分级保护测评流程
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
时效性 涉密系统运行时效性
1.涉密系统运行许可没有过期日,只有在系统环境或应用发 生重大改变才需要重过测评。
2.绝密信息系统每年至少进行一次安全保密测评或保密检查
3.秘密机密级信息系统每两年至少一次安全保密测评或保密 检查
分级保护测评
系统定级
方案设计
涉密系统生命周期
工程实施 系统评测
系统审批
日常管理 测评与检查
返回
现场考察
现场考察
1.重点考察与申请书是否描述一致;
2.简单审查,不合格项提出整改意见,必须先进行整改;
3.本次审查不打分。(一般军工单位会由其上级测评中心来 考察)
返回
现场测评
现场测评
1.由国家保密局授权的测评中心或分中心从专家库中抽调专 家;
2.制定测评方案,根据bmb22附录A、B、C测评表进行分保 测评;
否
≥60分
是
专家召开会议,出测评报告《测评报告》
审查资料
审查资料(实施完毕后)
1.测评申请书 2.申请单位信息 3.系统测评委托书 4.系统基本情况调查表 5.涉密信息系统建设情况 6.防护措施调整情况 7.涉密信息系统物理环境情况 8.综合布线情况 9.涉密信息系统网络、应用系统及技术防护情况 பைடு நூலகம்0.系统的安全保密管理情况
2.实施单位必须有涉密集成资质,如无特殊情况选取就近涉 密集成单位。(绝密级信息系统选用甲级资质单位)
2.选择由工程监理单项资质的单位或组织本单位人员进行监 理。 (按照bmb18进行工程监理)
4 分级保护测评流程
分级保护测评
流程图
申报材料
修改材料
资料审查
否
通过?
是
现场考察
否
系统整改
通过?
是
现场测评
3.相关分值记录在测评表;为不同安全域进行检测的,每个 安全域有各自测评表。
返回
测评分值
现场测评两大项满分为100分
检测结果满分为100分
技术要求测评70分 管理要求测评30分
技术中止项
测评技术要求终止项
检测结果满分为100分
技术要求70分
基本测评项 ﹡物理隔离
﹡安全保密产品选择 ﹡安全边界防护 ﹡密级标识
2 分级保护测评适用范围
分保适用系统
测评适用系统
存储、使用或产生涉密信息的计算机网络系统
处理涉密信息的单独计算机不参与测评
分级保护适用单位
测评适用单位
党政机关(法院、检查院、省级政府等)
国防军工(航空、航天、兵器等)
非公有制企业
3 涉密系统建立流程
分级保护测评 涉密系统建立流程
系统定级
分级保护测评流程
目录
1 分级保护相关标准 2 分保测评适用范围 3 涉密系统建立流程 4 分级保护测评流程
分级保护测评
1
分级保护相关标准
分级保护相关标准
分级保护 相关标准
1. BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》 2. BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》 3. BMB22-2007《涉及国家秘密的信息系统分级保护测评指南》
方案设计 方案设计
1.选择有涉密资质的承建单位(涉密甲级、乙级),进行系统风 险评估;
2.根据分保方案指南bmb23、分保要求bmb17和分保管理规范 bmb20进行方案设计;
3.方案交由测评中心方案评审专家进行审查论证。(集中一批次 方案,进行统一审查)
工程实施
工程实施
1.方案通过后,进行项目实施。
2. 专家组听取情况,介绍审阅检测报告,分析测评方法、流 程和结果。
3.给出系统完善意见
测评结论
测评结论
1.国家保密局负责审批中央和国家机关各部委、一级保密资 格单位涉密信息系统。
2.省级(自治区、直辖市)保密局负责审批省直机关,二、 三级保密资格单位涉密信息系统
3.市级保密局负责审批市直机关、县直机关涉密信息系统。
方案设计
工程实施
系统定级
党政机关
国防军工 非公有制企业
定级
由单位保密办依据密级范围规定,并由测评机构 监督 由承接军方项目级别、国防军工所设计项目重 要性等方面来定级 一级单位负责总体设计 二级单位负责部分设计 三级单位负责零配件设计 由所承接项目合同规定处理信息级别,依据密级 范围规定,并由测评机构监督
4.《涉及国家秘密的信息系统分级保护管理办法》国家保密局 国保发【2005】16号
分级保护测评指南
BMB22-2007《涉及国家秘密的信息系统分级保护测评指南》
– 所在单位按照处理信息最高级别分为秘密级<机密级<绝 密级;
– 涉密信息系统测评是依据国家保密标准,从风险管理角度, 分析涉密信息系统所面临的威胁及其存在的脆弱性,提出 有针对性的防护对策和整改措施,为防范和化解涉密信息 系统安全保密风险,为涉密信息系统安全保密提供科学依 据。
信息安全保密
﹡用户身份鉴别 ﹡访问控制粒度
﹡信息输出 ﹡信息存储 ﹡信息设备电磁泄漏
发射防护
﹡边界控制 ﹡违规外联监控
管理中止项
测评管理要求终止项
检测结果满分为100分
管理过程 基本管理要求
﹡集成资质单位选择
﹡管理机构 ﹡管理制度 ﹡管理人员
管理要求30分
返回
专家评估
专家评估
1.测评机构组织专家评估会
系统废止
❖你能保密吗 ?
小故事
No Image
谢谢!
谢谢观赏!
2020/11/5
28