信息安全等级保护新版制度

1、第一条为规范信息安全级别保护管理，提高信息安全保障能力和 水平，维护国家安全、社会稳定和公共利益，保障和增进信 息化建设，根据中华人民共和国计算机信息系统安全保护 条例等有关法律法规，制定本措施。第二条国家通过制定统一日勺信息安全级别保护管理规范和技术 原则，组织公民、法人和其她组织对信息系统分级别实行安 全保护，对级别保护工作日勺实行进行监督、管理。第三条公安机关负责信息安全级别保护工作日勺监督、检查、指引。 国家保密工作部门负责级别保护工作中有关保密工作日勺监 督、检查、指引。国家密码管理部门负责级别保护工作中有 关密码工作日勺监督、检查、指引。波及其她职能部门管辖范 畴日勺事项，由有关职

2、能部门根据国家法律法规日勺规定进行管 理。国务院信息化工作办公室及地方信息化领导小组办事机 构负责级别保护工作日勺部门间协调。第四条信息系统主管部门应当根据本措施及有关原则规范，督 促、检查、指引本行业、本部门或者本地区信息系统运营、使用单位日勺信息安全级别保护工作。第五条信息系统日勺运营、使用单位应当根据本措施及其有关原则 规范，履行信息安全级别保护日勺义务和责任。第二章级别划分与保护第六条国家信息安全级别保护坚持自主定级、自主保护日勺原则。 信息系统日勺安全保护级别应当根据信息系统在国家安全、经 济建设、社会生活中日勺重要限度，信息系统遭到破坏后对国 家安全、社会秩序、公共利益以及公民、法

3、人和其她组织日勺 合法权益日勺危害限度等因素拟定。第七条信息系统日勺安全保护级别分为如下五级：第一级，信息系统受到破坏后，会对公民、法人和其她组 织日勺合法权益导致损害，但不损害国家安全、社会秩序和公 共利益。第二级，信息系统受到破坏后，会对公民、法人和其她组 织日勺合法权益产生严重损害，或者对社会秩序和公共利益导致损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益 导致严重损害，或者对国家安全导致损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益 导致特别严重损害，或者对国家安全导致严重损害。第五级，信息系统受到破坏后，会对国家安全导致特别严 重损害。第八条信息

4、系统运营、使用单位根据本措施和有关技术原则对信 息系统进行保护，国家有关信息安全监管部门对其信息安全 级别保护工作进行监督管理。第一级信息系统运营、使用单位应当根据国家有关管理规 范和技术原则进行保护。第二级信息系统运营、使用单位应当根据国家有关管理规 范和技术原则进行保护。国家信息安全监管部门对该级信息 系统信息安全级别保护工作进行指引。第三级信息系统运营、使用单位应当根据国家有关管理规 范和技术原则进行保护。国家信息安全监管部门对该级信息系统信息安全级别保护工作进行监督、检查。第四级信息系统运营、使用单位应当根据国家有关管理规 范、技术原则和业务专门需求进行保护。国家信息安全监管 部门对该

5、级信息系统信息安全级别保护工作进行强制监督、 检查。第五级信息系统运营、使用单位应当根据国家管理规范、 技术原则和业务特殊安全需求进行保护。国家指定专门部门 对该级信息系统信息安全级别保护工作进行专门监督、检 查。第三章级别保护的实行与管理第九条信息系统运营、使用单位应当按照信息系统安全级别保 护实行指南具体实行级别保护工作。第十条信息系统运营、使用单位应当根据本措施和信息系统安 全级别保护定级指南拟定信息系统日勺安全保护级别。有主 管部门日勺，应当经主管部门审核批准。跨省或者全国统一联网运营日勺信息系统可以由主管部门统一拟定安全保护级别。对拟拟定为第四级以上信息系统日勺，运营、使用单位或者

6、主管部门应当请国家信息安全保护级别专家评审委员会评 审。第十一条信息系统日勺安全保护级别拟定后，运营、使用单位应当按 照国家信息安全级别保护管理规范和技术原则，使用符合国 家有关规定，满足信息系统安全保护级别需求日勺信息技术产 品，开展信息系统安全建设或者改建工作。第十二条在信息系统建设过程中，运营、使用单位应当按照计算 机信息系统安全保护级别划分准则(GB17859-1999)、 信息系统安全级别保护基本规定等技术原则，参照信 息安全技术 信息系统通用安全技术规定(GB/T20271-)、信息安全技术 网络基本安全技术规定(GB/T20270-)、 信息安全技术 操作系统安全技术规定(GB/

7、T20272-)、 信息安全技术数据库管理系统安全技术规定(GB/T20273-)、信息安全技术 服务器技术规定、信 息安全技术终端计算机系统安全级别技术规定(GA/T671-)等技术原则同步建设符合该级别规定日勺信息安 全设施。第十三条运营、使用单位应当参照信息安全技术信息系统安全 管理规定(GB/T20269-)、信息安全技术 信息系统安 全工程管理规定(GB/T20282-)、信息系统安全级别保 护基本规定等管理规范，制定并贯彻符合本系统安全保护 级别规定日勺安全管理制度。第十四条信息系统建设完毕后，运营、使用单位或者其主管部门应 当选择符合本措施规定条件日勺测评机构，根据信息系统安 全

8、级别保护测评规定等技术原则，定期对信息系统安全级 别状况开展级别测评。第三级信息系统应当每年至少进行一 次级别测评，第四级信息系统应当每半年至少进行一次级别 测评，第五级信息系统应当根据特殊安全需求进行级别测 评。信息系统运营、使用单位及其主管部门应当定期对信息系 统安全状况、安全保护制度及措施日勺贯彻状况进行自查。第 三级信息系统应当每年至少进行一次自查，第四级信息系统 应当每半年至少进行一次自查，第五级信息系统应当根据特 殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护级别 规定日勺，运营、使用单位应当制定方案进行整治。第十五条已运营（运营）或新建日勺第二级以上信息系统，应当在安 全保护级别拟定后30日内，由其运营、使用单位到所在地 设区日勺市级以上公安机关办理备案手续。从属于中央日勺在京单位，其跨省或者全国统一联网运营并 由主管部门统一定级日勺信息系统，由主管部门向公安部办理 备案手续。跨省或者全国统一联网运营日勺信息