涉密信息系統

涉密信息系統與公共信息系統的區別，主要體如今四個方面：

一是信息內容不一樣。涉密信息系統存儲、處理和傳輸的信息涉及國家祕密和其餘敏感信息，應嚴格控制知悉範圍；公共信息系統存儲、處理和傳輸的信息不能涉及國家祕密。

二是設施、設備標準不一樣。涉密信息系統的安全保密設施、設備，必須符合國家保密標準；公共信息系統的安全保密設施、設備也應符合必定技術標準要求，但並不要求執行國家保密標準。

三是檢測審批要求不一樣。涉密信息系統必須知足安全保密要求，符合國家保密標準，投入使用前必須經安全保密檢測評估和審查批准；公共信息系統投入使用前也須要進行相關檢測，但檢測的目的和要求不一樣。

四是使用權限不一樣。涉密信息系統要嚴格控制使用權限；公共信息系統則是開放性的，只要具有必定訪問條件就能夠使用。

 

分級保護

 

一般狀況下對涉密信息系統施以保護都是按照分級原則進行分級實施的。涉密系統的安全管理級別分爲絕密級、機密級、祕密級，有效分級後，才能更進一步實施分級保護，提高管理效能，提高安全標準。

1.祕密級

信息系統當中包含有祕密級的國家祕密，其整體的防禦水平不該該低於國家信息安全等級保護三級的要求，信息系統應該達到分級保護的技術標準。

2.機密級

信息系統當中包含有機密級國家祕密，其防禦水平不該低於國家信息安全等級保護四級要求，同時，還須要符合分級保護的保密技術要求。

3.絕密級

信息系統當中包含有絕密級國家祕密，其防禦水平應不低於國家信息安全等級保護五級要求，需符合分級保護的保密技術要求。同時，絕密級涉密信息系統應該被建設並應用到封閉的場地建築以內，不能與外網鏈接。 

管理依據

 

2000年12月，第九屆全國人大常委會第十九次會議經過《關於維護互聯網安全的決定》。此外，我國還頒佈了《計算機信息系統保密管理暫行規定》、《計算機信息系統國際聯網保密管理規定》、《計算機信息網絡國際互聯網安全保護管理辦法》、《互聯網信息服務管理辦法》、《涉及國家祕密的信息系統審批管理規定》、《信息系統和信息設備使用保密管理規定》等。

2003年9月，中共中央辦公廳、國務院辦公廳轉發的《國家信息化領導小組關於增強信息安全保障工做的意見》（中辦發[2003]27號）提出「實行信息安全等級保護」的要求，並指出「對涉及國家祕密的信息系統，要按照黨和國家有關保密規定進行保護」。

2004年12月，中共中央保密委員會下發的《關於增強信息安全保障工做中保密管理的若干意見》（中保委發[2004]7號）指出，我國的國家祕密分爲祕密、機密、絕密三級，涉密信息系統也按照祕密、機密、絕密三級進行分級管理。爲貫徹國家信息安全等級保護制度，落實中央文件精神，國家保密局下發《涉及國家祕密的信息系統分級保護管理辦法》（國保發[2005]16號），並陸續制定了國家保密標準BMB17-2006《涉及國家祕密的信息系統分級保護技術要求》、BMB20-2007《涉及國家祕密的信息系統分級保護管理規範》、BMB22-2007《涉及國家祕密的信息系統分級保護測評指南》、BMB23-2008《涉及國家祕密的信息系統分級保護方案設計指南》，用於指導涉密信息系統的建設、使用和管理。分級保護工做從技術要求、方案設計、管理規範到安全測評，具有了一套完整的標準與規範。

這些規章和標準對採集、存儲、處理、傳遞、輸出國家祕密信息的計算機系統做了規定。《保密法》針對當前涉密信息系統頻繁泄密的嚴峻形勢和我國近些年來對涉密信息系統管理的作法，對涉密信息系統的保密管理做了規定。《保密法》第二十三條確立了涉密信息系統分級保護原則，規定了涉密信息系統保密設施、設備規劃建設和配備要求，還規定涉密信息系統投入使用必須經檢查合格。第二十四條是關於信息系統和信息設備保密管理的禁止性規定。 

 

管理原則

 

（1）適度安全的原則：因爲信息泄露、溢用、非法訪問或非法修改而形成的危險和損害相適應的安全。沒有絕對安全的信息系統（網絡），任何安全措施都是有限度的。關鍵在於「實事求是」、「因地制宜」地去肯定安全措施的「度」，即根據信息系統因缺少安全性形成損害後果的嚴重程度來決定採起什麼樣的安全措施。

（2）按最高密級防禦的原則：涉密信息系統處理多種密級的信息時，應當按照最高密級採起防禦措施。

（3）最小化受權的原則：涉密信息系統的建設規模要最小化，非工做所必需的單位和崗位，不得建設政務內網和設有內網終端；其次，涉密信息系統中涉密信息的訪問權限要最小化，非工做必需知悉的人員，不得具備關涉密信息的訪問權限。

（4）同步建設、嚴格把關的原則：涉密信息系統的建設必需要與安全保密設施的建設同步規劃、同步實施、同步發展。要對涉密信息系統建設的全過程（各個環節）進行保密審查、審批、把關。要防止並糾正「先建設，後防御，重使用，輕安全」的傾向，創建健全涉密信息系統使用審批制度。不通過保密部門的審批和論證，信息系統不得處理國家祕密信息。

（5）內、外網物理隔離的原則。即「涉及國家祕密的通訊、辦公自動化和計算機信息系統不得直接或間接與國際互聯網或其餘公共信息網絡相鏈接，必須實行物理隔離。」

（6）安全保密措施與信息密級一致的原則。涉密信息系統應當採起安全保密措施，並保證所採起措施的力度與所處理信息的祕密等級相一致。

（7）資格認證的原則。涉密信息系統安全保密全面解決方案的設計、系統集成及系統維修工做，應委託通過國家保密部門批准授予資質證書的單位承擔。涉密系統不得采用未經國家主管部門鑑定、承認的保密技術設備，更不許使用國外進口的各種安全防範產品包括軟件。

（8）以人爲本、注重管理的原則：涉密信息系統的安全保密三分靠技術，七分靠管理。增強管理能夠彌補技術上的不足；而放棄管理則再好的技術也不安全。 

 

保密規定

編輯

1.規劃和建設計算機信息系統，應當同步規劃落實相應的保密設施。

2.計算機信息系統的研製、安裝和使用，必須符合保密要求。

3.計算機信息系統應當採起有效的保密措施，配置合格的保密專用設備，防泄密、防竊密。所採起的保密措施應與所處理信息的密級要求相一致。

4.計算機信息系統聯網應當採起系統訪問控制、數據保護和系統安全保密監控管理等技術措施。

5.計算機信息系統的訪問應當按照權限控制，不得進行越權操做。未採起技術安全保密措施的數據庫不得聯網。

 

系統建設

 

涉密信息系統的建設應當選擇具備「涉密信息系統集成資質」的單位承擔或者參與涉密信息系統的設計與實施。

涉密信息系統使用的信息安全產品原則上應當選用國產產品，並應當經過國家保密局受權的檢測機構依據有關國家保密標準進行的檢測，經過檢測的產品由國家保密局審覈發佈目錄。

涉密信息系統建設使用單位在系統工程實施結束後，應當向保密工做部門提出申請，由國家保密局受權的系統測評機構，依據國家保密標準BMB22-2007《涉及國家祕密的計算機信息系統分級保護測評指南》，對建成的涉密信息系統進行安全保密測評。

涉密信息系統建設使用單位在系統投入使用前，應當按照《涉及國家祕密的信息系統審批管理規定》，向設區的市級以上保密工做部門申請進行系統審批，涉密信息系統經過審批後方可投入使用。已投入使用的涉密信息系統，其建設使用單位在按照分級保護要求完成系統整改後，應當向保密工做部門備案。

 

掃一掃，加我微信瞭解更多