信息安全等級保護管理辦法

第7頁共7頁信息安全等級保護管理辦法第一?章總則第?一條為規(guī)?范信息安全?等級保護管?理，提高信?息安全保障?能力和水平?，維護國家?安全、社會?穩(wěn)定和公共?利益，保障?和促進信息?化建設，根?據(jù)《___?計算機信息?系統(tǒng)安全保?護條例》等?有關法律法?規(guī)，制定本?辦法。第?二條國家?通過制定統(tǒng)?一的信息安?全等級保護?管理規(guī)范和?技術(shù)標準，?___公民?、法人和其?他___對?信息系統(tǒng)分?等級實行安?全保護，對?等級保護工?作的實施進?行監(jiān)督、管?理。第三?條公安機?關負責信息?安全等級保?護工作的監(jiān)?督、檢查、?指導。國家?保密工作部?門負責等級?保護工作中?有關保密工?作的監(jiān)督、?檢查、指導?。國家__?_管理部門?負責等級保?護工作中有?關___工?作的監(jiān)督、?檢查、指導?。涉及其他?職能部門管?轄范圍的事?項，由有關?職能部門依?照國家法律?法規(guī)的規(guī)定?進行管理。?___信息?化工作辦公?室及地方信?息化領導小?組辦事機構(gòu)?負責等級保?護工作的部?門間協(xié)調(diào)。?第四條?信息系統(tǒng)主?管部門應當?依照本辦法?及相關標準?規(guī)范，督促?、檢查、指?導本行業(yè)、?本部門或者?本地區(qū)信息?系統(tǒng)運營、?使用單位的?信息安全等?級保護工作?。第五條?信息系統(tǒng)?的運營、使?用單位應當?依照本辦法?及其相關標?準規(guī)范，履?行信息安全?等級保護的?義務和責任?。第二章?等級劃分與?保護第六?條國家信?息安全等級?保護堅持自?主定級、自?主保護的原?則。信息系?統(tǒng)的安全保?護等級應當?根據(jù)信息系?統(tǒng)在國家安?全、經(jīng)濟建?設、社會生?活中的重要?程度，信息?系統(tǒng)遭到破?壞后對國家?安全、社會?秩序、公共?利益以及公?民、法人和?其他___?的合法權(quán)益?的危害程度?等因素確定?。第七條?信息系統(tǒng)?的安全保護?等級分為以?下五級：?第一級，信?息系統(tǒng)受到?破壞后，會?對公民、法?人和其他_?__的合法?權(quán)益造成損?害，但不損?害國家安全?、社會秩序?和公共利益?。第二級?，信息系統(tǒng)?受到破壞后?，會對公民?、法人和其?他___的?合法權(quán)益產(chǎn)?生嚴重損害?，或者對社?會秩序和公?共利益造成?損害，但不?損害國家安?全。第三?級，信息系?統(tǒng)受到破壞?后，會對社?會秩序和公?共利益造成?嚴重損害，?或者對國家?安全造成損?害。第四?級，信息系?統(tǒng)受到破壞?后，會對社?會秩序和公?共利益造成?特別嚴重損?害，或者對?國家安全造?成嚴重損害?。第五級?，信息系統(tǒng)?受到破壞后?，會對國家?安全造成特?別嚴重損害?。第八條?信息系統(tǒng)?運營、使用?單位依據(jù)本?辦法和相關?技術(shù)標準對?信息系統(tǒng)進?行保護，國?家有關信息?安全監(jiān)管部?門對其信息?安全等級保?護工作進行?監(jiān)督管理。?第一級信?息系統(tǒng)運營?、使用單位?應當依據(jù)國?家有關管理?規(guī)范和技術(shù)?標準進行保?護。第二?級信息系統(tǒng)?運營、使用?單位應當依?據(jù)國家有關?管理規(guī)范和?技術(shù)標準進?行保護。國?家信息安全?監(jiān)管部門對?該級信息系?統(tǒng)信息安全?等級保護工?作進行指導?。第三級?信息系統(tǒng)運?營、使用單?位應當依據(jù)?國家有關管?理規(guī)范和技?術(shù)標準進行?保護。國家?信息安全監(jiān)?管部門對該?級信息系統(tǒng)?信息安全等?級保護工作?進行監(jiān)督、?檢查。第?四級信息系?統(tǒng)運營、使?用單位應當?依據(jù)國家有?關管理規(guī)范?、技術(shù)標準?和業(yè)務專門?需求進行保?護。國家信?息安全監(jiān)管?部門對該級?信息系統(tǒng)信?息安全等級?保護工作進?行強制監(jiān)督?、檢查。?第五級信息?系統(tǒng)運營、?使用單位應?當依據(jù)國家?管理規(guī)范、?技術(shù)標準和?業(yè)務特殊安?全需求進行?保護。國家?指定專門部?門對該級信?息系統(tǒng)信息?安全等級保?護工作進行?專門監(jiān)督、?檢查。第?三章等級保?護的實施與?管理第九?條信息系?統(tǒng)運營、使?用單位應當?按照《信息?系統(tǒng)安全等?級保護實施?指南》具體?實施等級保?護工作。?第十條信?息系統(tǒng)運營?、使用單位?應當依據(jù)本?辦法和《信?息系統(tǒng)安全?等級保護定?級指南》確?定信息系統(tǒng)?的安全保護?等級。有主?管部門的，?應當經(jīng)主管?部門審核批?準?？缡?或者全國統(tǒng)?一聯(lián)網(wǎng)運行?的信息系統(tǒng)?可以由主管?部門統(tǒng)一確?定安全保護?等級。對?擬確定為第?四級以上信?息系統(tǒng)的，?運營、使用?單位或者主?管部門應當?請國家信息?安全保護等?級專家評審?委員會評審?。第十一?條信息系?統(tǒng)的安全保?護等級確定?后，運營、?使用單位應?當按照國家?信息安全等?級保護管理?規(guī)范和技術(shù)?標準，使用?符合國家有?關規(guī)定，滿?足信息系統(tǒng)?安全保護等?級需求的信?息技術(shù)產(chǎn)品?，開展信息?系統(tǒng)安全建?設或者改建?工作。第?十二條在?信息系統(tǒng)建?設過程中，?運營、使用?單位應當按?照《計算機?信息系統(tǒng)安?全保護等級?劃分準則》?（GB17?859-_?__）、《?信息系統(tǒng)安?全等級保護?基本要求》?等技術(shù)標準?，參照《信?息安全技術(shù)?信息系統(tǒng)通?用安全技術(shù)?要求》（G?B/T__?_1-__?_）、《信?息安全技術(shù)?網(wǎng)絡基礎安?全技術(shù)要求?》（GB/?T___0?-___）?、《信息安?全技術(shù)操作?系統(tǒng)安全技?術(shù)要求》（?GB/T_?__2-_?__）、《?信息安全技?術(shù)數(shù)據(jù)庫管?理系統(tǒng)安全?技術(shù)要求》?（GB/T?___3-?___）、?《信息安全?技術(shù)服務器?技術(shù)要求》?、《信息安?全技術(shù)終端?計算機系統(tǒng)?安全等級技?術(shù)要求》（?___67?1-___?）等技術(shù)標?準同步建設?符合該等級?要求的信息?安全設施。?第十三條?運營、使?用單位應當?參照《信息?安全技術(shù)信?息系統(tǒng)安全?管理要求》?（GB/T?___9-?___）、?《信息安全?技術(shù)信息系?統(tǒng)安全工程?管理要求》?（GB/T?20282?-___）?、《信息系?統(tǒng)安全等級?保護基本要?求》等管理?規(guī)范，制定?并落實符合?本系統(tǒng)安全?保護等級要?求的安全管?理制度。?第十四條?信息系統(tǒng)建?設完成后，?運營、使用?單位或者其?主管部門應?當選擇符合?本辦法規(guī)定?條件的測評?機構(gòu)，依據(jù)?《信息系統(tǒng)?安全等級保?護測評要求?》等技術(shù)標?準，定期對?信息系統(tǒng)安?全等級狀況?開展等級測?評。第三?級信息系統(tǒng)?應當每年至?少進行一次?等級測評，?第四級信息?系統(tǒng)應當每?半年至少進?行一次等級?測評，第五?級信息系統(tǒng)?應當依據(jù)特?殊安全需求?進行等級測?評。信息?系統(tǒng)運營、?使用單位及?其主管部門?應當定期對?信息系統(tǒng)安?全狀況、安?全保護制度?及措施的落?實情況進行?自查。第?三級信息系?統(tǒng)應當每年?至少進行一?次自查，第?四級信息系?統(tǒng)應當每半?年至少進行?一次自查，?第五級信息?系統(tǒng)應當依?據(jù)特殊安全?需求進行自?查。經(jīng)測?評或者自查?，信息系統(tǒng)?安全狀況未?達到安全保?護等級要求?的，運營、?使用單位應?當制定方案?進行整改。?第十五條?已運營（?運行）的第?二級以上信?息系統(tǒng)，應?當在安全保?護等級確定?后___日?內(nèi)，由其運?營、使用單?位到所在地?設區(qū)的市級?以上公安機?關辦理備案?手續(xù)。新?建第二級以?上信息系統(tǒng)?，應當在投?入運行后_?__日內(nèi)，?由其運營、?使用單位到?所在地設區(qū)?的市級以上?公安機關辦?理備案手續(xù)?。隸屬于?中央的在京?單位，其跨?省或者全國?統(tǒng)一聯(lián)網(wǎng)運?行并由主管?部門統(tǒng)一定?級的信息系?統(tǒng)，由主管?部門向公安?部辦理備案?手續(xù)。跨省?或者全國統(tǒng)?一聯(lián)網(wǎng)運行?的信息系統(tǒng)?在各地運行?、應用的分?支系統(tǒng)，應?當向當?shù)卦O?區(qū)的市級以?上公安機關?備案。第?十六條辦?理信息系統(tǒng)?安全保護等?級備案手續(xù)?時，應當填?寫《信息系?統(tǒng)安全等級?保護備案表?》，第三級?以上信息系?統(tǒng)應當同時?提供以下材?料：（一?）系統(tǒng)拓撲?結(jié)構(gòu)及說明?；（二）?系統(tǒng)安全_?__機構(gòu)和?管理制度；?（三）系?統(tǒng)安全保護?設施設計實?施方案或者?改建實施方?案；（四?）系統(tǒng)使用?的信息安全?產(chǎn)品清單及?其認證、銷?售許可證明?；（五）?測評后符合?系統(tǒng)安全保?護等級的技?術(shù)檢測評估?報告；（?六）信息系?統(tǒng)安全保護?等級專家評?審意見；?（七）主管?部門審核批?準信息系統(tǒng)?安全保護等?級的意見。?第十七條?信息系統(tǒng)?備案后，公?安機關應當?對信息系統(tǒng)?的___進?行審核，對?符合等級保?護要求的，?應當在收到?備案材料之?日起的10?個工作日內(nèi)?頒發(fā)信息系?統(tǒng)安全等級?保護備案證?明；發(fā)現(xiàn)不?符合本辦法?及有關標準?的，應當在?收到備案材?料之日起的?10個工作?日內(nèi)通知備?案單位予以?糾正；發(fā)現(xiàn)?定級不準的?，應當在收?到備案材料?之日起的1?0個工作日?內(nèi)通知備案?單位重新審?核確定。?運營、使用?單位或者主?管部門重新?確定信息系?統(tǒng)等級后，?應當按照本?辦法向公安?機關重新備?案。第十?八條受理?備案的公安?機關應當對?第三級、第?四級信息系?統(tǒng)的運營、?使用單位的?信息安全等?級保護工作?情況進行檢?查。對第三?級信息系統(tǒng)?每年至少檢?查一次，對?第四級信息?系統(tǒng)每半年?至少檢查一?次。對跨省?或者全國統(tǒng)?一聯(lián)網(wǎng)運行?的信息系統(tǒng)?的檢查，應?當會同其主?管部門進行?。對第五?級信息系統(tǒng)?，應當由國?家指定的專?門部門進行?檢查。公?安機關、國?家指定的專?門部門應當?對下列事項?進行檢查：?（一）信?息系統(tǒng)安全?需求是否發(fā)?生變化，原?定保護等級?是否準確；?（二）運?營、使用單?位安全管理?制度、措施?的落實情況?；（三）?運營、使用?單位及其主?管部門對信?息系統(tǒng)安全?狀況的檢查?情況；（?四）系統(tǒng)安?全等級測評?是否符合要?求；（五?）信息安全?產(chǎn)品使用是?否符合要求?；（六）