分級保護測評流程(宣)課件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,11/7/2009,#,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,單擊此處編輯母版標題樣式,*,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,單擊此處編輯母版標題樣式,分級保護測評流程培訓,咨詢顧問：宣淦淼,分級保護相關標準,1,分級保護測評流程,4,目 錄,分保測評適用范圍,2,涉密系統(tǒng)建立流程,3,分級保護相關標準,1,分級保護測評,1.BMB17-2006,涉及國家秘密的信息系統(tǒng)分級保護技術要求,2.BMB20-2007,涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范,3.BMB22-2007,涉及國家秘密的信息系統(tǒng)分級保護測評指南,4.,涉及國家秘密的信息系統(tǒng)分級保護管理辦法,國家保密局 國保發(fā),【2005】16,號,分級保護,相關標準,分級保護相關標準,分級保護測評指南,所在單位按照處理信息最高級別分為秘密級機密級絕密級；,涉密信息系統(tǒng)測評是依據(jù)國家保密標準，從風險管理角度，分析涉密信息系統(tǒng)所面臨的威脅及其存在的脆弱性，提出有針對性的防護對策和整改措施，為防范和化解涉密信息系統(tǒng)安全保密風險，為涉密信息系統(tǒng)安全保密提供科學依據(jù)。,BMB22-2007,涉及國家秘密的信息系統(tǒng)分級保護測評指南,分級保護測評適用范圍,2,測評適用系統(tǒng),分保適用系統(tǒng),存儲、使用或產(chǎn)生涉密信息的計算機網(wǎng)絡系統(tǒng),處理涉密信息的單獨計算機不參與測評,分級保護適用單位,測評適用單位,黨政機關（法院、檢查院、省級政府等）,國防軍工（航空、航天、兵器等）,非公有制企業(yè),涉密系統(tǒng)建立流程,3,系統(tǒng)定級,方案設計,工程實施,涉密系統(tǒng)建立流程,分級保護測評,系統(tǒng)定級,黨政機關,國防軍工,非公有制企業(yè),由單位保密辦依據(jù)密級范圍規(guī)定，并由測評機構,監(jiān)督,由承接軍方項目級別、國防軍工所設計項目重,要性等方面來定級,一級單位負責總體設計,二級單位負責部分設計,三級單位負責零配件設計,由所承接項目合同規(guī)定處理信息級別，依據(jù)密級,范圍規(guī)定，并由測評機構監(jiān)督,定級,方案設計,1.,選擇有涉密資質(zhì)的承建單位（涉密甲級、乙級），進行系統(tǒng)風險評估；,2.,根據(jù)分保方案指南,bmb23,、分保要求,bmb17,和分保管理規(guī)范,bmb20,進行方案設計；,3.,方案交由測評中心方案評審專家進行審查論證。（集中一批次方案，進行統(tǒng)一審查）,方案設計,工程實施,1.,方案通過后，進行項目實施。,2.,實施單位必須有涉密集成資質(zhì)，如無特殊情況選取就近涉密集成單位。（絕密級信息系統(tǒng)選用甲級資質(zhì)單位）,2.,選擇由工程監(jiān)理單項資質(zhì)的單位或組織本單位人員進行監(jiān)理。（按照,bmb18,進行工程監(jiān)理）,工程實施,分級保護測評流程,4,分級保護測評,申報材料,資料審查,通過？,現(xiàn)場考察,現(xiàn)場測評,修改材料,通過？,專家召開會議，出測評報告,測評報告,60,分,系統(tǒng)整改,是,是,否,否,否,流程圖,是,審查資料,審查資料（實施完畢后）,1.,測評申請書,2.,申請單位信息,3.,系統(tǒng)測評委托書,4.,系統(tǒng)基本情況調(diào)查表,5.,涉密信息系統(tǒng)建設情況,6.,防護措施調(diào)整情況,7.,涉密信息系統(tǒng)物理環(huán)境情況,8.,綜合布線情況,9.,涉密信息系統(tǒng)網(wǎng)絡、應用系統(tǒng)及技術防護情況,10.,系統(tǒng)的安全保密管理情況,返回,現(xiàn)場考察,1.,重點考察與申請書是否描述一致；,2.,簡單審查，不合格項提出整改意見，必須先進行整改；,3.,本次審查不打分。（一般軍工單位會由其上級測評中心來考察）,現(xiàn)場考察,返回,現(xiàn)場測評,1.,由國家保密局授權的測評中心或分中心從專家?guī)熘谐檎{(diào)專家；,2.,制定測評方案，根據(jù),bmb22,附錄,A,、,B,、,C,測評表進行分保測評；,3.,相關分值記錄在測評表；為不同安全域進行檢測的，每個安全域有各自測評表。,現(xiàn)場測評,返回,現(xiàn)場測評兩大項滿分為,100,分,技術要求測評,70,分,檢測結果滿分為,100,分,管理要求測評,30,分,測評分值,測評技術要求終止項,技術要求,70,分,檢測結果滿分為,100,分,基本測評項,物理隔離,安全保密產(chǎn)品選擇,安全邊界防護,密級標識,信息安全保密,用戶身份鑒別,訪問控制粒度,信息輸出,信息存儲,邊界控制,信息設備電磁泄漏發(fā)射防護,違規(guī)外聯(lián)監(jiān)控,技術中止項,管理要求,30,分,檢測結果滿分為,100,分,管理過程,基本管理要求,管理機構,管理制度,管理人員,集成資質(zhì)單位選擇,測評管理要求終止項,管理中止項,返回,專家評估,1.,測評機構組織專家評估會,2.,專家組聽取情況，介紹審閱檢測報告，分析測評方法、流程和結果。,3.,給出系統(tǒng)完善意見,專家評估,測評結論,1.,國家保密局負責審批中央和國家機關各部委、一級保密資格單位涉密信息系統(tǒng)。,2.,省級（自治區(qū)、直轄市）保密局負責審批省直機關，二、三級保密資格單位涉密信息系統(tǒng),3.,市級保密局負責審批市直機關、縣直機關涉密信息系統(tǒng)。,測評結論,涉密系統(tǒng)運行時效性,1.,涉密系統(tǒng)運行許可沒有過期日，只有在系統(tǒng)環(huán)境或應用發(fā)生重大改變才需要重過測評。,2.,絕密信息系統(tǒng)每年至少進行一次安全保密測評或保密檢查,3.,秘密機密級信息系統(tǒng)每兩年至少一次安全保密測評或保密檢查,時效性,分級保護測評,系統(tǒng)定級,系統(tǒng)審批,日常管理,測評與檢查,方案設計,工程實施,系統(tǒng)評測,系統(tǒng)廢止,涉密系統(tǒng)生命周期,小故事,你能保密嗎,?,謝 謝,!,內(nèi)容總結,分級保護測評流程培訓。目 錄。4.涉及國家秘密的信息系統(tǒng)分級保護管理辦法國家保密局 國保發(fā)【2005】16號。所在單位按照處理信息最高級別分為秘密級機密級絕密級。黨政機關（法院、檢查院、省級政府等）。國防軍工（航空、航天、兵器等）。由單位保密辦依據(jù)密級范圍規(guī)定，并由測評機構。由承接軍方項目級別、國防軍工所設計項目重。1.選擇有涉密資質(zhì)的承建單位（涉密甲級、乙級），進行系統(tǒng)風險評估。2.根據(jù)分保方案指南bmb23、分保要求bmb17和分保管理規(guī)范bmb20進行方案設計。3.方案交由測評中心方案評審專家進行審查論證。2.實施單位必須有涉密集成資質(zhì)，如無特殊情況選取就近涉密集成單位。2.選擇由工程監(jiān)理單項資質(zhì)的單位或組織本單位人員進行監(jiān)理。專家召開會議，出測評報告測評報告。2.簡單審查，不合格項提出整改意見，必須先進行整改。2.制定測評方案，根據(jù)bmb22附錄A、B、C測評表進行分保測評。你能保密嗎。謝 謝,