涉密信息系统

涉密信息系统建设管理 涉密信息系统“三员”是指系统管理员、安全保密管理员和安全审计员。系统管理员主要负责系统的日常运行维护工作；安全保密管理员主要负责系统的日常安全保密管理工作，包括用户账号管理以及安全保密设备和系统所产生日志的审查分析；安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计、跟踪、分析和监督检查，以及时发现违规行为，并定期向安全保密管理机构汇报相关情况。“三员”权限设置应相互独立，相互制约，相互之间不得兼任或者替代。 [6] 涉密信息系统“三员”应具备信息安全保密知识和业务技能，认真履行岗位职责，积极完成与职责相关的工作，按照有关保密标准的要求建立健全工作记录和日志文档，并妥善保存；“三员”应掌握常见安全产品的适用方法和技术手段，熟悉数据库、操作系统、网络设备和应用系统的安全知识和技术防护措施；“三员”应当定期接受管理和业务方面的集中培训，熟练掌握国家保密法规和标准要求，不断提高技术技能和管理水平。 [6] 管理改进 1、根据实际工作需要足额配备“三员” “三员”应当设置独立的工作权限，实现相互监督、相互制约，相互之间不得兼任或者替代；单位“三员”应该设立A、B角，互为备份；单位应该按照最大化原则配备“三员”以满足日常运维工作；无涉密信息系统仅使用涉密计算机的单位，应当配备安全保密管理员。 2、扎实做好“三员”上岗前及上岗后的技能培训 “三员

什么是涉密信息系统？ 涉密信息系统，是指由 计算机 及其相关和配套设备、设施构成的，按照一定的应用目标和规则存储、处理、传输国家秘密信息的系统或者网络。 涉密信息系统主要指用于处理涉密信息的计算机设备或者用于实现内部办公自动化的涉密信息交换网络体系。通常情况下涉密信息系统是指有着一定安全保密需要和要求的计算机系统，按照国家强制性标准和规定，达到一定安全等级的计算机系统被称之为涉密信息系统。 简而言之，一个计算机信息系统是否具备涉密属性，能够称之为涉密信息系统，主要是看这个计算机系统里面的信息是不是涉及到国家秘密，涉密信息的数量多与少不论，只要存储或者处理、传输了涉密信息，那么这个信息系统就应确定为涉密信息系统。从这个概念出发，可以看出并不是所有涉密信息系统都是较高安全等级的计算机信息系统，也不是所有安全等级的计算机信息系统都是涉密信息系统。随着商业竞争的越发激烈，目前，一些企业为保障其商业信息安全，采取了非常多的安全保密措施，引进了信息安全保密技术和设备，这些企业信息安全管理的等级非常高，但这些企业内部的信息系统，并不是涉密信息系统。通常的涉密信息系统都是党政机关内部使用的计算机系统，只要计算机系统当中运行或者存储、处理、传输了国家秘密信息，那么这个系统就是涉密信息系统，不论其信息等级高低，只要涉密，都应被称之为涉密信息系统，进而能够实现更为规范的管理，实现安全可控。

涉密信息系统建设管理 涉密信息系统“三员”是指系统管理员、安全保密管理员和安全审计员。系统管理员主要负责系统的日常运行维护工作；安全保密管理员主要负责系统的日常安全保密管理工作，包括用户账号管理以及安全保密设备和系统所产生日志的审查分析；安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计、跟踪、分析和监督检查，以及时发现违规行为，并定期向安全保密管理机构汇报相关情况。“三员”权限设置应相互独立，相互制约，相互之间不得兼任或者替代。 [6] 涉密信息系统“三员”应具备信息安全保密知识和业务技能，认真履行岗位职责，积极完成与职责相关的工作，按照有关保密标准的要求建立健全工作记录和日志文档，并妥善保存；“三员”应掌握常见安全产品的适用方法和技术手段，熟悉数据库、操作系统、网络设备和应用系统的安全知识和技术防护措施；“三员”应当定期接受管理和业务方面的集中培训，熟练掌握国家保密法规和标准要求，不断提高技术技能和管理水平。 管理改进 1、根据实际工作需要足额配备“三员” “三员”应当设置独立的工作权限，实现相互监督、相互制约，相互之间不得兼任或者替代；单位“三员”应该设立A、B角，互为备份；单位应该按照最大化原则配备“三员”以满足日常运维工作；无涉密信息系统仅使用涉密计算机的单位，应当配备安全保密管理员。 2、扎实做好“三员”上岗前及上岗后的技能培训 “三员

等级保护 　　《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级： 　　　　第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 　　　　第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。 　　　　第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。 　　　　第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。 　　　　第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务特殊需求进行保护

系统设计的三员管理 一、“三员”职责 系统管理员：主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理；网络和系统的用户增加或删除；网络和系统的数据备份、运行日志审查和运行情况监控；应急条件下的安全恢复。 安全保密管理员：主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销；用户操作行为的安全设计；安全保密设备管理；系统安全事件的审计、分析和处理；应急条件下的安全恢复。 安全审计员：主要负责对系统管理员和安全保密员的操作行为进行审计跟踪、分析和监督检查，及时发现违规行为，并定期向系统安全保密管理机构汇报情况。 二、“三员”配置要求 1、系统管理员、安全保密管理员和安全审计员不能以其他用户身份登录系统;不能查看和修改任何业务数据库中的信息；不能增删改日志内容。 2、涉密信息系统三员应由本单位内部人员担任，要求政治上可靠，熟悉涉密信息系统管理操作流程，具有较强的责任意识和风险防控意识；并签署保密承诺书。 3、系统管理人员和安全保密管理人员可由信息化部门专业技术人员担任，对于业务性较强的涉密信息系统可由相关业务部门担任；安全审计员根据工作需要由保密部门或其他能胜任安全审计员工作的人员担任。 4、同一设备或系统的系统管理员和安全审计员不能由同一人兼任