Capítulo 4 Nivel de seguridad de la información Medidas de gestión de protección Nivel de protección Gestión de sistemas de información confidencial
Los sistemas de información confidencial se protegerán de acuerdo con los requisitos básicos del nivel de protección de seguridad de la información nacional, los reglamentos de gestión del departamento nacional de confidencialidad y las normas técnicas para el nivel de protección de los sistemas de información confidencial, y en combinación con la situación real del sistema.
Los sistemas de información no confidenciales no manejarán información secreta de estado, etc.
Artículo 25
Los sistemas de información confidencial se dividen en tres niveles: secreto, confidencial y ultrasecreto según el mayor nivel de confidencialidad de la información procesada.
Las unidades que construyen y utilizan sistemas de información confidencial deberán, sobre la base de especificaciones de información y niveles de confidencialidad, de acuerdo con las "Medidas para la Gestión del Nivel de Protección de los Sistemas de Información Confidencial" y la norma nacional de confidencialidad BMB17. -2006 "Información informática que involucra secretos de estado" "Requisitos técnicos para la protección a nivel del sistema" determina el nivel del sistema. Para sistemas de información confidencial con múltiples dominios de seguridad, cada dominio de seguridad puede determinar el nivel de protección por separado.
Los departamentos y agencias de seguridad deben supervisar y guiar la construcción y el uso de sistemas de información confidencial, y clasificar los sistemas de manera precisa y razonable.
Artículo 26
Las unidades que construyen y utilizan sistemas de información confidencial deberán informar el nivel de clasificación, la construcción y el uso de los sistemas de información confidencial al departamento competente del negocio y a la persona responsable de la aprobación del sistema. con el departamento de confidencialidad y aceptar la supervisión, inspección y orientación del departamento de confidencialidad.
Artículo 27
Las unidades que construyan y utilicen sistemas de información confidencial seleccionarán unidades con calificaciones de confidencialidad para emprender o participar en el diseño e implementación de sistemas de información confidencial.
Las unidades que construyen y utilizan sistemas de información confidencial deberán diseñar planes basados en las especificaciones de gestión jerárquica de protección y estándares técnicos para sistemas de información confidencial y de acuerdo con los diferentes requisitos de los tres niveles de confidencialidad, confidencialidad y máxima secreto e implementar los niveles basados en la situación real del sistema Protect. El nivel de protección generalmente no es inferior a los niveles nacionales tres, cuatro y cinco de protección de seguridad de la información.
Artículo 28
En principio, los productos de seguridad de la información utilizados en sistemas de información confidencial deben ser producidos y probados en el país de acuerdo con las normas de seguridad nacionales pertinentes por instituciones de prueba autorizadas por la Administración Estatal del Secreto. . Los productos que pasan la prueba deben ser revisados y publicados por la Oficina de Secretos de Estado.
Artículo 29
Después de la implementación del proyecto del sistema, las unidades de construcción y uso de sistemas de información confidencial deberán presentar una solicitud al departamento de seguridad y a la agencia de evaluación del sistema autorizada por el La Oficina de Seguridad del Estado seguirá la norma nacional de confidencialidad BMB22-2007 "Directrices para la evaluación del nivel de protección de los sistemas de información informática que involucran secretos de estado" y realiza evaluaciones de seguridad de los sistemas de información confidencial.
Antes de poner en uso el sistema, las unidades que construyen y utilizan sistemas de información confidencial deberán solicitar la aprobación del sistema del departamento de trabajo de confidencialidad en o por encima del nivel municipal distrital de acuerdo con el "Reglamento sobre la aprobación y Gestión de sistemas que involucran información secreta de estado". Sólo después de aprobar la calificación se podrá poner en funcionamiento el sistema de información confidencial. Para los sistemas de información confidencial que se han puesto en uso, las unidades de construcción y de usuario deberán archivar el sistema en el departamento de confidencialidad después de completar la rectificación del sistema de acuerdo con los requisitos de protección de confidencialidad.
Artículo 30
Al solicitar la aprobación o presentación del sistema, las entidades que construyan y utilicen sistemas de información confidencial deberán presentar los siguientes materiales:
(1) Diseño del sistema , plan de implementación y opiniones de revisión;
(2) Materiales de certificación de calificación del contratista del sistema;
(3) Informe de supervisión del proyecto y construcción del sistema;
(4) Informe de inspección y evaluación de la seguridad del sistema;
(5) Sistema de organización y gestión de la seguridad del sistema;
(6) Otros materiales relevantes.
Artículo 31
Cuando cambie el nivel de clasificación, rango de conexión, instalaciones ambientales, aplicaciones principales, unidades responsables de la gestión de seguridad y confidencialidad, etc. del sistema de información confidencial, su construcción y usuario unidades Debe informarse con prontitud al departamento de confidencialidad responsable de su aprobación. El departamento de confidencialidad decidirá si reevaluar la aprobación en función de la situación real.
Artículo 32
Las unidades que construyan y utilicen sistemas de información confidencial fortalecerán la gestión de protección jerárquica de los sistemas de información que involucren secretos de Estado de acuerdo con las normas nacionales de confidencialidad BMB20-2007. en el funcionamiento de los sistemas de información confidencial, evaluaciones periódicas de riesgos y eliminación de peligros ocultos y lagunas en las fugas de confidencialidad.
Artículo 33
Los departamentos de confidencialidad nacionales y locales de todos los niveles supervisarán y gestionarán la protección jerárquica de los sistemas de información confidencial en diversas regiones y departamentos de conformidad con la ley, y harán lo siguientes trabajos:
(1) Orientar, supervisar e inspeccionar el desarrollo de los trabajos de protección jerárquica;
(2) Orientar la construcción y uso de sistemas de información confidencial, estandarizar la clasificación de la información, y determinar razonablemente la protección del nivel del sistema;
(3) Participar en la demostración del plan de protección de nivel para sistemas de información confidencial y guiar a las unidades de construcción y de usuario para que hagan un buen trabajo en la planificación y diseño de instalaciones confidenciales;
(4) Supervisar de acuerdo con la ley Administrar unidades de calificación de integración de sistemas de información confidencial;
(5) Implementar estrictamente la evaluación y aprobación del sistema, supervisar e inspeccionar implementación del sistema de gestión de protección jerárquica y medidas técnicas de las unidades que utilizan sistemas de información confidencial;
(6) Fortalecer la supervisión de la confidencialidad y la inspección del funcionamiento de los sistemas de información confidencial. Al menos una vez cada dos años para sistemas de información secretos y confidenciales, y al menos una vez al año para sistemas de información ultrasecretos;
(7) Comprender la gestión y el uso de diversos tipos de sistemas de información confidencial en absoluto. niveles, y descubrir e investigar rápidamente todo tipo de infracciones. Comportamiento de fugas.
Datos ampliados:
Con el fin de estandarizar la gestión de protección del nivel de seguridad de la información, mejorar las capacidades y niveles de seguridad de la información, salvaguardar la seguridad nacional, la estabilidad social y los intereses públicos, y garantizar y promover la construcción de informatización. Estas Medidas están formuladas de acuerdo con el "Reglamento de la República Popular China sobre la protección de la seguridad de los sistemas de información informática" y otras leyes y reglamentos pertinentes. Los cuatro ministerios y comisiones Gongtongzi No. 200743 fueron liberados.
Materiales de referencia:
Enciclopedia Baidu: medidas de gestión de protección del nivel de seguridad de la información