信息安全等级保护管理办法

信息安全等级保护管理办法第一章总则第一条目的为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。第二条适用范围本办法适用于在中华人民共和国境内运营中收集、存储、传输、处理和使用公民、法人和其他组织的信息系统，以及与之相关的网络设施和数据资源。第三条定义1.信息系统：指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。2.等级保护：指对信息系统分等级实行安全保护，根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，将信息系统划分为不同等级，采取相应的安全保护技术和管理措施。第四条原则信息安全等级保护坚持自主定级、自主保护的原则。信息系统运营、使用单位应当依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督、检查和指导。第二章等级划分与保护要求第五条等级划分信息系统的安全保护等级分为以下五级：1.第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。2.第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。3.第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。4.第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。5.第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。第六条各等级保护要求1.第一级：基本要求：具备基本的安全保护能力，能够防护系统免受一般的安全威胁。技术要求：包括网络安全、主机安全、应用安全、数据安全等方面的基本防护措施。管理要求：建立基本的安全管理制度，明确安全责任，进行日常的安全检查和维护。2.第二级：基本要求：在第一级基础上，具有较强的安全保护能力，能够防护系统免受较大的安全威胁。技术要求：加强网络安全防护，提高主机和应用系统的安全性，保障数据的完整性和保密性。管理要求：完善安全管理制度，加强人员安全管理，定期进行安全评估和整改。3.第三级：基本要求：具有较高的安全保护能力，能够有效防护系统免受重大安全威胁。技术要求：采用多种安全技术手段，构建多层次的安全防护体系，确保系统的可靠性、完整性和保密性。管理要求：建立健全的安全管理体系，加强安全策略制定和实施，开展应急响应演练。4.第四级：基本要求：具有很强的安全保护能力，能够抵御严重的安全威胁。技术要求：运用先进的安全技术，实施全方位的安全防护，具备容灾备份等高级安全功能。管理要求：强化安全管理，制定严格的安全策略和操作规程，确保安全管理措施的有效执行。5.第五级：基本要求：具有最高级别的安全保护能力，能够抵御国家级别的安全威胁。技术要求：采用最先进的安全技术，构建高度安全可靠的防护体系，具备严格的访问控制和数据加密等措施。管理要求：实行严格的安全管理制度，由专门的安全管理团队负责安全保障工作，确保系统处于绝对安全状态。第三章等级保护工作流程第七条定级1.信息系统运营、使用单位应当依据本办法和相关标准，自行确定信息系统的安全保护等级。2.确定为第二级（含）以上信息系统的运营、使用单位，应当在确定后30日内，到所在地设区的市级以上公安机关办理备案手续。3.公安机关收到备案材料后，应当在10个工作日内对备案材料的完整性进行审查，符合要求的，予以备案；不符合要求的，书面通知备案单位并说明理由。第八条备案1.备案材料包括：信息系统定级报告，包括系统概述、信息安全状况、业务信息安全或系统服务安全分析、定级情况说明等。信息系统安全保护基本方案，包括安全策略、安全技术措施、安全管理措施等。信息系统安全保护建设整改计划，包括整改目标、整改内容、整改进度安排等。信息系统安全保护等级测评报告，由具备相应资质的测评机构出具。信息系统安全管理制度，包括人员安全管理、安全审计、应急响应等制度。2.运营、使用单位应当按照公安机关的要求，及时补充完善备案材料。第九条建设整改1.运营、使用单位应当依据信息系统的安全保护等级要求，按照国家有关规定和标准，进行信息系统的安全建设和整改。2.安全建设整改应当优先选择使用符合国家有关规定和标准的信息安全产品。3.运营、使用单位应当定期对信息系统的安全状况进行自查，发现问题及时整改。第十条等级测评1.信息系统运营、使用单位应当定期委托具备相应资质的测评机构对信息系统进行安全等级测评。2.第二级信息系统应当每年进行一次等级测评，第三级信息系统应当每两年进行一次等级测评，第四级信息系统应当每半年进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。3.测评机构应当按照国家有关规定和标准，客观、公正地出具测评报告，并对测评结果负责。第十一条监督检查1.公安机关应当依法对信息系统运营、使用单位的等级保护工作进行监督检查。2.监督检查内容包括：定级备案情况、安全建设整改情况、等级测评情况、安全管理制度落实情况等。3.公安机关在监督检查中发现问题的，应当及时下达整改通知书，要求运营、使用单位限期整改。运营、使用单位应当按照要求进行整改，并将整改情况报告公安机关。第四章信息安全等级保护测评机构管理第十二条资质条件1.测评机构应当具备以下条件：具有独立法人资格。有固定的工作场所和必要的测评设备。有熟悉信息安全等级保护测评标准和方法的专业技术人员。有完善的信息安全等级保护测评管理制度和质量保证体系。2.测评机构应当按照国家有关规定，取得相应的资质证书。第十三条申请与审批1.测评机构应当向所在地省级公安机关提出资质申请，并提交相关材料。2.省级公安机关应当在收到申请材料后20个工作日内进行初审，初审合格的，报公安部审批；初审不合格的，书面通知申请机构并说明理由。3.公安部应当在收到省级公安机关报送的初审意见和申请材料后20个工作日内进行审批，审批合格的，颁发资质证书；审批不合格的，书面通知申请机构并说明理由。第十四条监督管理1.公安部负责对全国测评机构进行监督管理，省级公安机关负责对本行政区域内测评机构进行监督管理。2.公安机关应当定期对测评机构的工作质量进行检查，发现问题的，责令其限期整改；情节严重的，吊销其资质证书。3.测评机构应当按照国家有关规定和标准，开展等级测评工作，并对测评结果负责。第五章法律责任第十五条运营、使用单位责任1.运营、使用单位违反本办法规定，有下列情形之一的，由公安机关责令限期改正；逾期不改正的，给予警告，并可以根据情节轻重处以五千元以上三万元以下罚款：未按照本办法规定确定信息系统安全保护等级的。未按照本办法规定进行备案的。未按照本办法规定开展安全建设整改的。未按照本办法规定进行等级测评的。未按照本办法规定落实安全管理制度的。2.运营、使用单位违反本办法规定，导致信息系统安全事故的，由公安机关责令改正，给予警告；造成严重后果的，依法追究相关人员的法律责任。第十六条测评机构责任1.测评机构违反本办法规定，有下列情形之一的，由公安机关责令限期改正；逾期不改正的，给予警告，并可以根据情节轻重处以五千元以上三万元以下罚款：未按照本办法规定取得资质证书开展测评工作的。未按照国家有关规定和标准进行测评的。出具虚假测评报告的。2.测评机构违反本办法规定，导致信息系统安全事故的，由公安机关责令改正，给予警告；造成严重后果的，依法追究相关人员的法律责任。第十七条其他责任1.违反本办法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。2.公安机关工作人员在信息安全等级保护管理工作中滥用职权、玩忽职守、徇私舞弊的，依法给予处分；构成犯罪的，依法追究刑事责任。第六章附则第十八条解释权本办法由公安部负责解释。第十九条实施日