管理和保護辦法,為規範信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規,制定本辦法。
基本介紹
- 中文名:管理和保護辦法
- 制定目的:規範信息安全等級保護管理。
- 來源:公通字200743號文
- 條數:19條
制定目的
規範信息安全等級保護管理。
公通字200743號文
第一章 總則
第一條
第二條
國家通過制定統一的信息安全等級保護管理規範和技術標準,組織公民、法人和其他組織對信息系統分等級實行安全保護,對等級保護工作的實施進行監督、管理。
第三條
公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。涉及其他職能部門管轄範圍的事項,由有關職能部門依照國家法律法規的規定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。
第四條
信息系統主管部門應當依照本辦法及相關標準規範,督促、檢查、指導本行業、本部門或者本地區信息系統運營、使用單位的信息安全等級保護工作。
第五條
信息系統的運營、使用單位應當依照本辦法及其相關標準規範,履行信息安全等級保護的義務和責任。
第六條
國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。
第七條
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
第八條
信息系統運營、使用單位依據本辦法和相關技術標準對信息系統進行保護,國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。
第一級信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。
第二級信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。
第三級信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。
第四級信息系統運營、使用單位應當依據國家有關管理規範、技術標準和業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。
第五級信息系統運營、使用單位應當依據國家管理規範、技術標準和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。
第九條
信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》具體實施等級保護工作。
第十條
信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的,應當經主管部門審核批准。
跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。
對擬確定為第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。
第十一條
信息系統的安全保護等級確定後,運營、使用單位應當按照國家信息安全等級保護管理規範和技術標準,使用符合國家有關規定,滿足信息系統安全保護等級需求的信息技術產品,開展信息系統安全建設或者改建工作。
第十二條
在信息系統建設過程中,運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》(GB17859-1999)、《信息系統安全等級保護基本要求》等技術標準,參照《信息安全技術 信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術 網路基礎安全技術要求》(GB/T20270-2006)、《信息安全技術 作業系統安全技術要求》(GB/T20272-2006)、《信息安全技術 資料庫管理系統安全技術要求》(GB/T20273-2006)、《信息安全技術 伺服器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標準同步建設符合該等級要求的信息安全設施。
第十三條
運營、使用單位應當參照《信息安全技術 信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術 信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理規範,制定並落實符合本系統安全保護等級要求的安全管理制度。
第十四條
信息系統建設完成後,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評。
信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查,第四級信息系統應當每半年至少進行一次自查,第五級信息系統應當依據特殊安全需求進行自查。
經測評或者自查,信息系統安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進行整改。
第十五條
已運營(運行)的第二級以上信息系統,應當在安全保護等級確定後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
新建第二級以上信息系統,應當在投入運行後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
隸屬於中央的在京單位,其跨省或者全國統一聯網運行並由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、套用的分支系統,應當向當地設區的市級以上公安機關備案。
第十六條
辦理信息系統安全保護等級備案手續時,應當填寫《信息系統安全等級保護備案表》,第三級以上信息系統應當同時提供以下材料:
(一)系統拓撲結構及說明;
(二)系統安全組織機構和管理制度;
(三)系統安全保護設施設計實施方案或者改建實施方案;
(四)系統使用的信息安全產品清單及其認證、銷售許可證明;
(五)測評後符合系統安全保護等級的技術檢測評估報告;
(六)信息系統安全保護等級專家評審意見;
(七)主管部門審核批准信息系統安全保護等級的意見。
第十七條
信息系統備案後,公安機關應當對信息系統的備案情況進行審核,對符合等級保護要求的,應當在收到備案材料之日起的10個工作日內頒發信息系統安全等級保護備案證明;發現不符合本辦法及有關標準的,應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正;發現定級不準的,應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。
運營、使用單位或者主管部門重新確定信息系統等級後,應當按照本辦法向公安機關重新備案。
第十八條
受理備案的公安機關應當對第三級、第四級信息系統的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統每年至少檢查一次,對第四級信息系統每半年至少檢查一次。對跨省或者全國統一聯網運行的信息系統的檢查,應當會同其主管部門進行。
對第五級信息系統,應當由國家指定的專門部門進行檢查。
公安機關、國家指定的專門部門應當對下列事項進行檢查:
(一) 信息系統安全需求是否發生變化,原定保護等級是否準確;
(二) 運營、使用單位安全管理制度、措施的落實情況;
(三) 運營、使用單位及其主管部門對信息系統安全狀況的檢查情況;
(四) 系統安全等級測評是否符合要求;
(五) 信息安全產品使用是否符合要求;
(六) 信息系統安全整改情況;
(七) 備案材料與運營、使用單位、信息系統的符合情況;
(八) 其他應當進行監督檢查的事項。
第十九條
信息系統運營、使用單位應當接受公安機關、國家指定的專門部門的安全監督、檢查、指導,如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信息資料及數據檔案:
(一) 信息系統備案事項變更情況;
(二) 安全組織、人員的變動情況;
(三) 信息安全管理制度、措施變更情況;
(四) 信息系統運行狀況記錄;
(五) 運營、使用單位及主管部門定期對信息系統安全狀況的檢查記錄;
(六) 對信息系統開展等級測評的技術測評報告;
(七) 信息安全產品使用的變更情況;
(八) 信息安全事件應急預案,信息安全事件應急處置結果報告;
(九) 信息系統安全建設、整改結果報告。
