分级保护常见问题及简答

2019-09-12 11:47:01 万方科技整理 51

  分级保护不是等级保护,那么什么系统需要开展分级保护呢?分级保护一般企业或者单位需要开展吗?这些常见的问题,可以在下方粗略了解。

  问题1:分级保护是什么?

  【简答】

  涉密信息系统依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,实施信息安全分级保护的强制执行制度。涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。

  问题2:分级保护的主管部门是谁?

  【简答】

  国家保密工作部门(×××、各省保密局、各地市市保密局)。

  问题3:分级保护定级到哪里备案?

  【简答】

  涉密信息系统建设使用单位将涉密信息系统定级和建设使用情况,上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。

  问题4:分级保护的政策依据是哪个文件?

  【简答】

  《涉及国家秘密的信息系统分级保护管理办法》(国保发[2005]16号)。

  问题5:分级保护与等级保护的适用对象分别是什么?

  【简答】

  标准体系

  国家标准(GB、GB/T)

  国家保密标准(BMB,强制执行)

  适用对象

  非涉密信息系统

  涉密信息系统

  问题6:分级保护有关信息安全的标准相互关系是什么?

  【简答】

  BMB17、BMB20为分级保护设计基本依据,BMB23是把BMB17、BMB20技术与管理要求实施落地,BMB18是系统建设实施过程中工程监理依据,BMB22为系统上线前和系统变更中的测评依据。

  问题7:分级保护与等级保护的定级依据有何区别?

  【简答】

  等级保护定级是依据重要业务系统与承载业务运行的网络、设备、系统及单位属性、遭到破坏后所影响的主、客体关系等。

  分级保护定级是依据信息的重要性,以信息最高密级确定受保护的级别。

  问题8:分级保护的建设依据、方案设计、测评分别依据哪些标准?

  【简答】

  BMB23是把BMB17、BMB20技术与管理实施落地的建设与设计依据,BMB22为系统上线前和系统变更中的测评依据。

  问题9:分级保护设计方案是否需要经过评审和审批,谁来评审和审批?

  【简答】

  涉密信息系统建设使用单位应对系统设计方案进行审查论证,保密工作 部门应当参与方案审查论证,在系统总体安全保密性方面加强指导,严格把关。

  问题10:涉密信息系统投入使用前,是否需要经过审批,由谁来审批?

  【简答】

  涉密信息系统投入使用前,必须经过审批。未经保密工作部门的审批,涉密信息系统不得投入使用。

  审批单位:

  ×××:负责审批中央和国家机关各部委及其所属单位、国防武器装备科研生产一级保密资格单位的涉密信息系统;

  省(自治区、直辖市)保密局:负责审批省及机关及其所属单位、国防武器科研生产二、三级保密资格单位的涉密信息系统;

  市(地)级保密局:负责审批市(地)直机关及其所属单位、县直机关所属单位的涉密信息系统。

  问题11:分级保护系统测评的作用是什么,是否必须做?

  【简答】

  涉密系统的分级保护测评是全面地验证所采取的安全保密措施能否满足安全保密需求和安全目标,为涉密信息系统审批提供依据。

  系统测评是系统审批的必要环节。没有经过测评,涉密信息系统将无法通过投入运行的审批。

  问题12: 哪些单位可以做分级保护的测评,有什么资质要求?

  【简答】

  目前,国家保密工作部门及×××授权的系统测评机构负责测评,测评机构应具备涉及国家秘密的计算机信息系统集成风险评估单项资质。

  问题13:分级保护对涉密系统中使用的安全保密产品有哪些要求?

  【简答】

  涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过×××授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由×××审核发布目录。

  问题14: 涉密系统分级保护多长时间需进行一次安全保密检查?

  【简答】

  涉密信息系统投入运行后的安全保密测评,由负责该系统审批的保密工作部门组织系统评测机构进行,以检验系统安全保密措施的有效性和对环境变化的适应性。

  秘密级、机密级信息系统:应每两年至少进行一次安全保密测评或保密检查;

  绝密级信息系统:应每年至少进行一次安全保密测评或保密检查。

  问题15: 各级保密局与各单位保密办的关系是什么?

  【简答】

  各级保密局:国家保密工作部门,负责监督、检查、指导;

  各单位保密办:保密工作机构,负责具体实施。

  问题16: 分级保护的系统集成对厂商的资质有什么要求?

  【简答】

  甲级资质单位可在全国范围内承接涉密信息系统的规划、设计和实施业务,并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作,不得从事其它单项资质业务。

  乙级资质单位可在所限定的行政区域内承接涉密信息系统的规划、设计和实施业务,并仅可承担本单位承接的涉密信息系统的系统服务和系统咨询工作,不得从事其它单项资质业务。

  问题17: 分级保护的安全建设是否必须监理,对监理资质有什么要求?

  【简答】

  在系统建设进行时,应选择具有涉密工程监理单项资质的单位或组织自身力量依据BMB18-2006的要求在安全保密控制、质量控制、进度控制、成本控制、合同管理和文档管理六个方面加强监督检查。

  问题18: 分级保护的哪些具体工作对厂商有单项资质的要求?

  【简答】

  单项业务:(全国,仅限所批准业务)

  军工、软件开发、综合布线、系统服务、系统咨询、风险评估、工程监理、数据恢复、屏蔽室建设、保密安防监控。

  对于一般性的企业,一般是不用开展分级保护的。如果是涉密单位,一般国家会强制实施分级保护,力度比等保更大。上述内容由网络整理,仅供大家学习参考。

标签: 分级保护