信息安全等级保护法律法规

1、信息安全等级保护制度信息安全等级保护制度信息安全等级保护信息安全等级保护20112011年年3 3月月提提 纲纲 前言前言一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件四、信息安全等级保护接着做什么四、信息安全等级保护接着做什么前言前言什么是等保什么是等保 信息安全等级保护管理办法指出信息安全等级保护是以信息为核心的、根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度

2、；针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素，对最核心的信息和信息系统划分为五个安全保护和监管等级，实行分级保护。 实施信息安全等级保护，可以有效地提高我国信息安全建设的整体水平， 有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调； 有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督； 有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施； 有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息

3、安全发展模式。前言前言为什么实行等保为什么实行等保前言前言为什么实行等保为什么实行等保前言前言为什么实行等保为什么实行等保 前言前言为什么实行等保为什么实行等保前言前言为什么实行等保为什么实行等保前言前言为什么实行等保为什么实行等保 前言前言为什么实行等保为什么实行等保案例案例 案例案例即使是相对封闭的工业控制系统也无法以善其身即使是相对封闭的工业控制系统也无法以善其身数据交换中如随意使用移动存储设备，没有严格执行安全隔数据交换中如随意使用移动存储设备，没有严格执行安全隔离要求，则可能被感染。离要求，则可能被感染。专用网络难以及时获取安全补丁专用网络难以及时获取安全补丁,安全软件升级滞后。安全

4、软件升级滞后。案例案例 案例案例 事件二：震网病毒事件二：震网病毒震网病毒（震网病毒（Stuxnet），是世界上首个以直接破坏现实世界中工业基），是世界上首个以直接破坏现实世界中工业基础设施为目标的蠕虫病毒，被称为网络础设施为目标的蠕虫病毒，被称为网络“超级武器超级武器”。震网病毒于。震网病毒于2010年年7月开始爆发，截至月开始爆发，截至2010年年9月底，包括中国、印度、俄罗斯月底，包括中国、印度、俄罗斯在内的许多国家都发现了这个病毒。据统计，目前全球已有约在内的许多国家都发现了这个病毒。据统计，目前全球已有约45000个网络被该病毒感染，其中个网络被该病毒感染，其中60%的受害主机位于伊

5、朗境内，并已造成的受害主机位于伊朗境内，并已造成伊朗核电站推迟发电。目前我国也有近伊朗核电站推迟发电。目前我国也有近500万网民、以及多个行业的万网民、以及多个行业的领军企业遭此病毒攻击。领军企业遭此病毒攻击。 事件三：事件三：3Q之争之争2010年年9月，奇虎公司针对腾讯公司的月，奇虎公司针对腾讯公司的QQ聊天软件，发布了聊天软件，发布了“360隐隐私保护器私保护器”和和“360扣扣保镖扣扣保镖”两款网络安全软件，并称其可以保护两款网络安全软件，并称其可以保护QQ用户的隐私和网络安全。腾讯公司认为奇虎用户的隐私和网络安全。腾讯公司认为奇虎360的这一做法严重危的这一做法严重危害了腾讯的商业利

6、益，并称害了腾讯的商业利益，并称“360扣扣保镖扣扣保镖”是是“外挂外挂”行为。随后，行为。随后，腾讯公司在腾讯公司在11月月3日宣布将停止对装有日宣布将停止对装有360软件的电脑提供软件的电脑提供QQ服务。服务。由此引发了由此引发了“360 QQ大战大战”，同时引起了，同时引起了360软件与其它公司类似产软件与其它公司类似产品的一系列纷争，最终演变成为了互联网行业中的一场混战。最终品的一系列纷争，最终演变成为了互联网行业中的一场混战。最终3Q之争在国家相关部门的强力干预下得以平息，扣扣保镖被召回，之争在国家相关部门的强力干预下得以平息，扣扣保镖被召回，QQ与与360恢复兼容。但此次事件对广大

7、终端用户造成的恶劣影响和侵害，恢复兼容。但此次事件对广大终端用户造成的恶劣影响和侵害，并由此引发的公众对于终端安全和隐私保护的困惑和忧虑却远没有消并由此引发的公众对于终端安全和隐私保护的困惑和忧虑却远没有消除。除。案例案例 上述三个安全事件均发自于终端，可见终端安全已经上述三个安全事件均发自于终端，可见终端安全已经成为世界范围内的突出问题，在各国精心构建的信息安全成为世界范围内的突出问题，在各国精心构建的信息安全防御体系中，终端安全仍是一个薄弱环节。美国政府历来防御体系中，终端安全仍是一个薄弱环节。美国政府历来以防御严密、技术先进著称，尚且发生了维基解密事件，以防御严密、技术先进著称，尚且发生

8、了维基解密事件，我国在核心技术依赖于国外的情况下，面临的严峻的信息我国在核心技术依赖于国外的情况下，面临的严峻的信息安全形势可想而知，发达国家要使我们的网络信息系统瘫安全形势可想而知，发达国家要使我们的网络信息系统瘫痪或盗窃我们的渉密信息易如反掌。因此，信息安全建设痪或盗窃我们的渉密信息易如反掌。因此，信息安全建设必须走自主之路，而必须走自主之路，而3Q之争又暴露出国内安全厂商和安全之争又暴露出国内安全厂商和安全产业发展存在的诸多问题，我们的安全意识、技术和管理产业发展存在的诸多问题，我们的安全意识、技术和管理水平都亟待提高。如何真正提高终端安全性，水平都亟待提高。如何真正提高终端安全性，可以

9、得到如下启示：可以得到如下启示：案例案例（1）要建立可控的信息交换机制要建立可控的信息交换机制。不同等级网络之间进行数据交换的需。不同等级网络之间进行数据交换的需求是客观存在的，禁止一切数据交换只会导致求是客观存在的，禁止一切数据交换只会导致“地下地下”数据交换，专用数据交换，专用U盘、刻光盘，物理隔离都存在安全风险和漏洞。强行盘、刻光盘，物理隔离都存在安全风险和漏洞。强行“封堵封堵”不如合理不如合理“疏导疏导”，建立集中的数据交换渠道，并对交换过程进行全程监控和审，建立集中的数据交换渠道，并对交换过程进行全程监控和审计，切实落实信息使用和管理的相关责任，才能确保数据安全。计，切实落实信息使用

10、和管理的相关责任，才能确保数据安全。（2）攻击和窃密是终端安全的外部原因攻击和窃密是终端安全的外部原因，计算机系统存在缺陷或漏洞、，计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。外因通过内因起作用，内因是决系统配置不当是终端安全的内部原因。外因通过内因起作用，内因是决定因素，通过实施终端安全核心配置，对操作系统等系统软件和常用软定因素，通过实施终端安全核心配置，对操作系统等系统软件和常用软件进行安全配置，提高系统自身安全性，减少系统安全漏洞，降低对第件进行安全配置，提高系统自身安全性，减少系统安全漏洞，降低对第三方工具技术的依赖，真正提高终端安全防护的自主性。三方工具技术的依赖，

11、真正提高终端安全防护的自主性。（3）国家应尽快建立政府终端安全保障基础设施国家应尽快建立政府终端安全保障基础设施，形成从中央到地方多，形成从中央到地方多级部署，覆盖全国各级政府部门的终端安全管理应用支撑环境，实现对级部署，覆盖全国各级政府部门的终端安全管理应用支撑环境，实现对全国政务终端的统一安全管理和安全状态监测，掌握终端安全态势，提全国政务终端的统一安全管理和安全状态监测，掌握终端安全态势，提高运行管理效率，保障国家信息安全。高运行管理效率，保障国家信息安全。（4）国家应加强对信息安全市场的监督管理，国家应加强对信息安全市场的监督管理，尽快出台有关信息安全、尽快出台有关信息安全、软件行为、

12、信息采集及隐私保护方面的法律法规，规范商业竞争，维护软件行为、信息采集及隐私保护方面的法律法规，规范商业竞争，维护广大用户的合法权益，促进国内安全厂商和信息安全产业的良性发展。广大用户的合法权益，促进国内安全厂商和信息安全产业的良性发展。（来源：国家信息中心（来源：国家信息中心 李新友李新友 刘蓓刘蓓 蔡军霞蔡军霞 许涛许涛 刘帅）刘帅）前言前言为什么实行等保为什么实行等保一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系法规法规 行政法规行政法规中华人民共和国计算机信息系统安全中华人民共和国计算机信息系统安全保护条例保护条例 1997 1997年国务院行政法规，规定计算机信息系统实

13、行安全年国务院行政法规，规定计算机信息系统实行安全等级保护。等级保护。 地方法规地方法规广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例 20072007年广东地方法规，系统规定了等级保护，并设置了年广东地方法规，系统规定了等级保护，并设置了法律责任法律责任一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系规范性文件规范性文件 国家国家 关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见 2004 2004年公安部、保密局、密码委、信息办联合发文，初步年公安部、保密局、密码委、信息办联合发文，初步规定了信息安全等级保护工作的指导思想、原则、要求规定了

14、信息安全等级保护工作的指导思想、原则、要求 信息安全等级保护管理办法信息安全等级保护管理办法 2007 2007年公安部、保密局、密码委、信息办联合发文，系统年公安部、保密局、密码委、信息办联合发文，系统规定了信息安全等级保护制度规定了信息安全等级保护制度一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系公安机关信息安全等级保护检查工作规范（试行） 公安部十一局2008年颁发，规范监督检查工作的具体要求。信息安全等级保护备案工作实施细则 公安部十一局2008年颁发一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系规范性文件规范性文件 地方地方 广东省公安厅关于计算机信息系统

15、安全保护的实施办法广东省公安厅关于计算机信息系统安全保护的实施办法 2008 2008年广东省公安厅（经省政府法制办审查通过）发布年广东省公安厅（经省政府法制办审查通过）发布 关于贯彻关于贯彻 和和 的通的通知知 2008 2008年广东省公安厅网警总队印发年广东省公安厅网警总队印发广东省信息安全等级保护备案工作实施细则（试行）广东省信息安全等级保护备案工作实施细则（试行） 20082008年广东省公安厅网警总队印发年广东省公安厅网警总队印发标准标准 系统定级系统定级 信息系统安全保护等级定级指南信息系统安全保护等级定级指南（国家推荐性标准）（国家推荐性标准） 安全保护安全保护 信息系统安全等

16、级保护基本要求信息系统安全等级保护基本要求（国家推荐性标准）（国家推荐性标准） 信息系统安全等级保护实施指南信息系统安全等级保护实施指南 信息系统安全等级保护安全设计技术要求信息系统安全等级保护安全设计技术要求 检测评估检测评估 信息系统安全等级保护基本要求信息系统安全等级保护基本要求 信息系统安全等级保护测评要求信息系统安全等级保护测评要求 监督检查监督检查 信息系统安全等级保护监督检查要求信息系统安全等级保护监督检查要求一、一、信息安全等级保护的制度体系信息安全等级保护的制度体系标准标准 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则（GB17859GB17859-

17、-19991999） 信息安全技术信息安全技术 网络基础安全技术要求网络基础安全技术要求 信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求 信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求 信息安全技术信息安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求 信息安全技术信息安全技术 服务器技术要求服务器技术要求 信息安全技术信息安全技术 终端计算机系统安全等级技术要求终端计算机系统安全等级技术要求一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系原则原则来源：来源：关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施

18、意见信息安全等级保护制度遵循以下基本原则：信息安全等级保护制度遵循以下基本原则：一是明确责任，共同保护一是明确责任，共同保护二是依照标准，自行保护二是依照标准，自行保护三是同步建设，动态调整三是同步建设，动态调整四是指导监督，保护重点四是指导监督，保护重点二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求 明确责任，共同保护明确责任，共同保护 通过等级保护，组织和动员职能部门、法人和其他组织、通过等级保护，组织和动员职能部门、法人和其他组织、公民共同参与信息安全保护工作；各方主体按照规范和标公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任

19、准分别承担相应的、明确具体的信息安全保护责任。 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求 依照标准，自行保护依照标准，自行保护 国家运用强制性的规范及标准，要求信息和信息系统按照国家运用强制性的规范及标准，要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护相应的建设和管理要求，自行定级、自行保护。 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求 同步建设，动态调整。同步建设，动态调整。 信息系统在新建、改建、扩建时应当同步建设信息安全设信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系施，保障信息安

20、全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级。等级保护准的要求，重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订况适时修订。 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求 指导监督，重点保护指导监督，重点保护 国家指定信息安全监管职能部门通过备案、指

21、导、检查、国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护督促整改等方式，对重要信息和信息系统的信息安全保护工作进行指导监督。工作进行指导监督。 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求主要内容主要内容来源：来源：信息安全等级保护管理办法信息安全等级保护管理办法国家通过制定统一的信息安全等级保护管理规范和技术标准，国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。护，对等级保护工作

22、的实施进行监督、管理。 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求职责分工职责分工 公安机关公安机关负责信息安全等级保护工作的监督、检查、指负责信息安全等级保护工作的监督、检查、指导。导。 国家保密工作部门国家保密工作部门负责等级保护工作中有关保密工作的负责等级保护工作中有关保密工作的监督、检查、指导。监督、检查、指导。 国家密码管理部门国家密码管理部门负责等级保护工作中有关密码工作的负责等级保护工作中有关密码工作的监督、检查、指导监督、检查、指导。 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 在信息安全等级保护工作中，涉及其他职能部门管在信息安全等级保护工

23、作中，涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。进行管理。 国务院信息化工作办公室及地方信息化领导小组办事机国务院信息化工作办公室及地方信息化领导小组办事机构构负责信息安全等级保护工作中部门间的协调。负责信息安全等级保护工作中部门间的协调。 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求 信息系统的主管部门应当依照相关规范和标准督促、信息系统的主管部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级

24、保护工作。单位的信息安全等级保护工作。 信息系统运营、使用单位应当按照等级保护的管理规范信息系统运营、使用单位应当按照等级保护的管理规范和相关标准规范履行信息安全等级保护的义务和责任。和相关标准规范履行信息安全等级保护的义务和责任。二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求 省公安厅、省国家保密局、省国家密码管理局、省信息化省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组领导小组办公室联合成立信息安全等级保护工作协调小组各行业主管部门要成立行业信息安全等级保护工作小组各行业主管部门要成立行业信息安全等级保护工作小组各地级以上

25、市参照成立相应工作机制各地级以上市参照成立相应工作机制重要信息系统运营使用单位成立信息安全等级保护工作组重要信息系统运营使用单位成立信息安全等级保护工作组 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求公安机关职责内容公安机关职责内容 指导信息系统运营使用单位及其主管部门确定系指导信息系统运营使用单位及其主管部门确定系统安全保护等级。统安全保护等级。 指导信息安全等级保护的建设、整改和管理。指导信息安全等级保护的建设、整改和管理。 接受信息系统安全保护等级的备案。接受信息系统安全保护等级的备案。 定期对受理备案的信息系统安全保护状况依法进定期对受理备案的信息系统安全保护状况依法进

26、行监督、检查。行监督、检查。 对安全保护等级为第三级以上信息系统选择使用对安全保护等级为第三级以上信息系统选择使用信息安全产品的情况进行监督管理。信息安全产品的情况进行监督管理。 对信息安全等级保护检测评估服务机构的监督管对信息安全等级保护检测评估服务机构的监督管理。理。 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求各个环节各个环节 组织开展调查摸底组织开展调查摸底 合理确定保护等级合理确定保护等级 依法履行备案手续依法履行备案手续 开展安全建设整改开展安全建设整改 组织系统安全测评组织系统安全测评 加强日常测评自查加

27、强日常测评自查 加强安全监督检查加强安全监督检查 组织开展调查摸底组织开展调查摸底 各信息系统主管部门、运营使用单位组织开展对所属各信息系统主管部门、运营使用单位组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构以及系统建设规划业务类型、应用或服务范围、系统结构以及系统建设规划等基本情况，为开展信息安全等级保护工作打下基础等基本情况，为开展信息安全等级保护工作打下基础。二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求 合理确定保护等级合理确定保护等级（信息化项目立项前）（信息化项目立项

28、前） 来源和依据：来源和依据：信息安全等级保护管理办法信息安全等级保护管理办法、广东省计算机信息系统安广东省计算机信息系统安全保护条例全保护条例，信息安全等级保护实施指南信息安全等级保护实施指南、信息系统安全等级保护信息系统安全等级保护定级指南定级指南 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求 定级标准定级标准：计算机信息系统安全保护等级根据计算机计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统在国家安全、经济建设、社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、社会秩序、公共计算机信息系统受到破坏后对国家安全、社会

29、秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五级：因素确定，分为五级： 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求（一）计算机信息系统受到破坏后，可能对公民、法人和其一）计算机信息系统受到破坏后，可能对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益的，序和公共利益的，为第一级为第一级； 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求（二）计算机信息系统受到破坏后，可能对公民、法人和其二）计算机信息系统受到

30、破坏后，可能对公民、法人和其他组织的合法权益产生严重损害，或者可能对社会秩序和他组织的合法权益产生严重损害，或者可能对社会秩序和公共利益造成损害，但不损害国家安全的公共利益造成损害，但不损害国家安全的，为第二级；为第二级； 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求（三（三）计算机信息系统受到破坏后，可能对社会秩序和公）计算机信息系统受到破坏后，可能对社会秩序和公共利益造成严重损害，或者可能对国家安全造成损害的，共利益造成严重损害，或者可能对国家安全造成损害的，为第三级为第三级； 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求（四）计算机信息系统受到破坏后，可能

31、对社会秩序和公共四）计算机信息系统受到破坏后，可能对社会秩序和公共利益造成特别严重损害，或者可能对国家安全造成严重损利益造成特别严重损害，或者可能对国家安全造成严重损害的，为害的，为第四级第四级；（五）计算机信息系统受到破坏后，可能对国家安全造成特（五）计算机信息系统受到破坏后，可能对国家安全造成特别严重损害的，为别严重损害的，为第五级。第五级。 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求定级程序：定级程序：信息系统运营、使用单位信息系统运营、使用单位应应当依照相关规定和标准和行业指当依照相关规定和标准和行业指导意见导意见确定信息系统的安全保护等级。有主管部门的，应确定信息系

32、统的安全保护等级。有主管部门的，应当经主管部门审核批准。当经主管部门审核批准。跨省或者全国跨省或者全国统一联网运行的信息系统可以由主管部门统统一联网运行的信息系统可以由主管部门统一一确定安全保护等级。确定安全保护等级。对拟确定为第四级以上信息系统的，运营、使用单位或者主对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。管部门应当请国家信息安全保护等级专家评审委员会评审。 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求定级注意事项一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统

33、。中小学中的信息系统。二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。四级信息系统：适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。二、信息安全

34、等级保护的工作要求二、信息安全等级保护的工作要求 在申报系统新建、改建、扩建立项时在申报系统新建、改建、扩建立项时须同时向立项审批部门提交定级报告须同时向立项审批部门提交定级报告。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 依法履行备案手续依法履行备案手续 来源和依据：来源和依据：信息安全等级保护管理办法信息安全等级保护管理办法、广东省计算机信息系统安广东省计算机信息系统安全保护条例全保护条例，广东省信息安全等级保护备案工作实施细则（试行），广东省信息安全等级保护备案工作实施细则（试行） 、信信息安全等级保护备案实施细则息安全等级保护备案实施细则 、信息安全等级保护实施指南信

35、息安全等级保护实施指南二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 备案时限。已运营（运行）的第二级以上信息系统，已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后应当在安全保护等级确定后3030日内，由其运营、使用单位日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统，在通过信息化项目立项后，新建第二级以上信息系统，在通过信息化项目立项后，由其运营、使用单位在由其运营、使用单位在3030日内到所在地设区的市级以上公日内到所在地设区的市级以上公安机关办理备案手续。安机关办理备案手续。

36、 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 补充备案。补充备案。第三级以上信息系统还应当在系统整改、测评第三级以上信息系统还应当在系统整改、测评完成后完成后3030日内补交日内补交备案表备案表表四及其有关材料表四及其有关材料。 变更备案变更备案。备案表备案表所载事项发生变更，备案单位应所载事项发生变更，备案单位应当自变更之日起当自变更之日起3030日内重新填写日内重新填写备案表备案表报公安机关网报公安机关网监部门备案。其中，变更事项涉及监部门备案。其中，变更事项涉及备案证明备案证明的，公机的，公机关网监部门应当重新颁布关网监部门应当重新颁布备案证明备案证明。 二、信息安全等

37、级保护的工作要求二、信息安全等级保护的工作要求 书面填写书面填写信息系统安全等级保护备案表信息系统安全等级保护备案表 一式两份。可填一式两份。可填WORDWORD文档，再打印输出，附上附件。文档，再打印输出，附上附件。 利用备案工具填写利用备案工具填写。涉密系统填写涉密系统填写涉及国家秘密的信息系统分级保护备案表涉及国家秘密的信息系统分级保护备案表，向，向保密部门备案。保密部门备案。备案表填写注意事项备案表填写注意事项 信息系统安全等级保护备案表信息系统安全等级保护备案表 WORD WORD文档和备案工具文档和备案工具及其他相关材料可到及其他相关材料可到广东网警广东网警网站网站信息安全等级保护

38、栏目下载。信息安全等级保护栏目下载。备案表填写注意事项备案表填写注意事项信息系统安全等级保护备案表信息系统安全等级保护备案表补充说明补充说明 一、表一一、表一0404行政区划代码行政区划代码可到可到广东网警广东网警网站信息安全等级保护栏目下载网站信息安全等级保护栏目下载广东行广东行政区划代码政区划代码查询。查询。二、表一二、表一0808隶属关系隶属关系1 1省直国家机关、省政府直属的企业、事业单位，国资委省直国家机关、省政府直属的企业、事业单位，国资委管理的企业选管理的企业选“2 2省省( (自治区、直辖市自治区、直辖市)”)”。2 2省直部门下设的企业、事业单位选省直部门下设的企业、事业单位

39、选“9 9其他其他 ”，再在横线上注明是哪个部门下设的企业、事业单位。再在横线上注明是哪个部门下设的企业、事业单位。备案表填写注意事项备案表填写注意事项 三、表二三、表二0707关键产品使用情况的部分使用及使用率关键产品使用情况的部分使用及使用率使用率：软件按产品的种类来计，硬件按件数来计。使用率：软件按产品的种类来计，硬件按件数来计。四、表三四、表三0606是否有主管部门是否有主管部门1 1企业、事业单位有主管部门的应履行相关报批手续，选企业、事业单位有主管部门的应履行相关报批手续，选“有有”。2 2国家机关可选国家机关可选“无无”，但在实际操作中可征求上级部门，但在实际操作中可征求上级部门

40、意见；如本系统内部有规定明确要经上级部门审批的，意见；如本系统内部有规定明确要经上级部门审批的，应履行审批手续。应履行审批手续。 备案表填写注意事项备案表填写注意事项 管辖原则。管辖原则。 备案管辖分工采取级别管辖和属地管辖相结合。备案管辖分工采取级别管辖和属地管辖相结合。 中央在京单位。隶属于中央的在京单位，其跨省或者全国统一中央在京单位。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北京市公安局公息网络安全监察局受理备案，其他信息系统由北京市公安局公

41、共信息网络安全监察部门受理备案。共信息网络安全监察部门受理备案。 中央驻粤及省直国有单位。隶属中央或省的驻穗国有单位的中央驻粤及省直国有单位。隶属中央或省的驻穗国有单位的信息系统，信息系统，由省公安厅网警总队受理备案由省公安厅网警总队受理备案。上述单位在各地运。上述单位在各地运行、维护的分支系统由其在各地的分支机构报所在地地级以上行、维护的分支系统由其在各地的分支机构报所在地地级以上市公安机关网监部门备案。市公安机关网监部门备案。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求办理信息系统安全保护等级备案手续时，应当填写办理信息系统安全保护等级备案手续时，应当填写信息系统安信息系统

42、安全等级保护备案表全等级保护备案表，第三级以上信息系统应当同时提供以第三级以上信息系统应当同时提供以下材料：下材料：（一）系统拓扑结构及说明；（一）系统拓扑结构及说明；（二）系统安全组织机构和管理制度；（二）系统安全组织机构和管理制度；（三）系统安全保护设施设计实施方案或者改建实施方案；（三）系统安全保护设施设计实施方案或者改建实施方案； （四）系统使用的信息安全产品清单及其认证、销售许可证明；（四）系统使用的信息安全产品清单及其认证、销售许可证明； （五）测评后符合系统安全保护等级的技术检测评估报告；（五）测评后符合系统安全保护等级的技术检测评估报告；（六）信息系统安全保护等级专家评审意见；

43、（六）信息系统安全保护等级专家评审意见；（七）主管部门审核批准信息系统安全保护等级的意见。（七）主管部门审核批准信息系统安全保护等级的意见。 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 备案申请备案申请 办理备案手续，应当到公安机关指定网址下载信息安全等级办理备案手续，应当到公安机关指定网址下载信息安全等级保护备案软件，利用该软件填写生成保护备案软件，利用该软件填写生成信息系统安全等级保信息系统安全等级保护备案表护备案表（简称（简称备案表备案表，下同）表一、表二、表三纸，下同）表一、表二、表三纸质质WORDWORD格式文档一式两份和电子数据（格式文档一式两份和电子数据（RAR

44、RAR格式），并准格式），并准备好相关附件（一式两份），向公安机关网监部门提出备案备好相关附件（一式两份），向公安机关网监部门提出备案申请申请。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求实质审查实质审查。对于通过形式审查的单位，公安网监部门应当在对于通过形式审查的单位，公安网监部门应当在1010个工作日内对个工作日内对下列内容进行审查：下列内容进行审查：1 1备案表备案表项目填写是否完整，是否符合要求，纸质材料和项目填写是否完整，是否符合要求，纸质材料和电子数据是否一致；电子数据是否一致； 2 2信息系统所定安全保护等级是否准确信息系统所定安全保护等级是否准确。二、信息安全等

45、级保护的工作要求二、信息安全等级保护的工作要求审查结论审查结论。对符合要求的对符合要求的，公安机关网监部门应当在公安机关网监部门应当在备案表备案表加盖公加盖公共信息网络安全监察专用章并将其中一份反馈备案单位，并共信息网络安全监察专用章并将其中一份反馈备案单位，并出具出具信息系统安全等级保护备案证明信息系统安全等级保护备案证明（以下简称（以下简称备案备案证明证明）。）。备案证明备案证明由公安部统一监制。由公安部统一监制。对不符合要求的对不符合要求的，公安网监部门应当出具公安网监部门应当出具信息系统安全信息系统安全等级保护备案审核结果通知等级保护备案审核结果通知，通知备案单位进行整改。其，通知备案

46、单位进行整改。其中，对定级不准的备案单位，在通知整改的同时，应当建议中，对定级不准的备案单位，在通知整改的同时，应当建议备案单位重新定级。（七）主管部门审核批准信息系统安全备案单位重新定级。（七）主管部门审核批准信息系统安全保护等级的意见保护等级的意见。 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 运营、使用单位或者其主管部门重新确定计算机信息系统等运营、使用单位或者其主管部门重新确定计算机信息系统等级的，应当按照本条例向公安机关重新备案级的，应当按照本条例向公安机关重新备案。 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 法律责任法律责任 广东省计算机信息系

47、统安全保护条例广东省计算机信息系统安全保护条例规定，计算机信息规定，计算机信息系统的运营、使用单位没有向地级市以上人民政府公安机关系统的运营、使用单位没有向地级市以上人民政府公安机关备案的，或者违反本条例第三十六条规定，接到公安机关要备案的，或者违反本条例第三十六条规定，接到公安机关要求整改的通知后拒不按要求整改的，由公安机关处以警告或求整改的通知后拒不按要求整改的，由公安机关处以警告或者停机整顿者停机整顿。 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 开展安全建设整改开展安全建设整改 来源和依据：来源和依据：信息安全等级保护管理办法信息安全等级保护管理办法、广东省计算机信息

48、系统安全广东省计算机信息系统安全保护条例保护条例，信息安全等级保护实施指南信息安全等级保护实施指南、信息系统安全等级保护基信息系统安全等级保护基本要求本要求等等二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 运营、使用单位应当按照国家信息安全等级保护管理运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作统安全建设或者改建工作。 计算机信息系统规划、设计、建设和维护应当同步落计算机信

49、息系统规划、设计、建设和维护应当同步落实相应的安全措施实相应的安全措施二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 在信息系统建设过程中，运营、使用单位应当按照在信息系统建设过程中，运营、使用单位应当按照计算计算机信息系统安全保护等级划分准则机信息系统安全保护等级划分准则（GB17859-GB17859-19991999）、）、信息系统安全等级保护基本要求信息系统安全等级保护基本要求等技术标等技术标准，参照准，参照信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求（GB/T20271-2006GB/T20271-2006）、）、信息安全技术信息安全技术

50、网络基础安全网络基础安全技术要求技术要求（GB/T20270-2006GB/T20270-2006）、）、信息安全技术信息安全技术 操操作系统安全技术要求作系统安全技术要求（GB/T20272-2006GB/T20272-2006）、）、信息信息安全技术安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求（GB/T20273-2006GB/T20273-2006）、）、信息安全技术信息安全技术 服务器技术要服务器技术要求求、信息安全技术信息安全技术 终端计算机系统安全等级技术要终端计算机系统安全等级技术要求求（GA/T671-2006GA/T671-2006）等技术标准同步建设符合该

51、等）等技术标准同步建设符合该等级要求的信息安全设施。级要求的信息安全设施。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 运营、使用单位应当参照运营、使用单位应当参照信息安全技术信息安全技术 信息系统安信息系统安全管理要求全管理要求（GB/T20269-2006GB/T20269-2006）、）、信息安全技信息安全技术术 信息系统安全工程管理要求信息系统安全工程管理要求（GB/T20282-GB/T20282-20062006）、）、信息系统安全等级保护基本要求信息系统安全等级保护基本要求等管理等管理规范，制定并落实符合本系统安全保护等级要求的安全规范，制定并落实符合本系统安全保

52、护等级要求的安全管理制度管理制度。 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求通过委托等保测评机构进行测评、风险评估等方式分析整改需通过委托等保测评机构进行测评、风险评估等方式分析整改需求，或者委托等保技术支持单位、安全服务机构（须已参加安求，或者委托等保技术支持单位、安全服务机构（须已参加安全服务机构从业人员培训班并取得信息网络安全专业技术人员全服务机构从业人员培训班并取得信息网络安全专业技术人员继续教育证书）提供咨询等方式对照有关标准了解系统安全保继续教育证书）提供咨询等方式对照有关标准了解系统安全保护现状以及与相应等级保护要求的差距，分析整改需求。护现状以及与相应等级保

53、护要求的差距，分析整改需求。制订安全整改方案。制订安全整改方案。落实安全整改技术措施和完善安全管理制度落实安全整改技术措施和完善安全管理制度。已投入使用的系统已投入使用的系统 在实施项目时，要同步设计、同步建设等级保护措在实施项目时，要同步设计、同步建设等级保护措施施。 对照相应等级的安全保护要求，制订安全建设方案对照相应等级的安全保护要求，制订安全建设方案。 落实安全技术措施和制订安全管理制度。落实安全技术措施和制订安全管理制度。新建系统新建系统 组织系统安全测评组织系统安全测评 来源和依据：来源和依据：信息安全等级保护管理办法信息安全等级保护管理办法、广东省计算机信息系统安广东省计算机信息

54、系统安全保护条例全保护条例、广东省信息安全等级测评工作细则广东省信息安全等级测评工作细则，信息安全等级保信息安全等级保护实施指南护实施指南、信息系统安全等级保护测评准则信息系统安全等级保护测评准则等等二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 信息系统建设完成后，二级以上信息系统建设完成后，二级以上的信息系统的的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评运营使用单位应当选择符合国家规定的测评机构进行测评（在系统试运行阶段）合格方可投入使用。已投入运行信（在系统试运行阶段）合格方可投入使用。已投入运行信息系统在完成系统整改后也应当进行测评。经测评，信息息系统在

55、完成系统整改后也应当进行测评。经测评，信息系统安全状况未达到安全保护等级要求的，运营使用单位系统安全状况未达到安全保护等级要求的，运营使用单位应当制定方案进行整改。应当制定方案进行整改。 电子政务信息系统均应测评合格方可投入电子政务信息系统均应测评合格方可投入使用使用。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 测评程序测评程序 计算机信息系统运营、使用单位委托安全测评机构测评，计算机信息系统运营、使用单位委托安全测评机构测评，应当提交下列资料：应当提交下列资料： （一）（一）安全测评委托书安全测评委托书； （二）（二）计算机信息系统应用需求计算机信息系统应用需求、系统结构拓

56、扑及说明、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。案或者改建实施方案、系统软件硬件和信息安全产品清单。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求安全测评机构在收到委托材料后，应当与委托方协商制订安安全测评机构在收到委托材料后，应当与委托方协商制订安全测评计划，开展安全测评工作，并出具安全测评报告。全测评计划，开展安全测评工作，并出具安全测评报告。经测评，计算机信息系统安全状况未达到国家有关规定和标经测评，计算机信息系统安全状况未达到国家有关规定和

57、标准的要求的，委托单位应当根据测评报告的建议，完善计准的要求的，委托单位应当根据测评报告的建议，完善计算机信息系统安全建设，并重新提出安全测评委托。算机信息系统安全建设，并重新提出安全测评委托。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求测评机构对计算机信息系统进行使用前安全测评，应当预先测评机构对计算机信息系统进行使用前安全测评，应当预先报告地级以上市公安机关公共信息网络安全监察部门。报告地级以上市公安机关公共信息网络安全监察部门。安全测评报告由计算机信息系统运营、使用单位报地级以上安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。市公安

58、机关公共信息网络安全监察部门。还须报送还须报送信息系统安全等级保护备案信息系统安全等级保护备案表二，表四（三级表二，表四（三级以上系统，含三级）以上系统，含三级）。 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 法律责任法律责任 广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例规定，第二级规定，第二级以上计算机信息系统的运营、使用单位计算机信息系统投以上计算机信息系统的运营、使用单位计算机信息系统投入使用前未经符合国家规定的安全等级测评机构测评合格入使用前未经符合国家规定的安全等级测评机构测评合格的的 ，由公安机关责令限期改正，给予警告；逾期不改的，由公安机关责

59、令限期改正，给予警告；逾期不改的，对单位的主管人员、其他直接责任人员可以处五千元以下对单位的主管人员、其他直接责任人员可以处五千元以下罚款，对单位可以处一万五千元以下罚款。有违法所得的，罚款，对单位可以处一万五千元以下罚款。有违法所得的，没收违法所得；情节严重的，并给予六个月以内的停止联没收违法所得；情节严重的，并给予六个月以内的停止联网、停机整顿的处罚；必要时公安机关可以建议原许可机网、停机整顿的处罚；必要时公安机关可以建议原许可机构撤销许可或者取消联网资格。构撤销许可或者取消联网资格。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 加强日常测评自查加强日常测评自查 来源和依据

60、：来源和依据：信息安全等级保护管理办法信息安全等级保护管理办法、广东省计算机信息系统安广东省计算机信息系统安全保护条例全保护条例、广东省信息安全等级测评工作细则广东省信息安全等级测评工作细则，信息安全等级保信息安全等级保护实施指南护实施指南、信息系统安全等级保护测评准则信息系统安全等级保护测评准则二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 计算机信息系统的运营、使用单位及其主管部门应当按照计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评，并对国家规定定期对计算机信息系统开展安全等级测评，并对计算机信息系统安全状况、安全管理制度及措