收藏
下载资源

新版等级保护分级保护.pdf.pdf

上传人:暗伤 文档编号:4224850 上传时间:2021-06-16 格式:PDF 页数:12 大小:67.21KB
返回 下载 相关 举报
新版等级保护分级保护.pdf.pdf_第1页
第1页 / 共12页
新版等级保护分级保护.pdf.pdf_第2页
第2页 / 共12页
点击查看更多>>
资源描述

《新版等级保护分级保护.pdf.pdf》由会员分享,可在线阅读,更多相关《新版等级保护分级保护.pdf.pdf(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、等级保护 /分级保护 等级保护 /分级保护FAQ 第 2 页共 12 页 目录 1等级保护FAQ. 3 1.1什么是等级保护、有什么用?. 3 1.2信息安全等级保护制度的意义与作用? . 3 1.3等级保护与分级保护各分为几个等级,对应关系是什么? . 3 1.4等级保护的重要信息系统(8+2)有哪些? . 4 1.5等级保护的主管部门是谁?. 4 1.6国家密码管理部门在等级保护/分级保护工作中的职责是什么? . 4 1.7等级保护的政策依据是哪个文件? . 4 1.8公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案?. 5 1.9等级保护是否是强制性的,可以不做吗? . 5 1

2、.10等级保护的主要标准有哪些,是否已发布为正式的国家标准? . 5 1.11哪些单位可以做等级保护的测评?. 6 1.12做了等级测评之后,是否会给发合格证书?. 6 1.13是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? . 6 1.14等级保护检查的责任单位是谁?. 7 2分级保护FAQ. 7 2.1分级保护是什么?. 7 2.2分级保护的主管部门是谁?. 7 2.3分级保护定级到哪里备案?. 7 2.4分级保护的政策依据是哪个文件? . 7 2.5分级保护与等级保护的适用对象分别是什么? . 7 2.6分级保护有关信息安全的标准相互关系是什么? . 8 2.7分级保护

3、与等级保护的定级依据有何区别? . 8 2.8分级保护的建设依据、方案设计、测评分别依据哪些标准? . 8 2.9分级保护设计方案是否需要经过评审和审批,谁来评审和审批? . 8 2.10涉密信息系统投入使用前,是否需要经过审批,由谁来审批? . 8 2.11分级保护系统测评的作用是什么,是否必须做? . 9 2.12哪些单位可以做分级保护的测评,有什么资质要求? . 9 2.13分级保护对涉密系统中使用的安全保密产品有哪些要求? . 9 2.14涉密系统分级保护多长时间需进行一次安全保密检查? . 9 2.15各级保密局与各单位保密办的关系是什么?. 10 2.16分级保护的系统集成对厂商的

4、资质有什么要求? . 10 2.17分级保护的安全建设是否必须监理,对监理资质有什么要求? . 10 2.18分级保护的哪些具体工作对厂商有单项资质的要求? . 10 3综合问题 .11 3.1等保与分保的本质区别是什么?. 11 3.2等保与分保各有几种级别?. 11 3.3等级保护 /分级保护什么区别哪些部门在管理,怎么做? . 11 3.4企业出现泄密事件上报那些单位? . 11 3.5等保定级备案是依据单位还是系统? . 12 3.6风险评估和等级保护的关系?. 12 3.7方案设计阶段及实施前是否需要报批? . 12 3.8对于等保中产品使用及密码产品是否有要求? . 12 等级保护

5、 /分级保护FAQ 第 3 页共 12 页 等级保护 / 分级保护 FAQ 1 等级保护 FAQ 1.1 什么是等级保护、有什么用? 【解释】 是我国实施信息安全管理的一项法定制度,1994年147号令、 2003年27号文件、 2004年66号文件 都有明确规定,信息系统安全实施等级化保护和等级化管理。 等级化管理是一种普遍适用的管理方法,是适用于我国当前实际的一种有效的信息安全管理方 法。 开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工 作中国家意志的体现。 1.2 信息安全等级保护制度的意义与作用? 【解释】 实施信息安全等级保护制度能够有效地提高

6、我国信息和信息系统安全建设的整体水平。实施信息 安全等级保护制度有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相 协调,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建 设成本。 优化信息安全资源配置, 对信息系统分级实施保护, 重点保障 基础信息网络 和关系国家安全、 经 济命脉、社会稳定 等方面重要信息系统的安全。 明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理,推动信息安全产业的发 展,逐步探索出一条适应我国社会主义市场经济发展的信息安全模式。 1.3 等级保护与分级保护各分为几个等级,对应关系是什么? 【解释】

7、等级保护分 5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制 保护)、五级(专控保护)。 等级保护 /分级保护FAQ 第 4 页共 12 页 分级保护分 3个级别:秘密级、机密级(机密增强级)、绝密级。 分级保护与等级保护对应关系:秘密级对应三级、机密级对应四级、绝密级对应五级。 1.4 等级保护的重要信息系统(8+2 )有哪些? 【解释】 电信、广电行业的公用通信网、 广播电视传输网等基础信息网络,经营性公众互联网信息服务单 位、互联网接入服务单位、数据中心等单位的重要信息系统。 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、

8、 人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商 行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 市(地)级以上党政机关的重要网站和办公信息系统。 涉及国家秘密的信息系统。 1.5 等级保护的主管部门是谁? 【解释】 公安机关 是等级保护工作的主管部门,负责信息安全等级保护工作的监督、检查、指导,国家保 密工作部门、国家密码管理部门负责等级保护工作中有关保密工作和密码工作的监督、检查、指导, 国信办及地方信息化领导小组办事机构负责等级保护工作部门间的协调, 涉及国家秘密信息系统的等 级保护监督管理工作由国家保密工作部门负责。 1.6

9、 国家密码管理部门在等级保护/分级保护工作中的职责是什么? 【解释】 国家密码管理部门负责等级保护/分级保护工作中有关保密工作和密码工作的监督、检查、指 导。 1.7 等级保护的政策依据是哪个文件? 【解释】 中华人民共和国计算机信息系统安全保护条例(国务院 147 号令, 1994 年) ; 国家信息化领导小组关于加强信息安全保障工作的意见(中办发 200327 号) ; 等级保护 /分级保护FAQ 第 5 页共 12 页 关于信息安全等级保护工作的实施意见(公通字 200466 号) ; 信息安全等级保护管理办法 (公通字 200743 号) ; 关于开展全国重要信息系统安全等级保护定级工

10、作的通知(公信安 2007861 号) ; 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技 20082071 号)。 1.8 公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案? 【解释】 公安机关负责受理备案并进行备案管理。信息系统备案后,公安机关对信息系统的备案情况 进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合管理办 法及有关标准的,通知备案单位予以纠正。发现定级不准的,通知运营使用单位或其主管部门 重新审核确定。 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30 日内,由其运营、使 用单位到所在地设区的市级以上

11、公安机关办理备案手续。 新建第二级以上信息系统, 应当在投入运行后30 日内,由其运营、 使用单位到所在地设区的 市级以上公安机关办理备案手续。 注:北京市各部委上报北京测评中心备案。 1.9 等级保护是否是强制性的,可以不做吗? 【解释】 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息 系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩 序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 2 级以上信息系统运营、使用单位依据信息安全等级保护管理办法和相关技术标准对信 息系统进行保护,国家有关信息安全监管部门

12、对其信息安全等级保护工作进行监督管理。 备案后 3 级系统每年进行一次监督检查,4 级每半年进行一次监督检查。 1.10等级保护的主要标准有哪些,是否已发布为正式的国家标准? 【解释】 信息系统安全等级保护基本要求 (GB/T22239) ; 信息系统安全等级保护定级指南 (GB/T22240) ; 等级保护 /分级保护FAQ 第 6 页共 12 页 信息系统安全等级保护实施指南 (国标报批稿); 信息系统安全等级保护测评规范 (国标报批稿); 信息安全等级保护实施指南 (试用稿); 计算机信息系统安全保护等级划分准则(GB 17859-1999) 。 1.11哪些单位可以做等级保护的测评?

13、【解释】 第三级以上信息系统等级保护测评机构应符合下列条件: 在中华人民共和国境内注册成立(港澳台地区除外); 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外); 从事相关检测评估工作两年以上,无违法记录; 工作人员仅限于中国公民; 法人及主要业务、技术人员无犯罪记录; 使用的技术装备、设施应当符合本办法对信息安全产品的要求; 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; 对国家安全、社会秩序、公共利益不构成威胁。 1.12做了等级测评之后,是否会给发合格证书? 【解释】 目前,公安机关只对信息系统的备案情况进行审核,对符合等级保护要求的,颁

14、发信息系统 安全等级保护备案证明,发现不符合有关标准的,通知备案单位予以纠正,发现定级不准的,通 知备案单位重新审核确定。没有发测评合格证书。 1.13是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴 之内? 【解释】 等级保护涉及所有行业,只要有信息系统的单位都在等级保护覆盖范围(涉密系统除外)。 等级保护 /分级保护FAQ 第 7 页共 12 页 1.14等级保护检查的责任单位是谁? 【解释】 是公安机关,在检查中需要穿警服及佩带有效证件,协同技术支持单位到单位检查。同时鼓 励各行业开展自查。 2 分级保护 FAQ 2.1 分级保护是什么? 【解释】 涉密信息系统依据国家信息安全

15、等级保护的基本要求,按照国家保密工作部门有关涉密信息 系统分级保护的管理规定和技术标准,实施信息安全分级保护的强制执行制度 。涉密信息系统按 照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。 2.2 分级保护的主管部门是谁? 【解释】 国家保密工作部门(国家保密局、各省保密局、各地市市保密局)。 2.3 分级保护定级到哪里备案? 【解释】 涉密信息系统建设使用单位将涉密信息系统定级和建设使用情况,上报业务主管部门的保密 工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。 2.4 分级保护的政策依据是哪个文件? 【解释】 涉及国家秘密的信息系统分级保护管理

16、办法(国保发 200516 号) 。 2.5 分级保护与等级保护的适用对象分别是什么? 【解释】 等级保护 /分级保护FAQ 第 8 页共 12 页 标准体系国家标准( GB 、GB/T)国家保密标准(BMB ,强制执行) 适用对象非涉密信息系统涉密信息系统 2.6 分级保护有关信息安全的标准相互关系是什么? 【解释】 BMB17、BMB20 为分级保护设计基本依据,BMB23 是把 BMB17 、BMB20 技术与管理要求 实施落地, BMB18 是系统建设实施过程中工程监理依据,BMB22 为系统上线前和系统变更中的 测评依据。 2.7 分级保护与等级保护的定级依据有何区别? 【解释】 等

17、级保护定级是依据重要业务系统与承载业务运行的网络、设备、系统及单位属性、遭到破 坏后所影响的主、客体关系等。 分级保护定级是依据信息的重要性,以信息最高密级确定受保护的级别。 2.8 分级保护的建设依据、方案设计、测评分别依据哪些标准? 【解释】 BMB23 是把 BMB17、BMB20 技术与管理实施落地的建设与设计依据,BMB22 为系统上线 前和系统变更中的测评依据。 2.9 分级保护设计方案是否需要经过评审和审批,谁来评审和审批? 【解释】 涉密信息系统建设使用单位应对系统设计方案进行审查论证,保密工作部门应当参与方案审 查论证,在系统总体安全保密性方面加强指导,严格把关。 2.10涉

18、密信息系统投入使用前,是否需要经过审批,由谁来审批? 【解释】 涉密信息系统投入使用前,必须经过审批。未经保密工作部门的审批,涉密信息系统不得投 入使用。 等级保护 /分级保护FAQ 第 9 页共 12 页 审批单位: 国家保密局:负责审批中央和国家机关各部委及其所属单位、国防武器装备科研生产一级保 密资格单位的涉密信息系统; 省(自治区、直辖市)保密局:负责审批省及机关及其所属单位、国防武器科研生产二、三 级保密资格单位的涉密信息系统; 市(地)级保密局:负责审批市(地)直机关及其所属单位、县直机关所属单位的涉密信息 系统。 2.11分级保护系统测评的作用是什么,是否必须做? 【解释】 涉密

19、系统的分级保护测评是全面地验证所采取的安全保密措施能否满足安全保密需求和安全 目标,为涉密信息系统审批提供依据。 系统测评是系统审批的必要环节。没有经过测评, 涉密信息系统将无法通过投入运行的审批。 2.12哪些单位可以做分级保护的测评,有什么资质要求? 【解释】 目前,国家保密工作部门及国家保密局授权的系统测评机构 负责测评,测评机构应具备涉及 国家秘密的计算机信息系统集成风险评估单项资质。 2.13分级保护对涉密系统中使用的安全保密产品有哪些要求? 【解释】 涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权 的检测机构依据有关国家保密标准进行的检测,通过检测

20、的产品由国家保密局审核发布目录。 2.14涉密系统分级保护多长时间需进行一次安全保密检查? 【解释】 涉密信息系统投入运行后的安全保密测评,由负责该系统审批的保密工作部门组织系统评测 机构进行,以检验系统安全保密措施的有效性和对环境变化的适应性。 秘密级、机密级信息系统:应每两年至少进行一次安全保密测评或保密检查; 等级保护 /分级保护FAQ 第 10 页共 12 页 绝密级信息系统:应每年至少进行一次安全保密测评或保密检查。 2.15各级保密局与各单位保密办的关系是什么? 【解释】 各级保密局:国家保密工作部门,负责监督、检查、指导; 各单位保密办:保密工作机构,负责具体实施。 2.16分级

21、保护的系统集成对厂商的资质有什么要求? 【解释】 甲级资质单位可在全国范围内承接涉密信息系统的规划、设计和实施业务,并仅可承担本单 位承建的涉密信息系统的系统服务和系统咨询工作,不得从事其它单项资质业务。 乙级资质单位可在所限定的行政区域内承接涉密信息系统的规划、设计和实施业务,并仅可 承担本单位承接的涉密信息系统的系统服务和系统咨询工作,不得从事其它单项资质业务。 2.17分级保护的安全建设是否必须监理,对监理资质有什么要求? 【解释】 在系统建设进行时,应选择具有涉密工程监理单项资质的单位或组织自身力量依据 BMB18-2006 的要求在安全保密控制、质量控制、进度控制、成本控制、合同管理

22、和文档管理六 个方面加强监督检查。 2.18分级保护的哪些具体工作对厂商有单项资质的要求? 【解释】 单项业务:(全国,仅限所批准业务) 军工、软件开发、综合布线、系统服务、系统咨询、风险评估、工程监理、数据恢复、屏蔽 室建设、保密安防监控。 等级保护 /分级保护FAQ 第 11页共 12 页 3 综合问题 3.1 等保与分保的本质区别是什么? 【解释】 等级保护适用的对象为非涉密信息系统,分级保护适用的对象为涉密信息系统。 3.2 等保与分保各有几种级别? 【解释】 等级保护分 5 个级别:一级(自主保护) 、二级(指导保护)、三级(监督保护)、四级(强制 保护) 、五级(专控保护)。 分级

23、保护分 3 个级别:秘密级、机密级(机密增强级) 、绝密级。 分级保护与等级保护对应关系:秘密级对应三级、机密级对应四级、绝密级对应五级。 3.3 等级保护 /分级保护什么区别哪些部门在管理,怎么做? 【解释】 标准体系国家标准( GB、GB/T)国家保密标准(BMB ,强制执行) 适用对象非涉密信息系统涉密信息系统 等保标准体系为国家标准(GB、GB/T) ,分保标准为国家保密标准(BMB ,强制执行),等 保适用的对象非涉密信息系统,分保适用的对象涉密信息系统。 公安机关是等级保护工作的主管部门,国家保密工作部门、国家密码管理部门、信息化领导 小组负责协调、监督、检查、指导工作。 国家保密

24、工作部门是分级保护工作的主管部门,各省保密局、各地市市保密局负责本辖区监 督、检查、指导工作。 3.4 企业出现泄密事件上报那些单位? 【解释】 等级保护归公安十一局,涉及到案件通常是北京地区内保负责。 等级保护 /分级保护FAQ 第 12 页共 12 页 3.5 等保定级备案是依据单位还是系统? 【解释】 等级保护备案是依据系统。 3.6 风险评估和等级保护的关系? 【解释】 风险评估是等级保护中的一项重要工作,发改高技20082071 号。 3.7 等级保护方案设计阶段及实施前是否需要报批? 【解释】 国家正在制定相关标准预计3 年内可以推出 GB 标准。 3.8 对于等保中产品使用及密码产品是否有要求? 【解释】 密码产品不在等级保护管理范围之内,等保中没有明确对安全产品做要求,在安全产品开发 中可以参考信息安全技术信息系统安全等级保护基本要求 。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 技术资料 > 技术方案

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁