涉密项目流程.docx

涉密项目流程.docx

《涉密项目流程.docx》由会员分享，可在线阅读，更多相关《涉密项目流程.docx（14页珍藏版）》请在冰豆网上搜索。

涉密项目流程

项目整体流程

系统定级—→方案设计—→项目预评测—→项目招投标（报财政局项目采购立项、跟财政局协商招标方式、确定招标机构、编制招标文件、招标）—→工程实施—→系统测评—→系统审批—→日常管理—→测试与检查—→系统废止。

关键环节是：

项目招投标过程：

一般流程是报财政局进行采购项目立项、跟财政局协商招标方式、确定招标机构、编制招标文件、招标，重点控制项目招标的细节要求，特别是招标文件中的设备参数要求及评标办法的确定，这两部分是项目成功的关键，在这个环节每有一个变化我们都要及时沟通。

分级保护整体工作流程

系统定级—→方案设计—→工程实施—→系统测评—→系统审批—→日常管理—→测试与检查—→系统废止。

实施过程概述

下面对整个过程做简单的概述。

1.1.1系统定级

依据《保密法》密级范围的规定，本单位、各部门组织开展对所属信息系统摸底调查工作。

按照涉密信息系统所处理信息的最高密级，由低到高划分为秘密、机密和绝密三个等级。

Ø识别信息系统

调查信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责、系统管理、使用、运维的责任部门确定业务流、数据流。

Ø明确系统定级

依据业务流所产生信息明确最高密级。

Ø确定系统保护级别

根据本单位信息的最高密级，依据BMB-17确定系统的保护等级。

并整理定级资料上报保密部门审批

1.1.2方案设计

Ø选择建设方

选择具备国家涉密资质的建设方设计信息系统安全保障体系。

Ø系统风险评估

在体系规划前根据方案设计要素制定详细调研、评估实施计划，识别用户系统存在的脆弱性、风险。

Ø确定保护要求

根据可识别风险结合客户实际需求，确定最终保护要求。

Ø规划设计方案

结合风险评估数据和客户保护需求，并依据分级保护方案设计指南（BMB-23）规划设计信息系统安全保障体系。

Ø设计方案论证

上报信息系统安全保障体系详细设计方案到保密部门，并组织评审专家做一次论证。

1.1.3工程实施

Ø制定保密制度

项目实施前根据工程具体情况制定涉密管理制度，严格对人员、设备、计划实行保密控制。

Ø选择项目监理

项目实施前选择具有单项监理资质的单位对工程保密、质量、进度、成本进行控制。

Ø选择产品集成

项目实施中产品集成方应具有涉密资质，所有选购的安全产品应符合保密要求。

1.1.4系统测评

Ø提交保密测评申请

工程实施结束后向保密部门提出系统测评申请，由国家保密部门授权的系统测评机构组织对涉密信息系统进行安全性测评，为一次测评为系统最终审批提供依据。

Ø提交系统测评资料

根据国家保密部门授权的系统测评机构要求提供所有测评必要的资料。

1.1.5系统审批

Ø提交运行前审批申请

涉密信息系统在上线运行前需要向保密部门提出系统运行审批申请，并组织最终审批结论专家做论证。

Ø提交系统审批资料

根据国家保密部门所属审批单位范围向授权的系统测评机构要求提供所有审批必要的资料。

1.1.6日常管理

Ø制定安全保密管理制度

涉密信息系统上线运行后，根据分级保护管理规范制定管理策略、组建管理机构，设置专职保密管理人员并监督制定的执行。

Ø定期风险自查

涉密信息系统上线运行后，根据使用单位具体情况进行定期或不定期风险自评估工作，及时对系统运行、技术、管理新出现的安全威胁制定安全策略与补充措施，并严格管理评估数据。

Ø动态调整安全防护技术

涉密信息系统上线运行后，根据使用单位系统更新情况与风险自评估数据及时发现存在的风险，并动态调整安全策略适时补充完善技术、管理的措施。

1.1.7测评与检查

Ø涉密信息系统保密测评与检查

涉密信息系统上线运行后，根据国家保密部门要求秘密、机密级信息系统每两年进行一次安全保密检查，绝密级信息系统每一年进行一次安全保密检查。

信息系统环境或应用发生重大改变时，重新上报设计方案进行论证，并重新保密测评，检测系统的安全保密措施的有效性和环境变化的适应性，发现隐患及时采取相应的补充保护措施。

1.1.8系统废止

Ø提交系统废止备案申请

涉密信息系统不再使用时，使用单位向保密工作部门提交系统废止申请备案。

Ø退密处理设备、产品

依据保密规定对涉密设备、产品妥善退密处理。

Ø销毁涉密介质

对报废处理的涉密介质采用保密局统一规定使用的销毁软件工具，确保泄密事件不发生。

分级保护各相关方的职责划分

分级保护实施工程所涉及的主管部门与协作单位

协调单位

实施内容

系统所有方

国家保密局

系统建设方

产品集成方

施工监理方

评审专家组

授权测评单位

结论专家组

系统定级

详细系统识别

★

√

明确处理信息的最高密级

★

√

确定系统的保护等级

★

√

上报审核批准

★

√

系统保护级别变更

★

√

√

方案设计

选择有涉密资质的建设方

★

对密级系统风险评估

√

★

确定最终保护要求

√

★

规划设计方案

√

★

上报审查论证

★

√

工程实施

制定实施保密控制制度

★

√

选择有涉密资质的监理方

★

选择有涉密资质的产品集成方

★

系统测评

提交安全保密测评申请

★

√

提交系统测评资料

★

√

系统审批

提交运行前审批申请

★

√

提交系统审批资料

★

√

日常管理

制定安全保密管理制度

★

√

组建安全保密机构

★

设置安全保密专员

★

定期进行风险自查

★

严格管理定密评估数据

★

动态调整安全防护技术

★

√

测评与检查

每2年进行秘密、机密级系统保密检查

★

√

每1年进行绝密级系统保密检查

★

√

定期进行系统安全保密测评

√

★

严格管理测评、检查数据

★

系统废止

提交系统废止备案申请

★

退密处理设备、产品

★

√

销毁处理涉密介质

★

√

说明：

★代表主要协调单位、部门，√代表辅助协调单位、部门。

用户分级保护的实施要求

管理要求

内容

系统定级

涉密信息系统建设使用单位应根据系统所处理信息的最高密级，确定系统的保护等级，并将系统定级情况书面报本单位保密工作机构或当地保密工作部门审批批准。

对于包含多个安全域的信息系统，各安全域可以分别确定保护等级。

涉密信息系统处理信息的密级和应用情况发生变化时，建设使用单位应重新确定系统保护等级，并按相应等级要求调整保护措施。

方案设计

选择具有相应涉密资质的承建单位承担活参与涉密信息系统的方案设计与实施。

工程实施与监理

在工程实施期间，涉密信息系统建设使用单位应按照BMB17-2006的要求进行工程监理。

在进行工程监理是，应选择具有涉密工程监理单项资质的单位或组织自身力量在安全保密控制、质量控制、进度控制、成本控制、合同管理和文档管理留个方面加强监督检查

定期的风险自评估

涉密信息系统经过审批投入运行后，建设使用单位应定期进行风险自评估，分析由于系统需求及技术与管理因素变化而新出现的安全威胁，动态调整安全策略，适时补充和完善技术与管理措施，以使系统保持与等级要求相一致的防护水平。

主管部门的管理手段

管理要求

内容

定级审批与备案管理

系统定级情况书面报本单位保密工作机构或当地保密工作部门审批批准。

国家保密工作部门负责受理备案并进行备案管理。

分级保护方案审批

涉密信息系统建设使用单位应对系统设计方案进行审查论证，保密工作部门应当参与方案审查论证，在系统总体安全保密性方面加强指导，严格把关。

系统测评

涉密信息系统建设使用单位在系统工程施工结束后，应向保密工作部门提出申请，由国家保密工作部门授权的系统测评机构对涉密信息系统进行安全保密测评，系统全面地验证所采取的安全保密措施能否满足安全保密需求和安全目标，为涉密信息系统审批提供依据。

系统审批

国家对涉密信息系统拖入运行实行行政审批制度。

涉密信息系统建设使用单位在系统投入使用前，应按照涉密信息系统审批管理办法的规定进行审批，通过审批后方可投入使用。

未经保密工作部门的审批，涉密信息系统不得投入使用。

–国家保密局：

负责审批中央和国家机关各部委及其所属单位、国防武器装备科研生产一级保密资格单位的涉密信息系统；

–省（自治区、直辖市）保密局：

负责审批省及机关及其所属单位、国防武器科研生产二、三级保密资格单位的涉密信息系统；

–市（地）级保密局：

负责审批市（地）直机关及其所属单位、县直机关所属单位的涉密信息系统。

测评与检查

系统投入运行后，秘密级、机密级信息系统应每两年至少进行一次安全保密测评或保密检查；绝密级信息系统应每年至少进行一次安全保密测评或保密检查。

涉密信息系统投入运行后的安全保密测评，由负责该系统审批的保密工作部门组织系统评测机构进行

系统废止备案

涉密信息系统不再使用时，其建设使用单位应向负责该系统审批的保密工作部门备案，并按照有关保密规定妥善处理涉及国家秘密信息的设备、产品、介质和文档资料。

分级保护对厂商和产品的资质管理

管理内容

资质类型

内容

涉密信息系统集成资质

甲级资质

甲级资质单位可在全国范围内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。

乙级资质

乙级资质单位可在所限定的行政区域内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承接的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。

军工系统集成单项资质

军工系统集成单项资质单位只能在所属军工集团内承接涉密信息系统集成业务；

单项资质：

包括涉密信息系统的软件开发、综合布线、系统服务、系统咨询、风险评估、屏蔽室建设、工程监理、数据恢复和保密安防监控等单项业务。

单项资质单位可在全国范围内承接所规定的单项业务。

取得某一单项资质的单位如需从事其它单项业务，必须申请相应的单项资质。

涉密信息系统风险评估资质

涉密信息系统风险评估单项资质

涉密信息系统工程监理资质

涉密信息系统工程监理单项资质

系统测评

由国家保密工作部门授权的系统测评机构

安全保密产品选择

涉密信息系统中使用的安全保密产品应选用国产设备。

安全保密产品应通过国家相关主管部门授权的测评机构的检测。

计算机病毒防护产品

应获得公安机关批准

密码产品

应获得国家密码管理部门批准

其他安全保密产品如身份鉴别、访问控制、安全审计、入侵检测和电磁泄漏发射防护等产品

应获得国家保密工作部门批准。