广泛的应用,网上办公、办案系统也得到逐步推进,成为检察工作高效办公的新助力。
在实际工作中,各类信息系统给我们提供了便利,提高了办公、办案的效率,然而随着检察信息化的不断深入,信息系统中流转存储的信息被非法获取、破坏的风险也在不断增加,窃密手段的隐蔽性更强,传统的保密工作方法已无法满足涉密信息系统保密管理工作的需要。
因此,如何做好新形势下检察机关涉密信息系统的安全保密工作成为现实工作中的一项重要课题。
一、做好基层检察机关涉密信息系统安全保密工作的重要性检察机关是国家的法律监督机关,人民检察院通过行使检察权来打击犯罪,维护国家安全,保障公民的各项权利和财产,它在保障我国社会有序发展过程中具有重要作用。
当前,随着检察机关网上办公、办案工作的不断深入,绝大多数案件都将在检察内网中流转、办理,一旦这些涉密案件信息被非法获取或者破坏,极有可能会给国家、个人带来难以挽回的损失。
同时,检察干警对计算机、网络等信息系统的依赖性不断增强,也对涉密信息系统的安全性和稳定性提出了更高的要求。
当下,涉密信息的存储介质和传输方式都与以往截然不同,信息技术的快速发展和外部威胁不断加大,传统的保密工作方法已经无法达到涉密信息安全保密工作的要求。
提高对涉密信息系统安全保密工作的认识,引入信息系统安全保密技术手段刻不容缓。
涉密信息系统分级保护的几个问题
关于涉密信息系统分级保护的几个问题2003年9月7日,中共中央办公厅、国务院办公厅转发了国家信息化领导小组关于加强国家信息安全保障工作的意见,其中明确提出了开展信息安全等级保护的任务,并指出涉及国家秘密的信息系统以下简称涉密信息系统要按照党和国家的有关保密规定进行保护;在已经开展的分级保护的具体工作中,有几个问题需要引起重视;一、分级保护与等级保护的关系2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了关于信息安全等级保护工作的实施意见,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划;2006年1月17日,四部门又下发了信息安全等级保护管理办法试行,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责负责的管理职责和要求;其中明确规定:涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护;为贯彻落实两办文件精神,中央保密委员会于2004年12月23日下发了关于加强信息安全保障工作中保密管理若干意见明确提出要建立健全涉密信息系统分级保护制度;2005年12月28日,国家保密局下发了涉及国家秘密的信息系统分级保护管理办法,颁布了国家保密标准涉及国家秘密的信息系统分级保护技术要求;目前,正在制订并将颁布两个国家保密标准:涉及国家秘密的信息系统分级保护管理规范和涉及国家秘密的信息系统分级保护测平指南;2007年将制订其他标准,进一步完善标准体系;我国信息安全等级保护与涉密信息系统分级保护关系等级保护分级保护保护对象不同非涉密信息系统涉密信息系统管理体系不同公安机关国家保密工作部门标准体系不同国家标准GB、GB/T 国家保密标准BMB,强制执行级别划分不同第一级:自主保护级第二级:指导保护级第三级:监督保护级秘密级第四级:强制保护级机密级第五级:专控保护级绝密级涉密信息系统分级保护与信息安全等级保护制度相衔接,三个等级的防护水平不低于国家等级保护的第三、四、五级要求二、关于涉密信息系统分级保护概况1、涉密信息系统分级保护的含义涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全;2、涉密信息系统分级保护管理原则规范定密,准确定级;依据标准,同步建设;突出重点,确保核心;明确责任,加强监督;3、涉密信息系统分级保护的管理职责国家保密局负责全国涉密信息系统分级保护工作的指导、监督和检查;地方各级保密局负责本行政区域涉密信息系统分级保护工作的指导、监督和检查;中央和国家机关负责本部门和本系统内涉密信息系统分级保护工作的主管和指导;建设使用单位负责本单位涉密信息系统分级保护工作的具体实施;4、涉密信息系统的等级划分涉密信息系统按照处理信息的最高密级确定,由低到高划分为秘密、机密和绝密三个等级;绝密级信息系统应限定在封闭、安全可控的独立建筑群内;集中处理工作秘密的信息系统,可参照秘密级信息系统的有关要求进行保护;5、涉密信息系统分级保护的实施步骤1规范信息定密;2确定系统等级;3方案设计与审核;4落实保护措施;5系统测评;6系统审批;7安全保密评估与保密监督检查;6、涉密信息系统的监管1必须选择具有相应涉密资质的单位承担或参与涉密信息系统的方案设计与实施;2保密工作部门参加方案审查论证;3国家保密局授权的系统测评机构进行安全保密测评;4经保密工作部门审批后,系统方可投入使用;5保密工作部门定期进行保密检查或系统测评:秘密级和机密级信息系统,每两年至少一次;绝密级信息系统,每年至少一次;三、关于涉密信息系统分级保护管理规范根据“技管并重”的指导思想,一个不同等级的信息系统既要采取不同强度的技术保护措施,还要采取不同的管理强度,才能保障这个信息系统的安全,因此需制订国家保密标准——涉密信息系统分级保护管理规范,它是以国家保密局涉密信息系统分级保护管理办法作为指导,以涉密信息系统保密技术要求中安全保密管理部分作为基础,结合ISO/ICE;TR13335信息技术、IT安全管理指南与涉密信息系统的管理实践确定管理过程,结合ISO/IEE17799信息技术、信息安全管理实用规则与分级要求确定管理内容;在涉密信息系统的生命周期中应把握好八个基本环节:1、系统定级明确系统所处理信息的最高密级,确定系统保护等级;2、方案设计组织自身的技术力量或委托资质单位进行设计前的风险评估,确定系统风险;选择具有涉密资质的集成单位依据相关国家保密标准进行方案设计,并应通过专家论证,负责系统审批的保密工作部门应参加论证;3、工程实施组建工程监理机构,细化管理制度,对工程实施进行监督,或者选择具有涉密资质的工程监理单位进行监理;4、系统测评系统工程实施完毕后,建设使用单位向保密工作部门申请进行系统测评,国家保密局涉密信息系统安全保密测评中心及分中心负责进行系统测评;5、系统审批涉密信息系统在投入运行后前,应经过地以上保密工作部门根据系统测评结果进行的审批;6、日常管理日常管理包括基本管理要求,人员管理、物理环境与设施管理、信息保密管理等;7、测评与检查涉密信息系统投入运行后还应定期进行安全保密测评和检查;8、系统废止废止涉密信息系统应向相关保密工作部门备案,并按照有关保密规定妥善处理涉及国家秘密信息的设备、产品和资料;涉密信息系统分级保护的核心思想是“实事求是”与“具体问题具体分析”,既防止欠保护,也防止过保护,以确保国家秘密安全为原则;我国的涉密信息系统分级保护已经进入了建立制度、完善体系的阶段,但还有很长的路要走;由于存在信息系统所涉及技术、管理的复杂性、系统保护评价和不确定性以及安全防护与攻击技术存在的非对称性等因素,我们还有许多问题要研究、要探索,但只要我们坚持科学发展观,勇于实践,就会走出一条适合我国国情的道路;杜虹。
论检察信息化的信息安全等级保护实施
访 问域 可 以有 多种 类型 ,包 括 :开发 区 ,测试 区 ,数据 共 享区 ,数据 交换 区 ,第三 方维护 管理 区 ,VP N接 入 区等 ; 局 域网的 内部核 心处理域包括 :数据库 ,安全控制 管理 ,后
台维护 区 ( 管工 作 区 )等 ,核 心处理 域应 具 有隔 离设 备 网
击破坏后造成的危害程度 等安全需求 以及安全成本等因素 , 依 据 国家规定的等级划分标 准 , 从实际出发 , 综合平衡安全成本 和风险 , 设定其保护等级 , 自主进行信息 系统安 全建设和安全 管理 , 优化信息安全资源的配置 , 确保重点 , 高安全保护 的 提
科学性 、整体性 、实用性 。
国家保密局、 国家密码管理委员会办公室 、 国务院信息化工作 办公室联合下发了《 关于信息安全等级保护工作的实施意见》 ,
将信息和信息系统的安全保护 等级 划分 为五级 ,即:第一级 : 自主保护级 ;第二级 :指导保护 级;第三级 :监督保 护级 ;第 四级 :强制保护级 ;第五级 :专控 保护级 。
检察机关信息安全等级保护 实施 的目标就是要按照国家信 息化安全管理的要求 , 针对信息化发展的不 同阶段 , 根据信息
系统承载业务的重要程度 、 信息 内容 的重要程度 、 系统遭 到攻
对 该 区域进 行 安全 隔离 ,如防 火墙 ,路 由器 ,交 换机 等 。 )
安全 用户域 :根据业 务系统的访 问用户分类进行安全 用 户域 的划分 ,访 问同类数据 的用户终端 、需要进行相 同级 别
统 中发生的信息安全事件按等级响应 、 处置 。 04 , 2 0 年 公安部 、
安全 计算域 :根据业 务系统的业 务功能实现机 制 、保护 等级程度进行 安全计算域 的划分 ,一般分 为核 心处理域和访 问域 ,其 中数 据库服 务器等 后台处理 设备 归入核 心处理域 ,
信息系统安全等级保护的定级准则和等级划分
信息系统安全等级保护的定级准则和等级划分
定级准则:
坚持自主定级、自主保护的原则。
应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益(受侵害客体)的危害程度等因素确定。
等级划分
第一级(自主保护级)
信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级(指导保护级)
信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级(监督保护级)
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级(强制保护级)
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级(专控保护级)
信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全等级保护的定级准则和等级划分。
涉密信息系统分级保护工作应明确的几个问题
涉密信息系统分级保护工作应明确的几个问题涉密信息系统分级保护工作应明确的几个问题当前,一些单位在计算机信息系统定级、涉密信息系统分级分域及实施、分级保护方案制定等方面还存在一些模糊认识,现就有关问题进行解答。
一、计算机网络应如何“定级”?在确定计算机网络防护级别时,首先应明确该网络属于非涉密网还是涉密网。
网络是否涉密不仅仅要看本单位网络是否处理、存储、传输涉密信息,还要看与该网络相连接的其它网络(如上级、横向及下级网络)是否是涉密网。
如果直接处理、存储、传输涉密信息或与其相连接的是涉密网,该网络就应按照涉密信息系统分级保护秘密、机密、绝密的要求进行定级,否则应按照信息系统安全等级保护1至5级的要求定级。
二、在分级保护中如何“分级”?按照涉密网运行信息的最高密级确定系统的防护级别后,应根据该涉密网中不同部门、岗位涉密信息运行情况进行分析归类,将同一密级的划为同一安全域,对同一密级又不可或不便于划为同一安全域的,可分别设为不同的安全域并按相应密级保护要求进行保护。
一个涉密网络可以设置不同密级甚至是非涉密的安全域,以在确保涉密信息安全的前提下降低整个系统的建设及管理成本。
三、分级保护方案如何设计?涉密网保护级别确定后,应该按照《涉密信息系统分级保护技术要求》(BMB-17)、《涉密信息系统分级保护管理规范》(BMB-20)应保护级别的要求,参照《涉密信息系统方案设计指南》(BMZ-2)的程序,结合网络的实际需求进行设计。
四、常用的安全域划分方法有哪些?常用的分域方法以下四种有:1、采用防火墙隔离不同的安全域;2、采用隔离网闸隔离不同的安全域,对防护级别要求较高的网络可采用防火墙与网闸相互配合的方式隔离不同的安全域;3、对防护级别较低的网络可采用VLAN进行安全域与安全域的隔离,VLAN划分必须安全;4、采用一些安全保密设备提供的安全域划分功能进行全域的划分和保护。
信息系统等级保护与风险管理
信息系统等级保护与风险管理信息系统等级保护是根据信息系统的功能需要和价值等级,根据国家有关规定对系统进行等级划分,确定相应的保护措施和控制要求。
其目的是确保信息系统的稳定运行,防止信息泄露、篡改和黑客攻击等各种风险,确保信息资产的安全性和可靠性。
信息系统等级保护通常分为四个等级,即一级、二级、三级和四级。
其中一级是最高级别,适用于对国家安全和重要利益有特殊要求的信息系统。
四级则是最低级别,适用于一般性信息系统。
不同等级的信息系统在安全要求和保护措施方面会有差异,并由专业的机构进行评估和认证。
风险管理是一种有针对性的控制措施,用于预防潜在的风险,减少系统遭受威胁的可能性,并及时应对已发生的风险。
风险管理的过程包括风险识别、风险评估、风险控制和风险监控等环节,其中风险评估是核心环节。
通过对系统的威胁、弱点和潜在风险进行全面分析和评估,可以帮助组织制定有效的保护策略和应对措施。
在信息系统等级保护和风险管理中,关键的一环是建立健全的安全管理体系和安全政策。
只有有系统地进行信息安全管理,确保安全政策得到有效执行,才能真正提高信息系统的安全性,减少潜在风险。
此外,还应加强人员的安全教育和培训,提高员工对信息安全的意识和保护意识,减少人为因素导致的安全问题。
总之,信息系统等级保护与风险管理是保护信息系统安全的重要手段。
通过对信息系统进行等级保护和风险管理,可以有效地预防和应对各种威胁和风险,确保信息的保密性、完整性和可用性。
同时,也需要各个组织和个人共同努力,加强安全意识和管理,形成全民参与的信息安全防护网络。
信息系统等级保护和风险管理是保障信息系统安全的重要手段,其重要性不可忽视。
随着信息技术的飞速发展,信息系统的安全问题日益突出,给个人和组织带来了巨大的风险。
为了更好地应对这些风险,信息系统等级保护和风险管理不断完善和提升,以确保信息系统的稳定运行和数据的安全。
首先,信息系统等级保护是根据信息系统的功能要求和价值等级对系统进行等级划分。
信息系统安全等级保护
信息系统安全等级保护信息系统安全等级保护是指根据国家有关法律法规和标准规范,对信息系统进行分级保护,以确保信息系统的安全性和稳定性。
信息系统安全等级保护是信息安全管理的重要组成部分,对于保护国家安全、维护社会稳定、保障个人隐私具有重要意义。
首先,信息系统安全等级保护需要根据信息系统的重要性和敏感程度进行分级。
根据《信息安全等级保护管理办法》,信息系统可以分为四个等级,一级为特等级,二级为重要等级,三级为一般等级,四级为辅助等级。
不同等级的信息系统在安全保护上有着不同的要求和标准,需要采取相应的安全措施和技术手段进行保护。
其次,信息系统安全等级保护需要建立健全的安全管理制度和安全保护措施。
在信息系统建设和运行过程中,需要根据信息系统的等级,制定相应的安全管理制度,包括安全策略、安全标准、安全控制和安全管理程序等,确保信息系统的安全性和稳定性。
同时,还需要采取各种安全保护措施,包括访问控制、数据加密、安全审计、安全监控等,防范和应对各类安全威胁和风险,保障信息系统的安全运行。
另外,信息系统安全等级保护需要加强安全意识和培训教育。
作为信息系统的管理者和使用者,需要增强安全意识,严格遵守安全规定和制度,不得擅自操作和泄露信息系统中的敏感信息。
同时,还需要加强安全培训教育,提高信息系统安全管理和操作人员的安全技能和意识,增强应对安全事件和风险的能力,确保信息系统的安全等级保护工作得到有效落实。
最后,信息系统安全等级保护需要不断加强安全监测和风险评估。
通过安全监测和风险评估,可以及时发现和识别信息系统中存在的安全隐患和风险,采取相应的安全措施和技术手段加以解决和防范,保障信息系统的安全运行。
同时,还需要建立健全的应急预案和应急响应机制,做好信息系统安全事件的应急处置和恢复工作,最大限度地减少安全事件对信息系统的影响。
综上所述,信息系统安全等级保护是信息安全管理的重要内容,需要建立健全的安全管理制度和安全保护措施,加强安全意识和培训教育,不断加强安全监测和风险评估,确保信息系统的安全性和稳定性。
信息系统分级保护
信息系统分级保护在当今数字化的时代,信息系统已经成为了各个组织和企业运营的核心支撑。
从政府部门的政务处理,到企业的业务管理,再到个人的日常活动,信息系统无处不在。
然而,随着信息系统的广泛应用,信息安全问题也日益凸显。
为了保障信息系统的安全可靠运行,保护国家秘密、商业秘密和个人隐私等重要信息,信息系统分级保护应运而生。
信息系统分级保护,简单来说,就是根据信息系统的重要程度和受到破坏后的危害程度,对其进行等级划分,并采取相应的保护措施。
这种分级保护的理念,就像是给不同价值和重要性的宝贝配上不同等级的保险箱,以确保它们的安全。
为什么要进行信息系统分级保护呢?首先,信息资源对于一个组织或国家来说具有不同的价值和重要性。
有些信息可能关系到国家安全、社会稳定,一旦泄露或遭到破坏,将带来极其严重的后果;而有些信息则相对不那么关键。
通过分级保护,可以将有限的资源集中在最重要的信息系统上,实现资源的优化配置。
其次,不同等级的信息系统面临的威胁和风险也有所不同。
高等级的信息系统往往更容易成为攻击的目标,因此需要更强大的保护措施来抵御威胁。
再者,分级保护有助于明确责任和管理权限。
不同等级的信息系统由相应级别的管理部门和人员负责,能够提高管理的效率和效果。
那么,如何进行信息系统的分级呢?一般来说,信息系统的分级主要考虑以下几个方面的因素:信息系统所处理信息的重要程度、信息系统所服务的对象、信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。
根据这些因素,信息系统通常被分为不同的等级。
例如,我国将信息系统分为五级,从第一级到第五级,等级越高,意味着信息系统越重要,保护要求也越严格。
第一级信息系统一般适用于小型私营企业、个体企业等,其受到破坏后对组织造成的损害较小。
而第五级信息系统则通常用于涉及国家安全、国防建设等极其重要的领域,其受到破坏后可能对国家造成严重的危害。
在确定了信息系统的等级后,接下来就是采取相应的保护措施。
涉密信息系统分级保护工作的实践对策
涉密信息系统分级保护工作的实践对策摘要:在网络普及社会背景下,落实涉密信息系统分级保护工作,加强对行业内部信息安全维护,成为各个领域信息化主管部门重要工作任务,要求围绕涉密信息系统分级保护,落实涉密系统定级、保护方案设计等实践,从而加强对行业发展以及信息安全维护。
基于此,本文主要围绕涉密信息系统分级保护展开研究,对其实施前提条件进行探讨,并研究相关工作实践,思考落实该项工作开展的关键,以期为相关人员提供参考。
关键词:涉密信息系统;分级保护工作;实践对策前言:伴随着现代化互联网技术发展以及在各个行业中普及应用,行业专网得到快速发展,为保护其正常运转,需要落实对信息网络安全保护工作。
实际工作中应根据相应涉密信息系统分级保护管理规范,进行分等级保护并落实监督管理,以此确保行业内部重要信息得到安全维护。
根据涉密信息重要程度,可将信息分为绝密、机密和秘密三种级别,对于不同级别,通常采用不同安全保护技术、而各项技术手段实施中未充分发挥其作用,需要明确实施前提,然后通过确定涉密等级,以此为依据制定具体涉密保护方案,然后将根据方案将保护工作落实到实践中。
一、涉密信息系统分级保护实施前提涉密信息系统分级保护,是指涉密信息系统建设期间,根据制定的具体标准以及确定的管理办法,对不同等级的涉密信息进行系统性保护。
同时,各级保密部门要求根据信息保密等级,确定对应的管理以及监督措施,以此加强对信息系统安全维护力度,使其在安全环境中稳定运行。
在具体保护工作中,需要从物理、运行、信息以及安全保密等层面展开分析,需要将不同涉密等级的信息系统划分开来,采取针对性保护。
并从管理标准以及技术要求两方面,思考应实施的不同保护措施。
通常而言,在涉密系统保护期间,会涉及到一系列法规政策以及技术标准,为落实信息安全维护工作,要求信息保护人员必须熟练掌握,并以此为依据落实各项监督管理等工作。
然后在保护工作开展期间,及时了解并学习最新相关标准以及法律法规,以新的标准为依据,对保密规定进行调整,并将其落实到实践中,作为分级保护工作开展的前提。
检察机关计算机网络信息安全问题及防护措施
检察机关计算机网络信息安全问题及防护措施发布时间:2022-11-10T05:39:25.860Z 来源:《建筑实践》2022年13期41卷作者:蔡纪伟尚倩马会跃[导读] 随着检察机关信息技术的广泛应用,相应的安全防护措施也需要加强建设蔡纪伟尚倩马会跃石家庄市人民检察院检察信息技术部河北省石家庄 050011摘要:随着检察机关信息技术的广泛应用,相应的安全防护措施也需要加强建设,以确保实现对各种办案数据的收集、分析、决策等方面的信息安全,为干警提供更为可靠的信息技术服务。
在大数据背景下,针对不同涉密等级网络数据的属性差别,采取相应的防范措施,以最大限度地降低网络信息数据失窃的发生。
关键词:检察信息技术;网络信息安全;防护措施引言近年来检察机关加强网络运用和大数据应用,网络安全威胁和风险日益突出,加强预防和及时处置网络安全事件刻不容缓,为了保证网络信息安全,维护国家秘密不被泄露,在日常网络安全工作中应坚持 “积极防御、预防为主、综合防范、注重应急”的工作原则,保证在发生信息安全事故或事件时最大程度地减少危害国家安全损失,并尽快使网络和系统恢复正常,确保网络运行和信息安全。
1.网络信息技术使用过程中出现的安全问题1.1 信息系统管理制度存在缺陷随着信息技术的发展,检察办案变得越来越方便,网络技术在检察机关也越来越普及。
然而,由于部分干警对网络安全隐患的认识不足、重视不够,导致各类违反网络安全操作规程的行为时有发生,造成网络系统运行受到威胁,危及检察信息安全和国家网络安全。
此外,由于缺乏规范、严密的信息系统管理制度,使得网络运行环境面临诸多隐患。
长此以往,会造成更多的制度漏洞,难以对其进行有效的监督,从而难以建立起完备的检察机关信息系统安全防御体系。
1.2 网络信息安全防护建设薄弱由于部分检察机关经费有限,网络信息安全建设方面的投入不足,在购买网络安全设备的预算偏低,尤其对于基层检察院来说,经费更为紧张,所以导致没有配置像补丁分发系统,网络防火墙,数据备份系统等一些基本的网络安全设备。
等级保护二级和三级的防范措施
等级保护二级和三级的防范措施等级保护是信息安全领域中的一个重要概念,它指的是根据信息的重要程度和敏感程度,将信息进行分类,并为不同等级的信息提供相应的保护措施。
在等级保护中,二级和三级信息是相对较高的等级,对这些等级的信息进行有效的防范措施至关重要。
下面将介绍一些保护二级和三级信息的常见措施。
1. 访问控制:访问控制是信息安全的基础,对于保护二级和三级信息尤为重要。
通过建立访问控制策略,限制只有授权人员能够访问这些信息,可以有效地防止未经授权的访问和泄露风险。
访问控制可以通过身份验证、权限管理和审计等手段来实现。
2. 加密技术:加密是信息安全的重要手段之一,可以保护信息在传输和存储过程中的安全性。
对于二级和三级信息,采用强大的加密算法对其进行加密处理,可以有效地防止信息被非法窃取和篡改。
常见的加密技术包括对称加密和非对称加密等。
3. 安全审计:安全审计是对系统和网络进行监控和检查的过程,可以及时发现和防范安全威胁。
对于保护二级和三级信息,建立完善的安全审计机制是必不可少的。
通过记录和分析系统日志、网络流量和用户行为等信息,可以及时识别和应对潜在的安全风险。
4. 强化身份认证:身份认证是判断用户身份的重要手段,对于保护二级和三级信息尤为重要。
传统的用户名和密码认证方式已经不再安全可靠,因此需要采用更加严格和复杂的身份认证方式,如双因素认证、生物特征识别等,以提高身份认证的可靠性和安全性。
5. 数据备份和恢复:对于二级和三级信息,进行定期的数据备份是必要的。
在数据备份过程中,需要采用加密和安全传输等措施,以防止备份数据被非法获取。
同时,建立健全的数据恢复机制,可以在信息遭受损坏或丢失的情况下,及时恢复信息并保证业务的连续性。
6. 物理安全措施:除了网络安全措施外,对于二级和三级信息来说,物理安全也是至关重要的。
建立安全的机房、保密的文件库和安全的存储介质,限制物理访问权限,可以有效地防止信息被盗取和破坏。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
检察机关信息系统中分级保护的问题摘要:检察机关信息安全保护是检察信息化建设的重要组成部分,也是衡量检察机关现代化水平、战斗力强弱的重要标志。
检察机关基于专线网加快信息化建设,提高办案现代化和办公自动化水平,为各项检察工作提供强有力的信息支持。
随着检察信息系统的不断发展,信息安全问题越来越突出.如何时检察信息系统中的涉密信息进行保护成为当今检察信息化进程中需要重点关注的问题。
关键词:检察机关;分级保护;等级保护;信息安全引言随着现代化信息技术的迅猛发展和检察机关信息化进程的加快,通过检察专网处理、存储和传输涉密信息的需求日益增强,作用日益明显。
与此同时,网络失泄密的隐患日益增多,网络安全保密管理难度加大。
完善检察专网安全保密防护措施,建立符合新形势新要求的保密管理长效工作机制,提高保密工作规范化水平,确保全国统一业务应用软件和全省统一办公软件按期使用,为检察工作的科学发展提供强有力的涉密网络支撑成为检察机关迫在眉睫的问题,基层检察机关尤其应该给予高度关注。
一、检察专网分级保护建设的重要意义检察专网分级保护建设是检察信息化建设的一个重要部份,也是涉密网络建设的基础性工作,其核心是保障和管理。
(一)是提高现代化保障能力的重要手段。
近年来,全国检察机关加大信息化投入,检察专网基础建设取得了巨大的成就。
但由于检察专网没有能过分级保护测评,不能处理、传输涉密信息,其使用范围受很大限制。
深入推进分级保护建设,确保各种涉密信息在检察专网上产生、处理、传输和存储,就能“盘活”网络资源,提高网络效用,为检察工作提供坚实的安全保密和信息化保障。
(二)是提高科学管理水平的重要举措。
随着信息化的发展,办公办案形式发生了根本变化,各项工作对电脑终端和信息网络的依赖程度越来越高。
信息网络的建设和应用,必然涉及机关工作的各个方面,通过分级保护建设,可以构建科学、规范的日常管理体系,促进机关管理科学化、规范化。
(三)是提高保密队伍专业化水平的重要平台。
机关的保密管理已经从传统的纸质文件延伸到网络和电子信息的保密管理,知识性、技能性和专业性都显著增强,需要一支具有保密和信息化知识的专业队伍来开展工作。
分级保护构建的保密管理体系,提出了明确具体的管理要求和管理责任,使每位工作人员必须牢固树立保密意识、责任意识和规范意识,能够促进检察机关专业化队伍的建立和形成。
二、分级保护和等级保护国家信息安全等级保护与涉密信息系统分级保护是两个既有联系又有区别的概念。
涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统,而不论它是否涉密。
信息系统等级保护:1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。
2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。
等级保护共分为五级:第一级:用户自主保护级,第二级:系统审计保护级,第三级:安全标记保护级,第四级:结构化保护级,第五级:访问验证保护级。
涉密信息系统分级保护:1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。
中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。
2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。
随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级、绝密级三个等级。
三、检察机关在涉密网络保护中存在的问题近年来,随着科技强检步伐的不断加快,检察机关围绕使用计算机技术所进行的信息化建设得到长足发展,相当数量的检察机关已经初步完成了局域网建设,办公自动化系统也得到了广泛的应用与实践。
检察专网在检察机关中的作用日益体现,但同时,也应客观地认识到检察机关对检察专网的保护力度还处于初级阶段,与检察院所处的地位及检察机关工作的需要还有一定的差距。
(一)干警保密意识淡薄导致保护工作的主动性不强一些干警尤其是基层检察院的干警保密意识淡薄、对涉密网络的认识程度不高、责任心不强,认为保密工作是国家保密局的事情,主要涉及国家军事机密情报,与基层检察院无关,对保密工作重视不够。
一些在检察系统工作多年的干警经历了从专统纸质媒介到网络媒介的过渡,缺乏对高科技状态下窃密手段先进性的认识,对新形势下信息安全的表现形式认识不足,意识淡薄,主要表现为对计算机的使用上缺乏足够重视,表现在没有严格区分开涉密网络和非涉密网络,在涉密网络上随意下载、打印文件、接入U盘或硬盘。
刚进入检察机关不久的年轻干警错误地认为,当今世界是信息化时代,是“互联互通,资源共享”的时代,已经无密可保和无法保密了,何必制定那些繁锁的清规戒律,因而我行我素,毫无保密意识。
(二)信息网络管理不力导致网络利用混乱一些单位对安全保密的要求还仅仅停留在对文件材料实体的保管回收上,而对存有大量保密信息的计算机设备和网络设备安全的重要性缺乏足够重视。
表现在:一是规章制度不健全。
部分单位对计算机办公设备和内部局域网缺乏完善的管理办法,没有相应的制度,或虽有制度,但有的制定时间较早,已经不能适应形势发展要求;有的制度流于形式,执行不力;有的疏于管理,处于放任状态。
二是对计算机和网络的保密管理不严。
有的单位的部分干警有法不依,有章不循,有禁不止,保密规章制度不落实,缺乏严格的监督检查。
三是对网络信息安全仅停留在查防病毒的层次。
对防止外部黑客”侵入和内部网络信息安全泄漏工作重视和管理不够。
四是对手机、便携式电脑的使用管理缺乏有效办法。
(三)专项资金投入不足导致网络建设发展不平衡检察机关信息化建设,需要购买大量的高、精、尖技术装备,需要投入大量的人力、物力去建设和维护,建设经费不足的问题将会非常突出。
从全国情况来看资金问题已成为制约检察机关信息化建设的主要因素。
有些检察院认为,要自己独立完成网络建设,勉为其难;有的认为信息化建设与当地经济发展水平不相适应,有畏难情绪;有的认为是高投入,低能效。
四、检察专网分级保护建设的对策信息化条件下,保密工作面临十分严峻的挑战,网络空间失泄密隐患甚至失泄密问题较为突出。
2008年,高检院在全国检察系统部署检察专网分级保护建设任务,以期对涉密网络进行全方位保护,根据各检察院开展分级保护过程中取得成绩和面临的问题进行分析,现对检察机关涉密网络保护提出如下对策:(一)强化保密意识教育。
要强化全体干警的保密意识。
牢固地树立“保密无小事”、“保守秘密,慎之又慎”的意识在坚持对重点岗位和重点涉密人员进行安全保密教育的同时,必须把保密教育的面扩大到全体干警,使全体干警充分认识深入推进检察专网分级保护的重要性和紧迫性,提高信息安全保密意识,自觉遵守保密纪律和有关保密规定。
一是利用内网宣传保密工作。
在内网上开辟“保密之窗”专栏,内设最新动态、上级文件、保密制度、工作部署、经验交流、警钟长鸣、知识问答七个窗口,使干警能随时看到有关规定,经常提醒自己自觉遵守保密规定。
二是重点做好禁止涉密计算机上互联网的宣传教育工作。
将市保密局和上级检察院关于禁止涉密计算机上互联网的有关规定上网宣传,并在各科室开展自查活动,提高干警自觉遵守有关规定的意识。
三是严格重点涉密人员的教育和管理。
在与重点涉密人员签订岗位保密责任书的基础上,将保密工作责任纳入季度考核范围。
(二)加强制度建设,以制度促管理。
办公室根据上级机关对涉密信息网络的保密规定,结合本单位的实际制定相应的规章制度,不求大而全,但求实在管用,切实可行,旨在落实,使分级保护工作有章可循。
严格执行中共中央保密委员会《关于严禁用涉密计算机上国际互联网的通知》精神,将涉密计算机与互联网实行物理隔离,做到专机专用,严禁用处理国家秘密和检察工作秘密信息的计算机上国际互联网。
严格规范涉密文件或材料的上网审查程序,严格把好上网关,切实做到“涉密信息不上网、上网信息不涉密”。
严格规范保密介质的使用和管理。
建立有序领用、保管、归档、销毁制度,做到谁领用、谁保管、谁负责。
(三)注重效率,少投入高产出。
分级保护建设是一项高技术、高投入、高效能的现代化基础建设,必须要有足够的经费作保证,所涉及的硬件设备、软件系统都需要大量的资金来购置。
在采购过程中应严格坚持“统一规划、统一技术标准、统一规范、统一应用软件、统一管理,做好协调、配合工作,力求建设规范有序、高效率,少投入高产出,不重复、不浪费,运转良好、快速、保密”的要求,解决信息化建设资金问题。
各院结合自身实际,制定实施方案,利用规模优势,掌握新产品选型和价格谈判的主动权,把握“有理有利有节”的原则,既要加大投入,又不盲目摊大求全。
五、分级保护工作具体流程(一)系统定级:系统定级主要是按国家秘密信息所定义的秘密级、机密级和绝密级三个密级对涉密信息系统确定保护等级。
涉密信息系统由系统使用单位确定,按照“谁主管、谁负责”的原则进行管理,实现对不同等级的涉密信息系统进行分级保护,根据系统所处理的信息的最高密级,对应国家秘密信息的密级确定为相应的保护等级。
检察机关根据实际情况将涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密两个等级,其中机密等级可根据信息系统使用单位的行政级别和对国家安全的重要程度、所定密级信息含量的多少、使用单位的依赖程度作一般或增强防护的实施。
(二)方案设计:根据确定的系统等级,对照分级保护技术标准和要求,按照检察机关涉密信息系统总体方案的部署,在对现状分析、风险分析和需求分析的基础上,正确选择相应的防护措施,制定具体实施方案,在方案设计中,既要考虑确保安全,又要考虑尽可能节约经费。
降低成本,做到科学实用。
(三)工程施工:涉密信息系统分级保护工程的实施必须由具有涉密信息系统集成资质的单位严格按照其资质种类和业务范围进行.并应有具备资质的监理单位实施监理。
(四)系统评测:建设完成后,根据高检院的要求系统必须经过测评,最高人民检察院统一组织省级检察院涉密信息系统分级保护测评,省级检察院负责规划和组织所属各级检察院的测评工作。
测评机构为国家保密局授权的系统测评机构,一般为涉密信息系统测评中心或各地分中心。