信息安全等級保護制度的主要內(nèi)容和工作要求-曾科長

信息安全等級愛護制度的

主要內(nèi)容和工作要求目錄一、信息安全等級愛護制度的主要內(nèi)容二、信息安全等級愛護政策、標準體系三、等級愛護工作的具體內(nèi)容和工作要求一、等級愛護制度的主要內(nèi)容〔一〕國家為什么要實施信息安全等級愛護制度1.信息安全形勢嚴峻◆敵對勢力的入侵、攻擊、破壞◆針對根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升◆根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴峻2.是維護國家安全的需要根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)已成為國家關(guān)鍵根底設(shè)施信息安全是國家安全的重要組成局部信息安全是非傳統(tǒng)安全，信息安全本質(zhì)是信息對抗、技術(shù)對抗3、是國際上通行的做法。一、等級愛護制度的主要內(nèi)容〔二〕國家對等級愛護制度的要求1.《中華人民共和國計算機信息系統(tǒng)安全愛護條例》〔國務(wù)院147號令〕：“計算機信息系統(tǒng)實行安全等級愛護，等級的劃分標準和安全等級愛護的具體方法，由公安部會同有關(guān)部門制定?！币?、等級愛護制度的主要內(nèi)容2、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》〔中辦發(fā)[2023]27號〕規(guī)定：要重點愛護根底信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級愛護制度，制定信息安全等級愛護的治理方法和技術(shù)指南。一、等級愛護制度的主要內(nèi)容〔三〕等級愛護制度的地位和作用是國家信息安全保障工作的根本制度、根本國策。是開展信息安全工作的根本方法。是促進國家信息化、維護國家信息安全的根本保障。一、等級愛護制度的主要內(nèi)容一、等級愛護制度的主要內(nèi)容〔四〕實施等級愛護制度的主要目的◆明確重點、突出重點、愛護重點◆有利于同步建設(shè)、協(xié)調(diào)進展。◆優(yōu)化信息安全資源的配置。◆明確信息安全責(zé)任。◆推動信息安全產(chǎn)業(yè)進展。

國家進展改革部門、財政部門、科技部門、公安機關(guān)對重要信息系統(tǒng)在政策上賜予支持。

一、等級愛護制度的主要內(nèi)容(五)公安機關(guān)組織開展等級愛護工作的依據(jù)1、《警察法》規(guī)定：警察履行“監(jiān)視治理計算機信息系統(tǒng)的安全愛護工作”的職責(zé)。2、國務(wù)院第147號令規(guī)定：“公安部主管全國計算機信息系統(tǒng)安全愛護工作”，“等級愛護的具體方法，由公安部會同有關(guān)部門制定”。3、2023年國務(wù)院三定方案，公安機關(guān)新增職能：“監(jiān)視、檢查、指導(dǎo)信息安全等級愛護工作”。〔六〕等級愛護工作的主要內(nèi)容對信息系統(tǒng)分等級進展安全愛護和監(jiān)管。 五個規(guī)定動作：信息系統(tǒng)定級、備案、安全建設(shè)整改、等級測評、監(jiān)視檢查。信息安全產(chǎn)品分等級使用治理。信息安全大事分等級響應(yīng)、處置。一、等級愛護制度的主要內(nèi)容一、等級愛護制度的主要內(nèi)容〔七〕相關(guān)部門的責(zé)任和義務(wù)職能部門：制定治理標準和技術(shù)標準，組織實施，開展監(jiān)視、檢查、指導(dǎo)。行業(yè)主管部門：催促、檢查、指導(dǎo)本行業(yè)、本部門開展等級愛護工作。運營使用單位：開展信息系統(tǒng)定級、備案、建設(shè)整改、等級測評、自查等工作，落實等級愛護制度的各項要求安全效勞機構(gòu)：開展技術(shù)支持、效勞等工作，并承受監(jiān)管部門的監(jiān)視治理。一、等級愛護制度的主要內(nèi)容國家信息安全職能部門職責(zé)分工公安機關(guān)：牽頭部門，監(jiān)視、檢查、指導(dǎo)信息安全等級愛護工作。國家保密部門：負責(zé)等級愛護工作中有關(guān)保密工作的監(jiān)視、檢查、指導(dǎo)。并負責(zé)涉及國家隱秘信息系統(tǒng)分級愛護國家密碼治理部門：負責(zé)等級愛護工作中有關(guān)密碼工作的監(jiān)視、檢查、指導(dǎo)工業(yè)和信息化部門：負責(zé)等級愛護工作中部門間的協(xié)調(diào)。一、等級愛護制度的主要內(nèi)容〔八〕開展等級愛護工作的根本要求各單位、各部門，依據(jù)“準確定級、嚴格審批、準時備案、認真整改、科學(xué)測評”的要求開展等級愛護的定級、備案、整改、測評等工作。公安機關(guān)要準時開展監(jiān)視檢查，嚴格審查信息系統(tǒng)所定級別，嚴格檢查信息系統(tǒng)開展備案、整改、測評等工作。對有意將信息系統(tǒng)安全級別定低，躲避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)消失重大安全事故的，要追究單位和人員的責(zé)任?！惨弧承畔踩燃墣圩o政策體系近幾年，公安部依據(jù)國務(wù)院147號令的授權(quán)，會同國家保密局、國家密碼治理局、發(fā)改委、原國務(wù)院信息辦出臺了一些文件，公安部和省廳對有些具體工作出臺了一些指導(dǎo)意見和標準，構(gòu)成了信息安全等級愛護政策體系。集合成《信息安全等級愛護工作匯編》供有關(guān)單位、部門使用。二、等級愛護政策體系和標準體系

政策體系信息安全等級保護工作定級備案安全建設(shè)整改等級測評《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）檢查信息安全等級保護管理辦法（公通字[2007]43號)關(guān)于信息安全等級保護工作的實施意見（公通字[2004]66號）中華人民共和國計算機信息系統(tǒng)安全保護條例(國務(wù)院147號令)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）《信息安全等級保護備案實施細則》（公信安[2007]1360號）《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》(公信安[2009]1429號)關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知（發(fā)改高技[2008]2071號）《關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知》（公信安[2010]303號）信息系統(tǒng)安全等級測評報告模版（試行）（公信安[2009]1487）公安機關(guān)信息安全等級保護檢查工作規(guī)范（公信安[2008]736號）〔一〕信息安全等級愛護政策體系1、《關(guān)于信息安全等級愛護工作的實施意見》〔公通字[2023]66號〕2、《信息安全等級愛護治理方法》公通字[2023]43號〕3、《關(guān)于開展全國重要信息系統(tǒng)安全等級愛護定級工作的通知》〔公通字[2023]861號〕4、《信息安全等級愛護備案實施細則》〔公信安[2023]1360號〕5、《關(guān)于開展信息系統(tǒng)等級愛護安全建設(shè)整改工作的指導(dǎo)意見》公信安[2023]1429號〕〔一〕信息安全等級愛護政策體系6、《關(guān)于加強國家電子政務(wù)工程建設(shè)工程信息安全風(fēng)險評估工作的通知》〔發(fā)改高技[2023]2071號〕7、《關(guān)于推動信息安全等級愛護測評體系建設(shè)和開展等級測評工作的通知》〔公信安[2023]303號〕。8、《關(guān)于印發(fā)〈信息系統(tǒng)安全等級測評報告模版〔試行〕〉的通知》〔公信安[2023]1487號〕9、《公安機關(guān)信息安全等級愛護檢查工作標準》〔公信安[2023]736號〕〔二〕信息安全等級愛護標準體系多年來，在有關(guān)部門支持下，在國內(nèi)有關(guān)專家、企業(yè)的共同努力下，全國信息安全標準化技術(shù)委員會和公安部信息系統(tǒng)安全標準化技術(shù)委員會組織制訂了信息安全等級愛護工作系列標準，形成了比較完整的信息安全等級愛護標準體系。〔二〕信息安全等級愛護標準體系根底標準：《計算機信息系統(tǒng)安全愛護等級劃分準則》。在此根底上制定出技術(shù)類、治理類、產(chǎn)品類標準。安全要求：《信息系統(tǒng)安全等級愛護根本要求》信息系統(tǒng)安全等級愛護的行業(yè)標準〔二〕信息安全等級愛護標準體系系統(tǒng)定級：《信息系統(tǒng)安全等級愛護定級指南》信息系統(tǒng)安全等級愛護行業(yè)定級細則方法指導(dǎo)：《信息系統(tǒng)安全等級愛護實施指南》《信息系統(tǒng)等級愛護安全設(shè)計技術(shù)要求》現(xiàn)狀分析：《信息系統(tǒng)安全等級愛護測評要求》《信息系統(tǒng)安全等級愛護測評過程指南》〔二〕信息安全等級愛護標準體系在應(yīng)用有關(guān)標準中需留意的幾個問題：1、《根本要求》是階段性目標，《信息系統(tǒng)等級愛護安全設(shè)計技術(shù)要求》是實現(xiàn)該目標的方法和途徑之一。2、《根本要求》中不包含安全設(shè)計和工程實施等內(nèi)容，因此可以參照《信息系統(tǒng)等級愛護安全設(shè)計技術(shù)要求》等標準進展?！捕承畔踩燃墣圩o標準體系3、在進展安全建設(shè)整改時，應(yīng)依據(jù)業(yè)務(wù)信息安全等級和系統(tǒng)效勞安全等級確定《根本要求》中相應(yīng)的安全愛護要求。4、重點行業(yè)可以依據(jù)《根本要求》等國家標準，結(jié)合行業(yè)特點和特殊安全需求，在公安部等有關(guān)部門指導(dǎo)下，制定行業(yè)標準標準或細則。三、等級愛護工作的具體內(nèi)容和要求〔一〕信息安全等級愛護定級工作信息系統(tǒng)定級原則：“自主定級、專家評審、主管部門審批、公安機關(guān)審核”。具體可依據(jù)《關(guān)于開展全省重要信息系統(tǒng)安全等級愛護定級工作的通知》〔贛公字[2023]155號〕要求執(zhí)行。定級工作流程：確定定級對象、確定信息系統(tǒng)安全愛護等級、組織專家評審、主管部門審批、公安機關(guān)審核。三、等級愛護工作的具體內(nèi)容和要求1、確定定級對象◆起支撐、傳輸作用的信息網(wǎng)絡(luò)〔包括專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)〕?！粲糜谏a(chǎn)、調(diào)度、治理、指揮、作業(yè)、掌握、辦公等目的各類業(yè)務(wù)系統(tǒng)?！舾鲉挝痪W(wǎng)站。三、等級愛護工作的具體內(nèi)容和要求2、確定信息系統(tǒng)安全愛護等級《治理方法》規(guī)定的五個等級：◆第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益?！羝浯渭?，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴峻損害，或者對社會秩序和公共利益造成損害，但不損害國家安全?！舻谌墸畔⑾到y(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴峻損害，或者對國家安全造損害?！舻谒募?，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特殊嚴峻損害，或者對國家安全造成嚴峻損害?！舻谖寮?，信息系統(tǒng)受到破壞后，會對國家安全造成特殊嚴峻損害。三、等級愛護工作的具體內(nèi)容和要求 實際操作中參考確定信息系統(tǒng)等級：◆第一級信息系統(tǒng)：適用于小型私營、個體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)?！羝浯渭壭畔⑾到y(tǒng)：適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作隱秘、商業(yè)隱秘、敏感信息的辦公系統(tǒng)和治理系統(tǒng)等。三、等級愛護工作的具體內(nèi)容和要求第三級信息系統(tǒng)：一般適用于地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作隱秘、商業(yè)隱秘、敏感信息的辦公系統(tǒng)和治理系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、治理、指揮、作業(yè)、掌握等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中心各部委、省〔區(qū)、市〕門戶網(wǎng)站和重要網(wǎng)站；跨省聯(lián)接的網(wǎng)絡(luò)系統(tǒng)等。三、等級愛護工作的具體內(nèi)容和要求第四級信息系統(tǒng)：一般適用于國家重要領(lǐng)域、部門中涉及國計民生、國家利益、國家安全，影響社會穩(wěn)定的核心系統(tǒng)。例如電力生產(chǎn)掌握系統(tǒng)、銀行核心業(yè)務(wù)系統(tǒng)、電信核心網(wǎng)絡(luò)、鐵路客票系統(tǒng)、列車指揮調(diào)度系統(tǒng)等。3、定級工作需要留意的問題◆同類信息系統(tǒng)的安全愛護等級不能隨著部、省、市行政級別的降低而降低。◆新建系統(tǒng)在規(guī)劃設(shè)計階段應(yīng)確定等級，依據(jù)信息系統(tǒng)等級，同步規(guī)劃、同步設(shè)計、同步實施安全愛護技術(shù)措施和治理措施。三、等級愛護工作的具體內(nèi)容和要求〔二〕信息系統(tǒng)備案工作備案工作包括：信息系統(tǒng)備案、受理、審核和備案信息治理。具體依據(jù)《關(guān)于開展全省重要信息系統(tǒng)安全等級愛護定級工作的通知》要求開展。1、備案◆其次級以上信息系統(tǒng)，由信息系統(tǒng)運營適用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門辦理備案手續(xù)，填寫《信息系統(tǒng)安全等級愛護備案表》。三、等級愛護工作的具體內(nèi)容和要求三、等級愛護工作的具體內(nèi)容和要求省直單位、跨市或者全省統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)，由主管部門向省公安廳備案；各行業(yè)統(tǒng)肯定級信息系統(tǒng)在各地的分支系統(tǒng)，即使是上級主管部門定級的，也要到當(dāng)?shù)毓簿W(wǎng)絡(luò)安全保衛(wèi)部門備案。2、受理備案與審核公安機關(guān)受理備案，依據(jù)《信息安全等級愛護備案實施細則》要求，對備案材料進展審核，定級準確、材料符合要求的頒發(fā)由公安部統(tǒng)一監(jiān)制的備案證明。三、等級愛護工作的具體內(nèi)容和要求〔三〕信息系統(tǒng)安全建設(shè)整改工作充分生疏工作的簡單性和困難性：◆政策性和技術(shù)性很強。◆涉及范圍廣?！粜畔⑾到y(tǒng)安全加固改造，需要國家在經(jīng)費上予以支持。◆跨省全國聯(lián)網(wǎng)的大系統(tǒng)構(gòu)造簡單、運行實時保障性高、數(shù)據(jù)重要，加固改造周期長。三、等級愛護工作的具體內(nèi)容和要求1、工作目標◆利用三年時間。力爭2023前完成。◆開展三項重點工作：安全治理制度建設(shè)、技術(shù)措施建設(shè)和等級測評?！魧崿F(xiàn)五方面目標：一是信息系統(tǒng)安全治理水平明顯提高，二是信息系統(tǒng)安全防范力量明顯增加，三是信息系統(tǒng)安全隱患和安全事故明顯削減，四是有效保障信息化安康進展，五是有效維護國家安全、社會秩序和公共利益?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作2、工作范圍和工作特點◆工作范圍：已備案的其次級〔含〕以上信息系統(tǒng)納入安全建設(shè)整改的范圍。尚未開展定級備案的信息系統(tǒng)，要先定級備案，定級不準的要先訂正，再開展安全建設(shè)整改。建系統(tǒng)要同步開展安全建設(shè)工作?！艄ぷ魈攸c：繼承進展、引入標準、外部監(jiān)視、政策牽引

〔三〕信息系統(tǒng)安全建設(shè)整改工作 3、工作方法◆突出重要系統(tǒng)，兼顧二級?！粼圏c示范，行業(yè)推廣。◆治理制度建設(shè)和技術(shù)措施建設(shè)同步或分步實施?！艏庸谈脑?，缺什么補什么；也可以進展總體安全建設(shè)整改規(guī)劃?！衾眯畔踩燃墣圩o綜合工作平臺，使等級愛護工作常態(tài)化。〔三〕信息系統(tǒng)安全建設(shè)整改工作4、工作內(nèi)容〔1〕等級愛護安全治理制度建設(shè)一是落實信息安全責(zé)任制。二是落實人員安全治理制度。三是落實系統(tǒng)建設(shè)治理制度。四使落實系統(tǒng)運維治理制度?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作◆落實信息安全責(zé)任制：成立信息安全工作領(lǐng)導(dǎo)機構(gòu)，明確信息安全工作的主管領(lǐng)導(dǎo)。成立特地的信息安全治理部門或落實信息安全責(zé)任部門，確定安全崗位，落實專職人員或兼職人員。明確落實領(lǐng)導(dǎo)機構(gòu)、責(zé)任部門和有關(guān)人員的信息安全責(zé)任。◆落實人員安全治理制度：制定人員錄用、離崗、考核、教育培訓(xùn)等治理制度，落實治理的具體措施。對安全崗位人員要進展安全審查，定期進展培訓(xùn)、考核和安全。提高安全崗位人員的專業(yè)水平，逐步實現(xiàn)安全崗位人員持證上崗?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作◆落實系統(tǒng)建設(shè)治理制度：建立信息系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品選購使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全效勞等治理制度，明確工作內(nèi)容、工作方法、工作流程和工作要求。◆落實系統(tǒng)運維治理制度：建立機房環(huán)境安全、存儲介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼愛護、備份與恢復(fù)、大事處置等治理制度，制定應(yīng)急預(yù)案并定期開展演練，實行相應(yīng)的治理技術(shù)措施和手段，確保了、系統(tǒng)運維治理制度的有效落實?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作〔2〕等級愛護安全技術(shù)措施建設(shè)結(jié)合行業(yè)特點和安全需求，制定符合相應(yīng)等級要求的信息系統(tǒng)安全技術(shù)建設(shè)整改方案，開展安全技術(shù)措施建設(shè)?？梢詫嵭小耙粋€中心三維防護”的防護策略，實現(xiàn)相應(yīng)級別信息系統(tǒng)的安全愛護技術(shù)要求?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作信息系統(tǒng)安全建設(shè)整改方案主要內(nèi)容：工程背景政策和技術(shù)標準依據(jù)安全需求分析安全建設(shè)整改技術(shù)方案設(shè)計安全建設(shè)整改治理體系設(shè)計信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標安全監(jiān)視整改后信息系統(tǒng)剩余風(fēng)險分析安全建設(shè)整改建設(shè)工程實施打算工程預(yù)算〔三〕信息系統(tǒng)安全建設(shè)整改工作5、工作流程第一步：制定安全建設(shè)整改工作打算，對安全建設(shè)整改工作進展總體部署。其次步：開展信息系統(tǒng)安全現(xiàn)狀分析，從治理和技術(shù)兩方面確定安全建設(shè)整改需求。第三步：確定安全愛護策略，制定信息系統(tǒng)哦安全建設(shè)整改方案。第四步：開展信息系統(tǒng)安全建設(shè)整改工作，建立并落實安全治理制度，落實安全責(zé)任制，建設(shè)安全設(shè)施，落實安全措施。第五步：開展安全自查和等級測評，準時覺察問題并進一步整改?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作6、信息系統(tǒng)應(yīng)到達的愛護力量目標其次級信息系統(tǒng)：經(jīng)過安全建設(shè)整改工作，信息系統(tǒng)具有抵擋小規(guī)模、較弱強度惡意攻擊的力量，反抗一般的自然災(zāi)難的力量，防范一般性計算機病毒和惡意代碼危害的力量；具有檢測常見的攻擊行為，并對安全大事進展記錄的力量；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)正常運行狀態(tài)的力量?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作第三級信息系統(tǒng)：經(jīng)過安全建設(shè)整改工作，信息系統(tǒng)在統(tǒng)一的安全愛護策略下具有抵擋大規(guī)模、較強惡意攻擊的力量，反抗較為嚴峻的自然災(zāi)難的力量，防范計算機病毒和惡意代碼危害的力量；具有檢測、覺察報警、記錄入侵行為的力量；具有對安全大事進展相應(yīng)處置，并能夠追蹤安全責(zé)任的力量；在系統(tǒng)遭到損害后，具有較快恢復(fù)正常運行狀態(tài)的力量；對于效勞保障性要求高的系統(tǒng)，應(yīng)能馬上恢復(fù)正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進展集中控管的力量?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作第四級信息系統(tǒng)：經(jīng)過安全建設(shè)整改工作，信息系統(tǒng)在統(tǒng)一的安全愛護策略下具有抵擋敵對勢力有組織的大規(guī)模攻擊的力量，反抗嚴峻的自然災(zāi)難的力量，防范計算機病毒和惡意代碼危害的力量：具有檢測、覺察報警、記錄入侵行為的力量；具有對安全大事進展快速相應(yīng)處置，并能夠追蹤安全責(zé)任的力量；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運行狀態(tài)的力量；對于效勞保障性要求高的系統(tǒng)，應(yīng)能快速恢復(fù)正常運行狀態(tài)，具有對系統(tǒng)資源、用戶、安全機制等進展集中控管的力量?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作〔四〕信息安全等級愛護測評工作等級測評是測評機構(gòu)依據(jù)國家信息安全等級愛護制度規(guī)定，依據(jù)有關(guān)治理標準和技術(shù)標準，對非涉及國家隱秘信息系統(tǒng)安全等級愛護狀況進展檢測評估的活動。是信息安全等級愛護工作的重要環(huán)節(jié)。公安機關(guān)依據(jù)《關(guān)于推動信息安全等級愛護測評體系建設(shè)和開展等級測評工作的通知》〔公信安[2023]303號〕要求，開展測評機構(gòu)和測評人員的治理工作，保證等級測評的客觀、公正和安全。三、等級愛護工作的具體內(nèi)容和要求三、等級愛護工作的具體內(nèi)容和要求1、測評機構(gòu)和測評人員的治理〔1〕職責(zé)分工◆國家信息安全等級愛護工作協(xié)調(diào)小組辦公室〔以下簡稱“等保辦”〕負責(zé)隸屬國家信息安全職能部門和重點行業(yè)測評機構(gòu)的申請受理、審批推舉和監(jiān)視檢查等工作?！舾魇〖壍缺＾k負責(zé)等級測評機構(gòu)的申請受理、審核推舉和監(jiān)視檢查等工作?！艄膊啃畔踩燃墣圩o評估中心〔以下簡稱“評估中心”〕負責(zé)測評機構(gòu)的力量評估和培訓(xùn)工作。

〔2〕測評機構(gòu)申請流程◆申請：申請單位向省級以上等保辦書公面申請，提交《信息安全等級愛護測評機構(gòu)申請表》?！羰芾怼⒊鯇彛旱缺＾k受理申請，并對申請材料進展初審?！袅α吭u估：公安部信息安全等級愛護評估中心對申請單位進展力量評估，對測評師進展培訓(xùn)、考試、發(fā)證。三、等級愛護工作的具體內(nèi)容和要求三、等級愛護工作的具體內(nèi)容和要求專家審核：等保辦組織專家對測評力量評估合格的申請單位進展審核。推舉：等保辦向通過評審的申請單位頒發(fā)信息安全等級愛護測評機構(gòu)推舉證書。

公布：省級等保辦向社會公布測評機構(gòu)推薦名目并報國家等保辦，國家等保辦匯總公布《全國信息安全等級愛護測評機構(gòu)推舉名目》。三、等級愛護工作的具體內(nèi)容和要求〔3〕監(jiān)視治理日常監(jiān)視：測評報告、測評過程、測評效勞用。

變更處理：機構(gòu)名稱、法人、測評師等變動的，在30日內(nèi)到等保辦辦理變更。

違規(guī)處置：限期整改、警告、取消證書。

年度檢查：檢查時間、內(nèi)容、方式。三、等級愛護工作的具體內(nèi)容和要求測評機構(gòu)不得從事以下活動：〔一〕影響被測評信息系統(tǒng)正常運行，危害被測評信息系統(tǒng)安全；〔二〕泄露知悉的被測評單位及被測評信息系統(tǒng)的國家隱秘和工作隱秘；〔三〕有意隱瞞測評過程中覺察的安全 問題，或者在測評過程中弄虛作假，未照實出具等級測評報告；〔四〕未按規(guī)定格式出具等級測評報告； 三、等級愛護工作的具體內(nèi)容和要求〔五〕非授權(quán)占有、使用等級測評相關(guān)資料及數(shù)據(jù)文件；〔六〕分包或轉(zhuǎn)包等級測評工程；〔七〕信息安全產(chǎn)品開發(fā)、銷售和信息系統(tǒng)安全集成；〔八〕限定被測評單位購置、使用其指定的信息安全產(chǎn)品；〔九〕其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。三、等級愛護工作的具體內(nèi)容和要求2、等級測評工作的開展測評目的：一是把握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求；二是能夠衡量出信息系統(tǒng)安全愛護措施是否符合等級愛護根本要求，是否具備了相應(yīng)等級的安全愛護力量。三、等級愛護工作的具體內(nèi)容和要求

測評時機：建設(shè)整改前：等級測評，現(xiàn)狀分析；建設(shè)整改后：等級測評，檢驗整改效果。測評頻率：第三級以上定期；其次級參照。測評費用：參照國家信息化工程人工計費標準或依據(jù)被測設(shè)備數(shù)量與測評項預(yù)算測評費用。三、等級愛護工作的具體內(nèi)容和要求3、測評業(yè)務(wù)范圍

職能部門測評機構(gòu)在全國范圍內(nèi)開展測評業(yè)務(wù)，到地方時，應(yīng)當(dāng)事先告知屬地省級等保辦。

行業(yè)測評機構(gòu)原則上在本行業(yè)內(nèi)開展測評，到地方時應(yīng)與屬地省級等保辦協(xié)調(diào)。可以擔(dān)當(dāng)其他行業(yè)信息系統(tǒng)的測評任務(wù)。

地方測評機構(gòu)原則上在本地開展測評，也可以到異地開展測評，但事先須與當(dāng)?shù)氐缺＾k協(xié)調(diào)?？梢該?dān)當(dāng)各部委信息系統(tǒng)的測評任務(wù)。特殊狀況由公安機關(guān)進展協(xié)調(diào)。三、等級愛護工作的具體內(nèi)容和要求3、測評業(yè)務(wù)范圍

職能部門測評機構(gòu)在全國范圍內(nèi)開展