信息安全等级保护管理办法.doc

1、信息平安等级保护治理方法 第一章 总那么 第一条 为标准信息平安等级保护治理，提高信息平安保障才能和水平，维护国家平安、社会稳定和公共利益，保障和促进信息化建立，按照《中华人民共和国计算机信息系统平安保护条例》等有关法律法规，制定本方法。 第二条 国家通过制定统一的信息平安等级保护治理标准和技术标准，组织公民、法人和其他组织对信息系统分等级实行平安保护，对等级保护工作的施行进展监视、治理。 第三条 公安机关负责信息平安等级保护工作的监视、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监视、检查、指导。国家密码治理部门负责等级保护工作中有关密码工作的监视

2、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门按照国家法律法规的规定进展治理。国务院信息化工作办公室及地点信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条 信息系统主管部门应当按照本方法及相关标准标准，催促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息平安等级保护工作。 第五条 信息系统的运营、使用单位应当按照本方法及其相关标准标准，履行信息平安等级保护的义务和责任。 第二章 等级划分与保护 第六条 国家信息平安等级保护坚持自主定级、自主保护的原那么。信息系统的平安保护等级应当按照信息系统在国家平安、经济建立、社会生活中的

3、重要程度，信息系统遭到破坏后对国家平安、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等要素确定。 第七条 信息系统的平安保护等级分为以下五级： 第一级，信息系统遭到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家平安、社会秩序和公共利益。 第二级，信息系统遭到破坏后，会对公民、法人和其他组织的合法权益产生严峻损害，或者对社会秩序和公共利益造成损害，但不损害国家平安。 第三级，信息系统遭到破坏后，会对社会秩序和公共利益造成严峻损害，或者对国家平安造成损害。 第四级，信息系统遭到破坏后，会对社会秩序和公共利益造成特别严峻损害，或者对国家平安

4、造成严峻损害。 第五级，信息系统遭到破坏后，会对国家平安造成特别严峻损害。 第八条 信息系统运营、使用单位按照本方法和相关技术标准对信息系统进展保护，国家有关信息平安监管部门对其信息平安等级保护工作进展监视治理。 第一级信息系统运营、使用单位应当按照国家有关治理标准和技术标准进展保护。 第二级信息系统运营、使用单位应当按照国家有关治理标准和技术标准进展保护。国家信息平安监管部门对该级信息系统信息平安等级保护工作进展指导。 第三级信息系统运营、使用单位应当按照国家有关治理标准和技术标准进展保护。国家信息平安监管部门对该级信息系统信息平安等级保护工作进展监视、检查。 第

5、四级信息系统运营、使用单位应当按照国家有关治理标准、技术标准和业务专门需求进展保护。国家信息平安监管部门对该级信息系统信息平安等级保护工作进展强迫监视、检查。 第五级信息系统运营、使用单位应当按照国家治理标准、技术标准和业务特别平安需求进展保护。国家指定专门部门对该级信息系统信息平安等级保护工作进展专门监视、检查。 第三章 等级保护的施行与治理 第九条 信息系统运营、使用单位应当按照《信息系统平安等级保护施行指南》详细施行等级保护工作。 第十条 信息系统运营、使用单位应当按照本方法和《信息系统平安等级保护定级指南》确定信息系统的平安保护等级。有主管部门的，应当经主管部门

6、审核批准。 跨省或者全国统一联网运转的信息系统能够由主管部门统一确定平安保护等级。 对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息平安保护等级专家评审委员会评审。 第十一条 信息系统的平安保护等级确定后，运营、使用单位应当按照国家信息平安等级保护治理标准和技术标准，使用符合国家有关规定，满足信息系统平安保护等级需求的信息技术产品，开展信息系统平安建立或者改建工作。 第十二条 在信息系统建立过程中，运营、使用单位应当按照《计算机信息系统平安保护等级划分准那么》（GB17859-1999）、《信息系统平安等级保护根本要求》等技术标准，参照《信息平安

7、技术 信息系统通用平安技术要求》（GB/T20271-2006）、《信息平安技术 网络根底平安技术要求》（GB/T20270-2006）、《信息平安技术 操作系统平安技术要求》（GB/T20272-2006）、《信息平安技术 数据库治理系统平安技术要求》（GB/T20273-2006）、《信息平安技术 效劳器技术要求》、《信息平安技术 终端计算机系统平安等级技术要求》（GA/T671-2006）等技术标准同步建立符合该等级要求的信息平安设备。 第十三条 运营、使用单位应当参照《信息平安技术 信息系统平安治理要求》（GB/T20269-2006）、《信息平安技术 信息系统平安工程治理要求

8、》（GB/T20282-2006）、《信息系统平安等级保护根本要求》等治理标准，制定并落实符合本系统平安保护等级要求的平安治理制度。 第十四条 信息系统建立完成后，运营、使用单位或者其主管部门应中选择符合本方法规定条件的测评机构，按照《信息系统平安等级保护测评要求》等技术标准，定期对信息系统平安等级情况开展等级测评。第三级信息系统应当每年至少进展一次等级测评，第四级信息系统应当每半年至少进展一次等级测评，第五级信息系统应当按照特别平安需求进展等级测评。 信息系统运营、使用单位及其主管部门应当定期对信息系统平安情况、平安保护制度及措施的落实情况进展自查。第三级信息系统应当每年至少进展

9、一次自查，第四级信息系统应当每半年至少进展一次自查，第五级信息系统应当按照特别平安需求进展自查。 经测评或者自查，信息系统平安情况未到达平安保护等级要求的，运营、使用单位应当制定方案进展整改。 第十五条 已运营（运转）的第二级以上信息系统，应当在平安保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统，应当在投入运转后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 隶属于中央的在京单位，其跨省或者全国统一联网运转并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一

10、联网运转的信息系统在各地运转、应用的分支系统，应当向当地设区的市级以上公安机关备案。 第十六条 办理信息系统平安保护等级备案手续时，应当填写《信息系统平安等级保护备案表》，第三级以上信息系统应当同时提供以下材料： （一）系统拓扑构造及说明； （二）系统平安组织机构和治理制度； （三）系统平安保护设备设计施行方案或者改建施行方案； （四）系统使用的信息平安产品清单及其认证、销售许可证明； （五）测评后符合系统平安保护等级的技术检测评估报告； （六）信息系统平安保护等级专家评审意见； （七）主管部门审核批准信息系统平安保护等级的意见。 第十七条 信息系统

11、备案后，公安机关应当对信息系统的备案情况进展审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统平安等级保护备案证明；觉察不符合本方法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；觉察定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。 运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本方法向公安机关重新备案。 第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息平安等级保护工作情况进展检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对

12、跨省或者全国统一联网运转的信息系统的检查，应当会同其主管部门进展。 对第五级信息系统，应当由国家指定的专门部门进展检查。 公安机关、国家指定的专门部门应当对以下事项进展检查： （一） 信息系统平安需求是否发生变化，原定保护等级是否精确； （二） 运营、使用单位平安治理制度、措施的落实情况； （三） 运营、使用单位及其主管部门对信息系统平安情况的检查情况； （四） 系统平安等级测评是否符合要求； （五） 信息平安产品使用是否符合要求； （六） 信息系统平安整改情况； （七） 备案材料与运营、使用单位、信息系统的符合情况； （八） 其他应当进展监视检查的事项。 第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的平安监视、检查、指导，如实向公安机关、国家指定的专门部门提供以下有关信息平安保护的信息材料及数据文件： （一） 信息系统备案事项变更情况； （二） 平安组织、人员的变动情况；