开展涉密信息系统分级保护工作应注意问题

开展涉密信息系统分级保护工作

应注意的几个问题

一、引言

2003年9月，中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）提出了“实行信息安全等级保护”的要求，并指出“对涉及国家秘密的信息系统，要按照党和国家有关保密规定进行保护”。中共中央保密委员会《关于加强信息安全保障工作中保密管理的若干意见》（中保委发〔2004〕7号）提出要建立涉密信息系统分级保护制度。自2005年起，国家保密局组织制定并颁布实施了一系列关于涉密信息系统分级保护的法规与标准，并于2006年9月至2007年3月，组织中央组织部、中央联络部和航天科技集团进行了分级保护试点工作。2007年9月7日，国家保密局召开了全国涉密信息系统分级保护工作会议，推广了试点工作经验，部署了分级保护工作。自此，涉密信息系统分级保护工作已进入了全面推进阶段。

二、领导重视，建立机制

我国的国家秘密分为秘密、机密、绝密三级，涉密信息系统也按照秘密、机密、绝密三级进行分级管理。根据“谁主管、谁负责”的保密管理原则，涉密信息系统建设使用单位应负责本单位涉密信息系统分级保护的具体实施工作。涉密信息系统分级保护工作是一项复杂的系统工程，涉及到单位内部的保密、信息化、业务工

作、密码、保卫和人事等部门，各相关部门只有密切合作、统筹实施，才能保障整个工作的顺利进行。这就要求涉密信息系统的建设使用单位领导高度重视此项工作，组建强有力的领导班子，建立起确保措施到位、人员到位、资金到位的分级保护工作组织保障体系，形成强有力的工作机制。

⑴在系统定级方面，保密管理部门要发挥准确掌握国家保密政策的优势，与信息化建设部门、业务工作部门一起研究确定系统和安全域所处理信息的最高密级，从而确定保护等级。

⑵在方案设计方面，信息化建设部门要充分利用熟悉技术的特点，按照分级保护技术要求和管理规范，组织设计符合保密要求的分级保护方案。保密管理部门应对总体方案进行监督、检查和指导，组织专家进行评审论证。

⑶在工程实施方面，信息化建设部门应具体承担组织实施工作，并与保密管理部门定期检查工作进展情况，对于发现的问题及时协调处理，确保各项安全保护措施落到实处。

⑷在系统工程施工结束后，保密管理部门应负责组织系统测评和系统审批工作。

⑸在系统投入运行后，保密、信息化、业务工作、密码、保卫和人事等有关部门应按照“分工合作、各司其责”的原则，积极配合完成各方面的日常安全保密管理工作。

三、把握方法，遵循流程

涉密信息系统分级保护工作包括系统定级、方案设计、工程实

施、系统测评、系统审批、日常管理、测评与检查和系统废止八个环节，贯穿于涉密信息系统的整个生命周期之中，是对涉密信息系统进行的全过程保密管理。因此，涉密信息系统建设使用单位应该按照“规范定密，准确定级；依照标准，同步建设；突出重点，确保核心；明确责任，加强监督”的原则，遵循分级保护工作的基本流程，突出重点环节，强化过程管理。

1.系统定级

涉密信息系统按照所处理信息的最高密级，由低到高划分为秘密、机密、绝密三个等级。因此，在确定涉密信息系统内信息的最高密级后，就可具体确定涉密信息系统安全等级。对于新建系统，涉密信息系统建设使用单位应根据实际工作需要，通过下位系统所要处理信息的最高密级来确定系统等级；对于已建系统，应对照定密范围，对系统中处理的信息进行密级核定，并补充采取相应的保护措施。

2.方案设计

涉密信息系统建设使用单位在各级保密工作部门的指导与监督下，选拔具有相应涉密资质的承建单位承担或参与涉密信息系统的系统集成、软件开发、综合布线、系统服务、系统咨询、风险评估、屏蔽室建设、工程监理和保密安防监控的方案设计与实施工作。涉密信息系统建设使用单位在工程实施前，应对系统设计方案进行审查论证，保密工作部门应当参与方案审查论，在系统总体安全保密性方面加强指导，严格把关。

3.工程实施

在工程实施阶段，主要抓好保密管理和工程监理工作。涉密信息系统建设使用单位应根据工程的具体情况划定保密范围，制定相应的保密措施和保密控制流程，严格控制接触涉密信息的人员范围。同时还应选择具有涉密工程监理单项资质的单位或组织自身力量在安全保密控制、质量控制、进度控制、成本控制、合同管理和文档管理六个方面加强监督检查。

4.测评阶段

涉密信息系统投入运行必须先测评后审批涉密信息系统建设使用单位在系统工程实施结束后，应当向保密工作部门提出申请，按照国家保密工作部门授权的系统测评机构的要求，提交测评所需的必要资料。由测评机构对涉密信息系统进行安全保密测评，全面验证所采取的安全保密措施能否满足安全保密需求和分级保护的要求，为涉密信息系统审批提供依据。

5.系统审批

国家对涉密信息系统的投入运行实行行政审批制度。国家保密工作部门负责审批中央和国家机关各部委及其所属单位、国防武器装备科研生产一级保密资格单位的涉密信息系统；省（自治区、直辖市）保密工作部门负责审批省直机关各部门及其所属单位、国防武器装备科研生产二、三级保密资格单位的涉密信息系统；市（地）级保密工作部门负责审批市（地）、县直机关及其所属的涉密信息系统。

保密工作部门在系统测评的基础上对系统进行审批，对符合要求的涉密信息系统批准其投入使用。对不符合要求的，保密工作部门提出整改意见，由使用单位对系统进行整改后另行报批。未经保密工作部门审批，擅自将涉密信息系统投入使用的，必须立即停止存储、处理和传输国家秘密信息，并追究部门领导和相关责任人的责任；造成泄密的，依法追究法律责任。

6.日常管理

随着涉密信息系统的开通运行，系统的规模、具体业务范围以及用户都可能发生变化，这些变化和运行过程出现的安全事件都可能使过去相对安全的系统不再安全。涉密信息系统的管理者和使用者，应结合系统实际制定明确的安全保密管理策略，成立由单位主管领导任责任人，包括保密、信息化、业务工作、密码、保卫和人事等有关部门人员组成的安全保密管理机构，使用先进的安全保密管理技术，从人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息保密管理五个方面进行日常安全保密管理。

7.测评与检查

系统经审批投入运行后，应加强风险评估管理。秘密级、机密级信息系统，每两年至少进行一次保密检查或系统测评；绝密级信息系统每年至少进行一次保密检查或系统测评。安全保密测评和保密技术检查过程中形成的有关数据、刻录和评估报告，应定密并按照相应级文件进行管理。

8.系统废止