信息安全等级保护制度介绍.资料分享

信息安全等级保护制度介绍一、开展信息安全等级保护工作的重要性和必要性信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准， 组织公民、法人和其他组织对信息系统分等级实行安全保护， 对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中， 提高信息安全保障能力和水平， 维护国家安全、社会稳定和公共利益， 保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度， 能够充分调动国家、 法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、 统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。二、信息安全等级保护相关法律和文件1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。三、工作分工和组织协调（一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、 检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、 检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。 国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。（二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组， 负责信息安全等级保护工作的组织部署， 由省公安厅主管网监工作的领导任组长， 省国家保密局、省国家密码管理局、 省信息化领导小组办公室主管领导任副组长。 办公室设在省公安厅网警总队， 负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组， 组织本系统和行业的信息安全等级保护工作。 各地级以上市参照成立相应工作机制。 重要信息系统运营使用单位成立信息安全等级保护工作组，负责组织本单位的信息系统安全等级保护工作。四、信息安全等级保护等级划分和监管方式（一）信息系统的安全保护等级应当根据信息系统在国家安全、 经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后， 会对公民、法人和其他组织的合法权益造成损害， 但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后， 会对社会秩序和公共利益造成严重损害， 或者对国家安全造成损害。第四级，信息系统受到破坏后， 会对社会秩序和公共利益造成特别严重损害， 或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。（二）信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护， 国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、 使用单位应当依据国家有关管理规范和技术标准进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、 使用单位应当依据国家有关管理规范和技术标准进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、 使用单位应当依据国家有关管理规范、 技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、 检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。五、信息安全等级保护制度的原则信息安全等级保护的核心是对信息安全分等级、 按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则：（一）明确责任，共同保护。通过等级保护，组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。（二）依照标准，自行保护。国家运用强制性的规范及标准， 要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护。（三）同步建设，动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。（四）指导监督，重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护工作进行指导监督。 国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统， 主要包括：国家事务处理信息系统（党政机关办公系统） ；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、 国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统； 网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。五、信息安全等级保护工作主要环节（一）组织开展调查摸底。各信息系统主管部门、运营使用单位组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构以及系统建设规划等基本情况，为开展信息安全等级保护工作打下基础。（二）合理确定保护等级。 各信息系统主管部门和运营使用单位要按照 《管理办法》和《信息系统安全等级保护定级指南》 ，确定定级对象的安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。 对拟确定为第四级以上信息系统的， 由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。（三）开展安全建设整改。各信息系统主管部门和运营使用单位应当根据确定的安全保护等级，对已有的信息系统按照等级保护的管理规范和技术标准，采购和使用相应等级要求的信息安全产品，落实安全技术措施，完成系统整改。对新建、改建、扩建的信息系统按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。（四）组织系统安全测评。信息系统建设完成后，运营使用单位应当依照《管理办法》选择符合要求的测评机构进行测评。已投入运行信息系统在完成系统整改后也应当进行测评。经测评，信息系统安全状况未达到安全保护等级要求的， 运营使用单位应当制定方案进行整改。承担第三级以上信息系统安全测评的机构由省公安厅根据 《管理办法》的有关规定予以推荐。（五）依法履行备案手续。信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门应当在系统投入运行后（新建系统）或确定等级后（已运营的系统）30日内到公安机关办理备案手续；鼓励第一级和第五级的信息系统到公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨地区或全省统一联网运行的信息系统由省级主管部门组织向省公安厅备案。跨地区、跨省或者全省、全国统一联网运行的信息系统在各地运行、应用的分支系统，向地级以上市公安局备案。涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定，到保密工作部门备案。（六）加强安全监督检查。 公安机关应当会同有关部门加强对信息系统的监督检查， 对未依法履行定级、备案手续的单位， 督促其限期改正。发现定级不准的，应当通知运营使用单位或其主管部门重新审核确定。 对安全措施不符合要求的， 要指导其落实整改措施。 各级保密工作部门加强对涉密信息系统安全等级保护工作的指导、 监督和检查。国家密码管理部门加强对信息安全等级保护密码管理。（七）建设技术支撑体系。省公安厅会同有关部门根据《管理办法》建立健全管理制度，向社会推荐一批符合要求的安全专用产品、安全测评机构。组织开展继续教育工作，加强对安全专业技术人员的培训，提高信息系统运营使用单位和主管部门以及安全专用产品研发机构、安全服务机构安全专业技术人员的技术和法律知识水平。-----------------------------------------------------------------------------------------------卫生管理制度1 总则1.1 为了加强公司的环境卫生管理，创造一个整洁、文明、温馨的购物、办公环境，根据《公共场所卫生管理条例》的要求，特制定本制度。1.2 集团公司的卫生管理部门设在企管部，并负责将集团公司的卫生区域详细划分到各部室，各分公司所辖区域卫生由分公司客服部负责划分，确保无遗漏。2 卫生标准2.1 室内卫生标准2.1.1 地面、墙面：无灰尘、无纸屑、无痰迹、无泡泡糖等粘合物、无积水，墙角无灰吊、无蜘蛛网。2.1.2 门、窗、玻璃、镜子、柱子、电梯、楼梯、灯具等，做到明亮、无灰尘、无污迹、无粘合物，特别是玻璃，要求两面明亮。2.1.3 柜台、货架：清洁干净，货架、柜台底层及周围无乱堆乱放现象、无灰尘、无粘合物，货架顶部、背部和底部干净，不存放杂物和私人物品。2.1.4 购物车（筐）、直接接触食品的售货工具（包括刀、叉等）：做到内外洁净，无污垢和粘合物等。购物车（筐）要求每天营业前简单清理，周五全面清理消毒；售货工具要求每天消毒，并做好记录。2.1.5 商品及包装：商品及外包装清洁无灰尘（外包装破损的或破旧的不得陈列）。2.1.6 收款台、服务台、办公橱、存包柜：保持清洁、无灰尘，台面和侧面无灰尘、无灰吊和蜘蛛网。桌面上不得乱贴、乱画、乱堆放物品，用具摆放有序且干净，除当班的购物小票收款联外，其它单据不得存放在桌面上。2.1.7 垃圾桶：桶内外干净，要求营业时间随时清理，不得溢出，每天下班前彻底清理，不得留有垃圾过夜。2.1.8 窗帘：定期进行清理，要求干净、无污渍。2.1.9 吊饰：屋顶的吊饰要求无灰尘、无蜘蛛网，短期内不适用的吊饰及时清理彻底。2.1.10 内、外仓库：半年彻底清理一次，无垃圾、无积尘、无蜘蛛网等。2.1.11 室内其他附属物及工作用具均以整洁为准，要求无灰尘、无粘合物等污垢。2.2 室外卫生标准2.2.1 门前卫生：地面每天班前清理，平时每一小时清理一次，每周四营业结束后有条件的用水冲洗地面（冬季可根据情况适当清理），墙面干净且无乱贴乱画。2.2.2 院落卫生：院内地面卫生全天保洁，果皮箱、消防器械、护栏及配电箱等设施每周清理干净。垃圾池周边卫生清理彻底，不得有垃圾溢出。2.2.3 绿化区卫生：做到无杂物、无纸屑、无塑料袋等垃圾。3 清理程序3.1 室内和门前院落等区域卫生：每天营业前提前10分钟把所管辖区域内卫生清理完毕，营业期间随时保洁。下班后5-10分钟清理桌面及卫生区域。3.2 绿化区卫生：每周彻底清理一遍，随时保持清洁无垃圾。4 管理考核4.1 实行百分制考核，每月一次（四个分公司由客服部分别考核、集团职能部室由企管部统一考核）。不符合卫生标准的，超市内每处扣0.5分，超市外每处扣1分。4.2 集团坚持定期检查和不定期抽查的方式监督各分公司、部门的卫生工作。每周五为卫生检查日，集团检查结果考核至各分公司，各分公司客服部的检查结果考核至各部门。4.3 集团公司每年不定期组织卫生大检查活动，活动期间的考核以通知为准。5 监督考核部门：企管部、分公司客服部。6 本制度自二0一五年九月一日起实施。信息安全等级保护制度介绍一、开展信息安全等级保护工作的重要性和必要性信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准， 组织公民、法人和其他组织对信息系统分等级实行安全保护， 对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中， 提高信息安全保障能力和水平， 维护国家安全、社会稳定和公共利益， 保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度， 能够充分调动国家、 法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、 统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。二、信息安全等级保护相关法律和文件1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。三、工作分工和组织协调（一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、 检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、 检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。 国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。（二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组， 负责信息安全等级保护工作的组织部署， 由省公安厅主管网监工作的领导任组长， 省国家保密局、省国家密码管理局、 省信息化领导小组办公室主管领导任副组长。 办公室设在省公安厅网警总队， 负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组， 组织本系统和行业的信息安全等级保护工作。 各地级以上市参照成立相应工作机制。 重要信息系统运营使用单位成立信息安全等级保护工作组，负责组织本单位的信息系统安全等级保护工作。四、信息安全等级保护等级划分和监管方式（一）信息系统的安全保护等级应当根据信息系统在国家安全、 经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后， 会对公民、法人和其他组织的合法权益造成损害， 但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后， 会对社会秩序和公共利益造成严重损害， 或者对国家安全造成损害。第四级，信息系统受到破坏后， 会对社会秩序和公共利益造成特别严重损害， 或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。（二）信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护， 国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、 使用单位应当依据国家有关管理规范和技术标准进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、 使用单位应当依据国家有关管理规范和技术标准进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、 使用单位应当依据国家有关管理规范、 技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、 检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。五、信息安全等级保护制度的原则信息安全等级保护的核心是对信息安全分等级、 按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则：（一）明确责任，共同保护。通过等级保护，组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。（二）依照标准，自行保护。国家运用强制性的规范及标准， 要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护。（三）同步建设，动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。（四）指导监督，重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护工作进行指导监督。 国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统， 主要包括：国家事务处理信息系统（党政机关办公系统） ；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、 国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统； 网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。五、信息安全等级保护工作主要环节（一）组织开展调查摸底。各信息系统主管部门、运营使用单位组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构以及系统建设规划等基本情况，为开展信息安全等级保护工作打下基础。（二）合理确定保护等级。 各信息系统主管部门和运营使用单位要按照 《管理办法》和《信息系统安全等级保护定级指南》 ，确定定级对象的安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。 对拟确定为第四级以上信息系统的， 由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。（三）开展安全建设整改。各信息系统主管部门和运营使用单