《分級保護測評流程(宣)課件》由會員分享,可在線閱讀,更多相關《分級保護測評流程(宣)課件(28頁珍藏版)》請在裝配圖網上搜索。
1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,11/7/2009,#,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,單擊此處編輯母版標題樣式,*,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,單擊此處編輯母版標題樣式,分級保護測評流程培訓,咨詢顧問:宣淦淼,分級保護相關標準,1,分級保護測評流程,4,目 錄,分保測評適用范圍,2,涉密系統(tǒng)建立流程,3,分級保護相關標準,1,分級保護測評,
2、1.BMB17-2006,涉及國家秘密的信息系統(tǒng)分級保護技術要求,2.BMB20-2007,涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范,3.BMB22-2007,涉及國家秘密的信息系統(tǒng)分級保護測評指南,4.,涉及國家秘密的信息系統(tǒng)分級保護管理辦法,國家保密局 國保發(fā),【2005】16,號,分級保護,相關標準,分級保護相關標準,分級保護測評指南,所在單位按照處理信息最高級別分為秘密級機密級絕密級;,涉密信息系統(tǒng)測評是依據(jù)國家保密標準,從風險管理角度,分析涉密信息系統(tǒng)所面臨的威脅及其存在的脆弱性,提出有針對性的防護對策和整改措施,為防范和化解涉密信息系統(tǒng)安全保密風險,為涉密信息系統(tǒng)安全保密提供科學依據(jù)
3、。,BMB22-2007,涉及國家秘密的信息系統(tǒng)分級保護測評指南,分級保護測評適用范圍,2,測評適用系統(tǒng),分保適用系統(tǒng),存儲、使用或產生涉密信息的計算機網絡系統(tǒng),處理涉密信息的單獨計算機不參與測評,分級保護適用單位,測評適用單位,黨政機關(法院、檢查院、省級政府等),國防軍工(航空、航天、兵器等),非公有制企業(yè),涉密系統(tǒng)建立流程,3,系統(tǒng)定級,方案設計,工程實施,涉密系統(tǒng)建立流程,分級保護測評,系統(tǒng)定級,黨政機關,國防軍工,非公有制企業(yè),由單位保密辦依據(jù)密級范圍規(guī)定,并由測評機構,監(jiān)督,由承接軍方項目級別、國防軍工所設計項目重,要性等方面來定級,一級單位負責總體設計,二級單位負責部分設計,三級
4、單位負責零配件設計,由所承接項目合同規(guī)定處理信息級別,依據(jù)密級,范圍規(guī)定,并由測評機構監(jiān)督,定級,方案設計,1.,選擇有涉密資質的承建單位(涉密甲級、乙級),進行系統(tǒng)風險評估;,2.,根據(jù)分保方案指南,bmb23,、分保要求,bmb17,和分保管理規(guī)范,bmb20,進行方案設計;,3.,方案交由測評中心方案評審專家進行審查論證。(集中一批次方案,進行統(tǒng)一審查),方案設計,工程實施,1.,方案通過后,進行項目實施。,2.,實施單位必須有涉密集成資質,如無特殊情況選取就近涉密集成單位。(絕密級信息系統(tǒng)選用甲級資質單位),2.,選擇由工程監(jiān)理單項資質的單位或組織本單位人員進行監(jiān)理。(按照,bmb18
5、,進行工程監(jiān)理),工程實施,分級保護測評流程,4,分級保護測評,申報材料,資料審查,通過?,現(xiàn)場考察,現(xiàn)場測評,修改材料,通過?,專家召開會議,出測評報告,測評報告,60,分,系統(tǒng)整改,是,是,否,否,否,流程圖,是,審查資料,審查資料(實施完畢后),1.,測評申請書,2.,申請單位信息,3.,系統(tǒng)測評委托書,4.,系統(tǒng)基本情況調查表,5.,涉密信息系統(tǒng)建設情況,6.,防護措施調整情況,7.,涉密信息系統(tǒng)物理環(huán)境情況,8.,綜合布線情況,9.,涉密信息系統(tǒng)網絡、應用系統(tǒng)及技術防護情況,10.,系統(tǒng)的安全保密管理情況,返回,現(xiàn)場考察,1.,重點考察與申請書是否描述一致;,2.,簡單審查,不合格項
6、提出整改意見,必須先進行整改;,3.,本次審查不打分。(一般軍工單位會由其上級測評中心來考察),現(xiàn)場考察,返回,現(xiàn)場測評,1.,由國家保密局授權的測評中心或分中心從專家?guī)熘谐檎{專家;,2.,制定測評方案,根據(jù),bmb22,附錄,A,、,B,、,C,測評表進行分保測評;,3.,相關分值記錄在測評表;為不同安全域進行檢測的,每個安全域有各自測評表。,現(xiàn)場測評,返回,現(xiàn)場測評兩大項滿分為,100,分,技術要求測評,70,分,檢測結果滿分為,100,分,管理要求測評,30,分,測評分值,測評技術要求終止項,技術要求,70,分,檢測結果滿分為,100,分,基本測評項,物理隔離,安全保密產品選擇,安全邊界
7、防護,密級標識,信息安全保密,用戶身份鑒別,訪問控制粒度,信息輸出,信息存儲,邊界控制,信息設備電磁泄漏發(fā)射防護,違規(guī)外聯(lián)監(jiān)控,技術中止項,管理要求,30,分,檢測結果滿分為,100,分,管理過程,基本管理要求,管理機構,管理制度,管理人員,集成資質單位選擇,測評管理要求終止項,管理中止項,返回,專家評估,1.,測評機構組織專家評估會,2.,專家組聽取情況,介紹審閱檢測報告,分析測評方法、流程和結果。,3.,給出系統(tǒng)完善意見,專家評估,測評結論,1.,國家保密局負責審批中央和國家機關各部委、一級保密資格單位涉密信息系統(tǒng)。,2.,省級(自治區(qū)、直轄市)保密局負責審批省直機關,二、三級保密資格單位
8、涉密信息系統(tǒng),3.,市級保密局負責審批市直機關、縣直機關涉密信息系統(tǒng)。,測評結論,涉密系統(tǒng)運行時效性,1.,涉密系統(tǒng)運行許可沒有過期日,只有在系統(tǒng)環(huán)境或應用發(fā)生重大改變才需要重過測評。,2.,絕密信息系統(tǒng)每年至少進行一次安全保密測評或保密檢查,3.,秘密機密級信息系統(tǒng)每兩年至少一次安全保密測評或保密檢查,時效性,分級保護測評,系統(tǒng)定級,系統(tǒng)審批,日常管理,測評與檢查,方案設計,工程實施,系統(tǒng)評測,系統(tǒng)廢止,涉密系統(tǒng)生命周期,小故事,你能保密嗎,?,謝 謝,!,內容總結,分級保護測評流程培訓。目 錄。4.涉及國家秘密的信息系統(tǒng)分級保護管理辦法國家保密局 國保發(fā)【2005】16號。所在單位按照處理
9、信息最高級別分為秘密級機密級絕密級。黨政機關(法院、檢查院、省級政府等)。國防軍工(航空、航天、兵器等)。由單位保密辦依據(jù)密級范圍規(guī)定,并由測評機構。由承接軍方項目級別、國防軍工所設計項目重。1.選擇有涉密資質的承建單位(涉密甲級、乙級),進行系統(tǒng)風險評估。2.根據(jù)分保方案指南bmb23、分保要求bmb17和分保管理規(guī)范bmb20進行方案設計。3.方案交由測評中心方案評審專家進行審查論證。2.實施單位必須有涉密集成資質,如無特殊情況選取就近涉密集成單位。2.選擇由工程監(jiān)理單項資質的單位或組織本單位人員進行監(jiān)理。專家召開會議,出測評報告測評報告。2.簡單審查,不合格項提出整改意見,必須先進行整改。2.制定測評方案,根據(jù)bmb22附錄A、B、C測評表進行分保測評。你能保密嗎。謝 謝,