|
|
|
|
|
当前位置 - 首页 > 中心简介 >
涉密信息测评中心
|
|
2005年4月18日,北京信息安全测评中心经国家保密局涉密信息系统安全保密测评中心和北京市国家保密局审批和授权,正式成立了“国家保密局涉密信息系统安全保密测评中心系统测评(北京市)分中心”(以下简称“北京分中心”),从事北京地区涉密信息系统的安全保密测评工作。北京分中心接受北京市国家保密局和国家保密局测评中心下达的涉密信息系统测评任务。
涉密信息系统测评是依据国家保密标准,从风险评估的角度,运用科学的分析方法和有效的技术手段,通过对涉密信息系统所面临的威胁及其存在的脆弱性进行分析,发现系统存在的安全保密隐患和风险,同时提出有针对性的防护策略和保障措施,为国家保密工作部门对涉密信息系统的行政审批提供科学的依据。
北京分中心工作职责:
北京分中心受国家保密局涉密信息系统安全保密测评中心和北京市国家保密局的双重领导。
北京分中心负责完成北京市国家保密局下达的涉密系统测评任务,为北京市国家保密局对涉密信息系统的审批和管理提供服务。
北京分中心积极配合国家保密局涉密信息系统安全保密测评中心完成全国广域网涉密信息系统安全保密测评的相关任务。
涉密信息系统测评实施方法:
涉密信息系统测评工作依据国家保密标准,在采用定量计算和定性分析相结合的方法,并充分考虑专家评估意见的基础上,给出被测系统科学、公正、合理的测评结论。在现场检测过程中,采用技术测试与问询核查交叉进行的方式完成现场检测过程。现场技术检测主要涵盖四个方面的内容:操作系统、数据库和网络安全漏洞分析、用户终端和服务器安全保密策略配置检查、应用系统安全性分析和电磁泄漏发射防护检测等。问询核查主要完成物理安全、运行安全和安全保密管理方面的检查核实工作。
涉密信息系统测评工作流程:
涉密信息系统安全保密测评系统测评(北京市)分中心对涉密信息系统的测评工作分为以下9个阶段:资料审查、现场考察、签署合同、制定测评方案、现场检测、出具《检测报告》、专家评估、出具《检测评估报告》、将《检测评估报告》一式五份报国家保密局涉密信息系统安全保密测评中心审核。
1) 测评流程:
2) 依据标准:
BMB22-2007《涉及国家秘密的信息系统分级保护测评指南》
BMB5-2000 《涉密信息设备使用现场的电磁泄漏发射防护要求》
BMB2-1998 《使用现场的信息设备电磁泄漏发射检查测试方法和安全判据》
BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》
BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》 |
|
|
|
