资源描述:
《保密法培训》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
学习新?保密法?做好信息化建设保密工作
1目录一、前言二、新保密法的第一亮点三、电子政务保密管理四、分级保护管理标准五、当前主要问题与对策
2一、前言保密法修订的主要目标就是要依法加强对国家秘密的保护。国家秘密是国家平安和利益的一种信息表现形式,也是国家的重要战略资源。国家秘密一旦泄露,必将直接危害国家的政治平安、经济平安、国防平安、科技平安和文化平安,直接损害广阔人民群众的根本利益。保守国家秘密是一种国家行为,也是一种国家责任。保密能力是国家能力的重要表达和保障。
3一、前言近年来,随着国际国内形势变化,特别是信息化建设快速推进,保密工作中出现了许多新情况新问题,需要对现行法律进行修改完善。国家秘密的存在形态和运行方式发生巨大变化,涉密载体由纸介质形式为主开展到声、光、电、磁等多种形式,泄密的渠道增多、风险加大、危害加重,亟需对现代通信和互联网条件下存储、处理和传输国家秘密的规定进行补充完善。
4二、新保密法的第一亮点即:计算机网络保密管理有了硬措施。一是实行分级保护,计算机信息系统要按照涉密程度不同,采取不同强度的管理措施。第二十三条 存储、处理国家秘密的计算机信息系统〔以下简称涉密信息系统〕按照涉密程度实行分级保护。
5二、新保密法的第一亮点即:计算机网络保密管理有了硬措施。二是强化技术防护,保密技术设施、设备要按照国家标准配备,并与涉密信息系统同步规划、同步建设、同步运行。第二十三条〔第二款〕涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。〔第三款〕涉密信息系统应当按照规定,经检查合格后,方可投入使用。
6二、新保密法的第一亮点即:计算机网络保密管理有了硬措施。三是明确列举禁止事项,如不得将涉密计算机和涉密存储设备接入互联网及其他公共信息网络等。第二十四条 机关、单位应当加强对涉密信息系统的管理,任何组织和个人不得有以下行为:〔一〕将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;〔二〕在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;
7二、新保密法的第一亮点〔三〕使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息;〔四〕擅自卸载、修改涉密信息系统的平安技术程序、管理程序;〔五〕将未经平安技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。
8二、新保密法的第一亮点即:计算机网络保密管理有了硬措施。四是明确网络运营商、效劳商的法律责任,主要是配合有关机关调查泄密事件,发现泄密事件要及时报告。第二十八条 互联网及其他公共信息网络运营商、效劳商应当配合公安机关、国家平安机关、检察机关对泄密案件进行调查;发现利用互联网及其他公共信息网络发布的信息涉及泄露国家秘密的,应当立即停止传输,保存有关记录,向公安机关、国家平安机关或者保密行政管理部门报告;应当根据公安机关、国家平安机关或者保密行政管理部门的要求,删除涉及泄露国家秘密的信息。
9三、电子政务保密管理2007年3月,国家保密局、国务院信息化工作办公室制定?电子政务保密管理指南?,把电子政务的信息系统分为电子政务涉密信息系统和电子政务非涉密信息系统两种类型,并分别对其平安保密要求作了详细的描述。
10三、电子政务保密管理涉密信息系统定义涉密信息系统是指由计算机及其相关和配套设备、设施构成的,按照一定的应用目标和规那么存储、处理、传输国家秘密信息的系统或者网络。电子政务信息系统分类电子政务涉密信息系统用于存储、处理和传输国家秘密信息的电子政务信息系统。涉密信息系统的分级绝密级、机密级(机密增强)、秘密级(工作秘密参照)。
11三、电子政务保密管理电子政务非涉密信息系统用于存储、处理和传输内部信息或公开信息,但不得用于存储、处理和传输国家秘密信息的电子政务信息系统。网络的分类电子政务内网、专网、政务外网、网站。涉密非密
12电子政务涉密信息系统需按照“同步规划建设,严格审批,注重防范,标准〔依法〕管理〞要求进行建设和运行。1、同步规划和建设涉密信息系统必须与保密设施同步规划和建设,在系统、信息、介质和场所等方面进行整体防护。2、严格审批涉密信息系统建设使用单位需按要求履行审批手续,保密行政管理部门应严格按照?涉及国家秘密的信息系统审批管理规定?对涉密信息系统进行审批。三、电子政务保密管理
13三、电子政务保密管理3、注意防范涉密信息系统从建设到投入使用都必须突出保密防范。4、标准〔依法〕管理涉密信息系统的平安保密措施:1.技术,2.管理;管理以技术为依托,技术靠管理来保障。
14电子政务非涉密信息系统的保密管理工作,重点是加强对信息上网前的保密审查和对已上网信息的保密检查,防止涉及国家秘密的信息上网。根本原那么:控制源头加强检查明确责任落实制度三、电子政务保密管理
15三、电子政务保密管理工作秘密的保护工作秘密一般是指:未列入国家秘密及其密级具体范围的事项,但扩大知悉范围会对机关的正常工作带来不利影响的工作秘密事项。在涉密信息系统中〔电子政务内网〕参照分级保护秘密级保护在非涉密信息系统中〔电子政务外网〕实行等级保护三级保护
16我国信息平安等级保护与涉密信息系统分级保护关系等级保护分级保护保护对象不同非涉密信息系统涉密信息系统管理体系不同公安机关国家保密工作部门标准体系不同国家标准(GB、GB/T)国家保密标准(BMB,强制执行)级别划分不同第一级:自主保护级第二级:指导保护级第三级:监督保护级第四级:强制保护级第五级:专控保护级秘密级机密级绝密级涉密信息系统分级保护与信息安全等级保护制度相衔接,三个等级的防护水平不低于国家等级保护的第三、四、五级要求。
17三、电子政务保密管理四川党政网〔政务内网〕按照涉密网络建设和管理,与政务外网、互联网和其他公共网络物理隔离。目前党政网未到达分级保护技术要求,不得传输、处理涉密信息。涉密局域网建设与党政网逻辑隔离并到达分级保护要求〔经审批〕的,可在局域网内处理同等级别的涉密信息。
18四、分级保护管理标准2006年1月,国家保密局印发?涉及国家秘密的信息系统分级保护管理方法?,指出涉密信息系统的建设使用单位根据分级保护管理和有关标准,对涉密信息系统分等级实施保护。明确系统分级、系统保护和系统监管。同时发布?涉及国家秘密的信息系统分级保护技术要求?〔BMB17-2006〕,标准涉密信息系统等级的划分、涉密信息系统根本技术保护要求。分别对秘密级、机密级〔增强型〕、绝密级信息系统保护要求。从物理平安、运行平安、信息平安保密三方面作出技术标准。
19四、分级保护管理标准2007年4月,国家保密局发布?涉及国家秘密的信息系统分级保护管理标准?〔BMB20-2007〕,标准涉密信息系统分级保护管理全过程,根本管理要求。系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查和系统废止八个方面进行了标准。
20四、分级保护管理标准2021年5月,国家保密局发布?涉及国家秘密的信息系统分级保护方案设计指南?〔BMB23-2021〕提出了涉密信息系统分级保护方案主要内容:系统及其平安域定级、系统分析、平安保密风险分析、平安保密需求分析、平安保密需求分析、方案总体设计、方案详细设计、残留风险控制、实施方案、经费概算、相关附件。
21系统定级———方案设计论证———《保密法》《定密范围》《分级保护管理办法》《分级保护技术要求》信息定密系统定级风险评估、需求分析
22工程实施————系统测评————国家保密局涉密信息系统安全保密测评中心及分中心进行系统测评给出测评结论并报保密工作部门备案组织实施、工程监理自身组织监理、资质公司监理建设使用单位组织专家论证审批的保密部门派人参加依据?方案设计指南??分级保护技术要求??分级管理标准?设计方案设计论证——
23系统审批———日常保密管理——地(市)以上保密工作部门审批跨地域的由上一级保密工作部门审批(审批完成后方可报工程竣工验收)中央国家机关保密工作机构初审,报国家保密局审批系统运行与维护系统管理、信息与介质管理、人员管理;系统管理员、安全保密管理员、安全审计员(三权分立)
24保密监督检查——系统废止———安全保密评估各级保密工作部门组织进行的保密技术检查(发现问题、堵塞漏洞、消除隐患)自评估检查评估系统使用单位自行开展委托风险评估资质单位进行保密工作部门组织涉密信息系统测评机构进行〔完善措施适应需求和技术开展〕向保密工作部门备案按规定处理涉密设备、介质、资料
25五、当前主要问题与对策
26主要问题一、涉密信息系统分级保护工作实施缓慢1、涉密信息系统与非涉密信息系统界定不清;2、绝大局部涉密信息系统没有到达分级保护要求;3、重应用、轻防护;只防外、不防内。
27主要问题二、涉密计算机、涉密信息设备直接、间接接入互联网络1、宽带、ADSL直接上网,硬盘信息被盗;2、通过、有线拨号上网,被植入木马;3、使用MP3、MP4、照相卡等,摆渡木马盗走信息。
28主要问题三、非涉密计算机、非涉密信息设备中存储、处理涉密信息1、如电子政务内外网都有存储、处理涉密信息;2、办公室、打印室计算机、打印机涉密与非涉密不分;3、笔记本电脑存有涉密信息,随处上网。
29主要问题四、涉密计算机与非涉密计算机信息随意交换1、移动存储介质交叉使用;2、涉密计算机互联网上下载,杀病毒〔库〕软件升级;3、低密级计算机处理高密级信息。
30主要问题五、其他1、在涉密场所连接互联网的计算机上配备或安装麦克风、摄像头等音频视频输入设备;2、使用具有无线互联功能或配备无线键盘、无线鼠标等外围装置的信息设备处理国家秘密信息;3、擅自卸载涉密计算机上的平安保密防护软件或设备;4、退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。
31对策认真学习新?保密法?,遵照执行国家保密局印发的?信息系统和信息设备使用保密管理规定?〔三保【2021】1号转发〕机关、单位按照“谁主管谁负责、谁使用谁负责〞的要求,负责本机关、单位信息系统和信息设备使用保密管理工作。
32对策保密法第四条 保守国家秘密的工作,实行积极防范、突出重点、依法管理的方针,既确保国家秘密平安,又便利信息资源合理利用。第七条 机关、单位应当实行保密工作责任制,健全保密管理制度,完善保密防护措施,开展保密宣传教育,加强保密检查。
33对策保密法第十四条 机关、单位对所产生的国家秘密事项,应当按照国家秘密及其密级的具体范围的规定确定密级,同时确定保密期限和知悉范围。第十七条 机关、单位对承载国家秘密的纸介质、光介质、电磁介质等载体以及属于国家秘密的设备、产品,应当做出国家秘密标志。不属于国家秘密的,不应当做出国家秘密标志。〔国家秘密标志具有的专用性〕
34对策保密法第二十七条 报刊、图书、音像制品、电子出版物的编辑、出版、印制、发行,播送节目、电视节目、电影的制作和播放,互联网、移动通信网等公共信息网络及其他传媒的信息编辑、发布,应当遵守有关保密规定。〔涉密信息不上网,上网信息不涉密〕
35对策1、定为涉密信息系统的尽快作出分级保护建设规划,确定系统级别,实施网络平安集成,即按分级保护方案设计指南、技术要求进行方案设计、论证、预算、工程实施、系统测评、审批、发证。联电子政务内网的,通过审批后在自己的子网中运行涉密信息。
36对策2、无涉密网络建设根底的单位,一律采取单机处理涉密信息,并卸载网络联接系统或网卡,控制输入输出口。联接电子政务内网的计算机按涉密计算机管理,与互联网和其他公共网络物理隔离,并控制输入输出口。强制实施违规外联阻断系统,但凡要求与互联网实行物理隔离的计算机〔包括与电子政务内网相联的网络及终端、单机、涉密笔记本电脑〕都必须户籍登记和安装外联阻断软件,彻底杜绝涉密计算机违规上互联网的行为。
37对策3、推行涉密移动存储介质管理系统及使用专用介质〔U盘、硬盘〕,防止人为的将涉密和非涉密的介质交叉使用。互联网下载信息或非涉密工作信息需要输入涉密网络或涉密单机的,一律采取刻光盘单向导入〔实际上采用了专用介质管控软件的计算机,已不识别其它介质,USB口得到控制〕。目前,物理隔离卡+光单向导入技术的信息平安输入卡已通过国家有关部门检测,即将推广使用,可不用刻盘导入。光单向导入装置也很快出炉。
38对策4、在现运行状况下,为防止联接电子政务内网的单位办公网络工作秘密〔可能有涉密信息〕泄漏,其网内又没有达分级保护要求的,首先,完善保密管理制度,教育内部人员的遵守,开展办公网络的平安检查检测,去除涉密信息,把目前的平安风险和泄密隐患降至最低。其次,应安装平安可靠的逻辑隔离信息交换设备,使本单位办公网络与电子政务内网间的信息平安交换问题处理好。
39对策5、涉密计算机、涉密设备标注标志,不得有上网记录;涉密U盘、移动硬盘建立台帐,有使用记录;非涉密计算机、U盘、移动硬盘去除涉密信息〔工作秘密酌情〕,恢复检查无痕迹;涉密计算机与非涉密计算机不得共用打印机等带有存储功能设备。
40对策省、市〔州〕保密部门已建保密技术平台涉密计算机户籍管理与违规外联阻断告警系统平台涉密移动存储介质管控系统平台政府互联网门户网站保密检查平台重要涉密单位互联网出口检查检测平台加强对涉密、非涉密计算机的管控和检查
41结束语通过学习保密法,提高保密意识和保密能力,认真履行保密责任和义务。在广阔公民中深入开展保密法宣传教育,以切实增强公民保密意识,牢固树立保守国家秘密人人有责、国家平安和利益高于一切的观念,为贯彻实施保密法营造良好的社会环境。