涉密网络按照存储、处理、传输国家秘密的最高密级分为绝密级、机密级和秘密级。
-
中华人民共和国保守国家秘密法(1988修订版)
第十七条属于国家秘密的文件、资料和其他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁,由国家保密工作部门制定保密办法。
采用电子信息等技术存取、处理、传递国家秘密的办法,由国家保密工作部门会同中央有关机关规定。
-
中华人民共和国保守国家秘密法(2010修订版)
第二十三条 存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。
涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。
涉密信息系统应当按照规定,经检查合格后,方可投入使用。
-
中华人民共和国保守国家秘密法(2024修订版)
第三十条 存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。
涉密信息系统应当按照国家保密规定和标准规划、建设、运行、维护,并配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划、同步建设、同步运行。
涉密信息系统应当按照规定,经检查合格后,方可投入使用,并定期开展风险评估。
从以上资料对比,我们可以看到在《保守国家秘密法》的修订过程中,1988版仅仅提出了电子信息概念,并未出现“分级保护”这个概念,指导43号文发布后,在2010年修订后,在《保守国家秘密法》中出现“分级保护”,但是这里没有将其定义为“制度”,同样在2024版修订中,做个更科学严谨的描述,也是未将其定义为“制度”,其原因是分级保护工作本身也是“网络”工作的一部分,国家在网络安全领域实行的只有一个制度,那就是网络安全等级保护制度。
结合《信息安全等级保护管理办法》与后面发布的《网络安全等级保护条例》(征求意见稿)描述,把等级保护制度下面三块内容划分描述为等级保护工作(公安非涉密)、分级保护工作(保密涉密)、密码管理工作(涉密、非涉密。其中核心、普通按照保密要求管理;商用按照非涉密要求管理),具体参考《密码法》。
分级保护工作方法论
【网络定级】涉密网络运营者应当依法确定涉密网络的密级,通过本单位保密委员会(领导小组)的审定,并向同级保密行政管理部门备案。
【方案审查论证】涉密网络运营者规划建设涉密网络,应当依据国家保密规定和标准要求,制定分级保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转管控、电磁泄漏发射防护、病毒防护、密码保护和保密监管等技术与管理措施。
【建设管理】涉密网络运营者委托其他单位承担涉密网络建设的,应当选择具有相应涉密信息系统集成资质的单位,并与建设单位签订保密协议,明确保密责任,采取保密措施。
【信息设备、安全保密产品管理】涉密网络中使用的信息设备,应当从国家有关主管部门发布的涉密专用信息设备名录中选择;未纳入名录的,应选择政府采购目录中的产品。确需选用进口产品的,应当进行安全保密检测。
(一)密级发生变化的;
(二)连接范围、终端数量超出审查通过的范围、数量的;
(三)所处物理环境或者安全保密设施变化可能导致新的安全保密风险的;
(四)新增应用系统的,或者应用系统变更、减少可能导致新的安全保密风险的。
【涉密网络废止的处理】涉密网络不再使用的,涉密网络运营者应当及时向保密行政管理部门报告,并按照国家保密规定和标准对涉密信息设备、产品、涉密载体等进行处理。
【保密监督管理】保密行政管理部门负责对涉密网络的安全保护工作进行监督管理,负责对非涉密网络的失泄密行为的监管。发现存在安全隐患,违反保密法律法规,或者不符合保密标准保密的,按照《中华人民共和国保守国家秘密法》和国家保密相关规定处理。
原文始发于微信公众号(祺印说信安):网络安全等级保护:分级保护工作的浅析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论