管理制度标准与管理体系P

信息平安xx管理

第三章信息平安xx管理制度、标准

与管理体系2024秋本章课程提纲信息平安、密码管理体制概述保密管理制度与标准体系平安保密管理体系2本章课程提纲信息平安、密码管理体制概述信息平安管理体制现状国家信息平安管理体制建设国家信息平安管理机构框架我国国家信息平安监控管理体系我国国家信息平安测评认证管理体制我国国家密码管理体制3本章课程提纲信息平安、密码管理体制概述信息平安管理体制现状国家信息平安管理体制建设国家信息平安管理机构框架我国国家信息平安监控管理体系我国国家信息平安测评认证管理体制我国国家密码管理体制4信息平安管理体制现状5我国长期以来一直十分重视信息平安工作敏感性、特殊性和战略性的高度自始至终置于党和国家的绝对领导之下国家密码管理部门、平安机关、公安机关和保密主管部门等分工协作6我国信息平安管理工作的机构格局国家信息化领导小组对信息化建设中的重大问题进行管理成员包括中央、国务院和军队有关部门的主要负责人信息化领导小组办公室为办事机构国家信息化专家咨询委员会聘请有关专家组成，负责就我国信息化开展中的重大问题向国家信息化领导小组提出建议信息平安管理体制现状7我国信息平安管理工作的机构格局政府有关信息平安的其他管理和执法部门公安部、国家平安部、国家保密局、国家密码管理委员会、国务院新闻办公室国家网络与信息平安协调小组负责对信息平安工作的领导和协调信息平安管理体制现状本章课程提纲信息平安、密码管理体制概述信息平安管理体制现状国家信息平安管理体制建设国家信息平安管理机构框架我国国家信息平安监控管理体系我国国家信息平安测评认证管理体制我国国家密码管理体制8建设原那么统一管理、分级负责、群防群治、以人为本统一管理原那么要健全信息平安行政管理体制按照中央统一领导、充分发挥地方主动性积极性的原那么，明确中央各部门和地方对信息平安的管理权责要加强国家信息平安组织协调逐步建立中央统一协调、地方密切配合的管理体系9国家信息平安管理体制建设建设原那么分级负责原那么中央政府各部门：承担国家信息平安保障体系建设、管理和运行任务。各省级的政府部门：承担所辖范围信息平安保障体系建设、管理和运行。大企业承担国家信息平安根底设施的建设、管理和运行，按照隶属关系实行归口管理。各级各类信息平安机构和人员必须严格遵守信息平安管理制度。10国家信息平安管理体制建设建设原那么群防群治原那么各级政府：主要承担国家信息平安保障的立法、执法、规划、方案、监督、检查和掌握关键技术、要害部位企业：主要承担产品开发、体系建设、运营保障、技术效劳等任务个人：主要承担依法获取信息、利用信息和保护信息平安的责任军队：军队信息平安保障是国家信息平安保障的重要组成局部11国家信息平安管理体制建设建设原那么以人为本原那么多层次、多渠道、大规模的开展人才培训积极营造国家信息平安优秀人才脱颖而出和人尽其用的政策环境大力提高全民信息平安意识各级政府应成立信息平安专家咨询委员会12国家信息平安管理体制建设本章课程提纲信息平安、密码管理体制概述信息平安管理体制现状国家信息平安管理体制建设国家信息平安管理机构框架我国国家信息平安监控管理体系我国国家信息平安测评认证管理体制我国国家密码管理体制13国家信息化领导小组对信息化建设中重大问题进行管理信息化领导小组办公室作为信息平安工作的办事机构，负责组织和制定有关信息平安的政策、法规和标准，并监督其执行情况国家网络与信息平安协调小组负责对信息平安工作的领导和跨部门的协调成员有工信部、公安部、国家保密局、国家密码管理委员会、国家平安部等14国家信息平安管理机构框架国家保密局：主管全国计算机信息系统的保密工作国家密码管理委员会：主管密码算法与设备的审批和使用工作国务院新闻办公室：负责信息内容的监察15国家信息平安管理机构框架公安部公共信息网络平安监察局：负责计算机信息系统平安专业产品的生产销售认证许可工作公安部计算机信息系统平安产品质量监督检验中心：承担国内计算机信息系统产品的质量监督检测工作国家平安部：主管计算机网络国际联网的国家平安防护管理工作16国家信息平安管理机构框架国家信息平安委员会由国家信息化领导小组领导，是国家信息平安保障工作的最高领导机构，承担国家信息平安保障的组织指挥、方案协调、执法管理等重要任务。成员由来自政府和军队各部门领导人员组成，包括外交部长、财政部长、国家平安部长、国家保密局长、科技部长、国家开展改革委员会主任、国防部长、工信部部长、公安部长、教育部长、中央机要局长、交通部长、广电总局局长、总参谋长等。主席由主管信息平安工作的副总理担任。下设12个分委员会17国家信息平安管理机构框架本章课程提纲信息平安、密码管理体制概述信息平安管理体制现状国家信息平安管理体制建设国家信息平安管理机构框架我国国家信息平安监控管理体系我国国家信息平安测评认证管理体制我国国家密码管理体制18我国国家信息平安监控管理体系国家信息平安监控的作用信息平安监控已成为维护国家平安、不断加强自身获取有用信息能力的重要手段之一保密法、国家平安法等为国家和军队的监控行为提供了法律根底信息平安监控已逐渐成为执法部门进行犯罪调查取证时广泛采用的手段之一19我国国家信息平安监控管理体系国家信息平安监控的作用政治方面可及时发现国外反动势力的政治图谋、恐怖方案可及时掌握国内反政府势力、分裂分子、恐怖分子和刑事犯罪分子的活动情况可及时掌握舆论方向，更有针对性的进行引导经济方面可及时发现贪污受贿、走私贩毒、金融诈骗、洗钱炒汇等经济犯罪信息军事方面可及时发现和掌握国外军事集团开展、军事装备研究、军事组织调动、军事理论研究、军事情报传递等军事信息20我国国家信息平安监控管理体系国家信息平安监控的作用文化方面特别是对国际互联网等计算机网络的实时监控，可及时发现和处置网络攻击、病毒传播、文化入侵等情况，是对网络和系统实施保护、监测和过滤有害信息、打击网络犯罪的有效方法。我国应建立以全球信息平安监控系统和国内信息平安监控系统相结合的管理体制。21我国国家信息平安监控管理体系国家信息平安监控管理机构国际信息平安监控系统国安信息平安监控系统由国家平安部负责负责国外政治、经济、文化、外交等信息的拦截、分析、分类和处理等监控工作国防信息平安监控系统由总参谋部负责负责对国外军事信息的拦截、破译、分析、处理等双方的有效合作形成完整的国际信息平安监控系统22我国国家信息平安监控管理体系国家信息平安监控管理机构国内信息平安监控系统国家公众信息平安监控系统由公安部负责主要实施对利用通信网、广电网、互联网进行计算机病毒传播、网络犯罪、有害信息传播、网络恐怖活动等危害公众平安利益活动的监控、刑侦、处理工作。国家信息平安监控系统由国家平安部负责主要实施对国内外敌对势力利用计算机网络进行反动宣传、渗透和攻击，筹划和制造事端，破坏社会稳定等活动的信息收集和分析、处理等工作。23我国国家信息平安监控管理体系国家信息平安监控管理机构国内信息平安监控系统军事信息平安监控系统由总参谋部负责主要实施对国防信息、军事信息、外交信息等各种信息的整理、存储、分析和监控工作国家保密信息平安监控系统由国家保密局负责主要实施对涉及国家政治、经济、军事、科技、文化等各种涉密信息的监控、分析和处理。其中军事信息由总参谋部负责。24本章课程提纲信息平安、密码管理体制概述信息平安管理体制现状国家信息平安管理体制建设国家信息平安管理机构框架我国国家信息平安监控管理体系我国国家信息平安测评认证管理体制我国国家密码管理体制25我国国家信息平安测评认证管理体制国家信息平安测评认证管理原那么科学不断完善先进的技术方法，采用统一的测试标准，形成模块化、表格化的测试流程。公正按照科学的标准，客观公正的面向送检单位，形成测、评、认相对独立、互相制约的监督机制。严谨要有严谨的工作作风，要有严格的审核、检测和审批制度。高效不断提高工作效率，特别强调效劳态度和效劳质量。26我国国家信息平安测评认证管理体制国家信息平安测评认证工作的特点权威性中国信息平安产品测评认证管理委员会是代表国家从事信息平安〔保密〕产品测评认证工作的唯一管理机构，颁发的证书必须得到全国使用信息平安产品的各专业领域的认可强制性国家选用的信息平安保密产品必须经过国家测评认证，未经认证的产品不得使用监督性中国信息平安测评认证管理委员会有关部门负有对全国信息平安保密产品进行监督检查的职能27我国国家信息平安测评认证管理体制国家信息平安测评认证管理机构国家信息平安测评认证管理委员会是中国信息平安测评认证管理的最高机构负责指导、管理和授权有关测评认证机构，包括中国信息平安产品测评认证中心，各行业、各部门测评认证中心，实验室等28我国国家信息平安测评认证管理体制国家信息平安测评认证管理机构中国信息平安测评中心与中国信息平安认证中心对国内外信息平安产品和信息技术进行测评和认证对国内信息系统和工程进行平安性评估和认证对提供信息平安效劳的组织和单位进行评估和认证对信息平安专业人员的资质进行评估和认证29我国国家信息平安测评认证管理体制国家信息平安测评认证管理机构中国人民解放军信息平安测评认证中心为军队和国内的信息平安保密产品研发单位提供测评认证技术效劳为军队信息平安保密产品用户提供相应的技术支持效劳30我国国家信息平安测评认证管理体制国家信息平安测评认证管理机构公安部计算机信息系统平安产品质量监督检验中心承担对网络平安保护、防雷击、防病毒三大类产品的销售许可检测工作。检测范围包括：功能检测、性能检测和系统评估。公安部信息平安等级保护评估中心按照有关标准对局部平安专用产品进行分级测试，目的是验证等级保护配套标准、评估工具、评估方法和评估内容。31我国国家信息平安测评认证管理体制国家信息平安测评认证管理机构国家保密局涉密信息系统平安保密产品测评认证中心对用于涉密信息系统的保密产品进行检测，对涉密信息系统进行平安保密测评国家信息平安授权测评实验室是由中国信息平安测评认证管理委员会批准和授权的实验机构32我国国家信息平安测评认证管理体制国家信息平安测评认证管理过程信息系统平安测评认证流程申请及文档审查阶段工程启动阶段系统平安要求检查及现场核查阶段平安性测试阶段认证与认可阶段33本章课程提纲信息平安、密码管理体制概述信息平安管理体制现状国家信息平安管理体制建设国家信息平安管理机构框架我国国家信息平安监控管理体系我国国家信息平安测评认证管理体制我国国家密码管理体制34密码是国家的重要战略资源。密码是信息时代社会生活不可或缺的根本要素密码是信息平安的核心和关键技术密码的生产、使用和传播往往牵涉着一个国家的重大平安利益世界各国均对密码实施严格的管制35我国国家密码管理体制我国国家密码管理体制国家密码管理的根本原那么党管密码原那么密码是党和国家的核心机密。必须加强党对信息平安密码保障工作的领导。统一管理原那么实现密码集中统一管理，统一组织密码的研制、生产、配备、使用，确保密码和密码设施平安、可靠运行。分级负责原那么健全密码组织管理体系，合理划分中央、地方、军队在密码管理上的职能权限，充分发挥各级密码管理部门的作用。36我国国家密码管理体制国家密码管理的根本原那么依法治理原那么坚持依法治理密码工作的方针，完善密码管理政策法规，加大执法力度，严格密码科研、生产、配备、使用程序。行政监控原那么密码产品和技术对国家平安而言是一种支持力量，同时也是一种威胁。国家行政部门有责任依法对密码及其产品的使用实施监控。满足需求原那么密码管理工作必须适应经济全球化和进一步开放的大环境，遵从“满足需求、方便使用〞的原那么。37我国国家密码管理体制国家密码管理机构和职能38国家商业密码管理委员会军队密码技术研究所国家密码技术研究所地方密码管理委员会国家密码管理委员会军队密码管理委员会中央密码工作领导小组密码方案分析审定机构密码产品测评认证机构我国国家密码管理体制密码产品测评认证在密码产品使用或集成到系统之前，对其本身及相关组件的平安性进行测试，给予认证，并以此作为国家各部门尤其是政府机构采购密码产品的标准要求，是非常有意义且相当重要的环节。密码产品通常用于确保计算机和信息系统的平安性，保护敏感数据或有价值的数据和信息。密码产品设计和实现中的问题将对系统的平安性造成致命的危害。39我国国家密码管理体制40认可的密码产品测试实验室密码产品制造厂商证书国家测评认证机构国家测评认证机构国家测评认证机构密码产品测试报告国家测评认证机构国家测评认证机构已认证的密码产品清单1.国家测评认证机构发布测试和实现指南2.进行一致性测试：编写测试报告实验室提交问题寻求指导并得到解释3.提交给国家测评认证机构待确认4.发布认证证书国家测评认证机构发已认证的密码模块清单本节课程提纲信息平安、密码管理体制概述信息平安保密管理标准体系分级保护制度体系分级保护标准体系信息平安保密管理体系41涉密网络分级保护定义是指涉密网络的实施使用单位根据分级保护管理方法和有关标准，对涉密网络分等级进行保护，各级保密行政管理部门根据涉密网络的保护等级进行监督管理，确保网络和信息的平安、保密。涉密网络分级保护分级标准涉密网络按照所涉及到的国家秘密的最高级别，由低到高划分为秘密、机密〔机密增强〕和绝密三个等级42分级保护制度体系分级保护根本原那么标准定密，准确定级依据标准，同步建设突出重点，确保核心明确责任，加强监督43分级保护制度体系分级保护根本原那么标准定密，准确定级涉密网络的建设、使用单位应当依据保密法和相关的实施条例，建立科学的定密机制，标准定密准确界定涉密网络所处理信息的最高密级，并依此确定系统的保护等级44分级保护制度体系分级保护根本原那么依据标准，同步建设建设使用单位在涉密网络的规划中，应当符合国家相关的保密管理规定和标准，采取的方案应当符合对应的技术要求和管理标准在规划、建设网络的同时，应同步进行保密设施设备的规划和建设，从技术和管理两个方面对涉密网络整体防护45分级保护制度体系分级保护根本原那么突出重点，确保核心建设使用单位应充分考虑自身实际，根据业务需求，充分考虑网络存储、处理信息的密级和数量、网络所面临的风险与威胁等因素，明确所要保护的重点，优化资源配置涉密网络的规划与建设需要紧紧围绕国家秘密信息这一核心，确保网络和信息的平安46分级保护制度体系分级保护根本原那么明确责任，加强监督涉密网的建设使用单位需要建立并落实完善的平安保密责任制度，明确平安保密策略，设置平安保密管理人员，制度明晰，责任到人涉密单位还应当定期开展保密自查，接受并积极配合保密管理部门的监督检查47分级保护制度体系分级保护工作体制国家保密管理部门负责指导、监督和检查全国涉密网络的分级保护工作地方各级保密管理部门负责指导、监督和检查本行政区域内涉密网络分级保护工作中央和国家机关各部门在职权范围内，主管、指导本部门和本系统涉密网络的分级保护工作48分级保护制度体系分级保护工作体制国家保密科技测评中心经国家保密局授权，负责中央和国家机关及其所属单位涉密网络平安保密的测评工作各省、自治区、直辖市分中心经国家保密局授权，负责本地区省直机关、市县直机关及其所属单位涉密网络平安保密的测评工作国防科工与各集团公司分中心经国家保密局授权，负责各集团公司总部以及下属单位涉密网络平安保密测评工作49分级保护制度体系分级保护工作体制涉密网络使用单位按照“谁主管谁负责，谁使用谁负责〞的原那么，负责本单位涉密网络分级保护工作的具体实施各部门之间需要通力协作，合理保障网络分级保护工作〔保密部门、信息化部门、业务部门、保卫、人事等〕单位领导应高度重视，加强组织领导，保障措施到位、人员到位和资金到位50分级保护制度体系分级保护过程管理分级保护过程系统定级方案设计论证工程实施系统测评系统审批日常管理测评与检查系统废止51分级保护制度体系八个环节贯穿涉密网络的整个生命周期，每个环节都应满足相应的保密管理要求使用单位应按照分级保护工作流程，突出重点环节，强化过程管理系统规划设计阶段系统建设阶段系统不再使用系统投入使用阶段分级保护过程管理分级保护系统定级环节按照网络规划设计处理信息的最高密级，秘密、机密、绝密。按照相应级别的保护要求进行保护根据信息密级、部门职责和平安策略等因素，划分不同平安级别的平安域，采取不同强度的防护措施52分级保护制度体系分级保护过程管理分级保护方案设计论证环节结合自身实际和业务需求，在平安保密风险与本钱中找到平衡点依据相关标准与指南中的要求设计系统建设保护方案设计中要注意平安保密防护措施与实际系统的结合，设计符合实际系统的方案对方案进行审查论证时，应当与保密管理部门共同参与53分级保护制度体系分级保护过程管理分级保护工程实施环节组织自身力量或通过具有涉密信息系统集成资质的单位，严格依据分级保护建设方案，实施工程建设。组织自身力量或选择工程监理资质单位，依据相关要求，在质量控制、进度控制、本钱控制等方面进行工程监理54分级保护制度体系分级保护过程管理分级保护系统测评环节投入使用前必须经过平安保密测评系统工程实施完毕后，建设使用单位向保密工作部门申请进行系统测评测评工作由国家保密局涉密信息系统平安保密测评中心及分中心负责进行系统测评55分级保护制度体系分级保护过程管理分级保护系统审批环节涉密信息系统在投入运行后前，应经过保密工作部门根据系统测评结果进行的审批对符合标准的批准使用，对不符合的提出整改意见，整改后继续审批。未经审批，不得擅自使用涉密网络环境或保密设施设备变更时，须向审批单位报告56分级保护制度体系分级保护过程管理分级保护日常管理环节网络投入使用后，应根据标准要求，结合实际制定责任明确的平安保密管理策略日常管理包括根本管理要求，人员管理、物理环境与设施管理、信息保密管理等57分级保护制度体系分级保护过程管理分级保护测评与检查环节涉密信息系统投入运行后还应定期进行平安保密测评和检查使用单位应进行自查，并接受保密管理部门的监督检查秘密级、机密级信息系统应每两年至少进行一次平安保密测评或保密检查绝密级信息系统应每年至少进行一次平安保密测评或保密检查58分级保护制度体系分级保护过程管理分级保护系统废止环节涉密信息系统不再使用时，使用单位需向保密管理部门备案按要求对涉密设备、产品、信息载体等进行处理59分级保护制度体系本章课程提纲信息平安保密管理标准体系分级保护制度体系分级保护标准体系60分级保护标准的体系框架涉密网分级保护标准是根据分级保护工作的实际需要，结合国内外的先进经验，与国家相关法规和标准体系有机结合其体系框架61分级保护标准体系62《中华人民共和国保守国家秘密法》《关于加强信息安全保障工作中保密管理的若干意见》《涉及国家秘密的信息系统分级保护管理办法》《涉及国家秘密的信息系统分级保护技术要求》BMB17-2006《涉及国家秘密的信息系统工程监理规范》BMB18-2006《涉及国家秘密的信息系统分级保护管理规范》BMB020-2007《涉及国家秘密的信息系统分级保护测评指南》BMB22-2007《涉及国家秘密的信息系统分级保护方案设计指南》BMB23-2008《涉及国家秘密的信息系统保密检查技术指南》BMB25-2011《涉及国家秘密的信息系统安全检测评估实施规范》BMB2-2012?涉及国家秘密的信息系统分级保护技术要求?BMB17-2024该标准规定了涉密网络等级划分的准那么，根本保护要求和不同等级的平安保密技术要求适用于使用单位对涉密信息系统的建设、使用和管理；也适用于保密管理部门对涉密信息系统的管理和审批63分级保护标准体系64涉及国家秘密的信息系统分级保护技术要求物理隔离安全保密产品选择安全域边界防护密级标志基本要求备份与恢复计算机病毒与恶意代码防护应急响应运行管理运行安全环境安全设备安全介质安全物理安全身份鉴别访问控制密码保护电磁泄漏发射防护信息完整性校验系统安全性能检测操作系统安全安全审计抗抵赖数据库安全边界安全防护信息安全保密BMB17-2024框架?涉及国家秘密的信息系统分级保护技术要求?主要内容有四个方面将技术要求分为根本要求、物理平安、运行平安和信息平安保密四个局部，对秘密级、机密级和绝密级涉密网络的平安保密技术要求分别进行了描述65分级保护标准体系?涉及国家秘密的信息系统分级保护技术要求?主要内容提出了机密级增强保护要求属于以下情况之一的机密级信息系统应选择机密级〔增强〕的要求：信息系统的使用单位为副省级以上的党政首脑机关，以及国防、外交、国家平安、军工等要害部门；信息系统中的机密级信息含量较高或数量较多；信息系统使用单位对信息系统的依赖程度较高。66分级保护标准体系?涉及国家秘密的信息系统分级保护技术要求?主要内容提出了网络划分平安域的思想不同的平安域可单独确定等级，并按照相应等级的保护要求进行保护同一等级的不同平安域可根据风险分析的结果和实际平安保密需求，选择不同的保护要求进行保护67分级保护标准体系分域分级分域不分级?涉及国家秘密的信息系统分级保护技术要求?主要内容提出了根据风险分析结果调整保护措施的条款标准规定可对涉密网络保护进行调整。原那么是确保国家秘密平安，不降低涉密系统总体保密强度调整考虑相关性调整的数量、原因等需要文档化68分级保护标准体系?涉及国家秘密的信息系统分级保护管理标准?BMB20-2024该标准规定了涉密网络分级保护管理过程、管理要求和管理内容适用于使用单位对涉密信息系统的建设、使用和管理；也适用于保密管理部门对涉密信息系统的管理和审批69分级保护标准体系70BMB20-2024框架?涉及国家秘密的信息系统分级保护管理标准?主要内容有三个方面提出了涉密网络分级保护管理过程，明确划分了系统周期的各个阶段，指出了平安保密管理的八个具体环节：系统定级、方案设计、工程实施、系统测评、系统审批、日常保密管理、测评与检查和系统废止71分级保护标准体系?涉及国家秘密的信息系统分级保护管理标准?主要内容有三个方面提出了对涉密网络保密管理的根本管理要求，对涉密网络保密管理要求进行了分等级描述提出了涉密网络分级保护管理的内容，形成了完整的涉密网络平安保密管理框架。平安保密管理策略制定、组织机构与制度建设、平安保密管理人员配备与权限划分、人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息平安保密管理72分级保护标准体系?涉及国家秘密的信息系统分级保护方案设计指南?BMB23-2024该标准规定了涉密网络分级保护方案应包括的主要内容适用于建设单位和集成资质单位对涉密网络分级保护方案的设计与制定；也适用于保密管理部门对涉密信息系统的管理和审批73分级保护标准体系74分级保护方案的主要内容系统分析安全保密风险分析安全保密需求分析方案总体设计方案详细设计残留风险控制实施计划经费预算相关附件《涉及国家秘密的信息系统分级保护方案设计指南》BMB23-2024框架?涉及国家秘密的信息系统分级保护方案设计指南?主要内容有四个方面提出了在涉密网络分级保护方案设计之初要进行细粒度的系统分析、平安保密风险分析和平安保密需求分析的要求提出了涉密网络平安保密防护框架结构并对各项内容进行了详细阐述从物理平安、运行平安、信息平安保密三个方面确定防护技术手段从管理机构、管理人员、管理制度和运行维护四个方面进行平安保密管理设计75分级保护标准体系?涉及国家秘密的信息系统分级保护方案设计指南?主要内容有四个方面提出了平安域划分的原那么与方法，提供了划分依据，对划分工作进行了具体指导，表达了“标准定密，准确定级〞的工作思路提出了残留风险控制的概念，明确了残留风险存在的必然性，对涉密网络平安保密防护的理论研究和实际工作有双重意义76分级保护标准体系?涉及国家秘密的信息系统分级保护测评指南?BMB22-2024该标准规定了涉密网络分级保护测评工作的工作流程、测评内容、测评方法和测评结果判定的准那么适用于获得国家保密局授权的涉密网络风险评估机构或单位对涉密网络进行平安保密测评；可用于保密管理部门检查依据；也可作为涉密网使用单位自评依据77分级保护标准体系78BMB22-2024框架?涉及国家秘密的信息系统分级保护测评指南?主要内容有三个局部分别是：分级保护测评工作流程、测评内容和方法、测评结果判定测评工作流程包括：资料审查、现场考察、制定测评方案、现场检测、检测结果分析、专家评估、给出测评结论七个环节79分级保护标准体系80建设使用单位提交申请材料测评机构进行资料审查测评机构现场考察测评结构制定?测评方案?测评机构实施现场监测测评机构分析检测结果、提出检测意见，起草?检测报告?形成专家评估意见编写测评评估报告通过？通过？及格？通过？将监测评估报告交给建设单位并报备保密管理部门建设使用单位修改资料建设使用单位进行整改否否否否?涉及国家秘密的信息系统分级保护测评指南?主要内容有三个局部测评内容和方法：根据?涉及国家秘密的信息系统分级保护技术要求?和?涉及国家秘密的信息系统分级保护管理标准?，从技术和管理两个方面衡量涉密网的平安保密措施是否满足平安需求和平安目标根本测评项：一项不符合那么不合格一般测评项：除根本项之外的其他指标81分级保护标准体系?涉及国家秘密的信息系统分级保护测评指南?主要内容有三个局部测评得分与结果分值分配：技术管理不同比例，技术比例多多个平安域：假设存在多个平安域，那么需要对其分别检测并给出最后得分，结果取各域中的最低的分结果为0-100分，合格、根本合格、不合格82分级保护标准体系本节课程提纲信息平安、密码管理体制概述信息平安保密管理标准体系信息平安保密管理体系平安保密管理机构平安保密管理制度平安保密管理策略平安保密管理人员83信息平安保密管理体系信息平安保密管理体系意义：平安保密管理体系建设是保证涉密网络稳定可靠、平安保密运行的必要条件和根本保证涉密网络平安保密管理体系由管理机构、管理制度、管理策略等要素组成。84本节课程提纲信息平安、密码管理体制概述信息平安保密管理标准体系信息平安保密管理体系平安保密管理机构平安保密管理制度平安保密管理策略平安保密管理人员85信息平安保密管理体系平安保密管理机构保密委员会机关、单位的保密委员会负责统筹协调涉密网络的平安保密工作。组成：由主管领导作为责任人，信息化、保密、密码、业务部门、保卫和人事部门责任人共同组成86信息平安保密管理体系平安保密管理机构保密委员会职责〔8〕：根据本单位实际业务和保密工作的实际，提出涉密网络的平安目标和平安要求依据国家相关保密法规，审查和批准本单位涉密信息系统的相关制度、策略和工作规程指导本单位涉密信息系统的设计、建设和运维工作组织开展网络保密检查，对网络管理人员进行教育培训87信息平安保密管理体系平安保密管理机构保密委员会职责：审查、确定本单位涉密信息系统用户的职责和权限落实保密方案、年度平安报告以及保密宣传教育和培训等工作与相关部门和电力、消防、通信等机构建立日常工作关系，及时报告重大平安事件监督涉密系统运行中执行国家相关保密法律和技术指标的情况88信息平安保密管理体系平安保密管理机构保密工作机构在保密委员会的领导下，管理日常的保密管理工作，主要对涉密信息系统的设计建设、运行维护等全过程进行监督、检查和指导89信息平安保密管理体系平安保密管理机构保密工作机构职责〔9〕：组织本单位对涉密信息系统分级保护方案进行审查论证参与、协调本单位涉密信息系统的设计、建设、运维和应用系统的开发制定本机关、单位涉密网络各类规章制度、保密策略、工作标准监督、检查和指导本单位涉密信息系统运维的平安保密情况90信息平安保密管理体系平安保密管理机构保密工作机构职责：组织、协调对本单位涉密信息系统的检查、应急响应预案编制以及恢复演练对本单位涉密网中设备以及存储介质的授权使用、保管以及维护工作进行指导参与本机关涉密网络管理人员的保密教育与考核组织、审定全年保密方案、年度平安报告负责及时上报、查处泄密事件以及重大平安事件91信息平安保密管理体系平安保密管理机构信息化工作机构在保密委员会的领导下，在保密工作机构指导下，负责本单位涉密信息系统的建设、日常平安保密管理和运行维护92信息平安保密管理体系平安保密管理机构信息化工作机构职责〔8〕：按照本单位涉密信息系统运行的管理制度和工作流程要求，组织开展涉密网络的平安方案设计、建设、策略实施、试运行、验收等相关工作负责涉密网络的日常维护根据涉密网络使用人员和授权的原那么，进行用户权限设置参与本单位涉密网络的保密检查工作93信息平安保密管理体系平安保密管理机构信息化工作机构职责：负责单位涉密系统应急预案编制，组织恢复演练对本单位涉密网络中的设备以及存储介质进行授权、维护对涉密网络平安保密情况和平安保密产品的使用情况进行监督、审计制定并落实年度保密方案，编写年度平安报告94信息平安保密管理体系平安保密管理机构业务部门单位各业务部门负责本部门涉密网的保密管理。业务部门主管领导：负责对本部门的人员配置和用户终端设备提出保密要求，并监督检查落实情况业务部门的平安保密人员：负责本部门日常使用情况的监督检查使用人员：按照保密要求使用和管理信息设备95信息平安保密管理体系平安保密管理机构业务部门职责〔6〕：结合业务实际，明确涉密网络平安保密工作具体要求和管控措施按照岗位和业务涉密等级，为部门员工申请、配备涉密终端和相关设备建立健全涉密信息设备和存储介质记录组织有关平安保密教育96信息平安保密管理体系平安保密管理机构业务部门职责：对本部门配置和使用的涉密网络用户终端与外部设备进行平安保密管理和检查催促本部门人员落实信息设备使用和管理的保密责任97信息平安保密管理体系平安保密管理机构其他部门密码管理部门负责对所配备使用的密码设备进行管理人事管理部门负责对人员进行审查、任用、教育、培训、考核及任免保卫管理部门负责涉密系统周边环境、建筑物、机房、设备间以及相关出入口的平安保卫资产管理部门各类设备和存储介质的记录和配发，以及维修、更换、回收、保存、报废98信息平安保密管理体系平安保密管理机构人事管理部门负责涉密网络使用人员的政治审查和涉密等级确定负责涉密网络使用人员的保密教育培训和考核负责涉密网络使用人员的调出、离岗、离职、退休前相关保密审查和脱密期管理协助对涉密网络使用人员在出国前进行保密教育和保密提醒对涉密网络使用人员的试用、借调、挂职、学习、实习、返聘、外聘等进行管理99信息平安保密管理体系平安保密管理机构保卫管理部门负责涉密网络所涉及地区的周边环境、周界、建筑物及要害部门部位的监控和警戒负责对视频监控、电子门禁、防盗报警装置等设备的选型、采购、安装和使用负责对涉密网络所在建筑物的出入进行管理和监控对带入涉密场所的录音、录像及照相设备进行控制，对无线通信设备的携带与使用进行控制对进入涉密场所的值班、工勤效劳人员进行保密教育和监督100信息平安保密管理体系平安保密管理机构资产管理部门负责涉密网络各类设备和存储介质的登记建账和配发负责涉密网络各类设备和存储介质的维修、更换、回收、保存、报废及过程管理101本节课程提纲信息平安、密码管理体制概述信息平安保密管理标准体系信息平安保密管理体系平安保密管理机构平安保密管理制度平安保密管理策略平安保密管理人员102信息平安保密管理体系平安保密管理制度应依据国家相关保密法规和标准，结合本单位实际业务情况，建立健全涉密信息系统平安保密管理制度平安保密责任制应明确岗位职责，实行领导责任制，层层落实，责任到人涉密信息产生、存储、处理、传输、归档和销毁的全过程人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息平安保密管理103信息平安保密管理体系平安保密管理制度管理制度一般包括：涉密网络平安保密管理规定涉密信息系统的保密管理机构与职责；系统的平安保密建设和保护要求、运行要求；平安保密监督检查涉密网络中心机房和设备间平安管理规定涉密网络机房和设备间的日常管理；值班人员管理；机房和设备间出入控制管理网络设备与效劳器平安保密管理规定交换机、路由器平安保密管理内容；效劳器、数据库管理、应用软件的平安保密管理104信息平安保密管理体系平安保密管理制度管理制度一般包括：设备与介质平安保密管理规定设备与介质选型与采购、交付与验收、台账管理、清查核对、标识与安放、接入管理、变更管理、注销管理、维修与管理平安保密产品管理规定防火墙、入侵检测产品、计算机病毒与恶意代码防护产品、漏洞扫描产品、平安监控与审计产品、身份认证系统、电磁泄漏发射防护产品等的管理105信息平安保密管理体系平安保密管理制度管理制度一般包括：用户终端、应用系统平安保密管理规定用户终端的准入控制、软件安装管理；应用系统的开发、安装、用户管理与授权、涉密信息总量统计保密检查以及风险评估管理规定保密检查相关规定；风险评估内容、程序、工具、人员、实施方式等平安保密管理人员管理规定涉密网络平安保密管理人员与使用人员的审查、确定、变更、备案以及教育培训106信息平安保密管理体系平安保密管理制度管理制度一般包括：应急预案与应急响应管理规定软硬件的备份要求；应急预案的编制、完善以及恢复演练的要求信息输入输出管理规定涉密网内各类信息的输入输出管理要求；各类文档的打印、刻录、复制输出控制的管理要求；信息的导入导出流程运行维护效劳外包管理规定运维委托单位与承接单位的职责；各类设备、系统的管理配置流程；委托单位和承接单位人员配备107本节课程提纲信息平安、密码管理体制概述信息平安保密管理标准体系信息平安保密管理体系平安保密管理机构平安保密管理制度平安保密管理策略平安保密管理人员108信息平安保密管理体系平安保密管理制度物理平安策略物理隔离、涉密场所环境与区域控制、中心机房与配线间、综合布线、信息设备平安、无线与多媒体设备使用管控109信息平安保密管理体系平安保密管理制度信息平安技术策略网络层访问控制策略、应用层访问控制策略、身份认证策略、违规外联监控平安策略、平安监控与审计平安策略、入侵检测平安策略、计算机病毒与恶意代码防范策略、信息交换策略、漏洞扫描平安策略、密码保护平安策略、信息完整性策略、抗抵赖策略、电磁泄漏发射防护运维策略涉密网络运行维护策略、备份与恢复策略、应急响应策略110本节课程提纲信息平安、密码管理体制概述信息平安保密管理标准体系信息平安保密管理体系平安保密管理机构平安保密管理制度平安保密管理策略平安保密管理人员111信息平安保密管理体系平安保密管理人员平安保密管理人员作用平安保密管理人员职责平安保密管理人员任免平安保密管理人员监管112信息平安保密管理体系平安保密管理人员作用涉密信息系统平安保密形势依然严峻涉密网络平安保密风险需要持续进行降低难以涵盖所有恶意因素风险只能降低到可控范围内，无法消除频率和危害程度难以量化技术不断开展，风险动态变化涉密网络平安保密管理仍需加强针对性、可操作性不强责任未作细化技术防护未达标准监管不到位113信息平安保密管理体系平安保密管理人员作用涉密信息系统平安保密管理仍需加强平安保密管理应建立制衡机制超级管理员：创立、删除各类用户；对任意文件进行任意操作；随意安装软件程序；任意修改系统配置；任意访问、获取各类信息三员的设立：系统管理员、平安保密管理员和平安审计员114信息平安保密管理体系平安保密管理人员职责国家保密标准BMB20-2024?涉及国家秘密的信息系统分级保护管理标准?要求：应指定在编人员担任系统管理员、平安保密管理员、平安审计员,分别负责系统运行维护、平安保密管理和平安审计工作115信息平安保密管理体系平安保密管理人员职责系统管理员职责负责网络系统、效劳器等日常运行维护以及技术支持，保障网络系统、效劳器系统、数据库系统和各种软硬件正常运行在平安保密管理员配合下，定期升级平安保密设备及其规那么库配合平安保密管理员定期进行病毒查杀，保障涉密网与平安保密设备协调，确保系统操作符合平安保密管理策略116信息平安保密管理体系平安保密管理人员职责系统管理员职责对单位涉密网络的系统日志、策略配置文件等数据定期备份负责定期分析网络设备、操作系统的系统日志，针对系统异常、错误或报警等分析原因，提出解决方法负责网络与系统运行状况统计分析，定期编写网络运行报告根据本机关、单位涉密网络运行需求变化，不断优化系统运行环境，合理配置网络与系统资源117信息平安保密管理体系平安保密管理人员职责平安保密管理员职责负责编制涉密网络平安保密策略文件，实施各类平安保密设备的平安策略，根据环境、系统和威胁变化情况及时调整、更新平安保密策略，及时备份平安保密策略负责实施系统用户权限分配及调整协助系统管理员完成操作系统的各项配置，制定和实施平安保密策略