信息安全等級保護管理辦法
發(fā)布時間:2016/2/19 14:31:00 【字體: 大 中 小 】
關于印發(fā)《信息安全等級保護管理辦法》的通知
各省、自治區、直轄市公安廳(局)、保密局、國(guó)家密碼管理局(國(guó)家密碼管理委員會辦公室)、信息化領導小組辦公室,新疆生産建設兵團公安局、保密局、國(guó)家密碼管理局、信息化領導小組辦公室,中央和國(guó)家機關各部委保密委員會辦公室、密碼工作領導小組辦公室、信息化領導小組辦公室,各人民團體保密委員會辦公室:
爲加快推進(jìn)信息安全等級保護,規範信息安全等級保護管理,提高信息安全保障能(néng)力和水平,維護國(guó)家安全、社會穩定和公共利益,保障和促進(jìn)信息化建設,公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務院信息化工作辦公室制定了《信息安全等級保護管理辦法》。現印發(fā)給你們,請認真貫徹執行。
公安部 國(guó)家保密局
國(guó)家密碼管理局 國(guó)務院信息工作辦公室
二〇〇七年六月二十二日
信息安全等級保護管理辦法
第一章 總則
第一條 爲規範信息安全等級保護管理,提高信息安全保障能(néng)力和水平,維護國(guó)家安全、社會穩定和公共利益,保障和促進(jìn)信息化建設,根據《中華人民共和國(guó)計算機信息系統安全保護條例》等有關法律法規,制定本辦法。
第二條 國(guó)家通過(guò)制定統一的信息安全等級保護管理規範和技術标準,組織公民、法人和其他組織對(duì)信息系統分等級實行安全保護,對(duì)等級保護工作的實施進(jìn)行監督、管理。
第三條 公安機關負責信息安全等級保護工作的監督、檢查、指導。國(guó)家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國(guó)家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。涉及其他職能(néng)部門管轄範圍的事(shì)項,由有關職能(néng)部門依照國(guó)家法律法規的規定進(jìn)行管理。國(guó)務院信息化工作辦公室及地方信息化領導小組辦事(shì)機構負責等級保護工作的部門間協調。
第四條 信息系統主管部門應當依照本辦法及相關标準規範,督促、檢查、指導本行業、本部門或者本地區信息系統運營、使用單位的信息安全等級保護工作。
第五條 信息系統的運營、使用單位應當依照本辦法及其相關标準規範,履行信息安全等級保護的義務和責任。
第二章 等級劃分與保護
第六條 國(guó)家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國(guó)家安全、經(jīng)濟建設、社會生活中的重要程度,信息系統遭到破壞後(hòu)對(duì)國(guó)家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素确定。
第七條 信息系統的安全保護等級分爲以下五級:
第一級,信息系統受到破壞後(hòu),會對(duì)公民、法人和其他組織的合法權益造成(chéng)損害,但不損害國(guó)家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後(hòu),會對(duì)公民、法人和其他組織的合法權益産生嚴重損害,或者對(duì)社會秩序和公共利益造成(chéng)損害,但不損害國(guó)家安全。
第三級,信息系統受到破壞後(hòu),會對(duì)社會秩序和公共利益造成(chéng)嚴重損害,或者對(duì)國(guó)家安全造成(chéng)損害。
第四級,信息系統受到破壞後(hòu),會對(duì)社會秩序和公共利益造成(chéng)特别嚴重損害,或者對(duì)國(guó)家安全造成(chéng)嚴重損害。
第五級,信息系統受到破壞後(hòu),會對(duì)國(guó)家安全造成(chéng)特别嚴重損害。
第八條 信息系統運營、使用單位依據本辦法和相關技術标準對(duì)信息系統進(jìn)行保護,國(guó)家有關信息安全監管部門對(duì)其信息安全等級保護工作進(jìn)行監督管理。
第一級信息系統運營、使用單位應當依據國(guó)家有關管理規範和技術标準進(jìn)行保護。
第二級信息系統運營、使用單位應當依據國(guó)家有關管理規範和技術标準進(jìn)行保護。國(guó)家信息安全監管部門對(duì)該級信息系統信息安全等級保護工作進(jìn)行指導。
第三級信息系統運營、使用單位應當依據國(guó)家有關管理規範和技術标準進(jìn)行保護。國(guó)家信息安全監管部門對(duì)該級信息系統信息安全等級保護工作進(jìn)行監督、檢查。
第四級信息系統運營、使用單位應當依據國(guó)家有關管理規範、技術标準和業務專門需求進(jìn)行保護。國(guó)家信息安全監管部門對(duì)該級信息系統信息安全等級保護工作進(jìn)行強制監督、檢查。
第五級信息系統運營、使用單位應當依據國(guó)家管理規範、技術标準和業務特殊安全需求進(jìn)行保護。國(guó)家指定專門部門對(duì)該級信息系統信息安全等級保護工作進(jìn)行專門監督、檢查。
第三章 等級保護的實施與管理
第九條 信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》具體實施等級保護工作。
第十條 信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》确定信息系統的安全保護等級。有主管部門的,應當經(jīng)主管部門審核批準。
跨省或者全國(guó)統一聯網運行的信息系統可以由主管部門統一确定安全保護等級。
對(duì)拟确定爲第四級以上信息系統的,運營、使用單位或者主管部門應當請國(guó)家信息安全保護等級專家評審委員會評審。
第十一條 信息系統的安全保護等級确定後(hòu),運營、使用單位應當按照國(guó)家信息安全等級保護管理規範和技術标準,使用符合國(guó)家有關規定,滿足信息系統安全保護等級需求的信息技術産品,開(kāi)展信息系統安全建設或者改建工作。
第十二條 在信息系統建設過(guò)程中,運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》(GB17859-1999)、《信息系統安全等級保護基本要求》等技術标準,參照《信息安全技術 信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術 網絡基礎安全技術要求》(GB/T20270-2006)、《信息安全技術 操作系統安全技術要求》(GB/T20272-2006)、《信息安全技術 數據庫管理系統安全技術要求》(GB/T20273-2006)、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》(GA/T671-2006)等技術标準同步建設符合該等級要求的信息安全設施。
第十三條 運營、使用單位應當參照《信息安全技術 信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術 信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理規範,制定并落實符合本系統安全保護等級要求的安全管理制度。
第十四條 信息系統建設完成(chéng)後(hòu),運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術标準,定期對(duì)信息系統安全等級狀況開(kāi)展等級測評。第三級信息系統應當每年至少進(jìn)行一次等級測評,第四級信息系統應當每半年至少進(jìn)行一次等級測評,第五級信息系統應當依據特殊安全需求進(jìn)行等級測評。
信息系統運營、使用單位及其主管部門應當定期對(duì)信息系統安全狀況、安全保護制度及措施的落實情況進(jìn)行自查。第三級信息系統應當每年至少進(jìn)行一次自查,第四級信息系統應當每半年至少進(jìn)行一次自查,第五級信息系統應當依據特殊安全需求進(jìn)行自查。
經(jīng)測評或者自查,信息系統安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進(jìn)行整改。
第十五條 已運營(運行)的第二級以上信息系統,應當在安全保護等級确定後(hòu)30日内,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
新建第二級以上信息系統,應當在投入運行後(hòu)30日内,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
隸屬于中央的在京單位,其跨省或者全國(guó)統一聯網運行并由主管部門統一定級的信息系統,由主管部門向(xiàng)公安部辦理備案手續。跨省或者全國(guó)統一聯網運行的信息系統在各地運行、應用的分支系統,應當向(xiàng)當地設區的市級以上公安機關備案。
第十六條 辦理信息系統安全保護等級備案手續時,應當填寫《信息系統安全等級保護備案表》,第三級以上信息系統應當同時提供以下材料:(一)系統拓撲結構及說明;(二)系統安全組織機構和管理制度;(三)系統安全保護設施設計實施方案或者改建實施方案; (四)系統使用的信息安全産品清單及其認證、銷售許可證明; (五)測評後(hòu)符合系統安全保護等級的技術檢測評估報告;(六)信息系統安全保護等級專家評審意見;(七)主管部門審核批準信息系統安全保護等級的意見。
第十七條 信息系統備案後(hòu),公安機關應當對(duì)信息系統的備案情況進(jìn)行審核,對(duì)符合等級保護要求的,應當在收到備案材料之日起(qǐ)的10個工作日内頒發(fā)信息系統安全等級保護備案證明;發(fā)現不符合本辦法及有關标準的,應當在收到備案材料之日起(qǐ)的10個工作日内通知備案單位予以糾正;發(fā)現定級不準的,應當在收到備案材料之日起(qǐ)的10個工作日内通知備案單位重新審核确定。
運營、使用單位或者主管部門重新确定信息系統等級後(hòu),應當按照本辦法向(xiàng)公安機關重新備案。
第十八條 受理備案的公安機關應當對(duì)第三級、第四級信息系統的運營、使用單位的信息安全等級保護工作情況進(jìn)行檢查。對(duì)第三級信息系統每年至少檢查一次,對(duì)第四級信息系統每半年至少檢查一次。對(duì)跨省或者全國(guó)統一聯網運行的信息系統的檢查,應當會同其主管部門進(jìn)行。
對(duì)第五級信息系統,應當由國(guó)家指定的專門部門進(jìn)行檢查。
公安機關、國(guó)家指定的專門部門應當對(duì)下列事(shì)項進(jìn)行檢查:(一) 信息系統安全需求是否發(fā)生變化,原定保護等級是否準确;(二) 運營、使用單位安全管理制度、措施的落實情況;(三) 運營、使用單位及其主管部門對(duì)信息系統安全狀況的檢查情況;(四) 系統安全等級測評是否符合要求;(五) 信息安全産品使用是否符合要求; (六) 信息系統安全整改情況;(七) 備案材料與運營、使用單位、信息系統的符合情況;(八) 其他應當進(jìn)行監督檢查的事(shì)項。
第十九條 信息系統運營、使用單位應當接受公安機關、國(guó)家指定的專門部門的安全監督、檢查、指導,如實向(xiàng)公安機關、國(guó)家指定的專門部門提供下列有關信息安全保護的信息資料及數據文件:(一) 信息系統備案事(shì)項變更情況;(二) 安全組織、人員的變動情況;(三) 信息安全管理制度、措施變更情況;(四) 信息系統運行狀況記錄;(五) 運營、使用單位及主管部門定期對(duì)信息系統安全狀況的檢查記錄;(六) 對(duì)信息系統開(kāi)展等級測評的技術測評報告; (七) 信息安全産品使用的變更情況;(八) 信息安全事(shì)件應急預案,信息安全事(shì)件應急處置結果報告; (九) 信息系統安全建設、整改結果報告。
第二十條 公安機關檢查發(fā)現信息系統安全保護狀況不符合信息安全等級保護有關管理規範和技術标準的,應當向(xiàng)運營、使用單位發(fā)出整改通知。運營、使用單位應當根據整改通知要求,按照管理規範和技術标準進(jìn)行整改。整改完成(chéng)後(hòu),應當將(jiāng)整改報告向(xiàng)公安機關備案。必要時,公安機關可以對(duì)整改情況組織檢查。
第二十一條 第三級以上信息系統應當選擇使用符合以下條件的信息安全産品:(一)産品研制、生産單位是由中國(guó)公民、法人投資或者國(guó)家投資或者控股的,在中華人民共和國(guó)境内具有獨立的法人資格;(二)産品的核心技術、關鍵部件具有我國(guó)自主知識産權;(三)産品研制、生産單位及其主要業務、技術人員無犯罪記錄; (四)産品研制、生産單位聲明沒(méi)有故意留有或者設置漏洞、後(hòu)門、木馬等程序和功能(néng);(五)對(duì)國(guó)家安全、社會秩序、公共利益不構成(chéng)危害;(六)對(duì)已列入信息安全産品認證目錄的,應當取得國(guó)家信息安全産品認證機構頒發(fā)的認證證書。
第二十二條 第三級以上信息系統應當選擇符合下列條件的等級保護測評機構進(jìn)行測評:(一) 在中華人民共和國(guó)境内注冊成(chéng)立(港澳台地區除外);(二) 由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資的企事(shì)業單位(港澳台地區除外);(三) 從事(shì)相關檢測評估工作兩(liǎng)年以上,無違法記錄;(四) 工作人員僅限于中國(guó)公民;(五) 法人及主要業務、技術人員無犯罪記錄;(六) 使用的技術裝備、設施應當符合本辦法對(duì)信息安全産品的要求; (七) 具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度;(八) 對(duì)國(guó)家安全、社會秩序、公共利益不構成(chéng)威脅。
第二十三條 從事(shì)信息系統安全等級測評的機構,應當履行下列義務:(一)遵守國(guó)家有關法律法規和技術标準,提供安全、客觀、公正的檢測評估服務,保證測評的質量和效果;(二)保守在測評活動中知悉的國(guó)家秘密、商業秘密和個人隐私,防範測評風險;(三)對(duì)測評人員進(jìn)行安全保密教育,與其簽訂安全保密責任書,規定應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。
第四章 涉及國(guó)家秘密信息系統的分級保護管理
第二十四條 涉密信息系統應當依據國(guó)家信息安全等級保護的基本要求,按照國(guó)家保密工作部門有關涉密信息系統分級保護的管理規定和技術标準,結合系統實際情況進(jìn)行保護。非涉密信息系統不得處理國(guó)家秘密信息。
第二十五條 涉密信息系統按照所處理信息的最高密級,由低到高分爲秘密、機密、絕密三個等級。
涉密信息系統建設使用單位應當在信息規範定密的基礎上,依據涉密信息系統分級保護管理辦法和國(guó)家保密标準BMB17-2006《涉及國(guó)家秘密的計算機信息系統分級保護技術要求》确定系統等級。對(duì)于包含多個安全域的涉密信息系統,各安全域可以分别确定保護等級。
保密工作部門和機構應當監督指導涉密信息系統建設使用單位準确、合理地進(jìn)行系統定級。
第二十六條 涉密信息系統建設使用單位應當將(jiāng)涉密信息系統定級和建設使用情況,及時上報業務主管部門的保密工作機構和負責系統審批的保密工作部門備案,并接受保密部門的監督、檢查、指導。
第二十七條 涉密信息系統建設使用單位應當選擇具有涉密集成(chéng)資質的單位承擔或者參與涉密信息系統的設計與實施。
涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規範和技術标準,按照秘密、機密、絕密三級的不同要求,結合系統實際進(jìn)行方案設計,實施分級保護,其保護水平總體上不低于國(guó)家信息安全等級保護第三級、第四級、第五級的水平。
第二十八條 涉密信息系統使用的信息安全保密産品原則上應當選用國(guó)産品,并應當通過(guò)國(guó)家保密局授權的檢測機構依據有關國(guó)家保密标準進(jìn)行的檢測,通過(guò)檢測的産品由國(guó)家保密局審核發(fā)布目錄。
第二十九條 涉密信息系統建設使用單位在系統工程實施結束後(hòu),應當向(xiàng)保密工作部門提出申請,由國(guó)家保密局授權的系統測評機構依據國(guó)家保密标準BMB22-2007《涉及國(guó)家秘密的計算機信息系統分級保護測評指南》,對(duì)涉密信息系統進(jìn)行安全保密測評。
涉密信息系統建設使用單位在系統投入使用前,應當按照《涉及國(guó)家秘密的信息系統審批管理規定》,向(xiàng)設區的市級以上保密工作部門申請進(jìn)行系統審批,涉密信息系統通過(guò)審批後(hòu)方可投入使用。已投入使用的涉密信息系統,其建設使用單位在按照分級保護要求完成(chéng)系統整改後(hòu),應當向(xiàng)保密工作部門備案。
第三十條 涉密信息系統建設使用單位在申請系統審批或者備案時,應當提交以下材料:(一)系統設計、實施方案及審查論證意見;(二)系統承建單位資質證明材料;(三)系統建設和工程監理情況報告;(四)系統安全保密檢測評估報告;(五)系統安全保密組織機構和管理制度情況;(六)其他有關材料。
第三十一條 涉密信息系統發(fā)生涉密等級、連接範圍、環境設施、主要應用、安全保密管理責任單位變更時,其建設使用單位應當及時向(xiàng)負責審批的保密工作部門報告。保密工作部門應當根據實際情況,決定是否對(duì)其重新進(jìn)行測評和審批。
第三十二條 涉密信息系統建設使用單位應當依據國(guó)家保密标準BMB20-2007《涉及國(guó)家秘密的信息系統分級保護管理規範》,加強涉密信息系統運行中的保密管理,定期進(jìn)行風險評估,消除洩密隐患和漏洞。
第三十三條 國(guó)家和地方各級保密工作部門依法對(duì)各地區、各部門涉密信息系統分級保護工作實施監督管理,并做好(hǎo)以下工作:(一)指導、監督和檢查分級保護工作的開(kāi)展;(二)指導涉密信息系統建設使用單位規範信息定密,合理确定系統保護等級;(三)參與涉密信息系統分級保護方案論證,指導建設使用單位做好(hǎo)保密設施的同步規劃設計;(四)依法對(duì)涉密信息系統集成(chéng)資質單位進(jìn)行監督管理;(五)嚴格進(jìn)行系統測評和審批工作,監督檢查涉密信息系統建設使用單位分級保護管理制度和技術措施的落實情況;(六)加強涉密信息系統運行中的保密監督檢查。對(duì)秘密級、機密級信息系統每兩(liǎng)年至少進(jìn)行一次保密檢查或者系統測評,對(duì)絕密級信息系統每年至少進(jìn)行一次保密檢查或者系統測評;(七)了解掌握各級各類涉密信息系統的管理使用情況,及時發(fā)現和查處各種(zhǒng)違規違法行爲和洩密事(shì)件。
第五章 信息安全等級保護的密碼管理
第三十四條 國(guó)家密碼管理部門對(duì)信息安全等級保護的密碼實行分類分級管理。根據被(bèi)保護對(duì)象在國(guó)家安全、社會穩定、經(jīng)濟建設中的作用和重要程度,被(bèi)保護對(duì)象的安全防護要求和涉密程度,被(bèi)保護對(duì)象被(bèi)破壞後(hòu)的危害程度以及密碼使用部門的性質等,确定密碼的等級保護準則。
信息系統運營、使用單位采用密碼進(jìn)行等級保護的,應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關标準。
第三十五條 信息系統安全等級保護中密碼的配備、使用和管理等,應當嚴格執行國(guó)家密碼管理的有關規定。
第三十六條 信息系統運營、使用單位應當充分運用密碼技術對(duì)信息系統進(jìn)行保護。采用密碼對(duì)涉及國(guó)家秘密的信息和信息系統進(jìn)行保護的,應報經(jīng)國(guó)家密碼管理局審批,密碼的設計、實施、使用、運行維護和日常管理等,應當按照國(guó)家密碼管理有關規定和相關标準執行;采用密碼對(duì)不涉及國(guó)家秘密的信息和信息系統進(jìn)行保護的,須遵守《商用密碼管理條例》和密碼分類分級保護有關規定與相關标準,其密碼的配備使用情況應當向(xiàng)國(guó)家密碼管理機構備案。
第三十七條 運用密碼技術對(duì)信息系統進(jìn)行系統等級保護建設和整改的,必須采用經(jīng)國(guó)家密碼管理部門批準使用或者準于銷售的密碼産品進(jìn)行安全保護,不得采用國(guó)外引進(jìn)或者擅自研制的密碼産品;未經(jīng)批準不得采用含有加密功能(néng)的進(jìn)口信息技術産品。
第三十八條 信息系統中的密碼及密碼設備的測評工作由國(guó)家密碼管理局認可的測評機構承擔,其他任何部門、單位和個人不得對(duì)密碼進(jìn)行評測和監控。
第三十九條 各級密碼管理部門可以定期或者不定期對(duì)信息系統等級保護工作中密碼配備、使用和管理的情況進(jìn)行檢查和測評,對(duì)重要涉密信息系統的密碼配備、使用和管理情況每兩(liǎng)年至少進(jìn)行一次檢查和測評。在監督檢查過(guò)程中,發(fā)現存在安全隐患或者違反密碼管理相關規定或者未達到密碼相關标準要求的,應當按照國(guó)家密碼管理的相關規定進(jìn)行處置。
第六章 法律責任
第四十條 第三級以上信息系統運營、使用單位違反本辦法規定,有下列行爲之一的,由公安機關、國(guó)家保密工作部門和國(guó)家密碼工作管理部門按照職責分工責令其限期改正;逾期不改正的,給予警告,并向(xiàng)其上級主管部門通報情況,建議對(duì)其直接負責的主管人員和其他直接責任人員予以處理,并及時反饋處理結果: (一) 未按本辦法規定備案、審批的;(二) 未按本辦法規定落實安全管理制度、措施的;(三) 未按本辦法規定開(kāi)展系統安全狀況檢查的;(四) 未按本辦法規定開(kāi)展系統安全技術測評的;(五) 接到整改通知後(hòu),拒不整改的;(六) 未按本辦法規定選擇使用信息安全産品和測評機構的;(七) 未按本辦法規定如實提供有關文件和證明材料的;(八) 違反保密管理規定的;(九) 違反密碼管理規定的;(十) 違反本辦法其他規定的。
違反前款規定,造成(chéng)嚴重損害的,由相關部門依照有關法律、法規予以處理。
第四十一條 信息安全監管部門及其工作人員在履行監督管理職責中,玩忽職守、濫用職權、徇私舞弊的,依法給予行政處分;構成(chéng)犯罪的,依法追究刑事(shì)責任。
第七章 附則
第四十二條 已運行信息系統的運營、使用單位自本辦法施行之日起(qǐ)180日内确定信息系統的安全保護等級;新建信息系統在設計、規劃階段确定安全保護等級。
第四十三條 本辦法所稱“以上”包含本數(級)。
第四十四條 本辦法自發(fā)布之日起(qǐ)施行,《信息安全等級保護管理辦法(試行)》(公通字[2006]7号)同時廢止。