제 4 장 정보 보안 수준 보호 관리 방법 기밀 정보 시스템 수준 보호 관리

기밀 정보 시스템은 국가 정보 보안 수준 보호의 기본 요구 사항, 국가 기밀 부서의 기밀 정보 시스템 수준 보호 관리 규정 및 기술 표준에 따라 시스템 실제 상황과 함께 보호해야 합니다.

비공개 정보 시스템은 국가 비밀 정보 등을 처리해서는 안 된다.

제 25 조

기밀 정보 시스템은 처리되는 정보의 최고 비밀 등급에 따라 비밀, 기밀, 극비 3 등급으로 나뉜다.

기밀 정보 시스템 구축 및 사용 단위는 "기밀 정보 시스템 수준 보호 관리 방법" 및 국가 기밀 표준 BMB 17-2006 "국가 기밀을 포함하는 컴퓨터 정보 시스템 수준 보호 기술 요구 사항" 에 따라 시스템 등급을 결정해야 합니다. 여러 보안 도메인이 있는 기밀 정보 시스템의 경우 각 보안 도메인에 대해 보호 수준을 개별적으로 결정할 수 있습니다.

보안 부서와 기관은 기밀 정보 시스템의 건설과 사용을 감독하고 지도하여 시스템을 정확하고 합리적으로 등급을 매겨야 한다.

제 26 조

기밀 정보 시스템의 구축 및 사용 단위는 기밀 정보 시스템의 비밀 수준, 건설 및 사용 현황을 업무 주관부와 시스템 승인을 담당하는 기밀 부서에 보고하고 기밀 부서의 감독, 검사 및 지침을 받아야 합니다.

제 27 조

기밀 정보 시스템의 구축 및 사용 단위는 기밀 정보 시스템의 설계 및 구현에 참여하거나 참여할 자격을 갖춘 단위를 선택해야 합니다.

기밀 정보 시스템 구축 및 사용 단위는 기밀 정보 시스템 수준 보호 관리 사양 및 기술 표준에 따라 기밀, 기밀, 극비 3 등급의 다양한 요구 사항에 따라 프로그램을 설계하고 시스템 실제 상황과 함께 등급 보호를 구현해야 합니다. 보호 등급은 일반적으로 국가 정보 보안 보호 3, 4, 5 급 이하가 아니다.

제 28 조

기밀 정보 시스템에 사용되는 정보 보안 제품은 원칙적으로 국산이어야 하며, 국가기밀국이 허가한 검사 기관은 국가 관련 안전 표준에 따라 검사해야 한다. 검사를 통과한 제품은 국가비밀국의 심사와 발표를 거쳐야 한다.

제 29 조

시스템 엔지니어링 구현 후 기밀 정보 시스템 구축 및 사용 단위는 기밀 부서에 신청해야 하며, 국가기밀국이 승인한 시스템 평가기관은 국가기밀 기준 BMB22-2007' 국가기밀과 관련된 컴퓨터 정보 시스템 등급 보호 평가 가이드' 에 따라 기밀 정보 시스템을 안전하게 평가해야 합니다.

시스템이 사용되기 전에 기밀 정보 시스템 구축 및 사용 단위는 "국가 비밀 정보 시스템 승인 관리 규정 관련" 에 따라 시급 이상 기밀 작업 부서에 시스템 승인을 신청해야 합니다. 승인을 받은 후 기밀 정보 시스템을 사용할 수 있습니다. 이미 사용 중인 기밀 정보 시스템의 경우, 건설 및 사용 단위는 기밀 보호 요구 사항에 따라 시스템 정비를 완료한 후 기밀 부서에 등록해야 합니다.

제 30 조

기밀 정보 시스템의 건설 및 사용 단위는 시스템 승인 또는 기록을 신청할 때 다음 자료를 제출해야 합니다.

(a) 시스템 설계, 구현 계획 및 검토 의견;

(2) 시스템 계약자의 자격 증명 자료;

(3) 시스템 구축 및 프로젝트 감독 보고서;

(4) 시스템 안전 검사 평가 보고서;

(e) 시스템 보안 조직 관리 시스템;

(VI) 기타 관련 자료.

제 31 조

기밀 정보 시스템의 비밀 수준, 연결 범위, 환경 시설, 주요 응용 프로그램, 보안 기밀 관리 책임 단위 등이 변경될 경우 건설 및 사용 단위는 승인을 담당하는 기밀 부서에 적시에 보고해야 합니다. 기밀 부서는 실제 상황에 따라 비준을 재평가할지 여부를 결정해야 한다.

제 32 조

기밀 정보 시스템 구축 및 사용 단위는 국가 기밀 기준 BMB20-2007 "국가 기밀을 포함하는 정보 시스템 수준 보호 관리 규범" 에 따라 기밀 정보 시스템 운영시 기밀 관리를 강화하고 정기적으로 위험 평가를 실시하여 비밀 누설의 위험과 허점을 제거해야 합니다.

제 33 조

국가 및 지방 각급 비밀 부서는 법에 따라 각 지역, 각 부처의 기밀 정보 시스템의 등급 보호를 감독하고 관리하며 다음과 같은 일을 잘 한다.

(a) 등급 보호 업무를 지도, 감독 및 점검한다.

(b) 기밀 정보 시스템의 구축 및 사용을 안내하고, 정보 분류를 표준화하며, 시스템의 보호 수준을 합리적으로 결정합니다.

(3) 기밀 정보 시스템 등급 보호 방안에 대한 논증에 참여하여 건설 및 사용 단위를 안내하여 기밀 유지 시설의 동시 계획 및 설계를 잘 한다.

(4) 법에 따라 기밀 정보 시스템 통합 자격 단위를 감독하고 관리한다.

(5) 시스템 평가와 승인을 엄격히 집행하고, 기밀 정보 시스템 사용 단위의 등급 보호 관리 제도와 기술 조치의 시행을 감독하고 점검한다.

(6) 기밀 정보 시스템 운영에 대한 기밀 감독 검사를 강화하다. 비밀 및 기밀 정보 시스템은 적어도 2 년마다, 극비 정보 시스템은 적어도 일 년에 한 번은

(7) 각급 기밀 정보 시스템의 관리와 사용을 이해하고, 각종 위반 유출 행위를 제때에 발견하고 조사하여 처리하다.

확장 데이터:

정보 보안 수준 보호 관리를 규제하고, 정보 보안 능력과 수준을 향상시키고, 국가 안보, 사회 안정 및 공익을 보호하고, 정보화 건설을 보장하고 촉진하고,' 중화인민공화국 컴퓨터 정보 시스템 보안 규정' 및 기타 관련 법규에 따라 이 방법을 제정한다. 사부처 공통자 제 200743 호 발표.

참고 자료:

Baidu 백과 사전-정보 보안 수준 보호 및 관리 조치