2023年信息安全等級保護管理辦法

PAGEPAGE11信息平安等級保護管理方法第一章總那么第一條為標準信息平安等級保護管理，提高信息平安保障能力和水平，維護國家平安、社會穩(wěn)定和公共利益，保障和促進信息化建設，根據?中華人民共和國計算機信息系統平安保護條例?等有關法律法規(guī)，制定本方法。第二條國家通過制定統一的信息平安等級保護管理標準和技術標準，組織公民、法人和其他組織對信息系統分等級實行平安保護，對等級保護工作的實施進行監(jiān)督、管理。第三條公安機關負責信息平安等級保護工作的監(jiān)督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導。涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。第四條信息系統主管部門應當依照本方法及相關標準標準，催促、檢查、指導本行業(yè)、本部門或者本地區(qū)信息系統運營、使用單位的信息平安等級保護工作。第五條信息系統的運營、使用單位應當依照本方法及其相關標準標準，履行信息平安等級保護的義務和責任。第二章等級劃分與保護第六條國家信息平安等級保護堅持自主定級、自主保護的原那么。信息系統的平安保護等級應當根據信息系統在國家平安、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家平安、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。第七條信息系統的平安保護等級分為以下五級：第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家平安、社會秩序和公共利益。第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家平安。第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家平安造成損害。第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家平安造成嚴重損害。第五級，信息系統受到破壞后，會對國家平安造成特別嚴重損害。第八條信息系統運營、使用單位依據本方法和相關技術標準對信息系統進行保護，國家有關信息平安監(jiān)管部門對其信息平安等級保護工作進行監(jiān)督管理。第一級信息系統運營、使用單位應當依據國家有關管理標準和技術標準進行保護。第二級信息系統運營、使用單位應當依據國家有關管理標準和技術標準進行保護。國家信息平安監(jiān)管部門對該級信息系統信息平安等級保護工作進行指導。第三級信息系統運營、使用單位應當依據國家有關管理標準和技術標準進行保護。國家信息平安監(jiān)管部門對該級信息系統信息平安等級保護工作進行監(jiān)督、檢查。第四級信息系統運營、使用單位應當依據國家有關管理標準、技術標準和業(yè)務專門需求進行保護。國家信息平安監(jiān)管部門對該級信息系統信息平安等級保護工作進行強制監(jiān)督、檢查。第五級信息系統運營、使用單位應當依據國家管理標準、技術標準和業(yè)務特殊平安需求進行保護。國家指定專門部門對該級信息系統信息平安等級保護工作進行專門監(jiān)督、檢查。第三章等級保護的實施與管理第九條信息系統運營、使用單位應當按照?信息系統平安等級保護實施指南?具體實施等級保護工作。第十條信息系統運營、使用單位應當依據本方法和?信息系統平安等級保護定級指南?確定信息系統的平安保護等級。有主管部門的，應當經主管部門審核批準。跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定平安保護等級。對擬確定為第四級以上信息系統的，運營、使用單位或者主管部門應當請國家信息平安保護等級專家評審委員會評審。第十一條信息系統的平安保護等級確定后，運營、使用單位應當按照國家信息平安等級保護管理標準和技術標準，使用符合國家有關規(guī)定，滿足信息系統平安保護等級需求的信息技術產品，開展信息系統平安建設或者改建工作。第十二條在信息系統建設過程中，運營、使用單位應當按照?計算機信息系統平安保護等級劃分準那么?〔GB17859-1999〕、?信息系統平安等級保護根本要求?等技術標準，參照?信息平安技術信息系統通用平安技術要求?〔GB/T20271-2006〕、?信息平安技術網絡根底平安技術要求?〔GB/T20270-2006〕、?信息平安技術操作系統平安技術要求?〔GB/T20272-2006〕、?信息平安技術數據庫管理系統平安技術要求?〔GB/T20273-2006〕、?信息平安技術效勞器技術要求?、?信息平安技術終端計算機系統平安等級技術要求?〔GA/T671-2006〕等技術標準同步建設符合該等級要求的信息平安設施。第十三條運營、使用單位應當參照?信息平安技術信息系統平安管理要求?〔GB/T20269-2006〕、?信息平安技術信息系統平安工程管理要求?〔GB/T20282-2006〕、?信息系統平安等級保護根本要求?等管理標準，制定并落實符合本系統平安保護等級要求的平安管理制度。第十四條信息系統建設完成后，運營、使用單位或者其主管部門應中選擇符合本方法規(guī)定條件的測評機構，依據?信息系統平安等級保護測評要求?等技術標準，定期對信息系統平安等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊平安需求進行等級測評。信息系統運營、使用單位及其主管部門應當定期對信息系統平安狀況、平安保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查，第四級信息系統應當每半年至少進行一次自查，第五級信息系統應當依據特殊平安需求進行自查。經測評或者自查，信息系統平安狀況未到達平安保護等級要求的，運營、使用單位應當制定方案進行整改。第十五條已運營〔運行〕的第二級以上信息系統，應當在平安保護等級確定后30日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。新建第二級以上信息系統，應當在投入運行后30日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由主管部門向公安部辦理備案手續(xù)。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統，應當向當地設區(qū)的市級以上公安機關備案。第十六條辦理信息系統平安保護等級備案手續(xù)時，應當填寫?信息系統平安等級保護備案表?，第三級以上信息系統應當同時提供以下材料：〔一〕系統拓撲結構及說明；〔二〕系統平安組織機構和管理制度；〔三〕系統平安保護設施設計實施方案或者改建實施方案；〔四〕系統使用的信息平安產品清單及其認證、銷售許可證明；〔五〕測評后符合系統平安保護等級的技術檢測評估報告；〔六〕信息系統平安保護等級專家評審意見；〔七〕主管部門審核批準信息系統平安保護等級的意見。第十七條信息系統備案后，公安機關應當對信息系統的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工作日內頒發(fā)信息系統平安等級保護備案證明；發(fā)現不符合本方法及有關標準的，應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正；發(fā)現定級不準的，應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。運營、使用單位或者主管部門重新確定信息系統等級后，應當按照本方法向公安機關重新備案。第十八條受理備案的公安機關應當對第三級、第四級信息系統的運營、使用單位的信息平安等級保護工作情況進行檢查。對第三級信息系統每年至少檢查一次，對第四級信息系統每半年至少檢查一次。對跨省或者全國統一聯網運行的信息系統的檢查，應當會同其主管部門進行。對第五級信息系統，應當由國家指定的專門部門進行檢查。公安機關、國家指定的專門部門應當對以下事項進行檢查：〔一〕信息系統平安需求是否發(fā)生變化，原定保護等級是否準確；〔二〕運營、使用單位平安管理制度、措施的落實情況；〔三〕運營、使用單位及其主管部門對信息系統平安狀況的檢查情況；〔四〕系統平安等級測評是否符合要求；〔五〕信息平安產品使用是否符合要求；〔六〕信息系統平安整改情況；〔七〕備案材料與運營、使用單位、信息系統的符合情況；〔八〕其他應當進行監(jiān)督檢查的事項。第十九條信息系統運營、使用單位應當接受公安機關、國家指定的專門部門的平安監(jiān)督、檢查、指導，如實向公安機關、國家指定的專門部門提供以下有關信息平安保護的信息資料及數據文件：〔一〕信息系統備案事項變更情況；〔二〕平安組織、人員的變動情況；內容總結

〔1〕信息平安等級保護管理方法

第一章總那么

第一條

為標準信息平安等級保護管理，提高信息平安保障能力和水平，維護國家平安、社會穩(wěn)定和公共利益，保障和促進信息化建設，根據?中華人民共和國計算機信息系統平安保護條例?等有關法律法規(guī)，制定本方法

〔2〕第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家平安造成損害

內容總結