第一章 總則
第一條為加強信息安全等級保護�,規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平���,維護國家安全�����、社會穩(wěn)定和公共利益�����,保障和促進信息化建設(shè)����,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等國家有關(guān)法律法規(guī),制定本辦法��。
第二條信息安全等級保護�,是指對國家秘密信息及公民、法人和其他組織的專有信息以及公開信息和存儲�����、傳輸���、處理這些信息的信息系統(tǒng)分等級實行安全保護�,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理���,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)��、處置�。
第三條信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息和信息系統(tǒng)在國家安全����、經(jīng)濟建設(shè)����、社會生活中的重要程度����,信息和信息系統(tǒng)遭到破壞后對國家安全、社會秩序�、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度��,信息和信息系統(tǒng)應(yīng)當(dāng)達到的基本的安全保護水平等因素確定�。
第四條信息系統(tǒng)的安全保護等級分為以下五級:
(一)第一級為自主保護級�,適用于一般的信息系統(tǒng)�,其受到破壞后,會對公民����、法人和其他組織的合法權(quán)益產(chǎn)生損害,但不損害國家安全����、社會秩序和公共利益。
?����。ǘ┑诙墳橹笇?dǎo)保護級,適用于一般的信息系統(tǒng)����,其受到破壞后,會對社會秩序和公共利益造成輕微損害���,但不損害國家安全����。
?。ㄈ┑谌墳楸O(jiān)督保護級,適用于涉及國家安全��、社會秩序和公共利益的重要信息系統(tǒng)��,其受到破壞后�,會對國家安全、社會秩序和公共利益造成損害����。
(四)第四級為強制保護級����,適用于涉及國家安全���、社會秩序和公共利益的重要信息系統(tǒng),其受到破壞后�,會對國家安全、社會秩序和公共利益造成嚴(yán)重損害����。
(五)第五級為?��?乇Wo級����,適用于涉及國家安全���、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng),其受到破壞后�,會對國家安全、社會秩序和公共利益造成特別嚴(yán)重損害��。
第五條信息系統(tǒng)運營��、使用單位及個人依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進行保護,國家有關(guān)信息安全職能部門對其信息安全等級保護工作進行監(jiān)督管理�。
(一)第一級信息系統(tǒng)運營�、使用單位或者個人可以依據(jù)國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。
?���。ǘ┑诙壭畔⑾到y(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護��。必要時��,國家有關(guān)信息安全職能部門可以對其信息安全等級保護工作進行指導(dǎo)���。
?。ㄈ┑谌壭畔⑾到y(tǒng)運營��、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護���,國家有關(guān)信息安全職能部門對其信息安全等級保護工作進行監(jiān)督����、檢查����。
?�。ㄋ模┑谒募壭畔⑾到y(tǒng)運營�����、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護�,國家有關(guān)信息安全職能部門對其信息安全等級保護工作進行強制監(jiān)督��、檢查����。
(五)第五級信息系統(tǒng)運營�����、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護�����,國家指定的專門部門或者專門機構(gòu)對其信息安全等級保護工作進行專門監(jiān)督�、檢查�����。
第六條公安機關(guān)負責(zé)信息安全等級保護工作的監(jiān)督、檢查�、指導(dǎo)。國家保密工作部門負責(zé)等級保護工作中有關(guān)保密工作的監(jiān)督����、檢查、指導(dǎo)�。國家密碼管理部門負責(zé)等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查�����、指導(dǎo)�����。
涉及其他職能部門管轄范圍的事項���,由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理�����。
國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責(zé)等級保護工作的部門間協(xié)調(diào)�。
第二章 信息安全等級保護的安全管理
第七條信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)根據(jù)本辦法和有關(guān)標(biāo)準(zhǔn)��,確定信息系統(tǒng)的安全保護等級�。有主管部門的,應(yīng)當(dāng)報主管部門審核批準(zhǔn)��。
第八條信息系統(tǒng)的運營��、使用單位應(yīng)當(dāng)根據(jù)已確定的安全保護等級��,依照本辦法和有關(guān)技術(shù)標(biāo)準(zhǔn)�����,使用符合國家有關(guān)規(guī)定����,滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品,進行信息系統(tǒng)建設(shè)���。
第九條信息系統(tǒng)的運營����、使用單位應(yīng)當(dāng)履行下列安全等級保護職責(zé):
(一)落實信息安全等級保護的責(zé)任部門和人員,負責(zé)信息系統(tǒng)的安全等級保護管理工作;
?���。ǘ┙⒔∪踩燃壉Wo管理制度�;
(三)落實安全等級保護技術(shù)標(biāo)準(zhǔn)要求�;
(四)定期進行安全狀況檢測和風(fēng)險評估;
?。ㄎ澹┙⑿畔踩录牡燃夗憫?yīng)、處置制度��;
?��。┴撠?zé)對信息系統(tǒng)用戶的安全等級保護教育和培訓(xùn)���;
(七)其他應(yīng)當(dāng)履行的安全等級保護職責(zé)�。
第十條信息系統(tǒng)建設(shè)完成后,其運營�����、使用單位應(yīng)當(dāng)依據(jù)本辦法選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位�,按照技術(shù)標(biāo)準(zhǔn)進行安全測評�,符合要求的�����,方可投入使用�����。
第十一條從事信息系統(tǒng)安全等級測評的單位�,應(yīng)當(dāng)遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)規(guī)定,保守在測評活動中知悉的國家秘密�、商業(yè)秘密和個人隱私,提供安全����、客觀、公正的檢測評估服務(wù)���。
測評單位資質(zhì)管理辦法由有關(guān)部門另行制定��。
第十二條第三級以上信息系統(tǒng)的運營�����、使用單位應(yīng)當(dāng)自系統(tǒng)投入運行之日起三十日內(nèi)��,到所在地的省����、自治區(qū)、直轄市公安機關(guān)指定的受理機構(gòu)辦理備案手續(xù)���,填寫《信息系統(tǒng)安全保護等級備案登記表》。國家另有規(guī)定的除外�。
備案事項發(fā)生變更時,信息系統(tǒng)運營�����、使用單位或其主管部門應(yīng)當(dāng)自變更之日起三十日內(nèi)將變更情況報原備案機關(guān)����。
第十三條公安機關(guān)應(yīng)當(dāng)掌握信息系統(tǒng)運營、使用單位的備案情況�,建立備案檔案,進行備案管理���。發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的�����,應(yīng)通知其予以糾正����。
第十四條公安機關(guān)應(yīng)當(dāng)監(jiān)督、檢查第三級和第四級信息系統(tǒng)運營�����、使用單位履行安全等級保護職責(zé)的情況�����。
對安全保護等級為三級的信息系統(tǒng)每年至少檢查一次�,對安全保護等級為四級的信息系統(tǒng)每半年至少檢查一次。
第十五條公安機關(guān)發(fā)現(xiàn)信息系統(tǒng)運營����、使用單位未履行安全等級保護職責(zé)或未達到安全保護要求的,應(yīng)當(dāng)書面通知其整改��。
第三章 信息安全等級保護的保密管理
第十六條涉及國家秘密的信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護的基本要求�����,按照國家保密工作部門涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)���,結(jié)合系統(tǒng)實際情況進行保護�����。
不涉及國家秘密的信息系統(tǒng)不得處理國家秘密信息�。
第十七條涉及國家秘密的信息系統(tǒng)按照所處理信息的最高密級,由低到高劃分為秘密級��、機密級和絕密級三個級別�,其總體防護水平分別不低于三級�、四級、五級的要求��?���! ?
涉及國家秘密的信息系統(tǒng)建設(shè)單位應(yīng)當(dāng)依據(jù)《中華人民共和國保守國家秘密法》和國家有關(guān)秘密及其密級具體范圍的規(guī)定,確定系統(tǒng)處理信息的最高密級和系統(tǒng)的保護級別�����。
第十八條涉及國家秘密的信息系統(tǒng)的設(shè)計實施�、審批備案、運行維護和日常保密管理�����,按照國家保密工作部門的有關(guān)規(guī)定和技術(shù)標(biāo)準(zhǔn)執(zhí)行。
第十九條各級保密工作部門應(yīng)當(dāng)對已投入使用的涉及國家秘密的信息系統(tǒng)組織檢查和測評�����。發(fā)現(xiàn)系統(tǒng)存在安全隱患或系統(tǒng)保護措施不符合分級保護管理規(guī)定和技術(shù)標(biāo)準(zhǔn)的���,應(yīng)當(dāng)通知系統(tǒng)使用單位和管理部門限期整改�����。
對秘密級����、機密級信息系統(tǒng)�����,每兩年至少進行一次保密檢查或系統(tǒng)測評�;對絕密級信息系統(tǒng),每年至少進行一次保密檢查或系統(tǒng)測評��。
第四章 信息安全等級保護的密碼管理
第二十條國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全�、社會穩(wěn)定、經(jīng)濟建設(shè)中的作用和重要程度��,被保護對象的安全防護要求和涉密程度���,被保護對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等�,確定密碼的等級保護準(zhǔn)則���。
信息系統(tǒng)運營��、使用單位采用密碼進行等級保護的���,應(yīng)當(dāng)遵照信息安全等級保護密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)�。
第二十一條信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等���,應(yīng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定�。
第二十二條 要充分運用密碼技術(shù)對信息系統(tǒng)進行保護�����。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的���,密碼的設(shè)計��、實施�����、使用�����、運行維護和日常管理等����,應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行;采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的�,須遵照《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)。
第二十三條 各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備�、使用和管理的情況進行檢查和測評,對重要涉密信息系統(tǒng)的密碼配備��、使用和管理情況每兩年至少進行一次檢查和測評���。在監(jiān)督檢查過程中�,發(fā)現(xiàn)存在安全隱患或違反密碼管理相關(guān)規(guī)定或者未達到密碼相關(guān)標(biāo)準(zhǔn)要求的,按照國家密碼管理的相關(guān)規(guī)定進行處置����。
第五章 法律責(zé)任
第二十四條三級、四級信息系統(tǒng)和涉及國家秘密的信息系統(tǒng)的主管部門和運營��、使用單位違反本辦法規(guī)定��,有下列行為之一��,造成嚴(yán)重損害的���,由相關(guān)部門依照有關(guān)法律�����、法規(guī)予以處理:
?��。ㄒ唬┪窗幢巨k法規(guī)定報請備案��、審批的��;
?���。ǘ┪窗吹燃壉Wo技術(shù)標(biāo)準(zhǔn)要求進行系統(tǒng)安全設(shè)施建設(shè)和制度建設(shè)的����;
?。ㄈ┙拥秸耐ㄖ螅懿徽牡?���;
(四)違反保密管理規(guī)定的���;
?�。ㄎ澹┻`反密碼管理規(guī)定的�����;
?���。┻`反本辦法其他規(guī)定的�。
第六章 附則
第二十五條軍隊的計算機信息系統(tǒng)安全保護工作,按照軍隊的有關(guān)法規(guī)執(zhí)行�。
第二十六條本管理辦法自2006年3月1日起施行����。
