涉密信息系统分级保护建设
涉密信息系统分级保护建设
- 产品详情
- 产品参数
系统建设:
涉密信息系统的建设应当选择具有“涉密信息系统集成资质”的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统使用的信息安全产品原则上应当选用国产产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构,依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对建成的涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
保密规定:
1.规划和建设计算机信息系统,应当同步规划落实相应的保密设施。
2.计算机信息系统的研制、安装和使用,必须符合保密要求。
3.计算机信息系统应当采取有效的保密措施,配置合格的保密专用设备,防泄密、防窃密。所采取的保密措施应与所处理信息的密级要求相一致。
4.计算机信息系统联网应当采取系统访问控制、数据保护和系统安全保密监控管理等技术措施。
5.计算机信息系统的访问应当按照权限控制,不得进行越权操作。未采取技术安全保密措施的数据库不得联网。
管理原则:
(1)适度安全的原则:由于信息泄露、溢用、非法访问或非法修改而造成的危险和损害相适应的安全。没有绝对安全的信息系统(网络),任何安全措施都是有限度的。关键在于“实事求是”、“因地制宜”地去确定安全措施的“度”,即根据信息系统因缺乏安全性造成损害后果的严重程度来决定采取什么样的安全措施。
(2)按最高密级防护的原则:涉密信息系统处理多种密级的信息时,应当按照最高密级采取防护措施。
(3)最小化授权的原则:涉密信息系统的建设规模要最小化,非工作所必需的单位和岗位,不得建设政务内网和设有内网终端;其次,涉密信息系统中涉密信息的访问权限要最小化,非工作必需知悉的人员,不得具有关涉密信息的访问权限。
(4)同步建设、严格把关的原则:涉密信息系统的建设必须要与安全保密设施的建设同步规划、同步实施、同步发展。要对涉密信息系统建设的全过程(各个环节)进行保密审查、审批、把关。要防止并纠正“先建设,后防护,重使用,轻安全”的倾向,建立健全涉密信息系统使用审批制度。不经过保密部门的审批和论证,信息系统不得处理国家秘密信息。
(5)内、外网物理隔离的原则。即“涉及国家秘密的通信、办公自动化和计算机信息系统不得直接或间接与国际互联网或其他公共信息网络相连接,必须实行物理隔离。”
(6)安全保密措施与信息密级一致的原则。涉密信息系统应当采取安全保密措施,并保证所采取措施的力度与所处理信息的秘密等级相一致。
(7)资格认证的原则。涉密信息系统安全保密全面解决方案的设计、系统集成及系统维修工作,应委托经过国家保密部门批准授予资质证书的单位承担。涉密系统不得采用未经国家主管部门鉴定、认可的保密技术设备,更不准使用国外进口的各类安全防范产品包括软件。
(8)以人为本、注重管理的原则:涉密信息系统的安全保密三分靠技术,七分靠管理。加强管理可以弥补技术上的不足;而放弃管理则再好的技术也不安全。
