1、湖南省地方标准DB43DB43/T 244.12017 ICS 91.010.01P 00湖南省质量技术监督局 发 布2017-05-31实施2017-03-31发布建设项目涉及国家安全的系统规范 第1部分 总则Code of construction item concerned the safe of native Part 1 General principles代替DB43/T 244.1-2013DB43/T 244.12017 I 目 次 前言1 范围 12 规范性引用文件 13 术语和定义 24 基本规定 25 系统安全等级划分与保护 36 系统安全等级保护的实施与管理 3DB4
2、3/T 244.12017 II 前 言 本标准按GB/T 1.12009给出的规则起草。 DB43/T 244建设项目涉及国家安全的系统规范分为十个部分: 第1部分:总则 第2部分:计算机网络系统规范 第3部分:安保电视监控系统规范 第4部分:入侵报警系统规范 第5部分:出入口控制系统规范 第6部分:电子巡查系统规范 第7部分:建筑设备管理系统规范 第8部分:建筑智能化系统施工监管规范 第9部分:网络视讯会议系统规范 第10部分:厅堂扩声系统及环境规范 本部分为DB43/T 244的第1部分。 本部分由湖南省国家安全厅提出并归口。 本部分起草单位: 湖南省产商品质量监督检验研究院、湖南致信信
3、息工程监理有限公司、长沙翊琪科技有限公司、长沙市沃富安防技术咨询有限公司、河北联盛房地产集团公司、湖南赛禾智能科技有限公司、湖南中韬信息科技有限公司、长沙市恒和科技仪器有限公司。 本部分主要起草人: 彭江宇、苏光荣、贾书万、石成功、周欣广、姚斌、毛良文、焦杨、徐亮、钟声、黄凌果、宁静、冯艺、刘建刚、宋维、黄辉强、刘张健、姜学吾。 DB43/T 244.12017 1 建设项目涉及国家安全的系统规范 第1部分 总则 1 范围 本部分规定了建设项目涉及国家安全事项的系统安全等级保护的实施与管理。 本部分适用于新建、扩建、改建及已建成但未达到国家安全要求的涉及国家安全事项的建设项目,建设项目范围包括
4、: a) 出入境口岸、境外企业常驻机构(含办公、生产、经营、集中居住场所)建设项目; b) 各级党政办公场所及周边建设项目; c) 军事禁区、军事管理(单位)区周边建设项目; d) 涉密军工企业、涉军科研院所及周边建设项目; e) 国家级重点实验室、重要涉密科研机构及其周边建设项目; f) 省级重点实验室、重要科研机构建设项目; g) 国家、省级重要基础设施、基础网络管理及控制场所及其周边建设项目; h) 省内各地、市、县级重要基础设施、基础网络管理控制场所建设项目; i) 各级气象、邮政、地理测绘等涉密敏感信息集中管理场所建设项目; j) 各级广播、电视、省级及以上新闻机构、网络媒体等办公及
5、播控场所建设项目; k) 银行、保险、证券等金融机构建设项目; l) 发电、输电、变电及配电的管理及控制场所; m) 电信枢纽、无(有)线基站、机房、控制中心等电信网络建设项目; n) 宾馆饭店、写字楼、商住楼、别墅区、度假村建设项目; o) 机场、车站、港口、码头、轨道交通等公共交通枢纽建设项目; p) 根据国家相关法律法规规定及国家安全行政主管部门认定的其它涉及国家安全的建设项目。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 DB43/T 244.2 建设项
6、目涉及国家安全的系统规范 第2部分 计算机网络系统规范 DB43/T 244.3 建设项目涉及国家安全的系统规范 第3部分 安保电视监控系统规范 DB43/T 244.4 建设项目涉及国家安全的系统规范 第4部分 入侵报警系统规范 DB43/T 244.5 建设项目涉及国家安全的系统规范 第5部分 出入口控制系统规范 DB43/T 244.6 建设项目涉及国家安全的系统规范 第6部分 电子巡查系统规范 DB43/T 244.7 建设项目涉及国家安全的系统规范 第7部分 建筑设备管理系统规范 DB43/T 244.8 建设项目涉及国家安全的系统规范 第8部分 建筑智能化系统施工监管规范 DB43
7、/T 244.9 建设项目涉及国家安全的系统规范 第9部分 网络视讯会议系统规范 DB43/T 244.10 建设项目涉及国家安全的系统规范 第10部分 厅堂扩声系统及环境规范 DB43/T 244.12017 23 术语和定义 3.1 涉及国家安全的建设项目 影响或危及国家安全的建设项目,以下简称项目。 3.2 系统安全等级 涉及国家安全事项建设项目中要求的安全机制的涉密程度和保障程度的级别。根据建设项目范围的不同,由国家安全行政主管部门认定系统的安全等级(SSL-System Security Level), 从低到高依次为系统安全等级1(SSL1)、系统安全等级2(SSL2)、系统安全等
8、级3(SSL3)。 4 基本规定 4.1 为规范项目的系统安全等级保护要求,提高项目的系统安全保障能力和水平,维护国家安全、社会稳定和公共利益,根据中华人民共和国国家安全法、中华人民共和国标准化法、中华人民共和国产品质量法等有关法律法规,制定本规范。 4.2 通过制定统一的建设项目涉及国家安全的系统规范,由国家安全行政主管部门及其根据国家安全工作要求备案的技术服务机构(以下简称技术服务机构)指导建设单位对建设项目涉及国家安全的系统安全建设。 4.3 新建、扩建、改建及已建成但未达到国家安全要求的项目应依据本规范及相关标准规范,履行项目的系统安全质量要求的义务和责任。 4.4 人员资质要求 涉及
9、国家安全事项建设项目中不仅对安全机制的涉密程度和保障程度的级别有明确要求,对涉及国家安全事项建设项目中具体相关的人员安全资质也有要求。根据建设项目范围、级别的差异,对人员安全资质的要求也做出相应规定,不同的级别项目应建立管理岗、安全岗、审计岗的三员权限制约机制,以提供项目建设的安全保障。具体人员信息安全资质要求等级划分见表1: 表1 人员信息安全资质等级要求 建设单位 (资质要求) 施工单位 (资质要求) 设计单位 (资质要求) 使用单位 (资质要求) 系统安全等级 (SSL) CISP CISM CISP CISM CISP CISM CISP CISM SSL1 1人 2人 1人 2人 1
10、人 2人 1人 2人 SSL2 2人 2人 2人 2人 2人 2人 2人 2人 SSL3 3人 2人 3人 2人 3人 2人 3人 2人 CISP:注册信息安全专业人员资质(Certified Information Security Professional) CISM:注册信息安全员资质(Certified Information Security Member) DB43/T 244.12017 3 5 系统安全等级划分与保护 5.1 项目的系统安全等级由国家安全行政主管部门根据项目的建设范围、对国家安全的潜在影响程度、地理位置以及信息流的涉密程度确定。 5.2 项目的系统安全等级划分见
11、表2: 表2 系统安全等级 系统安全等级(SSL) 建设项目范围 系统安全等级1(SSL1) 宾馆饭店、写字楼、商住楼、别墅区、度假村建设项目;机场、车站、港口、码头、轨道交通等公共交通枢纽建设项目。 系统安全等级2(SSL2) 出入境口岸、境外企业常驻机构(含办公、生产、经营、集中居住场所)建设项目;军事禁区、军事管理(单位)区的周边建设项目;涉密军工企业、涉军科研院所的周边建设项目;国家级重点实验室、重要涉密科研机构的周边建设项目;省级重点实验室、重要科研机构建设项目;国家、省级重要基础设施、基础网络管理及控制场所的周边建设项目;省内各地、市、县级重要基础设施、基础网络管理控制场所建设项目
12、;银行、保险、证券等金融机构建设项目;发电、输电、变电及配电的管理及控制场所;电信枢纽、无(有)线基站、机房、控制中心等电信网络建设项目。 系统安全等级3(SSL3) 党政办公场所及周边建设项目;涉密军工企业、涉军科研院所建设项目;国家级重点实验室、重要涉密科研机构建设项目;国家、省级重要基础设施、基础网络管理及控制场所建设项目;各级气象、邮政、地理测绘等涉密敏感信息集中管理场所建设项目;各级广播、电视、省级及以上新闻机构、网络媒体等办公及播控场所建设项目。 6 系统安全等级保护的实施与管理 6.1 系统安全等级保护的管理 a) 项目的设计单位应具备国家安全行政主管部门备案的涉及国家安全智能化
13、系统设计能力资质; b) 项目的施工单位应具备国家安全行政主管部门备案的涉及国家安全智能化系统施工能力资质; c) 项目的监理单位应具备国家安全行政主管部门备案的涉及国家安全智能化系统监理能力资质; d) 项目的技术服务机构应具备国家安全行政主管部门备案的涉及国家安全智能化系统技术服务资质; e) 项目的系统安全等级应按照本规范第5.2节的规定确定; f) 计算机网络系统的设计和施工应符合DB43/T 244.2建设项目涉及国家安全的系统规范 第2部分 计算机网络系统规范等相关标准的要求; g) 安保电视监控系统的设计和施工应符合DB43/T 244.3建设项目涉及国家安全的系统规范 第3部分
14、 安保电视监控系统规范等相关标准的要求; h) 入侵报警系统的设计和施工应符合DB43/T 244.4建设项目涉及国家安全的系统规范 第4部分 入侵报警系统规范等相关标准的要求; i) 出入口控制系统的设计和施工应符合DB43/T 244.5建设项目涉及国家安全的系统规范 第5部分 出入口控制系统规范等相关标准的要求; j) 电子巡查系统的设计和施工应符合DB43/T 244.6建设项目涉及国家安全的系统规范 第6部分 电子巡查系统规范等相关标准的要求; k) 建筑设备管理系统的设计和施工应符合DB43/T 244.7建设项目涉及国家安全的系统规范 第7部分 建筑设备管理系统规范等相关标准的要
15、求; l) 监管应符合DB43/T 244.8建设项目涉及国家安全的系统规范 第8部分 建筑智能化系统施DB43/T 244.12017 4工监管规范的要求; m) 网络视讯会议系统的设计和施工应符合DB43/244.9建设项目涉及国家安全的系统规范 第9部分 网络视讯会议系统规范等相关规范的要求; n) 厅堂扩声系统及环境规范的设计和施工应符合DB43/244.10建设项目涉及国家安全的系统规范 第10部分 厅堂扩声系统及环境规范等相关规范的要求。 6.2 系统安全等级保护的实施 a) 项目建设前,建设单位应向技术服务机构提交设计方案、设计图纸、施工合同、设备清单等相关资料,并通过评审。评审
16、不合格的设计方案及图纸应根据评审意见进行修改,符合要求后项目方可施工; b) 项目建设中,应由技术服务机构派驻监管工程师对项目建设进行现场监管; c) 项目中使用的主要设备应通过技术服务机构的检验,检验不合格的设备禁止在项目中使用; d) 项目中所涉及的智能化系统应通过技术服务机构的检验,检验不合格的子系统应进行整改至检验合格; e) 项目的网络系统应通过技术服务机构的网络安全评估,评估不合格的网络系统应进行整改至评估合格; f) 技术服务机构出具的报告作为行政主管部门对建设项目开展行政审批的依据之一; g) 系统安全等级为SSL1的项目应每三年至少进行一次复检; h) 系统安全等级为SSL2的项目应每两年至少进行一次复检; i) 系统安全等级为SSL3的项目应每年至少进行一次复检; j) 项目复检事项应包括以下内容: 1) 建设单位安全管理制度、措施的落实情况; 2) 项目中使用的主要产品是否符合安全要求; 3) 项目中的智能化系统是否符合安全要求; 4) 项目中的网络系统是否符合安全要求; 5) 系统变更情况; 6) 备案材料与建设单位、信息系统的符合情况; 7) 其他应当进行监督检查的事项。
