等级保护与分级保工作指南V1[1].0

等级保护与分级保护工作指南

吉大正元信息技术股份有限公司

2008年8月 

范围

本文档描述了信息系统安全等级保护与涉密信息系统分级保护的背景、现状、基本概念、实施流程、主管部门的职责划分、用户的实施要求，以及对厂商的资质管理等内容，供公司内部人员了解和学习等级保护和分级保护参考。

背景与现状

等级保护思想的发展

信息系统分等级保护的思想在国际上已有二十多年的历史

1983年美国国防部发布了《可信计算机系统评估准则》（TCSEC，俗称橘皮书），将计算机系统的安全等级分为D、C1、C2、B1、B2、B3和A1七个级别，开创了分等级保护的先河，之后欧洲将其发展为《信息技术安全性评估标准》（ITSEC），美国又在此基础上进一步完善推出了《通用安全评估准则》（CC）、《联邦信息和信息系统的安全分类标准》（FIPS 199）、《联邦信息系统安全控制》（SP 800-53）和《美国国家空间战略》等，完善了计算机系统安全分级制度，并逐步落实了分等级保护的方法。

等级保护是国家信息安全的基本制度

我国的等级保护思想始于1994年发布的《中华人民共和国计算机信息系统安全保护条例》（第147号令），其中明确提出了“计算机信息系统实行安全等级保护”。之后于1999年发布了《计算机信息系统安全保护等级划分准则》（GB 17859-1999）。

等级保护工作推动取得突破性进展的标志是2003年发布《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号，简称27号文件）和2005年发布的《关于信息安全等级保护的实施意见》（公通字 [2005] 66号，简称66号文件），确立了等级保护作为国家信息安全保障的基本制度。

等级保护制度是从国家的视角，依据信息系统被破坏后，对、社会秩序和公共利益造成的影响程度来划分系统的安全等级。等级保护制度充分体现了信息安全的国家意志。

等级保护与分级保护的分开管理

在66号文发布之后，等级保护按照信息系统的涉密情况分成两条线管理。非涉密信息系统的等级保护由负责监督、检查、指导，称为“信息系统安全等级保护”；涉及国家秘密信息系统的等级保护由国家保密工作机构负责监督、检查、指导，称为“涉及国家秘密的信息系统分级保护”。

在等级保护方面，国家发布了《信息安全等级保护管理办法》（公通字 [2007] 43号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）等文件，并起草了“信息系统安全等级保护定级指南”、“信息系统安全等级保护基本要求”、“信息系统安全等级保护实施指南”等系列国家标准（报批稿）。

在分级保护方面，国家保密局发布了《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号），之后陆续发布了《涉及国家秘密的信息系统分级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规范》、《涉及国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分级保护测评指南》等一系列分级保护的国家保密标准。

发文情况

等级保护制度是以27号文件为基本指导方针，以发文的形式落实国家的管理要求，以技术标准的形式提供实施方法和实施流程，并通过安全产品和安全服务保障等级保护与分级保护的实施落地。

主要发文

《中华人民共和国计算机信息系统安全保护条例》（147号令，1994年）；

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；

《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；

《信息安全等级保护管理办法》（公通字[2007]43号）；

《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）。

《涉及国家秘密的计算机信息系统集成资质管理办法》（国保发[2005]5号）。

《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号）

《电子政务保密管理指南》（国保发[２００７]５号）

《涉及国家秘密的信息系统审批管理规定》（国保发[2007]18号）

其他相关保密发文

1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过《中华人民共和国保守国家秘密法》，规定国家秘密范围和密级以及相关保密制度。

1990年5月25日，国家保密局发布《中华人民共和国保守国家秘密法实施办法》，更明确密级、变更、解密及奖惩等细则。

1998年，国保发（1998）1号文件《计算机信息系统保密管理暂行规定》。

1998年，中保办发（1998）6号文件《涉及国家秘密的通讯、办公自动化和计算机信息系统审批暂行办法》。

2000年， 厅字（2000）58号文件《保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定》。

2004年，中保委发（2004）7号文件《关于加强信息安全保障工作中保密管理的若干意见》。

2005年， 厅字（2005）1号文件《保密委员会办公室、国家保密局关于保密要害部门、部位保密管理规定》

2005年，中办发（2005）6号文件《关于切实做好新形势下涉外和保密工作的意见》。

2006年，国保发（2006）3号文件《关于加强新技术产品使用保密管理的通知》。

技术标准现状

1.1.1等级保护标准

主要标准

《信息系统安全等级保护定级规范》（国标报批稿）；

《信息系统安全等级保护基本要求》（国标报批稿）；

《信息系统安全等级保护实施指南》（国标报批稿）；

《信息系统安全等级保护测评规范》（国标报批稿）；

《电子政务信息安全等级保护实施指南》（试用稿）。

其他相关标准

《计算机信息系统安全保护等级划分准则》（GB 17859-1999）；

《信息系统通用安全技术要求》（GB/T20271）；

《网络基础安全技术要求》（GB/T20270）；

《操作系统安全技术要求》（GB/T20272）；

《数据库管理系统安全技术要求》（GB/T20273）；

《终端计算机系统安全等级技术要求》（GA/T671）；

《信息系统安全管理要求》（GB/T20269）；

《信息系统安全工程管理要求》（GB/T20282）。

1.1.2分级保护标准

《涉及国家秘密的信息系统分级保护技术要求》（BMB17-2006）；

《涉及国家秘密的信息系统工程监理规范》（BMB18-2006）；

《涉及国家秘密的信息系统分级保护管理规范》（BMB20-2007）；

《涉及国家秘密的信息系统分级保护测评指南》（BMB22-2007）；

《涉及国家秘密的信息系统分级保护方案设计指南》（BMB23-2008）。

工作开展现状

1.1.3等级保护的工作推进现状

等级保护的已经正式发布，但实施标准仅是报批稿，还没有正式发布为国家标准。因此等级保护的推广实施工作还未全面正式启动，多数用户在实施等级保护方面还处于观望状态。

等级保护的主要工作包括系统定级、备案、系统建设与整改、等级测评等、定期开展监督检查，用户的目标是在系统定级后，对系统进行安全建设与整改，通过测评来最终达到系统安全等级的基本要求。

系统定级备案工作从07年7月发布了《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）之后，已在全国大力度展开。目前8+2重点行业、重要信息系统大部分已完成定级备案工作。

系统安全整改与测评工作目前还没有正式发文如何操作，因此安全整改和测评工作还没有在全国大范围开展。目前北京基于奥运安全保障的要求，已在部分部委、北京办局、一些重要行业单位开始了部分测评工作。但测评目的是差距测评，找出存在的主要安全问题，并不是等级保护的符合性测评，没有给出测评是否合格的结论。

等级保护目前已开展完成的主要工作如下：

✓2006年1月制定出台了《信息安全等级保护管理办法（试行）》。

✓2006年5月18日组织召开了国家信息安全等级保护工作协调小组第一次会议。

✓制定了等级保护系列技术标准。

✓开展了等级保护基础调查工作。

✓部署开展信息安全等级保护试点工作。

✓出台了新的《信息安全等级保护管理办法》。

✓完成了全国重要信息系统的定级工作与备案工作

✓对部分单位实施了等级测评工作

1.1.4分级保护的工作推进现状

分级保护的和国家标准目前都已经正式颁布实施，因此，分级保护在涉密单位中已经开始全面实施。分级保护已经成为涉密信息系统安全保密建设的唯一依据。

用户在涉密系统的安全建设方面已经没有选择，只要进行安全建设，都必须依照分级保护的要求。

目前分级保护测评机构、测评队伍正在建设中，测评技术力量还不充足。

基本概念

基本含义

信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系、经济命脉、社会稳定等方面的重要信息系统。（中办发27号文）

等级保护思想的核心是明确重点、确保重点，达到适度安全。这在我国信息化程度总体较低、信息化建设资金不足的情况下是非常必要的，国家可以用有限的安全建设资金去保护国家最重要的信息系统，达到“综合平衡安全成本和风险，优化信息安全资源的配置，确保重点”的目标。

信息安全等级保护

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。（公通字66号文）

涉密信息系统分级保护

涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全．（国保发16号文）

定级依据与等级划分

等级保护定级

信息系统的安全保护等级应当根据信息系统在、经济建设、社会生活中的重要程度，信息系统遭到破坏后对、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

涉密信息系统按照所处理信息的最高密级，由低到高划分为秘密级、机密级和绝密级三个等级，其中机密级又分为机密级和机密增强级两档保护要求。

等级保护与分级保护对比表

等级保护整体工作流程

实施过程概述

1.1.5系统定级

信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范，确定信息系统的安全保护等级，使用单位有主管部门的，应当经主管部门审核批准。

信息系统分析，包括系统识别和描述、信息系统划分等方面。

安全保护等级确认，包括定级、审核和批准，形成定级报告。

1.1.6规划设计

总体安全规划设计的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划，以指导后续的信息系统安全建设工程实施。对于已运营（运行）的信息系统，需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。

安全需求分析，包括基本安全需求确定，额外/特殊安全需求确定，形成需求分析报告。

总体安全设计，包括总体安全策略设计，安全技术体系结构设计，整体安全管理体系结构设计，设计结果文档化。

安全方案详细设计，包括技术措施实现内容设计，管理措施实现内容设计，设计结果文档化。

安全建设项目规划，包括安全建设目标确定，安全建设内容规划，形成安全建设项目计划。

1.1.7建设实施

建设实施阶段的目标是按照信息系统安全总体方案的要求，结合信息系统安全建设项目计划，分期分步落实安全措施。

技术措施实施，包括信息安全产品采购，安全控制开发，安全控制集成，系统验收。

管理措施实施，包括管理机构和人员的设置，管理制度的建设和修订，人员安全技能培训，安全实施过程管理。

1.1.8备案检测

等级测评，通过信息安全等级测评机构对已经完成等级保护建设的信息系统定期进行等级测评，确保信息系统的安全保护措施符合相应等级的安全要求。

第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。

监督检查，通过国家管理部门对信息系统定级、规划设计、建设实施和运行管理等过程进行监督检查，确保其符合信息系统安全保护相应等级的要求。

1.1.9运维管理

安全运维管理是等级保护实施过程中确保信息系统正常运行的必要环节，涉及的内容较多，包括安全运行与维护机构和安全运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，安全状态监控和安全事件处置，安全审计和安全检查等内容。

运维管理和控制，包括运行管理职责确定，运行管理过程控制。

变更管理和控制，包括变更需求和影响分析，变更过程控制。

安全状态监控，包括监控对象确定，监控对象状态信息收集，监控状态分析和报告。

安全事件处置和应急预案，包括安全事件分级，应急预案制定，安全事件处置。

安全检查和持续改进，包括安全状态检查，改进方案制定，安全改进实施。

1.1.10系统废止

信息系统终止阶段是等级保护实施过程中的最后环节，当信息系统被转移、终止或废弃时，正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。

信息转移、暂存和清除，在信息系统终止处理过程中，对于可能会在另外的信息系统中使用的信息采取适当的方法将其安全地转移或暂存到可以恢复的介质中，确保将来可以继续使用，同时采用安全的方法清除要终止的信息系统中的信息。

设备迁移或废弃，确保信息系统终止后，迁移或废弃的设备内不包括敏感信息，对设备的处理方式应符合国家相关部门的要求。

存储介质的清除或销毁，采用合理的方式对计算机介质（包括磁带、磁盘、打印结果和文档）进行信息清除或销毁处理，防止介质内的敏感信息泄露。

等级保护各相关方的职责划分

等级保护实施工程所涉及的主管部门与协作单位

协调单位

用户等级保护的实施要求

分级保护整体工作流程

实施过程概述

1.1.11系统定级

依据《保密法》密级范围的规定，本单位、各部门组织开展对所属信息系统摸底调查工作。按照涉密信息系统所处理信息的最高密级，由低到高划分为秘密、机密和绝密三个等级。

识别信息系统

调查信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责、系统管理、使用、运维的责任部门确定业务流、数据流。

明确系统定级

依据业务流所产生信息明确最高密级。

确定系统保护级别

根据本单位信息的最高密级，依据BMB-17确定系统的保护等级。并整理定级资料上报保密部门审批

1.1.12方案设计

选择建设方

选择具备国家涉密资质的建设方设计信息系统安全保障体系。

系统风险评估

在体系规划前根据方案设计要素制定详细调研、评估实施计划，识别用户系统存在的脆弱性、风险。

确定保护要求

根据可识别风险结合客户实际需求，确定最终保护要求。

规划设计方案

结合风险评估数据和客户保护需求，并依据分级保护方案设计指南（BMB-23）规划设计信息系统安全保障体系。

设计方案论证

上报信息系统安全保障体系详细设计方案到保密部门，并组织评审专家做一次论证。

1.1.13工程实施

制定保密制度

项目实施前根据工程具体情况制定涉密管理制度，严格对人员、设备、计划实行保密控制。

选择项目监理

项目实施前选择具有单项监理资质的单位对工程保密、质量、进度、成本进行控制。

选择产品集成

项目实施中产品集成方应具有涉密资质，所有选购的安全产品应符合保密要求。

1.1.14系统测评

提交保密测评申请

工程实施结束后向保密部门提出系统测评申请，由国家保密部门授权的系统测评机构组织对涉密信息系统进行安全性测评，为一次测评为系统最终审批提供依据。

提交系统测评资料

根据国家保密部门授权的系统测评机构要求提供所有测评必要的资料。

1.1.15系统审批

提交运行前审批申请

涉密信息系统在上线运行前需要向保密部门提出系统运行审批申请，并组织最终审批结论专家做论证。

提交系统审批资料

根据国家保密部门所属审批单位范围向授权的系统测评机构要求提供所有审批必要的资料。

1.1.16日常管理

制定安全保密管理制度

涉密信息系统上线运行后，根据分级保护管理规范制定管理策略、组建管理机构，设置专职保密管理人员并监督制定的执行。

定期风险自查

涉密信息系统上线运行后，根据使用单位具体情况进行定期或不定期风险自评估工作，及时对系统运行、技术、管理新出现的安全威胁制定安全策略与补充措施，并严格管理评估数据。

动态调整安全防护技术

涉密信息系统上线运行后，根据使用单位系统更新情况与风险自评估数据及时发现存在的风险，并动态调整安全策略适时补充完善技术、管理的措施。

1.1.17测评与检查

涉密信息系统保密测评与检查

涉密信息系统上线运行后，根据国家保密部门要求秘密、机密级信息系统每两年进行一次安全保密检查，绝密级信息系统每一年进行一次安全保密检查。

信息系统环境或应用发生重大改变时，重新上报设计方案进行论证，并重新保密测评，检测系统的安全保密措施的有效性和环境变化的适应性，发现隐患及时采取相应的补充保护措施。

1.1.18系统废止

提交系统废止备案申请

涉密信息系统不再使用时，使用单位向保密工作部门提交系统废止申请备案。

退密处理设备、产品

依据保密规定对涉密设备、产品妥善退密处理。

销毁涉密介质

对报废处理的涉密介质采用保密局统一规定使用的销毁软件工具，确保泄密事件不发生。

分级保护各相关方的职责划分

分级保护实施工程所涉及的主管部门与协作单位

协调单位

用户分级保护的实施要求

等级保护FAQ

1.1.19等级保护与分级保护各分为几个等级，对应关系是什么？

等级保护分5个级别：第一级（自主保护）、第二级（指导保护）、第三级（监督保护）、第四级（强制保护）、第五级（专控保护）。

分级保护分3个级别：秘密级、机密级（机密增强级）、绝密级。

分级保护与等级保护对应关系：秘密级对应三级、机密级对应四级、绝密级对应五级。

1.1.20等级保护的重要信息系统有哪些？

电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

市（地）级以上党政机关的重要网站和办公信息系统。

涉及国家秘密的信息系统。

1.1.21等级保护的主管部门是谁？

机关是等级保护工作的主管部门，负责信息安全等级保护工作的监督、检查、指导，国家保密工作部门、国家密码管理部门负责等级保护工作中有关保密工作和密码工作的监督、检查、指导，国信办及地方信息化领导小组办事机构负责等级保护工作部门间的协调，涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责。

1.1.22国家密码管理部门在等级保护/分级保护工作中的职责是什么？

国家密码管理部门负责等级保护/分级保护工作中有关保密工作和密码工作的监督、检查、指导。

1.1.23等级保护的依据是哪个文件？

《中华人民共和国计算机信息系统安全保护条例》（147号令，1994年）；

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；

《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；

《信息安全等级保护管理办法》（公通字[2007]43号）；

《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）。

1.1.24机关对等级保护的管理模式是什么，等级保护定级到哪里备案？

机关负责受理备案并进行备案管理。信息系统备案后，机关对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的，通知备案单位予以纠正。发现定级不准的，通知运营使用单位或其主管部门重新审核确定。

已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上机关办理备案手续。

新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上机关办理备案手续。

注：北京市各部委上报北京测评中心备案。

1.1.25等级保护是否是强制性的？

国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在、经济建设、社会生活中的重要程度，信息系统遭到破坏后对、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

2级以上信息系统运营、使用单位依据《信息安全等级保护管理办法》和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

备案后3级系统每年进行一次监督检查，4级每半年进行一次监督检查。

1.1.26等级保护的主要标准有哪些，是否已发布为正式的国家标准？

《信息系统安全等级保护定级规范》（国标报批稿）；

《信息系统安全等级保护基本要求》（国标报批稿）；

《信息系统安全等级保护实施指南》（国标报批稿）；

《信息系统安全等级保护测评规范》（国标报批稿）；

《信息安全等级保护实施指南》（试用稿）；

《计算机信息系统安全保护等级划分准则》（GB 17859-1999）。

目前只有17859通过国家标准其它标准为国标报批稿或试用稿。

1.1.27哪些单位可以做等级保护的测评？

第三级以上信息系统等级保护测评机构应符合下列条件：

在中华人民共和国境内注册成立（港澳台地区除外）；

由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；

从事相关检测评估工作两年以上，无违法记录；

工作人员仅限于中国公民；

法人及主要业务、技术人员无犯罪记录；

使用的技术装备、设施应当符合本办法对信息安全产品的要求； 

具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

对、社会秩序、公共利益不构成威胁。

目前只有一所、三所等级保护评估中心和北京测评中心负责具体测评工作。

1.1.28做了等级测评之后，是否会给发合格证书？

目前，机关只对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全等级保护备案证明，发现不符合有关标准的，通知备案单位予以纠正，发现定级不准的，通知备案单位重新审核确定。没有发测评合格证书。

分级保护FAQ

1.1.29分级保护的主管部门是谁？

国家保密工作部门（国家保密局、各省保密局、各地市保密局）。

1.1.30分级保护定级到哪里备案？

涉密信息系统建设使用单位将涉密信息系统定级和建设使用情况，上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案，并接受保密部门的监督、检查、指导。

1.1.31分级保护的依据是哪个文件？

《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号）。

1.1.32分级保护与等级保护的适用对象分别是什么？

等级保护定级是依据重要业务系统与承载业务运行的网络、设备、系统及单位属性、遭到破坏后所影响的主、客体关系等。

分级保护定级是依据信息的重要性，以信息最高密级确定受保护的级别。

1.1.34分级保护的建设依据、方案设计、测评分别依据哪些标准？

BMB23是把BMB17、BMB20技术与管理实施落地的建设与设计依据，BMB22为系统上线前和系统变更中的测评依据。

1.1.35分级保护设计方案是否需要经过评审和审批，谁来评审和审批？

涉密信息系统建设使用单位应对系统设计方案进行审查论证，保密工作 部门应当参与方案审查论证，在系统总体安全保密性方面加强指导，严格把关。

1.1.36涉密信息系统投入使用前，是否需要经过审批，由谁来审批？

涉密信息系统投入使用前，必须经过审批。未经保密工作部门的审批，涉密信息系统不得投入使用。

审批单位：

国家保密局：负责审批和国家机关各部委及其所属单位、国防武器装备科研生产一级保密资格单位的涉密信息系统；

省（自治区、直辖市）保密局：负责审批省及机关及其所属单位、国防武器科研生产二、三级保密资格单位的涉密信息系统；

市（地）级保密局：负责审批市（地）直机关及其所属单位、县直机关所属单位的涉密信息系统。

1.1.37分级保护系统测评的作用是什么，是否必须做？

涉密系统的分级保护测评是全面地验证所采取的安全保密措施能否满足安全保密需求和安全目标，为涉密信息系统审批提供依据。

系统测评是系统审批的必要环节。没有经过测评，涉密信息系统将无法通过投入运行的审批。

1.1.38哪些单位可以做分级保护的测评，有什么资质要求？

目前，国家保密工作部门及国家保密局授权的系统测评机构负责测评。主要包括国家保密局测评中心、及其在各省的分中心。

1.1.39分级保护对涉密系统中使用的安全保密产品有哪些要求？

涉密信息系统中使用的安全保密产品应选用国产设备。安全保密产品应通过国家相关主管部门授权的测评机构的检测。

计算机病毒防护产品应获得机关批准；

密码产品应获得国家密码管理部门批准；

其他安全保密产品如身份鉴别、访问控制、安全审计、入侵检测和电磁泄漏发射防护等产品应获得国家保密工作部门批准。通过检测的产品由国家保密局审核发布目录。

1.1.40涉密系统分级保护多长时间需进行一次安全保密检查？

涉密信息系统投入运行后的安全保密测评，由负责该系统审批的保密工作部门组织系统评测机构进行，以检验系统安全保密措施的有效性和对环境变化的适应性。

秘密级、机密级信息系统：应每两年至少进行一次安全保密测评或保密检查；

绝密级信息系统：应每年至少进行一次安全保密测评或保密检查。

1.1.41各级保密局与各单位保密办的关系是什么？

各级保密局：国家保密工作部门，负责监督、检查、指导；

各单位保密办：保密工作机构，负责具体实施。

1.1.42分级保护的系统集成对厂商的资质有什么要求？

甲级资质单位可在全国范围内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。

乙级资质单位可在所限定的行政区域内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承接的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。

单项资质单位可在全国范围内承接所规定的单项业务。取得某一单项资质的单位如需从事其它单项业务，必须申请相应的单项资质。

1.1.43分级保护的安全建设是否必须监理，对监理资质有什么要求？

在系统建设进行时，应选择具有涉密工程监理单项资质的单位或组织自身力量依据BMB18-2006的要求在安全保密控制、质量控制、进度控制、成本控制、合同管理和文档管理六个方面加强监督检查。

1.1.44分级保护的哪些具体工作对厂商有单项资质的要求？

单项业务（全国，仅限所批准业务）包括：军工、软件开发、综合布线、系统服务、系统咨询、风险评估、工程监理、数据恢复、屏蔽室建设、保密安防监控。