信息安全等級保護管理辦法

信息安全等級保護管理辦法?第一章總則第一條目的為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關法律法規(guī)，制定本辦法。第二條適用范圍本辦法適用于在中華人民共和國境內(nèi)運營中收集、存儲、傳輸、處理和使用公民、法人和其他組織的信息系統(tǒng)，以及與之相關的網(wǎng)絡設施和數(shù)據(jù)資源。第三條定義1.信息系統(tǒng)：指由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。2.等級保護：指對信息系統(tǒng)分等級實行安全保護，根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素，將信息系統(tǒng)劃分為不同等級，采取相應的安全保護技術和管理措施。第四條原則信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和相關技術標準對信息系統(tǒng)進行保護，國家有關信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督、檢查和指導。第二章等級劃分與保護要求第五條等級劃分信息系統(tǒng)的安全保護等級分為以下五級：1.第一級：信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。2.第二級：信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。3.第三級：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。4.第四級：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。5.第五級：信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。第六條各等級保護要求1.第一級：基本要求：具備基本的安全保護能力，能夠防護系統(tǒng)免受一般的安全威脅。技術要求：包括網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全等方面的基本防護措施。管理要求：建立基本的安全管理制度，明確安全責任，進行日常的安全檢查和維護。2.第二級：基本要求：在第一級基礎上，具有較強的安全保護能力，能夠防護系統(tǒng)免受較大的安全威脅。技術要求：加強網(wǎng)絡安全防護，提高主機和應用系統(tǒng)的安全性，保障數(shù)據(jù)的完整性和保密性。管理要求：完善安全管理制度，加強人員安全管理，定期進行安全評估和整改。3.第三級：基本要求：具有較高的安全保護能力，能夠有效防護系統(tǒng)免受重大安全威脅。技術要求：采用多種安全技術手段，構建多層次的安全防護體系，確保系統(tǒng)的可靠性、完整性和保密性。管理要求：建立健全的安全管理體系，加強安全策略制定和實施，開展應急響應演練。4.第四級：基本要求：具有很強的安全保護能力，能夠抵御嚴重的安全威脅。技術要求：運用先進的安全技術，實施全方位的安全防護，具備容災備份等高級安全功能。管理要求：強化安全管理，制定嚴格的安全策略和操作規(guī)程，確保安全管理措施的有效執(zhí)行。5.第五級：基本要求：具有最高級別的安全保護能力，能夠抵御國家級別的安全威脅。技術要求：采用最先進的安全技術，構建高度安全可靠的防護體系，具備嚴格的訪問控制和數(shù)據(jù)加密等措施。管理要求：實行嚴格的安全管理制度，由專門的安全管理團隊負責安全保障工作，確保系統(tǒng)處于絕對安全狀態(tài)。第三章等級保護工作流程第七條定級1.信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和相關標準，自行確定信息系統(tǒng)的安全保護等級。2.確定為第二級（含）以上信息系統(tǒng)的運營、使用單位，應當在確定后30日內(nèi)，到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。3.公安機關收到備案材料后，應當在10個工作日內(nèi)對備案材料的完整性進行審查，符合要求的，予以備案；不符合要求的，書面通知備案單位并說明理由。第八條備案1.備案材料包括：信息系統(tǒng)定級報告，包括系統(tǒng)概述、信息安全狀況、業(yè)務信息安全或系統(tǒng)服務安全分析、定級情況說明等。信息系統(tǒng)安全保護基本方案，包括安全策略、安全技術措施、安全管理措施等。信息系統(tǒng)安全保護建設整改計劃，包括整改目標、整改內(nèi)容、整改進度安排等。信息系統(tǒng)安全保護等級測評報告，由具備相應資質(zhì)的測評機構出具。信息系統(tǒng)安全管理制度，包括人員安全管理、安全審計、應急響應等制度。2.運營、使用單位應當按照公安機關的要求，及時補充完善備案材料。第九條建設整改1.運營、使用單位應當依據(jù)信息系統(tǒng)的安全保護等級要求，按照國家有關規(guī)定和標準，進行信息系統(tǒng)的安全建設和整改。2.安全建設整改應當優(yōu)先選擇使用符合國家有關規(guī)定和標準的信息安全產(chǎn)品。3.運營、使用單位應當定期對信息系統(tǒng)的安全狀況進行自查，發(fā)現(xiàn)問題及時整改。第十條等級測評1.信息系統(tǒng)運營、使用單位應當定期委托具備相應資質(zhì)的測評機構對信息系統(tǒng)進行安全等級測評。2.第二級信息系統(tǒng)應當每年進行一次等級測評，第三級信息系統(tǒng)應當每兩年進行一次等級測評，第四級信息系統(tǒng)應當每半年進行一次等級測評，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測評。3.測評機構應當按照國家有關規(guī)定和標準，客觀、公正地出具測評報告，并對測評結果負責。第十一條監(jiān)督檢查1.公安機關應當依法對信息系統(tǒng)運營、使用單位的等級保護工作進行監(jiān)督檢查。2.監(jiān)督檢查內(nèi)容包括：定級備案情況、安全建設整改情況、等級測評情況、安全管理制度落實情況等。3.公安機關在監(jiān)督檢查中發(fā)現(xiàn)問題的，應當及時下達整改通知書，要求運營、使用單位限期整改。運營、使用單位應當按照要求進行整改，并將整改情況報告公安機關。第四章信息安全等級保護測評機構管理第十二條資質(zhì)條件1.測評機構應當具備以下條件：具有獨立法人資格。有固定的工作場所和必要的測評設備。有熟悉信息安全等級保護測評標準和方法的專業(yè)技術人員。有完善的信息安全等級保護測評管理制度和質(zhì)量保證體系。2.測評機構應當按照國家有關規(guī)定，取得相應的資質(zhì)證書。第十三條申請與審批1.測評機構應當向所在地省級公安機關提出資質(zhì)申請，并提交相關材料。2.省級公安機關應當在收到申請材料后20個工作日內(nèi)進行初審，初審合格的，報公安部審批；初審不合格的，書面通知申請機構并說明理由。3.公安部應當在收到省級公安機關報送的初審意見和申請材料后20個工作日內(nèi)進行審批，審批合格的，頒發(fā)資質(zhì)證書；審批不合格的，書面通知申請機構并說明理由。第十四條監(jiān)督管理1.公安部負責對全國測評機構進行監(jiān)督管理，省級公安機關負責對本行政區(qū)域內(nèi)測評機構進行監(jiān)督管理。2.公安機關應當定期對測評機構的工作質(zhì)量進行檢查，發(fā)現(xiàn)問題的，責令其限期整改；情節(jié)嚴重的，吊銷其資質(zhì)證書。3.測評機構應當按照國家有關規(guī)定和標準，開展等級測評工作，并對測評結果負責。第五章法律責任第十五條運營、使用單位責任1.運營、使用單位違反本辦法規(guī)定，有下列情形之一的，由公安機關責令限期改正；逾期不改正的，給予警告，并可以根據(jù)情節(jié)輕重處以五千元以上三萬元以下罰款：未按照本辦法規(guī)定確定信息系統(tǒng)安全保護等級的。未按照本辦法規(guī)定進行備案的。未按照本辦法規(guī)定開展安全建設整改的。未按照本辦法規(guī)定進行等級測評的。未按照本辦法規(guī)定落實安全管理制度的。2.運營、使用單位違反本辦法規(guī)定，導致信息系統(tǒng)安全事故的，由公安機關責令改正，給予警告；造成嚴重后果的，依法追究相關人員的法律責任。第十六條測評機構責任1.測評機構違反本辦法規(guī)定，有下列情形之一的，由公安機關責令限期改正；逾期不改正的，給予警告，并可以根據(jù)情節(jié)輕重處以五千元以上三萬元以下罰款：未按照本辦法規(guī)定取得資質(zhì)證書開展測評工作的。未按照國家有關規(guī)定和標準進行測評的。出具虛假測評報告的。2.測評機構違反本辦法規(guī)定，導致信息系統(tǒng)安全事故的，由公安機關責令改正，給予警告；造成嚴重后果的，依法追究相關人員的法律責任。第十七條其他責任1.違反本辦法規(guī)定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。2.公安機關工作人員在信息安全等級保護管理工作中濫用職權、玩忽職守、徇私舞弊的，依法給予處分；構成犯罪的，依法追究刑事責任。第六章附則第十八條解釋權本辦法由公安部負責解釋。第十九條實施日