Image
全國統一服務熱線
0351-4073466

信息安全等級管理辦法


編輯(ji):2021-06-11 09:49:20

總則 

第 一條 為規范信(xin)息安(an)全(quan)等級保護(hu)管(guan)理,提高信(xin)息安(an)全(quan)保障(zhang)能力和(he)水平,維(wei)護(hu)國家安(an)全(quan)、社會穩定和(he)公共利益,保障(zhang)和(he)促進信(xin)息化(hua)建設,根據《中華(hua)人民共和(he)國計算機(ji)信(xin)息系統安(an)全(quan)保護(hu)條例》等有關法(fa)律(lv)法(fa)規,制定本辦法(fa)。 

第 二(er)條 國家通過(guo)制定統(tong)一的(de)信(xin)息(xi)安全等級(ji)保護管(guan)理(li)(li)規范和技術標(biao)準,組織公民(min)、法人(ren)和其他(ta)組織對信(xin)息(xi)系統(tong)分(fen)等級(ji)實行安全保護,對等級(ji)保護工(gong)作(zuo)的(de)實施進(jin)行監(jian)督(du)、管(guan)理(li)(li)。 

第(di) 三條(tiao) 公安機關負(fu)(fu)責(ze)(ze)信息安全等級保(bao)(bao)(bao)護(hu)(hu)工(gong)(gong)(gong)(gong)作(zuo)的(de)監(jian)督、檢(jian)查(cha)、指導(dao)。國(guo)(guo)家保(bao)(bao)(bao)密工(gong)(gong)(gong)(gong)作(zuo)部(bu)門(men)(men)負(fu)(fu)責(ze)(ze)等級保(bao)(bao)(bao)護(hu)(hu)工(gong)(gong)(gong)(gong)作(zuo)中有(you)關保(bao)(bao)(bao)密工(gong)(gong)(gong)(gong)作(zuo)的(de)監(jian)督、檢(jian)查(cha)、指導(dao)。國(guo)(guo)家密碼管理(li)部(bu)門(men)(men)負(fu)(fu)責(ze)(ze)等級保(bao)(bao)(bao)護(hu)(hu)工(gong)(gong)(gong)(gong)作(zuo)中有(you)關密碼工(gong)(gong)(gong)(gong)作(zuo)的(de)監(jian)督、檢(jian)查(cha)、指導(dao)。涉及其他(ta)職能(neng)部(bu)門(men)(men)管轄范圍的(de)事項(xiang),由有(you)關職能(neng)部(bu)門(men)(men)依(yi)照國(guo)(guo)家法(fa)律法(fa)規(gui)的(de)規(gui)定進行(xing)管理(li)。國(guo)(guo)務(wu)院信息化工(gong)(gong)(gong)(gong)作(zuo)辦(ban)公室及地方信息化領導(dao)小組辦(ban)事機構負(fu)(fu)責(ze)(ze)等級保(bao)(bao)(bao)護(hu)(hu)工(gong)(gong)(gong)(gong)作(zuo)的(de)部(bu)門(men)(men)間協調。 

第四條 信息系統(tong)(tong)主管部門(men)(men)應(ying)當依照本(ben)(ben)(ben)辦法及(ji)相關(guan)標(biao)準(zhun)規(gui)范,督(du)促(cu)、檢查、指導(dao)本(ben)(ben)(ben)行業、本(ben)(ben)(ben)部門(men)(men)或者本(ben)(ben)(ben)地區(qu)信息系統(tong)(tong)運營、使用(yong)單位的(de)信息安全等級保護(hu)工(gong)作(zuo)。 

第五條 信(xin)息(xi)(xi)系統的運營、使用單位應當依照本(ben)辦法(fa)及其相(xiang)關標(biao)準規范,履行信(xin)息(xi)(xi)安全等級保(bao)護的義務和(he)責任。 

第二(er)章 等(deng)級劃分與(yu)保護 

第(di)六條 國(guo)家信息(xi)安(an)全等級保護堅持(chi)自主(zhu)定級、自主(zhu)保護的原(yuan)則。信息(xi)系統的安(an)全保護等級應當根據信息(xi)系統在國(guo)家安(an)全、經濟建設、社會生活中(zhong)的重要程(cheng)(cheng)度,信息(xi)系統遭(zao)到破壞后對國(guo)家安(an)全、社會秩序(xu)、公(gong)共利益以及公(gong)民、法人和其他(ta)組織(zhi)的合(he)法權(quan)益的危害程(cheng)(cheng)度等因素(su)確定。 

第七條 信息系統的安全保護等級分為(wei)以(yi)下五級: 

信息(xi)系統受到破(po)壞后(hou),會對公民、法人和其他組(zu)織的合(he)法權益造成損害(hai),但不損害(hai)國(guo)家安全、社(she)會秩序(xu)和公共(gong)利益。 

第二級,信息系(xi)統受到破壞后,會(hui)對公民、法(fa)人(ren)和其他組織的(de)合法(fa)權益(yi)產(chan)生(sheng)嚴重(zhong)損害(hai)(hai),或者對社會(hui)秩序和公共利益(yi)造成損害(hai)(hai),但不損害(hai)(hai)國家安全。 

第三級,信息系統受到破壞后,會(hui)對社會(hui)秩序和公共利益造成(cheng)嚴重損(sun)害(hai),或者對國家安全造成(cheng)損(sun)害(hai)。 

第四級,信息系統受到破壞后,會(hui)對社會(hui)秩序和(he)公共利益(yi)造成特別嚴(yan)重(zhong)損(sun)害(hai),或者對國家安全造成嚴(yan)重(zhong)損(sun)害(hai)。 

第五級,信(xin)息系統受(shou)到破壞后(hou),會(hui)對國(guo)家安全造成特別嚴(yan)重損害(hai)。 

第八條 信息(xi)系統運(yun)營(ying)、使用單位依據本(ben)辦法和相關(guan)技術標準對信息(xi)系統進(jin)行(xing)保護,國家有關(guan)信息(xi)安全監(jian)(jian)管部門(men)對其信息(xi)安全等(deng)級保護工作進(jin)行(xing)監(jian)(jian)督管理。 

信息系統運營、使用(yong)單位應當依據國家有關管(guan)理規范和技術(shu)標準進行保(bao)護。 

第二級(ji)信(xin)息系(xi)統運營、使用(yong)單位應當依據國家(jia)有關管(guan)理規范(fan)和技術標準進行保(bao)護。國家(jia)信(xin)息安全(quan)監(jian)管(guan)部門對該級(ji)信(xin)息系(xi)統信(xin)息安全(quan)等級(ji)保(bao)護工作進行指(zhi)導。 

第三級(ji)信息系統(tong)運營(ying)、使用單位應當依據國(guo)(guo)家有關(guan)管(guan)理規范和技(ji)術(shu)標準進(jin)行(xing)保護。國(guo)(guo)家信息安(an)全監管(guan)部門對(dui)該級(ji)信息系統(tong)信息安(an)全等級(ji)保護工作進(jin)行(xing)監督、檢查。 ;

第四級信(xin)息(xi)(xi)(xi)系統運(yun)營、使用(yong)單位應當依據國家有關管理規范(fan)、技術標準(zhun)和業務專門(men)需求進行保(bao)護。國家信(xin)息(xi)(xi)(xi)安全監(jian)管部門(men)對該級信(xin)息(xi)(xi)(xi)系統信(xin)息(xi)(xi)(xi)安全等級保(bao)護工作(zuo)進行強制監(jian)督、檢查。 

第五級信息(xi)(xi)系統(tong)運營、使用單位應當依據國(guo)家管(guan)理規范、技術(shu)標準和業務特殊安全需求進行(xing)(xing)保護。國(guo)家指定專門部門對該(gai)級信息(xi)(xi)系統(tong)信息(xi)(xi)安全等級保護工作(zuo)進行(xing)(xing)專門監督、檢查。

第三章 等級保(bao)護的實施與管理 

第九條 信(xin)(xin)息(xi)系(xi)統運營、使用單(dan)位應當按(an)照《信(xin)(xin)息(xi)系(xi)統安全等(deng)(deng)級保護實(shi)施(shi)指南》具體實(shi)施(shi)等(deng)(deng)級保護工(gong)作(zuo)。 

第(di)十條 信息(xi)(xi)系統(tong)運營(ying)、使(shi)用(yong)單位應(ying)當依據本辦(ban)法和《信息(xi)(xi)系統(tong)安全(quan)等級保(bao)護(hu)定級指南》確定信息(xi)(xi)系統(tong)的安全(quan)保(bao)護(hu)等級。有主(zhu)管部門(men)的,應(ying)當經主(zhu)管部門(men)審核批(pi)準。 

跨(kua)省或者全(quan)國統(tong)一(yi)聯網運行(xing)的(de)信息系統(tong)可以由主管(guan)部門(men)統(tong)一(yi)確定安全(quan)保(bao)護等級(ji)。 

對(dui)擬確定(ding)為第四級以上信息(xi)系統(tong)的,運營、使用單位或者主管部門應當請國家信息(xi)安全保護(hu)等級專(zhuan)家評審(shen)委員會評審(shen)。 

第十一條 信(xin)(xin)息系(xi)統的安全(quan)保(bao)(bao)護等級(ji)確定后,運營(ying)、使用(yong)單位(wei)應當(dang)按照(zhao)國(guo)家(jia)信(xin)(xin)息安全(quan)等級(ji)保(bao)(bao)護管(guan)理規范和技(ji)術標準,使用(yong)符合(he)國(guo)家(jia)有關規定,滿足信(xin)(xin)息系(xi)統安全(quan)保(bao)(bao)護等級(ji)需(xu)求的信(xin)(xin)息技(ji)術產品,開展信(xin)(xin)息系(xi)統安全(quan)建(jian)設或者(zhe)改建(jian)工作。 

第十二條 在信(xin)息(xi)(xi)系統(tong)(tong)(tong)建(jian)設(she)過程中,運營、使用單(dan)位應當(dang)按(an)照(zhao)(zhao)《計算機信(xin)息(xi)(xi)系統(tong)(tong)(tong)安(an)(an)全(quan)(quan)(quan)保護(hu)等(deng)(deng)級(ji)劃分準(zhun)則》(GB17859-1999)、《信(xin)息(xi)(xi)系統(tong)(tong)(tong)安(an)(an)全(quan)(quan)(quan)等(deng)(deng)級(ji)保護(hu)基(ji)本(ben)要(yao)(yao)求(qiu)(qiu)》等(deng)(deng)技(ji)(ji)(ji)(ji)術(shu)(shu)(shu)標準(zhun),參照(zhao)(zhao)《信(xin)息(xi)(xi)安(an)(an)全(quan)(quan)(quan)技(ji)(ji)(ji)(ji)術(shu)(shu)(shu) 信(xin)息(xi)(xi)系統(tong)(tong)(tong)通用安(an)(an)全(quan)(quan)(quan)技(ji)(ji)(ji)(ji)術(shu)(shu)(shu)要(yao)(yao)求(qiu)(qiu)》(GB/T20271-2006)、《信(xin)息(xi)(xi)安(an)(an)全(quan)(quan)(quan)技(ji)(ji)(ji)(ji)術(shu)(shu)(shu) 網絡基(ji)礎安(an)(an)全(quan)(quan)(quan)技(ji)(ji)(ji)(ji)術(shu)(shu)(shu)要(yao)(yao)求(qiu)(qiu)》(GB/T20270-2006)、《信(xin)息(xi)(xi)安(an)(an)全(quan)(quan)(quan)技(ji)(ji)(ji)(ji)術(shu)(shu)(shu) 操(cao)作系統(tong)(tong)(tong)安(an)(an)全(quan)(quan)(quan)技(ji)(ji)(ji)(ji)術(shu)(shu)(shu)要(yao)(yao)求(qiu)(qiu)》(GB/T20272-2006)、《信(xin)息(xi)(xi)安(an)(an)全(quan)(quan)(quan)技(ji)(ji)(ji)(ji)術(shu)(shu)(shu) 數據(ju)庫管理系統(tong)(tong)(tong)安(an)(an)全(quan)(quan)(quan)技(ji)(ji)(ji)(ji)術(shu)(shu)(shu)要(yao)(yao)求(qiu)(qiu)》(GB/T20273-2006)、《信(xin)息(xi)(xi)安(an)(an)全(quan)(quan)(quan)技(ji)(ji)(ji)(ji)術(shu)(shu)(shu) 服(fu)務器技(ji)(ji)(ji)(ji)術(shu)(shu)(shu)要(yao)(yao)求(qiu)(qiu)》、《信(xin)息(xi)(xi)安(an)(an)全(quan)(quan)(quan)技(ji)(ji)(ji)(ji)術(shu)(shu)(shu) 終端計算機系統(tong)(tong)(tong)安(an)(an)全(quan)(quan)(quan)等(deng)(deng)級(ji)技(ji)(ji)(ji)(ji)術(shu)(shu)(shu)要(yao)(yao)求(qiu)(qiu)》(GA/T671-2006)等(deng)(deng)技(ji)(ji)(ji)(ji)術(shu)(shu)(shu)標準(zhun)同步建(jian)設(she)符合該等(deng)(deng)級(ji)要(yao)(yao)求(qiu)(qiu)的信(xin)息(xi)(xi)安(an)(an)全(quan)(quan)(quan)設(she)施。 

第(di)十三條(tiao) 運(yun)營、使用(yong)單位應當參照《信(xin)息(xi)(xi)安(an)全技(ji)術(shu) 信(xin)息(xi)(xi)系統安(an)全管理要求(qiu)》(GB/T20269-2006)、《信(xin)息(xi)(xi)安(an)全技(ji)術(shu) 信(xin)息(xi)(xi)系統安(an)全工程管理要求(qiu)》(GB/T20282-2006)、《信(xin)息(xi)(xi)系統安(an)全等級保護(hu)基本要求(qiu)》等管理規范,制(zhi)(zhi)定(ding)并落實(shi)符合本系統安(an)全保護(hu)等級要求(qiu)的安(an)全管理制(zhi)(zhi)度。 

第(di)(di)十四(si)條 信(xin)(xin)息(xi)系(xi)統(tong)建設完成(cheng)后,運營、使用單位(wei)或者其主管(guan)部門應(ying)當選擇符合本辦法規定條件(jian)的測(ce)(ce)評(ping)(ping)機構,依據《信(xin)(xin)息(xi)系(xi)統(tong)安(an)全(quan)等(deng)級(ji)(ji)(ji)保護(hu)測(ce)(ce)評(ping)(ping)要(yao)求》等(deng)技術標準,定期對信(xin)(xin)息(xi)系(xi)統(tong)安(an)全(quan)等(deng)級(ji)(ji)(ji)狀況開(kai)展等(deng)級(ji)(ji)(ji)測(ce)(ce)評(ping)(ping)。第(di)(di)三級(ji)(ji)(ji)信(xin)(xin)息(xi)系(xi)統(tong)應(ying)當每年至少進行一次等(deng)級(ji)(ji)(ji)測(ce)(ce)評(ping)(ping),第(di)(di)四(si)級(ji)(ji)(ji)信(xin)(xin)息(xi)系(xi)統(tong)應(ying)當每半(ban)年至少進行一次等(deng)級(ji)(ji)(ji)測(ce)(ce)評(ping)(ping),第(di)(di)五級(ji)(ji)(ji)信(xin)(xin)息(xi)系(xi)統(tong)應(ying)當依據特殊安(an)全(quan)需求進行等(deng)級(ji)(ji)(ji)測(ce)(ce)評(ping)(ping)。 

信(xin)(xin)息(xi)系(xi)統(tong)運營、使用單位及其主(zhu)管部門應當(dang)定期(qi)對信(xin)(xin)息(xi)系(xi)統(tong)安(an)全(quan)狀(zhuang)況、安(an)全(quan)保護制度及措施的(de)落實情況進行(xing)自(zi)查(cha)。第三級(ji)信(xin)(xin)息(xi)系(xi)統(tong)應當(dang)每(mei)(mei)年至少(shao)進行(xing)一(yi)次自(zi)查(cha),第四級(ji)信(xin)(xin)息(xi)系(xi)統(tong)應當(dang)每(mei)(mei)半年至少(shao)進行(xing)一(yi)次自(zi)查(cha),第五級(ji)信(xin)(xin)息(xi)系(xi)統(tong)應當(dang)依據特(te)殊(shu)安(an)全(quan)需(xu)求進行(xing)自(zi)查(cha)。 

經測(ce)評或者(zhe)自查,信息系統安(an)全狀況未達到安(an)全保護(hu)等級要求(qiu)的(de),運營、使用(yong)單位應當(dang)制定方案進行整改(gai)。 

第十五(wu)條(tiao) 已運(yun)營(運(yun)行)的第二(er)級以上(shang)(shang)信息系統,應當在(zai)安全保(bao)護等級確定后30日內,由其(qi)運(yun)營、使用單位到所在(zai)地設區的市(shi)級以上(shang)(shang)公安機(ji)關(guan)辦理備案手續。 

新建第二級以上信息系統,應(ying)當在投入運(yun)行后30日內,由其運(yun)營(ying)、使用單位到所在地(di)設區(qu)的市(shi)級以上公(gong)安(an)機(ji)關辦理備(bei)案手續。 

隸(li)屬于中央的(de)(de)在京(jing)單位,其跨省或者全國統(tong)(tong)一(yi)(yi)聯(lian)網運行(xing)并(bing)由(you)主管部(bu)門統(tong)(tong)一(yi)(yi)定(ding)級的(de)(de)信息系統(tong)(tong),由(you)主管部(bu)門向(xiang)公安部(bu)辦理(li)備案手(shou)續(xu)。跨省或者全國統(tong)(tong)一(yi)(yi)聯(lian)網運行(xing)的(de)(de)信息系統(tong)(tong)在各地(di)運行(xing)、應用(yong)的(de)(de)分支系統(tong)(tong),應當(dang)向(xiang)當(dang)地(di)設(she)區的(de)(de)市級以上公安機關備案。 

第十(shi)六條(tiao) 辦理(li)信息系統安全(quan)保護等(deng)級備(bei)(bei)案手續時,應當填(tian)寫《信息系統安全(quan)等(deng)級保護備(bei)(bei)案表(biao)》,第三級以(yi)上信息系統應當同時提供以(yi)下材料: 

(一)系統拓撲結(jie)構(gou)及說明; 

(二)系統安全組織機構和管(guan)理制度; 

(三(san))系統安(an)全保護設施設計(ji)實施方案或者改建實施方案; 

(四(si))系(xi)統(tong)使用的信息安全產品清(qing)單及其認證(zheng)、銷售許可證(zheng)明(ming); 

(五(wu))測(ce)評(ping)后符(fu)合(he)系統安全保(bao)護等級(ji)的技術(shu)檢(jian)測(ce)評(ping)估報(bao)告; 

(六)信息系(xi)統安全保(bao)護等級(ji)專家評審意見; 

(七)主管部(bu)門審(shen)核批準信(xin)息系統安全保護等(deng)級的意見。 

第十七條(tiao) 信(xin)息系(xi)統備(bei)案(an)(an)(an)(an)后,公(gong)安機關應(ying)(ying)當(dang)(dang)對(dui)信(xin)息系(xi)統的(de)備(bei)案(an)(an)(an)(an)情況(kuang)進行審核,對(dui)符合等(deng)級(ji)(ji)保(bao)護要求的(de),應(ying)(ying)當(dang)(dang)在(zai)(zai)收到(dao)備(bei)案(an)(an)(an)(an)材料(liao)(liao)之(zhi)日(ri)起的(de)10個工(gong)(gong)作日(ri)內(nei)頒發(fa)信(xin)息系(xi)統安全(quan)等(deng)級(ji)(ji)保(bao)護備(bei)案(an)(an)(an)(an)證明;發(fa)現不(bu)(bu)符合本(ben)辦法及有(you)關標準的(de),應(ying)(ying)當(dang)(dang)在(zai)(zai)收到(dao)備(bei)案(an)(an)(an)(an)材料(liao)(liao)之(zhi)日(ri)起的(de)10個工(gong)(gong)作日(ri)內(nei)通(tong)知(zhi)(zhi)備(bei)案(an)(an)(an)(an)單(dan)位(wei)予以糾正;發(fa)現定級(ji)(ji)不(bu)(bu)準的(de),應(ying)(ying)當(dang)(dang)在(zai)(zai)收到(dao)備(bei)案(an)(an)(an)(an)材料(liao)(liao)之(zhi)日(ri)起的(de)10個工(gong)(gong)作日(ri)內(nei)通(tong)知(zhi)(zhi)備(bei)案(an)(an)(an)(an)單(dan)位(wei)重新(xin)審核確定。 

運營、使用單位或者主管部門重新確定信息系統等級后,應當按照(zhao)本(ben)辦法向公安機關(guan)重新備案。      

第(di)(di)十八(ba)條 受理備(bei)案(an)的公安(an)機關(guan)應(ying)當對(dui)第(di)(di)三(san)級、第(di)(di)四(si)級信息系(xi)統(tong)的運營、使用單位的信息安(an)全等級保護工作情況進行檢查。對(dui)第(di)(di)三(san)級信息系(xi)統(tong)每年至(zhi)少檢查一(yi)(yi)(yi)次(ci),對(dui)第(di)(di)四(si)級信息系(xi)統(tong)每半年至(zhi)少檢查一(yi)(yi)(yi)次(ci)。對(dui)跨省或(huo)者(zhe)全國統(tong)一(yi)(yi)(yi)聯網運行的信息系(xi)統(tong)的檢查,應(ying)當會同其(qi)主管(guan)部門進行。 

對第五級信息系統,應(ying)當由國家指定的專門部門進行(xing)檢查(cha)。 

公安機關、國家指定的專(zhuan)門(men)部門(men)應當對(dui)下(xia)列事(shi)項進行(xing)檢查: 

(一) 信息系統安全(quan)需求是否發生變化,原定保護等級(ji)是否準確; 

(二(er)) 運營、使用單(dan)位安全管理(li)制度、措(cuo)施(shi)的(de)落實情況; 

(三) 運營、使用單位及(ji)其主管部門對信息(xi)系統安全狀況的檢查情況; 

(四) 系統安全等級測評是否符(fu)合要求; 

(五(wu)) 信息安全產(chan)品使用是(shi)否(fou)符合要求; 

(六) 信息(xi)系(xi)統安(an)全整改情況(kuang); 

(七) 備案材料與運(yun)營、使用單位、信息系統的(de)符合情(qing)況; 

(八) 其(qi)他應當進行監督檢查的(de)事項。 

第十九條 信(xin)息系統運(yun)營(ying)、使用(yong)單(dan)位應當接受公安機關、國家(jia)指定的專門(men)部(bu)門(men)的安全監(jian)督、檢查、指導,如實向公安機關、國家(jia)指定的專門(men)部(bu)門(men)提供下(xia)列有關信(xin)息安全保護的信(xin)息資料及數(shu)據文件: 

(一) 信息系統備案事(shi)項變更情況; 

(二) 安全組織、人員的變動情(qing)況; 

(三) 信息安全管(guan)理(li)制度(du)、措(cuo)施變(bian)更情況(kuang); 

(四) 信息(xi)系統運行狀(zhuang)況記錄; 

(五(wu)) 運營、使用單(dan)位及(ji)主(zhu)管(guan)部門定(ding)期對信(xin)息(xi)系統安全狀況(kuang)的檢查記(ji)錄; 

(六(liu)) 對信息系統開展(zhan)等級測評的技術測評報(bao)告(gao); 

(七) 信(xin)息安全產(chan)品使用的變更(geng)情況; 

(八) 信息安(an)(an)全(quan)事件(jian)應急(ji)預案,信息安(an)(an)全(quan)事件(jian)應急(ji)處(chu)置結果報告; 

(九) 信(xin)息(xi)系統安全建設、整改結(jie)果報告。 

第二十條 公(gong)安(an)(an)機(ji)關(guan)檢(jian)查(cha)(cha)發現信(xin)息系統(tong)安(an)(an)全(quan)(quan)保(bao)護(hu)狀況不符(fu)合信(xin)息安(an)(an)全(quan)(quan)等級保(bao)護(hu)有關(guan)管(guan)理(li)規范和(he)技(ji)術標(biao)(biao)準的(de),應當向運營、使(shi)用(yong)單(dan)位發出整改通(tong)(tong)知(zhi)(zhi)。運營、使(shi)用(yong)單(dan)位應當根(gen)據整改通(tong)(tong)知(zhi)(zhi)要(yao)求,按照管(guan)理(li)規范和(he)技(ji)術標(biao)(biao)準進行整改。整改完成后,應當將整改報告向公(gong)安(an)(an)機(ji)關(guan)備案。必要(yao)時,公(gong)安(an)(an)機(ji)關(guan)可以(yi)對整改情況組織檢(jian)查(cha)(cha)。 

第二十一條 第三級以(yi)上信息系(xi)統應當選擇使(shi)用符合以(yi)下條件的(de)信息安全產品: 

(一)產(chan)品研(yan)制、生產(chan)單位是由中(zhong)國公民、法(fa)人投資(zi)或(huo)者國家投資(zi)或(huo)者控股(gu)的,在中(zhong)華人民共和國境內具有(you)獨立(li)的法(fa)人資(zi)格(ge); 

(二(er))產品(pin)的核心技術、關鍵部件具有我(wo)國(guo)自主知識產權; 

(三(san))產品研(yan)制、生產單位及其主要(yao)業務、技術人(ren)員無犯罪(zui)記錄; 

(四)產品研制、生產單位(wei)聲明(ming)沒有(you)故意留有(you)或者設置漏(lou)洞、后(hou)門、木馬等程序和功能; 

(五)對國家安全、社會秩序(xu)、公共(gong)利(li)益不構成危(wei)害; 

(六)對已列入信息(xi)安全產(chan)品認(ren)(ren)證(zheng)目錄(lu)的(de),應當取得國家信息(xi)安全產(chan)品認(ren)(ren)證(zheng)機(ji)構(gou)頒發的(de)認(ren)(ren)證(zheng)證(zheng)書。 

第(di)二十(shi)二條 第(di)三級(ji)以(yi)上信(xin)息(xi)系統(tong)應當選擇符合下(xia)列條件的等(deng)級(ji)保護測評機構進行測評: 

(一) 在中華人民(min)共和國境(jing)內注(zhu)冊成立(港(gang)澳臺(tai)地區除外); 

(二) 由中國公民投(tou)(tou)資(zi)、中國法人投(tou)(tou)資(zi)或(huo)者國家投(tou)(tou)資(zi)的企事業單位(港澳臺地區(qu)除外); 

(三) 從事(shi)相關(guan)檢(jian)測評估(gu)工作兩(liang)年以(yi)上,無違法(fa)記(ji)錄(lu); 

(四(si)) 工(gong)作人員僅限于中國公民; 

(五) 法人及主要業務、技術人員無犯罪記錄; 

(六) 使(shi)用的技術裝備、設施應當(dang)符合本辦法對信息(xi)安全產(chan)品的要求; ;

(七) 具有完備的保密管(guan)理、項(xiang)目(mu)管(guan)理、質量(liang)管(guan)理、人員管(guan)理和培訓教育(yu)等安全管(guan)理制(zhi)度; 

(八) 對國家安全、社(she)會秩(zhi)序、公共(gong)利益不構成威脅。 

第(di)二十(shi)三條(tiao) 從(cong)事(shi)信息系統(tong)安(an)全(quan)等級測評的機構(gou),應當履行下列義務: 

(一)遵守國家有關法(fa)律法(fa)規和技(ji)術標準,提供安(an)全、客觀、公正的檢測(ce)評(ping)估(gu)服務,保證測(ce)評(ping)的質量和效果(guo); 

(二(er))保守在測評活動中知悉(xi)的國家秘(mi)密、商業秘(mi)密和個(ge)人隱(yin)私,防范測評風(feng)險; 

(三)對測評(ping)人員進(jin)行安全(quan)保(bao)(bao)密教育,與其簽(qian)訂安全(quan)保(bao)(bao)密責(ze)任(ren)(ren)書,規定應(ying)當(dang)履行的安全(quan)保(bao)(bao)密義務(wu)和承擔的法律責(ze)任(ren)(ren),并(bing)負責(ze)檢查落(luo)實。

第(di)四章 涉及國(guo)家秘密(mi)信息系統的分級保護(hu)管(guan)理 

第二十(shi)四條 涉(she)密(mi)信息(xi)系統應當依據國家信息(xi)安全等級(ji)保(bao)護的基(ji)本要求,按照國家保(bao)密(mi)工作(zuo)部(bu)門有關涉(she)密(mi)信息(xi)系統分級(ji)保(bao)護的管(guan)理規定和(he)技術標準(zhun),結合系統實際情況進行(xing)保(bao)護。 

非涉密信息系統不(bu)得處理國家秘(mi)密信息。 

第二十五條 涉(she)密(mi)信息系統按(an)照所處理信息的(de)**密(mi)級(ji),由低(di)到(dao)高(gao)分為秘(mi)密(mi)、機密(mi)、絕密(mi)三個等級(ji)。 

涉密(mi)信(xin)息(xi)(xi)系(xi)統(tong)建設(she)使(shi)用單位應(ying)當在信(xin)息(xi)(xi)規范(fan)定密(mi)的(de)基(ji)礎上,依(yi)據涉密(mi)信(xin)息(xi)(xi)系(xi)統(tong)分級保(bao)護管理辦法和(he)國家(jia)保(bao)密(mi)標準BMB17-2006《涉及(ji)國家(jia)秘密(mi)的(de)計算機信(xin)息(xi)(xi)系(xi)統(tong)分級保(bao)護技術要求》確定系(xi)統(tong)等級。對于包(bao)含(han)多個安全(quan)域(yu)(yu)的(de)涉密(mi)信(xin)息(xi)(xi)系(xi)統(tong),各安全(quan)域(yu)(yu)可以分別確定保(bao)護等級。 

保密工作部門和機構應當(dang)監督指導(dao)涉密信息系(xi)統建(jian)設使用單(dan)位準確(que)、合理地進行系(xi)統定級。 

第二十六條(tiao) 涉(she)(she)密(mi)信息(xi)系(xi)(xi)統建設(she)使用單位應當將涉(she)(she)密(mi)信息(xi)系(xi)(xi)統定(ding)級和(he)建設(she)使用情況,及時上報業務主管部門的保(bao)密(mi)工(gong)(gong)作(zuo)機構和(he)負責系(xi)(xi)統審批的保(bao)密(mi)工(gong)(gong)作(zuo)部門備(bei)案,并接(jie)受保(bao)密(mi)部門的監督、檢(jian)查、指導。 

第二十七條 涉密信息(xi)系(xi)統(tong)建設(she)使用單(dan)位應當選擇具有涉密集(ji)成資質的單(dan)位承擔或者(zhe)參與(yu)(yu)涉密信息(xi)系(xi)統(tong)的設(she)計(ji)與(yu)(yu)實施。 

涉密(mi)信(xin)息系(xi)(xi)統建設使(shi)用單(dan)位應當依據涉密(mi)信(xin)息系(xi)(xi)統分(fen)級(ji)(ji)保護管理規(gui)范(fan)和技術標準,按照(zhao)秘密(mi)、機(ji)密(mi)、絕密(mi)三級(ji)(ji)的(de)不同要求,結合系(xi)(xi)統實際(ji)進行方(fang)案(an)設計,實施分(fen)級(ji)(ji)保護,其(qi)保護水(shui)平(ping)總體上不低于國家信(xin)息安全等級(ji)(ji)保護第(di)三級(ji)(ji)、第(di)四級(ji)(ji)、第(di)五級(ji)(ji)的(de)水(shui)平(ping)。 

第(di)二十八條 涉密(mi)(mi)信息系統使用(yong)的(de)信息安全保(bao)密(mi)(mi)產品(pin)原(yuan)則上應當選用(yong)國(guo)(guo)產品(pin),并應當通(tong)過(guo)國(guo)(guo)家保(bao)密(mi)(mi)局授權的(de)檢(jian)(jian)測(ce)機構依據有關國(guo)(guo)家保(bao)密(mi)(mi)標準進行的(de)檢(jian)(jian)測(ce),通(tong)過(guo)檢(jian)(jian)測(ce)的(de)產品(pin)由國(guo)(guo)家保(bao)密(mi)(mi)局審核發(fa)布目錄。 

第二十九(jiu)條(tiao) 涉密(mi)(mi)信息(xi)系(xi)統(tong)(tong)建設(she)使(shi)用單位在系(xi)統(tong)(tong)工程實施(shi)結束后,應當向保(bao)密(mi)(mi)工作部(bu)門(men)提(ti)出(chu)申請,由(you)國(guo)家(jia)(jia)保(bao)密(mi)(mi)局授權的系(xi)統(tong)(tong)測(ce)評機構依據國(guo)家(jia)(jia)保(bao)密(mi)(mi)標(biao)準BMB22-2007《涉及國(guo)家(jia)(jia)秘密(mi)(mi)的計算機信息(xi)系(xi)統(tong)(tong)分級(ji)保(bao)護測(ce)評指南》,對涉密(mi)(mi)信息(xi)系(xi)統(tong)(tong)進行安全(quan)保(bao)密(mi)(mi)測(ce)評。 

涉密(mi)信(xin)息系(xi)統(tong)建設(she)使(shi)用(yong)單(dan)位在(zai)系(xi)統(tong)投(tou)入(ru)使(shi)用(yong)前,應當按照(zhao)《涉及國家秘密(mi)的(de)信(xin)息系(xi)統(tong)審(shen)批管理規定》,向設(she)區的(de)市級以上保(bao)密(mi)工(gong)作部(bu)門申請進行系(xi)統(tong)審(shen)批,涉密(mi)信(xin)息系(xi)統(tong)通過審(shen)批后方(fang)可(ke)投(tou)入(ru)使(shi)用(yong)。已投(tou)入(ru)使(shi)用(yong)的(de)涉密(mi)信(xin)息系(xi)統(tong),其(qi)建設(she)使(shi)用(yong)單(dan)位在(zai)按照(zhao)分級保(bao)護要求(qiu)完成系(xi)統(tong)整(zheng)改后,應當向保(bao)密(mi)工(gong)作部(bu)門備案。 

第三十條 涉(she)密信息系(xi)統建設使用單位(wei)在(zai)申請(qing)系(xi)統審批或(huo)者(zhe)備(bei)案時,應(ying)當(dang)提交以下材料: 

(一)系統設計、實施(shi)方案及審查(cha)論證意見(jian); 

(二(er))系統承(cheng)建單位資質證(zheng)明材料(liao); 

(三)系統建設和工程監理情況報(bao)告; 

(四)系統安全保(bao)密檢測評估報告; 

(五(wu))系統安(an)全保(bao)密組織機構和管理制度情況(kuang); 

(六)其他有關材(cai)料。 

第三十一(yi)條 涉(she)密(mi)(mi)信(xin)息系統發生涉(she)密(mi)(mi)等級、連接范圍、環境設施、主要應(ying)(ying)用(yong)、安全保密(mi)(mi)管(guan)理責(ze)任(ren)單位變更(geng)時(shi),其(qi)建設使用(yong)單位應(ying)(ying)當(dang)及(ji)時(shi)向負責(ze)審批的保密(mi)(mi)工作(zuo)部門(men)報(bao)告。保密(mi)(mi)工作(zuo)部門(men)應(ying)(ying)當(dang)根據實際情況(kuang),決定(ding)是否對其(qi)重新進行測評和審批。 

第三(san)十二條(tiao) 涉密(mi)(mi)信息系統建設使用單位應當依(yi)據國(guo)家(jia)保密(mi)(mi)標準BMB20-2007《涉及國(guo)家(jia)秘(mi)密(mi)(mi)的信息系統分級保護管(guan)理規范》,加(jia)強涉密(mi)(mi)信息系統運行(xing)中的保密(mi)(mi)管(guan)理,定期進行(xing)風險評估,消(xiao)除(chu)泄密(mi)(mi)隱患和漏洞。 

第三十三條 國(guo)家和(he)地方各級(ji)保密(mi)工作部(bu)(bu)門依法對各地區(qu)、各部(bu)(bu)門涉(she)密(mi)信息系統(tong)分級(ji)保護工作實施監督管理(li),并(bing)做好以下(xia)工作: 

(一)指導、監督和檢查(cha)分級(ji)保護(hu)工作的開展; 

(二)指導涉密(mi)信(xin)息系統建設使用單位規(gui)范(fan)信(xin)息定(ding)密(mi),合理確定(ding)系統保護等(deng)級; 

(三)參與涉密信息系(xi)統分(fen)級保(bao)護方案論(lun)證(zheng),指(zhi)導建(jian)設使用單位做好保(bao)密設施(shi)的同步(bu)規(gui)劃設計; 

(四(si))依(yi)法對涉密信息系統集成資質單位(wei)進行監督(du)管理; 

(五)嚴格進(jin)行系統測(ce)評和審批工作,監督檢查涉(she)密信息系統建設使用單位分級保護管理制度和技術(shu)措施的落實情(qing)況(kuang); 

(六(liu))加強涉密(mi)信息(xi)系統(tong)運(yun)行中的(de)保(bao)密(mi)監督檢(jian)(jian)查(cha)。對秘密(mi)級(ji)、機密(mi)級(ji)信息(xi)系統(tong)每兩年至少進(jin)行一(yi)(yi)次保(bao)密(mi)檢(jian)(jian)查(cha)或(huo)者(zhe)系統(tong)測(ce)評,對絕密(mi)級(ji)信息(xi)系統(tong)每年至少進(jin)行一(yi)(yi)次保(bao)密(mi)檢(jian)(jian)查(cha)或(huo)者(zhe)系統(tong)測(ce)評; 

(七)了解掌握(wo)各級各類涉密信息系統的管理使用情況,及時(shi)發(fa)現和查處各種違規違法行為和泄密事件。

 第五(wu)章 信息安全等級保護的密碼管(guan)理 

第三十四條 國家(jia)密(mi)碼(ma)管理部(bu)門(men)對信(xin)息(xi)安全等(deng)(deng)級(ji)保護(hu)(hu)的密(mi)碼(ma)實行分類分級(ji)管理。根(gen)據被(bei)保護(hu)(hu)對象(xiang)在國家(jia)安全、社會穩定、經濟建設中的作用和重要(yao)程(cheng)度,被(bei)保護(hu)(hu)對象(xiang)的安全防護(hu)(hu)要(yao)求(qiu)和涉密(mi)程(cheng)度,被(bei)保護(hu)(hu)對象(xiang)被(bei)破(po)壞后的危(wei)害程(cheng)度以及密(mi)碼(ma)使用部(bu)門(men)的性質等(deng)(deng),確定密(mi)碼(ma)的等(deng)(deng)級(ji)保護(hu)(hu)準則。 

信(xin)息(xi)(xi)系(xi)統運營、使用單(dan)位采用密碼(ma)進(jin)行(xing)等(deng)級(ji)保(bao)護的(de),應當遵照(zhao)《信(xin)息(xi)(xi)安全(quan)等(deng)級(ji)保(bao)護密碼(ma)管理辦法》、《信(xin)息(xi)(xi)安全(quan)等(deng)級(ji)保(bao)護商(shang)用密碼(ma)技術要求》等(deng)密碼(ma)管理規定和相關標(biao)準。 

第三十五條 信(xin)息系(xi)統安(an)全(quan)等級保(bao)護中密碼的(de)配備、使用和(he)管理等,應當嚴格(ge)執(zhi)行國(guo)家密碼管理的(de)有關規定。 

第三十六條(tiao) 信息系(xi)統運(yun)營、使(shi)(shi)用(yong)單位應(ying)當充分運(yun)用(yong)密(mi)(mi)碼(ma)技(ji)術對信息系(xi)統進(jin)行(xing)(xing)(xing)保(bao)護(hu)(hu)。采用(yong)密(mi)(mi)碼(ma)對涉及國(guo)(guo)家(jia)秘(mi)密(mi)(mi)的信息和信息系(xi)統進(jin)行(xing)(xing)(xing)保(bao)護(hu)(hu)的,應(ying)報經國(guo)(guo)家(jia)密(mi)(mi)碼(ma)管(guan)理局審批,密(mi)(mi)碼(ma)的設計、實(shi)施、使(shi)(shi)用(yong)、運(yun)行(xing)(xing)(xing)維護(hu)(hu)和日常(chang)管(guan)理等,應(ying)當按照國(guo)(guo)家(jia)密(mi)(mi)碼(ma)管(guan)理有關規定(ding)和相關標準(zhun)(zhun)執行(xing)(xing)(xing);采用(yong)密(mi)(mi)碼(ma)對不涉及國(guo)(guo)家(jia)秘(mi)密(mi)(mi)的信息和信息系(xi)統進(jin)行(xing)(xing)(xing)保(bao)護(hu)(hu)的,須(xu)遵守《商用(yong)密(mi)(mi)碼(ma)管(guan)理條(tiao)例》和密(mi)(mi)碼(ma)分類分級保(bao)護(hu)(hu)有關規定(ding)與相關標準(zhun)(zhun),其密(mi)(mi)碼(ma)的配備使(shi)(shi)用(yong)情況應(ying)當向國(guo)(guo)家(jia)密(mi)(mi)碼(ma)管(guan)理機(ji)構備案(an)。 

第三十七(qi)條 運用(yong)(yong)密(mi)(mi)碼(ma)技術對信息系統(tong)進行系統(tong)等級保護建設(she)和整改(gai)的(de),必須(xu)采(cai)用(yong)(yong)經國(guo)家密(mi)(mi)碼(ma)管(guan)理部門批準使(shi)用(yong)(yong)或者(zhe)準于銷售的(de)密(mi)(mi)碼(ma)產(chan)品進行安全保護,不得采(cai)用(yong)(yong)國(guo)外(wai)引進或者(zhe)擅自(zi)研制的(de)密(mi)(mi)碼(ma)產(chan)品;未經批準不得采(cai)用(yong)(yong)含有加(jia)密(mi)(mi)功能的(de)進口信息技術產(chan)品。 

第(di)三十(shi)八條 信息系統中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔,其(qi)他任(ren)何(he)部(bu)門、單位和個人(ren)不得對密碼進行(xing)評測和監(jian)控。 

第三十九條 各級(ji)(ji)密碼(ma)管理(li)(li)(li)部門可(ke)以定期(qi)或(huo)者(zhe)不定期(qi)對(dui)信(xin)(xin)息系統等級(ji)(ji)保護工作中密碼(ma)配(pei)備、使(shi)用和管理(li)(li)(li)的(de)情況(kuang)進行檢查和測(ce)評,對(dui)重要(yao)(yao)涉密信(xin)(xin)息系統的(de)密碼(ma)配(pei)備、使(shi)用和管理(li)(li)(li)情況(kuang)每兩(liang)年至(zhi)少進行一次檢查和測(ce)評。在(zai)(zai)監督(du)檢查過程中,發現存在(zai)(zai)安全隱患(huan)或(huo)者(zhe)違反(fan)密碼(ma)管理(li)(li)(li)相關(guan)規定或(huo)者(zhe)未達到密碼(ma)相關(guan)標準要(yao)(yao)求的(de),應(ying)當按照國(guo)家密碼(ma)管理(li)(li)(li)的(de)相關(guan)規定進行處置。 

第六章 法律責任 

第四十條 第三級(ji)(ji)以上(shang)信息系統運營(ying)、使(shi)用單位違反(fan)本辦(ban)法規定,有(you)下列行為之(zhi)一(yi)的,由公安(an)機關、國家保(bao)密工作部(bu)門(men)和(he)國家密碼工作管理(li)(li)部(bu)門(men)按照職(zhi)責(ze)分工責(ze)令其限期(qi)改(gai)正(zheng);逾期(qi)不改(gai)正(zheng)的,給(gei)予(yu)警告,并(bing)向(xiang)其上(shang)級(ji)(ji)主管部(bu)門(men)通報(bao)情況(kuang),建議對其直(zhi)接負責(ze)的主管人(ren)員和(he)其他直(zhi)接責(ze)任人(ren)員予(yu)以處(chu)理(li)(li),并(bing)及(ji)時反(fan)饋處(chu)理(li)(li)結果: 

(一) 未(wei)按本辦法規定(ding)備案、審批的; 

(二) 未按本辦(ban)法(fa)規(gui)定落(luo)實安全管理制度(du)、措施(shi)的(de); 

(三(san)) 未(wei)按(an)本辦(ban)法規定開展系統安(an)全(quan)狀況檢查的; 

(四) 未(wei)按(an)本辦法規(gui)定開(kai)展系統(tong)安全(quan)技術測(ce)評(ping)的; 

(五(wu)) 接(jie)到(dao)整改(gai)(gai)通(tong)知后(hou),拒不整改(gai)(gai)的(de); 

(六) 未(wei)按本辦法規定選(xuan)擇使用(yong)信息安全產品和測評(ping)機構(gou)的(de); 

(七(qi)) 未(wei)按本辦法規定(ding)如實提供有(you)關(guan)文件和(he)證(zheng)明材料的; ;

(八) 違反保密管(guan)理規定的(de); 

(九) 違反密碼管理規(gui)定的; 

(十(shi)) 違反本辦(ban)法其他(ta)規定的。 

違反前款規(gui)定,造成嚴重損害的,由相關部門依(yi)照有關法律、法規(gui)予(yu)以處理。 

第(di)四十一條 信息安(an)全監(jian)管(guan)部門(men)及其工(gong)作人員在履行監(jian)督管(guan)理職責中,玩忽(hu)職守、濫用(yong)職權、徇(xun)私舞(wu)弊的,依法給予行政(zheng)處(chu)分;構成犯罪的,依法追究刑事責任。 

第七章(zhang) 附則 

第四十二條 已運行(xing)信(xin)息(xi)系統的運營、使用單(dan)位自本(ben)辦法(fa)施(shi)行(xing)之(zhi)日起180日內確定信(xin)息(xi)系統的安全保護等(deng)級;新建信(xin)息(xi)系統在(zai)設計、規劃階段確定安全保護等(deng)級。 

第四十三(san)條 本辦法所稱“以上”包含本數(級(ji))。

第(di)四(si)十(shi)四(si)條 本(ben)辦法(fa)自發布之日起施(shi)行,《信(xin)息安(an)全等級保護管理辦法(fa)(試行)》(公通(tong)字[2006]7號)同時(shi)廢止。 


Image
Image
版權(quan)所有(you):山(shan)西科信源(yuan)科技股份有(you)限公司
咨詢熱線:0351-4073466?
地址:(北區)山西省(sheng)太原市(shi)迎(ying)澤區新建南路文源巷24號文源公務中心(xin)5層
? ? ? ? ? ?(南區(qu))太原市小店區(qu)南中環(huan)街529 號(hao)清控創新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團