信息安全等級保護(hù)管理辦法_第1頁
信息安全等級保護(hù)管理辦法_第2頁
信息安全等級保護(hù)管理辦法_第3頁
信息安全等級保護(hù)管理辦法_第4頁
信息安全等級保護(hù)管理辦法_第5頁
已閱讀5頁,還剩12頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、信息安全等級保護(hù)管理辦法 第一章總則 第一條 為規(guī)范信息安全等級保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè),依據(jù)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例等有關(guān)法律法規(guī),制定本方法。 第二條 國家通過制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對信息系統(tǒng)分等級實(shí)行安全保護(hù),對等級保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。 第三條 公安機(jī)關(guān)負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負(fù)責(zé)等級保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負(fù)責(zé)等級保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范

2、圍的事項(xiàng),由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級保護(hù)工作的部門間協(xié)調(diào)。 第四條 信息系統(tǒng)主管部門應(yīng)當(dāng)依照本方法及相關(guān)標(biāo)準(zhǔn)規(guī)范,督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營、使用單位的信息安全等級保護(hù)工作。 第五條 信息系統(tǒng)的運(yùn)營、使用單位應(yīng)當(dāng)依照本方法及其相關(guān)標(biāo)準(zhǔn)規(guī)范,履行信息安全等級保護(hù)的義務(wù)和責(zé)任。 第二章等級劃分與保護(hù) 第六條 國家信息安全等級保護(hù)堅(jiān)持自主定級、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)依據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會(huì)秩序、公共利益以及公民、

3、法人和其他組織的合法權(quán)益的危害程度等因素確定。 第七條 信息系統(tǒng)的安全保護(hù)等級分為以下五級: 第一級,信息系統(tǒng)受到破壞后,會(huì)對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會(huì)秩序和公共利益。 第二級,信息系統(tǒng)受到破壞后,會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會(huì)秩序和公共利益造成損害,但不損害國家安全。 第三級,信息系統(tǒng)受到破壞后,會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。 第四級,信息系統(tǒng)受到破壞后,會(huì)對社會(huì)秩序和公共利益造成特殊嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。 第五級,信息系統(tǒng)受到破壞后,會(huì)對國家安全造成特殊嚴(yán)重?fù)p害。 第八條 信息系統(tǒng)

4、運(yùn)營、使用單位依據(jù)本方法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù),國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。 第一級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。 第二級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行指導(dǎo)。 第三級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。 第四級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特地需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信

5、息安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。 第五級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特別安全需求進(jìn)行保護(hù)。國家指定特地部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行特地監(jiān)督、檢查。 第三章等級保護(hù)的實(shí)施與管理 第九條 信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南詳細(xì)實(shí)施等級保護(hù)工作。 第十條 信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)本方法和信息系統(tǒng)安全等級保護(hù)定級指南確定信息系統(tǒng)的安全保護(hù)等級。有主管部門的,應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。 跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級。 對擬確定為第四級以上信息系統(tǒng)的,運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)請國家信

6、息安全保護(hù)等級專家評審委員會(huì)評審。 第十一條 信息系統(tǒng)的安全保護(hù)等級確定后,運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國家有關(guān)規(guī)定,滿意信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者改建工作。 第十二條 在信息系統(tǒng)建設(shè)過程中,運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則(gb17859-1999)、信息系統(tǒng)安全等級保護(hù)基本要求等技術(shù)標(biāo)準(zhǔn),參照信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求(gb/t20271-2021)、信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(gb/t20270-2021)、信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求(gb/t20272-2021

7、)、信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求(gb/t20273-2021)、信息安全技術(shù)服務(wù)器技術(shù)要求、信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求(ga/t671-2021)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。 第十三條 運(yùn)營、使用單位應(yīng)當(dāng)參照信息安全技術(shù)信息系統(tǒng)安全管理要求(gb/t20269-2021)、信息安全技術(shù)信息系統(tǒng)安全工程管理要求(gb/t20282-2021)、信息系統(tǒng)安全等級保護(hù)基本要求等管理規(guī)范,制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。 第十四條 信息系統(tǒng)建設(shè)完成后,運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本方法規(guī)定條件的測評機(jī)構(gòu),依據(jù)信息系統(tǒng)安全等

8、級保護(hù)測評要求等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特別安全需求進(jìn)行等級測評。 信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)狀況進(jìn)行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特別安全需求進(jìn)行自查。 經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的,運(yùn)營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。 第十五條 已運(yùn)營(運(yùn)行)的第二級以上信息系統(tǒng),應(yīng)當(dāng)在安全保護(hù)等級確定后

9、30日內(nèi),由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。 新建第二級以上信息系統(tǒng),應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi),由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。 隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機(jī)關(guān)備案。 第十六條 辦理信息系統(tǒng)安全保護(hù)等級備案手續(xù)時(shí),應(yīng)當(dāng)填寫信息系統(tǒng)安全等級保護(hù)備案表,第三級以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)供應(yīng)以下材料: (一)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明; (二)系統(tǒng)安全組織機(jī)構(gòu)和管理制度; (三)系統(tǒng)

10、安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案; (四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明; (五)測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報(bào)告; (六)信息系統(tǒng)安全保護(hù)等級專家評審意見; (七)主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。 第十七條 信息系統(tǒng)備案后,公安機(jī)關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案狀況進(jìn)行審核,對符合等級保護(hù)要求的,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護(hù)備案證明;發(fā)覺不符合本方法及有關(guān)標(biāo)準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正;發(fā)覺定級不準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。 運(yùn)營、使用

11、單位或者主管部門重新確定信息系統(tǒng)等級后,應(yīng)當(dāng)根據(jù)本方法向公安機(jī)關(guān)重新備案。 第十八條 受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運(yùn)營、使用單位的信息安全等級保護(hù)工作狀況進(jìn)行檢查。對第三級信息系統(tǒng)每年至少檢查一次,對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查,應(yīng)當(dāng)會(huì)同其主管部門進(jìn)行。 對第五級信息系統(tǒng),應(yīng)當(dāng)由國家指定的特地部門進(jìn)行檢查。 公安機(jī)關(guān)、國家指定的特地部門應(yīng)當(dāng)對下列事項(xiàng)進(jìn)行檢查: (一)信息系統(tǒng)安全需求是否發(fā)生變化,原定保護(hù)等級是否精確; (二)運(yùn)營、使用單位安全管理制度、措施的落實(shí)狀況; (三)運(yùn)營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查

12、狀況; (四)系統(tǒng)安全等級測評是否符合要求; (五)信息安全產(chǎn)品使用是否符合要求; (六)信息系統(tǒng)安全整改狀況; (七)備案材料與運(yùn)營、使用單位、信息系統(tǒng)的符合狀況; (八)其他應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項(xiàng)。 第十九條 信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)、國家指定的特地部門的安全監(jiān)督、檢查、指導(dǎo),照實(shí)向公安機(jī)關(guān)、國家指定的特地部門供應(yīng)下列有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件: (一)信息系統(tǒng)備案事項(xiàng)變更狀況; (二)安全組織、人員的變動(dòng)狀況; (三)信息安全管理制度、措施變更狀況; (四)信息系統(tǒng)運(yùn)行狀況記錄; (五)運(yùn)營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄; (六)對信息系統(tǒng)開

13、展等級測評的技術(shù)測評報(bào)告; (七)信息安全產(chǎn)品使用的變更狀況; (八)信息安全事件應(yīng)急預(yù)案,信息安全事件應(yīng)急處置結(jié)果報(bào)告; (九)信息系統(tǒng)安全建設(shè)、整改結(jié)果報(bào)告。 第二十條 公安機(jī)關(guān)檢查發(fā)覺信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的,應(yīng)當(dāng)向運(yùn)營、使用單位發(fā)出整改通知。運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)整改通知要求,根據(jù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。整改完成后,應(yīng)當(dāng)將整改報(bào)告向公安機(jī)關(guān)備案。必要時(shí),公安機(jī)關(guān)可以對整改狀況組織檢查。 第二十一條 第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品: (一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和

14、國境內(nèi)具有獨(dú)立的法人資格; (二)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主學(xué)問產(chǎn)權(quán); (三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄; (四)產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能; (五)對國家安全、社會(huì)秩序、公共利益不構(gòu)成危害; (六)對已列入信息安全產(chǎn)品認(rèn)證目錄的,應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。 第二十二條 第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級保護(hù)測評機(jī)構(gòu)進(jìn)行測評: (一)在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外); (二)由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外); (三)從事相關(guān)檢測評估工

15、作兩年以上,無違法記錄; (四)工作人員僅限于中國公民; (五)法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄; (六)使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本方法對信息安全產(chǎn)品的要求; (七)具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度; (八)對國家安全、社會(huì)秩序、公共利益不構(gòu)成威逼。 第二十三條 從事信息系統(tǒng)安全等級測評的機(jī)構(gòu),應(yīng)當(dāng)履行下列義務(wù): (一)遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn),供應(yīng)安全、客觀、公正的檢測評估服務(wù),保證測評的質(zhì)量和效果; (二)保守在測評活動(dòng)中知悉的國家隱秘、商業(yè)隱秘和個(gè)人隱私,防范測評風(fēng)險(xiǎn); (三)對測評人員進(jìn)行安全保密教育,與其簽訂安全保密責(zé)任書,規(guī)定應(yīng)當(dāng)

16、履行的安全保密義務(wù)和擔(dān)當(dāng)?shù)姆韶?zé)任,并負(fù)責(zé)檢查落實(shí)。 第四章涉密信息系統(tǒng)的分級保護(hù)管理 第二十四條 涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護(hù)的基本要求,根據(jù)國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實(shí)際狀況進(jìn)行保護(hù)。 非涉密信息系統(tǒng)不得處理國家隱秘信息。 第二十五條 涉密信息系統(tǒng)根據(jù)所處理信息的最高密級,由低到高分為隱秘、機(jī)密、絕密三個(gè)等級。 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級保護(hù)管理方法和國家保密標(biāo)準(zhǔn)bmb17-2021涉及國家隱秘的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)技術(shù)要求確定系統(tǒng)等級。對于包含多個(gè)安全域的涉密信息系統(tǒng),各安全域可以分別

17、確定保護(hù)等級。 保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位精確、合理地進(jìn)行系統(tǒng)定級。 第二十六條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級和建設(shè)使用狀況,準(zhǔn)時(shí)上報(bào)業(yè)務(wù)主管部門的保密工作機(jī)構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查、指導(dǎo)。 第二十七條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位擔(dān)當(dāng)或者參與涉密信息系統(tǒng)的設(shè)計(jì)與實(shí)施。 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),根據(jù)隱秘、機(jī)密、絕密三級的不同要求,結(jié)合系統(tǒng)實(shí)際進(jìn)行方案設(shè)計(jì),實(shí)施分級保護(hù),其保護(hù)水平總體上不低于國家信息安全等級保護(hù)第三級、第四級、第五級的水平

18、。 第二十八條 涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品,并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機(jī)構(gòu)依據(jù)有關(guān)國家保密標(biāo)準(zhǔn)進(jìn)行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。 第二十九條 涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實(shí)施結(jié)束后,應(yīng)當(dāng)向保密工作部門提出申請,由國家保密局授權(quán)的系統(tǒng)測評機(jī)構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)bmb22-2021涉及國家隱秘的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)測評指南,對涉密信息系統(tǒng)進(jìn)行安全保密測評。 涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前,應(yīng)當(dāng)根據(jù)涉及國家隱秘的信息系統(tǒng)審批管理規(guī)定,向設(shè)區(qū)的市級以上保密工作部門申請進(jìn)行系統(tǒng)審批,涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息

19、系統(tǒng),其建設(shè)使用單位在根據(jù)分級保護(hù)要求完成系統(tǒng)整改后,應(yīng)當(dāng)向保密工作部門備案。 第三十條 涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時(shí),應(yīng)當(dāng)提交以下材料: (一)系統(tǒng)設(shè)計(jì)、實(shí)施方案及審查論證意見; (二)系統(tǒng)承建單位資質(zhì)證明材料; (三)系統(tǒng)建設(shè)和工程監(jiān)理狀況報(bào)告; (四)系統(tǒng)安全保密檢測評估報(bào)告; (五)系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度狀況; (六)其他有關(guān)材料。 第三十一條 涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時(shí),其建設(shè)使用單位應(yīng)當(dāng)準(zhǔn)時(shí)向負(fù)責(zé)審批的保密工作部門報(bào)告。保密工作部門應(yīng)當(dāng)依據(jù)實(shí)際狀況,打算是否對其重新進(jìn)行測評和審批。 第三十二條 涉密

20、信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)bmb20-2021涉及國家隱秘的信息系統(tǒng)分級保護(hù)管理規(guī)范,加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密管理,定期進(jìn)行風(fēng)險(xiǎn)評估,消退泄密隱患和漏洞。 第三十三條 國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護(hù)工作實(shí)施監(jiān)督管理,并做好以下工作: (一)指導(dǎo)、監(jiān)督和檢查分級保護(hù)工作的開展; (二)指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密,合理確定系統(tǒng)保護(hù)等級; (三)參與涉密信息系統(tǒng)分級保護(hù)方案論證,指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計(jì); (四)依法對涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行監(jiān)督管理; (五)嚴(yán)格進(jìn)行系統(tǒng)測評和審批工作,監(jiān)督檢查涉密信息系統(tǒng)建設(shè)

21、使用單位分級保護(hù)管理制度和技術(shù)措施的落實(shí)狀況; (六)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對隱秘級、機(jī)密級信息系統(tǒng)每兩年至少進(jìn)行一次保密檢查或者系統(tǒng)測評,對絕密級信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測評; (七)了解把握各級各類涉密信息系統(tǒng)的管理使用狀況,準(zhǔn)時(shí)發(fā)覺和查處各種違規(guī)違法行為和泄密事件。 第五章信息安全等級保護(hù)的密碼管理 第三十四條 國家密碼管理部門對信息安全等級保護(hù)的密碼實(shí)行分類分級管理。依據(jù)被保護(hù)對象在國家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)建設(shè)中的作用和重要程度,被保護(hù)對象的安全防護(hù)要求和涉密程度,被保護(hù)對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級保護(hù)準(zhǔn)則。 信息系統(tǒng)運(yùn)

22、營、使用單位采用密碼進(jìn)行等級保護(hù)的,應(yīng)當(dāng)遵照信息安全等級保護(hù)密碼管理方法、信息安全等級保護(hù)商用密碼技術(shù)要求等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。 第三十五條 信息系統(tǒng)安全等級保護(hù)中密碼的配備、使用和管理等,應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。 第三十六條 信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)充分運(yùn)用密碼技術(shù)對信息系統(tǒng)進(jìn)行保護(hù)。采用密碼對涉及國家隱秘的信息和信息系統(tǒng)進(jìn)行保護(hù)的,應(yīng)報(bào)經(jīng)國家密碼管理局審批,密碼的設(shè)計(jì)、實(shí)施、使用、運(yùn)行維護(hù)和日常管理等,應(yīng)當(dāng)根據(jù)國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行;采用密碼對不涉及國家隱秘的信息和信息系統(tǒng)進(jìn)行保護(hù)的,須遵守商用密碼管理?xiàng)l例和密碼分類分級保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn),其密碼的配備使用狀況應(yīng)當(dāng)向國家密碼管理機(jī)構(gòu)備案。 第三十七條 運(yùn)用密碼技術(shù)對信息系統(tǒng)進(jìn)行系統(tǒng)等級保護(hù)建設(shè)和整改的,必需采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進(jìn)行安全保護(hù),不得采用國外引進(jìn)或者擅自研制的密碼產(chǎn)品;未經(jīng)批準(zhǔn)不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。 第三十八條 信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認(rèn)可的測評機(jī)構(gòu)擔(dān)當(dāng),其他任何部門、單位和個(gè)人不得對密碼進(jìn)行評測和監(jiān)控。 第三十九條 各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護(hù)工作中密碼配備、

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論