信息安全等級(jí)保護(hù)介紹.docx

國家信息安全等級(jí)保護(hù)制度的主要內(nèi)容和要求一、開展信息安全等級(jí)保護(hù)工作的重要性和必要性 信息安全等級(jí)保護(hù)是指國家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。信息安全等級(jí)保護(hù)制度是國家在國民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。實(shí)行信息安全等級(jí)保護(hù)制度，能夠充分調(diào)動(dòng)國家、法人和其他組織及公民的積極性，發(fā)揮各方面的作用，達(dá)到有效保護(hù)的目的，增強(qiáng)安全保護(hù)的整體性、針對性和實(shí)效性，使信息系統(tǒng)安全建設(shè)更加突出重點(diǎn)、統(tǒng)一規(guī)范、科學(xué)合理，對促進(jìn)我國信息安全的發(fā)展將起到重要推動(dòng)作用。 二、信息安全等級(jí)保護(hù)相關(guān)法律和文件 1994年國務(wù)院頒布的 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例規(guī)定，“ 計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定” 。1999年9月13日國家發(fā)布計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則。2003年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā) 200327 號(hào)）明確指出，“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。 2007年6月，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室制定了信息安全等級(jí)保護(hù)管理辦法（以下簡稱管理辦法），明確了信息安全等級(jí)保護(hù)的具體要求。 三、工作分工和組織協(xié)調(diào) （一）工作分工。公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)。 信息系統(tǒng)主管部門應(yīng)當(dāng)督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營、使用單位的信息安全等級(jí)保護(hù)工作。 信息系統(tǒng)的運(yùn)營、使用單位應(yīng)當(dāng)履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任。 （二）組織協(xié)調(diào)。省公安廳、省國家保密局、省國家密碼管理局、省信息化領(lǐng)導(dǎo)小組辦公室聯(lián)合成立信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組，負(fù)責(zé)信息安全等級(jí)保護(hù)工作的組織部署，由省公安廳主管網(wǎng)監(jiān)工作的領(lǐng)導(dǎo)任組長，省國家保密局、省國家密碼管理局、省信息化領(lǐng)導(dǎo)小組辦公室主管領(lǐng)導(dǎo)任副組長。辦公室設(shè)在省公安廳網(wǎng)警總隊(duì)，負(fù)責(zé)信息安全等級(jí)保護(hù)工作的具體組織實(shí)施。各行業(yè)主管部門要成立行業(yè)信息安全等級(jí)保護(hù)工作小組，組織本系統(tǒng)和行業(yè)的信息安全等級(jí)保護(hù)工作。各地級(jí)以上市參照成立相應(yīng)工作機(jī)制。重要信息系統(tǒng)運(yùn)營使用單位成立信息安全等級(jí)保護(hù)工作組，負(fù)責(zé)組織本單位的信息系統(tǒng)安全等級(jí)保護(hù)工作。 四、信息安全等級(jí)保護(hù)等級(jí)劃分和監(jiān)管方式 （一）信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)： 第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。 第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會(huì)秩序和公共利益造成損害，但不損害國家安全。 第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。 第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。 第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對國家安全造成特別嚴(yán)重?fù)p害。 （二）信息系統(tǒng)運(yùn)營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。 第一級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。 第二級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。 第三級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。 第四級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。 第五級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國家指定專門部門對該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。 五、信息安全等級(jí)保護(hù)制度的原則 信息安全等級(jí)保護(hù)的核心是對信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。信息安全等級(jí)保護(hù)制度遵循以下基本原則： （一）明確責(zé)任，共同保護(hù)。通過等級(jí)保護(hù)，組織和動(dòng)員國家、法人和其他組織、公民共同參與信息安全保護(hù)工作；各方主體按照規(guī)范和標(biāo)準(zhǔn)分別承擔(dān)相應(yīng)的、明確具體的信息安全保護(hù)責(zé)任。 （二）依照標(biāo)準(zhǔn)，自行保護(hù)。國家運(yùn)用強(qiáng)制性的規(guī)范及標(biāo)準(zhǔn)，要求信息和信息系統(tǒng)按照相應(yīng)的建設(shè)和管理要求，自行定級(jí)、自行保護(hù)。 （三）同步建設(shè)，動(dòng)態(tài)調(diào)整。信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。因信息和信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護(hù)等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級(jí)。等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)應(yīng)按照等級(jí)保護(hù)工作開展的實(shí)際情況適時(shí)修訂。 （四）指導(dǎo)監(jiān)督，重點(diǎn)保護(hù)。國家指定信息安全監(jiān)管職能部門通過備案、指導(dǎo)、檢查、督促整改等方式，對重要信息和信息系統(tǒng)的信息安全保護(hù)工作進(jìn)行指導(dǎo)監(jiān)督。國家重點(diǎn)保護(hù)涉及國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，主要包括：國家事務(wù)處理信息系統(tǒng)（黨政機(jī)關(guān)辦公系統(tǒng)）；財(cái)政、金融、稅務(wù)、海關(guān)、審計(jì)、工商、社會(huì)保障、能源、交通運(yùn)輸、國防工業(yè)等關(guān)系到國計(jì)民生的信息系統(tǒng)；教育、國家科研等單位的信息系統(tǒng)；公用通信、廣播電視傳輸?shù)然A(chǔ)信息網(wǎng)絡(luò)中的信息系統(tǒng)；網(wǎng)絡(luò)管理中心、重要網(wǎng)站中的重要信息系統(tǒng)和其他領(lǐng)域的重要信息系統(tǒng)。 五、信息安全等級(jí)保護(hù)工作主要環(huán)節(jié) （一）組織開展調(diào)查摸底。各信息系統(tǒng)主管部門、運(yùn)營使用單位組織開展對所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)以及系統(tǒng)建設(shè)規(guī)劃等基本情況，為開展信息安全等級(jí)保護(hù)工作打下基礎(chǔ)。 （二）合理確定保護(hù)等級(jí)。各信息系統(tǒng)主管部門和運(yùn)營使用單位要按照管理辦法和信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南，確定定級(jí)對象的安全保護(hù)等級(jí)。涉密信息系統(tǒng)的等級(jí)確定按照國家保密局的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。對擬確定為第四級(jí)以上信息系統(tǒng)的，由運(yùn)營使用單位或主管部門請國家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審。 （三）開展安全建設(shè)整改。各信息系統(tǒng)主管部門和運(yùn)營使用單位應(yīng)當(dāng)根據(jù)確定的安全保護(hù)等級(jí)，對已有的信息系統(tǒng)按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，采購和使用相應(yīng)等級(jí)要求的信息安全產(chǎn)品，落實(shí)安全技術(shù)措施，完成系統(tǒng)整改。對新建、改建、擴(kuò)建的信息系統(tǒng)按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行信息系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)施工。 （四）組織系統(tǒng)安全測評(píng)。信息系統(tǒng)建設(shè)完成后，運(yùn)營使用單位應(yīng)當(dāng)依照管理辦法選擇符合要求的測評(píng)機(jī)構(gòu)進(jìn)行測評(píng)。已投入運(yùn)行信息系統(tǒng)在完成系統(tǒng)整改后也應(yīng)當(dāng)進(jìn)行測評(píng)。經(jīng)測評(píng)，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，運(yùn)營使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。承擔(dān)第三級(jí)以上信息系統(tǒng)安全測評(píng)的機(jī)構(gòu)由省公安廳根據(jù)管理辦法的有關(guān)規(guī)定予以推薦。 （五）依法履行備案手續(xù)。信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)運(yùn)營使用單位或主管部門應(yīng)當(dāng)在系統(tǒng)投入運(yùn)行后（新建系統(tǒng)）或確定等級(jí)后（已運(yùn)營的系統(tǒng)）30日內(nèi)到公安機(jī)關(guān)辦理備案手續(xù)；鼓勵(lì)第一級(jí)和第五級(jí)的信息系統(tǒng)到公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？绲貐^(qū)或全省統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)由省級(jí)主管部門組織向省公安廳備案?？绲貐^(qū)、跨省或者全省、全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，向地級(jí)以上市公安局備案。涉密信息系統(tǒng)建設(shè)使用單位依據(jù)管理辦法和國家保密局的有關(guān)規(guī)定，到保密工作部門備案。 （六）加強(qiáng)安全監(jiān)督檢查。公安機(jī)關(guān)應(yīng)當(dāng)會(huì)同有關(guān)部門加強(qiáng)對信息系統(tǒng)的監(jiān)督檢查，對未依法履行定級(jí)、備案手續(xù)的單位，督促其限期改正。發(fā)現(xiàn)定級(jí)不準(zhǔn)的，應(yīng)當(dāng)通知運(yùn)營使用單位或其主管部門重新審核確定。對安全措施不符合要求的，要指導(dǎo)其落實(shí)整改措施。各級(jí)保密工作部門加強(qiáng)對涉密信息系統(tǒng)安全等級(jí)保護(hù)工作的指導(dǎo)、監(jiān)督和檢查。國家密碼管理部門加強(qiáng)對信息安全等級(jí)保護(hù)密碼管理。 （七）建設(shè)技術(shù)支撐體系。省公安廳會(huì)同有關(guān)部門根據(jù)管理辦法建立健全管理制度，向社會(huì)推薦一批符合要求的安全專用產(chǎn)品、安全測評(píng)機(jī)構(gòu)。組織開展繼續(xù)教育工作，加強(qiáng)對安全專業(yè)技術(shù)人員的培訓(xùn)，提高信息系統(tǒng)運(yùn)營使用單位和主管部門以及安