在涉密信息系统监管方面需要遵循哪些原则
在涉密信息系统监管方面需要遵循以下原则:
领导重视,建立机制原则:涉密信息系统分级保护工作是一项复杂的系统工程,涉及单位内部的保密、信息化、业务工作、密码、保卫和人事等部门。各相关部门只有密切合作、统筹实施,才能保障整个工作的顺利进行。这就要求涉密信息系统的建设使用单位领导高度重视此项工作,组建强有力的领导班子,建立起确保措施到位、人员到位、资金到位的分级保护工作组织保障体系,形成强有力的工作机制。
把握方法,遵循流程原则:涉密信息系统分级保护工作包括系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查和系统废止八个环节,贯穿于涉密信息系统的整个生命周期之中,是对涉密信息系统进行的全过程保密管理。因此,涉密信息系统建设使用单位应该按照“规范定密,准确定级;依照标准,同步建设;突出重点,确保核心;明确责任,加强监督”的原则,遵循分级保护工作的基本流程,突出重点环节,强化过程管理。
了解政策,掌握标准原则:涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护。因此,涉密信息系统建设使用单位必须充分了解分级保护工作方面的政策要求,并熟练掌握和运用涉密信息系统分级保护的标准。
合理分域,准确定级原则:涉密信息系统分级保护是以系统所处理信息的最高密级来确定安全等级的,在合理划分安全域边界安全可控的情况下,各安全域可根据涉密等级单独定级,实施“分域分级防护”的策略,从而降低系统建设成本和管理风险。
把握关键,确保安全原则:涉密信息系统分级保护就是要从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,突出重点,确保国家秘密的安全。在方案设计和工程实施中,应解决好以下关键技术与管理措施:安全保密产品选择;物理隔离与违规外联监控;安全域边界防护与控制;身份鉴别与访问控制;密级标识与密码保护措施;电磁泄漏发射防护;系统安全保密管理。