信息安全等級(jí)保護(hù)工作流程圖

1、精品文檔 信息安全等級(jí)保護(hù)工作流程 亠、定級(jí) 一、等級(jí)劃分 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)根據(jù)計(jì)算機(jī)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、 社會(huì)生活中的重要程度，計(jì)算機(jī)信息系統(tǒng)受到破壞后對(duì)國(guó)家安全、 社會(huì)秩序、公 共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定， 分為五級(jí)： 第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成 損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。 第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生 嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。 第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或 者對(duì)國(guó)家

2、安全造成損害。 第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害， 或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。 第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。 二、定級(jí)程序 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（下載 專(zhuān)區(qū)附）確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門(mén)的，應(yīng)當(dāng)經(jīng)主管部門(mén)審核批 準(zhǔn)。 跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門(mén)統(tǒng)一確定安全保護(hù)等 級(jí)。 對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)、使用單位或者主管部門(mén)應(yīng)當(dāng)請(qǐng)國(guó) 家信息安全保護(hù)等級(jí)專(zhuān)家評(píng)審委員會(huì)評(píng)審。 三、定級(jí)注意事項(xiàng) 第一級(jí)信息系統(tǒng)：適用于小型私營(yíng)、個(gè)體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)

3、、 縣級(jí)單位中一般的信息系統(tǒng)。 第二級(jí)信息系統(tǒng)：適用于縣級(jí)某些單位中的重要信息系統(tǒng)；地市級(jí)以上國(guó)家 機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感 信息的辦公系統(tǒng)和管理系統(tǒng)，地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位網(wǎng)站等 第三級(jí)信息系統(tǒng)：一般適用于地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位內(nèi)部重要的 信息系統(tǒng)；跨省或全國(guó)聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等 方面的重要信息系統(tǒng)以及這類(lèi)系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、省門(mén)戶(hù) 網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等。例如網(wǎng)上銀行系統(tǒng)、證券集中交易系 統(tǒng)、海關(guān)通關(guān)系統(tǒng)、民航離港控制系統(tǒng)等為三級(jí)信息系統(tǒng)。 第四級(jí)信息系統(tǒng)：一般適用于

4、國(guó)家重要領(lǐng)域、部門(mén)中涉及國(guó)計(jì)民生、國(guó)家利 益、國(guó)家安全、影響社會(huì)穩(wěn)定的核心系統(tǒng)。例如電信骨干傳輸網(wǎng)、電力能量管理 系統(tǒng)、銀行核心業(yè)務(wù)系統(tǒng)、鐵路票客系統(tǒng)、列車(chē)指揮調(diào)度系統(tǒng)等 第五級(jí)信息系統(tǒng)：適用于國(guó)家特殊領(lǐng)域的極端重要系統(tǒng)。 一、總體要求 新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后 30日內(nèi)，由其運(yùn)營(yíng)、使用單位 到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。 二、備案管轄 （一）管轄原則。 備案管轄分工采取級(jí)別管轄和屬地管轄相結(jié)合。 （二）中央在京單位。 隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門(mén)統(tǒng)一定 級(jí)的信息系統(tǒng)，由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局受理備案， 其他信息系統(tǒng)由北 京市

5、公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)（簡(jiǎn)稱(chēng)網(wǎng)監(jiān)部門(mén)，下同）受理備案。 （三）中央駐粵及省直國(guó)有單位。 隸屬中央或省的駐穗國(guó)有單位的信息系統(tǒng)，由省公安廳網(wǎng)警總隊(duì)受理備案。 上述單位在各地運(yùn)行、維護(hù)的分支系統(tǒng)由其在各地的分支機(jī)構(gòu)報(bào)所在地地級(jí) 以上市公安機(jī)關(guān)網(wǎng)監(jiān)部門(mén)備案。 （四）其他單位。 其他單位的信息系統(tǒng)由所在地地級(jí)以上市公安機(jī)關(guān)網(wǎng)監(jiān)部門(mén)備案。 三、備案流程 （一）備案時(shí)限。 信息系統(tǒng)運(yùn)營(yíng)、使用單位或者其主管部門(mén)（以下簡(jiǎn)稱(chēng)“備案單位”）應(yīng)當(dāng)在 信息系統(tǒng)設(shè)計(jì)階段確定信息系統(tǒng)安全保護(hù)等級(jí)，并在安全保護(hù)等級(jí)確定后30日 內(nèi)，到公安機(jī)關(guān)網(wǎng)監(jiān)部門(mén)辦理備案手續(xù)。 （二）備案申請(qǐng)。 辦理備案手續(xù)，備案單位應(yīng)當(dāng)向公安

6、機(jī)關(guān)網(wǎng)監(jiān)部門(mén)提交以下備案材料： 1、信息系統(tǒng)安全等級(jí)保護(hù)備案表（以下簡(jiǎn)稱(chēng)備案表），紙質(zhì)材料， 一式兩份。備案表由“等級(jí)保護(hù)備案端軟件”生成，操作時(shí)請(qǐng)?jiān)敿?xì)閱讀軟件 使用說(shuō)明書(shū)。第二級(jí)以上信息系統(tǒng)備案時(shí)需提交備案表中的表一、二、三； 第三級(jí)以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、測(cè)評(píng)完成后 30日內(nèi)提交備案表表 四及其有關(guān)材料。 信息系統(tǒng)安全零級(jí) 保護(hù)備案衷（公安上 2、信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告（以下簡(jiǎn)稱(chēng)定級(jí)報(bào)告），紙質(zhì) 材料，一式兩份。每個(gè)備案的信息系統(tǒng)均需提供對(duì)應(yīng)的定級(jí)報(bào)告，定級(jí)報(bào) 告參照模版格式填寫(xiě)。 3、備案電子數(shù)據(jù)。每個(gè)備案的信息系統(tǒng)，均需通過(guò)“等級(jí)保護(hù)備案端軟件” 填寫(xiě)信息，并保存為一個(gè)壓縮

7、文件（RAR格式）。 備注：“等級(jí)保護(hù)備案端軟件”、定級(jí)報(bào)告模版可在“下載專(zhuān)區(qū)”下載， “等級(jí)保護(hù)備案端軟件”使用說(shuō)明附下載文件內(nèi)； 四、備案審核 公安機(jī)關(guān)網(wǎng)監(jiān)部門(mén)收到申請(qǐng)材料后，應(yīng)當(dāng)在 10個(gè)工作日內(nèi)進(jìn)行審查。 對(duì)符合要求的，公安機(jī)關(guān)網(wǎng)監(jiān)部門(mén)應(yīng)當(dāng)在 備案表加蓋公共信息網(wǎng)絡(luò)安全監(jiān)察 專(zhuān)用章并將其中一份反饋備案單位，并出具信息系統(tǒng)安全等級(jí)保護(hù)備案證明 （以下簡(jiǎn)稱(chēng)備案證明）。備案證明由公安部統(tǒng)一監(jiān)制。對(duì)不符合要求的， 公安網(wǎng)監(jiān)部門(mén)應(yīng)當(dāng)出具信息系統(tǒng)安全等級(jí)保護(hù)備案審核結(jié)果通知，通知備案 單位進(jìn)行整改。其中，對(duì)定級(jí)不準(zhǔn)的備案單位，在通知整改的同時(shí)，應(yīng)當(dāng)建議備 案單位重新定級(jí)。 五、變更備案 備案表所載

8、事項(xiàng)發(fā)生變更，備案單位應(yīng)當(dāng)自變更之日起 30日內(nèi)重新填寫(xiě) 備案表報(bào)公安機(jī)關(guān)網(wǎng)監(jiān)部門(mén)備案。其中，變更事項(xiàng)涉及備案證明的，公 機(jī)關(guān)網(wǎng)監(jiān)部門(mén)應(yīng)當(dāng)重新頒布備案證明。 六、重新備案 運(yùn)營(yíng)、使用單位或者主管部門(mén)重新確定信息系統(tǒng)等級(jí)后，應(yīng)當(dāng)按照本辦法向 公安機(jī)關(guān)重新備案。 二、安全建設(shè)和整改 計(jì)算機(jī)信息系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)和維護(hù)應(yīng)當(dāng)同步落實(shí)相應(yīng)的安全措施。運(yùn) 營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó) 家有關(guān)規(guī)定，滿(mǎn)足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開(kāi)展信息系統(tǒng)安 全建設(shè)或者改建工作。 在信息系統(tǒng)建設(shè)過(guò)程中，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照計(jì)算機(jī)信息系統(tǒng)安全保 護(hù)等級(jí)劃分準(zhǔn)則(GB

9、17859-1999)、信息系統(tǒng)安全等級(jí)保護(hù)基本要求等 技術(shù)標(biāo)準(zhǔn)，參照信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求(GB/T20271-2006)、 信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T20270-2006)、信息安全技 術(shù)操作系統(tǒng)安全技術(shù)要求(GB/T20272-2006)、信息安全技術(shù)數(shù)據(jù)庫(kù)管理 系統(tǒng)安全技術(shù)要求(GB/T20273-2006)、信息安全技術(shù)服務(wù)器技術(shù)要求、 信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求(GA/T671-2006)等技術(shù) 標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。 運(yùn)營(yíng)、使用單位應(yīng)當(dāng)參照信息安全技術(shù)信息系統(tǒng)安全管理要求 (GB/T20269-2006)、信息安全

10、技術(shù)信息系統(tǒng)安全工程管理要求 (GB/T20282-2006)、信息系統(tǒng)安全等級(jí)保護(hù)基本要求等管理規(guī)范，制定 并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。 四、信息安全等級(jí)測(cè)評(píng) 信息系統(tǒng)建設(shè)完成后，二級(jí)以上的信息系統(tǒng)的運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合國(guó) 家規(guī)定的測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)合格方可投入使用。已投入運(yùn)行信息系統(tǒng)在完成系統(tǒng) 整改后也應(yīng)當(dāng)進(jìn)行測(cè)評(píng)。經(jīng)測(cè)評(píng)，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的， 運(yùn)營(yíng)使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。 、測(cè)評(píng)程序 計(jì)算機(jī)信息系統(tǒng)運(yùn)營(yíng)、使用單位委托安全測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)，應(yīng)當(dāng)提交下列資料: (一)安全測(cè)評(píng)委托書(shū)； （二）計(jì)算機(jī)信息系統(tǒng)應(yīng)用需求、系統(tǒng)結(jié)構(gòu)拓?fù)浼罢f(shuō)明、系統(tǒng)安全組織

11、結(jié)構(gòu)和 管理制度、安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案、系統(tǒng)軟件硬件和信息 安全產(chǎn)品清單。 安全測(cè)評(píng)機(jī)構(gòu)在收到委托材料后，應(yīng)當(dāng)與委托方協(xié)商制訂安全測(cè)評(píng)計(jì)劃，開(kāi) 展安全測(cè)評(píng)工作，并出具安全測(cè)評(píng)報(bào)告。 經(jīng)測(cè)評(píng)，計(jì)算機(jī)信息系統(tǒng)安全狀況未達(dá)到國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)的要求的，委 托單位應(yīng)當(dāng)根據(jù)測(cè)評(píng)報(bào)告的建議，完善計(jì)算機(jī)信息系統(tǒng)安全建設(shè)，并重新提出安 全測(cè)評(píng)委托。 二、測(cè)評(píng)監(jiān)督 測(cè)評(píng)機(jī)構(gòu)對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行使用前安全測(cè)評(píng)，應(yīng)當(dāng)預(yù)先報(bào)告地級(jí)以上市 公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)。安全測(cè)評(píng)報(bào)告由計(jì)算機(jī)信息系統(tǒng)運(yùn)營(yíng)、使 用單位報(bào)地級(jí)以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)。 三、日常測(cè)評(píng) 計(jì)算機(jī)信息系統(tǒng)投入使用后，存在下列情形之一的，應(yīng)當(dāng)進(jìn)行安全自查，同 時(shí)委托安全測(cè)評(píng)機(jī)構(gòu)進(jìn)行安全測(cè)評(píng)： （一）變更關(guān)鍵部件； （二）安全測(cè)評(píng)時(shí)間滿(mǎn)一年； （三）發(fā)生危害計(jì)算機(jī)信系統(tǒng)安全的案件或安全事故； （四）公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)根據(jù)應(yīng)急處置工作的需要認(rèn)為應(yīng)當(dāng) 進(jìn)行安全測(cè)評(píng)； （五）其他應(yīng)當(dāng)進(jìn)行安全自查和安全測(cè)評(píng)的情形。 第三級(jí)計(jì)算機(jī)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次安全自查和安全測(cè)評(píng)，第四級(jí) 計(jì)算機(jī)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次安全自查和安全測(cè)評(píng)，第五級(jí)計(jì)算機(jī)信 息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全要求進(jìn)行安全自查和安全測(cè)評(píng)