|
目錄 1等級(jí)保護(hù)FAQ3 1.1什么是等級(jí)保護(hù),、有什么用?3 1.2信息安全等級(jí)保護(hù)制度的意義與作用,?3 1.3等級(jí)保護(hù)與分級(jí)保護(hù)各分為幾個(gè)等級(jí),,對(duì)應(yīng)關(guān)系是什么?3 1.4等級(jí)保護(hù)的重要信息系統(tǒng)(8+2)有哪些?4 1.5等級(jí)保護(hù)的主管部門(mén)是誰(shuí),?4 1.6國(guó)家密碼管理部門(mén)在等級(jí)保護(hù)/分級(jí)保護(hù)工作中的職責(zé)是什么,?4 1.7等級(jí)保護(hù)的政策依據(jù)是哪個(gè)文件?4 1.8公安機(jī)關(guān)對(duì)等級(jí)保護(hù)的管理模式是什么,,等級(jí)保護(hù)定級(jí)到哪里備案,?5 1.9等級(jí)保護(hù)是否是強(qiáng)制性的,可以不做嗎,?5 1.10等級(jí)保護(hù)的主要標(biāo)準(zhǔn)有哪些,,是否已發(fā)布為正式的國(guó)家標(biāo)準(zhǔn)?5 1.11哪些單位可以做等級(jí)保護(hù)的測(cè)評(píng),?6 1.12做了等級(jí)測(cè)評(píng)之后,,是否會(huì)給發(fā)合格證書(shū)?6 1.13是否只是在政府行業(yè)實(shí)行,?企業(yè)是否也在等級(jí)保護(hù)和分級(jí)保護(hù)范疇之內(nèi),?6 1.14等級(jí)保護(hù)檢查的責(zé)任單位是誰(shuí)?7 2分級(jí)保護(hù)FAQ7 2.1分級(jí)保護(hù)是什么,?7 2.2分級(jí)保護(hù)的主管部門(mén)是誰(shuí),?7 2.3分級(jí)保護(hù)定級(jí)到哪里備案?7 2.4分級(jí)保護(hù)的政策依據(jù)是哪個(gè)文件,?7 2.5分級(jí)保護(hù)與等級(jí)保護(hù)的適用對(duì)象分別是什么,?7 2.6分級(jí)保護(hù)有關(guān)信息安全的標(biāo)準(zhǔn)相互關(guān)系是什么?8 2.7分級(jí)保護(hù)與等級(jí)保護(hù)的定級(jí)依據(jù)有何區(qū)別,?8 2.8分級(jí)保護(hù)的建設(shè)依據(jù),、方案設(shè)計(jì)、測(cè)評(píng)分別依據(jù)哪些標(biāo)準(zhǔn),?8 2.9分級(jí)保護(hù)設(shè)計(jì)方案是否需要經(jīng)過(guò)評(píng)審和審批,,誰(shuí)來(lái)評(píng)審和審批?8 2.10涉密信息系統(tǒng)投入使用前,,是否需要經(jīng)過(guò)審批,,由誰(shuí)來(lái)審批?8 2.11分級(jí)保護(hù)系統(tǒng)測(cè)評(píng)的作用是什么,,是否必須做,?9 2.12哪些單位可以做分級(jí)保護(hù)的測(cè)評(píng),有什么資質(zhì)要求,?9 2.13分級(jí)保護(hù)對(duì)涉密系統(tǒng)中使用的安全保密產(chǎn)品有哪些要求?9 2.14涉密系統(tǒng)分級(jí)保護(hù)多長(zhǎng)時(shí)間需進(jìn)行一次安全保密檢查,?9 2.15各級(jí)保密局與各單位保密辦的關(guān)系是什么,?10 2.16分級(jí)保護(hù)的系統(tǒng)集成對(duì)廠商的資質(zhì)有什么要求?10 2.17分級(jí)保護(hù)的安全建設(shè)是否必須監(jiān)理,對(duì)監(jiān)理資質(zhì)有什么要求,?10 2.18分級(jí)保護(hù)的哪些具體工作對(duì)廠商有單項(xiàng)資質(zhì)的要求,?10 3綜合問(wèn)題11 3.1等保與分保的本質(zhì)區(qū)別是什么?11 3.2等保與分保各有幾種級(jí)別,?11 3.3等級(jí)保護(hù)/分級(jí)保護(hù)什么區(qū)別哪些部門(mén)在管理,,怎么做?11 3.4企業(yè)出現(xiàn)泄密事件上報(bào)那些單位,?11 3.5等保定級(jí)備案是依據(jù)單位還是系統(tǒng),?12 3.6風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)的關(guān)系?12 3.7方案設(shè)計(jì)階段及實(shí)施前是否需要報(bào)批,?12 3.8對(duì)于等保中產(chǎn)品使用及密碼產(chǎn)品是否有要求,?12
等級(jí)保護(hù)/分級(jí)保護(hù)FAQ 1 等級(jí)保護(hù)FAQ 1.1 什么是等級(jí)保護(hù)、有什么用,? 【解釋】 是我國(guó)實(shí)施信息安全管理的一項(xiàng)法定制度,,1994年147號(hào)令、2003年27號(hào)文件,、2004年66號(hào)文件都有明確規(guī)定,,信息系統(tǒng)安全實(shí)施等級(jí)化保護(hù)和等級(jí)化管理。 等級(jí)化管理是一種普遍適用的管理方法,,是適用于我國(guó)當(dāng)前實(shí)際的一種有效的信息安全管理方法,。 開(kāi)展信息安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國(guó)家信息安全的根本保障,,是信息安全保障工作中國(guó)家意志的體現(xiàn),。 1.2 信息安全等級(jí)保護(hù)制度的意義與作用? 【解釋】 實(shí)施信息安全等級(jí)保護(hù)制度能夠有效地提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平,。實(shí)施信息安全等級(jí)保護(hù)制度有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施,,保障信息安全與信息化建設(shè)相協(xié)調(diào),為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性,、針對(duì)性,、可行性的指導(dǎo)和服務(wù),有效控制信息安全建設(shè)成本,。 優(yōu)化信息安全資源配置,,對(duì)信息系統(tǒng)分級(jí)實(shí)施保護(hù),重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全,、經(jīng)濟(jì)命脈,、社會(huì)穩(wěn)定等方面重要信息系統(tǒng)的安全。 明確國(guó)家,、法人和其他組織,、公民的信息安全責(zé)任,,加強(qiáng)信息安全管理,推動(dòng)信息安全產(chǎn)業(yè)的發(fā)展,,逐步探索出一條適應(yīng)我國(guó)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全模式,。 1.3 等級(jí)保護(hù)與分級(jí)保護(hù)各分為幾個(gè)等級(jí),對(duì)應(yīng)關(guān)系是什么,? 【解釋】 等級(jí)保護(hù)分5個(gè)級(jí)別:一級(jí)(自主保護(hù)),、二級(jí)(指導(dǎo)保護(hù))、三級(jí)(監(jiān)督保護(hù)),、四級(jí)(強(qiáng)制保護(hù)),、五級(jí)(專(zhuān)控保護(hù))。 分級(jí)保護(hù)分3個(gè)級(jí)別:秘密級(jí),、機(jī)密級(jí)(機(jī)密增強(qiáng)級(jí)),、絕密級(jí)。 分級(jí)保護(hù)與等級(jí)保護(hù)對(duì)應(yīng)關(guān)系:秘密級(jí)對(duì)應(yīng)三級(jí),、機(jī)密級(jí)對(duì)應(yīng)四級(jí),、絕密級(jí)對(duì)應(yīng)五級(jí)。 1.4 等級(jí)保護(hù)的重要信息系統(tǒng)(8+2)有哪些,? 【解釋】 電信,、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),,經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位,、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng),。 鐵路,、銀行、海關(guān),、稅務(wù),、民航、電力,、證券,、保險(xiǎn)、外交,、科技,、發(fā)展改革、國(guó)防科技,、公安,、人事勞動(dòng)和社會(huì)保障、財(cái)政,、審計(jì),、商務(wù),、水利、國(guó)土資源,、能源、交通,、文化,、教育、統(tǒng)計(jì),、工商行政管理,、郵政等行業(yè)、部門(mén)的生產(chǎn),、調(diào)度,、管理、辦公等重要信息系統(tǒng),。 市(地)級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng),。 涉及國(guó)家秘密的信息系統(tǒng)。 1.5 等級(jí)保護(hù)的主管部門(mén)是誰(shuí),? 【解釋】 公安機(jī)關(guān)是等級(jí)保護(hù)工作的主管部門(mén),,負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查,、指導(dǎo),,國(guó)家保密工作部門(mén)、國(guó)家密碼管理部門(mén)負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作和密碼工作的監(jiān)督,、檢查,、指導(dǎo),國(guó)信辦及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作部門(mén)間的協(xié)調(diào),,涉及國(guó)家秘密信息系統(tǒng)的等級(jí)保護(hù)監(jiān)督管理工作由國(guó)家保密工作部門(mén)負(fù)責(zé),。 1.6 國(guó)家密碼管理部門(mén)在等級(jí)保護(hù)/分級(jí)保護(hù)工作中的職責(zé)是什么? 【解釋】 國(guó)家密碼管理部門(mén)負(fù)責(zé)等級(jí)保護(hù)/分級(jí)保護(hù)工作中有關(guān)保密工作和密碼工作的監(jiān)督,、檢查,、指導(dǎo)。 1.7 等級(jí)保護(hù)的政策依據(jù)是哪個(gè)文件,? 【解釋】 《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令,,1994年); 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào)),; 《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》(公通字[2004]66號(hào)),; 《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào)); 《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公信安[2007]861號(hào)),; 《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》(發(fā)改高技[2008]2071號(hào)),。 1.8 公安機(jī)關(guān)對(duì)等級(jí)保護(hù)的管理模式是什么,,等級(jí)保護(hù)定級(jí)到哪里備案? 【解釋】 公安機(jī)關(guān)負(fù)責(zé)受理備案并進(jìn)行備案管理,。信息系統(tǒng)備案后,,公安機(jī)關(guān)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核,對(duì)符合等級(jí)保護(hù)要求的,,頒發(fā)信息系統(tǒng)安全保護(hù)等級(jí)備案證明,。發(fā)現(xiàn)不符合《管理辦法》及有關(guān)標(biāo)準(zhǔn)的,通知備案單位予以糾正,。發(fā)現(xiàn)定級(jí)不準(zhǔn)的,,通知運(yùn)營(yíng)使用單位或其主管部門(mén)重新審核確定。 已運(yùn)營(yíng)(運(yùn)行)的第二級(jí)以上信息系統(tǒng),,應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi),,由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù),。 新建第二級(jí)以上信息系統(tǒng),,應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi),由其運(yùn)營(yíng),、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù),。 注:北京市各部委上報(bào)北京測(cè)評(píng)中心備案。 1.9 等級(jí)保護(hù)是否是強(qiáng)制性的,,可以不做嗎,? 【解釋】 國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則,。信息系統(tǒng)的安全保護(hù)等級(jí)根據(jù)信息系統(tǒng)在國(guó)家安全,、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,,信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全,、社會(huì)秩序、公共利益以及公民,、法人和其他組織的合法權(quán)益的危害程度等因素確定,。 2級(jí)以上信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)《信息安全等級(jí)保護(hù)管理辦法》和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù),,國(guó)家有關(guān)信息安全監(jiān)管部門(mén)對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理,。 備案后3級(jí)系統(tǒng)每年進(jìn)行一次監(jiān)督檢查,4級(jí)每半年進(jìn)行一次監(jiān)督檢查,。 1.10 等級(jí)保護(hù)的主要標(biāo)準(zhǔn)有哪些,,是否已發(fā)布為正式的國(guó)家標(biāo)準(zhǔn)? 【解釋】 《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239),; 《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240),; 《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(國(guó)標(biāo)報(bào)批稿),; 《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)規(guī)范》(國(guó)標(biāo)報(bào)批稿); 《信息安全等級(jí)保護(hù)實(shí)施指南》(試用稿),; 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB 17859-1999),。 1.11 哪些單位可以做等級(jí)保護(hù)的測(cè)評(píng)? 【解釋】 第三級(jí)以上信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)應(yīng)符合下列條件: 在中華人民共和國(guó)境內(nèi)注冊(cè)成立(港澳臺(tái)地區(qū)除外),; 由中國(guó)公民投資,、中國(guó)法人投資或者國(guó)家投資的企事業(yè)單位(港澳臺(tái)地區(qū)除外); 從事相關(guān)檢測(cè)評(píng)估工作兩年以上,,無(wú)違法記錄; 工作人員僅限于中國(guó)公民,; 法人及主要業(yè)務(wù),、技術(shù)人員無(wú)犯罪記錄; 使用的技術(shù)裝備,、設(shè)施應(yīng)當(dāng)符合本辦法對(duì)信息安全產(chǎn)品的要求,; 具有完備的保密管理、項(xiàng)目管理,、質(zhì)量管理,、人員管理和培訓(xùn)教育等安全管理制度; 對(duì)國(guó)家安全,、社會(huì)秩序,、公共利益不構(gòu)成威脅。 1.12 做了等級(jí)測(cè)評(píng)之后,,是否會(huì)給發(fā)合格證書(shū),? 【解釋】 目前,公安機(jī)關(guān)只對(duì)信息系統(tǒng)的備案情況進(jìn)行審核,,對(duì)符合等級(jí)保護(hù)要求的,,頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明,發(fā)現(xiàn)不符合有關(guān)標(biāo)準(zhǔn)的,,通知備案單位予以糾正,,發(fā)現(xiàn)定級(jí)不準(zhǔn)的,通知備案單位重新審核確定,。沒(méi)有發(fā)測(cè)評(píng)合格證書(shū),。 1.13 是否只是在政府行業(yè)實(shí)行?企業(yè)是否也在等級(jí)保護(hù)和分級(jí)保護(hù)范疇之內(nèi),? 【解釋】 等級(jí)保護(hù)涉及所有行業(yè),,只要有信息系統(tǒng)的單位都在等級(jí)保護(hù)覆蓋范圍(涉密系統(tǒng)除外)。 1.14 等級(jí)保護(hù)檢查的責(zé)任單位是誰(shuí),? 【解釋】 是公安機(jī)關(guān),,在檢查中需要穿警服及佩帶有效證件,,協(xié)同技術(shù)支持單位到單位檢查。同時(shí)鼓勵(lì)各行業(yè)開(kāi)展自查,。 2 分級(jí)保護(hù)FAQ 2.1 分級(jí)保護(hù)是什么,? 【解釋】 涉密信息系統(tǒng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的基本要求,按照國(guó)家保密工作部門(mén)有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),,實(shí)施信息安全分級(jí)保護(hù)的強(qiáng)制執(zhí)行制度,。涉密信息系統(tǒng)按照所處理信息的最高密級(jí),由低到高分為秘密,、機(jī)密,、絕密三個(gè)等級(jí)。 2.2 分級(jí)保護(hù)的主管部門(mén)是誰(shuí),? 【解釋】 國(guó)家保密工作部門(mén)(國(guó)家保密局,、各省保密局、各地市市保密局),。 2.3 分級(jí)保護(hù)定級(jí)到哪里備案,? 【解釋】 涉密信息系統(tǒng)建設(shè)使用單位將涉密信息系統(tǒng)定級(jí)和建設(shè)使用情況,上報(bào)業(yè)務(wù)主管部門(mén)的保密工作機(jī)構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門(mén)備案,,并接受保密部門(mén)的監(jiān)督,、檢查、指導(dǎo),。 2.4 分級(jí)保護(hù)的政策依據(jù)是哪個(gè)文件,? 【解釋】 《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》(國(guó)保發(fā)[2005]16號(hào))。 2.5 分級(jí)保護(hù)與等級(jí)保護(hù)的適用對(duì)象分別是什么,? 【解釋】 標(biāo)準(zhǔn)體系 | 國(guó)家標(biāo)準(zhǔn)(GB,、GB/T) | 國(guó)家保密標(biāo)準(zhǔn)(BMB,強(qiáng)制執(zhí)行) | 適用對(duì)象 | 非涉密信息系統(tǒng) | 涉密信息系統(tǒng) |
2.6 分級(jí)保護(hù)有關(guān)信息安全的標(biāo)準(zhǔn)相互關(guān)系是什么,? 【解釋】 BMB17,、BMB20為分級(jí)保護(hù)設(shè)計(jì)基本依據(jù),BMB23是把BMB17,、BMB20技術(shù)與管理要求實(shí)施落地,,BMB18是系統(tǒng)建設(shè)實(shí)施過(guò)程中工程監(jiān)理依據(jù),BMB22為系統(tǒng)上線前和系統(tǒng)變更中的測(cè)評(píng)依據(jù),。 2.7 分級(jí)保護(hù)與等級(jí)保護(hù)的定級(jí)依據(jù)有何區(qū)別,? 【解釋】 等級(jí)保護(hù)定級(jí)是依據(jù)重要業(yè)務(wù)系統(tǒng)與承載業(yè)務(wù)運(yùn)行的網(wǎng)絡(luò)、設(shè)備,、系統(tǒng)及單位屬性,、遭到破壞后所影響的主、客體關(guān)系等。 分級(jí)保護(hù)定級(jí)是依據(jù)信息的重要性,,以信息最高密級(jí)確定受保護(hù)的級(jí)別,。 2.8 分級(jí)保護(hù)的建設(shè)依據(jù)、方案設(shè)計(jì),、測(cè)評(píng)分別依據(jù)哪些標(biāo)準(zhǔn),? 【解釋】 BMB23是把BMB17、BMB20技術(shù)與管理實(shí)施落地的建設(shè)與設(shè)計(jì)依據(jù),,BMB22為系統(tǒng)上線前和系統(tǒng)變更中的測(cè)評(píng)依據(jù),。 2.9 分級(jí)保護(hù)設(shè)計(jì)方案是否需要經(jīng)過(guò)評(píng)審和審批,誰(shuí)來(lái)評(píng)審和審批,? 【解釋】 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)對(duì)系統(tǒng)設(shè)計(jì)方案進(jìn)行審查論證,,保密工作 部門(mén)應(yīng)當(dāng)參與方案審查論證,在系統(tǒng)總體安全保密性方面加強(qiáng)指導(dǎo),,嚴(yán)格把關(guān),。 2.10 涉密信息系統(tǒng)投入使用前,是否需要經(jīng)過(guò)審批,,由誰(shuí)來(lái)審批? 【解釋】 涉密信息系統(tǒng)投入使用前,,必須經(jīng)過(guò)審批,。未經(jīng)保密工作部門(mén)的審批,涉密信息系統(tǒng)不得投入使用,。 審批單位: 國(guó)家保密局:負(fù)責(zé)審批中央和國(guó)家機(jī)關(guān)各部委及其所屬單位,、國(guó)防武器裝備科研生產(chǎn)一級(jí)保密資格單位的涉密信息系統(tǒng); ?。ㄗ灾螀^(qū),、直轄市)保密局:負(fù)責(zé)審批省及機(jī)關(guān)及其所屬單位、國(guó)防武器科研生產(chǎn)二,、三級(jí)保密資格單位的涉密信息系統(tǒng),; 市(地)級(jí)保密局:負(fù)責(zé)審批市(地)直機(jī)關(guān)及其所屬單位、縣直機(jī)關(guān)所屬單位的涉密信息系統(tǒng),。 2.11 分級(jí)保護(hù)系統(tǒng)測(cè)評(píng)的作用是什么,,是否必須做? 【解釋】 涉密系統(tǒng)的分級(jí)保護(hù)測(cè)評(píng)是全面地驗(yàn)證所采取的安全保密措施能否滿足安全保密需求和安全目標(biāo),,為涉密信息系統(tǒng)審批提供依據(jù),。 系統(tǒng)測(cè)評(píng)是系統(tǒng)審批的必要環(huán)節(jié)。沒(méi)有經(jīng)過(guò)測(cè)評(píng),,涉密信息系統(tǒng)將無(wú)法通過(guò)投入運(yùn)行的審批,。 2.12 哪些單位可以做分級(jí)保護(hù)的測(cè)評(píng),有什么資質(zhì)要求? 【解釋】 目前,,國(guó)家保密工作部門(mén)及國(guó)家保密局授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)負(fù)責(zé)測(cè)評(píng),,測(cè)評(píng)機(jī)構(gòu)應(yīng)具備涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)集成風(fēng)險(xiǎn)評(píng)估單項(xiàng)資質(zhì)。 2.13 分級(jí)保護(hù)對(duì)涉密系統(tǒng)中使用的安全保密產(chǎn)品有哪些要求,? 【解釋】 涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國(guó)產(chǎn)品,,并應(yīng)當(dāng)通過(guò)國(guó)家保密局授權(quán)的檢測(cè)機(jī)構(gòu)依據(jù)有關(guān)國(guó)家保密標(biāo)準(zhǔn)進(jìn)行的檢測(cè),通過(guò)檢測(cè)的產(chǎn)品由國(guó)家保密局審核發(fā)布目錄,。 2.14 涉密系統(tǒng)分級(jí)保護(hù)多長(zhǎng)時(shí)間需進(jìn)行一次安全保密檢查,? 【解釋】 涉密信息系統(tǒng)投入運(yùn)行后的安全保密測(cè)評(píng),由負(fù)責(zé)該系統(tǒng)審批的保密工作部門(mén)組織系統(tǒng)評(píng)測(cè)機(jī)構(gòu)進(jìn)行,,以檢驗(yàn)系統(tǒng)安全保密措施的有效性和對(duì)環(huán)境變化的適應(yīng)性,。 秘密級(jí)、機(jī)密級(jí)信息系統(tǒng):應(yīng)每?jī)赡曛辽龠M(jìn)行一次安全保密測(cè)評(píng)或保密檢查,; 絕密級(jí)信息系統(tǒng):應(yīng)每年至少進(jìn)行一次安全保密測(cè)評(píng)或保密檢查,。 2.15 各級(jí)保密局與各單位保密辦的關(guān)系是什么? 【解釋】 各級(jí)保密局:國(guó)家保密工作部門(mén),,負(fù)責(zé)監(jiān)督,、檢查、指導(dǎo),; 各單位保密辦:保密工作機(jī)構(gòu),,負(fù)責(zé)具體實(shí)施。 2.16 分級(jí)保護(hù)的系統(tǒng)集成對(duì)廠商的資質(zhì)有什么要求,? 【解釋】 甲級(jí)資質(zhì)單位可在全國(guó)范圍內(nèi)承接涉密信息系統(tǒng)的規(guī)劃,、設(shè)計(jì)和實(shí)施業(yè)務(wù),并僅可承擔(dān)本單位承建的涉密信息系統(tǒng)的系統(tǒng)服務(wù)和系統(tǒng)咨詢工作,,不得從事其它單項(xiàng)資質(zhì)業(yè)務(wù),。 乙級(jí)資質(zhì)單位可在所限定的行政區(qū)域內(nèi)承接涉密信息系統(tǒng)的規(guī)劃、設(shè)計(jì)和實(shí)施業(yè)務(wù),,并僅可承擔(dān)本單位承接的涉密信息系統(tǒng)的系統(tǒng)服務(wù)和系統(tǒng)咨詢工作,,不得從事其它單項(xiàng)資質(zhì)業(yè)務(wù)。 2.17 分級(jí)保護(hù)的安全建設(shè)是否必須監(jiān)理,,對(duì)監(jiān)理資質(zhì)有什么要求,? 【解釋】 在系統(tǒng)建設(shè)進(jìn)行時(shí),應(yīng)選擇具有涉密工程監(jiān)理單項(xiàng)資質(zhì)的單位或組織自身力量依據(jù)BMB18-2006的要求在安全保密控制,、質(zhì)量控制,、進(jìn)度控制、成本控制,、合同管理和文檔管理六個(gè)方面加強(qiáng)監(jiān)督檢查,。 2.18 分級(jí)保護(hù)的哪些具體工作對(duì)廠商有單項(xiàng)資質(zhì)的要求? 【解釋】 單項(xiàng)業(yè)務(wù):(全國(guó),僅限所批準(zhǔn)業(yè)務(wù)) 軍工,、軟件開(kāi)發(fā),、綜合布線、系統(tǒng)服務(wù),、系統(tǒng)咨詢,、風(fēng)險(xiǎn)評(píng)估、工程監(jiān)理,、數(shù)據(jù)恢復(fù),、屏蔽室建設(shè)、保密安防監(jiān)控,。 3 綜合問(wèn)題 3.1 等保與分保的本質(zhì)區(qū)別是什么,? 【解釋】 等級(jí)保護(hù)適用的對(duì)象為非涉密信息系統(tǒng),分級(jí)保護(hù)適用的對(duì)象為涉密信息系統(tǒng),。 3.2 等保與分保各有幾種級(jí)別,? 【解釋】 等級(jí)保護(hù)分5個(gè)級(jí)別:一級(jí)(自主保護(hù))、二級(jí)(指導(dǎo)保護(hù)),、三級(jí)(監(jiān)督保護(hù)),、四級(jí)(強(qiáng)制保護(hù))、五級(jí)(專(zhuān)控保護(hù)),。 分級(jí)保護(hù)分3個(gè)級(jí)別:秘密級(jí),、機(jī)密級(jí)(機(jī)密增強(qiáng)級(jí))、絕密級(jí),。 分級(jí)保護(hù)與等級(jí)保護(hù)對(duì)應(yīng)關(guān)系:秘密級(jí)對(duì)應(yīng)三級(jí)、機(jī)密級(jí)對(duì)應(yīng)四級(jí),、絕密級(jí)對(duì)應(yīng)五級(jí),。 3.3 等級(jí)保護(hù)/分級(jí)保護(hù)什么區(qū)別哪些部門(mén)在管理,怎么做,? 【解釋】 標(biāo)準(zhǔn)體系 | 國(guó)家標(biāo)準(zhǔn)(GB,、GB/T) | 國(guó)家保密標(biāo)準(zhǔn)(BMB,強(qiáng)制執(zhí)行) | 適用對(duì)象 | 非涉密信息系統(tǒng) | 涉密信息系統(tǒng) |
等保標(biāo)準(zhǔn)體系為國(guó)家標(biāo)準(zhǔn)(GB,、GB/T),,分保標(biāo)準(zhǔn)為國(guó)家保密標(biāo)準(zhǔn)(BMB,強(qiáng)制執(zhí)行),,等保適用的對(duì)象非涉密信息系統(tǒng),,分保適用的對(duì)象涉密信息系統(tǒng)。 公安機(jī)關(guān)是等級(jí)保護(hù)工作的主管部門(mén),,國(guó)家保密工作部門(mén),、國(guó)家密碼管理部門(mén)、信息化領(lǐng)導(dǎo)小組負(fù)責(zé)協(xié)調(diào)、監(jiān)督,、檢查,、指導(dǎo)工作。 國(guó)家保密工作部門(mén)是分級(jí)保護(hù)工作的主管部門(mén),,各省保密局,、各地市市保密局負(fù)責(zé)本轄區(qū)監(jiān)督、檢查,、指導(dǎo)工作,。 3.4 企業(yè)出現(xiàn)泄密事件上報(bào)那些單位? 【解釋】 等級(jí)保護(hù)歸公安十一局,,涉及到案件通常是北京地區(qū)內(nèi)保負(fù)責(zé),。 3.5 等保定級(jí)備案是依據(jù)單位還是系統(tǒng)? 【解釋】 等級(jí)保護(hù)備案是依據(jù)系統(tǒng),。 3.6 風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)的關(guān)系,? 【解釋】 風(fēng)險(xiǎn)評(píng)估是等級(jí)保護(hù)中的一項(xiàng)重要工作,發(fā)改高技[2008]2071號(hào),。 3.7 等級(jí)保護(hù)方案設(shè)計(jì)階段及實(shí)施前是否需要報(bào)批,? 【解釋】 國(guó)家正在制定相關(guān)標(biāo)準(zhǔn)預(yù)計(jì)3年內(nèi)可以推出GB標(biāo)準(zhǔn)。 3.8 對(duì)于等保中產(chǎn)品使用及密碼產(chǎn)品是否有要求,? 【解釋】 密碼產(chǎn)品不在等級(jí)保護(hù)管理范圍之內(nèi),,等保中沒(méi)有明確對(duì)安全產(chǎn)品做要求,在安全產(chǎn)品開(kāi)發(fā)中可以參考《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,。
|
