???????????????????

Size: px

Start display at page:

Download "???????????????????"

仇净柳
5 years ago
Views:

1 中华人民共和国信息安全等级保护管理办法公安部国家保密局国家密码管理局国务院信息工作办公室第一章总则第一条为规范信息安全等级保护管理, 提高信息安全保障能力和水平, 维护国家安全社会稳定和公共利益, 保障和促进信息化建设, 根据中华人民共和国计算机信息系统安全保护条例等有关法律法规, 制定本办法第二条国家通过制定统一的信息安全等级保护管理规范和技术标准, 组织公民法人和其他组织对信息系统分等级实行安全保护, 对等级保护工作的实施进行监督管理第三条公安机关负责信息安全等级保护工作的监督检查指导国家保密工作部门负责等级保护工作中有关保密工作的监督检查指导国家密码管理部门负责等级保护工作中有关密码工作的监督检查指导涉及其他职能部门管辖范围的事项, 由有关职能部门依照国家法律法规的规定进行管理国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调第四条信息系统主管部门应当依照本办法及相关标准规范, 督促检查指导本行业本部门或者本地区信息系统运营使用单位的信息安全等级保护工作第五条信息系统的运营使用单位应当依照本办法及其相关标准规范, 履行信息安全等级保护的义务和责任第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级自主保护的原则信息系统的安全保护等级应当根据信息系统在国家安全经济建设社会生活中的重要程度, 信息系统遭到破坏后对国家安全社会秩序公共利益以及公民法人和其他组织的合法权益的危害程度等因素确定第七条信息系统的安全保护等级分为以下五级 : 第一级, 信息系统受到破坏后, 会对公民法人和其他组织的合法权益造成损害, 但不损害国家安全社会秩序和公共利益第二级, 信息系统受到破坏后, 会对公民法人和其他组织的合法权益产生严重损害, 或者对社会秩序和公共利益造成损害, 但不损害国家安全第三级, 信息系统受到破坏后, 会对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害第四级, 信息系统受到破坏后, 会对社会秩序和公共利益造成特别严重损害, 或者对国家安全造成严重损害第五级, 信息系统受到破坏后, 会对国家安全造成特别严重损害第八条信息系统运营使用单位依据本办法和相关技术标准对信息系统进行保护, 国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理第一级信息系统运营使用单位应当依据国家有关管理规范和技术标准进行保

2 护第二级信息系统运营使用单位应当依据国家有关管理规范和技术标准进行保护国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导第三级信息系统运营使用单位应当依据国家有关管理规范和技术标准进行保护国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督检查第四级信息系统运营使用单位应当依据国家有关管理规范技术标准和业务专门需求进行保护国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督检查第五级信息系统运营使用单位应当依据国家管理规范技术标准和业务特殊安全需求进行保护国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督检查第三章等级保护的实施与管理第九条信息系统运营使用单位应当按照信息系统安全等级保护实施指南具体实施等级保护工作第十条信息系统运营使用单位应当依据本办法和信息系统安全等级保护定级指南确定信息系统的安全保护等级有主管部门的, 应当经主管部门审核批准跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级对拟确定为第四级以上信息系统的, 运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审第十一条信息系统的安全保护等级确定后, 运营使用单位应当按照国家信息安全等级保护管理规范和技术标准, 使用符合国家有关规定, 满足信息系统安全保护等级需求的信息技术产品, 开展信息系统安全建设或者改建工作第十二条在信息系统建设过程中, 运营使用单位应当按照计算机信息系统安全保护等级划分准则 (GB ) 信息系统安全等级保护基本要求等技术标准, 参照信息安全技术信息系统通用安全技术要求 ( GB/T ) 信息安全技术网络基础安全技术要求 ( GB/T ) 信息安全技术操作系统安全技术要求 ( GB/T ) 信息安全技术数据库管理系统安全技术要求 (GB/T ) 信息安全技术服务器技术要求信息安全技术终端计算机系统安全等级技术要求 (GA/T ) 等技术标准同步建设符合该等级要求的信息安全设施第十三条运营使用单位应当参照信息安全技术信息系统安全管理要求 ( GB/T ) 信息安全技术信息系统安全工程管理要求 (GB/T ) 信息系统安全等级保护基本要求等管理规范, 制定并落实符合本系统安全保护等级要求的安全管理制度第十四条信息系统建设完成后, 运营使用单位或者其主管部门应当选择符合本办法规定条件的测评机构, 依据信息系统安全等级保护测评要求等技术标准, 定期对信息系统安全等级状况开展等级测评第三级信息系统应当每年至少进行一次等级测评, 第四级信息系统应当每半年至少进行一次等级测评, 第五级

3 信息系统应当依据特殊安全需求进行等级测评信息系统运营使用单位及其主管部门应当定期对信息系统安全状况安全保护制度及措施的落实情况进行自查第三级信息系统应当每年至少进行一次自查, 第四级信息系统应当每半年至少进行一次自查, 第五级信息系统应当依据特殊安全需求进行自查经测评或者自查, 信息系统安全状况未达到安全保护等级要求的, 运营使用单位应当制定方案进行整改第十五条已运营 ( 运行 ) 的第二级以上信息系统, 应当在安全保护等级确定后 30 日内, 由其运营使用单位到所在地设区的市级以上公安机关办理备案手续新建第二级以上信息系统, 应当在投入运行后 30 日内, 由其运营使用单位到所在地设区的市级以上公安机关办理备案手续隶属于中央的在京单位, 其跨省或者全国统一联网运行并由主管部门统一定级的信息系统, 由主管部门向公安部办理备案手续跨省或者全国统一联网运行的信息系统在各地运行应用的分支系统, 应当向当地设区的市级以上公安机关备案第十六条办理信息系统安全保护等级备案手续时, 应当填写信息系统安全等级保护备案表, 第三级以上信息系统应当同时提供以下材料 : ( 一 ) 系统拓扑结构及说明 ; ( 二 ) 系统安全组织机构和管理制度 ; ( 三 ) 系统安全保护设施设计实施方案或者改建实施方案 ; ( 四 ) 系统使用的信息安全产品清单及其认证销售许可证明 ; ( 五 ) 测评后符合系统安全保护等级的技术检测评估报告 ; ( 六 ) 信息系统安全保护等级专家评审意见 ; ( 七 ) 主管部门审核批准信息系统安全保护等级的意见第十七条信息系统备案后, 公安机关应当对信息系统的备案情况进行审核, 对符合等级保护要求的, 应当在收到备案材料之日起的 10 个工作日内颁发信息系统安全等级保护备案证明 ; 发现不符合本办法及有关标准的, 应当在收到备案材料之日起的 10 个工作日内通知备案单位予以纠正 ; 发现定级不准的, 应当在收到备案材料之日起的 10 个工作日内通知备案单位重新审核确定运营使用单位或者主管部门重新确定信息系统等级后, 应当按照本办法向公安机关重新备案第十八条受理备案的公安机关应当对第三级第四级信息系统的运营使用单位的信息安全等级保护工作情况进行检查对第三级信息系统每年至少检查一次, 对第四级信息系统每半年至少检查一次对跨省或者全国统一联网运行的信息系统的检查, 应当会同其主管部门进行对第五级信息系统, 应当由国家指定的专门部门进行检查公安机关国家指定的专门部门应当对下列事项进行检查 : ( 一 ) 信息系统安全需求是否发生变化, 原定保护等级是否准确 ; ( 二 ) 运营使用单位安全管理制度措施的落实情况 ; ( 三 ) 运营使用单位及其主管部门对信息系统安全状况的检查情况 ; ( 四 ) 系统安全等级测评是否符合要求 ; ( 五 ) 信息安全产品使用是否符合要求 ; ( 六 ) 信息系统安全整改情况 ; ( 七 ) 备案材料与运营使用单位信息系统的符合情况 ;

4 ( 八 ) 其他应当进行监督检查的事项第十九条信息系统运营使用单位应当接受公安机关国家指定的专门部门的安全监督检查指导, 如实向公安机关国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件 : ( 一 ) 信息系统备案事项变更情况 ; ( 二 ) 安全组织人员的变动情况 ; ( 三 ) 信息安全管理制度措施变更情况 ; ( 四 ) 信息系统运行状况记录 ; ( 五 ) 运营使用单位及主管部门定期对信息系统安全状况的检查记录 ; ( 六 ) 对信息系统开展等级测评的技术测评报告 ; ( 七 ) 信息安全产品使用的变更情况 ; ( 八 ) 信息安全事件应急预案, 信息安全事件应急处置结果报告 ; ( 九 ) 信息系统安全建设整改结果报告第二十条公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的, 应当向运营使用单位发出整改通知运营使用单位应当根据整改通知要求, 按照管理规范和技术标准进行整改整改完成后, 应当将整改报告向公安机关备案必要时, 公安机关可以对整改情况组织检查第二十一条第三级以上信息系统应当选择使用符合以下条件的信息安全产品 : ( 一 ) 产品研制生产单位是由中国公民法人投资或者国家投资或者控股的, 在中华人民共和国境内具有独立的法人资格 ; ( 二 ) 产品的核心技术关键部件具有我国自主知识产权 ; ( 三 ) 产品研制生产单位及其主要业务技术人员无犯罪记录 ; ( 四 ) 产品研制生产单位声明没有故意留有或者设置漏洞后门木马等程序和功能 ; ( 五 ) 对国家安全社会秩序公共利益不构成危害 ; ( 六 ) 对已列入信息安全产品认证目录的, 应当取得国家信息安全产品认证机构颁发的认证证书第二十二条第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评 : ( 一 ) 在中华人民共和国境内注册成立 ( 港澳台地区除外 ); ( 二 ) 由中国公民投资中国法人投资或者国家投资的企事业单位 ( 港澳台地区除外 ); ( 三 ) 从事相关检测评估工作两年以上, 无违法记录 ; ( 四 ) 工作人员仅限于中国公民 ; ( 五 ) 法人及主要业务技术人员无犯罪记录 ; ( 六 ) 使用的技术装备设施应当符合本办法对信息安全产品的要求 ; ( 七 ) 具有完备的保密管理项目管理质量管理人员管理和培训教育等安全管理制度 ; ( 八 ) 对国家安全社会秩序公共利益不构成威胁第二十三条从事信息系统安全等级测评的机构, 应当履行下列义务 : ( 一 ) 遵守国家有关法律法规和技术标准, 提供安全客观公正的检测评估服务, 保证测评的质量和效果 ; ( 二 ) 保守在测评活动中知悉的国家秘密商业秘密和个人隐私, 防范测评风险 ;

5 ( 三 ) 对测评人员进行安全保密教育, 与其签订安全保密责任书, 规定应当履行的安全保密义务和承担的法律责任, 并负责检查落实第五章信息安全等级保护的密码管理第三十四条国家密码管理部门对信息安全等级保护的密码实行分类分级管理根据被保护对象在国家安全社会稳定经济建设中的作用和重要程度, 被保护对象的安全防护要求和涉密程度, 被保护对象被破坏后的危害程度以及密码使用部门的性质等, 确定密码的等级保护准则信息系统运营使用单位采用密码进行等级保护的, 应当遵照信息安全等级保护密码管理办法信息安全等级保护商用密码技术要求等密码管理规定和相关标准第三十五条信息系统安全等级保护中密码的配备使用和管理等, 应当严格执行国家密码管理的有关规定第三十六条信息系统运营使用单位应当充分运用密码技术对信息系统进行保护采用密码对涉及国家秘密的信息和信息系统进行保护的, 应报经国家密码管理局审批, 密码的设计实施使用运行维护和日常管理等, 应当按照国家密码管理有关规定和相关标准执行 ; 采用密码对不涉及国家秘密的信息和信息系统进行保护的, 须遵守商用密码管理条例和密码分类分级保护有关规定与相关标准, 其密码的配备使用情况应当向国家密码管理机构备案第三十七条运用密码技术对信息系统进行系统等级保护建设和整改的, 必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护, 不得采用国外引进或者擅自研制的密码产品 ; 未经批准不得采用含有加密功能的进口信息技术产品第三十八条信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担, 其他任何部门单位和个人不得对密码进行评测和监控第三十九条各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备使用和管理的情况进行检查和测评, 对重要涉密信息系统的密码配备使用和管理情况每两年至少进行一次检查和测评在监督检查过程中, 发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的, 应当按照国家密码管理的相关规定进行处置第六章法律责任第四十条第三级以上信息系统运营使用单位违反本办法规定, 有下列行为之一的, 由公安机关国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正 ; 逾期不改正的, 给予警告, 并向其上级主管部门通报情况, 建议对其直接负责的主管人员和其他直接责任人员予以处理, 并及时反馈处理结果 : ( 一 ) 未按本办法规定备案审批的 ; ( 二 ) 未按本办法规定落实安全管理制度措施的 ; ( 三 ) 未按本办法规定开展系统安全状况检查的 ; ( 四 ) 未按本办法规定开展系统安全技术测评的 ; ( 五 ) 接到整改通知后, 拒不整改的 ; ( 六 ) 未按本办法规定选择使用信息安全产品和测评机构的 ;

6 ( 七 ) 未按本办法规定如实提供有关文件和证明材料的 ; ( 八 ) 违反保密管理规定的 ; ( 九 ) 违反密码管理规定的 ; ( 十 ) 违反本办法其他规定的违反前款规定, 造成严重损害的, 由相关部门依照有关法律法规予以处理第四十一条信息安全监管部门及其工作人员在履行监督管理职责中, 玩忽职守滥用职权徇私舞弊的, 依法给予行政处分 ; 构成犯罪的, 依法追究刑事责任第七章附则第四十二条已运行信息系统的运营使用单位自本办法施行之日起 180 日内确定信息系统的安全保护等级 ; 新建信息系统在设计规划阶段确定安全保护等级第四十三条本办法所称以上包含本数 ( 级 ) 第四十四条本办法自发布之日起施行, 信息安全等级保护管理办法 ( 试行 ) ( 公通字 [2006]7 号 ) 同时废止资料来源 : 新华网 07/24/2007

第一级, 信息系统受到破坏后, 会对公民法人和其他组织的合法权益造成损害, 但不损害国家安全社会秩序和公共利益第二级, 信息系统受到破坏后, 会对公民法人和其他组织的合法权益产生严重损害, 或者对社会秩序和公共利益造成损害, 但不损害国家安全第三级, 信息系统受到破坏后, 会对社会秩序

第一级, 信息系统受到破坏后, 会对公民法人和其他组织的合法权益造成损害, 但不损害国家安全社会秩序和公共利益第二级, 信息系统受到破坏后, 会对公民法人和其他组织的合法权益产生严重损害, 或者对社会秩序和公共利益造成损害, 但不损害国家安全第三级, 信息系统受到破坏后, 会对社会秩序信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理, 提高信息安全保障能力和水平, 维护国家安全社会稳定和公共利益, 保障和促进信息化建设, 根据中华人民共和国计算机信息系统安全保护条例等有关法律法规, 制定本办法第二条国家通过制定统一的信息安全等级保护管理规范和技术标准, 组织公民法人和其他组织对信息系统分等级实行安全保护, 对等级保护工作的实施进行监督管理第三条公安机关负责信息安全等级保护工作的监督