浅谈商密信息系统的定级与测评

  [中国石油新闻中心2022-11-15]
  中国石油集团公司综合管理部文电处（保密处）副处长李勇
  信息化时代，线上办公、远程办公、云端办公不断普及，线上文件流转也越来越频繁，信息系统的作用日益凸显。数字办公既提升了工作效率，又推动了业务模式的创新，却不可避免地带来了新威胁和新风险。商业秘密在流程中流转，在打开、调用、存储或归档文件，甚至是销毁文件等环节中，由于场景复杂、涉及用户多、暴露面广，存在着无法估量的风险。作为企业的重要无形资产，商业秘密的安全问题是央企的头等大事。加强商业秘密保护不仅可以维护央企的自身利益，更与国有资产能否保值和增值息息相关。
  商密信息系统是商业秘密数据合规传输的重要手段。集团公司依据国资委印发的商业秘密保护技术指引，结合自身实际情况，印发《集团公司网络保密管理办法》，明确规定存储处理传输商业秘密的信息系统应确定为商密信息系统，实行分类分级保护。根据系统中承载信息的最高密级，商密信息系统分为非涉密信息系统和商密信息系统两类，其中商密信息系统分为核心商密信息系统（可承载商密信息的最高密级为核心商密）和普通商密信息系统（可承载商密信息的最高密级为普通商密）两级。不同类别、不同密级的信息系统，采取不同级别的技术防范措施和管理要求。商密信息系统的建设和保护流程及技术规范遵循《信息系统商业秘密安全保护技术规范》（Q/SY10008-2017）。
  商密信息系统是商业秘密合规管理的重要体现。合规是企业可持续发展的重要基础，是畅行天下的“通行证”和“保险绳”。保密与信息化既互相制约，又互相促进。商密信息系统的建设，是确保信息化合规开展的保障。目前，商密信息系统的定级和测评主要通过以下步骤实现：
  一是系统定级。信息系统批复建设前即应予以确定，此时系统尚未具备存储处理传输商密信息的能力。未处理传输商密信息的商密信息系统自身不涉密。
  二是分级管理。企业应对商业秘密信息系统进行分级管理，根据不同密级采取相应的技术和管理措施，确保商业秘密的安全。
  三是商密测评。商密测评是确认信息系统安全防护能力的重要手段，也是商密信息系统建设不可逾越的重要步骤。通过商密测评的系统，才具备处理商密信息的能力。通过商密测评可以及时发现信息系统技术防护和保密管理的隐患和漏洞，采取防范措施，避免发生失泄密。
  四是显著标识。企业商密信息系统一经测评通过，系统建设单位应及时在商密信息系统的显著位置上作出明显标志，以便于使用人按系统所标密级处理相应密级的信息。
  五是定期风险评估。商密信息系统定级和通过测评后，并非一劳永逸，其管理措施和技术措施的有效性还需要通过2年一次的风险评估进行核实和验证。
  六是系统废止。商密系统不再使用后，应按《集团公司网络保密管理办法》的有关要求履行废止程序，并对软硬件采取技术处置，方可报废。