信息安全等級保護(hù)工作流程圖

信息安全等級保護(hù)工作流程圖信息安全等級保護(hù)工作流程圖信息安全等級保護(hù)工作流程圖信息安全等級保護(hù)工作流程圖編制僅供參考審核批準(zhǔn)生效日期地址：電話：傳真:郵編:信息安全等級保護(hù)工作流程系統(tǒng)定級。信息系統(tǒng)運營使用單位按照《信息系統(tǒng)信息安全等級保護(hù)定級指南》，確定信息系統(tǒng)安全等級。有主管部門的，系統(tǒng)定級。信息系統(tǒng)運營使用單位按照《信息系統(tǒng)信息安全等級保護(hù)定級指南》，確定信息系統(tǒng)安全等級。有主管部門的，報主管部門審核批準(zhǔn)。在申報系統(tǒng)新建、改建、擴(kuò)建立項時須同時向立項審批部門提交定級報告。系統(tǒng)備案。已運行的系統(tǒng)在系統(tǒng)備案。已運行的系統(tǒng)在安全保護(hù)等級確定后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。新建的系統(tǒng)，在通過立項申請后30日內(nèi)辦理。公安機(jī)關(guān)審核材料不齊定級不準(zhǔn)公安機(jī)關(guān)審核材料齊、定級準(zhǔn)頒發(fā)證書。公安機(jī)關(guān)頒發(fā)系統(tǒng)等級保護(hù)備案證書。 材料齊、定級準(zhǔn)頒發(fā)證書。公安機(jī)關(guān)頒發(fā)系統(tǒng)等級保護(hù)備案證書。分析安全需求。對照等保有關(guān)規(guī)定和標(biāo)準(zhǔn)分析系統(tǒng)安全建設(shè)整改需求，可委托安全服務(wù)機(jī)構(gòu)、等保技術(shù)支持單位分析。對于整改項目，還可委托測評機(jī)構(gòu)通過等保測評、風(fēng)險評估等方法分析整改需求。 分析安全需求。對照等保有關(guān)規(guī)定和標(biāo)準(zhǔn)分析系統(tǒng)安全建設(shè)整改需求，可委托安全服務(wù)機(jī)構(gòu)、等保技術(shù)支持單位分析。對于整改項目，還可委托測評機(jī)構(gòu)通過等保測評、風(fēng)險評估等方法分析整改需求。建設(shè)整改。根據(jù)需求建設(shè)整改。根據(jù)需求制訂建設(shè)整改方案，按照國家相關(guān)規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足系統(tǒng)等級需求產(chǎn)品，開展信息系統(tǒng)安全建設(shè)整改。等保測評。選擇第三方測評機(jī)構(gòu)進(jìn)行測評。其中對于新建系統(tǒng)可在試運行階段進(jìn)行測評。等保測評。選擇第三方測評機(jī)構(gòu)進(jìn)行測評。其中對于新建系統(tǒng)可在試運行階段進(jìn)行測評。不合格 合格 提交報告。系統(tǒng)運營、使用單位向地級以上市公安機(jī)關(guān)提交報告。系統(tǒng)運營、使用單位向地級以上市公安機(jī)關(guān)報測評報告。項目驗收文檔中也須含有測評報告。等保測評。定期選擇第三方測評機(jī)構(gòu)進(jìn)行測評。三級系統(tǒng)每年至少一等保測評。定期選擇第三方測評機(jī)構(gòu)進(jìn)行測評。三級系統(tǒng)每年至少一次，四級系統(tǒng)每半年至少一次。 合格不合格 一、定級

一、等級劃分

計算機(jī)信息系統(tǒng)安全保護(hù)等級根據(jù)計算機(jī)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，計算機(jī)信息系統(tǒng)受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定，分為五級：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。

二、定級程序

信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》(下載專區(qū)附)確定信息系統(tǒng)的安全保護(hù)等級。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級。

對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護(hù)等級專家評審委員會評審。

三、定級注意事項

第一級信息系統(tǒng)：適用于小型私營、個體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。

第二級信息系統(tǒng)：適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)，地市級以上國家機(jī)關(guān)、企事業(yè)單位網(wǎng)站等

第三級信息系統(tǒng)：一般適用于地市級以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部重要的信息系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、省門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等。例如網(wǎng)上銀行系統(tǒng)、證券集中交易系統(tǒng)、海關(guān)通關(guān)系統(tǒng)、民航離港控制系統(tǒng)等為三級信息系統(tǒng)。

第四級信息系統(tǒng)：一般適用于國家重要領(lǐng)域、部門中涉及國計民生、國家利益、國家安全、影響社會穩(wěn)定的核心系統(tǒng)。例如電信骨干傳輸網(wǎng)、電力能量管理系統(tǒng)、銀行核心業(yè)務(wù)系統(tǒng)、鐵路票客系統(tǒng)、列車指揮調(diào)度系統(tǒng)等

第五級信息系統(tǒng)：適用于國家特殊領(lǐng)域的極端重要系統(tǒng)。

二、備案

一、總體要求

新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運行后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。

二、備案管轄

（一）管轄原則。

備案管轄分工采取級別管轄和屬地管轄相結(jié)合。

（二）中央在京單位。

隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門（簡稱網(wǎng)監(jiān)部門，下同）受理備案。

（三）中央駐粵及省直國有單位。

隸屬中央或省的駐穗國有單位的信息系統(tǒng)，由省公安廳網(wǎng)警總隊受理備案。

上述單位在各地運行、維護(hù)的分支系統(tǒng)由其在各地的分支機(jī)構(gòu)報所在地地級以上市公安機(jī)關(guān)網(wǎng)監(jiān)部門備案。

（四）其他單位。

其他單位的信息系統(tǒng)由所在地地級以上市公安機(jī)關(guān)網(wǎng)監(jiān)部門備案。

三、備案流程

（一）備案時限。

信息系統(tǒng)運營、使用單位或者其主管部門（以下簡稱“備案單位”）應(yīng)當(dāng)在信息系統(tǒng)設(shè)計階段確定信息系統(tǒng)安全保護(hù)等級，并在安全保護(hù)等級確定后30日內(nèi)，到公安機(jī)關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)。

（二）備案申請。

辦理備案手續(xù)，備案單位應(yīng)當(dāng)向公安機(jī)關(guān)網(wǎng)監(jiān)部門提交以下備案材料：

1、《信息系統(tǒng)安全等級保護(hù)備案表》（以下簡稱《備案表》），紙質(zhì)材料，一式兩份?！秱浒副怼酚伞暗燃壉Ｗo(hù)備案端軟件”生成，操作時請詳細(xì)閱讀軟件使用說明書。第二級以上信息系統(tǒng)備案時需提交《備案表》中的表一、二、三；第三級以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、測評完成后30日內(nèi)提交《備案表》表四及其有關(guān)材料。

2、《信息系統(tǒng)安全等級保護(hù)定級報告》（以下簡稱《定級報告》），紙質(zhì)材料，一式兩份。每個備案的信息系統(tǒng)均需提供對應(yīng)的《定級報告》，《定級報告》參照模版格式填寫。

3、備案電子數(shù)據(jù)。每個備案的信息系統(tǒng)，均需通過“等級保護(hù)備案端軟件”填寫信息，并保存為一個壓縮文件（RAR格式）。

備注：“等級保護(hù)備案端軟件”、《定級報告》模版可在“下載專區(qū)”下載，“等級保護(hù)備案端軟件”使用說明附下載文件內(nèi)；

四、備案審核

公安機(jī)關(guān)網(wǎng)監(jiān)部門收到申請材料后，應(yīng)當(dāng)在10個工作日內(nèi)進(jìn)行審查。對符合要求的，公安機(jī)關(guān)網(wǎng)監(jiān)部門應(yīng)當(dāng)在《備案表》加蓋公共信息網(wǎng)絡(luò)安全監(jiān)察專用章并將其中一份反饋備案單位，并出具《信息系統(tǒng)安全等級保護(hù)備案證明》（以下簡稱《備案證明》）?！秱浒缸C明》由公安部統(tǒng)一監(jiān)制。對不符合要求的，公安網(wǎng)監(jiān)部門應(yīng)當(dāng)出具《信息系統(tǒng)安全等級保護(hù)備案審核結(jié)果通知》，通知備案單位進(jìn)行整改。其中，對定級不準(zhǔn)的備案單位，在通知整改的同時，應(yīng)當(dāng)建議備案單位重新定級。

五、變更備案

《備案表》所載事項發(fā)生變更，備案單位應(yīng)當(dāng)自變更之日起30日內(nèi)重新填寫《備案表》報公安機(jī)關(guān)網(wǎng)監(jiān)部門備案。其中，變更事項涉及《備案證明》的，公機(jī)關(guān)網(wǎng)監(jiān)部門應(yīng)當(dāng)重新頒布《備案證明》。

六、重新備案

運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。

三、安全建設(shè)和整改

計算機(jī)信息系統(tǒng)規(guī)劃、設(shè)計、建設(shè)和維護(hù)應(yīng)當(dāng)同步落實相應(yīng)的安全措施。運營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。

在信息系統(tǒng)建設(shè)過程中，運營、使用單位應(yīng)當(dāng)按照《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計算機(jī)系統(tǒng)安全等級技術(shù)要求》（GA/T671-2006）等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。

運營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級保護(hù)基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。

四、信息安全等級測評

信息系統(tǒng)建設(shè)完成后，二級以上的信息系統(tǒng)的運營使用單位應(yīng)當(dāng)選擇符合國家規(guī)定的測評機(jī)構(gòu)進(jìn)行測評合格方可投入使用。已投入運行信息系統(tǒng)在完成系統(tǒng)整改后也應(yīng)當(dāng)進(jìn)行測評。經(jīng)測評，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的，運營使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。

一、測評程序

計算機(jī)信息系統(tǒng)運營、使用單位委托安全測評機(jī)構(gòu)測評，應(yīng)當(dāng)提交下列資料：

（一）安全測評委托書；

（二）計算機(jī)信息系統(tǒng)應(yīng)用需求、系統(tǒng)結(jié)構(gòu)拓?fù)浼罢f明、系統(tǒng)安全組織結(jié)構(gòu)和管理制度、安全保護(hù)設(shè)施設(shè)計實施方案或者改建實施方案、系統(tǒng)軟件硬件和信息安全產(chǎn)品清單。

安全測評機(jī)構(gòu)在收到委托材料后，應(yīng)當(dāng)與委托方協(xié)商制訂安全測評計劃，開展安全測評工作，并出具安全測評報告。

經(jīng)測評，計算機(jī)信息系統(tǒng)安全狀況未達(dá)到國家有關(guān)規(guī)定和標(biāo)準(zhǔn)的要求的，委托單位應(yīng)當(dāng)根據(jù)測評報告的建議，完善計算機(jī)信息系統(tǒng)安全建設(shè)，并重新提出安全測評委托。

二、測評監(jiān)督

測評機(jī)構(gòu)對計算機(jī)信息系統(tǒng)進(jìn)行使用前安全測評，應(yīng)當(dāng)預(yù)先報告地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。安全測評報告由計算機(jī)信息系統(tǒng)運營、使用單位報地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。

三、日常測評

計算機(jī)信息系統(tǒng)投入使用后，存在下列情形之一的，應(yīng)當(dāng)進(jìn)行安全自查，同時委托安全測評機(jī)構(gòu)進(jìn)行安全測評：

（一）變更關(guān)鍵部件；

（二）安全測評時間滿一年；

（三）發(fā)生危害計算機(jī)信系統(tǒng)安全的案件或安全事故；

（四）公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門根據(jù)應(yīng)急處置工作的需要認(rèn)為應(yīng)當(dāng)進(jìn)行安全測評；

（五）其他應(yīng)當(dāng)進(jìn)行安全自查和安全測評的情形。

第三級計算機(jī)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次安全自查和安全測評，第