信息安全等級保護管理辦法

第頁共頁信息安全等級保護管理辦法一、總則信息安全等級保護管理辦法（以下簡稱“辦法”），依據(jù)國家有關法律法規(guī)，配合信息安全等級保護制度的實施，以規(guī)范信息系統(tǒng)安全等級保護的管理，確保信息系統(tǒng)安全運行，保護國家利益和社會公共利益，制定本辦法。二、適用范圍本辦法適用于所有內外部組織和個人使用的、可存儲、處理、傳輸或展示信息的信息系統(tǒng)等級保護的管理。三、等級劃分與評定1.信息系統(tǒng)等級劃分根據(jù)信息系統(tǒng)的安全需求，劃分為四個等級：一級、二級、三級、四級，等級從高到低遞減。1.1一級：具有較高安全需求的信息系統(tǒng)，包括國家重要部門、關鍵基礎設施等；1.2二級：具有一定安全需求的信息系統(tǒng)，包括行業(yè)重要部門、關鍵系統(tǒng)等；1.3三級：具有一般安全需求的信息系統(tǒng)，包括普通企事業(yè)單位、一般系統(tǒng)等；1.4四級：具有較低安全需求的信息系統(tǒng)，包括個人或家庭使用的系統(tǒng)等。2.信息系統(tǒng)等級評定信息系統(tǒng)管理機構根據(jù)信息系統(tǒng)規(guī)模、功能、重要性、安全需求等因素，進行等級評定，并依據(jù)評定結果，給予相應的保護措施。四、等級保護管理機構設立信息等級保護管理機構，負責統(tǒng)籌信息系統(tǒng)等級保護工作，主要職責包括：1.制定和完善信息安全等級保護管理制度、規(guī)范和技術標準；2.組織等級評定和審核；3.協(xié)調各相關部門和單位，推進信息安全等級保護工作；4.監(jiān)督、檢查信息系統(tǒng)等級保護的實施情況；5.組織信息安全等級保護的宣傳教育和培訓工作；6.處理信息安全等級保護相關的投訴和舉報。五、等級保護責任各內外部組織和個人應當履行等級保護責任，包括但不限于以下方面：1.提供真實、完整、準確的等級保護申報材料；2.根據(jù)實際需求，建立和完善信息安全管理制度和技術措施；3.配合信息安全等級評定，提供必要的信息和數(shù)據(jù)；4.定期對信息系統(tǒng)進行安全檢查和漏洞修復；5.進行信息安全意識教育和培訓；6.發(fā)現(xiàn)信息泄漏和安全事件應及時報告等級保護管理機構。六、等級保護措施1.一級信息系統(tǒng)應采取最高級別的保護措施，包括但不限于：1.1建立完善的信息安全管理制度，實施嚴格的權限控制；1.2配備具備高級防護能力的安全設備和系統(tǒng)；1.3對重要的信息進行加密存儲和傳輸；1.4定期開展安全評估和測試。2.二級信息系統(tǒng)應采取適當?shù)谋Ｗo措施，包括但不限于：2.1建立完善的信息安全管理制度，實施嚴格的權限控制；2.2配備具備中級防護能力的安全設備和系統(tǒng)；2.3對敏感信息進行加密存儲和傳輸；2.4定期開展安全評估和測試。3.三級信息系統(tǒng)應采取基本的保護措施，包括但不限于：3.1建立基本的信息安全管理制度，實施限制權限；3.2配備基本的安全設備和系統(tǒng)；3.3對核心信息進行加密存儲和傳輸；3.4定期開展安全評估和測試。4.四級信息系統(tǒng)應采取最低級別的保護措施，包括但不限于：4.1建立基本的信息安全管理制度，限制操作權限；4.2配備基本的安全設備和系統(tǒng)；4.3對重要信息進行備份；4.4采取必要的安全防護措施。七、安全檢查和評估信息等級保護管理機構應定期進行安全檢查和評估，包括但不限于以下內容：1.對信息系統(tǒng)的安全性、完整性、可用性進行評估；2.對信息系統(tǒng)的安全管理制度和技術措施進行檢查；3.對信息系統(tǒng)可能存在的漏洞和威脅進行評估和測試；4.對信息系統(tǒng)維護和備份情況進行檢查；5.根據(jù)評估結果提出改進意見和措施。八、處罰和激勵措施對違反等級保護管理規(guī)定的相關組織和個人，按照國家有關法律法規(guī)進行處罰，包括但不限于以下措施：1.責令改正；2.給予警告；3.暫扣、撤銷相關證照；4.停止相關業(yè)務活動；5.罰款；6.追究刑事責任。對積極履行等級保護責任、未發(fā)生安全事件的組織和個