关于印发《关于信息安全等级保护工作的实施意见》 ….doc-道客多多

资源描述

1、1广东省信息安全等级保护相关文件汇编1.关于信息安全等级保护工作的实施意见.22.信息安全等级保护管理办法.63.信息安全等级保护备案实施细则.124.公安机关信息安全等级保护检查工作规范.145.广东省计算机信息系统安全保护条例.176.广东省公安厅关于计算机信息系统安全保护的实施办法.227.关于开展省直单位重要信息系统安全等级保护定级工作的通知.268.广东省信息安全等级保护备案工作实施细则（试行）.289.关于贯彻广东省计算机信息系统安全保护条例和广东省公安厅关于计算机信息系统安全保护的实施办法的通知.302关于印发关于信息安全等级保护工作的实施意见的通知公通字200466 号各省、自

2、治区、直辖市公安厅（局）保密局、国家密码管理委员会办公室、信息化领导小组办公室，新疆生产建设兵团公安局、保密局、国家密码管理委员会办公室、信息化领导小组办公室，中央和国家机关各部委保密委员会办公室，各人民团体保密委员会办公室：关于信息安全等级保护工作的实施意见已经国家网络与信息安全协调小组第三次会议讨论通过，现印发给你们，请认真贯彻实施。中华人民共和国公安部国家保密局国家密码管理委会员办公室国务院信息化工作办公室二四年九月十日关于信息安全等级保护工作的实施意见信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进

3、信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。为了进一步提高信息安全的保障能力和防护水平，维护国家安全、公共利益和社会稳定，保障和促进信息化建设的健康发展，1994 年国务院颁布的中华人民共和国计算机信息系统安全保护条例规定， “ 计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定” 。2003 年中央办公厅

4、、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见（中办发 200327 号）明确指出， “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南” 。一、开展信息安全等级保护工作的重要意义近年来，党中央、国务院高度重视，各有关方面协调配合、共同努力，我国信息安全保障工作取得了很大进展。但是从总体上看，我国的信息安全保障工作尚处于起步阶段，基础薄弱，水平不高，存在以下突出问题：信息安全意识和安全防范能力薄弱，信息安全滞后于信息化发展；信息系统安全建设和管理的目标不明确；信息安

5、全保障工作的重点不突出；信息安全监督管理缺乏依据和标准，监管措施有待到位，监管体系尚待完善。随着信息技术的高速发展和网络应用的迅速普及，我国国民经济和社会信息化进程全面加快，信息系统的基础性、全局性作用日益增强，信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全，维护国家安全、公共利益和社会稳定，是当前信息化发展中迫切需要解决的重大问题。实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；3有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息

6、安全建设成本；有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。二、信息安全等级保护制度的原则信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则：（一）明确责任，共同保护。通过等级保护，组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信

7、息安全保护责任。（二）依照标准，自行保护。国家运用强制性的规范及标准，要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护。（三）同步建设，动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。（四）指导监督，重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全

8、保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统，主要包括：国家事务处理信息系统（党政机关办公系统）；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。三、信息安全等级保护制度的基本内容信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行

9、按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，信息和信息系统的安全保护等级共分五级： 1. 第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权

10、益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。2. 第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。 3. 第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较4大损害。 4. 第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。 5. 第五级为专控保护

11、级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。国家通过制定统一的管理规范和技术标准，组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。第一级依照国家管理规范和技术标准进行自主保护；第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护；第三级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查；第四级依照国家管理规范和技术标准进行自主保护

12、，信息安全监管职能部门对其进行强制监督、检查；第五级依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督。国家对信息安全产品的使用实行分等级管理。信息安全事件实行分等级响应、处置的制度。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围，确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案，确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后，分等级按照预案响应和处置。四、信息安全等级保护工作职责分工公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密

13、工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。在信息安全等级保护工作中，涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。信息和信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准进行信息安全建设和管理。国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。五、实施信息安全等级保护工作的要求信息安全等级保护工作要突出重点、分级负责、分类指导、分步实施，按照谁主管谁负责、谁运营谁负责的要求，明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任，分别落实等级保护措施。实施信息安全等级

14、保护应当做好以下六个方面工作：（一）完善标准，分类指导。制定系统完整的信息安全等级保护管理规范和技术标准，并根据工作开展的实际情况不断补充完善。信息安全监管职能部门对不同重要程度的信息和信息系统的安全等级保护工作给予相应的指导，确保等级保护工作顺利开展。（二）科学定级，严格备案。信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准，确定其信息和信息系统的安全保护等级，并报其主管部门审批同意。对于包含多个子系统的信息系统，在保障信息系统安全互联和有效信息共享的前提下，应当根据等级保护的管理规定、技术标准和信息系统内各子系统的重要程度，分别确定安全保护等级。跨地域的大系统实行纵向保

15、护和属地保护相结合的方式。国务院信息化工作办公室组织国内有关信息安全专家成立信息安全保护等级专家评审委员会。重要的信息和信息系统的运营、使用单位及其主管部门在确定信息和信息系统的5安全保护等级时，应请信息安全保护等级专家评审委员会给予咨询评审。安全保护等级在三级以上的信息系统，由运营、使用单位报送本地区地市级公安机关备案。跨地域的信息系统由其主管部门向其所在地的同级公安机关进行总备案，分系统分别由当地运营、使用单位向本地地市级公安机关备案。信息安全产品使用的分等级管理以及信息安全事件分等级响应、处置的管理办法由公安部会同保密局、国密办、信息产业部和认监委等部门制定。（三）建设整改，落实

16、措施。对已有的信息系统，其运营、使用单位根据已经确定的信息安全保护等级，按照等级保护的管理规范和技术标准，采购和使用相应等级的信息安全产品，建设安全设施，落实安全技术措施，完成系统整改。对新建、改建、扩建的信息系统应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。（四）自查自纠，落实要求。信息和信息系统的运营、使用单位及其主管部门按照等级保护的管理规范和技术标准，对已经完成安全等级保护建设的信息系统进行检查评估，发现问题及时整改，加强和完善自身信息安全等级保护制度的建设，加强自我保护。（五）建立制度，加强管理。信息和信息系统的运营、使用单位按照与本系统安全保护等级相对

17、应的管理规范和技术标准的要求，定期进行安全状况检测评估，及时消除安全隐患和漏洞，建立安全制度，制定不同等级信息安全事件的响应、处置预案，加强信息系统的安全管理。信息和信息系统的主管部门应当按照等级保护的管理规范和技术标准的要求做好监督管理工作，发现问题，及时督促整改。（六）监督检查，完善保护。公安机关按照等级保护的管理规范和技术标准的要求，重点对第三、第四级信息和信息系统的安全等级保护状况进行监督检查。发现确定的安全保护等级不符合等级保护的管理规范和技术标准的，要通知信息和信息系统的主管部门及运营、使用单位进行整改；发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的，要限期整改，使信

18、息和信息系统的安全保护措施更加完善。对信息系统中使用的信息安全产品的等级进行监督检查。对第五级信息和信息系统的监督检查，由国家指定的专门部门、专门机构按照有关规定进行。国家保密工作部门、密码管理部门以及其他职能部门按照职责分工指导、监督、检查。六、信息安全等级保护工作实施计划计划用三年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度。（一）准备阶段。为了保障信息安全等级保护制度的顺利实施，在全面实施等级保护制度之前，用一年左右的时间做好下列准备工作： 1. 加强领导，落实责任。在国家网络与信息安全协调小组的领导下，地方各级人民政府、信息安全监管职能部门、信息系统的主管部门和运营、

19、使用单位要明确各自的安全责任，建立协调配合机制，分别制定详细的实施方案，积极推进信息安全等级保护制度的建立，推动信息安全管理运行机制的建立和完善。 2. 加快完善法律法规和标准体系。法律规范和技术标准是推广和实施信息安全等级保护工作的法律依据和技术保障。为此，信息安全等级保护管理办法和信息安全等级保护实施指南、信息安全等级保护评估指南等法规、规范要加紧制定，尽快出台。加快信息安全等级保护管理与技术标准的制定和完善，其他现行的相关标准规范中与等级保护管理规范和技术标准不相适应的，应当进行调整。 3. 建设信息安全等级保护监督管理队伍和技术支撑体系。信息安全监管职能部门要建立专门的信息安全等

20、级保护监督检查机构，充实力量，加强建设，抓紧培训，使监督检查人员能够全面掌握信息安全等级保护相关法律规范和管理规范及技术标准，熟练运用技术6工具，切实承担信息安全等级保护的指导、监督、检查职责。同时，还要建立信息安全等级保护监督、检查工作的技术支撑体系，组织研制、开发科学、实用的检查、评估工具。4. 进一步做好等级保护试点工作。选择电子政务、电子商务以及其他方面的重点单位开展等级保护试点工作，并在试点工作的基础上进一步完善等级保护实施指南等相关的配套规范、标准和工具，积累信息安全等级保护工作实施的方法和经验。 5. 加强宣传、培训工作。地方各级人民政府、信息安全监管职能部门和信息系统的主管部门

21、要积极宣传信息安全等级保护的相关法规、标准和政策，组织开展相关培训，提高对信息安全等级保护工作的认识和重视，积极推动各有关部门、单位做好开展信息安全等级保护工作的前期准备。（二）重点实行阶段。在做好前期准备工作的基础上，用一年左右的时间，在国家重点保护的涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统中实行等级保护制度。经过一年的建设，使基础信息网络和重要信息系统的核心要害部位得到有效保护，涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的保护状况得到较大改善，结束目前基本没有保护措施或保护措施不到位的状况。在工作中，如发现等级保护的管理规范和技术标准以及检查评估工

22、具等存在问题，及时组织有关部门进行调整和修订。（三）全面实行阶段。在试行工作的基础上，用一年左右的时间，在全国全面推行信息安全等级保护制度。已经实施等级保护制度的信息和信息系统的运营、使用单位及其主管部门，要进一步完善信息安全保护措施。没有实施等级保护制度的，要按照等级保护的管理规范和技术标准认真组织落实。经过三年的努力，逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节，使我国信息安全保障状况得到基本改善。公通字200743 号关于印发信息安全等级保护管理办法的通知各省、自治区、直辖市公安厅（局）、保密局、国家密码管理局（国家密码管理委员会办公室）、信息化领

23、导小组办公室，新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室，中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室，各人民团体保密委员会办公室：为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了信息安全等级保护管理办法。现印发给你们，请认真贯彻执行。中华人民共和国公安部国家保密局国家密码管理委会员办公室国务院信息化工作办公室二七年六月二十二日信息安全等级保护管理办法7第一章总则第一条为规

24、范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据中华人民共和国计算机信息系统安全保护条例等有关法律法规，制定本办法。第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理

25、。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条信息系

26、统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第八条信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安

27、全监管部门对其信息安全等级保护工作进行监督管理。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管

28、理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。第三章等级保护的实施与管理8第九条信息系统运营、使用单位应当按照信息系统安全等级保护实施指南具体实施等级保护工作。第十条信息系统运营、使用单位应当依据本办法和信息系统安全等级保护定级指南确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。第十一条信息系统的安全保护等级确定后，运营、使用单位

29、应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。第十二条在信息系统建设过程中，运营、使用单位应当按照计算机信息系统安全保护等级划分准则（GB17859-1999 ）、信息系统安全等级保护基本要求等技术标准，参照信息安全技术信息系统通用安全技术要求（ GB/T20271-2006）、信息安全技术网络基础安全技术要求（GB/T20270-2006）、信息安全技术操作系统安全技术要求（GB/T20272-2006）、信息安全技术数据库管理系统安全技术要求（GB/T20

30、273-2006）、信息安全技术服务器技术要求、信息安全技术终端计算机系统安全等级技术要求（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。第十三条运营、使用单位应当参照信息安全技术信息系统安全管理要求（GB/T20269-2006）、信息安全技术信息系统安全工程管理要求（GB/T20282-2006）、信息系统安全等级保护基本要求等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。第十四条信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据信息系统安全等级保护测评要求等技术标准，定期对信息系

31、统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。第十五条已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后 30日内，由其运营、使用单位到所在地设区的

32、市级以上公安机关办理备案手续。新建第二级以上信息系统，应当在投入运行后 30 日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。第十六条办理信息系统安全保护等级备案手续时，应当填写信息系统安全等级保护备案表，第三级以上信息系统应当同时提供以下材料：（一）系统拓扑结构及说明；（二）系统安全组织机构和管理制度；（三）系统安全保护设施设计实施方案或者改建实施方案；（四

33、）系统使用的信息安全产品清单及其认证、销售许可证明； 9（五）测评后符合系统安全保护等级的技术检测评估报告；（六）信息系统安全保护等级专家评审意见；（七）主管部门审核批准信息系统安全保护等级的意见。第十七条信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的 10 个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的 10 个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的 10 个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后，应

34、当按照本办法向公安机关重新备案。第十八条受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。对第五级信息系统，应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查：（一）信息系统安全需求是否发生变化，原定保护等级是否准确；（二）运营、使用单位安全管理制度、措施的落实情况；（三）运营、使用单位及其主管部门对信息系统安全状况的检查情况；（四）系统安全等级测评是否符合要求；（五

35、）信息安全产品使用是否符合要求；（六）信息系统安全整改情况；（七）备案材料与运营、使用单位、信息系统的符合情况；（八）其他应当进行监督检查的事项。第十九条信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件：（一）信息系统备案事项变更情况；（二）安全组织、人员的变动情况；（三）信息安全管理制度、措施变更情况；（四）信息系统运行状况记录；（五）运营、使用单位及主管部门定期对信息系统安全状况的检查记录；（六）对信息系统开展等级测评的技术测评报告；（七）信息安全产品

36、使用的变更情况；（八）信息安全事件应急预案，信息安全事件应急处置结果报告；（九）信息系统安全建设、整改结果报告。第二十条公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求，按照管理规范和技术标准进行整改。整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改情况组织检查。第二十一条第三级以上信息系统应当选择使用符合以下条件的信息安全产品：（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；（二）产品的核心技术、关

37、键部件具有我国自主知识产权；10（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；（五）对国家安全、社会秩序、公共利益不构成危害；（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。第二十二条第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：（一）在中华人民共和国境内注册成立（港澳台地区除外）；（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（三）从事相关检测评估工作两年以上，无违法记录；（四）工作人员仅限于中国公

38、民；（五）法人及主要业务、技术人员无犯罪记录；（六）使用的技术装备、设施应当符合本办法对信息安全产品的要求；（七）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；（八）对国家安全、社会秩序、公共利益不构成威胁。第二十三条从事信息系统安全等级测评的机构，应当履行下列义务：（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。第四章

39、涉及国家秘密信息系统的分级保护管理第二十四条涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。第二十五条涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。涉密信息系统建设使用单位应当在信息规范定密的基础上，依据涉密信息系统分级保护管理办法和国家保密标准 BMB17-2006涉及国家秘密的计算机信息系统分级保护技术要求确定系统等级。对于包含多个安全域的涉密信息系统，各安全域可以分别确定保护等级。保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。第二十六条涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况，及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案，并接受保密部门的监督、检查、指导。第二十七条涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准，按照秘密、机密、绝密三级的不同要求，结合系统实际进行方案设计，实施分级保护，其保

展开阅读全文