信息安全等級保護(hù)管理辦法
信息安全等級保護(hù)管理辦法
《信息安全等級保護(hù)管理辦法》是為規(guī)范信息安全等級保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國家安全、社會穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè),根據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)而制定的辦法。由四部委下發(fā),公通字200743號文。
中文名 信息安全等級保護(hù)管理辦法 文 號 公通字[2007]43號 制定目的 規(guī)范信息安全等級保護(hù)管理
目錄
1 第一章 總則
2 第二章 等級劃分與保護(hù)
3 第三章 等級保護(hù)的實施與管理
4 第四章 涉密信息系統(tǒng)的分級保護(hù)管理
5 第五章 信息安全等級保護(hù)的密碼管理
6 第六章 法律責(zé)任
7 第七章 附則
第一章 總則編輯
第一條
為規(guī)范信息安全等級保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國家安全、社會穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè),根據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī),制定本辦法。
第二條
國家通過制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護(hù),對等級保護(hù)工作的實施進(jìn)行監(jiān)督、管理。
第三條
公安機(jī)關(guān)負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負(fù)責(zé)等級保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負(fù)責(zé)等級保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項,由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級保護(hù)工作的部門間協(xié)調(diào)。
第四條
信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范,督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護(hù)工作。
第五條
信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范,履行信息安全等級保護(hù)的義務(wù)和責(zé)任。
第二章 等級劃分與保護(hù)編輯
第六條
國家信息安全等級保護(hù)堅持自主定級、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。
第七條
信息系統(tǒng)的安全保護(hù)等級分為以下五級:
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。
第八條
信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù),國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。
第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。
第二級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行指導(dǎo)。
第三級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。
第四級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行強制監(jiān)督、檢查。
第五級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。
第三章 等級保護(hù)的實施與管理編輯
第九條
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級保護(hù)實施指南》具體實施等級保護(hù)工作。
第十條
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級保護(hù)定級指南》確定信息系統(tǒng)的安全保護(hù)等級。有主管部門的,應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。
跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級。
對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護(hù)等級專家評審委員會評審。
第十一條
信息系統(tǒng)的安全保護(hù)等級確定后,運營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者改建工作。
第十二條
在信息系統(tǒng)建設(shè)過程中,運營、使用單位應(yīng)當(dāng)按照《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)、《信息系統(tǒng)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn),參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)、《信息安全技術(shù) 服務(wù)器技術(shù)要求》、《信息安全技術(shù) 終端計算機(jī)系統(tǒng)安全等級技術(shù)要求》(GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。
第十三條
運營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T20269-2006)、《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)、《信息系統(tǒng)安全等級保護(hù)基本要求》等管理規(guī)范,制定并落實符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。
第十四條
信息系統(tǒng)建設(shè)完成后,運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。
信息系統(tǒng)運營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實情況進(jìn)行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。
經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的,運營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。
第十五條
已運營(運行)或新建的第二級以上信息系統(tǒng),應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。
隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)??缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機(jī)關(guān)備案。
第十六條
辦理信息系統(tǒng)安全保護(hù)等級備案手續(xù)時,應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級保護(hù)備案表》,第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料:
(一)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明;
(二)系統(tǒng)安全組織機(jī)構(gòu)和管理制度;
(三)系統(tǒng)安全保護(hù)設(shè)施設(shè)計實施方案或者改建實施方案;
(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明;
(五)測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報告;
(六)信息系統(tǒng)安全保護(hù)等級專家評審意見;
(七)主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。
第十七條
信息系統(tǒng)備案后,公安機(jī)關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進(jìn)行審核,對符合等級保護(hù)要求的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護(hù)備案證明;發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正;發(fā)現(xiàn)定級不準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。
運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后,應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。
第十八條
受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護(hù)工作情況進(jìn)行檢查。對第三級信息系統(tǒng)每年至少檢查一次,對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查,應(yīng)當(dāng)會同其主管部門進(jìn)行。
對第五級信息系統(tǒng),應(yīng)當(dāng)由國家指定的專門部門進(jìn)行檢查。
公安機(jī)關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項進(jìn)行檢查:
(一) 信息系統(tǒng)安全需求是否發(fā)生變化,原定保護(hù)等級是否準(zhǔn)確;
(二) 運營、使用單位安全管理制度、措施的落實情況;
(三) 運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況;
(四) 系統(tǒng)安全等級測評是否符合要求;
(五) 信息安全產(chǎn)品使用是否符合要求;
(六) 信息系統(tǒng)安全整改情況;
(七) 備案材料與運營、使用單位、信息系統(tǒng)的符合情況;
(八) 其他應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項。
第十九條
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo),如實向公安機(jī)關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件:
(一) 信息系統(tǒng)備案事項變更情況;
(二) 安全組織、人員的變動情況;
(三) 信息安全管理制度、措施變更情況;
(四) 信息系統(tǒng)運行狀況記錄;
(五) 運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄;
(六) 對信息系統(tǒng)開展等級測評的技術(shù)測評報告;
(七) 信息安全產(chǎn)品使用的變更情況;
(八) 信息安全事件應(yīng)急預(yù)案,信息安全事件應(yīng)急處置結(jié)果報告;
(九) 信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。
第二十條
公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的,應(yīng)當(dāng)向運營、使用單位發(fā)出整改通知。運營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。整改完成后,應(yīng)當(dāng)將整改報告向公安機(jī)關(guān)備案。必要時,公安機(jī)關(guān)可以對整改情況組織檢查。
第二十一條
第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品:
(一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨立的法人資格;
(二)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán);
(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;
(四)產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能;
(五)對國家安全、社會秩序、公共利益不構(gòu)成危害;
(六)對已列入信息安全產(chǎn)品認(rèn)證目錄的,應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。
第二十二條
第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級保護(hù)測評機(jī)構(gòu)進(jìn)行測評:
(一) 在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外);
(二) 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外);
(三) 從事相關(guān)檢測評估工作兩年以上,無違法記錄;
(四) 工作人員僅限于中國公民;
(五) 法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;
(六) 使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求;
(七) 具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度;
(八) 對國家安全、社會秩序、公共利益不構(gòu)成威脅。
第二十三條
從事信息系統(tǒng)安全等級測評的機(jī)構(gòu),應(yīng)當(dāng)履行下列義務(wù):
(一)遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn),提供安全、客觀、公正的檢測評估服務(wù),保證測評的質(zhì)量和效果;
(二)保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范測評風(fēng)險;
(三)對測評人員進(jìn)行安全保密教育,與其簽訂安全保密責(zé)任書,規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,并負(fù)責(zé)檢查落實。
第四章 涉密信息系統(tǒng)的分級保護(hù)管理編輯
第二十四條
涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護(hù)的基本要求,按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實際情況進(jìn)行保護(hù)。
非涉密信息系統(tǒng)不得處理國家秘密信息等。
第二十五條
涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密、機(jī)密、絕密三個等級。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級保護(hù)管理辦法和國家保密標(biāo)準(zhǔn)BMB17-2006《涉及國家秘密的計算機(jī)信息系統(tǒng)分級保護(hù)技術(shù)要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng),各安全域可以分別確定保護(hù)等級。
保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進(jìn)行系統(tǒng)定級。
第二十六條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級和建設(shè)使用情況,及時上報業(yè)務(wù)主管部門的保密工作機(jī)構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查、指導(dǎo)。
第二十七條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計與實施。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),按照秘密、機(jī)密、絕密三級的不同要求,結(jié)合系統(tǒng)實際進(jìn)行方案設(shè)計,實施分級保護(hù),其保護(hù)水平總體上不低于國家信息安全等級保護(hù)第三級、第四級、第五級的水平。
第二十八條
涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品,并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機(jī)構(gòu)依據(jù)有關(guān)國家保密標(biāo)準(zhǔn)進(jìn)行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。
第二十九條
涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后,應(yīng)當(dāng)向保密工作部門提出申請,由國家保密局授權(quán)的系統(tǒng)測評機(jī)構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)BMB22-2007《涉及國家秘密的計算機(jī)信息系統(tǒng)分級保護(hù)測評指南》,對涉密信息系統(tǒng)進(jìn)行安全保密測評。
涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前,應(yīng)當(dāng)按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》,向設(shè)區(qū)的市級以上保密工作部門申請進(jìn)行系統(tǒng)審批,涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設(shè)使用單位在按照分級保護(hù)要求完成系統(tǒng)整改后,應(yīng)當(dāng)向保密工作部門備案。
第三十條
涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時,應(yīng)當(dāng)提交以下材料:
(一)系統(tǒng)設(shè)計、實施方案及審查論證意見;
(二)系統(tǒng)承建單位資質(zhì)證明材料;
(三)系統(tǒng)建設(shè)和工程監(jiān)理情況報告;
(四)系統(tǒng)安全保密檢測評估報告;
(五)系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況;
(六)其他有關(guān)材料。
第三十一條
涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時,其建設(shè)使用單位應(yīng)當(dāng)及時向負(fù)責(zé)審批的保密工作部門報告。保密工作部門應(yīng)當(dāng)根據(jù)實際情況,決定是否對其重新進(jìn)行測評和審批。
第三十二條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》,加強涉密信息系統(tǒng)運行中的保密管理,定期進(jìn)行風(fēng)險評估,消除泄密隱患和漏洞。
第三十三條
國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護(hù)工作實施監(jiān)督管理,并做好以下工作:
(一)指導(dǎo)、監(jiān)督和檢查分級保護(hù)工作的開展;
(二)指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密,合理確定系統(tǒng)保護(hù)等級;
(三)參與涉密信息系統(tǒng)分級保護(hù)方案論證,指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計;
(四)依法對涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行監(jiān)督管理;
(五)嚴(yán)格進(jìn)行系統(tǒng)測評和審批工作,監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級保護(hù)管理制度和技術(shù)措施的落實情況;
(六)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機(jī)密級信息系統(tǒng)每兩年至少進(jìn)行一次保密檢查或者系統(tǒng)測評,對絕密級信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測評;
(七)了解掌握各級各類涉密信息系統(tǒng)的管理使用情況,及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。
第五章 信息安全等級保護(hù)的密碼管理編輯
第三十四條
國家密碼管理部門對信息安全等級保護(hù)的密碼實行分類分級管理。根據(jù)被保護(hù)對象在國家安全、社會穩(wěn)定、經(jīng)濟(jì)建設(shè)中的作用和重要程度,被保護(hù)對象的安全防護(hù)要求和涉密程度,被保護(hù)對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級保護(hù)準(zhǔn)則。
信息系統(tǒng)運營、使用單位采用密碼進(jìn)行等級保護(hù)的,應(yīng)當(dāng)遵照《信息安全等級保護(hù)密碼管理辦法》、《信息安全等級保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。
第三十五條
信息系統(tǒng)安全等級保護(hù)中密碼的配備、使用和管理等,應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。
第三十六條
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)充分運用密碼技術(shù)對信息系統(tǒng)進(jìn)行保護(hù)。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的,應(yīng)報經(jīng)國家密碼管理局審批,密碼的設(shè)計、實施、使用、運行維護(hù)和日常管理等,應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行;采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的,須遵守《商用密碼管理條例》和密碼分類分級保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn),其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機(jī)構(gòu)備案。
第三十七條
運用密碼技術(shù)對信息系統(tǒng)進(jìn)行系統(tǒng)等級保護(hù)建設(shè)和整改的,必須采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進(jìn)行安全保護(hù),不得采用國外引進(jìn)或者擅自研制的密碼產(chǎn)品;未經(jīng)批準(zhǔn)不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。
第三十八條
信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認(rèn)可的測評機(jī)構(gòu)承擔(dān),其他任何部門、單位和個人不得對密碼進(jìn)行評測和監(jiān)控。
第三十九條
各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護(hù)工作中密碼配備、使用和管理的情況進(jìn)行檢查和測評,對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進(jìn)行一次檢查和測評。在監(jiān)督檢查過程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá)到密碼相關(guān)標(biāo)準(zhǔn)要求的,應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進(jìn)行處置。
第六章 法律責(zé)任編輯
第四十條
第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定,有下列行為之一的,由公安機(jī)關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正;逾期不改正的,給予警告,并向其上級主管部門通報情況,建議對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理,并及時反饋處理結(jié)果:
(一) 未按本辦法規(guī)定備案、審批的;
(二) 未按本辦法規(guī)定落實安全管理制度、措施的;
(三) 未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的;
(四) 未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的;
(五) 接到整改通知后,拒不整改的;
(六) 未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機(jī)構(gòu)的;
(七) 未按本辦法規(guī)定如實提供有關(guān)文件和證明材料的;
(八) 違反保密管理規(guī)定的;
(九) 違反密碼管理規(guī)定的;
(十) 違反本辦法其他規(guī)定的。
違反前款規(guī)定,造成嚴(yán)重?fù)p害的,由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。
第四十一條
信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中,玩忽職守、濫用職權(quán)、徇私舞弊的,依法給予行政處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第七章 附則編輯
第四十二條
已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護(hù)等級;新建信息系統(tǒng)在設(shè)計、規(guī)劃階段確定安全保護(hù)等級。
第四十三條
本辦法所稱“以上”包含本數(shù)(級)。
第四十四條
本辦法自發(fā)布之日起施行,《信息安全等級保護(hù)管理辦法(試行)》(公通字[2006]7號)同時廢止。
《信息安全等級保護(hù)管理辦法》是為規(guī)范信息安全等級保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國家安全、社會穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè),根據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)而制定的辦法。由四部委下發(fā),公通字200743號文。
中文名 信息安全等級保護(hù)管理辦法 文 號 公通字[2007]43號 制定目的 規(guī)范信息安全等級保護(hù)管理
目錄
1 第一章 總則
2 第二章 等級劃分與保護(hù)
3 第三章 等級保護(hù)的實施與管理
4 第四章 涉密信息系統(tǒng)的分級保護(hù)管理
5 第五章 信息安全等級保護(hù)的密碼管理
6 第六章 法律責(zé)任
7 第七章 附則
第一章 總則編輯
第一條
為規(guī)范信息安全等級保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國家安全、社會穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè),根據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī),制定本辦法。
第二條
國家通過制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護(hù),對等級保護(hù)工作的實施進(jìn)行監(jiān)督、管理。
第三條
公安機(jī)關(guān)負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負(fù)責(zé)等級保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負(fù)責(zé)等級保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項,由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級保護(hù)工作的部門間協(xié)調(diào)。
第四條
信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范,督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護(hù)工作。
第五條
信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范,履行信息安全等級保護(hù)的義務(wù)和責(zé)任。
第二章 等級劃分與保護(hù)編輯
第六條
國家信息安全等級保護(hù)堅持自主定級、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。
第七條
信息系統(tǒng)的安全保護(hù)等級分為以下五級:
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。
第八條
信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù),國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。
第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。
第二級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行指導(dǎo)。
第三級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。
第四級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行強制監(jiān)督、檢查。
第五級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。
第三章 等級保護(hù)的實施與管理編輯
第九條
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級保護(hù)實施指南》具體實施等級保護(hù)工作。
第十條
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級保護(hù)定級指南》確定信息系統(tǒng)的安全保護(hù)等級。有主管部門的,應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。
跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級。
對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護(hù)等級專家評審委員會評審。
第十一條
信息系統(tǒng)的安全保護(hù)等級確定后,運營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者改建工作。
第十二條
在信息系統(tǒng)建設(shè)過程中,運營、使用單位應(yīng)當(dāng)按照《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)、《信息系統(tǒng)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn),參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)、《信息安全技術(shù) 服務(wù)器技術(shù)要求》、《信息安全技術(shù) 終端計算機(jī)系統(tǒng)安全等級技術(shù)要求》(GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。
第十三條
運營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T20269-2006)、《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)、《信息系統(tǒng)安全等級保護(hù)基本要求》等管理規(guī)范,制定并落實符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。
第十四條
信息系統(tǒng)建設(shè)完成后,運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。
信息系統(tǒng)運營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實情況進(jìn)行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。
經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的,運營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。
第十五條
已運營(運行)或新建的第二級以上信息系統(tǒng),應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。
隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)??缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機(jī)關(guān)備案。
第十六條
辦理信息系統(tǒng)安全保護(hù)等級備案手續(xù)時,應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級保護(hù)備案表》,第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料:
(一)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明;
(二)系統(tǒng)安全組織機(jī)構(gòu)和管理制度;
(三)系統(tǒng)安全保護(hù)設(shè)施設(shè)計實施方案或者改建實施方案;
(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明;
(五)測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報告;
(六)信息系統(tǒng)安全保護(hù)等級專家評審意見;
(七)主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。
第十七條
信息系統(tǒng)備案后,公安機(jī)關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進(jìn)行審核,對符合等級保護(hù)要求的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護(hù)備案證明;發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正;發(fā)現(xiàn)定級不準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。
運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后,應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。
第十八條
受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護(hù)工作情況進(jìn)行檢查。對第三級信息系統(tǒng)每年至少檢查一次,對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查,應(yīng)當(dāng)會同其主管部門進(jìn)行。
對第五級信息系統(tǒng),應(yīng)當(dāng)由國家指定的專門部門進(jìn)行檢查。
公安機(jī)關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項進(jìn)行檢查:
(一) 信息系統(tǒng)安全需求是否發(fā)生變化,原定保護(hù)等級是否準(zhǔn)確;
(二) 運營、使用單位安全管理制度、措施的落實情況;
(三) 運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況;
(四) 系統(tǒng)安全等級測評是否符合要求;
(五) 信息安全產(chǎn)品使用是否符合要求;
(六) 信息系統(tǒng)安全整改情況;
(七) 備案材料與運營、使用單位、信息系統(tǒng)的符合情況;
(八) 其他應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項。
第十九條
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo),如實向公安機(jī)關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件:
(一) 信息系統(tǒng)備案事項變更情況;
(二) 安全組織、人員的變動情況;
(三) 信息安全管理制度、措施變更情況;
(四) 信息系統(tǒng)運行狀況記錄;
(五) 運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄;
(六) 對信息系統(tǒng)開展等級測評的技術(shù)測評報告;
(七) 信息安全產(chǎn)品使用的變更情況;
(八) 信息安全事件應(yīng)急預(yù)案,信息安全事件應(yīng)急處置結(jié)果報告;
(九) 信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。
第二十條
公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的,應(yīng)當(dāng)向運營、使用單位發(fā)出整改通知。運營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。整改完成后,應(yīng)當(dāng)將整改報告向公安機(jī)關(guān)備案。必要時,公安機(jī)關(guān)可以對整改情況組織檢查。
第二十一條
第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品:
(一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨立的法人資格;
(二)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán);
(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;
(四)產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能;
(五)對國家安全、社會秩序、公共利益不構(gòu)成危害;
(六)對已列入信息安全產(chǎn)品認(rèn)證目錄的,應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。
第二十二條
第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級保護(hù)測評機(jī)構(gòu)進(jìn)行測評:
(一) 在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外);
(二) 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外);
(三) 從事相關(guān)檢測評估工作兩年以上,無違法記錄;
(四) 工作人員僅限于中國公民;
(五) 法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;
(六) 使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求;
(七) 具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度;
(八) 對國家安全、社會秩序、公共利益不構(gòu)成威脅。
第二十三條
從事信息系統(tǒng)安全等級測評的機(jī)構(gòu),應(yīng)當(dāng)履行下列義務(wù):
(一)遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn),提供安全、客觀、公正的檢測評估服務(wù),保證測評的質(zhì)量和效果;
(二)保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范測評風(fēng)險;
(三)對測評人員進(jìn)行安全保密教育,與其簽訂安全保密責(zé)任書,規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,并負(fù)責(zé)檢查落實。
第四章 涉密信息系統(tǒng)的分級保護(hù)管理編輯
第二十四條
涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護(hù)的基本要求,按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實際情況進(jìn)行保護(hù)。
非涉密信息系統(tǒng)不得處理國家秘密信息等。
第二十五條
涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密、機(jī)密、絕密三個等級。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級保護(hù)管理辦法和國家保密標(biāo)準(zhǔn)BMB17-2006《涉及國家秘密的計算機(jī)信息系統(tǒng)分級保護(hù)技術(shù)要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng),各安全域可以分別確定保護(hù)等級。
保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進(jìn)行系統(tǒng)定級。
第二十六條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級和建設(shè)使用情況,及時上報業(yè)務(wù)主管部門的保密工作機(jī)構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查、指導(dǎo)。
第二十七條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計與實施。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),按照秘密、機(jī)密、絕密三級的不同要求,結(jié)合系統(tǒng)實際進(jìn)行方案設(shè)計,實施分級保護(hù),其保護(hù)水平總體上不低于國家信息安全等級保護(hù)第三級、第四級、第五級的水平。
第二十八條
涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品,并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機(jī)構(gòu)依據(jù)有關(guān)國家保密標(biāo)準(zhǔn)進(jìn)行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。
第二十九條
涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后,應(yīng)當(dāng)向保密工作部門提出申請,由國家保密局授權(quán)的系統(tǒng)測評機(jī)構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)BMB22-2007《涉及國家秘密的計算機(jī)信息系統(tǒng)分級保護(hù)測評指南》,對涉密信息系統(tǒng)進(jìn)行安全保密測評。
涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前,應(yīng)當(dāng)按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》,向設(shè)區(qū)的市級以上保密工作部門申請進(jìn)行系統(tǒng)審批,涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設(shè)使用單位在按照分級保護(hù)要求完成系統(tǒng)整改后,應(yīng)當(dāng)向保密工作部門備案。
第三十條
涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時,應(yīng)當(dāng)提交以下材料:
(一)系統(tǒng)設(shè)計、實施方案及審查論證意見;
(二)系統(tǒng)承建單位資質(zhì)證明材料;
(三)系統(tǒng)建設(shè)和工程監(jiān)理情況報告;
(四)系統(tǒng)安全保密檢測評估報告;
(五)系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況;
(六)其他有關(guān)材料。
第三十一條
涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時,其建設(shè)使用單位應(yīng)當(dāng)及時向負(fù)責(zé)審批的保密工作部門報告。保密工作部門應(yīng)當(dāng)根據(jù)實際情況,決定是否對其重新進(jìn)行測評和審批。
第三十二條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》,加強涉密信息系統(tǒng)運行中的保密管理,定期進(jìn)行風(fēng)險評估,消除泄密隱患和漏洞。
第三十三條
國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護(hù)工作實施監(jiān)督管理,并做好以下工作:
(一)指導(dǎo)、監(jiān)督和檢查分級保護(hù)工作的開展;
(二)指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密,合理確定系統(tǒng)保護(hù)等級;
(三)參與涉密信息系統(tǒng)分級保護(hù)方案論證,指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計;
(四)依法對涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行監(jiān)督管理;
(五)嚴(yán)格進(jìn)行系統(tǒng)測評和審批工作,監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級保護(hù)管理制度和技術(shù)措施的落實情況;
(六)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機(jī)密級信息系統(tǒng)每兩年至少進(jìn)行一次保密檢查或者系統(tǒng)測評,對絕密級信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測評;
(七)了解掌握各級各類涉密信息系統(tǒng)的管理使用情況,及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。
第五章 信息安全等級保護(hù)的密碼管理編輯
第三十四條
國家密碼管理部門對信息安全等級保護(hù)的密碼實行分類分級管理。根據(jù)被保護(hù)對象在國家安全、社會穩(wěn)定、經(jīng)濟(jì)建設(shè)中的作用和重要程度,被保護(hù)對象的安全防護(hù)要求和涉密程度,被保護(hù)對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級保護(hù)準(zhǔn)則。
信息系統(tǒng)運營、使用單位采用密碼進(jìn)行等級保護(hù)的,應(yīng)當(dāng)遵照《信息安全等級保護(hù)密碼管理辦法》、《信息安全等級保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。
第三十五條
信息系統(tǒng)安全等級保護(hù)中密碼的配備、使用和管理等,應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。
第三十六條
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)充分運用密碼技術(shù)對信息系統(tǒng)進(jìn)行保護(hù)。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的,應(yīng)報經(jīng)國家密碼管理局審批,密碼的設(shè)計、實施、使用、運行維護(hù)和日常管理等,應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行;采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的,須遵守《商用密碼管理條例》和密碼分類分級保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn),其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機(jī)構(gòu)備案。
第三十七條
運用密碼技術(shù)對信息系統(tǒng)進(jìn)行系統(tǒng)等級保護(hù)建設(shè)和整改的,必須采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進(jìn)行安全保護(hù),不得采用國外引進(jìn)或者擅自研制的密碼產(chǎn)品;未經(jīng)批準(zhǔn)不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。
第三十八條
信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認(rèn)可的測評機(jī)構(gòu)承擔(dān),其他任何部門、單位和個人不得對密碼進(jìn)行評測和監(jiān)控。
第三十九條
各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護(hù)工作中密碼配備、使用和管理的情況進(jìn)行檢查和測評,對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進(jìn)行一次檢查和測評。在監(jiān)督檢查過程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá)到密碼相關(guān)標(biāo)準(zhǔn)要求的,應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進(jìn)行處置。
第六章 法律責(zé)任編輯
第四十條
第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定,有下列行為之一的,由公安機(jī)關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正;逾期不改正的,給予警告,并向其上級主管部門通報情況,建議對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理,并及時反饋處理結(jié)果:
(一) 未按本辦法規(guī)定備案、審批的;
(二) 未按本辦法規(guī)定落實安全管理制度、措施的;
(三) 未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的;
(四) 未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的;
(五) 接到整改通知后,拒不整改的;
(六) 未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機(jī)構(gòu)的;
(七) 未按本辦法規(guī)定如實提供有關(guān)文件和證明材料的;
(八) 違反保密管理規(guī)定的;
(九) 違反密碼管理規(guī)定的;
(十) 違反本辦法其他規(guī)定的。
違反前款規(guī)定,造成嚴(yán)重?fù)p害的,由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。
第四十一條
信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中,玩忽職守、濫用職權(quán)、徇私舞弊的,依法給予行政處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第七章 附則編輯
第四十二條
已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護(hù)等級;新建信息系統(tǒng)在設(shè)計、規(guī)劃階段確定安全保護(hù)等級。
第四十三條
本辦法所稱“以上”包含本數(shù)(級)。
第四十四條
本辦法自發(fā)布之日起施行,《信息安全等級保護(hù)管理辦法(試行)》(公通字[2006]7號)同時廢止。