千文網(wǎng)小編為你整理了多篇相關(guān)的《涉密信息系統(tǒng)資質(zhì)保密標(biāo)準(zhǔn)(合集)》，但愿對(duì)你工作學(xué)習(xí)有幫助，當(dāng)然你在千文網(wǎng)還可以找到更多《涉密信息系統(tǒng)資質(zhì)保密標(biāo)準(zhǔn)(合集)》。

第一篇：關(guān)于涉密信息系統(tǒng)分級(jí)保護(hù)的幾個(gè)問題

關(guān)于涉密信息系統(tǒng)分級(jí)保護(hù)的幾個(gè)問題

2003年9月7日，中共中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)國(guó)家信息安全保障工作的意見》，其中明確提出了開展信息安全等級(jí)保護(hù)的任務(wù)，并指出涉及國(guó)家秘密的信息系統(tǒng)（以下簡(jiǎn)稱涉密信息系統(tǒng)）要按照黨和國(guó)家的有關(guān)保密規(guī)定進(jìn)行保護(hù)。在已經(jīng)開展的分級(jí)保護(hù)的具體工作中，有幾個(gè)問題需要引起重視。

一、分級(jí)保護(hù)與等級(jí)保護(hù)的關(guān)系

2004年9月17日，公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息辦下發(fā)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》，明確了信息安全等級(jí)保護(hù)的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、要求和實(shí)施計(jì)劃。2006年1月17日，四部門又下發(fā)了《信息安全等級(jí)保護(hù)管理辦法（試行）》，進(jìn)一步確定職責(zé)分工，明確了公安機(jī)關(guān)負(fù)責(zé)全面工作、國(guó)家保密工作部門負(fù)責(zé)涉密信息系統(tǒng)、國(guó)家密碼管理部門負(fù)責(zé)密碼工作、國(guó)務(wù)院信息辦負(fù)責(zé)負(fù)責(zé)的管理職責(zé)和要求。其中明確規(guī)定：涉及國(guó)家秘密的信息系統(tǒng)應(yīng)當(dāng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的基本要求，按照國(guó)家保密工作部門涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。

為貫徹落實(shí)兩辦文件精神，中央保密委員會(huì)于2004年12月23日下發(fā)了《關(guān)于加強(qiáng)信息安全保障工作中保密管理若干意見》明確提出要建立健全涉密信息系統(tǒng)分級(jí)保護(hù)制度。2005年12月28日，國(guó)家保密局下發(fā)了《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》，頒布了國(guó)家保密標(biāo)準(zhǔn)《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》。目前，正在制訂并將頒布兩個(gè)國(guó)家保密標(biāo)準(zhǔn)：《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》和《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)測(cè)平指南》。2007年將制訂其他標(biāo)準(zhǔn)，進(jìn)一步完善標(biāo)準(zhǔn)體系。

我國(guó)信息安全等級(jí)保護(hù)與涉密信息系統(tǒng)分級(jí)保護(hù)關(guān)系

等級(jí)保護(hù) 分級(jí)保護(hù) 保護(hù)對(duì)象不同 非涉密信息系統(tǒng) 涉密信息系統(tǒng) 管理體系不同 公安機(jī)關(guān) 國(guó)家保密工作部門

標(biāo)準(zhǔn)體系不同 國(guó)家標(biāo)準(zhǔn)（GB、GB/T）國(guó)家保密標(biāo)準(zhǔn)（BMB，強(qiáng)制執(zhí)行）級(jí)別劃分不同 第一級(jí)：自主保護(hù)級(jí)

第二級(jí)：指導(dǎo)保護(hù)級(jí)

第三級(jí)：監(jiān)督保護(hù)級(jí) 秘密級(jí)

第四級(jí)：強(qiáng)制保護(hù)級(jí) 機(jī)密級(jí)

第五級(jí)：專控保護(hù)級(jí) 絕密級(jí)

涉密信息系統(tǒng)分級(jí)保護(hù)與信息安全等級(jí)保護(hù)制度相銜接，三個(gè)等級(jí)的防護(hù)水平不低于國(guó)家等級(jí)保護(hù)的第三、四、五級(jí)要求

二、關(guān)于涉密信息系統(tǒng)分級(jí)保護(hù)概況

1、涉密信息系統(tǒng)分級(jí)保護(hù)的含義

涉密信息系統(tǒng)分級(jí)保護(hù)是指涉密信息系統(tǒng)的建設(shè)使用單位根據(jù)分級(jí)保護(hù)管理辦法和有關(guān)標(biāo)準(zhǔn)，對(duì)涉密信息系統(tǒng)分等級(jí)實(shí)施保護(hù)，各級(jí)保密工作部門根據(jù)涉密信息系統(tǒng)的保護(hù)等級(jí)實(shí)施監(jiān)督管理，確保系統(tǒng)和信息安全。

2、涉密信息系統(tǒng)分級(jí)保護(hù)管理原則

規(guī)范定密，準(zhǔn)確定級(jí)；依據(jù)標(biāo)準(zhǔn)，同步建設(shè)；突出重點(diǎn)，確保核心；明確責(zé)任，加強(qiáng)監(jiān)督。

3、涉密信息系統(tǒng)分級(jí)保護(hù)的管理職責(zé)

國(guó)家保密局負(fù)責(zé)全國(guó)涉密信息系統(tǒng)分級(jí)保護(hù)工作的指導(dǎo)、監(jiān)督和檢查；地方各級(jí)保密局負(fù)責(zé)本行政區(qū)域涉密信息系統(tǒng)分級(jí)保護(hù)工作的指導(dǎo)、監(jiān)督和檢查；中央和國(guó)家機(jī)關(guān)負(fù)責(zé)本部門和本系統(tǒng)內(nèi)涉密信息系統(tǒng)分級(jí)保護(hù)工作的主管和指導(dǎo)；建設(shè)使用單位負(fù)責(zé)本單位涉密信息系統(tǒng)分級(jí)保護(hù)工作的具體實(shí)施。

4、涉密信息系統(tǒng)的等級(jí)劃分

涉密信息系統(tǒng)按照處理信息的最高密級(jí)確定，由低到高劃分為秘密、機(jī)密和絕密三個(gè)等級(jí)。絕密級(jí)信息系統(tǒng)應(yīng)限定在封閉、安全可控的獨(dú)立建筑群內(nèi)。集中處理工作秘密的信息系統(tǒng)，可參照秘密級(jí)信息系統(tǒng)的有關(guān)要求進(jìn)行保護(hù)。

5、涉密信息系統(tǒng)分級(jí)保護(hù)的實(shí)施步驟（1）規(guī)范信息定密；（2）確定系統(tǒng)等級(jí)；（3）方案設(shè)計(jì)與審核；（4）落實(shí)保護(hù)措施；（5）系統(tǒng)測(cè)評(píng)；（6）系統(tǒng)審批；

（7）安全保密評(píng)估與保密監(jiān)督檢查。

6、涉密信息系統(tǒng)的監(jiān)管

（1）必須選擇具有相應(yīng)涉密資質(zhì)的單位承擔(dān)或參與涉密信息系統(tǒng)的方案設(shè)計(jì)與實(shí)施；（2）保密工作部門參加方案審查論證；

（3）國(guó)家保密局授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)進(jìn)行安全保密測(cè)評(píng)；（4）經(jīng)保密工作部門審批后，系統(tǒng)方可投入使用；

（5）保密工作部門定期進(jìn)行保密檢查或系統(tǒng)測(cè)評(píng)：秘密級(jí)和機(jī)密級(jí)信息系統(tǒng)，每?jī)赡曛辽僖淮危唤^密級(jí)信息系統(tǒng)，每年至少一次。

三、關(guān)于涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范

根據(jù)“技管并重”的指導(dǎo)思想，一個(gè)不同等級(jí)的信息系統(tǒng)既要采取不同強(qiáng)度的技術(shù)保護(hù)措施，還要采取不同的管理強(qiáng)度，才能保障這個(gè)信息系統(tǒng)的安全，因此需制訂國(guó)家保密標(biāo)準(zhǔn)——《涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》，它是以國(guó)家保密局《涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法》作為指導(dǎo)，以《涉密信息系統(tǒng)保密技術(shù)要求》中安全保密管理部分作為基礎(chǔ)，結(jié)合ISO/ICE。TR13335《信息技術(shù)、IT安全管理指南》與涉密信息系統(tǒng)的管理實(shí)踐確定管理過(guò)程，結(jié)合ISO/IEE17799《信息技術(shù)、信息安全管理實(shí)用規(guī)則》與分級(jí)要求確定管理內(nèi)容。

在涉密信息系統(tǒng)的生命周期中應(yīng)把握好八個(gè)基本環(huán)節(jié)：

1、系統(tǒng)定級(jí)

明確系統(tǒng)所處理信息的最高密級(jí)，確定系統(tǒng)保護(hù)等級(jí)。

2、方案設(shè)計(jì)

組織自身的技術(shù)力量或委托資質(zhì)單位進(jìn)行設(shè)計(jì)前的風(fēng)險(xiǎn)評(píng)估，確定系統(tǒng)風(fēng)險(xiǎn)。選擇具有涉密資質(zhì)的集成單位依據(jù)相關(guān)國(guó)家保密標(biāo)準(zhǔn)進(jìn)行方案設(shè)計(jì)，并應(yīng)通過(guò)專家論證，負(fù)責(zé)系統(tǒng)審批的保密工作部門應(yīng)參加論證。

3、工程實(shí)施

組建工程監(jiān)理機(jī)構(gòu)，細(xì)化管理制度，對(duì)工程實(shí)施進(jìn)行監(jiān)督，或者選擇具有涉密資 質(zhì)的工程監(jiān)理單位進(jìn)行監(jiān)理。

4、系統(tǒng)測(cè)評(píng)

系統(tǒng)工程實(shí)施完畢后，建設(shè)使用單位向保密工作部門申請(qǐng)進(jìn)行系統(tǒng)測(cè)評(píng)，國(guó)家保密局涉密信息系統(tǒng)安全保密測(cè)評(píng)中心及分中心負(fù)責(zé)進(jìn)行系統(tǒng)測(cè)評(píng)。

5、系統(tǒng)審批

涉密信息系統(tǒng)在投入運(yùn)行后前，應(yīng)經(jīng)過(guò)（地）以上保密工作部門根據(jù)系統(tǒng)測(cè)評(píng)結(jié)果進(jìn)行的審批。

6、日常管理

日常管理包括基本管理要求，人員管理、物理環(huán)境與設(shè)施管理、信息保密管理等。

7、測(cè)評(píng)與檢查

涉密信息系統(tǒng)投入運(yùn)行后還應(yīng)定期進(jìn)行安全保密測(cè)評(píng)和檢查。

8、系統(tǒng)廢止

廢止涉密信息系統(tǒng)應(yīng)向相關(guān)保密工作部門備案，并按照有關(guān)保密規(guī)定妥善處理涉及國(guó)家秘密信息的設(shè)備、產(chǎn)品和資料。

涉密信息系統(tǒng)分級(jí)保護(hù)的核心思想是“實(shí)事求是”與“具體問題具體分析”，既防止欠保護(hù)，也防止過(guò)保護(hù)，以確保國(guó)家秘密安全為原則。我國(guó)的涉密信息系統(tǒng)分級(jí)保護(hù)已經(jīng)進(jìn)入了建立制度、完善體系的階段，但還有很長(zhǎng)的路要走。由于存在信息系統(tǒng)所涉及技術(shù)、管理的復(fù)雜性、系統(tǒng)保護(hù)評(píng)價(jià)和不確定性以及安全防護(hù)與攻擊技術(shù)存在的非對(duì)稱性等因素，我們還有許多問題要研究、要探索，但只要我們堅(jiān)持科學(xué)發(fā)展觀，勇于實(shí)踐，就會(huì)走出一條適合我國(guó)國(guó)情的道路。（杜虹）

第二篇：涉密信息系統(tǒng)信息安全分級(jí)保護(hù)體系案例

涉密信息系統(tǒng)信息安全分級(jí)保護(hù)體系案例

2012年05月14日10:12 it168網(wǎng)站原創(chuàng) 作者：太極 編輯：李偉 我要評(píng)論項(xiàng)目背景

為落實(shí)某部委黨組“先從部機(jī)關(guān)信息化入手，帶動(dòng)全行業(yè)信息化發(fā)展”的有關(guān)部署，2001年、2005年和2007年，部機(jī)關(guān)先后實(shí)施了信息化一期、二期工程以及通信信息系統(tǒng)改造工程，建設(shè)了XX行業(yè)主管部門的涉密局域辦公網(wǎng)，即某部委電子政務(wù)涉密信息系統(tǒng)，并與外網(wǎng)物理隔離，整體提高了部機(jī)關(guān)行政辦公的信息化水平。為加強(qiáng)涉及國(guó)家涉密信息系統(tǒng)的保密管理，依據(jù)BMB相關(guān)國(guó)家標(biāo)準(zhǔn)，某部委對(duì)其內(nèi)網(wǎng)電子政務(wù)涉密信息系統(tǒng)進(jìn)行了相應(yīng)等級(jí)的安全保密建設(shè)和管理。

2010年至2011年期間，先后開展了對(duì)分級(jí)保護(hù)建設(shè)的可研、方案設(shè)計(jì)、建設(shè)實(shí)施，并于2011年10月19日順利通過(guò)了相關(guān)國(guó)家保密測(cè)評(píng)機(jī)構(gòu)對(duì)某部委電子政務(wù)涉密信息系統(tǒng)的嚴(yán)格測(cè)評(píng)。建設(shè)路線

在某部委電子政務(wù)信息系統(tǒng)分級(jí)保護(hù)建設(shè)實(shí)施過(guò)程中，依據(jù)《某部委電子政務(wù)涉密信息系統(tǒng)分級(jí)保護(hù)工程詳細(xì)設(shè)計(jì)方案》及國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)范等文件，嚴(yán)格按照PMP項(xiàng)目管理方法論，對(duì)項(xiàng)目啟動(dòng)后把實(shí)施過(guò)程分為設(shè)計(jì)(深化)過(guò)程、落地(建設(shè))過(guò)程、監(jiān)控過(guò)程三個(gè)過(guò)程組，并通過(guò)調(diào)研分析、體系規(guī)劃、體系建設(shè)和體系完善(PDCA)的建設(shè)思路，運(yùn)用崗位與職責(zé)、策略體系、流程體系、技術(shù)工具、人員培訓(xùn)、安全管控等方法進(jìn)行落地實(shí)施。

在設(shè)計(jì)過(guò)程中，首先詳細(xì)解讀了《某部委電子政務(wù)涉密信息系統(tǒng)分級(jí)保護(hù)工程詳細(xì)設(shè)計(jì)方案》，周密分析了客戶信息系統(tǒng)應(yīng)用環(huán)境，全面展開了對(duì)技術(shù)以及管理等的全面細(xì)致調(diào)研，分析現(xiàn)狀與標(biāo)準(zhǔn)及客戶需求的差距，逐項(xiàng)梳理實(shí)施建設(shè)任務(wù)，完成《分級(jí)保護(hù)深化設(shè)計(jì)及實(shí)施方案》、《安全保密策略總綱》、建設(shè)任務(wù)一覽表、職責(zé)矩陣、《項(xiàng)目進(jìn)度計(jì)劃》等過(guò)程文檔。在落地過(guò)程中，通過(guò)太極信息安全保障體系落地方法論，建立技術(shù)、管理、運(yùn)維三大保障體系，按照《分級(jí)保護(hù)深化設(shè)計(jì)及實(shí)施方案》，分為安全域改造、應(yīng)用系統(tǒng)改造、安全策略部署與試運(yùn)行以及安全服務(wù)四個(gè)階段，遵照“綜合部署、分布落實(shí)、逐一核查”等原則，實(shí)現(xiàn)由標(biāo)準(zhǔn)緊扣方案、建設(shè)貼近客戶需求的完美落地，從而完成某部委電子政務(wù)信息系統(tǒng)安全保護(hù)的建設(shè)工作。

在監(jiān)控過(guò)程中，對(duì)常規(guī)項(xiàng)目落地過(guò)程中的內(nèi)容進(jìn)行監(jiān)督管理，通過(guò)技術(shù)、工具和專家判斷等方法對(duì)項(xiàng)目實(shí)施的內(nèi)容，包括管理、技術(shù)方面的內(nèi)容進(jìn)行有效性檢測(cè)，將不貼近客戶需求、無(wú)法落地或由于條件限制暫時(shí)無(wú)法落地的內(nèi)容進(jìn)行記錄，與客戶溝通、交流，協(xié)調(diào)資源(人力資源、環(huán)境資源、必要的設(shè)備等)保障實(shí)施過(guò)程按照既定的項(xiàng)目計(jì)劃進(jìn)行，最關(guān)鍵的因素還是要取得客戶認(rèn)同和達(dá)到標(biāo)準(zhǔn)要求。監(jiān)控手段包括有效性測(cè)量、不符合項(xiàng)記錄、控制測(cè)量、內(nèi)部審核、用戶評(píng)審等。建設(shè)落地

通過(guò)基礎(chǔ)調(diào)研，對(duì)某部委電子政務(wù)內(nèi)網(wǎng)物理、網(wǎng)絡(luò)、主機(jī)、終端、應(yīng)用和制度等層面展開了全面了解及分析?；诖朔治鼋Y(jié)果，編制體系完善的《某部委分級(jí)保護(hù)工程深化設(shè)計(jì)及實(shí)施方案》、《某部委涉密信息系統(tǒng)涉密安全保密策略總綱》、項(xiàng)目建設(shè)任務(wù)一覽表、項(xiàng)目職責(zé)矩陣和《項(xiàng)目進(jìn)度計(jì)劃》等過(guò)程文檔。

實(shí)施落地過(guò)程從安全域改造、網(wǎng)絡(luò)割接到應(yīng)用系統(tǒng)改造、集成部署、策略實(shí)施及安全服務(wù)全環(huán)節(jié)實(shí)現(xiàn)分級(jí)保護(hù)體系建設(shè)的落地過(guò)程。

(1)安全域改造

依據(jù)BMB標(biāo)準(zhǔn)要求，綜合考慮信息密級(jí)、信息分類、信息交換、行政級(jí)別、功能需要和業(yè)務(wù)需求等方面，將原有內(nèi)網(wǎng)結(jié)構(gòu)及連接信息作備份，通過(guò)網(wǎng)絡(luò)割接、區(qū)域調(diào)整、VLAN劃分等方式，重新調(diào)整某部委涉密內(nèi)網(wǎng)安全策略，包括內(nèi)網(wǎng)中的網(wǎng)絡(luò)、主機(jī)、終端、存儲(chǔ)等密級(jí)標(biāo)識(shí)、訪問控制、權(quán)限綁定等策略，使不同密級(jí)的信息資源、用戶不能互聯(lián)互通，且需要物理隔離，安全域邊界采用訪問控制、入侵監(jiān)測(cè)和網(wǎng)絡(luò)審計(jì)等邊界防護(hù)設(shè)備。通過(guò)劃分安全域，可將傳統(tǒng)的“按最高密級(jí)防護(hù)原則”轉(zhuǎn)變?yōu)椤胺钟蚍旨?jí)防護(hù)策略”，大幅度降低建設(shè)成本和運(yùn)營(yíng)管理成本。

(2)應(yīng)用系統(tǒng)改造

應(yīng)用系統(tǒng)中嚴(yán)格遵照“最小授權(quán)原則”和“強(qiáng)制訪問控制要求”，安全認(rèn)證實(shí)現(xiàn)統(tǒng)一身份管理，統(tǒng)一身份認(rèn)證，統(tǒng)一權(quán)限管理，統(tǒng)一訪問控制、統(tǒng)一責(zé)任認(rèn)定和統(tǒng)一信息交換“六個(gè)統(tǒng)一”等。對(duì)應(yīng)用系統(tǒng)中產(chǎn)生的涉密文件進(jìn)行密級(jí)標(biāo)識(shí)，并與認(rèn)證賬戶相關(guān)聯(lián)實(shí)現(xiàn)抗抵賴性和不可否認(rèn)性設(shè)計(jì)。改造應(yīng)用系統(tǒng)實(shí)現(xiàn)賬戶管理和口令管理功能，根據(jù)賬戶授予其相應(yīng)的訪問權(quán)限，實(shí)現(xiàn)三權(quán)分立。對(duì)應(yīng)用系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)系統(tǒng)安全審計(jì)功能，進(jìn)行系統(tǒng)啟動(dòng)和關(guān)閉，賬戶登錄和修改，以及對(duì)涉密文件的操作：建立、復(fù)制、修改、刪除、打印等進(jìn)行審計(jì)內(nèi)容設(shè)計(jì)和實(shí)現(xiàn)。

(3)集成部署

集成部署分為三個(gè)階段，包括軟、硬件產(chǎn)品集成采購(gòu)、硬件設(shè)備安裝、上架、軟硬件系統(tǒng)配置，集成期間太極對(duì)人力資源進(jìn)行優(yōu)化配置，通過(guò)項(xiàng)目質(zhì)量管理和溝通管理等手段協(xié)調(diào)各廠商工程師現(xiàn)場(chǎng)支持集成部署工作。

(4)安全策略實(shí)施與試運(yùn)行

1.安全保密管理制度

成立推進(jìn)信息化安全保密管理工作的管理機(jī)構(gòu)，明確電子政務(wù)涉密信息系統(tǒng)中系統(tǒng)管理員、安全保密管理員和安全審計(jì)員三大員職責(zé)分工，設(shè)置三大員的具體負(fù)責(zé)人員。

某部委涉密信息系統(tǒng)保密管理制度以安全保密策略總綱為基石，以人員、終端管理為核心，圍繞環(huán)境安全管理、設(shè)備與介質(zhì)管理、運(yùn)行與開發(fā)管理和信息保密管理等方面，制定滿足安全保密合規(guī)性的三級(jí)制度體系，包括制度規(guī)定、細(xì)則、流程和表單等：第一級(jí)強(qiáng)調(diào)宏觀：安全保密管理策略總綱。第二級(jí)強(qiáng)調(diào)合規(guī)：安全保密管理制度文件。第三級(jí)側(cè)重可執(zhí)行和可落地：安全保密管理制度細(xì)則及管理流程、表單類文件。

2.聯(lián)調(diào)測(cè)試與試運(yùn)行

系統(tǒng)聯(lián)調(diào)測(cè)試及試運(yùn)行時(shí)，對(duì)前期改造的結(jié)果進(jìn)行驗(yàn)證性測(cè)試，監(jiān)控信息系統(tǒng)運(yùn)行的穩(wěn)定性和安全性，記錄在試運(yùn)行發(fā)現(xiàn)的問題，分析并與客戶達(dá)成一致，在獲得環(huán)境條件的允許

下，調(diào)整某些安全策略，滿足系統(tǒng)環(huán)境要求和客戶需求，提高信息系統(tǒng)的安全合規(guī)性和可用性。

(5)安全服務(wù)

1.安全加固

嚴(yán)格遵照PMP項(xiàng)目管理理論框架，通過(guò)統(tǒng)籌規(guī)劃、綜合協(xié)調(diào)、實(shí)效性落實(shí)、人員考核等管控過(guò)程，將安全加固實(shí)施落地。對(duì)于網(wǎng)絡(luò)及安全設(shè)備，提供專業(yè)加固建議和策略，防止大規(guī)模蠕蟲病毒的攻擊，將網(wǎng)絡(luò)病毒的攻擊影響降至最低;對(duì)于操作系統(tǒng)和應(yīng)用，關(guān)閉遠(yuǎn)程桌面服務(wù)、禁用Windows共享、停止Windows自動(dòng)更新、加裝主機(jī)審計(jì)與補(bǔ)丁分發(fā)系統(tǒng)等安全加固策略;對(duì)于終端在涉密終端操作系統(tǒng)部署安全登錄、主機(jī)監(jiān)控與審計(jì)、補(bǔ)丁分發(fā)及網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，并對(duì)所有涉密終端進(jìn)行IP與MAC地址綁定。每次加固都遵從規(guī)范化原則，確保加固過(guò)程的可控性、有效性、安全性。

2.風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是對(duì)某部委電子政務(wù)內(nèi)網(wǎng)中的服務(wù)器/網(wǎng)絡(luò)設(shè)備/安全設(shè)備等資產(chǎn)進(jìn)行威脅性和脆弱性分析，針對(duì)特定威脅利用資產(chǎn)一種或多種脆弱性，導(dǎo)致資產(chǎn)丟失或損害的潛在可能性評(píng)估分析，本項(xiàng)目中主要風(fēng)險(xiǎn)評(píng)估服務(wù)包括資產(chǎn)識(shí)別、威脅分析、脆弱性分析、已有安全措施分析和風(fēng)險(xiǎn)分析。經(jīng)過(guò)量化評(píng)估后，形成風(fēng)險(xiǎn)評(píng)估報(bào)告，制定風(fēng)險(xiǎn)處理計(jì)劃實(shí)施風(fēng)險(xiǎn)管控措施。

3.安全培訓(xùn)

安全及保密培訓(xùn)是本項(xiàng)目的一個(gè)重要組成部分，展開對(duì)全員主要是三大員安全意識(shí)和保密意識(shí)培訓(xùn)。培訓(xùn)落實(shí)到?jīng)Q策層、管理層和執(zhí)行層各個(gè)層面，不僅是安全管理、使用、維護(hù)的一體化應(yīng)用上，更重要的是通過(guò)對(duì)各層級(jí)的政策、制度、標(biāo)準(zhǔn)，使客戶了解并掌握安全趨勢(shì)，把握信息安全戰(zhàn)略規(guī)劃在信息化建設(shè)規(guī)劃中的重要性，做好短中長(zhǎng)期安全規(guī)劃。培訓(xùn)工作主要包含現(xiàn)場(chǎng)培訓(xùn)、集中培訓(xùn)、安全保密培訓(xùn)和認(rèn)證培訓(xùn)四個(gè)部分。項(xiàng)目?jī)r(jià)值

(1)響應(yīng)貫徹政策要求

黨中央、國(guó)務(wù)院高度重視新形勢(shì)下的保密工作。某部委電子政務(wù)涉密信息系統(tǒng)分級(jí)保護(hù)工程的建設(shè)良好地貫徹上級(jí)指示，積極應(yīng)對(duì)新形勢(shì)下的保密工作開展。

(2)實(shí)現(xiàn)對(duì)內(nèi)安全保護(hù)需求

當(dāng)前，隨著我國(guó)經(jīng)濟(jì)快速發(fā)展和國(guó)際地位不斷提高，我國(guó)已成為各種情報(bào)竊密活動(dòng)的重點(diǎn)目標(biāo)。信息技術(shù)的發(fā)展和我國(guó)信息化建設(shè)的推進(jìn)，涉密載體呈現(xiàn)出多樣性和復(fù)雜性，泄密渠道隨之增多，竊密與反竊密越來(lái)越具有高技術(shù)抗衡的特點(diǎn)。某部委電子政務(wù)涉密信息系統(tǒng)分級(jí)保護(hù)建設(shè)工程為維護(hù)國(guó)家秘密安全、保障國(guó)家涉密信息、推進(jìn)XX行業(yè)系統(tǒng)保密工作，發(fā)揮重要作用。

(3)順利通過(guò)安全保密測(cè)評(píng)

體系落地實(shí)施覆蓋技術(shù)的物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面，管理覆蓋策略、制度、流程、表單四級(jí)體系，做到技管并重，日常安全運(yùn)維還包括了安全加固和風(fēng)險(xiǎn)評(píng)估，具有全面性、合規(guī)性和前瞻性，較好的通過(guò)職責(zé)、策略、流程、工具等進(jìn)行落地，最終以較好的成績(jī)通過(guò)安全保密測(cè)評(píng)。項(xiàng)目特點(diǎn)

為保障項(xiàng)目按質(zhì)按量完成，并順利通過(guò)安全保密測(cè)評(píng)，我方在充分調(diào)研和深化設(shè)計(jì)的基礎(chǔ)上，將建設(shè)任務(wù)逐一分解，規(guī)劃出項(xiàng)目進(jìn)度計(jì)劃、項(xiàng)目資源分配表等項(xiàng)目過(guò)程穩(wěn)定，并將任務(wù)落實(shí)到具體的負(fù)責(zé)人身上，嚴(yán)格按照進(jìn)度計(jì)劃控制項(xiàng)目里程、交付成果和質(zhì)量管理。建設(shè)過(guò)程中接相關(guān)主管部門通知，分級(jí)保護(hù)整改工作要求提前完成，也就意味著在一個(gè)多月內(nèi)太極公司項(xiàng)目組要完成安全產(chǎn)品部署調(diào)試、700余臺(tái)涉密終端安全加固、多臺(tái)主機(jī)加固、網(wǎng)絡(luò)安全改造與割接、涉密郵件系統(tǒng)改造以及保密制度的編制工作。在既要保證實(shí)施質(zhì)量，又要管控時(shí)間進(jìn)度的前提下，項(xiàng)目組成員充分分析了關(guān)鍵里程碑及交付成果，出臺(tái)了項(xiàng)目趕工方案，加大了多種資源投入，最后以優(yōu)異的成績(jī)輔助某部委電子政務(wù)內(nèi)網(wǎng)順利通過(guò)了安全保密測(cè)評(píng)。