等級保護和分級保護
轉載 http://blog.51cto.com/370354761/1898774
目錄
1等級保護FAQ3
1.1什麼是等級保護、有什麼用?3
1.2資訊保安等級保護制度的意義與作用?3
1.3等級保護與分級保護各分為幾個等級,對應關係是什麼?3
1.4等級保護的重要資訊系統(8+2)有哪些?4
1.5等級保護的主管部門是誰?4
1.6國家密碼管理部門在等級保護/分級保護工作中的職責是什麼?4
1.7等級保護的政策依據是哪個檔案?4
1.8公安機關對等級保護的管理模式是什麼,等級保護定級到哪裡備案?5
1.9等級保護是否是強制性的,可以不做嗎?5
1.10等級保護的主要標準有哪些,是否已釋出為正式的國家標準?5
1.11哪些單位可以做等級保護的測評?6
1.12做了等級測評之後,是否會給發合格證書?6
1.13是否只是在政府行業實行?企業是否也在等級保護和分級保護範疇之內?6
1.14等級保護檢查的責任單位是誰?7
2分級保護FAQ7
2.1分級保護是什麼?7
2.2分級保護的主管部門是誰?7
2.3分級保護定級到哪裡備案?7
2.4分級保護的政策依據是哪個檔案?7
2.5分級保護與等級保護的適用物件分別是什麼?7
2.6分級保護有關資訊保安的標準相互關係是什麼?8
2.7分級保護與等級保護的定級依據有何區別?8
2.8分級保護的建設依據、方案設計、測評分別依據哪些標準?8
2.9分級保護設計方案是否需要經過評審和審批,誰來評審和審批?8
2.10涉密資訊系統投入使用前,是否需要經過審批,由誰來審批?8
2.11分級保護系統測評的作用是什麼,是否必須做?9
2.12哪些單位可以做分級保護的測評,有什麼資質要求?9
2.13分級保護對涉密系統中使用的安全保密產品有哪些要求?9
2.14涉密系統分級保護多長時間需進行一次安全保密檢查?9
2.15各級保密局與各單位保密辦的關係是什麼?10
2.16分級保護的系統整合對廠商的資質有什麼要求?10
2.17分級保護的安全建設是否必須監理,對監理資質有什麼要求?10
2.18分級保護的哪些具體工作對廠商有單項資質的要求?10
3綜合問題11
3.1等保與分保的本質區別是什麼?11
3.2等保與分保各有幾種級別?11
3.3等級保護/分級保護什麼區別哪些部門在管理,怎麼做?11
3.4企業出現洩密事件上報那些單位?11
3.5等保定級備案是依據單位還是系統?12
3.6風險評估和等級保護的關係?12
3.7方案設計階段及實施前是否需要報批?12
3.8對於等保中產品使用及密碼產品是否有要求?12
等級保護/分級保護FAQ
1 等級保護FAQ
1.1 什麼是等級保護、有什麼用?
【解釋】
是我國實施資訊保安管理的一項法定製度,1994年147號令、2003年27號檔案、2004年66號檔案都有明確規定,資訊系統安全實施等級化保護和等級化管理。
等級化管理是一種普遍適用的管理方法,是適用於我國當前實際的一種有效的資訊保安管理方法。
開展資訊保安等級保護工作是保護資訊化發展、維護國家資訊保安的根本保障,是資訊保安保障工作中國家意志的體現。
1.2 資訊保安等級保護制度的意義與作用?
【解釋】
實施資訊保安等級保護制度能夠有效地提高我國資訊和資訊系統安全建設的整體水平。實施資訊保安等級保護制度有利於在資訊化建設過程中同步建設資訊保安設施,保障資訊保安與資訊化建設相協調,為資訊系統安全建設和管理提供系統性、針對性、可行性的指導和服務,有效控制資訊保安建設成本。
優化資訊保安資源配置,對資訊系統分級實施保護,重點保障基礎資訊網路和關係國家安全、經濟命脈、社會穩定等方面重要資訊系統的安全。
明確國家、法人和其他組織、公民的資訊保安責任,加強資訊保安管理,推動資訊保安產業的發展,逐步探索出一條適應我國社會主義市場經濟發展的資訊保安模式。
1.3 等級保護與分級保護各分為幾個等級,對應關係是什麼?
【解釋】
等級保護分5個級別:一級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專控保護)。
分級保護分3個級別:祕密級、機密級(機密增強級)、絕密級。
分級保護與等級保護對應關係:祕密級對應三級、機密級對應四級、絕密級對應五級。
1.4 等級保護的重要資訊系統(8+2)有哪些?
【解釋】
電信、廣電行業的公用通訊網、廣播電視傳輸網等基礎資訊網路,經營性公眾網際網路資訊服務單位、網際網路接入服務單位、資料中心等單位的重要資訊系統。
鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、排程、管理、辦公等重要資訊系統。
市(地)級以上黨政機關的重要網站和辦公資訊系統。
涉及國家祕密的資訊系統。
1.5 等級保護的主管部門是誰?
【解釋】
公安機關是等級保護工作的主管部門,負責資訊保安等級保護工作的監督、檢查、指導,國家保密工作部門、國家密碼管理部門負責等級保護工作中有關保密工作和密碼工作的監督、檢查、指導,國信辦及地方資訊化領導小組辦事機構負責等級保護工作部門間的協調,涉及國家祕密資訊系統的等級保護監督管理工作由國家保密工作部門負責。
1.6 國家密碼管理部門在等級保護/分級保護工作中的職責是什麼?
【解釋】
國家密碼管理部門負責等級保護/分級保護工作中有關保密工作和密碼工作的監督、檢查、指導。
1.7 等級保護的政策依據是哪個檔案?
【解釋】
《中華人民共和國計算機資訊系統安全保護條例》(國務院147號令,1994年);
《國家資訊化領導小組關於加強資訊保安保障工作的意見》(中辦發[2003]27號);
《關於資訊保安等級保護工作的實施意見》(公通字[2004]66號);
《資訊保安等級保護管理辦法》(公通字[2007]43號);
《關於開展全國重要資訊系統安全等級保護定級工作的通知》(公信安[2007]861號);
《關於加強國家電子政務工程建設專案資訊保安風險評估工作的通知》(發改高技[2008]2071號)。
1.8 公安機關對等級保護的管理模式是什麼,等級保護定級到哪裡備案?
【解釋】
公安機關負責受理備案並進行備案管理。資訊系統備案後,公安機關對資訊系統的備案情況進行稽核,對符合等級保護要求的,頒發資訊系統安全保護等級備案證明。發現不符合《管理辦法》及有關標準的,通知備案單位予以糾正。發現定級不準的,通知運營使用單位或其主管部門重新稽核確定。
已運營(執行)的第二級以上資訊系統,應當在安全保護等級確定後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
新建第二級以上資訊系統,應當在投入執行後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
注:北京市各部委上報北京測評中心備案。
1.9 等級保護是否是強制性的,可以不做嗎?
【解釋】
國家資訊保安等級保護堅持自主定級、自主保護的原則。資訊系統的安全保護等級根據資訊系統在國家安全、經濟建設、社會生活中的重要程度,資訊系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。
2級以上資訊系統運營、使用單位依據《資訊保安等級保護管理辦法》和相關技術標準對資訊系統進行保護,國家有關資訊保安監管部門對其資訊保安等級保護工作進行監督管理。
備案後3級系統每年進行一次監督檢查,4級每半年進行一次監督檢查。
1.10 等級保護的主要標準有哪些,是否已釋出為正式的國家標準?
【解釋】
《資訊系統安全等級保護基本要求》(GB/T22239-2008);
《資訊系統安全等級保護定級指南》(GB/T22240-2008);
《資訊系統安全等級保護實施指南》(GB/T25058-2010 );
《資訊系統安全等級保護測評要求》(GB/T28448-2012 );
《資訊系統安全等級保護測評過程指南》(GB/T28449-2012 );
《資訊保安等級保護實施指南》(GB/T25058-2010 );
《計算機資訊系統安全保護等級劃分準則》(GB 17859-1999)。
1.11 哪些單位可以做等級保護的測評?
【解釋】
第三級以上資訊系統等級保護測評機構應符合下列條件:
在中華人民共和國境內註冊成立(港澳臺地區除外);
由中國公民投資、中國法人投資或者國家投資的企事業單位(港澳臺地區除外);
從事相關檢測評估工作兩年以上,無違法記錄;
工作人員僅限於中國公民;
法人及主要業務、技術人員無犯罪記錄;
使用的技術裝備、設施應當符合本辦法對資訊保安產品的要求;
具有完備的保密管理、專案管理、質量管理、人員管理和培訓教育等安全管理制度;
對國家安全、社會秩序、公共利益不構成威脅。
1.12 做了等級測評之後,是否會給發合格證書?
【解釋】
目前,公安機關只對資訊系統的備案情況進行稽核,對符合等級保護要求的,頒發資訊系統安全等級保護備案證明,發現不符合有關標準的,通知備案單位予以糾正,發現定級不準的,通知備案單位重新稽核確定。沒有發測評合格證書。
1.13 是否只是在政府行業實行?企業是否也在等級保護和分級保護範疇之內?
【解釋】
等級保護涉及所有行業,只要有資訊系統的單位都在等級保護覆蓋範圍(涉密系統除外)。
1.14 等級保護檢查的責任單位是誰?
【解釋】
是公安機關,在檢查中需要穿警服及佩帶有效證件,協同技術支援單位到單位檢查。同時鼓勵各行業開展自查。
2 分級保護FAQ
2.1 分級保護是什麼?
【解釋】
涉密資訊系統依據國家資訊保安等級保護的基本要求,按照國家保密工作部門有關涉密資訊系統分級保護的管理規定和技術標準,實施資訊保安分級保護的強制執行制度。涉密資訊系統按照所處理資訊的最高密級,由低到高分為祕密、機密、絕密三個等級。
2.2 分級保護的主管部門是誰?
【解釋】
國家保密工作部門(國家保密局、各省保密局、各地市市保密局)。
2.3 分級保護定級到哪裡備案?
【解釋】
涉密資訊系統建設使用單位將涉密資訊系統定級和建設使用情況,上報業務主管部門的保密工作機構和負責系統審批的保密工作部門備案,並接受保密部門的監督、檢查、指導。
2.4 分級保護的政策依據是哪個檔案?
【解釋】
《涉及國家祕密的資訊系統分級保護管理辦法》(國保發[2005]16號)。
2.5 分級保護與等級保護的適用物件分別是什麼?
【解釋】
| 標準體系 |
國家標準(GB、GB/T) |
國家保密標準(BMB,強制執行) |
| 適用物件 |
非涉密資訊系統 |
涉密資訊系統 |
2.6 分級保護有關資訊保安的標準相互關係是什麼?
【解釋】
BMB17、BMB20為分級保護設計基本依據,BMB23是把BMB17、BMB20技術與管理要求實施落地,BMB18是系統建設實施過程中工程監理依據,BMB22為系統上線前和系統變更中的測評依據。
2.7 分級保護與等級保護的定級依據有何區別?
【解釋】
等級保護定級是依據重要業務系統與承載業務執行的網路、裝置、系統及單位屬性、遭到破壞後所影響的主、客體關係等。
分級保護定級是依據資訊的重要性,以資訊最高密級確定受保護的級別。
2.8 分級保護的建設依據、方案設計、測評分別依據哪些標準?
【解釋】
BMB23是把BMB17、BMB20技術與管理實施落地的建設與設計依據,BMB22為系統上線前和系統變更中的測評依據。
2.9 分級保護設計方案是否需要經過評審和審批,誰來評審和審批?
【解釋】
涉密資訊系統建設使用單位應對系統設計方案進行審查論證,保密工作 部門應當參與方案審查論證,在系統總體安全保密性方面加強指導,嚴格把關。
2.10 涉密資訊系統投入使用前,是否需要經過審批,由誰來審批?
【解釋】
涉密資訊系統投入使用前,必須經過審批。未經保密工作部門的審批,涉密資訊系統不得投入使用。
審批單位:
國家保密局:負責審批中央和國家機關各部委及其所屬單位、國防武器裝備科研生產一級保密資格單位的涉密資訊系統;
省(自治區、直轄市)保密局:負責審批省及機關及其所屬單位、國防武器科研生產二、三級保密資格單位的涉密資訊系統;
市(地)級保密局:負責審批市(地)直機關及其所屬單位、縣直機關所屬單位的涉密資訊系統。
2.11 分級保護系統測評的作用是什麼,是否必須做?
【解釋】
涉密系統的分級保護測評是全面地驗證所採取的安全保密措施能否滿足安全保密需求和安全目標,為涉密資訊系統審批提供依據。
系統測評是系統審批的必要環節。沒有經過測評,涉密資訊系統將無法通過投入執行的審批。
2.12 哪些單位可以做分級保護的測評,有什麼資質要求?
【解釋】
目前,國家保密工作部門及國家保密局授權的系統測評機構負責測評,測評機構應具備涉及國家祕密的計算機資訊系統整合風險評估單項資質。
2.13 分級保護對涉密系統中使用的安全保密產品有哪些要求?
【解釋】
涉密資訊系統使用的資訊保安保密產品原則上應當選用國產品,並應當通過國家保密局授權的檢測機構依據有關國家保密標準進行的檢測,通過檢測的產品由國家保密局稽核釋出目錄。
2.14 涉密系統分級保護多長時間需進行一次安全保密檢查?
【解釋】
涉密資訊系統投入執行後的安全保密測評,由負責該系統審批的保密工作部門組織系統評測機構進行,以檢驗系統安全保密措施的有效性和對環境變化的適應性。
祕密級、機密級資訊系統:應每兩年至少進行一次安全保密測評或保密檢查;
絕密級資訊系統:應每年至少進行一次安全保密測評或保密檢查。
2.15 各級保密局與各單位保密辦的關係是什麼?
【解釋】
各級保密局:國家保密工作部門,負責監督、檢查、指導;
各單位保密辦:保密工作機構,負責具體實施。
2.16 分級保護的系統整合對廠商的資質有什麼要求?
【解釋】
甲級資質單位可在全國範圍內承接涉密資訊系統的規劃、設計和實施業務,並僅可承擔本單位承建的涉密資訊系統的系統服務和系統諮詢工作,不得從事其它單項資質業務。
乙級資質單位可在所限定的行政區域內承接涉密資訊系統的規劃、設計和實施業務,並僅可承擔本單位承接的涉密資訊系統的系統服務和系統諮詢工作,不得從事其它單項資質業務。
2.17 分級保護的安全建設是否必須監理,對監理資質有什麼要求?
【解釋】
在系統建設進行時,應選擇具有涉密工程監理單項資質的單位或組織自身力量依據BMB18-2006的要求在安全保密控制、質量控制、進度控制、成本控制、合同管理和文件管理六個方面加強監督檢查。
2.18 分級保護的哪些具體工作對廠商有單項資質的要求?
【解釋】
單項業務:(全國,僅限所批准業務)
軍工、軟體開發、綜合佈線、系統服務、系統諮詢、風險評估、工程監理、資料恢復、遮蔽室建設、保密安防監控。
3 綜合問題
3.1 等保與分保的本質區別是什麼?
【解釋】
等級保護適用的物件為非涉密資訊系統,分級保護適用的物件為涉密資訊系統。
3.2 等保與分保各有幾種級別?
【解釋】
等級保護分5個級別:一級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專控保護)。
分級保護分3個級別:祕密級、機密級(機密增強級)、絕密級。
分級保護與等級保護對應關係:祕密級對應三級、機密級對應四級、絕密級對應五級。
3.3 等級保護/分級保護什麼區別哪些部門在管理,怎麼做?
【解釋】
| 標準體系 |
國家標準(GB、GB/T) |
國家保密標準(BMB,強制執行) |
| 適用物件 |
非涉密資訊系統 |
涉密資訊系統 |
等保標準體系為國家標準(GB、GB/T),分保標準為國家保密標準(BMB,強制執行),等保適用的物件非涉密資訊系統,分保適用的物件涉密資訊系統。
公安機關是等級保護工作的主管部門,國家保密工作部門、國家密碼管理部門、資訊化領導小組負責協調、監督、檢查、指導工作。
國家保密工作部門是分級保護工作的主管部門,各省保密局、各地市市保密局負責本轄區監督、檢查、指導工作。
3.4 企業出現洩密事件上報那些單位?
【解釋】
等級保護歸公安十一局,涉及到案件通常是北京地區內保負責。
3.5 等保定級備案是依據單位還是系統?
【解釋】
等級保護備案是依據系統。
3.6 風險評估和等級保護的關係?
【解釋】
風險評估是等級保護中的一項重要工作,發改高技[2008]2071號。
3.7 等級保護方案設計階段及實施前是否需要報批?
【解釋】
國家正在制定相關標準預計3年內可以推出GB標準。
3.8 對於等保中產品使用及密碼產品是否有要求?
【解釋】
密碼產品不在等級保護管理範圍之內,等保中沒有明確對安全產品做要求,在安全產品開發中可以參考《資訊保安技術資訊系統安全等級保護基本要求》。