信息安全等級保護制度

1、第一條為規(guī)范管理，提高信息安全保障能力和水平，、社會穩(wěn)定 和公共利益，保障和促進信息化建設，根據(jù)中華人民共和 國計算機信息系統(tǒng)安全保護條例等有關法律法規(guī)，制定本 辦法。第二條國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術 標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安 全保護，對等級保護工作的實施進行監(jiān)督、管理。第三條公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導國家保密工作部門負責等級保護工作中有關保密工作的監(jiān) 督、檢查、指導。國家密碼管理部門負責等級保護工作中有 關密碼工作的監(jiān)督、檢查、指導。涉及其他職能部門管轄范 圍的事項，由有關職能部門依照國家法律法規(guī)的規(guī)定進行管 理。及地

2、方信息化領導小組辦事機構負責等級保護工作的部 門間協(xié)調(diào)。第四條信息系統(tǒng)主管部門應當依照本辦法及相關標準規(guī)范，督 促、檢查、指導本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、 使用單位的信息安全等級保護工作。第五條信息系統(tǒng)的運營、使用單位應當依照本辦法及其相關標準 規(guī)范，履行信息安全等級保護的義務和責任。第二章等級劃分與保護第六條國家信息安全等級保護堅持自主定級、自主保護的原則。 信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng) 濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國 家安全、社會秩序、公共利益以及公民、法人和其他組織的 合法權益的危害程度等因素確定。第七條信息系統(tǒng)的安全保護等級分為以

3、下五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公 共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造 成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后， 會對社會秩序和公共利益 造成嚴重損害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后， 會對社會秩序和公共利益 造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后， 會對國家安全造成特別嚴 重損害。第八條信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關技術標準對信 息系統(tǒng)進行保護，國家有關信息安全監(jiān)管部

4、門對其信息安全 等級保護工作進行監(jiān)督管理。第一級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī) 范和技術標準進行保護。第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī) 范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息 系統(tǒng)信息安全等級保護工作進行指導。第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī) 范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息 系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。第四級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī) 范、技術標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管 部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、 檢查。第五級信息系統(tǒng)運營、使用單位應當

5、依據(jù)國家管理規(guī)范、 技術標準和業(yè)務特殊安全需求進行保護。國家指定專門部門 對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢 查。第三章等級保護的實施與管理第九條信息系統(tǒng)運營、使用單位應當按照 信息系統(tǒng)安全等級保 護實施指南具體實施等級保護工作。第十條信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和 信息系統(tǒng)安 全等級保護定級指南確定信息系統(tǒng)的安全保護等級。有主 管部門的，應當經(jīng)主管部門審核批準?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評 審。第十一條信息系統(tǒng)的安全保護等級確定

6、后，運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術標準，使用符合國 家有關規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術產(chǎn) 品，開展信息系統(tǒng)安全建設或者改建工作。第十二條在信息系統(tǒng)建設過程中，運營、使用單位應當按照«» (GB17859-1999 )、信息系統(tǒng)安全等級保護基本要求等技術標準，參照信息安全技術信息系統(tǒng)通用安全技術要 求(GB/T20271-2006 )、信息安全技術網(wǎng)絡基礎安全 技術要求(GB/T20270-2006 )、信息安全技術操作系 統(tǒng)安全技術要求(GB/T20272-2006 )、信息安全技術 數(shù)據(jù)庫管理系統(tǒng)安全技術要求(GB/T20273-

7、2006 )、信息安全技術服務器技術要求、信息安全技術終端計算機系統(tǒng)安全等級技術要求(GA/T671-2006 )等技術標準同 步建設符合該等級要求的信息安全設施。第十三條運營、使用單位應當參照 信息安全技術信息系統(tǒng)安全管 理要求(GB/T20269-2006 )、信息安全技術信息系統(tǒng) 安全工程管理要求(GB/T20282-2006 )、信息系統(tǒng)安 全等級保護基本要求等管理規(guī)范，制定并落實符合本系統(tǒng) 安全保護等級要求的安全管理制度。第十四條信息系統(tǒng)建設完成后， 運營、使用單位或者其主管部門應 當選擇符合本辦法規(guī)定條件的測評機構，依據(jù)信息系統(tǒng)安 全等級保護測評要求等技術標準，定期對信息系統(tǒng)安全等

8、 級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一 次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級 測評，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測 評。信息系統(tǒng)運營、使用單位及其主管部門應當定期對信息系 統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第 三級信息系統(tǒng)應當每年至少進行一次自查，第四級信息系統(tǒng)應當每半年至少進行一次自查，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級 要求的，運營、使用單位應當制定方案進行整改。第十五條已運營（運行）或新建的第二級以上信息系統(tǒng)，應當在安 全保護等級確定后30日內(nèi)，由其運營、使用單位到所

9、在地 設區(qū)的市級以上公安機關辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并 由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理 備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運 行、應用的分支系統(tǒng)，應當向當?shù)卦O區(qū)的市級以上公安機關 備案。第十六條辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫信息系統(tǒng)安全等級保護備案表，第三級以上信息系統(tǒng)應當同時 提供以下材料：（一）系統(tǒng)拓撲結構及說明； （二）系統(tǒng)安全組織機構和管理制度;系統(tǒng)安全保護設施設計實施方案或者改建實施方案;（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；（五）測評后符合系統(tǒng)安全保護等級的技術檢測評估報 告

10、；（六）信息系統(tǒng)安全保護等級專家評審意見；（七）主管部門審核批準信息系統(tǒng)安全保護等級的意見。第十七條信息系統(tǒng)備案后，公安機關應當對信息系統(tǒng)的備案情況進 行審核，對符合等級保護要求的，應當在收到備案材料之日 起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明； 發(fā)現(xiàn)不符合本辦法及有關標準的，應當在收到備案材料之日 起的10個工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準 的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后， 應當按照本辦法向公安機關重新備案。第十八條受理備案的公安機關應當對第三級、第四級信息系統(tǒng)的運 營、使用單位的信

11、息安全等級保護工作情況進行檢查。對第 三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年 至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的 檢查，應當會同其主管部門進行。對第五級信息系統(tǒng)，應當由國家指定的專門部門進行檢 查。公安機關、國家指定的專門部門應當對下列事項進行檢查：（一）信息系統(tǒng)安全需求是否發(fā)生變化，原定保護等級是 否準確；（二）運營、使用單位安全管理制度、措施的落實情況；（三）運營、使用單位及其主管部門對信息系統(tǒng)安全狀況 的檢查情況；（四）系統(tǒng)安全等級測評是否符合要求；（五）信息安全產(chǎn)品使用是否符合要求；（六）信息系統(tǒng)安全整改情況； （七）備案材料與運營、使用單位、信息系統(tǒng)的

12、符合情況;（八）其他應當進行監(jiān)督檢查的事項。第十九條信息系統(tǒng)運營、使用單位應當接受公安機關、國家指定的專門部門的安全監(jiān)督、檢查、指導，如實向公安機關、國家 指定的專門部門提供下列有關信息安全保護的信息資料及 數(shù)據(jù)文件：（一）信息系統(tǒng)備案事項變更情況；（二）安全組織、人員的變動情況；（三）信息安全管理制度、措施變更情況；（四）信息系統(tǒng)運行狀況記錄；（五）運營、使用單位及主管部門定期對信息系統(tǒng)安全狀 況的檢查記錄；（六）對信息系統(tǒng)開展等級測評的技術測評報告；（七）信息安全產(chǎn)品使用的變更情況；（八）信息安全事件應急預案，信息安全事件應急處置結 果報告；（九）信息系統(tǒng)安全建設、整改結果報告。第二十條公

13、安機關檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安 全等級保護有關管理規(guī)范和技術標準的，應當向運營、使用 單位發(fā)生整改通知。運營、使用單位應當根據(jù)整改通知要求， 按照管理規(guī)范和技術標準進行整改。整改完成后，應當將整 改報告向公安機關備案。必要時，公安機關可以對整改情況 組織檢查。第二十一條第三級以上信息系統(tǒng)應當選擇使用符合以下條件的信息 安全產(chǎn)品：（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、 法人投資或者 國家投資或者控股的，在中華人民共和國境內(nèi)具有獨立的法 人資格；（二）產(chǎn)品的核心技術、具有我國自主知識產(chǎn)權；（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務、 技術人員無犯 罪記錄；（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有

14、故意留有或者設置漏 洞、后門、木馬等程序和功能；（五）對國家安全、社會秩序、公共利益不構成危害;（六）對已列入信息安全產(chǎn)品認證目錄的，應當取得國家信息安全產(chǎn)品認證機構頒發(fā)的認證證書。第二十二條第三級以上信息系統(tǒng)應當選擇符合下列條件的等級保護 測評機構進行測評：（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除 外）；（二）由中國公民投資、中國法人投資或者國家投資的企 事業(yè)單位（港澳臺地區(qū)除外）；（三）從事相關檢測評估工作兩年以上，無違法記錄；（四）工作人員僅限于中國公民；（五）法人及主要業(yè)務、技術人員無犯罪記錄；（六）使用的技術裝備、設施應當符合本辦法對信息安全 產(chǎn)品的要求；（七）具有完備的保密

15、管理、項目管理、質(zhì)量管理、人員 管理和培訓教育等安全管理制度；（八）對國家安全、社會秩序、公共利益不構成威脅。第二十三條從事信息系統(tǒng)安全等級測評的機構，應當履行下列義務:（一）遵守國家有關法律法規(guī)和技術標準，提供安全、客觀、公正的檢測評估服務，保證測評的質(zhì)量和效果；（二）保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私，防范測評風險；（三）對測評人員進行安全保密教育， 與其簽訂安全保密 責任書，規(guī)定應當履行的安全保密義務和承擔的法律責任， 并負責檢查落實。第四章涉密信息系統(tǒng)的分級保護管理第二十四條應當依據(jù)國家信息安全等級保護的基本要求，按照國家保密工作部門有關涉密信息系統(tǒng)分級保護的管理規(guī)定和

16、技術 標準，結合系統(tǒng)實際情況進行保護。非涉密信息系統(tǒng)不得處理國家秘密信息等。第二十五條涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級。涉密信息系統(tǒng)建設使用單位應當在信息規(guī)范定密的基礎 上，依據(jù)涉密信息系統(tǒng)分級保護管理辦法和BMB17-2006涉及國家秘密的計算機信息系統(tǒng)分級保護技術要求確定 系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng)，各安全域 可以分別確定保護等級。保密工作部門和機構應當監(jiān)督指導涉密信息系統(tǒng)建設使 用單位準確、合理地進行系統(tǒng)定級。第二十六條涉密信息系統(tǒng)建設使用單位應當將涉密信息系統(tǒng)定級和 建設使用情況，及時上報的保密工作機構和負責系統(tǒng)審批的 保密工作

17、部門備案，并接受保密部門的監(jiān)督、檢查、指導。第二十七條涉密信息系統(tǒng)建設使用單位應當選擇具有涉密集成資質(zhì) 的單位承擔或者參與涉密信息系統(tǒng)的設計與實施。涉密信息系統(tǒng)建設使用單位應當依據(jù)涉密信息系統(tǒng)分級 保護管理規(guī)范和技術標準，按照秘密、機密、絕密三級的不 同要求，結合系統(tǒng)實際進行方案設計，實施分級保護，具保 護水平總體上不低于國家信息安全等級保護第三級、第四 級、第五級的水平。第二十八條涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應當選用 國產(chǎn)品，并應當通過授權的檢測機構依據(jù)有關國家保密標準 進行的檢測，通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。第二十九條涉密信息系統(tǒng)建設使用單位在系統(tǒng)工程實施結束后，應

18、當向保密工作部門提由申請，由國家保密局授權的系統(tǒng)測評機 構依據(jù)國家保密標準 BMB22-2007涉及國家秘密的計算機 信息系統(tǒng)分級保護測評指南，對涉密信息系統(tǒng)進行安全保 密測評。涉密信息系統(tǒng)建設使用單位在系統(tǒng)投入使用前，應當按照涉及國家秘密的信息系統(tǒng)審批管理規(guī)定，向設區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批，涉密信息系統(tǒng)通過審 批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設使 用單位在按照分級保護要求完成系統(tǒng)整改后，應當向保密工 作部門備案。第三十條涉密信息系統(tǒng)建設使用單位在申請系統(tǒng)審批或者備案時， 應當提交以下材料：（一）系統(tǒng)設計、實施方案及審查論證意見； （二）系統(tǒng)承建單位資質(zhì)證明材料

19、;（三）系統(tǒng)建設和工程監(jiān)理情況報告；（四）系統(tǒng)安全保密檢測評估報告；（五）系統(tǒng)安全保密組織機構和管理制度情況；（六）其他有關材料。第三十一條涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設施、主要應用、安全保密管理責任單位變更時，其建設使用單位應當 及時向負責審批的保密工作部門報告。保密工作部門應當根 據(jù)實際情況，決定是否對其重新進行測評和審批。第三十二條涉密信息系統(tǒng)建設使用單位應當依據(jù)國家保密標準 BMB20-2007涉及國家秘密的信息系統(tǒng)分級保護管理規(guī) 范，加強涉密信息系統(tǒng)運行中的保密管理，定期進行風險 評估，消除泄密隱患和漏洞。第三十三條國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系

20、統(tǒng)分級保護工作實施監(jiān)督管理，并做好以下工作：（一）指導、監(jiān)督和檢查分級保護工作的開展;（二）指導涉密信息系統(tǒng)建設使用單位規(guī)范信息定密，合理確定系統(tǒng)保護等級；（三）參與涉密信息系統(tǒng)分級保護方案論證，指導建設使用單位做好保密設施的同步規(guī)劃設計；（四）依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理；（五）嚴格進行系統(tǒng)測評和審批工作， 監(jiān)督檢查涉密信息 系統(tǒng)建設使用單位分級保護管理制度和技術措施的落實情 況；（六）加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng) 測評，對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系 統(tǒng)測評；（七）了解掌握各級各類涉密信息系統(tǒng)

21、的管理使用情況， 及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第五章信息安全等級保護的密碼管理一第三十四條國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建 設中的作用和重要程度，被保護對象的安全防護要求和涉密 程度，被保護對象被破壞后的危害程度以及密碼使用部門的 性質(zhì)等，確定密碼的等級保護準則。信息系統(tǒng)運營、使用單位采用密碼進行等級保護的，應當遵照信息安全等級保護密碼管理辦法、信息安全等級 保護商用密碼技術要求等密碼管理規(guī)定和相關標準。第三十五條信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等，應當嚴格執(zhí)行國家密碼管理的有關規(guī)定。第三十六條信息系

22、統(tǒng)運營、使用單位應當充分運用密碼技術對信息系 統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進 行保護的，應報經(jīng)審批，密碼的設計、實施、使用、運行維 護和日常管理等，應當按照國家密碼管理有關規(guī)定和相關標 準執(zhí)行；采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行 保護的，須遵守«»和密碼分類分級保護有關規(guī)定與相關標 準，其密碼的配備使用情況應當向國家密碼管理機構備案。第三十七條運用密碼技術對信息系統(tǒng)進行系統(tǒng)等級保護建設和整改 的，必須采用經(jīng)國家密碼管理部門批準使用或者準于銷售的 密碼產(chǎn)品進行安全保護，不得采用國外引進或者擅自研制的密碼產(chǎn)品；未經(jīng)批準不得采用含有加密功能的進口信息技術廣品。第三十八條信息系統(tǒng)中的密碼及密碼設備的測評工作由國家密碼管 理局認可的測評機構承擔，其他任何部門、單位和個人不得 對密碼進行評測和監(jiān)控。第三十九條各級密碼管理部門