武器装备科研生产单位保密资格标准信息系统、信息设备和存储设备管理涉密信息系统应当由国家保密行政管理部门设立或者授权的保密测评机构进行系统测评或者风险评估,并经省、自治区、直辖市以上保密行政管理部门审查合格,取得《涉及国家秘密的信息系统使用许可证》。许可证涉及事项发生变化时,应当按照有关规定及时报告。申请系统测评或者风险评估的拓扑结构应当与网络实际情况一致。
【注释】
1.涉密信息系统是指由计算机及其相关和配套设施、设备构成的,按照一定应用目标和规则存储、处理、传输国家秘密信息的系统或者网络。涉密信息系统应当按照现行BMB23-2008《涉及国家秘密的信息系统分级保护方案设计指南》进行设计和建设,配备符合国家保密标准要求的设施、设备;同时,满足现行BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》等国家保密法规和标准要求。
2.根据《涉及国家秘密的信息系统审批管理规定》,涉密信息系统建设完成后,应当通过国家保密行政管理部门设立或者授权的保密测评机构进行测评,取得国家保密行政管理部门颁发的《涉及国家秘密的信息系统使用许可证》后,方可投入涉密运行。
3.取得使用许可证投入涉密运行的涉密信息系统,每两年应通过国家保密行政管理部门设立或者授权的保密测评机构组织的风险评估,继续取得国家保密行政管理部门换发的《涉及国家秘密的信息系统使用许可证》。
4.涉密信息系统的拓扑结构、安全机制、应用系统,应当在系统测评或者风险评估时如实申报。涉密信息系统中的应用系统无论是否涉密,在申请系统测评或者风险评估时都应当如实申报。通过测评(风险评估)后,列入《涉及国家秘密的信息系统使用许可证》中的应用系统,允许使用。
5.涉密信息系统使用许可证涉及事项发生重大变化时,例如:系统整体搬迁或延伸到新的建筑物中、系统的体系结构或拓扑结构或安全域划分等发生变化、网络规模(布线点和用户终端)增加或缩减大于30%、特殊设备或者信息系统的接入、与其他信息系统互联、采用虚拟化技术等,应当向上级主管单位(没有上级主管单位的,报当地保密行政管理部门)和国家保密行政管理部门设立或者授权的测评机构及时报告,重新申请测评或者风险评估,通过后继续取得国家保密行政管理部门换发的《涉及国家秘密的信息系统使用许可证》。
6.涉密信息系统中的应用系统名称与《涉及国家秘密的信息系统使用许可证》批准的内容不一致时,如果实际的应用系统已经涉密且不再系统评测(风险评估)申请书的应用系统清单中,应当判定为未经测评或者风险评估,违规运行。建设使用单位应及时门报告,并提出新增应用系统单项检测申请,测评机构未及时安排测评的,不判定违规。
7.不得将安防监控(涉密科研生产现场的监控系统应当单独建立,并由涉密人员实施管理和监控,不在此列)、消防等信息系统(或网络)联入涉密信息系统。
8.单位递交《申请书》时,应当在《申请书》中说明本单位涉密信息系统中全部应用系统的使用许可审批情况。现场审查时,应当查验《涉及国家秘密的信息系统使用许可证》原件,核对涉密信息系统中的每个应用系统,对不符合的单位按照相关条款扣分,或者中止审查或复查。
9.未建立涉密信息系统的单位,《申请书》中应当说明“本单位没有建设涉密信息系统,采用单台计算机处理涉密信息”。单台涉密计算机及其配套的外部设备、存储设备的配备和使用,应当符合国家相关保密法规和标准要求。
10.涉密信息系统应当具备完整的拓扑结构图,拓扑结构图应当包含从核心、汇聚到楼层接入交换机(楼层接入交换机可以部分省略)的全部设备,包括但不限于所有的服务器、安全保密产品、备份存储设备等,以及网络连接的线路和对应的IP地址,并且注明每一个安全域的边界。拓扑结构图应当与涉密信息系统(网络)实际部署情况一致。
