国产 人兽
等第保护、分级保护FAQ
1 等第保护FAQ
1.1什么是等第保护、有什么用?
【解释】
是我国实施信息安全处理的一项法定轨制,1994年147高歌、2003年27号文献、2004年66号文献齐有明确规定,信息系统安全实施等第化保护和等第化处理。
等第化处理是一种多半适用的处理方法,是适用于我国面前践诺的一种有用的信息安全处理方法。
开展信息安全等第保护责任是保护信息化发展、爱戴国度信息安全的根蒂保障,是信息安全保障责任中国度相识的体现。
1.2信息安全等第保护轨制的兴味与作用?
【解释】
实施信息安全等第保护轨制大致有用地进步我国信息和信息系统安全缔造的举座水平。实施信息安全等第保护轨制有意于在信息化缔造经由中同步缔造信息安全设施,保障信息安全与信息化缔造迎合营,为信息系统安全缔造和处理提供系统性、针对性、可行性的指导和服务,有用戒指信息安全缔造本钱。
优化信息安全资源树立,对信息系统分级实施保护,重心保障基础信息汇聚和关系国度安全、经济命根子、社会结实等方面遑急信息系统的安全。
明确国度、法东谈主和其他组织、公民的信息安全包袱,加强信息安全处理,鞭策信息安全产业的发展,逐渐探索出一条适应我国社会目的市集经济发展的信息安全款式。
1.3等第保护与分级保护各分为几个等第,对应关系是什么?
【解释】
等第保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)。
分级保护分3个级别:机要级、奥秘级(奥秘增强级)、绝密级。
分级保护与等第保护对应关系:机要级对应三级、奥秘级对应四级、绝密级对应五级。
1.4等第保护的遑急信息系统(8+2)有哪些?
【解释】
电信、广电行业的公用通讯网、播送电视传输网等基础信息汇聚,谋略性公众互联网信息服务单元、互联网接入服务单元、数据中心等单元的遑急信息系统。
铁路、银行、海关、税务、民航、电力、证券、保障、酬酢、科技、发展鼎新、国防科技、公安、东谈主事做事和社会保障、财政、审计、商务、水利、国土资源、动力、交通、文化、西宾、统计、工商行政处理、邮政等行业、部门的坐蓐、休养、处理、办公等遑急信息系统。
市(地)级以上党政机关的遑急网站和办公信息系统。
波及国度机要的信息系统。
1.5等第保护的运用部门是谁?
【解释】
公安机关是等第保护责任的运用部门,负责信息安全等第保护责任的监督、查验、指导,国度守密责任部门、国度密码处理部门负责等第保护责任中规划守密责任和密码责任的监督、查验、指导,国信办及场地信息化交流小组做事机构负责等第保护责任部门间的合营,波及国度机要信息系统的等第保护监督处理责任由国度守密责任部门负责。
1.6国度密码处理部门在等第保护/分级保护责任中的职责是什么?
【解释】
国度密码处理部门负责等第保护/分级保护责任中规划守密责任和密码责任的监督、查验、指导。
1.7等第保护的策略依据是哪个文献?
【解释】
Ø 《中华东谈主民共和国狡计机信息系统安全保护条例》(国务院147高歌,1994年);
Ø 《国度信息化交流小组对于加强信息安全保障责任的见地》(中办发[2003]27号);
Ø 《对于信息安全等第保护责任的实施见地》(公通字[2004]66号);
Ø 《信息安全等第保护处理办法》(公通字[2007]43号);
Ø 《对于开展世界遑急信息系统安全等第保护定级责任的奉告》(公信安[2007]861号);
Ø 《对于加强国度电子政务工程缔造名目信息安全风险评估责任的奉告》(发改高技[2008]2071号)。
1.8公安机关平等第保护的处理款式是什么,等第保护定级到那里备案?
【解释】
公安机关负责受理备案并进行备案处理。信息系统备案后,公安机关对信息系统的备案情况进行审核,对合适等第保护要求的,颁发信息系统安全保护等第备案阐述。发现不合适《处理办法》及规划尺度的,奉告备案单元赐与编削。发现定级不准的,奉告运营使用单元或其运用部门再行审核细目。
已运营(脱手)的第二级以上信息系统,应当在安全保护等第细目后30日内,由其运营、使用单元到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在过问脱手后30日内,由其运营、使用单元到所在地设区的市级以上公安机关办理备案手续。
注:北京市各部委上报北京测评中心备案。
1.9等第保护是否是强制性的,不错不作念吗?
【解释】
国度信息安全等第保护坚抓自主定级、自主保护的原则。信息系统的安全保护等第凭据信息系统在国度安全、经济缔造、社会生存中的遑急程度,信息系统遭到龙套后对国度安全、社会规律、全球利益以及公民、法东谈主和其他组织的正当权柄的危害程度等身分细目。
2级以上信息系统运营、使用单元依据《信息安全等第保护处理办法》和相关技巧尺度对信息系统进行保护,国度规划信息安全监管部门对其信息安全等第保护责任进行监督处理。
备案后3级系统每年进行一次监督查验,4级每半年进行一次监督查验。
1.10 等第保护的主要尺度有哪些,是否已发布为负责的国度尺度?
【解释】
Ø 《信息系统安全等第保护基本要求》(GB/T22239);
Ø 《信息系统安全等第保护定级指南》(GB/T22240);
Ø 《信息系统安全等第保护实施指南》(国标报批稿);
Ø 《信息系统安全等第保护测评纪律》(国标报批稿);
Ø 《信息安全等第保护实施指南》(试用稿);
Ø 《狡计机信息系统安全保护等第折柳准则》(GB 17859-1999)。
1.11 哪些单元不错作念等第保护的测评?
【解释】
第三级以上信息系统等第保护测评机构应合适下列要求:
Ø 在中华东谈主民共和国境内注册成立(港澳台地区之外);
Ø 由中国公民投资、中法则东谈主投资或者国度投资的企职业单元(港澳台地区之外);
Ø 从事相关检测评估责任两年以上,无罪人记载;
Ø 责任主谈主员仅限于中国公民;
Ø 法东谈主及主要业务、技巧东谈主员无犯警记载;
拳交twitterØ 使用的技巧装备、设施应当合适本办法对信息安全居品的要求;
Ø 具有完备的守密处理、名目处理、质料处理、东谈主员处理和培训西宾等安全处理轨制;
Ø 对国度安全、社会规律、全球利益不组成挟制。
1.12 作念了等第测评之后,是否会给发及格文凭?
【解释】
当今,公安机关只对信息系统的备案情况进行审核,对合适等第保护要求的,颁发信息系统安全等第保护备案阐述,发现不合适规划尺度的,奉告备案单元赐与编削,发现定级不准的,奉告备案单元再行审核细目。莫得发测评及格文凭。
1.13 是否仅仅在政府行业实行?企业是否也在等第保护和分级保护领域之内?
【解释】
等第保护波及统共行业,独一有信息系统的单元齐在等第保护隐敝领域(涉密系统之外)。
1.14 等第保护查验的包袱单元是谁?
【解释】
是公安机关,在查验中需要穿警服及率领有用证件,协同技巧撑抓单元到单元查验。同期饱读吹各行业开展自查。
2 分级保护FAQ
2.1分级保护是什么?
【解释】
涉密信息系统依据国度信息安全等第保护的基本要求,按照国度守密责任部门规划涉密信息系统分级保护的处理规定和技巧尺度,实施信息安全分级保护的强制履行轨制。涉密信息系统按照所处理信息的最高密级,由低到高分为机要、奥秘、绝密三个等第。
2.2分级保护的运用部门是谁?
【解释】
国度守密责任部门(国度守密局、各省守密局、各地市市守密局)。
2.3分级保护定级到那里备案?
【解释】
涉密信息系统缔造使用单元将涉密信息系统定级和缔造使用情况,上报业务运用部门的守密责任机构和负责系统审批的守密责任部门备案,并袭取守密部门的监督、查验、指导。
2.4分级保护的策略依据是哪个文献?
【解释】
Ø 《波及国度机要的信息系统分级保护处理办法》(国保发[2005]16号)。
2.5分级保护与等第保护的适用对象分别是什么?
【解释】
尺度体系
国度尺度(GB、GB/T)
国度守密尺度(BMB,强制履行)
适用对象
非涉密信息系统
涉密信息系统
2.6分级保护规划信息安全的尺度相互关系是什么?
【解释】
BMB17、BMB20为分级保护遐想基本依据,BMB23是把BMB17、BMB20技巧与处理要务实施落地,BMB18是系统缔造实施经由中工程监理依据,BMB22为系统上线前和系统变更中的测评依据。
2.7分级保护与等第保护的定级依据有何区别?
【解释】
等第保护定级是依据遑急业务系统与承载业务脱手的汇聚、开发、系统及单元属性、遭到龙套后所影响的主、客体关系等。
分级保护定级是依据信息的遑急性,以信息最高密级细目受保护的级别。
2.8分级保护的缔造依据、决策遐想、测评分别依据哪些尺度?
【解释】
BMB23是把BMB17、BMB20技巧与处理实施落地的缔造与遐想依据,BMB22为系统上线前和系统变更中的测评依据。
2.9分级保护遐想决策是否需要经过评审和审批,谁来评审和审批?
【解释】
涉密信息系统缔造使用单元应付系统遐想决策进行审查论证,守密责任部门应当参与决策审查论证,在系统总体安全守密性方面加强指导,严格把关。
2.10 涉密信息系统过问使用前,是否需要经过审批,由谁来审批?
【解释】
涉密信息系统过问使用前,必须经过审批。未经守密责任部门的审批,涉密信息系统不得过问使用。
审批单元:
Ø 国度守密局:负责审批中央和国度机关各部委偏激所属单元、国防兵器装备科研坐蓐一级守密阅历单元的涉密信息系统;
Ø 省(自治区、直辖市)守密局:负责审批省及机关偏激所属单元、国防兵器科研坐蓐二、三级守密阅历单元的涉密信息系统;
Ø 市(地)级守密局:负责审批市(地)直机关偏激所属单元、县直机关所属单元的涉密信息系统。
2.11 分级保护系统测评的作用是什么,是否必须作念?
【解释】
涉密系统的分级保护测评是全面地考据所接收的安全守密措施能否得志安全守密需乞降安全方针,为涉密信息系统审批提供依据。
系统测评是系统审批的必要设施。莫得经过测评,涉密信息系统将无法通过过问脱手的审批。
2.12 哪些单元不错作念分级保护的测评,有什么天禀要求?
【解释】
当今,国度守密责任部门及国度守密局授权的系统测评机构负责测评,测评机构应具备波及国度机要的狡计机信息系统集成风险评估单项天禀。
2.13 分级保护对涉密系统中使用的安全守密居品有哪些要求?
【解释】
涉密信息系统使用的信息安全守密居品原则上应当采选国居品,并应当通过国度守密局授权的检测机构依据规划国度守密尺度进行的检测,通过检测的居品由国度守密局审核发布目次。
2.14 涉密系统分级保护多万古刻需进行一次安全守密查验?
【解释】
涉密信息系统过问脱手后的安全守密测评,由负责该系统审批的守密责任部门组织系统评测机构进行,以考研系统安全守密措施的有用性和对环境变化的适应性。
机要级、奥秘级信息系统:应每两年至少进行一次安全守密测评或守密查验;
绝密级信息系统:应每年至少进行一次安全守密测评或守密查验。
2.15 各级守密局与各单元守密办的关系是什么?
【解释】
各级守密局:国度守密责任部门,负责监督、查验、指导;
各单元守密办:守密责任机构,负责具体实施。
2.16 分级保护的系统集成对厂商的天禀有什么要求?
【解释】
甲级天禀单元可在世界领域内相连涉密信息系统的有忖度打算、遐想和实施业务,并仅可承担本单元承建的涉密信息系统的系统服务和系统商讨责任,不得从事其它单项天禀业务。
乙级天禀单元可在所戒指的行政区域内相连涉密信息系统的有忖度打算、遐想和实施业务,并仅可承担本单元相连的涉密信息系统的系统服务和系统商讨责任,不得从事其它单项天禀业务。
2.17 分级保护的安全缔造是否必须监理,对监理天禀有什么要求?
【解释】
在系统缔造进行时,应选拔具有涉密工程监理单项天禀的单元或组织自己力量依据BMB18-2006的要求在安全守密戒指、质料戒指、进程戒指、本钱戒指、条约处理和文档处理六个方面加强监督查验。
2.18 分级保护的哪些具体责任对厂商有单项天禀的要求?
【解释】
单项业务:(世界,仅限所批准业务)
军工、软件开发、轮廓布线、系统服务、系统商讨、风险评估、工程监理、数据规复、屏蔽室缔造、守密安防监控。
3 轮廓问题
3.1等保与分保的骨子区别是什么?
【解释】
等第保护适用的对象为非涉密信息系统,分级保护适用的对象为涉密信息系统。
3.2等保与分保各有几种级别?
【解释】
等第保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)。
分级保护分3个级别:机要级、奥秘级(奥秘增强级)、绝密级。
分级保护与等第保护对应关系:机要级对应三级、奥秘级对应四级、绝密级对应五级。
3.3等第保护/分级保护什么区别哪些部门在处理,怎么作念?
【解释】
尺度体系
国度尺度(GB、GB/T)
国度守密尺度(BMB,强制履行)
适用对象
非涉密信息系统
涉密信息系统
等保尺度体系为国度尺度(GB、GB/T),分保尺度为国度守密尺度(BMB,强制履行),等保适用的对象非涉密信息系统,分保适用的对象涉密信息系统。
公安机关是等第保护责任的运用部门,国度守密责任部门、国度密码处理部门、信息化交流小组负责合营、监督、查验、指导责任。
国度守密责任部门是分级保护责任的运用部门,各省守密局、各地市市守密局负责本辖区监督、查验、指导责任。
3.4企业出现泄密事件上报那些单元?
【解释】
等第保护归公安十一局,波及案件经常是北京地区内保负责。
3.5等保定级备案是依据单元也曾系统?
【解释】
等第保护备案是依据系统。
3.6风险评估和等第保护的关系?
【解释】
风险评估是等第保护中的一项遑急责任,发改高技[2008]2071号。
3.7等第保护决策遐想阶段及实施前是否需要报批?
【解释】
国度正在制定相关尺度瞻望3年内不错推出GB尺度。
3.8对于等保中居品使用及密码居品是否有要求?
【解释】
密码居品不在等第保护处理领域之内国产 人兽,等保中莫得明确对安全居品作念要求,在安全居品开发中不错参考《信息安全技巧 信息系统安全等第保护基本要求》。