信息安全等级保护管理办法.docx
- 文档编号:12737939
- 上传时间:2023-06-07
- 格式:DOCX
- 页数:14
- 大小:53.35KB
信息安全等级保护管理办法.docx
《信息安全等级保护管理办法.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护管理办法.docx(14页珍藏版)》请在冰点文库上搜索。
信息安全等级保护管理办法
《信息安全等级保护管理办法》
第一章总则
第一条为规范信息安全等级爱护治理,提升信息安全保证能力和水平,爱护国家安全、社会稳固和公共利益,保证和促进信息化建设,按照《中华人民共和国运算机信息系统安全爱护条例》等有关法律法规,制定本方法。
第二条国家通过制定统一的信息安全等级爱护治理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全爱护,对等级爱护工作的实施进行监督、治理。
第三条公安机关负责信息安全等级爱护工作的监督、检查、指导。
国家保密工作部门负责等级爱护工作中有关保密工作的监督、检查、指导。
国家密码治理部门负责等级爱护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范畴的事项,由有关职能部门按照国家法律法规的规定进行治理。
国务院信息化工作办公室及地点信息化领导小组办事机构负责等级爱护工作的部门间和谐。
第四条信息系统主管部门应当按照本方法及有关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级爱护工作。
第五条信息系统的运营、使用单位应当按照本方法及其有关标准规范,履行信息安全等级爱护的义务和责任。
第二章等级划分与爱护
第六条国家信息安全等级爱护坚持自主定级、自主爱护的原则。
信息系统的安全爱护等级应当按照信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全爱护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严峻损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严峻损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成专门严峻损害,或者对国家安全造成严峻损害。
第五级,信息系统受到破坏后,会对国家安全造成专门严峻损害。
第八条信息系统运营、使用单位依据本方法和有关技术标准对信息系统进行爱护,国家有关信息安全监管部门对其信息安全等级爱护工作进行监督治理。
第一级信息系统运营、使用单位应当依据国家有关治理规范和技术标准进行爱护。
第二级信息系统运营、使用单位应当依据国家有关治理规范和技术标准进行爱护。
国家信息安全监管部门对该级信息系统信息安全等级爱护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关治理规范和技术标准进行爱护。
国家信息安全监管部门对该级信息系统信息安全等级爱护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关治理规范、技术标准和业务专门需求进行爱护。
国家信息安全监管部门对该级信息系统信息安全等级爱护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家治理规范、技术标准和业务专门安全需求进行爱护。
国家指定专门部门对该级信息系统信息安全等级爱护工作进行专门监督、检查。
第三章等级爱护的实施与治理
第九条信息系统运营、使用单位应当按照《信息系统安全等级爱护实施指南》具体实施等级爱护工作。
第十条信息系统运营、使用单位应当依据本方法和《信息系统安全等级爱护定级指南》确定信息系统的安全爱护等级。
有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统能够由主管部门统一确定安全爱护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全爱护等级专家评审委员会评审。
第十一条信息系统的安全爱护等级确定后,运营、使用单位应当按照国家信息安全等级爱护治理规范和技术标准,使用符合国家有关规定,满足信息系统安全爱护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
第十二条在信息系统建设过程中,运营、使用单位应当按照《运算机信息系统安全爱护等级划分准则》(GB17859-1999)、《信息系统安全等级爱护差不多要求》等技术标准,参照《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006))《信息安全技术网络基础安全技术要求》(GB/T20270-2006)《信息安全技术操作系统安全技术要求》(GB/T20272-2006)《信息安全技术数据库治理系统安全技术要求》(GB/T20273-2006)《信息安全技术服务器技术要求》、《信息安全技术终端运算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。
第十三条运营、使用单位应当参照《信息安全技术信息系统安全治理要求》(GB/T20269-2006)、《信息安全技术信息系统安全工程治理要求》(GB/T20282-2006)、《信息系统安全等级爱护差不多要求》等治理规范,制定并落实符合本系统安全爱护等级要求的安全治理制度。
第十四条信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本方法规定条件的测评机构,依据《信息系统安全等级爱护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至
少进行一次等级测评,第五级信息系统应当依据专门安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全爱护制度及措施的落实情形进行自查。
第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据专门安全需求进行自查。
经测评或者自查,信息系统安全状况未达到安全爱护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条已运营(运行)的第二级以上信息系统,应当在安全爱护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第十六条办理信息系统安全爱护等级备案手续时,应当填写《信息系统安全等级爱护备案表》,第三级以上信息系统应当同时提供以下材料:
系统拓扑结构及讲明;系统安全组织机构和治理制度;系统安全爱护设施设计实施方案或者改建实施方案;系统使用的信息安全产品清单及其认证、销售许可证明;测评后符合系统安全爱护等级的技术检测评估报告;信息系统安全爱护等级专家评审意见;主管部门审核批准信息系统安全爱护等级的意见。
应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发觉定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本方法向公安机关重新备案。
第十八条受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级爱护工作情形进行检查。
对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。
对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门应当对下列事项进行检查:
(一)信息系统安全需求是否发生变化,原定爱护等级是否准确;
(二)运营、使用单位安全治理制度、措施的落实情形;
(三)运营、使用单位及其主管部门对信息系统安全状况的检查情形;
(四)
(五)
(六)
(七)
(八)
系统安全等级测评是否符合要求;信息安全产品使用是否符合要求;信息系统安全整改情形;备案材料与运营、使用单位、信息系统的符合情形;其他应当进行监督检查的事项。
(四)
(五)录;
第十九条信息系统运营、使用单位应当同意公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全爱护的信息资料及数据文件:
信息系统备案事项变更情形;安全组织、人员的变动情形;信息安全治理制度、措施变更情形;信息系统运行状况记录;运营、使用单位及主管部门定期对信息系统安全状况的检查记
(六)
(七)
(八)
(九)
对信息系统开展等级测评的技术测评报告;
信息安全产品使用的变更情形;
信息安全事件应急预案,信息安全事件应急处置结果报告;信息系统安全建设、整改结果报告。
第二十条公安机关检查发觉信息系统安全爱护状况不符合信息安全等级爱护有关治理规范和技术标准的,应当向运营、使用单位发出整改通知。
运营、使用单位应当按照整改通知要求,按照治理规范和技术标准进行整改。
整改完成后,应当将整改报告向公安机关备案。
必要时,公安机关能够对整改情形组织检查。
第二十一条第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
产品研制、生产单位是由中国公民、法人投资或者国家投资或
者控股的,
(四)
在中华人民共和国境内具有独立的法人资格;
产品的核心技术、关键部件具有我国自主知识产权;
产品研制、生产单位及其要紧业务、技术人员无犯罪记录;产品研制、生产单位声明没有有意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证名目的,应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条第三级以上信息系统应当选择符合下列条件的等级爱护测评机构进行测评:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)从事有关检测评估工作两年以上,无违法记录;
(四)工作人员仅限于中国公民;
(五)法人及要紧业务、技术人员无犯罪记录;
六)使用的技术装备、设施应当符合本方法对信息安全产品的要求;
(七)具有完备的保密治理、项目治理、质量治理、人员治理和培训教育等安全治理制度;
(八)对国家安全、社会秩序、公共利益不构成威逼。
第二十三条从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公平的检测评估服务,保证测评的质量和成效;
(二)保守在测评活动中知悉的国家隐秘、商业隐秘和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第三章等级爱护的实施与治理
第九条信息系统运营、使用单位应当按照《信息系统安全等级爱护实施指南》具体实施等级爱护工作。
第十条信息系统运营、使用单位应当依据本方法和《信息系统安全等级爱护定级指南》确定信息系统的安全爱护等级。
有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统能够由主管部门统一确定安全爱护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全爱护等级专家评审委员会评审。
第十一条信息系统的安全爱护等级确定后,运营、使用单位应当按照国家信息安全等级爱护治理规范和技术标准,使用符合国家有关规定,满足信息系统安全爱护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
第十二条在信息系统建设过程中,运营、使用单位应当按照《运算机信息系统安全爱护等级划分准则》(GB17859-1999)、《信息系统安全等级爱护差不多要求》等技术标准,参照《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)《信息安全技术操作系统安全技术要求》(GB/T20272-2006)《信息安全技术数据库治理系统安全技术要求》(GB/T20273-2006)《信息安全技术服务器技术要求》、《信息安全技术终端运算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。
第十三条运营、使用单位应当参照《信息安全技术信息系统安全治
理要求》(GB/T20269-2006)、《信息安全技术信息系统安全工程治理要求》(GB/T20282-2006)、《信息系统安全等级爱护差不多要求》等治理规范,制定并落实符合本系统安全爱护等级要求的安全治理制度。
第十四条信息系统建设完成后,运营、使用单位或者其主管部门应当
选择符合本方法规定条件的测评机构,依据《信息系统安全等级爱护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据专门安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全爱护制度及措施的落实情形进行自查。
第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据专门安全需求进行自查。
经测评或者自查,信息系统安全状况未达到安全爱护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条已运营(运行)的第二级以上信息系统,应当在安全爱护等
级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第十六条办理信息系统安全爱护等级备案手续时,应当填写《信息系统安全等级爱护备案表》,第三级以上信息系统应当同时提供以下材料:
系统拓扑结构及讲明;系统安全组织机构和治理制度;系统安全爱护设施设计实施方案或者改建实施方案;系统使用的信息安全产品清单及其认证、销售许可证明;测评后符合系统安全爱护等级的技术检测评估报告;信息系统安全爱护等级专家评审意见;主管部门审核批准信息系统安全爱护等级的意见。
(四)
(五)
(六)
(七)第十七条信息系统备案后,公安机关应当对信息系统的备案情形进行审核,对符合等级爱护要求的,应当在收到备案材料之日起的内颁发信息系统安全等级爱护备案证明;发觉不符合本方法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发觉定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本方法向公安机关重新备案。
第十八条受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级爱护工作情形进行检查。
对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。
对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门应当对下列事项进行检查:
(一)信息系统安全需求是否发生变化,原定爱护等级是否准确;
10个工作日
(二)运营、使用单位安全治理制度、措施的落实情形;
运营、使用单位及其主管部门对信息系统安全状况的检查情形;
(四)
(五)
(六)
(七)
(八)
系统安全等级测评是否符合要求;信息安全产品使用是否符合要求;信息系统安全整改情形;
备案材料与运营、使用单位、信息系统的符合情形;其他应当进行监督检查的事项。
第十九条信息系统运营、使用单位应当同意公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全爱护的信息资料及数据文件:
信息系统备案事项变更情形;
安全组织、人员的变动情形;
信息安全治理制度、措施变更情形;
信息系统运行状况记录;运营、使用单位及主管部门定期对信息系统安全状况的检查记
对信息系统开展等级测评的技术测评报告;
信息安全产品使用的变更情形;
信息安全事件应急预案,信息安全事件应急处置结果报告;信息系统安全建设、整改结果报告。
第二十条公安机关检查发觉信息系统安全爱护状况不符合信息安全等级爱护有关治理规范和技术标准的,应当向运营、使用单位发出整改通知。
运营、使用单位应当按照整改通知要求,按照治理规范和技术标准进行整改。
整改完成后,应当将整改报告向公安机关备案。
必要时,公安机关能够对整改情形组织检查。
第二十一条第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其要紧业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有有意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证名目的,应当取得国家信息安全产
品认证机构颁发的认证证书。
第二十二条第三级以上信息系统应当选择符合下列条件的等级爱护测评机构进行测评:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
从事有关检测评估工作两年以上,无违法记录;
(四)
(五)
(六)
工作人员仅限于中国公民;法人及要紧业务、技术人员无犯罪记录;使用的技术装备、设施应当符合本方法对信息安全产品的要求;
(七)
具有完备的保密治理、项目治理、质量治理、人员治理和培训教育等安全治理制度;
(八)对国家安全、社会秩序、公共利益不构成威逼。
第二十三条从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公平的检测评估服务,保证测评的质量和成效;
(二)保守在测评活动中知悉的国家隐秘、商业隐秘和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第六章法律责任
(四)
(五)
(六)
(七)
(八)
(九)
(十)
第四十条第三级以上信息系统运营、使用单位违反本方法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作治理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情形,建议对其直截了当负责的主管人员和其他直截了当责任人员予以处理,并及时反馈处理结果:
未按本方法规定备案、审批的;未按本方法规定落实安全治理制度、措施的;未按本方法规定开展系统安全状况检查的;未按本方法规定开展系统安全技术测评的;接到整改通知后,拒不整改的;未按本方法规定选择使用信息安全产品和测评机构的;未按本方法规定如实提供有关文件和证明材料的;违反保密治理规定的;违反密码治理规定的;违反本方法其他规定的。
违反前款规定,造成严峻损害的,由有关部门按照有关法律、法规予以处理。
第四十一条信息安全监管部门及其工作人员在履行监督治理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第七章附则
第四十二条已运行信息系统的运营、使用单位自本方法施行之日起1
80日内确定信息系统的安全爱护等级;新建信息系统在设计、规划时期确定安全爱护等级。
第四十三条本方法所称“以上”包含本数(级)。
第四十四条本方法自公布之日起施行,《信息安全等级爱护治理方法(试行)》(公通字[2006]7号)同时废止。
来源:
公安部网站
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 等级 保护 管理办法
![提示](https://static.bingdoc.com/images/bang_tan.gif)