信息安全等級保護制度是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn) 定和公共利益，保障和促進信息化建設健康發(fā)展的一項基本制度。 實行信息安全等級保護制度，能夠充分調(diào)動國家、法人和其他組織 及公民的積極性，發(fā)揮各方面的作用，達到有效保護的目的，增強 安全保護的整體性、針對性和實效性，使信息系統(tǒng)安全建設更加突 出重點、統(tǒng)一規(guī)范、科學合理，對促進我國信息安全的發(fā)展將起到 重要推動作用。

為了進一步提高信息安全的保障能力和防護水平，維護國家安 全、 公共利益和社會穩(wěn)定， 保障和促進信息化建設的健康發(fā)展， 1994 年國務院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》 規(guī)定， “計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和 安全等級保護的具體辦法，由公安部會同有關(guān)部門制定” 。 2003 年 中央辦公廳、國務院辦公廳轉(zhuǎn)發(fā)的《國家信息化領導小組關(guān)于加強 信息安全保障工作的意見》 （中辦發(fā)[2003]27 號）明確指出， “要重 點保護基礎信息網(wǎng)絡和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面 的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全 等級保護的管理辦法和技術(shù)指南” 。

一、開展信息安全等級保護工作的重要意義 近年來，黨中央、國務院高度重視，各有關(guān)方面協(xié)調(diào)配合、共 同努力， 我國信息安全保障工作取得了很大進展。 但是從總體上看，我國的信息安全保障工作尚處于起步階段，基礎薄弱，水平不高， 存在以下突出問題：信息安全意識和安全防范能力薄弱，信息安全 滯后于信息化發(fā)展；信息系統(tǒng)安全建設和管理的目標不明確；信息 安全保障工作的重點不突出；信息安全監(jiān)督管理缺乏依據(jù)和標準， 監(jiān)管措施有待到位，監(jiān)管體系尚待完善。隨著信息技術(shù)的高速發(fā)展 和網(wǎng)絡應用的迅速普及，我國國民經(jīng)濟和社會信息化進程全面加 快，信息系統(tǒng)的基礎性、全局性作用日益增強，信息資源已經(jīng)成為 國家經(jīng)濟建設和社會發(fā)展的重要戰(zhàn)略資源之一。保障信息安全，維 護國家安全、公共利益和社會穩(wěn)定，是當前信息化發(fā)展中迫切需要 解決的重大問題。 實施信息安全等級保護， 能夠有效地提高我國信息和信息系統(tǒng) 安全建設的整體水平，有利于在信息化建設過程中同步建設信息安 全設施，保障信息安全與信息化建設相協(xié)調(diào)；有利于為信息系統(tǒng)安 全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務，有效控 制信息安全建設成本；有利于優(yōu)化信息安全資源的配置，對信息系 統(tǒng)分級實施保護，重點保障基礎信息網(wǎng)絡和關(guān)系國家安全、經(jīng)濟命 脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全；有利于明確國家、法 人和其他組織、公民的信息安全責任，加強信息安全管理；有利于 推動信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應社會主義市場經(jīng)濟 發(fā)展的信息安全模式。

二、信息安全等級保護制度的原則 信息安全等級保護的核心是對信息安全分等級、按標準進行建 設、管理和監(jiān)督。信息安全等級保護制度遵循以下基本原則：

（一）明確責任，共同保護 。 通過等級保護，組織和動員國家、法人和其他組織、公民共同參與信息安全保護工作；各方 主體按照規(guī)范和標準分別承擔相應的、明確具體的信息安全保護責 任。

（二）依照標準，自行保護。 國家運用強制性的規(guī)范及 標準， 要求信息和信息系統(tǒng)按照相應的建設和管理要求， 自行定級、 自行保護。

（三）同步建設，動態(tài)調(diào)整。 信息系統(tǒng)在新建、改建、 擴建時應當同步建設信息安全設施，保障信息安全與信息化建設相 適應。因信息和信息系統(tǒng)的應用類型、范圍等條件的變化及其他原 因，安全保護等級需要變更的，應當根據(jù)等級保護的管理規(guī)范和技 術(shù)標準的要求，重新確定信息系統(tǒng)的安全保護等級。等級保護的管 理規(guī)范和技術(shù)標準應按照等級保護工作開展的實際情況適時修訂。

（四）指導監(jiān)督，重點保護。 國家指定信息安全監(jiān)管職 能部門通過備案、指導、檢查、督促整改等方式，對重要信息和信 息系統(tǒng)的信息安全保護工作進行指導監(jiān)督。國家重點保護涉及國家 安全、經(jīng)濟命脈、社會穩(wěn)定的基礎信息網(wǎng)絡和重要信息系統(tǒng)，主要 包括：國家事務處理信息系統(tǒng)（黨政機關(guān)辦公系統(tǒng)） ；財政、金融、 稅務、海關(guān)、審計、工商、社會保障、能源、交通運輸、國防工業(yè) 等關(guān)系到國計民生的信息系統(tǒng)； 教育、 國家科研等單位的信息系統(tǒng)； 公用通信、廣播電視傳輸?shù)然A信息網(wǎng)絡中的信息系統(tǒng)；網(wǎng)絡管理 中心、重要網(wǎng)站中的重要信息系統(tǒng)和其他領域的重要信息系統(tǒng)。

三、信息安全等級保護制度的基本內(nèi)容 信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系 統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按 等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。 信息系統(tǒng)是指由計算機及其相關(guān)和配套的設備、設施構(gòu)成的， 按照一定的應用目標和規(guī)則對信息進行存儲、傳輸、處理的系統(tǒng)或 者網(wǎng)絡；信息是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字化信息。 根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重 要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、 法人和其他組織的合法權(quán)益的危害程度；針對信息的保密性、完整 性和可用性要求及信息系統(tǒng)必須要達到的基本的安全保護水平等 因素，信息和信息系統(tǒng)的安全保護等級共分五級：

1. 第一級為自主保護級，適用于一般的信息和信息系統(tǒng)，其 受到破壞后，會對公民、法人和其他組織的權(quán)益有一定影響，但不 危害國家安全、社會秩序、經(jīng)濟建設和公共利益。

2. 第二級為指導保護級，適用于一定程度上涉及國家安全、 社會秩序、經(jīng)濟建設和公共利益的一般信息和信息系統(tǒng)，其受到破 壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成一定損 害。

3. 第三級為監(jiān)督保護級，適用于涉及國家安全、社會秩序、 經(jīng)濟建設和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家 安全、社會秩序、經(jīng)濟建設和公共利益造成較大損害。

4. 第四級為強制保護級，適用于涉及國家安全、社會秩序、 經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng)，其受到破壞后，會對 國家安全、社會秩序、經(jīng)濟建設和公共利益造成嚴重損害。

5. 第五級為?？乇Ｗo級，適用于涉及國家安全、社會秩序、 經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到 破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成特別 嚴重損害。 國家通過制定統(tǒng)一的管理規(guī)范和技術(shù)標準，組織行政機關(guān)、公 民、法人和其他組織根據(jù)信息和信息系統(tǒng)的不同重要程度開展有針 對性的保護工作。國家對不同安全保護級別的信息和信息系統(tǒng)實行 不同強度的監(jiān)管政策。

第一級依照國家管理規(guī)范和技術(shù)標準進行自 主保護；第二級在信息安全監(jiān)管職能部門指導下依照國家管理規(guī)范 和技術(shù)標準進行自主保護；第三級依照國家管理規(guī)范和技術(shù)標準進 行自主保護，信息安全監(jiān)管職能部門對其進行監(jiān)督、檢查；第四級 依照國家管理規(guī)范和技術(shù)標準進行自主保護，信息安全監(jiān)管職能部 門對其進行強制監(jiān)督、檢查；第五級依照國家管理規(guī)范和技術(shù)標準 進行自主保護，國家指定專門部門、專門機構(gòu)進行專門監(jiān)督。 國家對信息安全產(chǎn)品的使用實行分等級管理。 信息安全事件實行分等級響應、處置的制度。依據(jù)信息安全事 件對信息和信息系統(tǒng)的破壞程度、所造成的社會影響以及涉及的范 圍，確定事件等級。根據(jù)不同安全保護等級的信息系統(tǒng)中發(fā)生的不 同等級事件制定相應的預案，確定事件響應和處置的范圍、程度以 及適用的管理制度等。信息安全事件發(fā)生后，分等級按照預案響應 和處置。

四、信息安全等級保護工作職責分工 公安機關(guān)負責信息安全等級保護工作的監(jiān)督、檢查、指導。國 家保密工作部門負責等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關(guān)密碼工作的監(jiān) 督、檢查、指導。 在信息安全等級保護工作中，涉及其他職能部門管轄范圍的事 項，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理。 信息和信息系統(tǒng)的主管部門及運營、使用單位按照等級保護的 管理規(guī)范和技術(shù)標準進行信息安全建設和管理。 國務院信息化工作辦公室負責信息安全等級保護工作中部門 間的協(xié)調(diào)。

五、實施信息安全等級保護工作的要求 信息安全等級保護工作要突出重點、分級負責、分類指導、分 步實施，按照誰主管誰負責、誰運營誰負責的要求，明確主管部門 以及信息系統(tǒng)建設、運行、維護、使用單位和個人的安全責任，分 別落實等級保護措施。實施信息安全等級保護應當做好以下六個方 面工作：

（一）完善標準，分類指導。 制定系統(tǒng)完整的信息安全 等級保護管理規(guī)范和技術(shù)標準，并根據(jù)工作開展的實際情況不斷補 充完善。信息安全監(jiān)管職能部門對不同重要程度的信息和信息系統(tǒng) 的安全等級保護工作給予相應的指導，確保等級保護工作順利開 展。

（二）科學定級，嚴格備案。 信息和信息系統(tǒng)的運營、 使用單位按照等級保護的管理規(guī)范和技術(shù)標準，確定其信息和信息 系統(tǒng)的安全保護等級，并報其主管部門審批同意。 對于包含多個子系統(tǒng)的信息系統(tǒng)，在保障信息系統(tǒng)安全互聯(lián)和 有效信息共享的前提下，應當根據(jù)等級保護的管理規(guī)定、技術(shù)標準和信息系統(tǒng)內(nèi)各子系統(tǒng)的重要程度，分別確定安全保護等級。跨地 域的大系統(tǒng)實行縱向保護和屬地保護相結(jié)合的方式。 國務院信息化工作辦公室組織國內(nèi)有關(guān)信息安全專家成立信 息安全保護等級專家評審委員會。重要的信息和信息系統(tǒng)的運營、 使用單位及其主管部門在確定信息和信息系統(tǒng)的安全保護等級時， 應請信息安全保護等級專家評審委員會給予咨詢評審。 安全保護等級在三級以上的信息系統(tǒng)，由運營、使用單位報送 本地區(qū)地市級公安機關(guān)備案?？绲赜虻男畔⑾到y(tǒng)由其主管部門向其 所在地的同級公安機關(guān)進行總備案，分系統(tǒng)分別由當?shù)剡\營、使用 單位向本地地市級公安機關(guān)備案。 信息安全產(chǎn)品使用的分等級管理以及信息安全事件分等級響 應、處置的管理辦法由公安部會同保密局、國密辦、信息產(chǎn)業(yè)部和 認監(jiān)委等部門制定。

（三）建設整改，落實措施。 對已有的信息系統(tǒng)，其運 營、使用單位根據(jù)已經(jīng)確定的信息安全保護等級，按照等級保護的 管理規(guī)范和技術(shù)標準，采購和使用相應等級的信息安全產(chǎn)品，建設 安全設施，落實安全技術(shù)措施，完成系統(tǒng)整改。對新建、改建、擴 建的信息系統(tǒng)應當按照等級保護的管理規(guī)范和技術(shù)標準進行信息 系統(tǒng)的規(guī)劃設計、建設施工。

（四）自查自糾，落實要求。 信息和信息系統(tǒng)的運營、 使用單位及其主管部門按照等級保護的管理規(guī)范和技術(shù)標準，對已 經(jīng)完成安全等級保護建設的信息系統(tǒng)進行檢查評估，發(fā)現(xiàn)問題及時 整改，加強和完善自身信息安全等級保護制度的建設，加強自我保護。

（五）建立制度，加強管理。 信息和信息系統(tǒng)的運營、 使用單位按照與本系統(tǒng)安全保護等級相對應的管理規(guī)范和技術(shù)標 準的要求， 定期進行安全狀況檢測評估， 及時消除安全隱患和漏洞， 建立安全制度，制定不同等級信息安全事件的響應、處置預案，加 強信息系統(tǒng)的安全管理。信息和信息系統(tǒng)的主管部門應當按照等級 保護的管理規(guī)范和技術(shù)標準的要求做好監(jiān)督管理工作，發(fā)現(xiàn)問題， 及時督促整改。

（六）監(jiān)督檢查，完善保護。 公安機關(guān)按照等級保護的 管理規(guī)范和技術(shù)標準的要求，重點對第三、第四級信息和信息系統(tǒng) 的安全等級保護狀況進行監(jiān)督檢查。發(fā)現(xiàn)確定的安全保護等級不符 合等級保護的管理規(guī)范和技術(shù)標準的，要通知信息和信息系統(tǒng)的主 管部門及運營、使用單位進行整改；發(fā)現(xiàn)存在安全隱患或未達到等 級保護的管理規(guī)范和技術(shù)標準要求的，要限期整改，使信息和信息 系統(tǒng)的安全保護措施更加完善。對信息系統(tǒng)中使用的信息安全產(chǎn)品 的等級進行監(jiān)督檢查。 對第五級信息和信息系統(tǒng)的監(jiān)督檢查，由國家指定的專門部 門、專門機構(gòu)按照有關(guān)規(guī)定進行。 國家保密工作部門、密碼管理部門以及其他職能部門按照職責 分工指導、監(jiān)督、檢查。

六、信息安全等級保護工作實施計劃 計劃用三年左右的時間在全國范圍內(nèi)分三個階段實施信息安 全等級保護制度。

（一）準備階段。 為了保障信息安全等級保護制度的順利實施，在全面實施等級保護制度之前，用一年左右的時間做好下列 準備工作： 1.加強領導，落實責任。在國家網(wǎng)絡與信息安全協(xié)調(diào)小組的領 導下，地方各級人民政府、信息安全監(jiān)管職能部門、信息系統(tǒng)的主 管部門和運營、使用單位要明確各自的安全責任，建立協(xié)調(diào)配合機 制，分別制定詳細的實施方案，積極推進信息安全等級保護制度的 建立，推動信息安全管理運行機制的建立和完善。 2.加快完善法律法規(guī)和標準體系。法律規(guī)范和技術(shù)標準是推廣 和實施信息安全等級保護工作的法律依據(jù)和技術(shù)保障。為此， 《信 息安全等級保護管理辦法》和《信息安全等級保護實施指南》 《信 息安全等級保護評估指南》等法規(guī)、規(guī)范要加緊制定，盡快出臺。 加快信息安全等級保護管理與技術(shù)標準的制定和完善，其他現(xiàn) 行的相關(guān)標準規(guī)范中與等級保護管理規(guī)范和技術(shù)標準不相適應的， 應當進行調(diào)整。 3.建設信息安全等級保護監(jiān)督管理隊伍和技術(shù)支撐體系。信息 安全監(jiān)管職能部門要建立專門的信息安全等級保護監(jiān)督檢查機構(gòu)， 充實力量，加強建設，抓緊培訓，使監(jiān)督檢查人員能夠全面掌握信 息安全等級保護相關(guān)法律規(guī)范和管理規(guī)范及技術(shù)標準，熟練運用技 術(shù)工具，切實承擔信息安全等級保護的指導、監(jiān)督、檢查職責。同 時，還要建立信息安全等級保護監(jiān)督、檢查工作的技術(shù)支撐體系， 組織研制、開發(fā)科學、實用的檢查、評估工具。 4.進一步做好等級保護試點工作。選擇電子政務、電子商務以 及其他方面的重點單位開展等級保護試點工作，并在試點工作的基 礎上進一步完善等級保護實施指南等相關(guān)的配套規(guī)范、標準和工具，積累信息安全等級保護工作實施的方法和經(jīng)驗。 5.加強宣傳、培訓工作。地方各級人民政府、信息安全監(jiān)管職 能部門和信息系統(tǒng)的主管部門要積極宣傳信息安全等級保護的相 關(guān)法規(guī)、標準和政策，組織開展相關(guān)培訓，提高對信息安全等級保 護工作的認識和重視，積極推動各有關(guān)部門、單位做好開展信息安 全等級保護工作的前期準備。

（二）重點實行階段。 在做好前期準備工作的基礎上， 用一年左右的時間，在國家重點保護的涉及國家安全、經(jīng)濟命脈、 社會穩(wěn)定的基礎信息網(wǎng)絡和重要信息系統(tǒng)中實行等級保護制度。經(jīng) 過一年的建設，使基礎信息網(wǎng)絡和重要信息系統(tǒng)的核心要害部位得 到有效保護，涉及國家安全、經(jīng)濟命脈、社會穩(wěn)定的基礎信息網(wǎng)絡 和重要信息系統(tǒng)的保護狀況得到較大改善，結(jié)束目前基本沒有保護 措施或保護措施不到位的狀況。 在工作中，如發(fā)現(xiàn)等級保護的管理規(guī)范和技術(shù)標準以及檢查評 估工具等存在問題，及時組織有關(guān)部門進行調(diào)整和修訂。

（三）全面實行階段。 在試行工作的基礎上，用一年左 右的時間，在全國全面推行信息安全等級保護制度。已經(jīng)實施等級 保護制度的信息和信息系統(tǒng)的運營、使用單位及其主管部門，要進 一步完善信息安全保護措施。沒有實施等級保護制度的，要按照等 級保護的管理規(guī)范和技術(shù)標準認真組織落實。 經(jīng)過三年的努力，逐步將信息安全等級保護制度落實到信息安 全規(guī)劃、建設、評估、運行維護等各個環(huán)節(jié)，使我國信息安全保障 狀況得到基本改善。