分级保护测评流程(宣)课件

分级保护测评流程培训咨询顾问：宣淦淼分级保护测评流程培训咨询顾问：宣淦淼分级保护相关标准1分级保护测评流程4目录分保测评适用范围2涉密系统建立流程3分级保护相关标准1分级保护测评流程4目录分保测评适用分级保护相关标准1分级保护测评分级保护相关标准1分级保护测评1.BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》

2.BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》3.BMB22-2007《涉及国家秘密的信息系统分级保护测评指南》4.《涉及国家秘密的信息系统分级保护管理办法》国家保密局国保发【2005】16号分级保护相关标准分级保护相关标准1.BMB17-2006《涉及国家秘密的信息系统分级保护技分级保护测评指南所在单位按照处理信息最高级别分为秘密级＜机密级＜绝密级；涉密信息系统测评是依据国家保密标准，从风险管理角度，分析涉密信息系统所面临的威胁及其存在的脆弱性，提出有针对性的防护对策和整改措施，为防范和化解涉密信息系统安全保密风险，为涉密信息系统安全保密提供科学依据。BMB22-2007《涉及国家秘密的信息系统分级保护测评指南》分级保护测评指南BMB22-2007《涉及国家秘密的信息系统分级保护测评适用范围2分级保护测评适用范围2测评适用系统分保适用系统存储、使用或产生涉密信息的计算机网络系统处理涉密信息的单独计算机不参与测评测评适用系统分保适用系统存储、使用或产生涉密信息的计算机网络分级保护适用单位测评适用单位党政机关（法院、检查院、省级政府等）国防军工（航空、航天、兵器等）非公有制企业分级保护适用单位测评适用单位党政机关（法院、检查院、省级政府涉密系统建立流程3涉密系统建立流程3系统定级方案设计工程实施涉密系统建立流程分级保护测评系统定级方案设计工程实施涉密系统建立流程分级保护测评系统定级党政机关国防军工非公有制企业由单位保密办依据密级范围规定，并由测评机构监督由承接军方项目级别、国防军工所设计项目重要性等方面来定级一级单位负责总体设计二级单位负责部分设计三级单位负责零配件设计由所承接项目合同规定处理信息级别，依据密级范围规定，并由测评机构监督定级系统定级党政机关国防军工非公有制企业由单位保密办依据密级范围方案设计1.选择有涉密资质的承建单位（涉密甲级、乙级），进行系统风险评估；2.根据分保方案指南bmb23、分保要求bmb17和分保管理规范bmb20进行方案设计；3.方案交由测评中心方案评审专家进行审查论证。（集中一批次方案，进行统一审查）方案设计方案设计方案设计工程实施1.方案通过后，进行项目实施。2.实施单位必须有涉密集成资质，如无特殊情况选取就近涉密集成单位。（绝密级信息系统选用甲级资质单位）2.选择由工程监理单项资质的单位或组织本单位人员进行监理。（按照bmb18进行工程监理）工程实施工程实施工程实施分级保护测评流程4分级保护测评流程4分级保护测评申报材料资料审查通过？现场考察现场测评修改材料通过？专家召开会议，出测评报告《测评报告》≥60分系统整改是是否否否流程图是分级保护测评申报材料资料审查通过？现场考察现场测评修改材料通审查资料审查资料（实施完毕后）1.测评申请书2.申请单位信息3.系统测评委托书4.系统基本情况调查表5.涉密信息系统建设情况6.防护措施调整情况7.涉密信息系统物理环境情况8.综合布线情况9.涉密信息系统网络、应用系统及技术防护情况10.系统的安全保密管理情况返回审查资料审查资料（实施完毕后）返回现场考察1.重点考察与申请书是否描述一致；2.简单审查，不合格项提出整改意见，必须先进行整改；3.本次审查不打分。（一般军工单位会由其上级测评中心来考察）现场考察返回现场考察现场考察返回现场测评1.由国家保密局授权的测评中心或分中心从专家库中抽调专家；2.制定测评方案，根据bmb22附录A、B、C测评表进行分保测评；3.相关分值记录在测评表；为不同安全域进行检测的，每个安全域有各自测评表。现场测评返回现场测评现场测评返回

现场测评两大项满分为100分技术要求测评70分检测结果满分为100分管理要求测评30分测评分值现场测评两大项满分为100分技术要求测评70分检测结果满分测评技术要求终止项技术要求70分检测结果满分为100分基本测评项﹡物理隔离﹡安全保密产品选择﹡安全边界防护﹡密级标识信息安全保密﹡用户身份鉴别﹡访问控制粒度﹡信息输出﹡信息存储﹡边界控制﹡信息设备电磁泄漏发射防护﹡违规外联监控技术中止项测评技术要求终止项技术要求70分管理要求30分检测结果满分为100分管理过程基本管理要求﹡管理机构﹡管理制度﹡管理人员﹡集成资质单位选择测评管理要求终止项管理中止项返回管理要求30分检测结果满分为100分﹡管理机构﹡管理制度﹡管专家评估1.测评机构组织专家评估会2.专家组听取情况，介绍审阅检测报告，分析测评方法、流程和结果。3.给出系统完善意见专家评估专家评估专家评估测评结论1.国家保密局负责审批中央和国家机关各部委、一级保密资格单位涉密信息系统。2.省级（自治区、直辖市）保密局负责审批省直机关，二、三级保密资格单位涉密信息系统3.市级保密局负责审批市直机关、县直机关涉密信息系统。测评结论测评结论测评结论涉密系统运行时效性1.涉密系统运行许可没有过期日，只有在系统环境或应用发生重大改变才需要重过测评。2.绝密信息系统每年至少进行一次安全保密测评或保密检查3.秘密机密级信息系统每两年至少一次安全保密测评或保密检查时效性涉密系统运行时效性时效性分级保护测评系统定级系统审批日常管理测评与检查方案设计工程实施系统评测系统废止涉密系统生命周期分级保护测评系统定级系统审批日常管理测评与检查方案设计工程实小故事你能保密吗?小故事你能保密吗?谢谢

!谢谢!分级保护测评流程培训咨询顾问：宣淦淼分级保护测评流程培训咨询顾问：宣淦淼分级保护相关标准1分级保护测评流程4目录分保测评适用范围2涉密系统建立流程3分级保护相关标准1分级保护测评流程4目录分保测评适用分级保护相关标准1分级保护测评分级保护相关标准1分级保护测评1.BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》

2.BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》3.BMB22-2007《涉及国家秘密的信息系统分级保护测评指南》4.《涉及国家秘密的信息系统分级保护管理办法》国家保密局国保发【2005】16号分级保护相关标准分级保护相关标准1.BMB17-2006《涉及国家秘密的信息系统分级保护技分级保护测评指南所在单位按照处理信息最高级别分为秘密级＜机密级＜绝密级；涉密信息系统测评是依据国家保密标准，从风险管理角度，分析涉密信息系统所面临的威胁及其存在的脆弱性，提出有针对性的防护对策和整改措施，为防范和化解涉密信息系统安全保密风险，为涉密信息系统安全保密提供科学依据。BMB22-2007《涉及国家秘密的信息系统分级保护测评指南》分级保护测评指南BMB22-2007《涉及国家秘密的信息系统分级保护测评适用范围2分级保护测评适用范围2测评适用系统分保适用系统存储、使用或产生涉密信息的计算机网络系统处理涉密信息的单独计算机不参与测评测评适用系统分保适用系统存储、使用或产生涉密信息的计算机网络分级保护适用单位测评适用单位党政机关（法院、检查院、省级政府等）国防军工（航空、航天、兵器等）非公有制企业分级保护适用单位测评适用单位党政机关（法院、检查院、省级政府涉密系统建立流程3涉密系统建立流程3系统定级方案设计工程实施涉密系统建立流程分级保护测评系统定级方案设计工程实施涉密系统建立流程分级保护测评系统定级党政机关国防军工非公有制企业由单位保密办依据密级范围规定，并由测评机构监督由承接军方项目级别、国防军工所设计项目重要性等方面来定级一级单位负责总体设计二级单位负责部分设计三级单位负责零配件设计由所承接项目合同规定处理信息级别，依据密级范围规定，并由测评机构监督定级系统定级党政机关国防军工非公有制企业由单位保密办依据密级范围方案设计1.选择有涉密资质的承建单位（涉密甲级、乙级），进行系统风险评估；2.根据分保方案指南bmb23、分保要求bmb17和分保管理规范bmb20进行方案设计；3.方案交由测评中心方案评审专家进行审查论证。（集中一批次方案，进行统一审查）方案设计方案设计方案设计工程实施1.方案通过后，进行项目实施。2.实施单位必须有涉密集成资质，如无特殊情况选取就近涉密集成单位。（绝密级信息系统选用甲级资质单位）2.选择由工程监理单项资质的单位或组织本单位人员进行监理。（按照bmb18进行工程监理）工程实施工程实施工程实施分级保护测评流程4分级保护测评流程4分级保护测评申报材料资料审查通过？现场考察现场测评修改材料通过？专家召开会议，出测评报告《测评报告》≥60分系统整改是是否否否流程图是分级保护测评申报材料资料审查通过？现场考察现场测评修改材料通审查资料审查资料（实施完毕后）1.测评申请书2.申请单位信息3.系统测评委托书4.系统基本情况调查表5.涉密信息系统建设情况6.防护措施调整情况7.涉密信息系统物理环境情况8.综合布线情况9.涉密信息系统网络、应用系统及技术防护情况10.系统的安全保密管理情况返回审查资料审查资料（实施完毕后）返回现场考察1.重点考察与申请书是否描述一致；2.简单审查，不合格项提出整改意见，必须先进行整改；3.本次审查不打分。（一般军工单位会由其上级测评中心来考察）现场考察返回现场考察现场考察返回现场测评1.由国家保密局授权的测评中心或分中心从专家库中抽调专家；2.制定测评方案，根据bmb22附录A、B、C测评表进行分保测评；3.相关分值记录在测评表；为不同安全域进行检测的，每个安全域有各自测评表。现场测评返回现场测评现场测评返回

现场测评两大项满分为100分技术要求测评70分检测结果满分为100分管理要求测评30分测评分值现场测评两大项满分为100分技术要求测评70分检测结果满分测评技术要求终止项技术要求70分检测结果满分为100分基本测评项﹡物理隔离﹡安全保密产品选择﹡安全边界防护﹡密级标识信息安全保密﹡用户身份鉴别﹡访问控制粒度﹡信息输出﹡信息存储﹡边界控制﹡信息设备电磁泄漏发射防护﹡违规外联监控技术中止项测评技术要求终止项技术要求70分管理要求30分检测结果满分为100分管理过程基本管理要求﹡管理机构﹡管理制度﹡管理人员﹡集成资质单位选择测评管理要求终止项管理中止项返回管理要求30分检测结果满分为100分﹡管理机构﹡管理制度﹡管专家评估1.测评机构组织专家评估会2.专家组听取情况，介绍审阅检测报告，分析测评方法、流程和结果。3.给出系统完善意见专家评估专家评估专家评估测评结论1.国家保密局负责审批中央和国家机关各部委、一级保密资格单位涉密信息系统。2.省级（自治区、直辖市）保密局负责审批省直机关，二、三级保密资格单位涉密信息系统3.市级保密局负责审批市直机关、县直机关涉密信息系统。