等級保護和分級保護FAQ
【時間】2019-09-02
【編輯】Admin
【瀏覽量】
【等級保護QQ交流群】881590869
1等級保護FAQ3
1.1什么是等級保護、有什么用?3
1.2信息安全等級保護制度的意義與作用?3
1.3等級保護與分級保護各分為幾個等級,對應(yīng)關(guān)系是什么?3
1.4等級保護的重要信息系統(tǒng)(8+2)有哪些?4
1.5等級保護的主管部門是誰?4
1.6國家密碼管理部門在等級保護/分級保護工作中的職責(zé)是什么?4
1.7等級保護的政策依據(jù)是哪個文件?4
1.8公安機關(guān)對等級保護的管理模式是什么,等級保護定級到哪里備案?5
1.9等級保護是否是強制性的,可以不做嗎?5
1.10等級保護的主要標(biāo)準(zhǔn)有哪些,是否已發(fā)布為正式的國家標(biāo)準(zhǔn)?5
1.11哪些單位可以做等級保護的測評?6
1.12做了等級測評之后,是否會給發(fā)合格證書?6
1.13是否只是在政府行業(yè)實行?企業(yè)是否也在等級保護和分級保護范疇之內(nèi)?6
1.14等級保護檢查的責(zé)任單位是誰?7
2分級保護FAQ7
2.1分級保護是什么?7
2.2分級保護的主管部門是誰?7
2.3分級保護定級到哪里備案?7
2.4分級保護的政策依據(jù)是哪個文件?7
2.5分級保護與等級保護的適用對象分別是什么?7
2.6分級保護有關(guān)信息安全的標(biāo)準(zhǔn)相互關(guān)系是什么?8
2.7分級保護與等級保護的定級依據(jù)有何區(qū)別?8
2.8分級保護的建設(shè)依據(jù)、方案設(shè)計、測評分別依據(jù)哪些標(biāo)準(zhǔn)?8
2.9分級保護設(shè)計方案是否需要經(jīng)過評審和審批,誰來評審和審批?8
2.10涉密信息系統(tǒng)投入使用前,是否需要經(jīng)過審批,由誰來審批?8
2.11分級保護系統(tǒng)測評的作用是什么,是否必須做?9
2.12哪些單位可以做分級保護的測評,有什么資質(zhì)要求?9
2.13分級保護對涉密系統(tǒng)中使用的安全保密產(chǎn)品有哪些要求?9
2.14涉密系統(tǒng)分級保護多長時間需進行一次安全保密檢查?9
2.15各級保密局與各單位保密辦的關(guān)系是什么?10
2.16分級保護的系統(tǒng)集成對廠商的資質(zhì)有什么要求?10
2.17分級保護的安全建設(shè)是否必須監(jiān)理,對監(jiān)理資質(zhì)有什么要求?10
2.18分級保護的哪些具體工作對廠商有單項資質(zhì)的要求?10
3綜合問題11
3.1等保與分保的本質(zhì)區(qū)別是什么?11
3.2等保與分保各有幾種級別?11
3.3等級保護/分級保護什么區(qū)別哪些部門在管理,怎么做?11
3.4企業(yè)出現(xiàn)泄密事件上報那些單位?11
3.5等保定級備案是依據(jù)單位還是系統(tǒng)?12
3.6風(fēng)險評估和等級保護的關(guān)系?12
3.7方案設(shè)計階段及實施前是否需要報批?12
3.8對于等保中產(chǎn)品使用及密碼產(chǎn)品是否有要求?12
等級保護/分級保護FAQ
1 等級保護FAQ
1.1 什么是等級保護、有什么用?
【解釋】
是我國實施信息安全管理的一項法定制度,1994年147號令、2003年27號文件、2004年66號文件都有明確規(guī)定,信息系統(tǒng)安全實施等級化保護和等級化管理。
等級化管理是一種普遍適用的管理方法,是適用于我國當(dāng)前實際的一種有效的信息安全管理方法。
開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障,是信息安全保障工作中國家意志的體現(xiàn)。
1.2 信息安全等級保護制度的意義與作用?
【解釋】
實施信息安全等級保護制度能夠有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平。實施信息安全等級保護制度有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相協(xié)調(diào),為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù),有效控制信息安全建設(shè)成本。
優(yōu)化信息安全資源配置,對信息系統(tǒng)分級實施保護,重點保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面重要信息系統(tǒng)的安全。
明確國家、法人和其他組織、公民的信息安全責(zé)任,加強信息安全管理,推動信息安全產(chǎn)業(yè)的發(fā)展,逐步探索出一條適應(yīng)我國社會主義市場經(jīng)濟發(fā)展的信息安全模式。
1.3 等級保護與分級保護各分為幾個等級,對應(yīng)關(guān)系是什么?
【解釋】
等級保護分5個級別:一級(自主保護)、二級(指導(dǎo)保護)、三級(監(jiān)督保護)、四級(強制保護)、五級(??乇Wo)。
分級保護分3個級別:秘密級、機密級(機密增強級)、絕密級。
分級保護與等級保護對應(yīng)關(guān)系:秘密級對應(yīng)三級、機密級對應(yīng)四級、絕密級對應(yīng)五級。
1.4 等級保護的重要信息系統(tǒng)(8+2)有哪些?
【解釋】
電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。
鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。
市(地)級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。
涉及國家秘密的信息系統(tǒng)。
1.5 等級保護的主管部門是誰?
【解釋】
公安機關(guān)是等級保護工作的主管部門,負責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo),國家保密工作部門、國家密碼管理部門負責(zé)等級保護工作中有關(guān)保密工作和密碼工作的監(jiān)督、檢查、指導(dǎo),國信辦及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責(zé)等級保護工作部門間的協(xié)調(diào),涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管理工作由國家保密工作部門負責(zé)。
1.6 國家密碼管理部門在等級保護/分級保護工作中的職責(zé)是什么?
【解釋】
國家密碼管理部門負責(zé)等級保護/分級保護工作中有關(guān)保密工作和密碼工作的監(jiān)督、檢查、指導(dǎo)。
1.7 等級保護的政策依據(jù)是哪個文件?
【解釋】
《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院147號令,1994年);
《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號);
《關(guān)于信息安全等級保護工作的實施意見》(公通字[2004]66號);
《信息安全等級保護管理辦法》(公通字[2007]43號);
《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安[2007]861號);
《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》(發(fā)改高技[2008]2071號)。
1.8 公安機關(guān)對等級保護的管理模式是什么,等級保護定級到哪里備案?
【解釋】
公安機關(guān)負責(zé)受理備案并進行備案管理。信息系統(tǒng)備案后,公安機關(guān)對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的,頒發(fā)信息系統(tǒng)安全保護等級備案證明。發(fā)現(xiàn)不符合《管理辦法》及有關(guān)標(biāo)準(zhǔn)的,通知備案單位予以糾正。發(fā)現(xiàn)定級不準(zhǔn)的,通知運營使用單位或其主管部門重新審核確定。
已運營(運行)的第二級以上信息系統(tǒng),應(yīng)當(dāng)在安全保護等級確定后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。
新建第二級以上信息系統(tǒng),應(yīng)當(dāng)在投入運行后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。
注:北京市各部委上報北京測評中心備案。
1.9 等級保護是否是強制性的,可以不做嗎?
【解釋】
國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。
2級以上信息系統(tǒng)運營、使用單位依據(jù)《信息安全等級保護管理辦法》和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進行保護,國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。
備案后3級系統(tǒng)每年進行一次監(jiān)督檢查,4級每半年進行一次監(jiān)督檢查。
1.10 等級保護的主要標(biāo)準(zhǔn)有哪些,是否已發(fā)布為正式的國家標(biāo)準(zhǔn)?
【解釋】
《信息系統(tǒng)安全等級保護基本要求》(GB/T22239);
《信息系統(tǒng)安全等級保護定級指南》(GB/T22240);
《信息系統(tǒng)安全等級保護實施指南》(國標(biāo)報批稿);
《信息系統(tǒng)安全等級保護測評規(guī)范》(國標(biāo)報批稿);
《信息安全等級保護實施指南》(試用稿);
《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(GB 17859-1999)。
1.11 哪些單位可以做等級保護的測評?
【解釋】
第三級以上信息系統(tǒng)等級保護測評機構(gòu)應(yīng)符合下列條件:
在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外);
由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外);
從事相關(guān)檢測評估工作兩年以上,無違法記錄;
工作人員僅限于中國公民;
法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;
使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求;
具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度;
對國家安全、社會秩序、公共利益不構(gòu)成威脅。
1.12 做了等級測評之后,是否會給發(fā)合格證書?
【解釋】
目前,公安機關(guān)只對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的,頒發(fā)信息系統(tǒng)安全等級保護備案證明,發(fā)現(xiàn)不符合有關(guān)標(biāo)準(zhǔn)的,通知備案單位予以糾正,發(fā)現(xiàn)定級不準(zhǔn)的,通知備案單位重新審核確定。沒有發(fā)測評合格證書。
1.13 是否只是在政府行業(yè)實行?企業(yè)是否也在等級保護和分級保護范疇之內(nèi)?
【解釋】
等級保護涉及所有行業(yè),只要有信息系統(tǒng)的單位都在等級保護覆蓋范圍(涉密系統(tǒng)除外)。
1.14 等級保護檢查的責(zé)任單位是誰?
【解釋】
是公安機關(guān),在檢查中需要穿警服及佩帶有效證件,協(xié)同技術(shù)支持單位到單位檢查。同時鼓勵各行業(yè)開展自查。
2 分級保護FAQ
2.1 分級保護是什么?
【解釋】
涉密信息系統(tǒng)依據(jù)國家信息安全等級保護的基本要求,按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),實施信息安全分級保護的強制執(zhí)行制度。涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個等級。
2.2 分級保護的主管部門是誰?
【解釋】
國家保密工作部門(國家保密局、各省保密局、各地市市保密局)。
2.3 分級保護定級到哪里備案?
【解釋】
涉密信息系統(tǒng)建設(shè)使用單位將涉密信息系統(tǒng)定級和建設(shè)使用情況,上報業(yè)務(wù)主管部門的保密工作機構(gòu)和負責(zé)系統(tǒng)審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查、指導(dǎo)。
2.4 分級保護的政策依據(jù)是哪個文件?
【解釋】
《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》(國保發(fā)[2005]16號)。
2.5 分級保護與等級保護的適用對象分別是什么?
【解釋】
標(biāo)準(zhǔn)體系
國家標(biāo)準(zhǔn)(GB、GB/T)
國家保密標(biāo)準(zhǔn)(BMB,強制執(zhí)行)
適用對象
非涉密信息系統(tǒng)
涉密信息系統(tǒng)
2.6 分級保護有關(guān)信息安全的標(biāo)準(zhǔn)相互關(guān)系是什么?
【解釋】
BMB17、BMB20為分級保護設(shè)計基本依據(jù),BMB23是把BMB17、BMB20技術(shù)與管理要求實施落地,BMB18是系統(tǒng)建設(shè)實施過程中工程監(jiān)理依據(jù),BMB22為系統(tǒng)上線前和系統(tǒng)變更中的測評依據(jù)。
2.7 分級保護與等級保護的定級依據(jù)有何區(qū)別?
【解釋】
等級保護定級是依據(jù)重要業(yè)務(wù)系統(tǒng)與承載業(yè)務(wù)運行的網(wǎng)絡(luò)、設(shè)備、系統(tǒng)及單位屬性、遭到破壞后所影響的主、客體關(guān)系等。
分級保護定級是依據(jù)信息的重要性,以信息最高密級確定受保護的級別。
2.8 分級保護的建設(shè)依據(jù)、方案設(shè)計、測評分別依據(jù)哪些標(biāo)準(zhǔn)?
【解釋】
BMB23是把BMB17、BMB20技術(shù)與管理實施落地的建設(shè)與設(shè)計依據(jù),BMB22為系統(tǒng)上線前和系統(tǒng)變更中的測評依據(jù)。
2.9 分級保護設(shè)計方案是否需要經(jīng)過評審和審批,誰來評審和審批?
【解釋】
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)對系統(tǒng)設(shè)計方案進行審查論證,保密工作 部門應(yīng)當(dāng)參與方案審查論證,在系統(tǒng)總體安全保密性方面加強指導(dǎo),嚴(yán)格把關(guān)。
2.10 涉密信息系統(tǒng)投入使用前,是否需要經(jīng)過審批,由誰來審批?
【解釋】
涉密信息系統(tǒng)投入使用前,必須經(jīng)過審批。未經(jīng)保密工作部門的審批,涉密信息系統(tǒng)不得投入使用。
審批單位:
國家保密局:負責(zé)審批中央和國家機關(guān)各部委及其所屬單位、國防武器裝備科研生產(chǎn)一級保密資格單位的涉密信息系統(tǒng);
?。ㄗ灾螀^(qū)、直轄市)保密局:負責(zé)審批省及機關(guān)及其所屬單位、國防武器科研生產(chǎn)二、三級保密資格單位的涉密信息系統(tǒng);
市(地)級保密局:負責(zé)審批市(地)直機關(guān)及其所屬單位、縣直機關(guān)所屬單位的涉密信息系統(tǒng)。
2.11 分級保護系統(tǒng)測評的作用是什么,是否必須做?
【解釋】
涉密系統(tǒng)的分級保護測評是全面地驗證所采取的安全保密措施能否滿足安全保密需求和安全目標(biāo),為涉密信息系統(tǒng)審批提供依據(jù)。
系統(tǒng)測評是系統(tǒng)審批的必要環(huán)節(jié)。沒有經(jīng)過測評,涉密信息系統(tǒng)將無法通過投入運行的審批。
2.12 哪些單位可以做分級保護的測評,有什么資質(zhì)要求?
【解釋】
目前,國家保密工作部門及國家保密局授權(quán)的系統(tǒng)測評機構(gòu)負責(zé)測評,測評機構(gòu)應(yīng)具備涉及國家秘密的計算機信息系統(tǒng)集成風(fēng)險評估單項資質(zhì)。
2.13 分級保護對涉密系統(tǒng)中使用的安全保密產(chǎn)品有哪些要求?
【解釋】
涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品,并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機構(gòu)依據(jù)有關(guān)國家保密標(biāo)準(zhǔn)進行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。
2.14 涉密系統(tǒng)分級保護多長時間需進行一次安全保密檢查?
【解釋】
涉密信息系統(tǒng)投入運行后的安全保密測評,由負責(zé)該系統(tǒng)審批的保密工作部門組織系統(tǒng)評測機構(gòu)進行,以檢驗系統(tǒng)安全保密措施的有效性和對環(huán)境變化的適應(yīng)性。
秘密級、機密級信息系統(tǒng):應(yīng)每兩年至少進行一次安全保密測評或保密檢查;
絕密級信息系統(tǒng):應(yīng)每年至少進行一次安全保密測評或保密檢查。
2.15 各級保密局與各單位保密辦的關(guān)系是什么?
【解釋】
各級保密局:國家保密工作部門,負責(zé)監(jiān)督、檢查、指導(dǎo);
各單位保密辦:保密工作機構(gòu),負責(zé)具體實施。
2.16 分級保護的系統(tǒng)集成對廠商的資質(zhì)有什么要求?
【解釋】
甲級資質(zhì)單位可在全國范圍內(nèi)承接涉密信息系統(tǒng)的規(guī)劃、設(shè)計和實施業(yè)務(wù),并僅可承擔(dān)本單位承建的涉密信息系統(tǒng)的系統(tǒng)服務(wù)和系統(tǒng)咨詢工作,不得從事其它單項資質(zhì)業(yè)務(wù)。
乙級資質(zhì)單位可在所限定的行政區(qū)域內(nèi)承接涉密信息系統(tǒng)的規(guī)劃、設(shè)計和實施業(yè)務(wù),并僅可承擔(dān)本單位承接的涉密信息系統(tǒng)的系統(tǒng)服務(wù)和系統(tǒng)咨詢工作,不得從事其它單項資質(zhì)業(yè)務(wù)。
2.17 分級保護的安全建設(shè)是否必須監(jiān)理,對監(jiān)理資質(zhì)有什么要求?
【解釋】
在系統(tǒng)建設(shè)進行時,應(yīng)選擇具有涉密工程監(jiān)理單項資質(zhì)的單位或組織自身力量依據(jù)BMB18-2006的要求在安全保密控制、質(zhì)量控制、進度控制、成本控制、合同管理和文檔管理六個方面加強監(jiān)督檢查。
2.18 分級保護的哪些具體工作對廠商有單項資質(zhì)的要求?
【解釋】
單項業(yè)務(wù):(全國,僅限所批準(zhǔn)業(yè)務(wù))
軍工、軟件開發(fā)、綜合布線、系統(tǒng)服務(wù)、系統(tǒng)咨詢、風(fēng)險評估、工程監(jiān)理、數(shù)據(jù)恢復(fù)、屏蔽室建設(shè)、保密安防監(jiān)控。
3 綜合問題
3.1 等保與分保的本質(zhì)區(qū)別是什么?
【解釋】
等級保護適用的對象為非涉密信息系統(tǒng),分級保護適用的對象為涉密信息系統(tǒng)。
3.2 等保與分保各有幾種級別?
【解釋】
等級保護分5個級別:一級(自主保護)、二級(指導(dǎo)保護)、三級(監(jiān)督保護)、四級(強制保護)、五級(??乇Wo)。
分級保護分3個級別:秘密級、機密級(機密增強級)、絕密級。
分級保護與等級保護對應(yīng)關(guān)系:秘密級對應(yīng)三級、機密級對應(yīng)四級、絕密級對應(yīng)五級。
3.3 等級保護/分級保護什么區(qū)別哪些部門在管理,怎么做?
【解釋】
標(biāo)準(zhǔn)體系
國家標(biāo)準(zhǔn)(GB、GB/T)
國家保密標(biāo)準(zhǔn)(BMB,強制執(zhí)行)
適用對象
非涉密信息系統(tǒng)
涉密信息系統(tǒng)
等保標(biāo)準(zhǔn)體系為國家標(biāo)準(zhǔn)(GB、GB/T),分保標(biāo)準(zhǔn)為國家保密標(biāo)準(zhǔn)(BMB,強制執(zhí)行),等保適用的對象非涉密信息系統(tǒng),分保適用的對象涉密信息系統(tǒng)。
公安機關(guān)是等級保護工作的主管部門,國家保密工作部門、國家密碼管理部門、信息化領(lǐng)導(dǎo)小組負責(zé)協(xié)調(diào)、監(jiān)督、檢查、指導(dǎo)工作。
國家保密工作部門是分級保護工作的主管部門,各省保密局、各地市市保密局負責(zé)本轄區(qū)監(jiān)督、檢查、指導(dǎo)工作。
3.4 企業(yè)出現(xiàn)泄密事件上報那些單位?
【解釋】
等級保護歸公安十一局,涉及到案件通常是北京地區(qū)內(nèi)保負責(zé)。
3.5 等保定級備案是依據(jù)單位還是系統(tǒng)?
【解釋】
等級保護備案是依據(jù)系統(tǒng)。
3.6 風(fēng)險評估和等級保護的關(guān)系?
【解釋】
風(fēng)險評估是等級保護中的一項重要工作,發(fā)改高技[2008]2071號。
3.7 等級保護方案設(shè)計階段及實施前是否需要報批?
【解釋】
國家正在制定相關(guān)標(biāo)準(zhǔn)預(yù)計3年內(nèi)可以推出GB標(biāo)準(zhǔn)。
3.8 對于等保中產(chǎn)品使用及密碼產(chǎn)品是否有要求?
【解釋】
密碼產(chǎn)品不在等級保護管理范圍之內(nèi),等保中沒有明確對安全產(chǎn)品做要求,在安全產(chǎn)品開發(fā)中可以參考《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》。