涉密项目的流程65674.docx
《涉密项目的流程65674.docx》由会员分享,可在线阅读,更多相关《涉密项目的流程65674.docx(14页珍藏版)》请在冰豆网上搜索。
涉密项目的流程65674
项目整体流程
系统定级—→方案设计—→项目预评测—→项目招投标(报财政局项目采购立项、跟财政局协商招标方式、确定招标机构、编制招标文件、招标)—→工程实施—→系统测评—→系统审批—→日常管理—→测试与检查—→系统废止。
关键环节是:
项目招投标过程:
一般流程是报财政局进展采购项目立项、跟财政局协商招标方式、确定招标机构、编制招标文件、招标,重点控制项目招标的细节要求,特别是招标文件中的设备参数要求与评标方法确实定,这两局部是项目成功的关键,在这个环节每有一个变化我们都要与时沟通。
分级保护整体工作流程
系统定级—→方案设计—→工程实施—→系统测评—→系统审批—→日常管理—→测试与检查—→系统废止。
实施过程概述
下面对整个过程做简单的概述。
1.1.1系统定级
依据《某某法》密级X围的规定,本单位、各部门组织开展对所属信息系统摸底调查工作。
按照涉密信息系统所处理信息的最高密级,由低到高划分为秘密、某某和绝密三个等级。
Ø识别信息系统
调查信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责、系统管理、使用、运维的责任部门确定业务流、数据流。
Ø明确系统定级
依据业务流所产生信息明确最高密级。
Ø确定系统保护级别
根据本单位信息的最高密级,依据BMB-17确定系统的保护等级。
并整理定级资料上报某某部门审批
1.1.2方案设计
Ø选择建设方
选择具备国家涉密资质的建设方设计信息系统安全保障体系。
Ø系统风险评估
在体系规划前根据方案设计要素制定详细调研、评估实施计划,识别用户系统存在的脆弱性、风险。
Ø确定保护要求
根据可识别风险结合客户实际需求,确定最终保护要求。
Ø规划设计方案
结合风险评估数据和客户保护需求,并依据分级保护方案设计指南〔BMB-23〕规划设计信息系统安全保障体系。
Ø设计方案论证
上报信息系统安全保障体系详细设计方案到某某部门,并组织评审专家做一次论证。
1.1.3工程实施
Ø制定某某制度
项目实施前根据工程具体情况制定涉密管理制度,严格对人员、设备、计划实行某某控制。
Ø选择项目监理
项目实施前选择具有单项监理资质的单位对工程某某、质量、进度、本钱进展控制。
Ø选择产品集成
项目实施中产品集成方应具有涉密资质,所有选购的安全产品应符合某某要求。
1.1.4系统测评
Ø提交某某测评申请
工程实施完毕后向某某部门提出系统测评申请,由国家某某部门授权的系统测评机构组织对涉密信息系统进展安全性测评,为一次测评为系统最终审批提供依据。
Ø提交系统测评资料
根据国家某某部门授权的系统测评机构要求提供所有测评必要的资料。
1.1.5系统审批
Ø提交运行前审批申请
涉密信息系统在上线运行前需要向某某部门提出系统运行审批申请,并组织最终审批结论专家做论证。
Ø提交系统审批资料
根据国家某某部门所属审批单位X围向授权的系统测评机构要求提供所有审批必要的资料。
1.1.6日常管理
Ø制定安全某某管理制度
涉密信息系统上线运行后,根据分级保护管理规X制定管理策略、组建管理机构,设置专职某某管理人员并监视制定的执行。
Ø定期风险自查
涉密信息系统上线运行后,根据使用单位具体情况进展定期或不定期风险自评估工作,与时对系统运行、技术、管理新出现的安全威胁制定安全策略与补充措施,并严格管理评估数据。
Ø动态调整安全防护技术
涉密信息系统上线运行后,根据使用单位系统更新情况与风险自评估数据与时发现存在的风险,并动态调整安全策略适时补充完善技术、管理的措施。
1.1.7测评与检查
Ø涉密信息系统某某测评与检查
涉密信息系统上线运行后,根据国家某某部门要求秘密、某某级信息系统每两年进展一次安全某某检查,绝密级信息系统每一年进展一次安全某某检查。
信息系统环境或应用发生重大改变时,重新上报设计方案进展论证,并重新某某测评,检测系统的安全某某措施的有效性和环境变化的适应性,发现隐患与时采取相应的补充保护措施。
1.1.8系统废止
Ø提交系统废止备案申请
涉密信息系统不再使用时,使用单位向某某工作部门提交系统废止申请备案。
Ø退密处理设备、产品
依据某某规定对涉密设备、产品妥善退密处理。
Ø销毁涉密介质
对报废处理的涉密介质采用某某局统一规定使用的销毁软件工具,确保泄密事件不发生。
分级保护各相关方的职责划分
分级保护实施工程所涉与的主管部门与协作单位
协调单位
实施内容
系统所有方
国家某某局
系统建设方
产品集成方
施工监理方
评审专家组
授权测评单位
结论专家组
系统定级
详细系统识别
★
√
明确处理信息的最高密级
★
√
确定系统的保护等级
★
√
上报审核批准
★
√
系统保护级别变更
★
√
√
方案设计
选择有涉密资质的建设方
★
对密级系统风险评估
√
★
确定最终保护要求
√
★
规划设计方案
√
★
上报审查论证
★
√
工程实施
制定实施某某控制制度
★
√
选择有涉密资质的监理方
★
选择有涉密资质的产品集成方
★
系统测评
提交安全某某测评申请
★
√
提交系统测评资料
★
√
系统审批
提交运行前审批申请
★
√
提交系统审批资料
★
√
日常管理
制定安全某某管理制度
★
√
组建安全某某机构
★
设置安全某某专员
★
定期进展风险自查
★
严格管理定密评估数据
★
动态调整安全防护技术
★
√
测评与检查
每2年进展秘密、某某级系统某某检查
★
√
每1年进展绝密级系统某某检查
★
√
定期进展系统安全某某测评
√
★
严格管理测评、检查数据
★
系统废止
提交系统废止备案申请
★
退密处理设备、产品
★
√
销毁处理涉密介质
★
√
说明:
★代表主要协调单位、部门,√代表辅助协调单位、部门。
用户分级保护的实施要求
管理要求
内容
系统定级
涉密信息系统建设使用单位应根据系统所处理信息的最高密级,确定系统的保护等级,并将系统定级情况书面报本单位某某工作机构或当地某某工作部门审批批准。
对于包含多个安全域的信息系统,各安全域可以分别确定保护等级。
涉密信息系统处理信息的密级和应用情况发生变化时,建设使用单位应重新确定系统保护等级,并按相应等级要求调整保护措施。
方案设计
选择具有相应涉密资质的承建单位承当活参与涉密信息系统的方案设计与实施。
工程实施与监理
在工程实施期间,涉密信息系统建设使用单位应按照BMB17-2006的要求进展工程监理。
在进展工程监理是,应选择具有涉密工程监理单项资质的单位或组织自身力量在安全某某控制、质量控制、进度控制、本钱控制、合同管理和文档管理留个方面加强监视检查
定期的风险自评估
涉密信息系统经过审批投入运行后,建设使用单位应定期进展风险自评估,分析由于系统需求与技术与管理因素变化而新出现的安全威胁,动态调整安全策略,适时补充和完善技术与管理措施,以使系统保持与等级要求相一致的防护水平。
主管部门的管理手段
管理要求
内容
定级审批与备案管理
系统定级情况书面报本单位某某工作机构或当地某某工作部门审批批准。
国家某某工作部门负责受理备案并进展备案管理。
分级保护方案审批
涉密信息系统建设使用单位应对系统设计方案进展审查论证,某某工作部门应当参与方案审查论证,在系统总体安全某某性方面加强指导,严格把关。
系统测评
涉密信息系统建设使用单位在系统工程施工完毕后,应向某某工作部门提出申请,由国家某某工作部门授权的系统测评机构对涉密信息系统进展安全某某测评,系统全面地验证所采取的安全某某措施能否满足安全某某需求和安全目标,为涉密信息系统审批提供依据。
系统审批
国家对涉密信息系统拖入运行实行行政审批制度。
涉密信息系统建设使用单位在系统投入使用前,应按照涉密信息系统审批管理方法的规定进展审批,通过审批后方可投入使用。
未经某某工作部门的审批,涉密信息系统不得投入使用。
–国家某某局:
负责审批中央和国家机关各部委与其所属单位、国防武器装备科研生产一级某某资格单位的涉密信息系统;
–省〔自治区、直辖市〕某某局:
负责审批省与机关与其所属单位、国防武器科研生产二、三级某某资格单位的涉密信息系统;
–市〔地〕级某某局:
负责审批市〔地〕直机关与其所属单位、县直机关所属单位的涉密信息系统。
测评与检查
系统投入运行后,秘密级、某某级信息系统应每两年至少进展一次安全某某测评或某某检查;绝密级信息系统应每年至少进展一次安全某某测评或某某检查。
涉密信息系统投入运行后的安全某某测评,由负责该系统审批的某某工作部门组织系统评测机构进展
系统废止备案
涉密信息系统不再使用时,其建设使用单位应向负责该系统审批的某某工作部门备案,并按照有关某某规定妥善处理涉与国家秘密信息的设备、产品、介质和文档资料。
分级保护对厂商和产品的资质管理
管理内容
资质类型
内容
涉密信息系统集成资质
甲级资质
甲级资质单位可在全国X围内承接涉密信息系统的规划、设计和实施业务,并仅可承当本单位承建的涉密信息系统的系统服务和系统咨询工作,不得从事其它单项资质业务。
乙级资质
乙级资质单位可在所限定的行政区域内承接涉密信息系统的规划、设计和实施业务,并仅可承当本单位承接的涉密信息系统的系统服务和系统咨询工作,不得从事其它单项资质业务。
军工系统集成单项资质
军工系统集成单项资质单位只能在所属军工集团内承接涉密信息系统集成业务;
单项资质:
包括涉密信息系统的软件开发、综合布线、系统服务、系统咨询、风险评估、屏蔽室建设、工程监理、数据恢复和某某安防监控等单项业务。
单项资质单位可在全国X围内承接所规定的单项业务。
取得某一单项资质的单位如需从事其它单项业务,必须申请相应的单项资质。
涉密信息系统风险评估资质
涉密信息系统风险评估单项资质
涉密信息系统工程监理资质
涉密信息系统工程监理单项资质
系统测评
由国家某某工作部门授权的系统测评机构
安全某某产品选择
涉密信息系统中使用的安全某某产品应选用国产设备。
安全某某产品应通过国家相关主管部门授权的测评机构的检测。
计算机病毒防护产品
应获得公安机关批准
密码产品
应获得国家密码管理部门批准
其他安全某某产品如身份鉴别、访问控制、安全审计、入侵检测和电磁泄漏发射防护等产品
应获得国家某某工作部门批准。