新《保密法》讲座.ppt-道客多多

资源描述

1、第三讲学习新保密法做好信息化建设保密工作三台县国家保密局唐瑞荣 2010.9 目录一、前言二、新保密法的第一亮点三、电子政务保密管理四、分级保护管理规范五、当前主要问题与对策一、前言保密法修订的主要目标就是要依法加强对国家秘密的保护。国家秘密是国家安全和利益的一种信息表现形式，也是国家的重要战略资源。国家秘密一旦泄露，必将直接危害国家的政治安全、经济安全、国防安全、科技安全和文化安全，直接损害广大人民群众的根本利益。保守国家秘密是一种国家行为，也是一种国家责任。保密能力是国家能力的重要体现和保障。一、前言近年来 ,随着国际国内形势变化

2、，特别是信息化建设快速推进，保密工作中出现了许多新情况新问题，需要对现行法律进行修改完善。国家秘密的存在形态和运行方式发生巨大变化，涉密载体由纸介质形式为主发展到声、光、电、磁等多种形式，泄密的渠道增多、风险加大、危害加重，亟需对现代通信和互联网条件下存储、处理和传输国家秘密的规定进行补充完善。二、新保密法的第一亮点即：计算机网络保密管理有了硬措施。一是实行分级保护，计算机信息系统要按照涉密程度不同，采取不同强度的管理措施。第二十三条存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照涉密程度实行分级保护。二、新保密法的第一亮点即：计算机网络保密管理有了硬措施。

3、二是强化技术防护，保密技术设施、设备要按照国家标准配备，并与涉密信息系统同步规划、同步建设、同步运行。第二十三条（第二款）涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划，同步建设，同步运行。（第三款）涉密信息系统应当按照规定，经检查合格后，方可投入使用。二、新保密法的第一亮点即：计算机网络保密管理有了硬措施。三是明确列举禁止事项，如不得将涉密计算机和涉密存储设备接入互联网及其他公共信息网络等。第二十四条机关、单位应当加强对涉密信息系统的管理，任何组织和个人不得有下列行为：（一）将涉密计算机、涉密存储设备接入互联网及其他公共信

4、息网络；（二）在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换；二、新保密法的第一亮点（三）使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息；（四）擅自卸载、修改涉密信息系统的安全技术程序、管理程序；（五）将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。二、新保密法的第一亮点即：计算机网络保密管理有了硬措施。四是明确网络运营商、服务商的法律责任，主要是配合有关机关调查泄密事件，发现泄密事件要及时报告。第二十八条互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密

5、案件进行调查；发现利用互联网及其他公共信息网络发布的信息涉及泄露国家秘密的，应当立即停止传输，保存有关记录，向公安机关、国家安全机关或者保密行政管理部门报告；应当根据公安机关、国家安全机关或者保密行政管理部门的要求，删除涉及泄露国家秘密的信息。三、电子政务保密管理 2007年 3月，国家保密局、国务院信息化工作办公室制定电子政务保密管理指南，把电子政务的信息系统分为电子政务涉密信息系统和电子政务非涉密信息系统两种类型，并分别对其安全保密要求作了详细的描述。三、电子政务保密管理涉密信息系统定义涉密信息系统是指由计算机及其相关和配套设备、设施构成的，按照一定的应用目标和规则存

6、储、处理、传输国家秘密信息的系统或者网络。电子政务信息系统分类电子政务涉密信息系统用于存储、处理和传输国家秘密信息的电子政务信息系统。涉密信息系统的分级绝密级、机密级 (机密增强 )、秘密级 (工作秘密参照 )。三、电子政务保密管理电子政务非涉密信息系统用于存储、处理和传输内部信息或公开信息，但不得用于存储、处理和传输国家秘密信息的电子政务信息系统。网络的分类电子政务内网、专网、政务外网、网站。涉密非密电子政务涉密信息系统需按照“ 同步规划建设，严格审批，注重防范，规范（依法）管理 ”要求进行建设和运行。 1、同步规划和建设涉密信息系统必须与保密设

7、施同步规划和建设，在系统、信息、介质和场所等方面进行整体防护。 2、严格审批涉密信息系统建设使用单位需按要求履行审批手续，保密行政管理部门应严格按照涉及国家秘密的信息系统审批管理规定对涉密信息系统进行审批。三、电子政务保密管理三、电子政务保密管理 3、注意防范涉密信息系统从建设到投入使用都必须突出保密防范。 4、规范（依法）管理涉密信息系统的安全保密措施： 1.技术，2.管理；管理以技术为依托，技术靠管理来保障。电子政务非涉密信息系统的保密管理工作，重点是加强对信息上网前的保密审查和对已上网信息的保密检查，防止涉及国家秘密的信息上网。基本原则：控制源头加强检查

8、明确责任落实制度三、电子政务保密管理三、电子政务保密管理工作秘密的保护工作秘密一般是指：未列入国家秘密及其密级具体范围的事项，但扩大知悉范围会对机关的正常工作带来不利影响的工作秘密事项。在涉密信息系统中（电子政务内网）参照分级保护秘密级保护在非涉密信息系统中（电子政务外网）实行等级保护三级保护我国信息安全等级保护与涉密信息系统分级保护关系等级保护分级保护保护对象不同非涉密信息系统涉密信息系统管理体系不同公安机关国家保密工作部门标准体系不同国家标准（ GB、 GB/T）国家保密标准（ BMB,强制执行）级别划分不同第一级：自主保护级第二级：指

9、导保护级第三级：监督保护级第四级：强制保护级第五级：专控保护级秘密级机密级绝密级涉密信息系统分级保护与信息安全等级保护制度相衔接，三个等级的防护水平不低于国家等级保护的第三、四、五级要求。三、电子政务保密管理四川党政网（政务内网）按照涉密网络建设和管理，与政务外网、互联网和其他公共网络物理隔离。目前党政网未达到分级保护技术要求，不得传输、处理涉密信息。涉密局域网建设与党政网逻辑隔离并达到分级保护要求（经审批）的，可在局域网内处理同等级别的涉密信息。四、分级保护管理规范 2006年 1月，国家保密局印发涉及国家秘密的信息系统分级保护管理办法，指出涉密信息系统的建设使用

10、单位根据分级保护管理和有关标准，对涉密信息系统分等级实施保护。明确系统分级、系统保护和系统监管。同时发布涉及国家秘密的信息系统分级保护技术要求（ BMB17-2006），规范涉密信息系统等级的划分、涉密信息系统基本技术保护要求。分别对秘密级、机密级（增强型）、绝密级信息系统保护要求。从物理安全、运行安全、信息安全保密三方面作出技术规范。四、分级保护管理规范 2007年 4月，国家保密局发布涉及国家秘密的信息系统分级保护管理规范（ BMB20-2007），规范涉密信息系统分级保护管理全过程，基本管理要求。系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查和系统废

11、止八个方面进行了规范。四、分级保护管理规范 2008年 5月，国家保密局发布涉及国家秘密的信息系统分级保护方案设计指南（ BMB23-2008）提出了涉密信息系统分级保护方案主要内容：系统及其安全域定级、系统分析、安全保密风险分析、安全保密需求分析、安全保密需求分析、方案总体设计、方案详细设计、残留风险控制、实施计划、经费概算、相关附件。系统定级资质单位的选择 (WWW) 甲级全国乙级本省（自治区、直辖市）单项全国（软件开发、综合布线、系统服务、系统咨询、工程监理、风险评估、屏蔽室建设、数据恢复、保密安防监控、军工系统集成）方案设计论证保密法定密范围分级

12、保护管理办法分级保护技术要求信息定密系统定级风险评估、需求分析工程实施系统测评国家保密局涉密信息系统安全保密测评中心及分中心进行系统测评给出测评结论并报保密工作部门备案组织实施、工程监理自身组织监理、资质公司监理建设使用单位组织专家论证审批的保密部门派人参加依据方案设计指南分级保护技术要求分级管理规范设计方案设计论证系统审批日常保密管理地（市）以上保密工作部门审批跨地域的由上一级保密工作部门审批（审批完成后方可报工程竣工验收）中央国家机关保密工作机构初审，报国家保密局审批系统运行与维护系统管理、信息与介质管理、人员管理 ; 系统管理员、安全保密

13、管理员、安全审计员（三权分立）保密监督检查系统废止安全保密评估各级保密工作部门组织进行的保密技术检查（发现问题、堵塞漏洞、消除隐患）自评估检查评估系统使用单位自行开展委托风险评估资质单位进行保密工作部门组织涉密信息系统测评机构进行（完善措施适应需求和技术发展）向保密工作部门备案按规定处理涉密设备、介质、资料五、当前主要问题与对策主要问题一、涉密信息系统分级保护工作实施缓慢 1、涉密信息系统与非涉密信息系统界定不清； 2、绝大部分涉密信息系统没有达到分级保护要求； 3、重应用、轻防护；只防外、不防内。主要问题二、涉密计算机、涉密信息设备直接、间接接入互联网络 1、宽带、 ADSL直接上网，硬盘信息被盗； 2、通过手机、有线电话拨号上网，被植入木马； 3、使用 MP3、 MP4、照相卡等，摆渡木马盗走信息。主要问题三、非涉密计算机、非涉密信息设备中存储、处理涉密信息 1、如电子政务内外网都有存储、处理涉密信息； 2、办公室、打印室计算机、打印机涉密与非涉密不分； 3、笔记本电脑存有涉密信息，随处上网。主要问题四、涉密计算机与非涉密计算机信息随意交换 1、移动存储介质交叉使用； 2、涉密计算机互联网上下载，杀病毒（库）软件升级； 3、低密级计算机处理高密级信息。

展开阅读全文