电子政务涉密信息系统的分级保护建设

国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知文章属性•【制定机关】国家发展和改革委员会•【公布日期】2008.09.24•【文号】发改高技[2008]2544号•【施行日期】2008.09.24•【效力等级】部门规范性文件•【时效性】失效•【主题分类】电子信息正文国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知（发改高技[2008]2544号）中央和国家机关各部委，各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委：为进一步加强国家电子政务工程建设项目（以下简称“电子政务项目”）的管理，促进我国电子政务的健康发展，结合当前电子政务项目建设中存在的主要问题，根据《国家电子政务工程建设项目管理暂行办法》（国家发展和改革委员会令[2007]第55号）的有关规定，现将有关工作要求通知如下：一、项目建设部门要高度重视电子政务项目的管理工作。

严格按照国家发展改革委第55号令的有关要求，加强对电子政务项目立项、建设、验收和运行等全过程的规范管理，确保电子政务项目的建设质量和投资效益。

二、项目建设部门要进一步加强电子政务项目的组织保障工作。

坚持“一把手”负责制，建立健全项目管理责任制，在充分发挥部门内部业务单位主导作用的基础上，强化业务单位与技术支持单位的协调配合，确保电子政务项目更好的服务于政务业务，更好的实现应用系统的协同互动，以及有关基础设施和信息资源的共享。

三、项目建设部门应严格按照批复的初步设计方案和投资概算实施项目建设。

主要建设内容或投资概算确需调整的，应事先向国家发展改革委提交调整报告，履行报批手续。

对于投资规模未超出概算批复、原有建设目标不变且总概算规模内单项工程之间概算调整的数额不超过概算总投资15%的项目，并符合以下三种情况之一的可由项目建设部门自行调整，同时将调整批复文件报国家发展改革委备案：（1）确属于对原项目技术方案进行完善优化的；（2）根据国家出台的新政策或中央领导部署的新任务要求，改变或增加相应建设内容的；（3）根据所建电子政务项目业务发展的需要，在国家已批复项目建设规划的框架下适当调整相关建设进度的。

分级保护涉密信息一个计算机信息系统是否属于涉密信息系统，主要是看其系统里面的信息是否有涉及国家秘密的信息，不论其中的涉密信息是多还是少，只要是有（即存储、处理或传输了涉密信息），这个信息系统就是涉密信息系统。

但并非所有的涉密系统都是高安全等级的计算机信息系统；也并非所有的高安全等级的计算机信息系统都是涉密信息系统。

比如，一些企业的计算机信息系统为保护其商业秘密而采取了许多安全保密的技术和管理措施，达到了较高的安全等级，但由于其中没有涉及国家秘密的信息，就不能算是涉密信息系统；而有一些党政机关的涉密网，范围很小，只在一间或几间房内的若干台计算机联网，采取了较封闭的物理安全措施，与外界物理隔离，虽然没有采用更多的安全保密技术，系统安全等级并不是很高，但由于管理严密、安全可控，系统中又运行了国家秘密信息，这些系统就属于涉密信息系统。

——将涉密系统按照涉密程度分为绝密级、机密级、秘密级，实行分级保护。

分级保护针对的是涉密信息系统，根据涉密信息的涉密等级，涉密信息系统的重要性，遭到破坏后对国计民生造成的危害性，以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。

国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准，目前，正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》BMB20《涉及国家秘密的信息系统分级保护管理规范》。

国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构。

——对涉密信息系统采取技术保护。

修订草案规定：涉密信息系统应当按照国家保密标准配备保密设施、设备。

保密设施、设备应当与涉密信息系统同步规划，同步建设，同步运行。

涉密信息系统投入使用前，应当经设区的市级以上保密行政管理部门检查合格。

——对涉密信息系统中应当遵守的保密行为做了严格规范，修订草案规定：不得将涉密计算机、涉密存储设备接入互联网及其他公共信息网络；不得在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换；不得使用非涉密计算机、非涉密存储设备存储和处理国家秘密信息；不得擅自卸载涉密信息系统的安全技术程序、管理程序；不得将未经安全技术处理退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃；不得在未采取保密措施的有线和无线通信、互联网及其他公共信息网络中传递国家秘密。

涉密信息系统分级保护作者：魏刚来源：《电子技术与软件工程》2016年第21期摘要随着我国信息化建设的快速发展，信息安全的问题越来越受到人们的关注，涉密信息系统的安全性保障更是引起了国家的高度重视。

本文针对当前涉密信息系统分级保护中存在的问题进行分析，并进一步提出解决问题的方案，以求提高涉密信息分级保护的效率与质量。

【关键词】涉密信息系统分级保护最近几年我国信息化建设发展速度较快，涉密机械能系逐渐被运用到各行各业，例如：网络自动化办公、通信领域与信息管理等等方面。

涉密信息系统顾名思义涉及到很多的保密信息与数据，需要采取数据加密的方式要加强对信息的保护与保密。

目前，涉密信息系统在信息传输与通信方面采取的主要加密方式是利用密码保护，目的为了防止破密，目前通常使用的加密软件主要是加密软盘与硬件加密，随着国家高度重视信息系统的安全性，涉密信息系统分级保护相关的研究已经成为网络安全研究的主要领域。

1 人为因素涉密信息系统所面临的人为因素破坏主要是黑客攻击与病毒入侵，这些方面是专业技术人员利用自己过硬的计算机技术与通信技术破坏涉密信息系统，进而非法取得涉密信息系统内部的保密文件，并且利用这些保密文件获取更多的非法利益。

网络信息操作系统系统服务必然存在一定的安全漏洞，而这些漏洞无疑为专业技术较强的不法分子提供了窃取涉密信息的机会。

例如：电磁泄密，涉密信息系统频繁的进行信息传输与交互时，在传输通道上被植入了“后门”，电磁信号被人为的记录下来，不法分子利用专业的技术可以将信源信息进恢复，进而掌握电磁信号所反映的整体信息，进而达到窃密的目的。

涉密信息系必然有硬件的支持，机房是涉密信息系统的主要硬件阵地，机房建设必须到国家规定的防御标准。

另外，如果涉密信息系统储存设备受到了损坏，必须及时维修，而且维修必须在指定的地点，必须全程监控。

针对涉密信息系统报废的相关设备，要将硬盘、内存等等一切涉及到涉密信息设备拆除，然后统一进行消磁处理之后再进行销毁。

涉密信息系统分级保护制度
涉密信息系统分级保护制度是指根据国家保密法律法规和标准
的要求，对涉密信息系统按照其保密等级分为不同层次，采取不同的安全防护措施，以保障涉密信息系统的安全性和保密性。

该制度主要包括以下几个方面的内容：
1. 分级标准：根据涉密信息系统所涉及的信息内容和重要程度，将其分为绝密、机密、秘密和内部保密四个等级，并对每个等级的信息内容和保护要求进行了详细规定。

2. 安全管理措施：针对每个保密等级的涉密信息系统，制定了相应的安全管理措施，包括物理安全、网络安全、人员安全等方面的措施，以确保信息系统的安全性。

3. 安全审核：对每个涉密信息系统的安全性进行定期审核，对存在的问题及时进行处理和改进，避免信息泄露或损失。

4. 安全培训：对使用涉密信息系统的人员进行安全培训，提高他们的保密意识和安全技能，保障信息系统的安全性和保密性。

5. 应急预案：针对涉密信息系统可能出现的各种安全事件，制定了相应的应急预案，以确保在安全事件发生时能够迅速、有效地应对和处理，减少损失。

涉密信息系统分级保护制度的实施，可以有效地提高信息系统的安全性和保密性，保障国家机密和个人隐私的安全，促进国家信息化建设的发展。

- 1 -。

涉密计算机及信息系统安全和保密管理办法一、总则第一条为了加强涉密计算机及信息系统的安全和保密管理，保障国家秘密的安全，根据《中华人民共和国保守国家秘密法》等相关法律法规，结合本单位实际情况，制定本办法。

第二条本办法适用于本单位内所有使用、管理涉密计算机及信息系统的部门和个人。

第三条涉密计算机及信息系统的安全和保密管理，应当遵循“突出重点、积极防范、确保安全、便利工作”的原则，实行分级保护，强化管理措施，落实责任制度。

二、涉密计算机及信息系统的确定与分类第四条本单位根据处理信息的最高密级，将涉密计算机及信息系统分为绝密级、机密级、秘密级。

第五条确定涉密计算机及信息系统的密级，应当按照国家有关规定，由本单位保密工作领导小组进行审定。

第六条涉密计算机及信息系统的密级一经确定，应当在其显著位置标明相应的密级标识。

三、涉密计算机及信息系统的建设与管理第七条涉密计算机及信息系统的建设应当符合国家有关保密规定和标准，具备相应的安全保密防护措施。

第八条建设涉密计算机及信息系统，应当选用国产设备和软件，并进行安全保密检测和评估。

第九条涉密计算机及信息系统的运行维护应当由本单位内部专门人员负责，严禁外部人员进行操作和维护。

第十条对涉密计算机及信息系统进行设备更新、软件升级、系统改造等，应当事先进行安全保密评估和审批。

四、涉密计算机及信息系统的使用第十一条使用者应当经过保密培训，并签订保密承诺书，明确保密责任和义务。

第十二条涉密计算机应当设定开机密码、登录密码等，密码应当定期更换，且复杂度符合保密要求。

第十三条严禁在涉密计算机上使用非涉密存储介质，严禁在非涉密计算机上使用涉密存储介质。

第十四条涉密计算机及信息系统应当与互联网及其他公共信息网络实行物理隔离，严禁连接无线网络。

第十五条涉密计算机及信息系统中的信息应当按照相应密级进行存储、处理和传输，不得擅自降低密级。

第十六条打印、复印涉密文件资料应当在专门的涉密设备上进行，并严格控制知悉范围。

内部资料等级保护与分级保护工作指南吉大正元信息技术股份有限公司2008年8月目录范围 (3)1背景与现状 (3)1.1等级保护思想的发展 (3)1.2政策发文情况 (4)1.3技术标准现状 (5)1.4工作开展现状 (6)2基本概念 (7)2.1基本含义 (7)2.2定级依据与等级划分 (8)2.3等级保护与分级保护对比表 (9)3等级保护工作流程与管理 (10)3.1等级保护整体工作流程 (10)3.2实施过程概述 (10)3.3等级保护各相关方的职责划分 (12)3.4用户等级保护的实施要求 (13)3.5主管部门的管理手段 (14)3.6等级保护对厂商和产品的资质管理 (14)4分级保护工作流程与管理 (15)4.1分级保护整体工作流程 (15)4.2实施过程概述 (15)4.3分级保护各相关方的职责划分 (18)4.4用户分级保护的实施要求 (20)4.5主管部门的管理手段 (20)4.6分级保护对厂商和产品的资质管理 (21)5FAQ (23)5.1等级保护FAQ (23)5.2分级保护FAQ (26)范围本文档描述了信息系统安全等级保护与涉密信息系统分级保护的背景、现状、基本概念、实施流程、主管部门的职责划分、用户的实施要求，以及对厂商的资质管理等内容，供公司内部人员了解和学习等级保护和分级保护参考。

1背景与现状1.1等级保护思想的发展➢信息系统分等级保护的思想在国际上已有二十多年的历史1983年美国国防部发布了《可信计算机系统评估准则》（TCSEC，俗称橘皮书），将计算机系统的安全等级分为D、C1、C2、B1、B2、B3和A1七个级别，开创了分等级保护的先河，之后欧洲将其发展为《信息技术安全性评估标准》（ITSEC），美国又在此基础上进一步完善推出了《通用安全评估准则》（CC）、《联邦信息和信息系统的安全分类标准》（FIPS 199）、《联邦信息系统安全控制》（SP 800-53）和《美国国家空间战略》等，完善了计算机系统安全分级制度，并逐步落实了分等级保护的方法。

涉密信息系统分级保护要求物理隔离
安全保密产品选择基
本安全域间边界防护要
求密级标识
环境安全
物
设备安全理
安
全介质安全
备份恢复涉运病毒恶意代码防护密行
信安应急响应技息全术系运行管理要统求分
级身份鉴别保
护访问控制要
求
密码保护措施
电磁泄露发射防护信
息信息完整性校验安
全系统安全性能检测保
密
安全审计
抗抵赖性
操作系统安全
数据库安全
边界安全防护
运行管理
系统定级
方案设计
工程实施基
本
过系统测评程
系统审批
日常管理
测评检查
系统废止基涉
本密
要信安全保密管理策略求息系管理机构管统理人分要管理制度员级求管保管理人员理护要
求物
外部相关人员理
环
境内部工作人员设
施
管周边环境理
涉密场所设保障设施备
介
质采购选型管
理操作使用
保管保存运
行维修报废与
开
发运行使用管
理应用开发
异常事件信
息信息分类与控制保密用户管理与授权管理信息系统互联。

涉密信息系统信息安全分级保护体系案例2010年至2011年期间，先后开展了对分级保护建设的可研、方案设计、建设实施，并于2011年10月19日顺利通过了相关国家保密测评机构对某部委电子政务涉密信息系统的严格测评。

1 项目背景为落实某部委党组“先从部机关信息化入手，带动全行业信息化发展”的有关部署，2001年、2005年和2007年，部机关先后实施了信息化一期、二期工程以及通信信息系统改造工程，建设了XX行业主管部门的涉密局域办公网，即某部委电子政务涉密信息系统，并与外网物理隔离，整体提高了部机关行政办公的信息化水平。

为加强涉及国家涉密信息系统的保密管理，依据BMB相关国家标准，某部委对其内网电子政务涉密信息系统进行了相应等级的安全保密建设和管理。

2010年至2011年期间，先后开展了对分级保护建设的可研、方案设计、建设实施，并于2011年10月19日顺利通过了相关国家保密测评机构对某部委电子政务涉密信息系统的严格测评。

2 建设路线在某部委电子政务信息系统分级保护建设实施过程中，依据《某部委电子政务涉密信息系统分级保护工程详细设计方案》及国家相关标准规范等文件，严格按照PMP项目管理方法论，对项目启动后把实施过程分为设计(深化)过程、落地(建设)过程、监控过程三个过程组，并通过调研分析、体系规划、体系建设和体系完善(PDCA)的建设思路，运用岗位与职责、策略体系、流程体系、技术工具、人员培训、安全管控等方法进行落地实施。

在设计过程中，首先详细解读了《某部委电子政务涉密信息系统分级保护工程详细设计方案》，周密分析了客户信息系统应用环境，全面展开了对技术以及管理等的全面细致调研，分析现状与标准及客户需求的差距，逐项梳理实施建设任务，完成《分级保护深化设计及实施方案》、《安全保密策略总纲》、建设任务一览表、职责矩阵、《项目进度计划》等过程文档。

在落地过程中，通过太极信息安全保障体系落地方法论，建立技术、管理、运维三大保障体系，按照《分级保护深化设计及实施方案》，分为安全域改造、应用系统改造、安全策略部署与试运行以及安全服务四个阶段，遵照“综合部署、分布落实、逐一核查”等原则，实现由标准紧扣方案、建设贴近客户需求的完美落地，从而完成某部委电子政务信息系统安全保护的建设工作。

我国电子政务内网的保密问题与对策我国的电子政务在促进国民经济和社会发展，提高行政质量和效率，增强政府监管和社会服务能力的同时，也带来了新的安全保密问题。

在近几年保密邮门查处的案件中，与计算机和网络相关的已经超过一半以上。

随着《政府信息公开条例》的正式实施，如何止确处理好保密与公开的关系，已经成为各级政务部门必须认真解决的一项重要课题与任务。

下面就我国电子政务内网当前存在的主要保密问题与对策进行探讨。

1．电子政务内网存在的主要保密问题目前，我国电子政务内刚的保密还存在以下一些问题：首先，涉密属性界定不清。

有的单位认为，网络必须按业务划分，不能按密级来划分，对政务内网不定密；有的单位认为网络不涉密，应用系统才涉密，不按保密要求进行整体防护；有的使用“公务网”、“业务网”，“专网”等名称回避涉密定位这一关键问题。

这样做的结果是造成国家保密部门对政务内网建设、使用的管理职能被弱化，同时，还使政务内嘲建设未达国家保密要求，带病运行，最终导致“重建设、轻安全”，大量的国家秘密和工作秘密没有得到有效的保护。

其次，是片面追求涉密最小化。

有的单位过分强调信息公开，认为所有的信息都要公开，没有保密的必要，不需要建设政务内网，有的单位虚化政务内网，采取配备少量单机处理涉密信息的方式，但在交际工作中往往不具有可操作性。

这样做的结果是导致业务应用部署不合理，用户没有涉密办公环境，用户不得不在政务外网和互联网上处理国家秘密和工作秘密。

第三，安全保密防护不到位，对严重违规行为缺乏有效技术手段。

对U盘等移动存储介质在政务内网计算机和互联网计算机之间的交叉使用管控不严，泄密事件时有发生；对涉密计算机特别是涉密笔记本电脑的违规外联没有采取技术防范措施，形成泄密隐患。

第四，保密管理不到位，涉密人员保密意识薄弱。

保密管理机构不健全；保密制度已经过时或不健全，且缺乏监督执行；保密管理人员知识水平和能力也不足，不能满足信息化条件下保密工作的实际需要用户保密意识不强，不了解基本的现代保密常识，对泄密的途径和方式一无所知，表现为无知无畏。

国家发展改革委关于加强和完善国家电子政务工程建设管理的意见文章属性•【制定机关】国家发展和改革委员会•【公布日期】2013.02.16•【文号】发改高技[2013]266号•【施行日期】2013.02.16•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】电子信息正文国家发展改革委关于加强和完善国家电子政务工程建设管理的意见（发改高技〔2013〕266号）中央和国家机关各部委、直属机构，各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委：为贯彻落实《“十二五”国家政务信息化工程建设规划》（以下简称《规划》），规范国家电子政务工程建设，加强国家电子政务工程建设项目（以下简称“电子政务项目”，主要指国家统一电子政务网络、国家基础信息资源库、国家网络与信息安全基础设施、重点业务信息系统、政府数据中心以及电子政务相关支撑体系等使用中央财政性资金建设的政务信息化工程建设项目。

）的管理，促进政府信息共享和业务协同，提高投资效益，现提出如下意见。

一、电子政务项目建设的思路和原则（一）电子政务建设思路要实现三个转变。

一是在建设目标上，要从过去注重业务流程电子化、提高办公效率，向更加注重支撑部门履行职能、提高政务效能、有效解决社会问题转变；二是在建设方式上，要从部门独立建设、自成体系，向跨部门跨区域的协同互动和资源共享转变；三是在系统模式上，要从粗放离散的模式，向集约整合的模式转变，确保电子政务项目的可持续发展。

（二）电子政务项目建设要坚持三个原则。

一是解决社会问题的原则，电子政务项目建设内容的确定，要以解决广大人民群众最关心最直接最现实的利益问题为出发点，以服务公众为落脚点，加快促进政府职能转变；二是提升政务部门信息能力的原则，要充分利用信息化手段，提升政务部门宏观调控、市场调节、社会管理和公共服务的能力，切实发挥电子政务支撑政务部门履行职能的作用；三是注重顶层设计的原则，要推进部门间的互联互通、业务协同和信息共享，发挥电子政务项目促进多部门协同解决经济社会问题的作用，避免重复投资、重复建设，发挥投资效益。

涉密信息系统分级保护制度
涉密信息系统分级保护制度是一种安全保障制度，旨在保护涉密信息系统中的数据和信息不被非法获取、篡改或泄露。

根据系统的安全要求、涉密程度和保密等级，对涉密信息系统进行分级保护，并实施相应的安全管理措施。

涉密信息系统分为四个级别：一般、重要、核心和特级。

根据不同级别，制定不同的安全管理措施。

一般级别的涉密信息系统主要采用基础的安全措施，如防火墙、病毒防护等；重要级别的涉密信息系统则需要采用更加严格的安全措施，如加密传输、访问控制等；核心级别的涉密信息系统则需要采用高级的安全措施，如安全审计、物理隔离等；特级级别的涉密信息系统则需要采用最高级别的安全措施，如生物识别技术、全面数据备份等。

除了对不同级别的涉密信息系统进行分级保护，还需要制定相应的安全管理规定，包括系统安全保障责任、安全管理机制、安全审计、安全事件处理等方面的要求。

同时还需要实施专业的安全管理人员和技术人员，不断完善和更新涉密信息系统的安全保障措施，确保系统的安全稳定运行。

涉密信息系统分级保护制度的实施，可以有效地保障国家重要信息资产的安全，对于国家安全和社会稳定具有重要意义。

- 1 -。

国家发展改革委、公安部、财政部等关于进一步加强国家电子政务网络建设和应用工作的通知文章属性•【制定机关】公安部,财政部•【公布日期】2012.07.06•【文号】发改高技[2012]1986号•【施行日期】2012.07.06•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】公共信息网络安全监察正文国家发展改革委、公安部、财政部、国家保密局、国家电子政务内网建设和管理协调小组办公室关于进一步加强国家电子政务网络建设和应用工作的通知（发改高技[2012]1986号）中央和国家机关各部委、各直属机构，各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委、公安厅（局）、财政厅（局）、保密局，国家电子外网管理中心，各级政务内网、政务外网建设和运维管理单位：为贯彻党的十七届五中全会《中共中央关于制定国民经济和社会发展第十二个五年规划的建议》精神和《国民经济和社会发展第十二个五年规划纲要》的战略部署，有效落实《“十二五”国家政务信息化工程建设规划》，加快推进国家电子政务网络建设和应用，加强对政务信息化工程利用国家电子政务网络的管理，依据《国家信息化领导小组关于推进国家电子政务网络建设的意见》（中办发[2006]18号）、《国家电子政务内网建设和管理规划（2011-2015年）》（厅字[2011]21号）、《关于加强党政机关和涉密单位网络保密管理的规定》（中办发[2011]11号），以及《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件精神，现将有关工作要求通知如下：一、国家电子政务网络由国家电子政务内网和国家电子政务外网组成，应按照统一规划、分级负责的原则进行建设。

各部门、各地方要充分认识加快国家电子政务网络建设的重要性和紧迫性，严格按照有关文件要求，采取切实有效措施，加快推进国家电子政务内网和国家电子政务外网的建设和应用。

国家电子政务网络建设目标是：到“十二五”期末，形成统一完整、安全可靠、管理规范、保障有力的国家电子政务网络，基本满足政务应用需要。

分级保护涉密信息（一）一个计算机信息系统是否属于涉密信息系统，主要是看其系统里面的信息是否有涉及国家秘密的信息，不论其中的涉密信息是多还是少，只要是有（即存储、处理或传输了涉密信息），这个信息系统就是涉密信息系统。

但并非所有的涉密系统都是高安全等级的计算机信息系统；也并非所有的高安全等级的计算机信息系统都是涉密信息系统。

比如，一些企业的计算机信息系统为保护其商业秘密而采取了许多安全保密的技术和管理措施，达到了较高的安全等级，但由于其中没有涉及国家秘密的信息，就不能算是涉密信息系统；而有一些政机关的涉密网，范围很小，只在一间或几间房内的若干台计算机联网，采取了较封闭的物理安全措施，与外界物理隔离，虽然没有采用更多的安全保密技术，系统安全等级并不是很高，但由于管理严密、安全可控，系统中又运行了国家秘密信息，这些系统就属于涉密信息系统。

——将涉密系统按照涉密程度分为绝、机、秘，实行分级保护。

分级保护针对的是涉密信息系统，根据涉密信息的涉密等级，涉密信息系统的重要性，遭到破坏后对国计民生造成的危害性，以及涉密信息系统必须达到的安全保护水平划分为秘、机和绝三个等级。

国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术，目前，正在执行的两个分级保护的国家保密是BMB17《涉及国家秘密的信息系统分级保护技术要求》BMB20《涉及国家秘密的信息系统分级保护管理规范》。

国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构。

——对涉密信息系统采取技术保护。

修订草案规定：涉密信息系统应当按照国家保密配备保密设施、设备。

保密设施、设备应当与涉密信息系统同步规划，同步建设，同步运行。

涉密信息系统投入使用前，应当经设区的市级以上保密行政管理部门检查合格。

——对涉密信息系统中应当遵守的保密行为做了严格规范，修订草案规定：不得将涉密计算机、涉密存储设备接入互联网及其他公共信息网络；不得在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换；不得使用非涉密计算机、非涉密存储设备存储和处理国家秘密信息；不得擅自卸载涉密信息系统的安全技术程序、管理程序；不得将未经安全技术处理退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃；不得在未采取保密措施的有线和无线通信、互联网及其他公共信息网络中传递国家秘密。

开展涉密信息系统分级保护工作应注意的几个问题一、引言2003年9月，中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）提出了“实行信息安全等级保护”的要求，并指出“对涉及国家秘密的信息系统，要按照党和国家有关保密规定进行保护”。

中共中央保密委员会《关于加强信息安全保障工作中保密管理的若干意见》（中保委发〔2004〕7号）提出要建立涉密信息系统分级保护制度。

自2005年起，国家保密局组织制定并颁布实施了一系列关于涉密信息系统分级保护的法规与标准，并于2006年9月至2007年3月，组织中央组织部、中央联络部和航天科技集团进行了分级保护试点工作。

2007年9月7日，国家保密局召开了全国涉密信息系统分级保护工作会议，推广了试点工作经验，部署了分级保护工作。

自此，涉密信息系统分级保护工作已进入了全面推进阶段。

二、领导重视，建立机制我国的国家秘密分为秘密、机密、绝密三级，涉密信息系统也按照秘密、机密、绝密三级进行分级管理。

根据“谁主管、谁负责”的保密管理原则，涉密信息系统建设使用单位应负责本单位涉密信息系统分级保护的具体实施工作。

涉密信息系统分级保护工作是一项复杂的系统工程，涉及到单位内部的保密、信息化、业务工作、密码、保卫和人事等部门，各相关部门只有密切合作、统筹实施，才能保障整个工作的顺利进行。

这就要求涉密信息系统的建设使用单位领导高度重视此项工作，组建强有力的领导班子，建立起确保措施到位、人员到位、资金到位的分级保护工作组织保障体系，形成强有力的工作机制。

⑴在系统定级方面，保密管理部门要发挥准确掌握国家保密政策的优势，与信息化建设部门、业务工作部门一起研究确定系统和安全域所处理信息的最高密级，从而确定保护等级。

⑵在方案设计方面，信息化建设部门要充分利用熟悉技术的特点，按照分级保护技术要求和管理规范，组织设计符合保密要求的分级保护方案。

保密管理部门应对总体方案进行监督、检查和指导，组织专家进行评审论证。