電子政務建設與應用中的保密管理工作

1、電 子 政 務 保 密 管 理 指 南,和靜縣國家保密局賈 俊 杰2007-8-10,主要內容：,前言電子政務涉密信息系統(tǒng)的安全保密要求電子政務非涉密信息系統(tǒng)的保密要求電子政務信息系統(tǒng)間的安全隔離與信息交換結束語,,,一、前 言,隨著科學技術的迅猛發(fā)展和和信息技術的廣泛應用，特別是我國國民經濟和社會信息化進程的全面加快，信息及信息系統(tǒng)已經成為重要的戰(zhàn)略資源和戰(zhàn)略基礎設施。,,二、電子政務涉密信息系統(tǒng)的安全保密要求,1、涉

2、密 定位：,電子政務信息系統(tǒng)分為兩種類型： 電子政務涉密信息系統(tǒng) 用于存儲、處理和傳輸國家秘密信息的電子政務信息系統(tǒng)。 電子政務非涉密信息系統(tǒng) 用于存儲、處理和傳輸內部信息或公開信息，但不得用于存儲、處理和傳輸國家秘密信息的電子政務信息系統(tǒng)。,,二、電子政務涉密信息系統(tǒng)的安全保密要求,,2、安全保密管理原則：,同 步 建 設 嚴 格 審 批 注 重 防 范 規(guī) 范

3、管 理,,二、電子政務涉密信息系統(tǒng)的安全保密要求,,同 步 建 設 《中共中央關于加強新形勢下保密工作的決定》明確提出“涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)的建設，必須與保密設施的建設同步進行”,,二、電子政務涉密信息系統(tǒng)的安全保密要求,嚴 格 審 批 《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》（以下簡稱《審批管理規(guī)定》）明確提出，未經保密工作部門審批，涉密信息系統(tǒng)不得投入使用。,,二、電

4、子政務涉密信息系統(tǒng)的安全保密要求,,注 重 防 范 涉密信息系統(tǒng)保密防范能力的強弱，關系到國家秘密的安全，也是涉密信息系統(tǒng)建設成敗的關鍵。,,二、電子政務涉密信息系統(tǒng)的安全保密要求,規(guī) 范 管 理 涉密系統(tǒng)的安全保密措施主要包括技術和管理兩個方面，管理以技術為依托，技術靠管理來保障，二者相輔相成，缺一不可。,,,二、電子政務涉密信息系統(tǒng)的安全保密要求,3、分 級 保 護：,涉密信息系統(tǒng)分級保

5、護是國家信息安全等級保護的重要組成部分。涉密信息系統(tǒng)根據(jù)涉密程度，按照秘密級、機密級、絕密級進行分級保護秘密級、機密級、絕密級信息系統(tǒng)的整體防護水平分別不低于非涉密信息系統(tǒng)的第三、四、五級的要求。涉密信息系統(tǒng)的建設使用單位按照“誰主管、誰負責”的原則，負責本單位涉密信息系統(tǒng)的分級保護工作的具體實施。,二、電子政務涉密信息系統(tǒng)的安全保密要求,3.1系統(tǒng)定級：,《分級保護管理辦法》規(guī)定，涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高劃分

6、為秘密、機密、絕密三個等級。 應按照《保密法》、《實施辦法》和“保密范圍”的規(guī)定，結合自身的工作特點，根據(jù)涉密信息系統(tǒng)將要處理信息的最高密級確定系統(tǒng)的密級。確定密級必須準確，避免隨意性。,,,二、電子政務涉密信息系統(tǒng)的安全保密要求,3.2泄密事件分級處置,泄密事件分級處置是指根據(jù)涉密信息系統(tǒng)發(fā)生泄密事件對國家安全和利益所造成的危害程度，采取不同的應急處理措施，以便及時上報查處、善后補救、消除隱患。,,,二、電子政務涉密信息

7、系統(tǒng)的安全保密要求,4、安全保密管理全過程：,系統(tǒng)定級 —— 方案設計 —— 工程施工 ——系統(tǒng)測評 ——系統(tǒng)審批—— 日常管理—— 測評與檢查——系統(tǒng)廢止,,二、電子政務涉密信息系統(tǒng)的安全保密要求,4、安全保密管理全過程：,4.1 日常管理 從人員管理、物理環(huán)境與設施管理、設備與介質管理、運行與開發(fā)管理和信息保密管理五個方面進行日常安全保密管理,,二、電子政務涉密信息系統(tǒng)的安全保密要求,4、安全保密管

8、理全過程：,4.1 日常管理 設備與介質管理 應按照安全保密法規(guī)、國家保密標準的要求，做好設備與介質的管理工作。主要包括：采購與選型、操作與使用、保管與保存、維修與報廢管理。,,,二、電子政務涉密信息系統(tǒng)的安全保密要求,4、安全保密管理全過程：,系統(tǒng)廢止 ——涉密系統(tǒng)不再使用時，建設使用單位應向保密工作部門備案 ——對需要報廢的涉密設備和介質，應進行信息

9、消除和載體銷毀處理,,三、電子政務非涉密信息系統(tǒng)的保密要求,——涉及國家秘密的信息，包括在對外交往與合作中經審查、批準與境外特定對象合法交換的國家秘密信息，不得在電子政務非涉密信息系統(tǒng)上存儲、處理和傳輸 ——任何單位和個人不得在電子郵件、網上論壇、即時通訊和博客等公共信息媒體上發(fā)布、談論和傳播國家秘密信息 ——在使用互聯(lián)網進行信息交流時，應當遵守國家有關保密規(guī)定，不得在互聯(lián)網上傳輸、轉發(fā)或抄送國

10、家秘密信息,,三、電子政務非涉密信息系統(tǒng)的保密要求,1、保密管理原則：,控 制 源 頭 加 強 檢 查 明 確 責 任 落 實 制 度,,三、電子政務非涉密信息系統(tǒng)的保密要求,控 制 源 頭 ——嚴格防止涉及國家秘密的信息在電子政務非涉密信息系統(tǒng)上存儲、處理和傳輸 ——建立信息上網公開發(fā)布前的保密審查制度 ——涉密信息不上網，上網信息不涉密,,三、電子政務非涉密信息系統(tǒng)的保密要

11、求,加 強 檢 查 —— 對上網的信息進行經常性檢查 —— 一旦發(fā)現(xiàn)國家秘密，要立即報告，查清來源，及時刪除，并嚴肅處理泄密人員 —— 各級保密工作部門負責本行政區(qū)域內電子政務非涉密信息系統(tǒng)以及互聯(lián)網或其他公共信息網絡的保密檢查工作,,三、電子政務非涉密信息系統(tǒng)的保密要求,明 確 責 任 —— 層層建立責任制，責任到人，做到“誰上網、誰負責” ——

12、 對上網信息的保密審查要有專人負責，落實領導責任 —— 保密工作部門要指導、督促有關單位建立責任制,,三、電子政務非涉密信息系統(tǒng)的保密要求,落 實 制 度 —— 要把有關保密管理的制度規(guī)定落到實處 —— 凡向國際聯(lián)網的站點提供或發(fā)布信息，必須經過保密審查批準 —— 提供信息的單位應當按照一定的工作程序，健全上網信息保密審批制度,,三、電子政務非涉密信息系統(tǒng)的保密要

13、求,2、工作秘密的保護： 工作秘密一般是指：未列入國家秘密的范圍但擴大知悉范圍會對機關的正常工作帶來不利影響的秘密事項。,工作秘密與國家秘密可能存在交叉 對于集中處理工作秘密的信息系統(tǒng)，可參照秘密級信息系統(tǒng)保護的有關要求進行保護與管理,,四、電子政務信息系統(tǒng)間的安全隔離與信息交換,１、物理隔離 ：,2000年1月1日正式實施的《計算機信息系統(tǒng)國際聯(lián)網保密管理規(guī)定》中明確規(guī)定：“涉及國家秘密的計算機信息

14、系統(tǒng)，不得直接或間接地與國際互聯(lián)網或其他公共信息網絡相聯(lián)接，必須實行物理隔離?！?,四、電子政務信息系統(tǒng)間的安全隔離與信息交換,１、物理隔離 ：,電子政務涉密信息系統(tǒng)不得直接或間接與國際聯(lián)網，應與國際互聯(lián)網或其他公共信息網絡實行物理隔離 電子政務非涉密信息系統(tǒng)應與國際互聯(lián)網或其他公共信息網絡采取必要的邏輯隔離措施,,四、電子政務信息系統(tǒng)間的安全隔離與信息交換,１.1物理隔離 ——用戶終端的隔離方案 ：,目前國家保密局認可的“雙布線

15、單用戶終端”物理隔離解決方案主要有： （1） 雙主板、雙硬盤 （2）單主板、雙硬盤 （3）單主板、單硬盤,,四、電子政務信息系統(tǒng)間的安全隔離與信息交換,1.2 物理隔離——遠程傳輸?shù)母綦x方案 ：,（1）在采取密碼保護措施的情況下，涉密數(shù)據(jù)遠程傳輸目前可以使用獨立鋪設線路和交換設備，以及使用永久虛擬電路（PVC）兩種交換方式。 （2）在使用獨