三級保密標準培訓

1、武器裝備科研生產單位三級保密資格標準,適用范圍實施原則具體標準,適用范圍,本標準為武器裝備科研生產單位三級保密資格審查認證和復查的依據,實施原則,積極防范，突出重點，嚴格標準，嚴格管理業(yè)務工作誰主管，保密工作誰負責,具體標準—保密責任—法人,法定代表人或主要負責人責任對本單位保密工作負全面領導責任保證黨和國家有關保密工作的方針政策和法律法規(guī)在本單位的貫徹執(zhí)行；保證本標準在本單位的實施，及時解決保密工作中的重要問題，監(jiān)督檢查領

2、導責任制的落實；為保密工作提供人力、財力、物力等條件保障。,具體標準—保密責任—分管保密工作負責人責任,對本單位保密工作負具體領導責任。及時研究和部署保密工作；對保密工作落實情況組織監(jiān)督檢查；為保密工作機構履行職責提供保障。,具體標準—保密責任—其他負責人責任,對分管工作范圍內的保密工作負領導責任。對分管工作中的保密工作進行研究和部署；對分管工作中的保密措施落實情況進行監(jiān)督檢查；為分管工作中的保密工作開展提供保障。,具體標

3、準—保密責任—涉密部門負責人或項目負責人責任,對本部門或本項目的保密工作負直接領導責任。掌握本部門或本項目的保密工作情況；采取具體措施組織落實單位保密工作部署；對保密措施落實情況進行監(jiān)督檢查。,具體標準—保密責任—涉密人員責任,對本職崗位的保密工作負直接責任。熟悉本職崗位的保密要求；按規(guī)定履行保密工作職責。,具體標準-保密組織機構-保密委員會或保密工作領導小組,單位應當成立保密委員會或保密工作領導小組，保密委員會或保密工作領導

4、小組為單位保密工作領導機構，應當有明確的職責。保密委員會或保密工作領導小組由單位負責人和有關部門主要負責人組成，保密委員會或保密工作領導小組組長由單位負責人擔任；保密委員會或保密工作領導小組成員應當有明確的職責分工。保密委員會或保密工作領導小組實行例會制度，對保密工作進行研究、部署和總結，及時解決保密工作中的重要問題。保密委員會或保密工作領導小組例會每年不少于2次。,具體標準-保密組織機構-保密工作機構,單位應當確定負責保密管理工作

5、的機構，在保密委員會或保密工作領導小組領導下獨立行使保密管理職能。保密工作機構應當履行下列職責：向保密委員會或保密工作領導小組提出工作建議；組織落實保密委員會或保密工作領導小組的工作部署；制定保密制度；組織制導涉密人員的審查界定和保密教育培訓；,具體標準-保密組織機構-保密工作機構,組織保密檢查工作；監(jiān)督指導定密工作；組織協(xié)調保密審查工作；監(jiān)督指導重要涉密活動的保密管理工作；組織確定和調整保密要害部門、部位；監(jiān)督指導計

6、算機和信息系統(tǒng)、通信及辦公自動化設備的保密管理工作；,具體標準-保密組織機構-保密工作機構,監(jiān)督指導保密防護措施的實施；查處違反保密法律法規(guī)的行為和泄密事件；提出保密責任追究和獎懲建議。,具體標準-保密組織機構-保密工作機構人員配備,涉密人員100人（含）以上的，專職保密工作人員配備不得少于1人；涉密人員100人以下的，應當配備兼職保密工作人員。單位應確定一部門負責人擔任保密工作機構負責人。保密工作機構人員應當具備下列條件：,具

7、體標準-保密組織機構-保密工作機構人員配備,具備良好的政治素質；熟悉保密法律法規(guī)，掌握保密知識技能，具有一定的管理工作能力；熟悉本單位業(yè)務工作和保密工作情況；通過培訓和考核，獲得保密工作資格證書。,具體標準-保密制度,保密制度健全、規(guī)范，具有可操作性。保密制度包括以下基本內容：保密教育；涉密人員管理；定密管理；國家秘密載體管理；要害部門、部位管理；計算機和信息系統(tǒng)管理；,具體標準-保密制度,通信及辦公自動化設備管理宣

8、傳報道管理；涉密會議管理；協(xié)作配套管理；涉外活動管理；保密監(jiān)督檢查；泄密事件報告和查處；責任考核與獎懲保密制度應當根據實際情況及時修訂完善。,具體標準-保密監(jiān)督管理-定密管理,對本單位產生的國家秘密事項及時確定密級和保密期限；根據項目原定密級的變更情況，及時調整變更密級。,具體標準-保密監(jiān)督管理-涉密人員管理,單位應當按照涉密程度對涉密崗位和涉密人員的涉密等級做出界定。涉密崗位和涉密人員的涉密等級分為重要（機密級）和一般

9、（秘密級）兩個等級。涉密人員的涉密等級，應當根據情況變化，及時進行調整。對進入涉密崗位的人員應當進行審查和培訓。單位應當與涉密人員簽訂保密責任書。保密責任書包括涉密人員的保密義務和責任及享有的權利等基本內容。單位對在崗涉密人員應當進行保密教育培訓，年度每人不少于8學時。,具體標準-保密監(jiān)督管理-涉密人員管理,建立涉密人員保密自查制度。對涉密人員的保密義務和責任情況，應當進行監(jiān)督考核。涉密人員嚴重違反保密法律法規(guī)應當調離涉密崗位。

10、單位應當根據涉密人員涉密等級，給予相應的保密補貼。,具體標準-保密監(jiān)督管理-涉密人員管理,涉密人員脫離單位，應當與原單位簽訂保密承諾書。單位應當對其實行脫密期管理。重要涉密人員的脫密期為2年至3年，一般涉密人員的脫密期為1年至2年。單位應當及時將涉密人員名單在公安機關出入境管理機構登記備案。因私出國（境）的，應當按有關規(guī)定審批。出國（境）前應當對其進行保密教育。涉密人員擅自出國（境）的，單位應當立即向上級機關或有關部門報告。,具體標

11、準-保密監(jiān)督管理-涉密載體管理,國家秘密載體應當按有關規(guī)定表明密級和保密期限。制作、收發(fā)、傳遞、使用、復制、保存、維修和銷毀秘密載體（含紙介質、磁介質和光盤等各類物品）及其過程文件資料，應當符合國家有關保密管理規(guī)定。密品研制、生產、實驗、運輸、使用、保存、維修和銷毀，應當符合國家有關保密管理規(guī)定。,具體標準-保密監(jiān)督管理-涉密載體管理,嚴格控制國家秘密載體的接觸范圍。國家秘密載體應當存放在密碼文件柜中。涉密人員辭職、解聘、調離涉

12、密崗位，應當在離崗前清退保管和使用的國家秘密載體。,具體標準-保密監(jiān)督管理-要害部門、部位管理,單位日常工作中經常產生、傳遞、使用和管理國家秘密的內設機構，應當確定為保密要害部門。單位集中制作、存放、保管國家秘密載體及重要密品研制、實驗的專門場所，應當確定為保密要害部位。保密要害部門、部位的確定，應當按有關規(guī)定履行審批程序。保密要害部門、部位應當采取嚴格的保密防護措施。根據有關規(guī)定安裝防盜報警裝置，設置安全值班人員。涉及保密要害部

13、門、部位的新建、改建工程項目要符合安全保密要求，所采取的保密防護措施應當經單位保密工作機構組織的審核，與工程建設同計劃、同設計、同建設、同驗收。,具體標準-保密監(jiān)督管理-計算機和信息系統(tǒng)管理,涉密信息系統(tǒng)投入運行前，應當經省（自治區(qū)、直轄市）保密工作部門審批。涉密計算機和信息系統(tǒng)應當與國際互聯(lián)網和其他公共信息網絡實行物理隔離；禁止使用非涉密的計算機、信息系統(tǒng)和存儲介質存儲和處理涉密信息；禁止將涉密計算機和信息系統(tǒng)接入內部非涉密信息系統(tǒng)

14、；涉密信息的遠程傳輸應當按國家有關部門要求采取秘密保護措施；未經單位信息化管理部門審批，禁止對涉密計算機和信息系統(tǒng)格式化或重裝操作系統(tǒng)，禁止刪除涉密計算機和信息系統(tǒng)的移動存儲介質及外部設備等日志記錄。,具體標準-保密監(jiān)督管理-計算機和信息系統(tǒng)管理,應當建立信息設備和存儲介質臺帳；涉密信息設備和存儲介質的維修、報廢應當符合國家有關保密管理規(guī)定。信息設備和存儲介質應當具有標識，涉密的應當表明密級，非密的應當表明用途；涉密信息設備和存儲介質

15、中的涉密信息應當表明密級。,具體標準-保密監(jiān)督管理-計算機和信息系統(tǒng)管理,涉密計算機和信息系統(tǒng)應當制定文檔化的安全保密策略，并根據環(huán)境、系統(tǒng)和威脅變化情況及時調整更新；每3個月形成文檔化的安全保密審計報告；每12個月根據系統(tǒng)綜合日志，進行一次風險自評估，形成文檔化的風險分析報告，對存在的風險應當及時采取補救措施。,具體標準-保密監(jiān)督管理-計算機和信息系統(tǒng)管理,涉密計算機和信息系統(tǒng)應當按照存儲和處理信息的相應密級進行管理和防護；涉密計算機

16、和信息系統(tǒng)應當選擇通過國家相關主管部門授權測評機構檢測的安全保密產品，并正確配置和使用；涉密計算機和信息系統(tǒng)應當采取身份鑒別、訪問控制和安全審計等技術保護措施，及時升級病毒和惡意代碼樣本庫，進行病毒和惡意代碼查殺，及時安裝操作系統(tǒng)、數據庫和應用系統(tǒng)的補丁程序；涉密計算機和信息系統(tǒng)中的信息輸出應當相對集中，有效控制；未經單位信息化管理部門審批，涉密計算機和信息系統(tǒng)用戶終端禁止安裝或拆卸硬件設備和軟件。,具體標準-保密監(jiān)督管理-計算機和信息

17、系統(tǒng)管理,應當拆除涉密便攜式計算機中具有無線聯(lián)網功能的硬件模塊；涉密計算機和信息系統(tǒng)禁止使用具有無線功能的外部設備；未經單位保密工作機構審批，涉密便攜式計算機不得存儲涉密信息。在涉密計算機和信息系統(tǒng)內使用的存儲介質應當采取有效的控制措施；禁止使用無標識的存儲介質；禁止在低密級計算機上使用高密級存儲介質；禁止在低密級存儲介質上存儲高密級信息；信息交換應當符合國家有關保密管理規(guī)定，并配備中間轉換機。,具體標準-保密監(jiān)督管理-計算機和信息系

18、統(tǒng)管理,涉密信息設備和傳輸線路的電磁泄露發(fā)射防護措施應當符合國家有關保密管理規(guī)定。涉密計算機和存儲介質攜帶外出應當履行審批手續(xù)，確保僅存有與外出工作相關的涉密信息，帶回時應進行保密檢查。,具體標準-保密監(jiān)督管理-計算機和信息系統(tǒng)管理,涉密信息系統(tǒng)應當配備系統(tǒng)管理員、安全保密員、安全審計員，權限設置應當相互獨立、相互制約，三員角色不得兼任；沒有涉密信息系統(tǒng)的單位應當配備涉密計算機安全保密管理員；涉密計算機和信息系統(tǒng)安全保密管理人員應當通

19、過安全保密培訓，持證上崗，并按照涉密人員管理。要建立防止涉密信息上國際互聯(lián)網和其它公共信息網絡的控制措施，對外發(fā)布信息應當經過保密審查；從國際互聯(lián)網和其它公共信息網絡下載信息、程序和軟件工具等到涉密計算機和信息系統(tǒng)中應當加強管理與控制,具體標準-保密監(jiān)督管理-通信及辦公自動化設備管理,處理涉密信息的辦公自動化設備禁止連接國際互聯(lián)網和其它公共信息網絡，禁止連接內部非涉密計算機和信息系統(tǒng)；禁止使用非涉密辦公自動化設備存儲和處理涉密信息。

20、通信設備的使用應當符合國家有關保密管理規(guī)定，重要涉密場所禁止使用無線通信設備；辦公自動化設備應當建立臺帳，并指定專人管理；禁止使用具有無線互聯(lián)功能的辦公自動化設備存儲和處理涉密信息。,具體標準-保密監(jiān)督管理-通信及辦公自動化設備管理,通信設備的使用應當符合國家有關保密管理規(guī)定，重要涉密場所禁止使用無線通信設備；辦公自動化設備應當建立臺帳，并指定專人管理；禁止使用具有無線互聯(lián)功能的辦公自動化設備處理涉密信息；涉密辦公自動化設備的維修、報廢

21、應當符合國家有關保密管理規(guī)定,具體標準-保密監(jiān)督管理-宣傳報道管理,涉及軍工科研生產事項的宣傳報道、展覽、公開發(fā)表著作和論文等，應當經過保密審查；需報主管部門審批的，應當履行報批手續(xù)。接受涉及軍工科研生產事項的新聞媒體采訪，應當履行審批手續(xù)，不得涉及國家秘密。,具體標準-保密監(jiān)督管理-涉密會議管理,涉密會議應當在具備安全保密條件的場所召開。與會人員身份確認和涉密載體的發(fā)放、清退、銷毀應當指定專人負責，使用和管理應當符合相關保密要求。

22、會議使用的擴音等技術設備應當符合保密要求；會議場所禁止帶入手機等移動通訊工具，必要時應當設置手機信號干擾器；禁止帶入具有無線上網功能的便攜式計算機；未經批準禁止帶入具有攝錄功能的設備。,具體標準-保密監(jiān)督管理-外場實驗管理,單位應當指定專人負責保密管理工作。對無線通信設備和具有攝錄功能的設備等應當采取控制措施。對涉密載體和密品的管理應當采取安全保密防護措施。,具體標準-保密監(jiān)督管理-協(xié)作配套,承擔涉密協(xié)作配套任務的單位，應當嚴格執(zhí)

23、行合同保密條款，遵守保密協(xié)議。在合同簽訂、合同履行和合同文本中，嚴格控制背景、用途等涉密內容，不得泄露配套項目研制必需的技術要求以外的涉密信息。,具體標準-保密監(jiān)督管理-涉外管理,在對外交流、合作和談判等外事活動中應當制定保密方案，明確保密事項，采取相應的保密措施，執(zhí)行保密提醒制度。對外提供文件資料或物品的，應當經過保密審查；涉及國家秘密的，應當按照國家有關規(guī)定審批。,具體標準-保密監(jiān)督管理-保密檢查,單位應當每6個月組織保密檢查，

24、對發(fā)現(xiàn)的問題，及時整改。單位保密工作機構應當每3個月對涉密部門負責人進行保密檢查，保密委員會或保密工作領導小組年度內應當組織對單位負責人的保密檢查。涉密部門和涉密人員應當每月進行保密自查。發(fā)現(xiàn)泄密事件應當按有關規(guī)定及時報告和采取補救措施，并報告查處情況。,具體標準-保密監(jiān)督管理-考核與獎懲,應當嚴格執(zhí)行保密責任追究制度。保密責任落實情況應當納入年度考核內容。對保密工作做出突出成績的單位和個人應當給予表彰和獎勵。對違反保密法律

25、法規(guī)的行為，應當視情給予處罰；泄露國家秘密的，應當按照有關規(guī)定作出處理。,具體標準-保密監(jiān)督管理-工作檔案管理,單位保密工作機構對保密工作開展情況應當有文字記載，內容完整翔實，并進行分類歸檔，有條件的建立電子文檔。涉密部門對保密工作開展情況應當有文字記載。,具體標準-保密監(jiān)督管理-保密條件保障,保密工作經費分為保密管理工作經費和專項保密工作經費。保密管理工作經費用于單位日常保密管理工作；專項保密工作經費用于保密防護設施的建設和設備的配

26、備。保密管理工作經費應當單獨列入單位年度財務預算，根據工作需要保證足額開支。,具體標準-保密監(jiān)督管理-保密條件保障,保密管理工作經費以5萬元為保證基數，按照平均每人每年度重要涉密人員200元，一般涉密人員100元計算，不足部分按實際工作需要增補。專項保密工作經費應當按實際需要予以保障。具備滿足工作需要的保密技術檢查手段和能力。,計算機信息系統(tǒng)保密管理——保密法規(guī)和標準體系,計算機信息系統(tǒng)保密管理——保密法規(guī)和標準體系,概要

27、法規(guī)、文件和技術標準概覽應重點把握的幾個方面涉密信息系統(tǒng)的保密要求,,涉密信息系統(tǒng)概念信息系統(tǒng)的管理原則涉密信息系統(tǒng)的管理過程涉密信息系統(tǒng)的分級保護,概要,黨中央和國務院以信息化建設與信息安全保密工作極為重視；國家保密工作部門制定下發(fā)了一系列文件、法規(guī)和技術標準，涉及到了信息系統(tǒng)規(guī)劃設計、建設、使用和管理等各個方面，形成了較為完備的法規(guī)和技術標準體系；保密法規(guī)和技術標準具有較強的可操作性。,例: 介質使用管理 BM

28、B20-2007 7.3.2.4 （１）應按照BMB17-2006中7.1.3.3“介質使用”的要求，加強涉密介質的使用管理，并嚴禁將個人具有存儲功能的介質和電子設備帶入涉密系統(tǒng)內使用；?。ǎ玻┛梢苿哟鎯橘|應只做臨時存儲介質使用，每次使用完畢后，應及時進行信息消除處理，所采用的技術、設備和措施應符合保密規(guī)定和標準；?。ǎ常獓栏裣拗茝幕ヂ?lián)網將數據拷貝到涉密信息設備和涉密信息系統(tǒng)；若確因工作需要，經審查批準后，應使用非涉密移動

29、存儲介質進行拷貝，并采取有效的保密管理和技術防范措施（如進行惡意代碼查殺，并使用刻錄光盤或具有寫保護裝置的移動存儲介質），嚴防被植入惡意代碼程序。,法規(guī)、文件和技術標準概覽 —— 法規(guī)和文件 （1/3）,中共中央關于加強新形勢下保密工作的決定（中發(fā)〔1997〕16號計算機信息系統(tǒng)保密管理暫行規(guī)定（國保發(fā)〔1998〕1號涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法（中保辦發(fā)〔1998〕6號關于加強政府上網信息保

30、密管理的通知（國保發(fā)〔1999〕4號關于加強高技術條件下保密工作的意見（中保發(fā)[1999]7號,法規(guī)、文件和技術標準概覽 —— 法規(guī)和文件 （2/3）,計算機信息系統(tǒng)國際聯(lián)網保密管理規(guī)定（國保發(fā)〔1999〕10號關于加強計算機信息網絡保密管理的通知（中保委發(fā)〔2002〕4號關于加強信息安全保障工作中保密管理的若干意見（中保委發(fā)〔2004〕7號涉及國家秘密的信息系統(tǒng)集成資質管理辦法（國保發(fā)〔2005〕5號涉及國家秘密的信

31、息系統(tǒng)分級保護管理辦法（國保發(fā)[2005]16號,法規(guī)、文件和技術標準概覽 —— 法規(guī)和文件 （3/3）,關于加強新技術產品使用保密管理的通知 (國保發(fā)[2006]3號涉及國家秘密的信息系統(tǒng)審批管理規(guī)定 （待發(fā)）涉及國家秘密的信息系統(tǒng)風險評估管理辦法（待發(fā)）,法規(guī)、文件和技術標準概覽 —— 保密標準 （系統(tǒng)類）（1/2）,BMZ1-2000 涉及國家秘密的計算機信息系統(tǒng)安全保密技術要求BMZ2-2001 涉及國家秘

32、密的計算機信息系統(tǒng)安全保密方案設計指南BMZ3-2001 涉及國家秘密的計算機信息系統(tǒng)安全保密測評指南BMB17-2006 涉及國家秘密的信息系統(tǒng)分級保護技術要求BMB18-2006 涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范,法規(guī)、文件和技術標準概覽 —— 保密標準 （系統(tǒng)類）（2/2）,BMB20-2007 涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范BMB21-2007 涉及國家秘密的載體銷毀與信息消除安全保密要求BMB22-

33、2007 涉及國家秘密的信息系統(tǒng)分級保護測評指南涉及國家秘密的信息系統(tǒng)分級保護安全保密方案設計要求 (待發(fā)),法規(guī)、文件和技術標準概覽 ——保密標準 （電磁類、產品類）（1/3）,BMB1-1994 電話機電磁泄漏發(fā)射限值和測試方法BMB2-1998 使用現(xiàn)場的信息設備電磁泄漏發(fā)射檢查測試方法和安全判據BMB3-1999 處理涉密信息的電磁屏蔽室的技術要求和測試方法BMB4-2000 電磁干擾器技術要求和測試方法BMB

34、5-2000 涉密信息設備使用現(xiàn)場的電磁泄漏發(fā)射防護要求BMB6-2001 密碼設備電磁泄漏發(fā)射測試方法（總則）,法規(guī)、文件和技術標準概覽 ——保密標準 （電磁類、產品類）（2/3）,BMB7.1-2001 電話密碼機電磁泄漏發(fā)射測試方法BMB10-2004 涉及國家秘密的計算機網絡安全隔離設備的技術要求和測試方法BMB11-2004 涉及國家秘密的計算機信息系統(tǒng)防火墻安全技術要求BMB12-2004 涉及國家秘密的計算

35、機信息系統(tǒng)漏洞掃描產品技術要求BMB13-2004 涉及國家秘密的計算機信息系統(tǒng)入侵檢測產品技術要求,法規(guī)、文件和技術標準概覽 ——保密標準 （電磁類、產品類）（3/3）,BMB15-2004 涉及國家秘密的信息系統(tǒng)安全審計產品技術要求BMB16-2004 涉及國家秘密的信息系統(tǒng)安全隔離與信息交換產品技術要求BMB19-2006 電磁泄漏發(fā)射屏蔽機柜技術要求和測試方法,計算機信息系統(tǒng)保密管理——保密法規(guī)和標準體系,概要

36、法規(guī)、文件和技術標準概覽應重點把握的幾個方面涉密信息系統(tǒng)的保密要求,應重點把握的幾個方面,涉密信息系統(tǒng)概念信息系統(tǒng)的管理原則涉密信息系統(tǒng)的管理過程涉密信息系統(tǒng)的分級保護,涉密信息系統(tǒng)概念,信息系統(tǒng)的一些習慣的提法 電子政務內網、外網，??專網，局域網，廣域網，城域網等皆沒有客觀地反應出系統(tǒng)的涉密屬性。涉密信息系統(tǒng) 涉及國家秘密信息的信息系統(tǒng)簡稱為“涉密信息系統(tǒng)”。是指用于存儲、處理和傳輸國家秘密信息的信息系統(tǒng)。

37、涉密信息系統(tǒng)的分級 依據信息的密級（秘密、機密、絕密）由低到高分為秘密級、機密級和絕密級三個防護等級。,信息系統(tǒng)的管理原則,涉密信息系統(tǒng)管理原則非涉密信息系統(tǒng)管理原則,同步建設嚴格審批注重防范規(guī)范管理,信息系統(tǒng)的管理原則,涉密信息系統(tǒng)管理原則非涉密信息系統(tǒng)管理原則,控制源頭加強檢查明確責任落實制度,涉密信息系統(tǒng)管理過程,系統(tǒng)定級方案設計工程實施系統(tǒng)測評系統(tǒng)審批日常管理測評與檢查系統(tǒng)廢止,依據：《保密法》

38、及其實施辦法、國家保密局會同有關業(yè)務部門制定的《國家秘密及其密級具體范圍》，《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》。安全等級：按照所處理信息的最高密級，由低到高分為秘密、機密和絕密三個等級。,涉密信息系統(tǒng)管理過程,系統(tǒng)定級方案設計工程實施系統(tǒng)測評系統(tǒng)審批日常管理測評與檢查系統(tǒng)廢止,依據：《涉及國家秘密的計算機信息系統(tǒng)安全保密方案設計指南》、《涉及國家秘密的信息系統(tǒng)分級保護技術要求》、《涉及國家秘密的信息系統(tǒng)分級保護管

39、理規(guī)范》。要求：從實際出發(fā)，綜合平衡安全風險與成本，設計符合標準要求的系統(tǒng)建設和安全保密方案。,涉密信息系統(tǒng)管理過程,系統(tǒng)定級方案設計工程實施系統(tǒng)測評系統(tǒng)審批日常管理測評與檢查系統(tǒng)廢止,方案設計分為四個階段：規(guī)劃設計階段的風險評估集成單位選擇系統(tǒng)方案設計系統(tǒng)方案論證,涉密信息系統(tǒng)管理過程,系統(tǒng)定級方案設計工程實施系統(tǒng)測評系統(tǒng)審批日常管理測評與檢查系統(tǒng)廢止,根據工程的具體情況劃定保密范圍，制定相應的保

40、密措施和保密控制流程，嚴格控制接觸涉密信息的人員范圍。按照《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》進行工程監(jiān)理。加強安全保密控制、質量控制、進度控制、成本控制、合同管理和文檔管理。,涉密信息系統(tǒng)管理過程,系統(tǒng)定級方案設計工程實施系統(tǒng)測評系統(tǒng)審批日常管理測評與檢查系統(tǒng)廢止,工程結束后，建設使用單位向保密工作部門申請，由被授權的測評機構對系統(tǒng)進行安全保密測評。測評主要包括資料審查、現(xiàn)場考察、現(xiàn)場檢測、出具測評報告、專家評估

41、，并將測評結論報保密工作部門。,涉密信息系統(tǒng)管理過程,系統(tǒng)定級方案設計工程實施系統(tǒng)測評系統(tǒng)審批日常管理測評與檢查系統(tǒng)廢止,涉密信息系統(tǒng)建成后要經過審批才能投入使用。未經審批，涉密信息系統(tǒng)不得投入使用。國家保密工作部門負責審批中央和國家機關各部委及其直屬單位、國防武器裝備科研生產一級保密資格單位的涉密信息系統(tǒng)；省級負責省直機關各部門、中央和國家機關下屬單位、二和三級；市（地）級負責本行政區(qū)域內地方所屬單位。,涉密信息系統(tǒng)管

42、理過程,系統(tǒng)定級方案設計工程實施系統(tǒng)測評系統(tǒng)審批日常管理測評與檢查系統(tǒng)廢止,成立安全保密管理機構。單位領導任責任人，成員應包括保密、信息化、密碼、相關業(yè)務部門人員。保密管理應包括人員管理、物理環(huán)境與設施管理、設備與介質管理、運行與開發(fā)管理、信息保密管理等五個方面。,涉密信息系統(tǒng)管理過程,系統(tǒng)定級方案設計工程實施系統(tǒng)測評系統(tǒng)審批日常管理測評與檢查系統(tǒng)廢止,秘密級、機密級信息系統(tǒng)，每兩年至少進行一次保密檢查或系

43、統(tǒng)測評；絕密級系統(tǒng)每年至少進行一次。測評由保密工作部門組織系統(tǒng)測評機構進行；保密檢查由各級保密技術檢查機構承擔。測評和檢查形成的數據、記錄和評估報告，應定密。,涉密信息系統(tǒng)管理過程,系統(tǒng)定級方案設計工程實施系統(tǒng)測評系統(tǒng)審批日常管理測評與檢查系統(tǒng)廢止,備案。妥善處理涉及國家秘密信息的設備、介質和文檔資料。,涉密信息系統(tǒng)的分級保護,涉密信息系統(tǒng)實行分級保護。涉密信息系統(tǒng)分級保護是國家信息安全等級保護的重要組成部分。涉密

44、信息系統(tǒng)根據涉密程度，按照秘密級、機密級和絕密級進行分級保護。秘密級、機密級和絕密級信息系統(tǒng)的整體防護水平分別不低于國家信息安全等級保護規(guī)定的第三級（監(jiān)督保護級）、第四級（強制保護級）、第五級（?？乇Ｗo級）的要求。下一步的工作安排。,計算機信息系統(tǒng)保密管理——保密法規(guī)和標準體系,概要法規(guī)、文件和技術標準概覽應重點把握的幾個方面涉密信息系統(tǒng)的保密要求,涉密信息系統(tǒng)的保密要求,一、基本保護要求 1. 物理隔離 2. 安

45、全保密產品選擇 3. 安全域邊界防護 4. 密級標識,,涉密信息系統(tǒng)不得直接或間接國際聯(lián)網，應實行物理隔離。,涉密信息系統(tǒng)的保密要求,一、基本保護要求 1. 物理隔離 2. 安全保密產品選擇 3. 安全域邊界防護 4. 密級標識,,原則上應選用國產設備,并應通過國家相關主管部門授權的測評機構的檢測。,涉密信息系統(tǒng)的保密要求,一、基本保護要求 1. 物理隔離 2. 安全保密產品選擇 3

46、. 安全域邊界防護 4. 密級標識,,安全域之間的邊界應劃分明確，安全域與安全域之間的所有數據通信都應安全可控；不同等級的安全域間的通信，應禁止高密級的信息由高等級的安全域流向低等級的安全域。,涉密信息系統(tǒng)的保密要求,一、基本保護要求 1. 物理隔離 2. 安全保密產品選擇 3. 安全域邊界防護 4. 密級標識,,系統(tǒng)中的信息應有相應的密級標識;密級標識應與信息主體不可分離，其自身不可篡改。,對計算機和

47、軟件安裝情況進行登記備案，定期核查。設置開機口令，口令強度要符合保密標準，并定期更換，防止口令被盜。安裝防病毒等安全防護軟件，并及時等級；及時更新操作系統(tǒng)補丁程序。不得安裝、運行、使用與工作無關的軟件。嚴禁同一計算機既上互聯(lián)網又處理涉密信息。嚴禁使用含有無線網卡、無線鼠標、無線鍵盤等具有無線互聯(lián)功能的設備處理涉密信息。嚴禁將涉密計算機帶到與工作無關的場所.,其它保密要求摘要---計算機的使用管理,實行登記管理。不得在涉密信

48、息系統(tǒng)和非涉密信息間交叉使用,涉密移動存儲設備不得在非涉密信息系統(tǒng)中使用。在接入本單位計算機信息系統(tǒng)前，應查殺病毒、木馬等惡意代碼。嚴禁將涉密涉密存儲設備帶到與工作無關的場所。,其它保密要求摘要---移動存儲設備的使用管理,將互聯(lián)網上的信息復制到處理內部信息的系統(tǒng)時，應采取嚴格的技術防護措施，查殺病毒、木馬等惡意代碼，嚴防病毒等傳播。嚴格限制從互聯(lián)網向涉密信息系統(tǒng)復制數據。確需復制的，應嚴格按照國家有關保密標準執(zhí)行。不得使用移動

49、存儲設備從涉密計算機向非涉密計算機復制數據。確需復制的，應采取嚴格的保密措施，防止泄密。復制和傳遞涉密電子文檔，應嚴格按照復制和傳遞同等密級紙質文件的有關規(guī)定辦理。,其它保密要求摘要---數據操作管理,涉密信息系統(tǒng)的保密要求,二、保護要求 （以秘密級信息系統(tǒng)為例） 1. 物理安全 2. 運行安全 3. 信息安全保密,,涉密信息系統(tǒng)的保密要求,二、保護要求 （以秘密級信息系統(tǒng)為例） 1. 物理安全 2. 運行安全