信息安全等級(jí)保護(hù)管理辦法(試行)

1、信息安全等級(jí)保護(hù)管理辦法（試行）第一章 總則第一條 為加強(qiáng)信息安全等級(jí)保護(hù)，規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例等國(guó)家有關(guān)法律法規(guī)，制定本辦法。第二條 信息安全等級(jí)保護(hù)，是指對(duì)國(guó)家秘密信息及公民、法人和其他組織的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。第三條 信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息和信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息

2、和信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，信息和信息系統(tǒng)應(yīng)當(dāng)達(dá)到的基本的安全保護(hù)水平等因素確定。第四條 信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：（一）第一級(jí)為自主保護(hù)級(jí)，適用于一般的信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。（二）第二級(jí)為指導(dǎo)保護(hù)級(jí)，適用于一般的信息系統(tǒng)，其受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成輕微損害，但不損害國(guó)家安全。（三）第三級(jí)為監(jiān)督保護(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成損害。（四）第四

3、級(jí)為強(qiáng)制保護(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害。（五）第五級(jí)為專控保護(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害。第五條 信息系統(tǒng)運(yùn)營(yíng)、使用單位及個(gè)人依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)，國(guó)家有關(guān)信息安全職能部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。（一）第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位或者個(gè)人可以依據(jù)國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。（二）第二級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。必要時(shí)，國(guó)家有關(guān)

4、信息安全職能部門可以對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。（三）第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)，國(guó)家有關(guān)信息安全職能部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。（四）第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)，國(guó)家有關(guān)信息安全職能部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。（五）第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)，國(guó)家指定的專門部門或者專門機(jī)構(gòu)對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。第六條 公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查

5、、指導(dǎo)。國(guó)家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理。國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)。第二章 信息安全等級(jí)保護(hù)的安全管理第七條 信息系統(tǒng)的運(yùn)營(yíng)、使用單位應(yīng)當(dāng)根據(jù)本辦法和有關(guān)標(biāo)準(zhǔn)，確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門的，應(yīng)當(dāng)報(bào)主管部門審核批準(zhǔn)。第八條 信息系統(tǒng)的運(yùn)營(yíng)、使用單位應(yīng)當(dāng)根據(jù)已確定的安全保護(hù)等級(jí)，依照本辦法和有關(guān)技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，進(jìn)行信息系統(tǒng)建設(shè)。第九條 信息系統(tǒng)的運(yùn)營(yíng)、使用單位應(yīng)當(dāng)履

6、行下列安全等級(jí)保護(hù)職責(zé)：（一）落實(shí)信息安全等級(jí)保護(hù)的責(zé)任部門和人員,負(fù)責(zé)信息系統(tǒng)的安全等級(jí)保護(hù)管理工作;（二）建立健全安全等級(jí)保護(hù)管理制度；（三）落實(shí)安全等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)要求；（四）定期進(jìn)行安全狀況檢測(cè)和風(fēng)險(xiǎn)評(píng)估;（五）建立信息安全事件的等級(jí)響應(yīng)、處置制度；（六）負(fù)責(zé)對(duì)信息系統(tǒng)用戶的安全等級(jí)保護(hù)教育和培訓(xùn)；（七）其他應(yīng)當(dāng)履行的安全等級(jí)保護(hù)職責(zé)。第十條 信息系統(tǒng)建設(shè)完成后，其運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法選擇具有國(guó)家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位，按照技術(shù)標(biāo)準(zhǔn)進(jìn)行安全測(cè)評(píng)，符合要求的，方可投入使用。第十一條 從事信息系統(tǒng)安全等級(jí)測(cè)評(píng)的單位，應(yīng)當(dāng)遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)規(guī)定，保守在測(cè)評(píng)活動(dòng)中

7、知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人隱私，提供安全、客觀、公正的檢測(cè)評(píng)估服務(wù)。測(cè)評(píng)單位資質(zhì)管理辦法由有關(guān)部門另行制定。第十二條 第三級(jí)以上信息系統(tǒng)的運(yùn)營(yíng)、使用單位應(yīng)當(dāng)自系統(tǒng)投入運(yùn)行之日起三十日內(nèi)，到所在地的省、自治區(qū)、直轄市公安機(jī)關(guān)指定的受理機(jī)構(gòu)辦理備案手續(xù)，填寫信息系統(tǒng)安全保護(hù)等級(jí)備案登記表。國(guó)家另有規(guī)定的除外。備案事項(xiàng)發(fā)生變更時(shí)，信息系統(tǒng)運(yùn)營(yíng)、使用單位或其主管部門應(yīng)當(dāng)自變更之日起三十日內(nèi)將變更情況報(bào)原備案機(jī)關(guān)。第十三條 公安機(jī)關(guān)應(yīng)當(dāng)掌握信息系統(tǒng)運(yùn)營(yíng)、使用單位的備案情況，建立備案檔案，進(jìn)行備案管理。發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)通知其予以糾正。第十四條 公安機(jī)關(guān)應(yīng)當(dāng)監(jiān)督、檢查第三級(jí)和第四級(jí)信息系

8、統(tǒng)運(yùn)營(yíng)、使用單位履行安全等級(jí)保護(hù)職責(zé)的情況。對(duì)安全保護(hù)等級(jí)為三級(jí)的信息系統(tǒng)每年至少檢查一次，對(duì)安全保護(hù)等級(jí)為四級(jí)的信息系統(tǒng)每半年至少檢查一次。第十五條 公安機(jī)關(guān)發(fā)現(xiàn)信息系統(tǒng)運(yùn)營(yíng)、使用單位未履行安全等級(jí)保護(hù)職責(zé)或未達(dá)到安全保護(hù)要求的，應(yīng)當(dāng)書面通知其整改。第三章 信息安全等級(jí)保護(hù)的保密管理第十六條 涉及國(guó)家秘密的信息系統(tǒng)應(yīng)當(dāng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的基本要求，按照國(guó)家保密工作部門涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。不涉及國(guó)家秘密的信息系統(tǒng)不得處理國(guó)家秘密信息。第十七條 涉及國(guó)家秘密的信息系統(tǒng)按照所處理信息的最高密級(jí)，由低到高劃分為秘密級(jí)、機(jī)密級(jí)和絕密級(jí)三個(gè)級(jí)別，其總

9、體防護(hù)水平分別不低于三級(jí)、四級(jí)、五級(jí)的要求。涉及國(guó)家秘密的信息系統(tǒng)建設(shè)單位應(yīng)當(dāng)依據(jù)中華人民共和國(guó)保守國(guó)家秘密法和國(guó)家有關(guān)秘密及其密級(jí)具體范圍的規(guī)定，確定系統(tǒng)處理信息的最高密級(jí)和系統(tǒng)的保護(hù)級(jí)別。第十八條 涉及國(guó)家秘密的信息系統(tǒng)的設(shè)計(jì)實(shí)施、審批備案、運(yùn)行維護(hù)和日常保密管理，按照國(guó)家保密工作部門的有關(guān)規(guī)定和技術(shù)標(biāo)準(zhǔn)執(zhí)行。第十九條 各級(jí)保密工作部門應(yīng)當(dāng)對(duì)已投入使用的涉及國(guó)家秘密的信息系統(tǒng)組織檢查和測(cè)評(píng)。發(fā)現(xiàn)系統(tǒng)存在安全隱患或系統(tǒng)保護(hù)措施不符合分級(jí)保護(hù)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)通知系統(tǒng)使用單位和管理部門限期整改。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)，每?jī)赡曛辽龠M(jìn)行一次保密檢查或系統(tǒng)測(cè)評(píng)；對(duì)絕密級(jí)信息系統(tǒng)，每年至少進(jìn)

10、行一次保密檢查或系統(tǒng)測(cè)評(píng)。第四章 信息安全等級(jí)保護(hù)的密碼管理第二十條 國(guó)家密碼管理部門對(duì)信息安全等級(jí)保護(hù)的密碼實(shí)行分類分級(jí)管理。根據(jù)被保護(hù)對(duì)象在國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)建設(shè)中的作用和重要程度，被保護(hù)對(duì)象的安全防護(hù)要求和涉密程度，被保護(hù)對(duì)象被破壞后的危害程度以及密碼使用部門的性質(zhì)等，確定密碼的等級(jí)保護(hù)準(zhǔn)則。信息系統(tǒng)運(yùn)營(yíng)、使用單位采用密碼進(jìn)行等級(jí)保護(hù)的，應(yīng)當(dāng)遵照信息安全等級(jí)保護(hù)密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。第二十一條 信息系統(tǒng)安全等級(jí)保護(hù)中密碼的配備、使用和管理等，應(yīng)嚴(yán)格執(zhí)行國(guó)家密碼管理的有關(guān)規(guī)定。第二十二條 要充分運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行保護(hù)。采用密碼對(duì)涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，密碼的

11、設(shè)計(jì)、實(shí)施、使用、運(yùn)行維護(hù)和日常管理等，應(yīng)當(dāng)按照國(guó)家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對(duì)不涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，須遵照商用密碼管理?xiàng)l例和密碼分類分級(jí)保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)。第二十三條 各級(jí)密碼管理部門可以定期或者不定期對(duì)信息系統(tǒng)等級(jí)保護(hù)工作中密碼配備、使用和管理的情況進(jìn)行檢查和測(cè)評(píng)，對(duì)重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每?jī)赡曛辽龠M(jìn)行一次檢查和測(cè)評(píng)。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或違反密碼管理相關(guān)規(guī)定或者未達(dá)到密碼相關(guān)標(biāo)準(zhǔn)要求的，按照國(guó)家密碼管理的相關(guān)規(guī)定進(jìn)行處置。第五章 法律責(zé)任第二十四條 三級(jí)、四級(jí)信息系統(tǒng)和涉及國(guó)家秘密的信息系統(tǒng)的主管部門和運(yùn)營(yíng)、使用單位違反本辦法規(guī)定，有下列行為之一，造成嚴(yán)重?fù)p害的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理