公司保密管理情況報(bào)告

#/17階段工作階段工作標(biāo)準(zhǔn)分級(jí)保護(hù)實(shí)施流程涉及單位管理辦法、技術(shù)妾求

保密法系統(tǒng)定級(jí)—保密局*

備慕設(shè)計(jì)指南、技術(shù)要求

管理規(guī)范、安全產(chǎn)品

標(biāo)準(zhǔn)工程盟理規(guī)范測(cè)評(píng)指癇技術(shù)要求、管理規(guī)范

保密耆理指南測(cè)評(píng)指南是保密局/評(píng)審專F?家組〔召開(kāi)方＜否案評(píng)審會(huì)）工稈實(shí)施系統(tǒng)測(cè)評(píng)管理辦法、技術(shù)妾求

保密法系統(tǒng)定級(jí)—保密局*

備慕設(shè)計(jì)指南、技術(shù)要求

管理規(guī)范、安全產(chǎn)品

標(biāo)準(zhǔn)工程盟理規(guī)范測(cè)評(píng)指癇技術(shù)要求、管理規(guī)范

保密耆理指南測(cè)評(píng)指南是保密局/評(píng)審專F?家組〔召開(kāi)方＜否案評(píng)審會(huì)）工稈實(shí)施系統(tǒng)測(cè)評(píng)系統(tǒng)審批是1-2實(shí)施過(guò)程概述汀汀詳細(xì)系統(tǒng)識(shí)別確定最離密級(jí)確定尿護(hù)等級(jí)上報(bào)審批風(fēng)險(xiǎn)評(píng)姑確定尿護(hù)要求規(guī)劃浚計(jì)方第上報(bào)審查論證制定實(shí)施保密制度確定工稈監(jiān)理方確宦產(chǎn)品集成方提交測(cè)評(píng)申請(qǐng)?zhí)峤粶y(cè)評(píng)資料提交審批申it提交審批資料提交陵止批申請(qǐng)銷(xiāo)毀涉密設(shè)備資料F面對(duì)整個(gè)過(guò)程做簡(jiǎn)單的概述。1.2.1系統(tǒng)定級(jí)依據(jù)《保密法》密級(jí)范圍的規(guī)定，本單位、各部門(mén)組織開(kāi)展對(duì)所屬信息系統(tǒng)摸底調(diào)查工作。按照涉密信息系統(tǒng)所處理信息的最高密級(jí)，由低到高劃分為秘密、機(jī)密和絕密三個(gè)等級(jí)。＞識(shí)別信息系統(tǒng)調(diào)查信息系統(tǒng)所在單位的組織管理結(jié)構(gòu)、管理策略、部門(mén)設(shè)置和部門(mén)在業(yè)務(wù)運(yùn)行中的作用、崗位職責(zé)、系統(tǒng)管理、使用、運(yùn)維的責(zé)任部門(mén)確定業(yè)務(wù)流、數(shù)據(jù)流。＞明確系統(tǒng)定級(jí)依據(jù)業(yè)務(wù)流所產(chǎn)生信息明確最高密級(jí)。＞確定系統(tǒng)保護(hù)級(jí)別根據(jù)本單位信息的最高密級(jí)，依據(jù)BMB-17確定系統(tǒng)的保護(hù)等級(jí)。并整理定級(jí)資料上報(bào)保密部門(mén)審批1.2.2方案設(shè)計(jì)＞選擇建設(shè)方選擇具備國(guó)家涉密資質(zhì)的建設(shè)方設(shè)計(jì)信息系統(tǒng)安全保障體系。＞系統(tǒng)風(fēng)險(xiǎn)評(píng)估在體系規(guī)劃前根據(jù)方案設(shè)計(jì)要素制定詳細(xì)調(diào)研、評(píng)估實(shí)施計(jì)劃，識(shí)別用戶系統(tǒng)存在的脆弱性、風(fēng)險(xiǎn)。＞確定保護(hù)要求根據(jù)可識(shí)別風(fēng)險(xiǎn)結(jié)合客戶實(shí)際需求，確定最終保護(hù)要求。＞規(guī)劃設(shè)計(jì)方案結(jié)合風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)和客戶保護(hù)需求，并依據(jù)分級(jí)保護(hù)方案設(shè)計(jì)指南(BMB-23)規(guī)劃設(shè)計(jì)信息系統(tǒng)安全保障體系。＞設(shè)計(jì)方案論證上報(bào)信息系統(tǒng)安全保障體系詳細(xì)設(shè)計(jì)方案到保密部門(mén)，并組織評(píng)審專家做一次論證。1.2.3工程實(shí)施＞制定保密制度項(xiàng)目實(shí)施前根據(jù)工程具體情況制定涉密管理制度，嚴(yán)格對(duì)人員、設(shè)備、計(jì)劃實(shí)行保密控制。＞選擇項(xiàng)目監(jiān)理項(xiàng)目實(shí)施前選擇具有單項(xiàng)監(jiān)理資質(zhì)的單位對(duì)工程保密、質(zhì)量、進(jìn)度、成本進(jìn)行控制。＞選擇產(chǎn)品集成項(xiàng)目實(shí)施中產(chǎn)品集成方應(yīng)具有涉密資質(zhì)，所有選購(gòu)的安全產(chǎn)品應(yīng)符合保密要求。1.2.4系統(tǒng)測(cè)評(píng)＞提交保密測(cè)評(píng)申請(qǐng)工程實(shí)施結(jié)束后向保密部門(mén)提出系統(tǒng)測(cè)評(píng)申請(qǐng)，由國(guó)家保密部門(mén)授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)組織對(duì)涉密信息系統(tǒng)進(jìn)行安全性測(cè)評(píng)，為一次測(cè)評(píng)為系統(tǒng)最終審批提供依據(jù)。＞提交系統(tǒng)測(cè)評(píng)資料根據(jù)國(guó)家保密部門(mén)授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)要求提供所有測(cè)評(píng)必要的資料。1.2.5系統(tǒng)審批＞提交運(yùn)行前審批申請(qǐng)涉密信息系統(tǒng)在上線運(yùn)行前需要向保密部門(mén)提出系統(tǒng)運(yùn)行審批申請(qǐng)，并組織最終審批結(jié)論專家做論證。＞提交系統(tǒng)審批資料根據(jù)國(guó)家保密部門(mén)所屬審批單位范圍向授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)要求提供所有審批必要的資料。1.2.6日常管理＞制定安全保密管理制度涉密信息系統(tǒng)上線運(yùn)行后，根據(jù)分級(jí)保護(hù)管理規(guī)范制定管理策略、組建管理機(jī)構(gòu)，設(shè)置專職保密管理人員并監(jiān)督制定的執(zhí)行。＞定期風(fēng)險(xiǎn)自查涉密信息系統(tǒng)上線運(yùn)行后，根據(jù)使用單位具體情況進(jìn)行定期或不定期風(fēng)險(xiǎn)自評(píng)估工作，及時(shí)對(duì)系統(tǒng)運(yùn)行、技術(shù)、管理新出現(xiàn)的安全威脅制定安全策略與補(bǔ)充措施，并嚴(yán)格管理評(píng)估數(shù)據(jù)。＞動(dòng)態(tài)調(diào)整安全防護(hù)技術(shù)涉密信息系統(tǒng)上線運(yùn)行后，根據(jù)使用單位系統(tǒng)更新情況與風(fēng)險(xiǎn)自評(píng)估數(shù)據(jù)及時(shí)發(fā)現(xiàn)存在的風(fēng)險(xiǎn)，并動(dòng)態(tài)調(diào)整安全策略適時(shí)補(bǔ)充完善技術(shù)、管理的措施。1.2.7測(cè)評(píng)與檢查＞涉密信息系統(tǒng)保密測(cè)評(píng)與檢査涉密信息系統(tǒng)上線運(yùn)行后，根據(jù)國(guó)家保密部門(mén)要求秘密、機(jī)密級(jí)信息系統(tǒng)每?jī)赡赀M(jìn)行一次安全保密檢查，絕密級(jí)信息系統(tǒng)每一年進(jìn)行一次安全保密檢查。信息系統(tǒng)環(huán)境或應(yīng)用發(fā)生重大改變時(shí)，重新上報(bào)設(shè)計(jì)方案進(jìn)行論證，并重新保密測(cè)評(píng)，檢測(cè)系統(tǒng)的安全保密措施的有效性和環(huán)境變化的適應(yīng)性，發(fā)現(xiàn)隱患及時(shí)采取相應(yīng)的補(bǔ)充保護(hù)措施。1.2.8系統(tǒng)廢止＞提交系統(tǒng)廢止備案申請(qǐng)涉密信息系統(tǒng)不再使用時(shí)，使用單位向保密工作部門(mén)提交系統(tǒng)廢止申請(qǐng)備案。＞退密處理設(shè)備、產(chǎn)品依據(jù)保密規(guī)定對(duì)涉密設(shè)備、產(chǎn)品妥善退密處理。＞銷(xiāo)毀涉密介質(zhì)對(duì)報(bào)廢處理的涉密介質(zhì)采用保密局統(tǒng)一規(guī)定使用的銷(xiāo)毀軟件工具，確保泄密事件不發(fā)生。1?3分級(jí)保護(hù)各相關(guān)方的職責(zé)劃分分級(jí)保護(hù)實(shí)施工程所涉及的主管部門(mén)與協(xié)作單位

協(xié)調(diào)單位實(shí)施內(nèi)容系統(tǒng)所有方國(guó)家保密局系統(tǒng)建設(shè)方產(chǎn)品集成方施工監(jiān)理方評(píng)審專家組授權(quán)測(cè)評(píng)單位結(jié)論專家組系統(tǒng)定級(jí)詳細(xì)系統(tǒng)識(shí)別★V明確處理信息的最咼密級(jí)★V確定系統(tǒng)的保護(hù)等級(jí)★V上報(bào)審核批準(zhǔn)★V系統(tǒng)保護(hù)級(jí)別變更★VV方案設(shè)計(jì)選擇有涉密資質(zhì)的建設(shè)方★對(duì)密級(jí)系統(tǒng)風(fēng)險(xiǎn)評(píng)估V★確定最終保護(hù)要求V★規(guī)劃設(shè)計(jì)、.1>>萬(wàn)案V★上報(bào)審查論證★V工程實(shí)施制定實(shí)施保密控制制度★V選擇有涉密資質(zhì)的監(jiān)理方★選擇有涉密資質(zhì)的產(chǎn)品集成方★系統(tǒng)測(cè)評(píng)提交安全保密測(cè)評(píng)申請(qǐng)★V提交系統(tǒng)測(cè)評(píng)資料★V系統(tǒng)提交運(yùn)行★V

協(xié)調(diào)單位實(shí)施內(nèi)容系統(tǒng)所有方國(guó)家保密局系統(tǒng)建設(shè)方產(chǎn)品集成方施工監(jiān)理方評(píng)審專家組授權(quán)測(cè)評(píng)單位結(jié)論專家組審批前審批申請(qǐng)?zhí)峤幌到y(tǒng)審批資料★V日常管理制定安全保密管理制度★V組建安全保密機(jī)構(gòu)★設(shè)置安全保密專員★定期進(jìn)行風(fēng)險(xiǎn)自查★嚴(yán)格管理定密評(píng)估數(shù)據(jù)★動(dòng)態(tài)調(diào)整安全防護(hù)技術(shù)★V測(cè)評(píng)與檢查每2年進(jìn)行秘密、機(jī)密級(jí)系統(tǒng)保密檢查★V每1年進(jìn)行絕密級(jí)系統(tǒng)保密檢查★V定期進(jìn)行系統(tǒng)安全保密測(cè)評(píng)V★嚴(yán)格管理測(cè)評(píng)、檢查數(shù)據(jù)★系統(tǒng)廢止提交系統(tǒng)廢止備案申請(qǐng)★退密處理設(shè)備、產(chǎn)品★V銷(xiāo)毀處理涉密介質(zhì)★V

說(shuō)明：★代表主要協(xié)調(diào)單位、部門(mén)，"代表輔助協(xié)調(diào)單位、部門(mén)。1.4用戶分級(jí)保護(hù)的實(shí)施要求管理要求內(nèi)容系統(tǒng)定級(jí)涉密信息系統(tǒng)建設(shè)使用單位應(yīng)根據(jù)系統(tǒng)所處理信息的最高密級(jí)，確定系統(tǒng)的保護(hù)等級(jí)，并將系統(tǒng)定級(jí)情況書(shū)面報(bào)本單位保密工作機(jī)構(gòu)或當(dāng)?shù)乇Ｃ芄ぷ鞑块T(mén)審批批準(zhǔn)。對(duì)于包含多個(gè)安全域的信息系統(tǒng)，各安全域可以分別確定保護(hù)等級(jí)。涉密信息系統(tǒng)處理信息的密級(jí)和應(yīng)用情況發(fā)生變化時(shí)，建設(shè)使用單位應(yīng)重新確定系統(tǒng)保護(hù)等級(jí)，并按相應(yīng)等級(jí)要求調(diào)整保護(hù)措施。方案設(shè)計(jì)選擇具有相應(yīng)涉密資質(zhì)的承建單位承擔(dān)活參與涉密信息系統(tǒng)的方案設(shè)計(jì)與實(shí)施。工程實(shí)施與監(jiān)理在工程實(shí)施期間，涉密信息系統(tǒng)建設(shè)使用單位應(yīng)按照BMB17-2006的要求進(jìn)行工程監(jiān)理。在進(jìn)行工程監(jiān)理是，應(yīng)選擇具有涉密工程監(jiān)理單項(xiàng)資質(zhì)的單位或組織自身力量在安全保密控制、質(zhì)量控制、進(jìn)度控制、成本控制、合冋管理和文檔管理留個(gè)方面加強(qiáng)監(jiān)督檢查定期的風(fēng)險(xiǎn)自評(píng)估涉密信息系統(tǒng)經(jīng)過(guò)審批投入運(yùn)行后，建設(shè)使用單位應(yīng)定期進(jìn)行風(fēng)險(xiǎn)自評(píng)估，分析由于系統(tǒng)需求及技術(shù)與管理因素變化而新出現(xiàn)的安全威脅，動(dòng)態(tài)調(diào)整安全朿略，適時(shí)補(bǔ)充和兀善技術(shù)與官理措施，以使系統(tǒng)保持與等級(jí)要求相一致的防護(hù)水平。1.5主管部門(mén)的管理手段管理要求內(nèi)容定級(jí)審批與備案管理系統(tǒng)定級(jí)情況書(shū)面報(bào)本單位保密工作機(jī)構(gòu)或當(dāng)?shù)乇Ｃ芄ぷ鞑块T(mén)審批批準(zhǔn)。國(guó)家保密工作部門(mén)負(fù)責(zé)受理備案并進(jìn)行備案管理。分級(jí)保護(hù)方案申批涉密信息系統(tǒng)建設(shè)使用單位應(yīng)對(duì)系統(tǒng)設(shè)計(jì)方案進(jìn)行申查論證，保密工作部門(mén)應(yīng)當(dāng)參與方案審查論證，在系統(tǒng)總體安全保密性方面加強(qiáng)指導(dǎo)，嚴(yán)格把關(guān)。系統(tǒng)測(cè)評(píng)涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程施工結(jié)束后，應(yīng)向保密工作部門(mén)提出申請(qǐng)，由國(guó)家保密工作部門(mén)授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)對(duì)涉密信息系統(tǒng)進(jìn)行安全保密測(cè)評(píng)，系統(tǒng)全面地驗(yàn)證所采取的安全保密措施能否滿足安全保密需求和安全目標(biāo)，為涉密信息系統(tǒng)審批提供依據(jù)。系統(tǒng)審批國(guó)家對(duì)涉密信息系統(tǒng)拖入運(yùn)行實(shí)行行政審批制度。涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)按照涉密信息系統(tǒng)申批管理辦法的規(guī)定進(jìn)行審批，通過(guò)審批后方可投入使用。未經(jīng)保密工作部門(mén)的審批，涉密信息系統(tǒng)不得投入使用。-國(guó)家保密局：負(fù)責(zé)審批中央和國(guó)家機(jī)關(guān)各部委及其所屬單位、國(guó)

防武器裝備科研生產(chǎn)一級(jí)保密資格單位的涉密信息系統(tǒng)；-?。ㄗ灾螀^(qū)、直轄市）保密局：負(fù)責(zé)審批省及機(jī)關(guān)及其所屬單位、國(guó)防武器科研生產(chǎn)二、三級(jí)保密資格單位的涉密信息系統(tǒng)；-市（地）級(jí)保密局：負(fù)責(zé)審批市（地）直機(jī)關(guān)及其所屬單位、縣直機(jī)關(guān)所屬單位的涉密信息系統(tǒng)。測(cè)評(píng)與檢查系統(tǒng)投入運(yùn)行后，秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)應(yīng)每?jī)赡曛辽龠M(jìn)行一次安全保密測(cè)評(píng)或保密檢查；絕密級(jí)信息系統(tǒng)應(yīng)每年至少進(jìn)行一次安全保密測(cè)評(píng)或保密檢查。涉密信息系統(tǒng)投入運(yùn)行后的安全保密測(cè)評(píng)，由負(fù)責(zé)該系統(tǒng)審批的保密工作部門(mén)組織系統(tǒng)評(píng)測(cè)機(jī)構(gòu)進(jìn)行系統(tǒng)廢止備案涉密信息系統(tǒng)不再使用時(shí)，其建設(shè)使用單位應(yīng)向負(fù)責(zé)該系統(tǒng)審批的保密工作部門(mén)備案，并按照有關(guān)保密規(guī)定妥善處理涉及國(guó)家秘密信息的設(shè)備、產(chǎn)品、介質(zhì)和文檔資料。1?6分級(jí)保護(hù)對(duì)廠商和產(chǎn)品的資質(zhì)管理管理內(nèi)容資質(zhì)類(lèi)型內(nèi)容涉密信息系統(tǒng)集成資質(zhì)甲級(jí)資質(zhì)甲級(jí)資質(zhì)單位可在全國(guó)范圍內(nèi)承接涉密信息系統(tǒng)的規(guī)劃、設(shè)計(jì)和實(shí)施業(yè)務(wù)，并僅可承擔(dān)本單位承建的涉密信息系統(tǒng)的系統(tǒng)服務(wù)和系統(tǒng)咨詢工作，不得從事其它單項(xiàng)資質(zhì)業(yè)務(wù)。乙級(jí)資質(zhì)乙級(jí)資質(zhì)單位可在所限定的行政區(qū)域內(nèi)承接涉密信息系統(tǒng)的規(guī)劃、設(shè)計(jì)和實(shí)施業(yè)務(wù)，并僅可承擔(dān)本單位承接的涉密信息系統(tǒng)的系統(tǒng)服務(wù)和系統(tǒng)咨詢工作，不得從事其它單項(xiàng)資質(zhì)業(yè)務(wù)。軍工系統(tǒng)集成單項(xiàng)資質(zhì)軍工系統(tǒng)集成單項(xiàng)資質(zhì)單位只能在所屬軍工集團(tuán)內(nèi)承接涉密信息系統(tǒng)集成業(yè)務(wù)；單項(xiàng)資質(zhì)：包括涉密信息系統(tǒng)的軟件開(kāi)發(fā)、綜合布線、系統(tǒng)服務(wù)、系統(tǒng)咨詢、風(fēng)險(xiǎn)評(píng)估、屏蔽室建設(shè)、工程監(jiān)理、數(shù)據(jù)恢復(fù)和保密安防監(jiān)控等單項(xiàng)業(yè)務(wù)。單項(xiàng)資質(zhì)單位可在全國(guó)范圍內(nèi)承接所規(guī)定的單項(xiàng)業(yè)務(wù)。取得某一單項(xiàng)資質(zhì)的單位如需從事其它單項(xiàng)業(yè)務(wù)，必須申請(qǐng)相應(yīng)的單項(xiàng)資質(zhì)。涉密信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估資質(zhì)涉密信息系統(tǒng)風(fēng)