信息安全等級(jí)保護(hù)管理辦法
評(píng)論: 更新日期:2015年05月15日
第一章 總則
第一條
為規(guī)范信息安全等級(jí)保護(hù)管理��,提高信息安全保障能力和水平��,維護(hù)國家安全��、社會(huì)穩(wěn)定和公共利益��,保障和促進(jìn)信息化建設(shè)��,根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)��,制定本辦法��。
第二條
國家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)��,組織公民��、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)��,對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督��、管理��。
第三條
公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督��、檢查��、指導(dǎo)��。國家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督��、檢查��、指導(dǎo)��。國家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督��、檢查��、指導(dǎo)��。涉及其他職能部門管轄范圍的事項(xiàng)��,由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理��。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)��。
第四條
信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范��,督促��、檢查��、指導(dǎo)本行業(yè)��、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營��、使用單位的信息安全等級(jí)保護(hù)工作��。
第五條
信息系統(tǒng)的運(yùn)營��、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范��,履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任��。
第二章 等級(jí)劃分與保護(hù)
第六條
國家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)��、自主保護(hù)的原則��。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全��、經(jīng)濟(jì)建設(shè)��、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對(duì)國家安全��、社會(huì)秩序��、公共利益以及公民��、法人和其他組織的合法權(quán)益的危害程度等因素確定��。
第七條
信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí):
第一級(jí)��,信息系統(tǒng)受到破壞后��,會(huì)對(duì)公民��、法人和其他組織的合法權(quán)益造成損害��,但不損害國家安全��、社會(huì)秩序和公共利益��。
第二級(jí)��,信息系統(tǒng)受到破壞后��,會(huì)對(duì)公民��、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害��,或者對(duì)社會(huì)秩序和公共利益造成損害��,但不損害國家安全��。
第三級(jí)��,信息系統(tǒng)受到破壞后��,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害��,或者對(duì)國家安全造成損害��。
第四級(jí)��,信息系統(tǒng)受到破壞后��,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害��,或者對(duì)國家安全造成嚴(yán)重?fù)p害��。
第五級(jí)��,信息系統(tǒng)受到破壞后��,會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。
第八條
信息系統(tǒng)運(yùn)營��、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)��,國家有關(guān)信息安全監(jiān)管部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理��。
第一級(jí)信息系統(tǒng)運(yùn)營��、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)��。
第二級(jí)信息系統(tǒng)運(yùn)營��、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)��。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)��。
第三級(jí)信息系統(tǒng)運(yùn)營��、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)��。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督��、檢查��。
第四級(jí)信息系統(tǒng)運(yùn)營��、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范��、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)��。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督��、檢查��。
第五級(jí)信息系統(tǒng)運(yùn)營��、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范��、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)��。國家指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督��、檢查��。
第三章 等級(jí)保護(hù)的實(shí)施與管理
第九條
信息系統(tǒng)運(yùn)營��、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》具體實(shí)施等級(jí)保護(hù)工作��。
第十條
信息系統(tǒng)運(yùn)營��、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)��。有主管部門的,應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)��。
跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)��。
對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的��,運(yùn)營��、使用單位或者主管部門應(yīng)當(dāng)請(qǐng)國家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審��。
第十一條
信息系統(tǒng)的安全保護(hù)等級(jí)確定后��,運(yùn)營��、使用單位應(yīng)當(dāng)按照國家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)��,使用符合國家有關(guān)規(guī)定��,滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品��,開展信息系統(tǒng)安全建設(shè)或者改建工作��。
第十二條
在信息系統(tǒng)建設(shè)過程中��,運(yùn)營��、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)��、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)��,參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)��、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)��、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)��、《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)��、《信息安全技術(shù) 服務(wù)器技術(shù)要求》��、《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》(GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施��。
第十三條
運(yùn)營��、使用單位應(yīng)當(dāng)參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T20269-2006)��、《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)��、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等管理規(guī)范��,制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度��。
第十四條
信息系統(tǒng)建設(shè)完成后,運(yùn)營��、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)��,依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)��,定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)��。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)��,第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)��,第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)��。
信息系統(tǒng)運(yùn)營��、使用單位及其主管部門應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況��、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查��。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查��,第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查��,第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查��。
經(jīng)測(cè)評(píng)或者自查��,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的��,運(yùn)營��、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改��。
第十五條
已運(yùn)營(運(yùn)行)的第二級(jí)以上信息系統(tǒng)��,應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)��,由其運(yùn)營��、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)��。
新建第二級(jí)以上信息系統(tǒng)��,應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)��,由其運(yùn)營��、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)��。
隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)��,由主管部門向公安部辦理備案手續(xù)��?�?缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行��、應(yīng)用的分支系統(tǒng)��,應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案��。
第十六條
辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí)��,應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》��,第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料:
(一)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明��;
(二)系統(tǒng)安全組織機(jī)構(gòu)和管理制度��;
(三)系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案��;
(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證��、銷售許可證明��;
(五)測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告;
(六)信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見��;
(七)主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見��。
第十七條
信息系統(tǒng)備案后��,公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核��,對(duì)符合等級(jí)保護(hù)要求的��,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明��;發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的��,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正��;發(fā)現(xiàn)定級(jí)不準(zhǔn)的��,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定��。
運(yùn)營��、使用單位或者主管部門重新確定信息系統(tǒng)等級(jí)后��,應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案��。
第十八條
受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對(duì)第三級(jí)��、第四級(jí)信息系統(tǒng)的運(yùn)營��、使用單位的信息安全等級(jí)保護(hù)工作情況進(jìn)行檢查��。對(duì)第三級(jí)信息系統(tǒng)每年至少檢查一次��,對(duì)第四級(jí)信息系統(tǒng)每半年至少檢查一次�。對(duì)跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查,應(yīng)當(dāng)會(huì)同其主管部門進(jìn)行�。
對(duì)第五級(jí)信息系統(tǒng),應(yīng)當(dāng)由國家指定的專門部門進(jìn)行檢查�。
公安機(jī)關(guān)、國家指定的專門部門應(yīng)當(dāng)對(duì)下列事項(xiàng)進(jìn)行檢查:
(一) 信息系統(tǒng)安全需求是否發(fā)生變化�,原定保護(hù)等級(jí)是否準(zhǔn)確;
(二) 運(yùn)營�、使用單位安全管理制度、措施的落實(shí)情況�;
(三) 運(yùn)營、使用單位及其主管部門對(duì)信息系統(tǒng)安全狀況的檢查情況�;
(四) 系統(tǒng)安全等級(jí)測(cè)評(píng)是否符合要求;
(五) 信息安全產(chǎn)品使用是否符合要求�;
(六) 信息系統(tǒng)安全整改情況;
(七) 備案材料與運(yùn)營�、使用單位�、信息系統(tǒng)的符合情況�;
(八) 其他應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項(xiàng)。
第十九條
信息系統(tǒng)運(yùn)營�、使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)、國家指定的專門部門的安全監(jiān)督�、檢查、指導(dǎo)�,如實(shí)向公安機(jī)關(guān)�、國家指定的專門部門提供下列有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件:
(一) 信息系統(tǒng)備案事項(xiàng)變更情況;
(二) 安全組織�、人員的變動(dòng)情況;
