等级保护分级保护文档格式.docx
《等级保护分级保护文档格式.docx》由会员分享,可在线阅读,更多相关《等级保护分级保护文档格式.docx(9页珍藏版)》请在冰豆网上搜索。
等级保护分5个级别:
一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)。
分级保护分3个级别:
秘密级、XX级(XX增强级)、绝密级。
分级保护与等级保护对应关系:
秘密级对应三级、XX级对应四级、绝密级对应五级。
等级保护的重要信息系统(8+2)有哪些?
电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
市(地)级以上党政机关的重要和办公信息系统。
涉及国家秘密的信息系统。
等级保护的主管部门是谁?
公安机关是等级保护工作的主管部门,负责信息安全等级保护工作的监督、检查、指导,国家XX工作部门、国家密码管理部门负责等级保护工作中有关XX工作和密码工作的监督、检查、指导,国信办及地方信息化领导小组办事机构负责等级保护工作部门间的协调,涉及国家秘密信息系统的等级保护监督管理工作由国家XX工作部门负责。
国家密码管理部门在等级保护/分级保护工作中的职责是什么?
国家密码管理部门负责等级保护/分级保护工作中有关XX工作和密码工作的监督、检查、指导。
等级保护的政策依据是哪个文件?
Ø
《中华人民XX国计算机信息系统安全保护条例》(国务院147号令,1994年);
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号);
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);
《信息安全等级保护管理办法》(公通字[2007]43号);
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号);
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)。
公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案?
公安机关负责受理备案并进行备案管理。
信息系统备案后,公安机关对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。
发现不符合《管理办法》及有关标准的,通知备案单位予以纠正。
发现定级不准的,通知运营使用单位或其主管部门重新审核确定。
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
注:
市各部委上报测评中心备案。
等级保护是否是强制性的,可以不做吗?
国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
2级以上信息系统运营、使用单位依据《信息安全等级保护管理办法》和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
备案后3级系统每年进行一次监督检查,4级每半年进行一次监督检查。
等级保护的主要标准有哪些,是否已发布为正式的国家标准?
《信息系统安全等级保护基本要求》(GB/T22239);
《信息系统安全等级保护定级指南》(GB/T22240);
《信息系统安全等级保护实施指南》(国标报批稿);
《信息系统安全等级保护测评规X》(国标报批稿);
《信息安全等级保护实施指南》(试用稿);
《计算机信息系统安全保护等级划分准则》(GB17859-1999)。
哪些单位可以做等级保护的测评?
第三级以上信息系统等级保护测评机构应符合下列条件:
在中华人民XX国境内注册成立(港澳台地区除外);
由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
从事相关检测评估工作两年以上,无XX记录;
工作人员仅限于中国公民;
法人及主要业务、技术人员无犯罪记录;
使用的技术装备、设施应当符合本办法对信息安全产品的要求;
具有完备的XX管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
对国家安全、社会秩序、公共利益不构成威胁。
做了等级测评之后,是否会给发合格证书?
目前,公安机关只对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全等级保护备案证明,发现不符合有关标准的,通知备案单位予以纠正,发现定级不准的,通知备案单位重新审核确定。
没有发测评合格证书。
是否只是在政府行业实行?
企业是否也在等级保护和分级保护X畴之内?
等级保护涉及所有行业,只要有信息系统的单位都在等级保护覆盖X围(涉密系统除外)。
等级保护检查的责任单位是谁?
是公安机关,在检查中需要穿警服及佩带有效证件,协同技术支持单位到单位检查。
同时鼓励各行业开展自查。
分级保护FAQ
分级保护是什么?
涉密信息系统依据国家信息安全等级保护的基本要求,按照国家XX工作部门有关涉密信息系统分级保护的管理规定和技术标准,实施信息安全分级保护的强制执行制度。
涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、XX、绝密三个等级。
分级保护的主管部门是谁?
国家XX工作部门(国家XX局、各省XX局、各地市市XX局)。
分级保护定级到哪里备案?
涉密信息系统建设使用单位将涉密信息系统定级和建设使用情况,上报业务主管部门的XX工作机构和负责系统审批的XX工作部门备案,并接受XX部门的监督、检查、指导。
分级保护的政策依据是哪个文件?
《涉及国家秘密的信息系统分级保护管理办法》(国保发[2005]16号)。
分级保护与等级保护的适用对象分别是什么?
标准体系
国家标准(GB、GB/T)
国家XX标准(BMB,强制执行)
适用对象
非涉密信息系统
涉密信息系统
分级保护有关信息安全的标准相互关系是什么?
BMB17、BMB20为分级保护设计基本依据,BMB23是把BMB17、BMB20技术与管理要XX施落地,BMB18是系统建设实施过程中工程监理依据,BMB22为系统上线前和系统变更中的测评依据。
分级保护与等级保护的定级依据有何区别?
等级保护定级是依据重要业务系统与承载业务运行的网络、设备、系统及单位属性、遭到破坏后所影响的主、客体关系等。
分级保护定级是依据信息的重要性,以信息最高密级确定受保护的级别。
分级保护的建设依据、方案设计、测评分别依据哪些标准?
BMB23是把BMB17、BMB20技术与管理实施落地的建设与设计依据,BMB22为系统上线前和系统变更中的测评依据。
分级保护设计方案是否需要经过评审和审批,谁来评审和审批?
涉密信息系统建设使用单位应对系统设计方案进行审查论证,XX工作部门应当参与方案审查论证,在系统总体安全XX性方面加强指导,严格把关。
涉密信息系统投入使用前,是否需要经过审批,由谁来审批?
涉密信息系统投入使用前,必须经过审批。
未经XX工作部门的审批,涉密信息系统不得投入使用。
审批单位:
国家XX局:
负责审批中央和国家机关各部委及其所属单位、国防武器装备科研生产一级XX资格单位的涉密信息系统;
省(自治区、直辖市)XX局:
负责审批省及机关及其所属单位、国防武器科研生产二、三级XX资格单位的涉密信息系统;
市(地)级XX局:
负责审批市(地)直机关及其所属单位、县直机关所属单位的涉密信息系统。
分级保护系统测评的作用是什么,是否必须做?
涉密系统的分级保护测评是全面地验证所采取的安全XX措施能否满足安全XX需求和安全目标,为涉密信息系统审批提供依据。
系统测评是系统审批的必要环节。
没有经过测评,涉密信息系统将无法通过投入运行的审批。
哪些单位可以做分级保护的测评,有什么资质要求?
目前,国家XX工作部门及国家XX局授权的系统测评机构负责测评,测评机构应具备涉及国家秘密的计算机信息系统集成风险评估单项资质。
分级保护对涉密系统中使用的安全XX产品有哪些要求?
涉密信息系统使用的信息安全XX产品原则上应当选用国产品,并应当通过国家XX局授权的检测机构依据有关国家XX标准进行的检测,通过检测的产品由国家XX局审核发布目录。
涉密系统分级保护多长时间需进行一次安全XX检查?
涉密信息系统投入运行后的安全XX测评,由负责该系统审批的XX工作部门组织系统评测机构进行,以检验系统安全XX措施的有效性和对环境变化的适应性。
秘密级、XX级信息系统:
应每两年至少进行一次安全XX测评或XX检查;
绝密级信息系统:
应每年至少进行一次安全XX测评或XX检查。
各级XX局与各单位XX办的关系是什么?
各级XX局:
国家XX工作部门,负责监督、检查、指导;
各单位XX办:
XX工作机构,负责具体实施。
分级保护的系统集成对厂商的资质有什么要求?
甲级资质单位可在全国X围内承接涉密信息系统的规划、设计和实施业务,并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作,不得从事其它单项资质业务。
乙级资质单位可在所限定的行政区域内承接涉密信息系统的规划、设计和实施业务,并仅可承担本单位承接的涉密信息系统的系统服务和系统咨询工作,不得从事其它单项资质业务。
分级保护的安全建设是否必须监理,对监理资质有什么要求?
在系统建设进行时,应选择具有涉密工程监理单项资质的单位或组织自身力量依据BMB18-2006的要求在安全XX控制、质量控制、进度控制、成本控制、合同管理和文档管理六个方面加强监督检查。
分级保护的哪些具体工作对厂商有单项资质的要求?
单项业务:
(全国,仅限所批准业务)
军工、软件开发、综合布线、系统服务、系统咨询、风险评估、工程监理、数据恢复、屏蔽室建设、XX安防监控。
综合问题
等保与分保的本质区别是什么?
等级保护适用的对象为非涉密信息系统,分级保护适用的对象为涉密信息系统。
等保与分保各有几种级别?
等级保护/分级保护什么区别哪些部门在管理,怎么做?
等保标准体系为国家标准(GB、GB/T),分保标准为国家XX标准(BMB,强制执行),等保适用的对象非涉密信息系统,分保适用的对象涉密信息系统。
公安机关是等级保护工作的主管部门,国家XX工作部门、国家密码管理部门、信息化领导小组负责协调、监督、检查、指导工作。
国家XX工作部门是分级保护工作的主管部门,各省XX局、各地市市XX局负责本辖区监督、检查、指导工作。
企业出现泄密事件上报那些单位?
等级保护归公安十一局,涉及到案件通常是地区内保负责。
等XX级备案是依据单位还是系统?
等级保护备案是依据系统。
风险评估和等级保护的关系?
风险评估是等级保护中的一项重要工作,发改高技[2008]2071号。
等级保护方案设计阶段及实施前是否需要报批?
国家正在制定相关标准预计3年内可以推出GB标准。
对于等保中产品使用及密码产品是否有要求?
密码产品不在等级保护管理X围之内,等保中没有明确对安全产品做要求,在安全产品开发中可以参考《信息安全技术信息系统安全等级保护基本要求》。
升级会员 