涉密信息系统集成资质(涉密信息系统不得与国际互联网或者其他)

1.什么是涉密信息系统及其等级保护？

保密信息系统是指由计算机及相关配套设施和设备组成的，按照一定的应用目的存储、处理和传输国家秘密的信息系统。涉密信息系统的等级保护，是指涉密信息系统的建设和使用单位按照《涉密保护管理办法》和相关标准对涉密信息系统实施等级保护，各级保密部门按照涉密信息系统的保护等级实施监督管理，确保系统和信息安全。涉密信息系统保护实施流程包括系统分类、方案设计、项目实施、系统评估、系统审批、日常管理、评估检查、系统废止八个环节。它是涉密信息系统保密管理的全过程。

2.什么是机密信息系统的安全风险评估？

涉密信息系统安全风险评估，即涉密信息系统的安全监测和评估，是以国家安全标准为依据，从风险管理的角度，运用科学的分析方法和手段，分析涉密信息系统面临的威胁和漏洞，提出有针对性的防护对策和整改措施，为保障涉密信息系统的安全保密提供科学依据。涉密信息系统应在建设完成后立即申请评估，取得运行许可后方可投入涉密运行。

3.涉密信息系统使用许可的有效期是多少年？

许可证有效期为两年，按照分级保护管理方式，每两年至少进行一次涉密、涉密信息系统安全风险评估；绝密信息系统每年至少进行一次安全风险评估。

4.涉密信息系统使用许可所涉及的事项发生重大变化，该怎么办？

涉密信息系统使用许可的重大变更主要是对整个涉密信息系统的安全产生重大影响的变更，如系统整体搬迁或扩建至新建筑、系统架构或拓扑或安全域划分发生变化、网络规模(布线点和用户终端)增减超过30%、接入专用设备或信息系统、与其他信息系统互联、采用虚拟化技术或无线技术等。

发生重大变化时，应当及时向上级主管单位(没有上级主管单位的，应当向当地保密行政管理部门报告)和国家保密行政管理部门设立或者授权的评估机构报告，并立即进行全系统再评估或者风险评估。合格后，继续取得国家保密行政管理部门换发的涉及国家秘密的信息系统使用许可证。

涉密信息系统中的应用系统名称与《涉及国家秘密的信息系统使用许可证》中批准的内容不一致时，实际应用系统已经涉密且不在系统评估(风险评估)应用的应用清单中的，判定为非法运营。建设单位应及时向有关部门报告，并提出新应用系统的单项检测申请。评估机构未及时安排评估的，不判定为违法。

5.涉密信息系统的拓扑结构图一般包括哪些？

涉密信息系统应有完整的拓扑结构图，包括从核心到楼层接入交换机(楼层接入交换机可部分省略)的所有设备，包括但不限于所有服务器、安全产品、备份存储设备和应用系统，以及网络连接线和对应的IP地址，并标明各个安全域的边界。拓扑图应符合涉密信息系统(网络)的实际部署，并按照涉密数据进行管理。

6.涉密单位的安防监控、消防等系统能否接入涉密信息系统？

涉密单位的安全监控、门禁、消防等系统或网络不属于涉密，一般由单位安全管理部门管理。不得接入本单位涉密信息系统或网络，相关识别设备不得与涉密信息系统混用。