第壹章 總則
第壹條 為規範信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公***利益,保障和促進信息化建設,根據《中華人民***和國計算機信息系統安全保護條例》等有關法律法規,制定本辦法。
第二條 國家通過制定統壹的信息安全等級保護管理規範和技術標準,組織公民、法人和其他組織對信息系統分等級實行安全保護,對等級保護工作的實施進行監督、管理。
第三條 公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。涉及其他職能部門管轄範圍的事項,由有關職能部門依照國家法律法規的規定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。
第四條 信息系統主管部門應當依照本辦法及相關標準規範,督促、檢查、指導本行業、本部門或者本地區信息系統運營、使用單位的信息安全等級保護工作。
第五條 信息系統的運營、使用單位應當依照本辦法及其相關標準規範,履行信息安全等級保護的義務和責任。
第二章 等級劃分與保護
第六條 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞後對國家安全、社會秩序、公***利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。
第七條 信息系統的安全保護等級分為以下五級:第壹級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公***利益。第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公***利益造成損害,但不損害國家安全。第三級,信息系統受到破壞後,會對社會秩序和公***利益造成嚴重損害,或者對國家安全造成損害。第四級,信息系統受到破壞後,會對社會秩序和公***利益造成特別嚴重損害,或者對國家安全造成嚴重損害。第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
第八條 信息系統運營、使用單位依據本辦法和相關技術標準對信息系統進行保護,國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。第壹級信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。第二級信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。第三級信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。第四級信息系統運營、使用單位應當依據國家有關管理規範、技術標準和業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。第五級信息系統運營、使用單位應當依據國家管理規範、技術標準和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。
第三章 等級保護的實施與管理
第九條 信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》具體實施等級保護工作。
第十條 信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的,應當經主管部門審核批準 跨省或者全國統壹聯網運行的信息系統可以由主管部門統壹確定安全保護等級。對擬確定為第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。
第十壹條 信息系統的安全保護等級確定後,運營、使用單位應當按照國家信息安全等級保護管理規範和技術標準,使用符合國家有關規定,滿足信息系統安全保護等級需求的信息技術產品,開展信息系統安全建設或者改建工作。
第十二條 在信息系統建設過程中,運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》(GB17859-1999)、《信息系統安全等級保護基本要求》等技術標準,參照《信息安全技術 信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術 網絡基礎安全技術要求》(GB/T20270-2006)、《信息安全技術 操作系統安全技術要求》(GB/T20272-2006)、《信息安全技術 數據庫管理系統安全技術要求》(GB/T20273-2006)、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標準同步建設符合該等級要求的信息安全設施。
第十三條 運營、使用單位應當參照《信息安全技術 信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術 信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理規範,制定並落實符合本系統安全保護等級要求的安全管理制度。
第十四條 信息系統建設完成後,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行壹次等級測評,第四級信息系統應當每半年至少進行壹次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評。信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行壹次自查,第四級信息系統應當每半年至少進行壹次自查,第五級信息系統應當依據特殊安全需求進行自查。 經測評或者自查,信息系統安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進行整改。
第十五條 已運營(運行)的第二級以上信息系統,應當在安全保護等級確定後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。新建第二級以上信息系統,應當在投入運行後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。 隸屬於中央的在京單位,其跨省或者全國統壹聯網運行並由主管部門統壹定級的信息系統,由主管部門向公安部辦理備案手續。跨省或者全國統壹聯網運行的信息系統在各地運行、應用的分支系統,應當向當地設區的市級以上公安機關備案。
第十六條 辦理信息系統安全保護等級備案手續時,應當填寫《信息系統安全等級保護備案表》,第三級以上信息系統應當同時提供以下材料:
(壹)系統拓撲結構及說明;
(二)系統安全組織機構和管理制度;
(三)系統安全保護設施設計實施方案或者改建實施方案;
(四)系統使用的信息安全產品清單及其認證、銷售許可證明;
(五)測評後符合系統安全保護等級的技術檢測評估報告;
(六)信息系統安全保護等級專家評審意見;
(七)主管部門審核批準信息系統安全保護等級的意見。