涉密信息系统建设管理要点有哪些

涉密信息系统建设管理要点有以下这些：

• 详细分工，明确责任：在实施涉密信息系统分级保护工作时，信息化主管部门具体承担组织工作。应充分利用熟悉技术的特点，按照分级保护技术要求和管理规范，组织设计符合保密要求的分级保护方案。建设单位的保密委员会应对总体方案进行监督、检查和指导，组织专家进行评审论证。

• 加强信息化主管部门和保密主管部门的沟通协调：涉密信息系统分级保护工作涉及多个主管部门：在信息技术方面，要与信息化主管部门多沟通，由其提出前瞻性、指导性的意见和方案，争取信息技术方面的支持和指导；在安全保密方面，应多与保密主管部门沟通，争取整个工程实施中的监督和检查。通过多个部门的通力配合，确保工程实施的规范和标准。

• 项目引入工程监理、信息安全风险评估机制：按照《涉及国家秘密的信息系统工程规范》BMB18-2006、《涉及国家秘密的信息系统分级保护技术要求》BMB17-2006等涉密技术标准和国家法律法规及相关的国家标准规范，选择具有国家保密局批准的涉密信息系统集成监理资质、信息产业部信息系统工程监理资质单位承担项目监理工作，在项目招标阶段、设计阶段、施工阶段、验收阶段等全过程进行质量控制、进度控制、投资控制、合同及信息管理，组织协调等监理工作。按照国家标准GB/T20984—2007《信息安全技术信息系统风险评估规范》及相关技术标准，由专业风险评估机构信息安全工程师，对项目方案进行风险评估，对项目方案中所提供的安全功能符合性进行客观判断，同时对方案中设计的信息系统的风险接受程度进行评估，科学、客观的评价项目方案存在的风险和威胁，为涉密信息系统分级保护方案的设计提供依据。

• 项目实行方案论证制度：在调研的基础上，项目实行方案形成初稿后，分别由项目监理人员与信息安全风险评估人员，对方案评审，并依据评审意见进行多次修订。最后组织专家对方案进行技术可行性和安全保密可行性论证，确保项目的成功实施。

• 日常运行维护规范化：为保证涉密信息系统的安全保密运行，保密委员会要联合技术管理部门进行定期检查。通过安全检查和持续改进，不断跟踪涉密信息系统的变化，并依据变化进行调整，确保涉密信息系统满足相应分级的安全要求，并处于良好安全状态。通过运行管理和控制、变更管理和控制，对安全状态进行监控，对发生的安全事件及时响应，对系统的运行维护流程进行规范，从而确保涉密信息系统正常运行。在安全运行及维护阶段，当局部调整导致安全措施变化时，在不影响系统安全分级的前提下，可直接转入工程实施阶段，重新调整和实施安全措施，确保满足分级保护的要求；当发生重大变更影响系统的安全分级时，应直接转入系统定级阶段，重新开始一次分级保护实施过程。