國家信息安全等級保護制度

1、信息安全等級保護管理辦法1四部委下發(fā)公通字 200743號文信息安全等級保護管理辦法 是為規(guī)范信息安全等級保護管理, 提高信息安全保障能力和 水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設(shè),根據(jù)中華人民共和 國計算機信息系統(tǒng)安全保護條例等有關(guān)法律法規(guī)而制定的辦法。由四部委下發(fā),公通字 200743號文。2制定目的 規(guī)范信息安全等級保護管理。文號公通字 200743號文第一章 總則第一條為規(guī)范信息安全等級保護管理, 提高信息安全保障能力和水平, 維護國家安全、 社會穩(wěn)定和 公共利益,保障和促進信息化建設(shè),根據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例 等有關(guān)法律法規(guī),制定本辦法。第二

2、條國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準, 組織公民、 法人和其他組織對 信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。第三條公安機關(guān)負責信息安全等級保護工作的監(jiān)督、 檢查、 指導(dǎo)。 國家保密工作部門負責等級保護 工作中有關(guān)保密工作的監(jiān)督、 檢查、 指導(dǎo)。 國家密碼管理部門負責等級保護工作中有關(guān)密碼 工作的監(jiān)督、檢查、 指導(dǎo)。 涉及其他職能部門管轄范圍的事項, 由有關(guān)職能部門依照國家法 律法規(guī)的規(guī)定進行管理。 國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責等級 保護工作的部門間協(xié)調(diào)。第四條信息系統(tǒng)主管部門應(yīng)當依照本辦法及相關(guān)標準規(guī)范,督促、檢查、指導(dǎo)本行

3、業(yè)、本部門或者 本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。第五條信息系統(tǒng)的運營、 使用單位應(yīng)當依照本辦法及其相關(guān)標準規(guī)范, 履行信息安全等級保護的義 務(wù)和責任。第二章 等級劃分與保護第六條國家信息安全等級保護堅持自主定級、 自主保護的原則。 信息系統(tǒng)的安全保護等級應(yīng)當根據(jù) 信息系統(tǒng)在國家安全、 經(jīng)濟建設(shè)、 社會生活中的重要程度, 信息系統(tǒng)遭到破壞后對國家安全、 社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。第七條信息系統(tǒng)的安全保護等級分為以下五級:第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。

4、第二級,信息系統(tǒng)受到破壞后, 會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害, 或者 對社會秩序和公共利益造成損害,但不損害國家安全。第三級, 信息系統(tǒng)受到破壞后, 會對社會秩序和公共利益造成嚴重損害, 或者對國家安全造1成損害。第四級, 信息系統(tǒng)受到破壞后, 會對社會秩序和公共利益造成特別嚴重損害, 或者對國家安 全造成嚴重損害。第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。第八條信息系統(tǒng)運營、 使用單位依據(jù)本辦法和相關(guān)技術(shù)標準對信息系統(tǒng)進行保護, 國家有關(guān)信息安 全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。第一級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保

5、護。第二級信息系統(tǒng)運營、 使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。 國家信息 安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導(dǎo)。第三級信息系統(tǒng)運營、 使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。 國家信息 安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。第四級信息系統(tǒng)運營、 使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范、 技術(shù)標準和業(yè)務(wù)專門需求進行 保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。 第五級信息系統(tǒng)運營、 使用單位應(yīng)當依據(jù)國家管理規(guī)范、 技術(shù)標準和業(yè)務(wù)特殊安全需求進行 保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護

6、工作進行專門監(jiān)督、檢查。 第三章等級保護的實施與管理第九條信息系統(tǒng)運營、用單位應(yīng)當按照信息系統(tǒng)安全等級保護實施指南具體實施等級保護工作。第十條信息系統(tǒng)運營、 使用單位應(yīng)當依據(jù)本辦法和 信息系統(tǒng)安全等級保護定級指南 確定信息系 統(tǒng)的安全保護等級。 有主管部門的, 應(yīng)當經(jīng)主管部門審核批準。 跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行 的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的, 運營、使用單位或者主管部門應(yīng)當請國家信息安全保護等級專家評審委員會評審。第十一條信息系統(tǒng)的安全保護等級確定后, 運營、 使用單位應(yīng)當按照國家信息安全等級保護管理規(guī)范 和技術(shù)標準, 使用符合國家有關(guān)規(guī)定, 滿

7、足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品, 開 展信息系統(tǒng)安全建設(shè)或者改建工作。第十二條在信息系統(tǒng)建設(shè)過程中, 運營、 使用單位應(yīng)當按照 計算機信息系統(tǒng)安全保護等級劃分準則 (GB17859-1999 、 信息系統(tǒng)安全等級保護基本要求等技術(shù)標準,參照信息安全技術(shù)信 息系統(tǒng)通用安全技術(shù)要求 (GB/T20271-2006 、 信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 (GB/T20270-2006 、 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求 (GB/T20272-2006 、 信息安 全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 (GB/T20273-2006 、 信息安全技術(shù)服務(wù)器技術(shù)要求 、 信息安全技術(shù)終端計算機

8、系統(tǒng)安全等級技術(shù)要求 (GA/T671-2006等技術(shù)標準同步建設(shè) 符合該等級要求的信息安全設(shè)施。第十三條運營、使用單位應(yīng)當參照信息安全技術(shù) 信息系統(tǒng)安全管理要求 (GB/T20269-2006 、 信息安全技術(shù)信息系統(tǒng)安全工程管理要求 (GB/T20282-2006 、 信息 系統(tǒng)安全等級保護基本要求 等管理規(guī)范, 制定并落實符合本系統(tǒng)安全保護等級要求的安全 管理制度。第十四條2信息系統(tǒng)建設(shè)完成后, 運營、 使用單位或者其主管部門應(yīng)當選擇符合本辦法規(guī)定條件的測評 機構(gòu), 依據(jù) 信息系統(tǒng)安全等級保護測評要求等技術(shù)標準, 定期對信息系統(tǒng)安全等級狀況 開展等級測評。第三級信息系統(tǒng)應(yīng)當每年至少進行一

9、次等級測評, 第四級信息系統(tǒng)應(yīng)當每半年至少進行一次 等級測評, 第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評。 信息系統(tǒng)運營、 使用單位 及其主管部門應(yīng)當定期對信息系統(tǒng)安全狀況、 安全保護制度及措施的落實情況進行自查。 第 三級信息系統(tǒng)應(yīng)當每年至少進行一次自查,第四級信息系統(tǒng)應(yīng)當每半年至少進行一次自查, 第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行自查。 經(jīng)測評或者自查, 信息系統(tǒng)安全狀況未達到安全保護等級要求的,運營、使用單位應(yīng)當制定方案進行整改。第十五條已運營(運行的第二級以上信息系統(tǒng),應(yīng)當在安全保護等級確定后 30日內(nèi), 由其運營、 使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。 新建

10、第二級以 上信息系統(tǒng), 應(yīng)當在投入運行后 30日內(nèi), 由其運營、 使用單位到所在地設(shè)區(qū)的市級以上公安 機關(guān)辦理備案手續(xù)。 隸屬于中央的在京單位, 其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng) 一定級的信息系統(tǒng), 由主管部門向公安部辦理備案手續(xù)。 跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息 系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng),應(yīng)當向當?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。第十六條辦理信息系統(tǒng)安全保護等級備案手續(xù)時,應(yīng)當填寫信息系統(tǒng)安全等級保護備案表 ,第三 級以上信息系統(tǒng)應(yīng)當同時提供以下材料:(一系統(tǒng)拓撲結(jié)構(gòu)及說明;(二系統(tǒng)安全組織機構(gòu)和管理制度;(三系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案;(四系統(tǒng)使用的信息安全產(chǎn)品

11、清單及其認證、銷售許可證明;(五測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告;(六信息系統(tǒng)安全保護等級專家評審意見;(七主管部門審核批準信息系統(tǒng)安全保護等級的意見。第十七條信息系統(tǒng)備案后,公安機關(guān)應(yīng)當對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的, 應(yīng)當在收到備案材料之日起的 10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明; 發(fā)現(xiàn)不符 合本辦法及有關(guān)標準的,應(yīng)當在收到備案材料之日起的 10個工作日內(nèi)通知備案單位予以 糾正; 發(fā)現(xiàn)定級不準的, 應(yīng)當在收到備案材料之日起的 10個工作日內(nèi)通知備案單位重新審核 確定。 運營、 使用單位或者主管部門重新確定信息系統(tǒng)等級后, 應(yīng)當按照本辦法向公安機關(guān)

12、 重新備案。第十八條受理備案的公安機關(guān)應(yīng)當對第三級、 第四級信息系統(tǒng)的運營、 使用單位的信息安全等級保護 工作情況進行檢查。 對第三級信息系統(tǒng)每年至少檢查一次, 對第四級信息系統(tǒng)每半年至少檢 查一次。 對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查, 應(yīng)當會同其主管部門進行。 對第 五級信息系統(tǒng), 應(yīng)當由國家指定的專門部門進行檢查。 公安機關(guān)、 國家指定的專門部門應(yīng)當 對下列事項進行檢查:(一系統(tǒng)安全需求是否發(fā)生變化,原定保護等級是否準確;(二運營、使用單位安全管理制度、措施的落實情況;3運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況;(四系統(tǒng)安全等級測評是否符合要求;(五信息安全產(chǎn)品使用

13、是否符合要求;(六對信息系統(tǒng)開展等級測評的技術(shù)測評報告;(七信息安全產(chǎn)品使用的變更情況;(八信息安全事件應(yīng)急預(yù)案,信息安全事件應(yīng)急處置結(jié)果報告;(九信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。第二十條公安機關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標 準的,應(yīng)當向運營、使用單位發(fā)出整改通知。運營、使用單位應(yīng)當根據(jù)整改通知要求,按照 管理規(guī)范和技術(shù)標準進行整改。整改完成后, 應(yīng)當將整改報告向公安機關(guān)備案。 必要時, 公安機關(guān)可以對整改情況組織檢查。 第二十一條第三級以上信息系統(tǒng)應(yīng)當選擇使用符合以下條件的信息安全產(chǎn)品:(一產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股

14、的,在中華人民共和國境內(nèi)具有獨立的法人資格;(二產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán);(三產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;(四產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能;(五對國家安全、社會秩序、公共利益不構(gòu)成危害;(六 對已列入信息安全產(chǎn)品認證目錄的, 應(yīng)當取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證 證書。第二十二條第三級以上信息系統(tǒng)應(yīng)當選擇符合下列條件的等級保護測評機構(gòu)進行測評:(一在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外 ;(二由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外 ;(三從事相關(guān)檢測評估工作兩年以上,

15、無違法記錄;(四工作人員僅限于中國公民;(五法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;(六使用的技術(shù)裝備、設(shè)施應(yīng)當符合本辦法對信息安全產(chǎn)品的要求;4具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度;(八對國家安全、社會秩序、公共利益不構(gòu)成威脅。第二十三條從事信息系統(tǒng)安全等級測評的機構(gòu),應(yīng)當履行下列義務(wù):(一遵守國家有關(guān)法律法規(guī)和技術(shù)標準, 提供安全、客觀、公正的檢測評估服務(wù),保證測 評的質(zhì)量和效果;(二保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范測評風險;(三 對測評人員進行安全保密教育, 與其簽訂安全保密責任書, 規(guī)定應(yīng)當履行的安全保密 義務(wù)和承擔的法律責任,并

16、負責檢查落實。第四章 涉密信息系統(tǒng)的分級保護管理第二十四條涉密信息系統(tǒng)應(yīng)當依據(jù)國家信息安全等級保護的基本要求, 按照國家保密工作部門有關(guān)涉密 信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標準, 結(jié)合系統(tǒng)實際情況進行保護。 非涉密信息系統(tǒng)不 得處理國家秘密信息。第二十五條涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密、機密、 絕密三個等級。 涉密 信息系統(tǒng)建設(shè)使用單位應(yīng)當在信息規(guī)范定密的基礎(chǔ)上, 依據(jù)涉密信息系統(tǒng)分級保護管理辦法 和國家保密標準 BMB17-2006涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求確 定系統(tǒng)等級。 對于包含多個安全域的涉密信息系統(tǒng), 各安全域可以分別確定保護等級。 保密

17、工作部門和機構(gòu)應(yīng)當監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準確、合理地進行系統(tǒng)定級。 第二十六條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當將涉密信息系統(tǒng)定級和建設(shè)使用情況, 及時上報業(yè)務(wù)主管部 門的保密工作機構(gòu)和負責系統(tǒng)審批的保密工作部門備案, 并接受保密部門的監(jiān)督、 檢查、 指 導(dǎo)。第二十七條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當選擇具有涉密集成資質(zhì)的單位承擔或者參與涉密信息系統(tǒng) 的設(shè)計與實施。 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術(shù) 標準, 按照秘密、 機密、 絕密三級的不同要求, 結(jié)合系統(tǒng)實際進行方案設(shè)計, 實施分級保護, 其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水

18、平。第二十八條涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當選用國產(chǎn)品, 并應(yīng)當通過國家保密局授權(quán) 的檢測機構(gòu)依據(jù)有關(guān)國家保密標準進行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目 錄。第二十九條涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后, 應(yīng)當向保密工作部門提出申請, 由國家 保密局授權(quán)的系統(tǒng)測評機構(gòu)依據(jù)國家保密標準 BMB22-2007涉及國家秘密的計算機信息系 統(tǒng)分級保護測評指南, 對涉密信息系統(tǒng)進行安全保密測評。 涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前, 應(yīng)當 按照涉及國家秘密的信息系統(tǒng)審批管理規(guī)定 ,向設(shè)區(qū)的市級以上保密工作部門申請進行 系統(tǒng)審批, 涉密信息系統(tǒng)通過審批后方可投入使用

19、。 已投入使用的涉密信息系統(tǒng), 其建設(shè)使 用單位在按照分級保護要求完成系統(tǒng)整改后,應(yīng)當向保密工作部門備案。5第三十條 涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時，應(yīng)當提交以下材料： （一）系統(tǒng)設(shè)計、實施方案及審查論證意見； （二）系統(tǒng)承建單位資質(zhì)證明材料； （三）系統(tǒng)建設(shè)和工程監(jiān)理情況報告； （四）系統(tǒng)安全保密檢測評估報告； （五）系統(tǒng)安全保密組織機構(gòu)和管理制度情況； （六）其他有關(guān)材料。 第三十一條 涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責任單位變更 時， 其建設(shè)使用單位應(yīng)當及時向負責審批的保密工作部門報告。 保密工作部門應(yīng)當根據(jù)實際 情況，決定是否對其重

20、新進行測評和審批。 第三十二條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當依據(jù)國家保密標準 BMB20-2007涉及國家秘密的信息系統(tǒng) 分級保護管理規(guī)范 ，加強涉密信息系統(tǒng)運行中的保密管理，定期進行風險評估，消除泄密 隱患和漏洞。 第三十三條 國家和地方各級保密工作部門依法對各地區(qū)、 各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管 理，并做好以下工作： （一）指導(dǎo)、監(jiān)督和檢查分級保護工作的開展； （二）指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密，合理確定系統(tǒng)保護等級； （三） 參與涉密信息系統(tǒng)分級保護方案論證， 指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè) 計； （四）依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理； （五

21、） 嚴格進行系統(tǒng)測評和審批工作， 監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級保護管理制 度和技術(shù)措施的落實情況； （六）加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進 行一次保密檢查或者系統(tǒng)測評，對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測 評； （七） 了解掌握各級各類涉密信息系統(tǒng)的管理使用情況， 及時發(fā)現(xiàn)和查處各種違規(guī)違法行為 和泄密事件。 第五章 信息安全等級保護的密碼管理 第三十四條 國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。 根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)中的作用和重要程度，被保護對象的安全 防護要求和涉密程度， 被保護對象被

22、破壞后的危害程度以及密碼使用部門的性質(zhì)等， 確定密 碼的等級保護準則。信息系統(tǒng)運營、 使用單位采用密碼進行等級保護的，應(yīng)當遵照信息安全等級保護密碼管理辦法 、 信息安 全等級保護商用密碼技術(shù)要求等密碼管理規(guī)定和相關(guān)標準。 第三十五條 信息系統(tǒng)安全等級保護中密碼的配備、 使用和管理等， 應(yīng)當嚴格執(zhí)行國家密碼管理的有關(guān)規(guī) 定。 第三十六條 6 信息系統(tǒng)運營、 使用單位應(yīng)當充分運用密碼技術(shù)對信息系統(tǒng)進行保護。 采用密碼對涉及國家 秘密的信息和信息系統(tǒng)進行保護的， 應(yīng)報經(jīng)國家密碼管理局審批， 密碼的設(shè)計、 實施、 使用、 運行維護和日常管理等， 應(yīng)當按照國家密碼管理有關(guān)規(guī)定和相關(guān)標準執(zhí)行； 采用密碼對不涉 及國家秘密的信息和信息系統(tǒng)進行保護的，須遵守商用密碼管理條例和密碼分類分級保 護有關(guān)規(guī)定與相關(guān)標準，其密碼的配備使用情況應(yīng)當向國家密碼管理機構(gòu)備案。 第三十七條 運用密碼技術(shù)對信息系統(tǒng)進行系統(tǒng)等級保護建設(shè)和整改的， 必須采用經(jīng)國家密碼管理部門批 準使用或者準于銷售的密碼產(chǎn)品進行安全保護，不得采用國外引進或者擅自研制的密碼產(chǎn) 品；未經(jīng)批準不得采用含有加密功能的進口信息技術(shù)產(chǎn)品。 第三十八條 信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認可的測評機構(gòu)承擔， 其他任何 部門、單位和個人不得對密碼進行評測和監(jiān)控。 第三十九條 各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級