Plan de gestión de confidencialidad de la información del cliente
Artículo 24
Los sistemas de información confidencial se basarán en los requisitos básicos para la protección jerárquica de la seguridad de la información nacional y de conformidad con las normas de gestión y las normas de protección jerárquica del trabajo nacional de confidencialidad. departamento sobre sistemas de información confidencial normas técnicas, combinado con la situación real del sistema de protección.
Los sistemas de información no confidenciales no manejarán información secreta de estado, etc.
Artículo 25
Los sistemas de información confidencial se dividen en tres niveles de menor a mayor: secreto, secreto y máximo secreto, según el mayor nivel de confidencialidad de la información procesada.
Las unidades que construyan y utilicen sistemas de información confidencial deberán, sobre la base de los estándares y clasificación de la información, de conformidad con las Medidas para la Gestión de la Protección de los Sistemas de Información Clasificada y la Norma Nacional de Confidencialidad BMB17-2006 " Protección clasificada de sistemas de información informática que involucran secretos de estado Los "Requisitos técnicos" determinan el nivel del sistema. Para sistemas de información confidencial que contienen múltiples dominios de seguridad, el nivel de protección se puede determinar por separado para cada dominio de seguridad.
Los departamentos e instituciones de confidencialidad deben supervisar y guiar a las unidades que construyen y utilizan sistemas de información confidencial para calificar el sistema de manera precisa y razonable.
Artículo 26
Las unidades que construyan y utilicen sistemas de información confidencial deberán informar oportunamente sobre la clasificación, construcción y uso de los sistemas de información confidencial a la organización de trabajo de confidencialidad y a la persona responsable de la Departamento comercial a cargo. Registros del departamento de trabajo confidencial aprobados por el sistema y aceptar la supervisión, inspección y orientación del departamento confidencial.
Artículo 27
Las unidades que construyan y utilicen sistemas de información confidencial seleccionarán unidades con cualificación de integración para emprender o participar en el diseño e implementación de sistemas de información confidencial.
Las unidades que construyen y utilizan sistemas de información confidencial deberán diseñar planes e implementar protección jerárquica de acuerdo con las especificaciones de gestión de protección jerárquica y normas técnicas para sistemas de información confidencial, de acuerdo con los diferentes requisitos de secreto, confidencialidad y niveles de alto secreto y, según las condiciones reales del sistema, su nivel de protección generalmente no es inferior al tercer, cuarto y quinto nivel de protección del nivel de seguridad de la información nacional.
Artículo 28
En principio, los productos de seguridad y confidencialidad de la información utilizados en los sistemas de información confidencial deben ser productos nacionales y deben pasar una agencia de pruebas autorizada por la Administración Estatal del Secreto de conformidad con las normas nacionales de confidencialidad pertinentes. Las pruebas se llevan a cabo de acuerdo con las normas, y la Oficina de Seguridad del Estado revisa y publica en catálogos los productos que pasan las pruebas.
Artículo 29
Después de la implementación del proyecto del sistema, la unidad que construye y utiliza sistemas de información confidencial deberá presentar una solicitud al departamento de confidencialidad para una agencia de evaluación del sistema autorizada por el Estado. Administración del Secreto De conformidad con la norma nacional de confidencialidad BMB22-2007 "Directrices para la evaluación y evaluación de la protección clasificada de sistemas de información informática que involucran secretos de estado", se realizan evaluaciones de seguridad y confidencialidad de los sistemas de información confidencial.
Antes de poner en uso el sistema, la unidad que construye y utiliza sistemas de información confidencial deberá solicitar la aprobación del sistema al departamento de trabajo de confidencialidad en o por encima del nivel municipal distrital para la aprobación del sistema de acuerdo con el "Reglamento sobre la aprobación y gestión de sistemas de información que involucran secretos de Estado". El sistema de información confidencial sólo puede ponerse en funcionamiento después de haber sido aprobado. Para los sistemas de información confidencial que se han puesto en uso, las unidades de construcción y uso deberán registrarse en el departamento de confidencialidad después de completar la rectificación del sistema de acuerdo con los requisitos de protección jerárquica.
Artículo 30
Al solicitar la aprobación o presentación del sistema, las unidades que construyan y utilicen sistemas de información confidencial deberán presentar los siguientes materiales:
(1) Diseño del sistema, plan de implementación y opiniones de revisión y demostración;
(2) Materiales de certificación de calificación de la unidad de construcción del sistema;
(3) Informe de estado de supervisión del proyecto y construcción del sistema;
(4) Informe de evaluación y prueba de seguridad y confidencialidad del sistema;
(5) Estructura organizativa y sistema de gestión de seguridad y confidencialidad del sistema;
(6) Otros materiales relevantes.
Artículo 31
Cuando cambien el nivel de confidencialidad, el rango de conexión, las instalaciones ambientales, las aplicaciones principales y las unidades responsables de la gestión de seguridad y confidencialidad de un sistema de información confidencial, su construcción y unidades de usuario deberán Informar oportunamente al departamento de confidencialidad responsable de su aprobación. El departamento de confidencialidad decidirá si lo reevaluará y aprobará en función de la situación real.
Artículo 32
Las unidades que construyan y utilicen sistemas de información confidencial deberán fortalecer la confidencialidad de acuerdo con la norma nacional de confidencialidad BMB20-2007 “Normas para la Protección y Gestión Jerárquica de los Sistemas de Información que Involucran al Estado”. Secretos" Gestión de la confidencialidad en el funcionamiento de los sistemas de información, evaluación periódica de riesgos y eliminación de peligros ocultos y lagunas en la confidencialidad.
Artículo 33
Los departamentos de confidencialidad nacionales y locales de todos los niveles supervisarán y gestionarán la protección jerárquica de los sistemas de información confidencial en varias regiones y departamentos de conformidad con la ley, y harán lo siguiente trabajar bien:
(1) Orientar, supervisar e inspeccionar el desarrollo del trabajo de protección jerárquica;
(2) Orientar la construcción y uso de unidades de sistemas de información confidencial para estandarizar la clasificación de la información y determinar razonablemente el nivel de protección del sistema;
(3) Participar en la demostración de planes de protección jerárquica para sistemas de información confidencial y guiar a las unidades de construcción y de usuario para realizar la planificación y el diseño simultáneos de instalaciones confidenciales;
(4) Proteger los sistemas de información confidencial de acuerdo con la ley Integrar unidades calificadas para la supervisión y gestión;
(5) Realizar estrictamente el trabajo de evaluación y aprobación del sistema, supervisar e inspeccionar la implementación de la gestión de protección jerárquica sistemas y medidas técnicas para las unidades que construyen y utilizan sistemas de información confidencial;
(6) Fortalecer la supervisión e inspección de la confidencialidad en el funcionamiento de los sistemas de información confidencial. Realizar una inspección de confidencialidad o una evaluación del sistema al menos una vez cada dos años para los sistemas de información de nivel secreto y secreto, y realizar una inspección de confidencialidad o una evaluación del sistema al menos una vez al año para los sistemas de información de nivel ultrasecreto;
(7) Comprender y dominar todos los niveles de los sistemas de información Gestión y uso de sistemas de información clasificada, y descubrimiento e investigación oportunos de diversas infracciones y filtraciones.
Lectura ampliada: Cómo contratar un seguro, cuál es mejor e instrucciones paso a paso para evitar estos "escollos" de los seguros