第一章 總則
第一條為加強信息安全等級保護��,規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平�����,維護國家安全����、社會穩(wěn)定和公共利益,保障和促進信息化建設����,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等國家有關法律法規(guī),制定本辦法����。
第二條信息安全等級保護,是指對國家秘密信息及公民����、法人和其他組織的專有信息以及公開信息和存儲、傳輸�、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理�,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置�。
第三條信息系統(tǒng)的安全保護等級應當根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設����、社會生活中的重要程度,信息和信息系統(tǒng)遭到破壞后對國家安全���、社會秩序、公共利益以及公民�����、法人和其他組織的合法權益的危害程度�����,信息和信息系統(tǒng)應當達到的基本的安全保護水平等因素確定�。
第四條信息系統(tǒng)的安全保護等級分為以下五級:
(一)第一級為自主保護級����,適用于一般的信息系統(tǒng)���,其受到破壞后,會對公民����、法人和其他組織的合法權益產(chǎn)生損害�,但不損害國家安全�����、社會秩序和公共利益�。
(二)第二級為指導保護級�,適用于一般的信息系統(tǒng),其受到破壞后�����,會對社會秩序和公共利益造成輕微損害���,但不損害國家安全���。
(三)第三級為監(jiān)督保護級�,適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)���,其受到破壞后�����,會對國家安全����、社會秩序和公共利益造成損害��。
?�。ㄋ模┑谒募墳閺娭票Wo級�����,適用于涉及國家安全���、社會秩序和公共利益的重要信息系統(tǒng)��,其受到破壞后���,會對國家安全、社會秩序和公共利益造成嚴重損害�。
(五)第五級為?��?乇Wo級�,適用于涉及國家安全���、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)���,其受到破壞后����,會對國家安全����、社會秩序和公共利益造成特別嚴重損害。
第五條信息系統(tǒng)運營�����、使用單位及個人依據(jù)本辦法和相關技術標準對信息系統(tǒng)進行保護,國家有關信息安全職能部門對其信息安全等級保護工作進行監(jiān)督管理�。
(一)第一級信息系統(tǒng)運營�����、使用單位或者個人可以依據(jù)國家管理規(guī)范和技術標準進行保護���。
(二)第二級信息系統(tǒng)運營�����、使用單位應當依據(jù)國家管理規(guī)范和技術標準進行保護�����。必要時���,國家有關信息安全職能部門可以對其信息安全等級保護工作進行指導����。
(三)第三級信息系統(tǒng)運營����、使用單位應當依據(jù)國家管理規(guī)范和技術標準進行保護,國家有關信息安全職能部門對其信息安全等級保護工作進行監(jiān)督����、檢查�。
(四)第四級信息系統(tǒng)運營����、使用單位應當依據(jù)國家管理規(guī)范和技術標準進行保護,國家有關信息安全職能部門對其信息安全等級保護工作進行強制監(jiān)督�、檢查。
?����。ㄎ澹┑谖寮壭畔⑾到y(tǒng)運營���、使用單位應當依據(jù)國家管理規(guī)范和技術標準進行保護,國家指定的專門部門或者專門機構(gòu)對其信息安全等級保護工作進行專門監(jiān)督��、檢查。
第六條公安機關負責信息安全等級保護工作的監(jiān)督���、檢查、指導����。國家保密工作部門負責等級保護工作中有關保密工作的監(jiān)督、檢查��、指導��。國家密碼管理部門負責等級保護工作中有關密碼工作的監(jiān)督���、檢查�、指導��。
涉及其他職能部門管轄范圍的事項����,由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理���。
國務院信息化工作辦公室及地方信息化領導小組辦事機構(gòu)負責等級保護工作的部門間協(xié)調(diào)�。
第二章 信息安全等級保護的安全管理
第七條信息系統(tǒng)的運營、使用單位應當根據(jù)本辦法和有關標準���,確定信息系統(tǒng)的安全保護等級��。有主管部門的�����,應當報主管部門審核批準�。
第八條信息系統(tǒng)的運營����、使用單位應當根據(jù)已確定的安全保護等級���,依照本辦法和有關技術標準��,使用符合國家有關規(guī)定�����,滿足信息系統(tǒng)安全保護等級需求的信息技術產(chǎn)品,進行信息系統(tǒng)建設��。
第九條信息系統(tǒng)的運營、使用單位應當履行下列安全等級保護職責:
?��。ㄒ唬┞鋵嵭畔踩燃壉Wo的責任部門和人員,負責信息系統(tǒng)的安全等級保護管理工作;
?���。ǘ┙⒔∪踩燃壉Wo管理制度�;
?��。ㄈ┞鋵嵃踩燃壉Wo技術標準要求�;
?。ㄋ模┒ㄆ谶M行安全狀況檢測和風險評估;
(五)建立信息安全事件的等級響應����、處置制度;
?��。┴撠煂π畔⑾到y(tǒng)用戶的安全等級保護教育和培訓��;
?����。ㄆ撸┢渌麘斅男械陌踩燃壉Wo職責��。
第十條信息系統(tǒng)建設完成后���,其運營、使用單位應當依據(jù)本辦法選擇具有國家相關技術資質(zhì)和安全資質(zhì)的測評單位����,按照技術標準進行安全測評,符合要求的����,方可投入使用。
第十一條從事信息系統(tǒng)安全等級測評的單位���,應當遵守國家有關法律法規(guī)和技術標準規(guī)定����,保守在測評活動中知悉的國家秘密��、商業(yè)秘密和個人隱私����,提供安全、客觀�、公正的檢測評估服務。
測評單位資質(zhì)管理辦法由有關部門另行制定��。
第十二條第三級以上信息系統(tǒng)的運營����、使用單位應當自系統(tǒng)投入運行之日起三十日內(nèi),到所在地的省���、自治區(qū)�����、直轄市公安機關指定的受理機構(gòu)辦理備案手續(xù)�����,填寫《信息系統(tǒng)安全保護等級備案登記表》��。國家另有規(guī)定的除外���。
備案事項發(fā)生變更時,信息系統(tǒng)運營����、使用單位或其主管部門應當自變更之日起三十日內(nèi)將變更情況報原備案機關。
第十三條公安機關應當掌握信息系統(tǒng)運營�����、使用單位的備案情況���,建立備案檔案�,進行備案管理�。發(fā)現(xiàn)不符合本辦法及有關標準的,應通知其予以糾正�。
第十四條公安機關應當監(jiān)督、檢查第三級和第四級信息系統(tǒng)運營���、使用單位履行安全等級保護職責的情況����。
對安全保護等級為三級的信息系統(tǒng)每年至少檢查一次���,對安全保護等級為四級的信息系統(tǒng)每半年至少檢查一次�����。
第十五條公安機關發(fā)現(xiàn)信息系統(tǒng)運營��、使用單位未履行安全等級保護職責或未達到安全保護要求的,應當書面通知其整改���。
第三章 信息安全等級保護的保密管理
第十六條涉及國家秘密的信息系統(tǒng)應當依據(jù)國家信息安全等級保護的基本要求����,按照國家保密工作部門涉密信息系統(tǒng)分級保護的管理規(guī)定和技術標準�����,結(jié)合系統(tǒng)實際情況進行保護�����。
不涉及國家秘密的信息系統(tǒng)不得處理國家秘密信息�����。
第十七條涉及國家秘密的信息系統(tǒng)按照所處理信息的最高密級��,由低到高劃分為秘密級��、機密級和絕密級三個級別��,其總體防護水平分別不低于三級��、四級�����、五級的要求����。
涉及國家秘密的信息系統(tǒng)建設單位應當依據(jù)《中華人民共和國保守國家秘密法》和國家有關秘密及其密級具體范圍的規(guī)定��,確定系統(tǒng)處理信息的最高密級和系統(tǒng)的保護級別��。
第十八條涉及國家秘密的信息系統(tǒng)的設計實施�����、審批備案�����、運行維護和日常保密管理,按照國家保密工作部門的有關規(guī)定和技術標準執(zhí)行���。
第十九條各級保密工作部門應當對已投入使用的涉及國家秘密的信息系統(tǒng)組織檢查和測評����。發(fā)現(xiàn)系統(tǒng)存在安全隱患或系統(tǒng)保護措施不符合分級保護管理規(guī)定和技術標準的�,應當通知系統(tǒng)使用單位和管理部門限期整改。
對秘密級�、機密級信息系統(tǒng)���,每兩年至少進行一次保密檢查或系統(tǒng)測評�����;對絕密級信息系統(tǒng),每年至少進行一次保密檢查或系統(tǒng)測評��。
第四章 信息安全等級保護的密碼管理
第二十條國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理�。根據(jù)被保護對象在國家安全、社會穩(wěn)定�、經(jīng)濟建設中的作用和重要程度,被保護對象的安全防護要求和涉密程度��,被保護對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級保護準則�����。
信息系統(tǒng)運營����、使用單位采用密碼進行等級保護的,應當遵照信息安全等級保護密碼管理規(guī)定和相關標準�。
第二十一條信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等��,應嚴格執(zhí)行國家密碼管理的有關規(guī)定��。
第二十二條 要充分運用密碼技術對信息系統(tǒng)進行保護�。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的��,密碼的設計��、實施��、使用���、運行維護和日常管理等�����,應當按照國家密碼管理有關規(guī)定和相關標準執(zhí)行�;采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的,須遵照《商用密碼管理條例》和密碼分類分級保護有關規(guī)定與相關標準�����。
第二十三條 各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備��、使用和管理的情況進行檢查和測評����,對重要涉密信息系統(tǒng)的密碼配備�、使用和管理情況每兩年至少進行一次檢查和測評��。在監(jiān)督檢查過程中�����,發(fā)現(xiàn)存在安全隱患或違反密碼管理相關規(guī)定或者未達到密碼相關標準要求的���,按照國家密碼管理的相關規(guī)定進行處置��。
第五章 法律責任
第二十四條三級�����、四級信息系統(tǒng)和涉及國家秘密的信息系統(tǒng)的主管部門和運營����、使用單位違反本辦法規(guī)定,有下列行為之一�����,造成嚴重損害的����,由相關部門依照有關法律���、法規(guī)予以處理:
?��。ㄒ唬┪窗幢巨k法規(guī)定報請備案、審批的��;
(二)未按等級保護技術標準要求進行系統(tǒng)安全設施建設和制度建設的��;
?�。ㄈ┙拥秸耐ㄖ?,拒不整改的;
?。ㄋ模┻`反保密管理規(guī)定的;
?。ㄎ澹┻`反密碼管理規(guī)定的���;
?��。┻`反本辦法其他規(guī)定的。
第六章 附則
第二十五條軍隊的計算機信息系統(tǒng)安全保護工作�����,按照軍隊的有關法規(guī)執(zhí)行�。
第二十六條本管理辦法自2006年3月1日起施行�。
