數(shù)據(jù)中心信息安全法規(guī)辦法
為加強數(shù)據(jù)中心的數(shù)據(jù)安全和保密管理,保障數(shù)據(jù)中心的數(shù)據(jù)安全,現(xiàn)依據(jù)國家有關(guān)法律法規(guī)和政策,針對當(dāng)前安全保密管理工作中可能存在的問題和薄弱環(huán)節(jié),制定本辦法。
一、?按照“誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)”的原則,各部門在其職責(zé)范圍內(nèi),負(fù)責(zé)本單位計算機信息系統(tǒng)的安全和保密管理。
二、?各單位應(yīng)當(dāng)明確一名主要領(lǐng)導(dǎo)負(fù)責(zé)計算機信息系統(tǒng)安全和保密工作,指定一個工作機構(gòu)具體負(fù)責(zé)計算機信息系統(tǒng)安全和保密綜合管理。各部門內(nèi)設(shè)機構(gòu)應(yīng)當(dāng)指定一名信息安全保密員。?
三、?要加強對與互聯(lián)網(wǎng)聯(lián)接的信息網(wǎng)絡(luò)的管理,采取有效措施,防止違規(guī)接入,防范外部攻擊,并留存互聯(lián)網(wǎng)訪問日志。
四、?計算機的使用管理應(yīng)當(dāng)符合下列要求:
1.?對計算機及軟件安裝情況進行登記備案,定期核查;
2.?設(shè)置開機口令,長度不得少于8個字符,并定期更換,防止口令被盜;
3.?安裝防病毒等安全防護軟件,并及時進行升級;及時更新操作系統(tǒng)補丁程序;
4.?不得安裝、運行、使用與工作無關(guān)的軟件;
5.?嚴(yán)禁同一計算機既上互聯(lián)網(wǎng)又處理涉密信息;
6.?嚴(yán)禁使用含有無線網(wǎng)卡、無線鼠標(biāo)、無線鍵盤等具有無線互聯(lián)功能的設(shè)備處理涉密信息;
7.?嚴(yán)禁將涉密計算機帶到與工作無關(guān)的場所。
五、?移動存儲設(shè)備的使用管理應(yīng)當(dāng)符合下列要求:
1.?實行登記管理;
2.?移動存儲設(shè)備不得在涉密信息系統(tǒng)和非涉密信息系統(tǒng)間交叉使用,涉密移動存儲設(shè)備不得在非涉密信息系統(tǒng)中使用;
3.?移動存儲設(shè)備在接入本單位計算機信息系統(tǒng)之前,應(yīng)當(dāng)查殺病毒、木馬等惡意代碼;
4.?鼓勵采用密碼技術(shù)等對移動存儲設(shè)備中的信息進行保護;
5.?嚴(yán)禁將涉密存儲設(shè)備帶到與工作無關(guān)的場所。
六、?數(shù)據(jù)復(fù)制操作管理應(yīng)當(dāng)符合下列要求:
1.?將互聯(lián)網(wǎng)上的信息復(fù)制到處理內(nèi)部信息的系統(tǒng)時,應(yīng)當(dāng)采取嚴(yán)格的技術(shù)防護措施,查殺病毒、木馬等惡意代碼,嚴(yán)防病毒等傳播;
2.?嚴(yán)格限制從互聯(lián)網(wǎng)向涉密信息系統(tǒng)復(fù)制數(shù)據(jù)。確需復(fù)制的,應(yīng)當(dāng)嚴(yán)格按照國家有關(guān)保密標(biāo)準(zhǔn)執(zhí)行;
3.?不得使用移動存儲設(shè)備從涉密計算機向非涉密計算機復(fù)制數(shù)據(jù)。確需復(fù)制的,應(yīng)當(dāng)采取嚴(yán)格的保密措施,防止泄密;
4.?復(fù)制和傳遞涉密電子文檔,應(yīng)當(dāng)嚴(yán)格按照復(fù)制和傳遞同等密級紙質(zhì)文件的有關(guān)規(guī)定辦理。
七、?處理內(nèi)部信息的計算機及相關(guān)設(shè)備在變更用途時,應(yīng)當(dāng)使用能夠有效刪除數(shù)據(jù)的工具刪除存儲部件中的內(nèi)部信息。
八、?涉密計算機及相關(guān)設(shè)備不再用于處理涉密信息或不再使用時,應(yīng)當(dāng)將涉密信息存儲部件拆除或及時銷毀。涉密信息存儲部件的銷毀必須按照涉密載體銷毀要求進行。
九、?加強對計算機使用人員的管理,開展經(jīng)常性的保密教育培訓(xùn),提高計算機使用人員的安全和保密意識與技能。
十、?各單位應(yīng)當(dāng)與重點崗位的計算機使用人員簽訂安全保密責(zé)任書,明確安全和保密要求與責(zé)任。
十一、?計算機使用人員離崗離職,有關(guān)部門應(yīng)當(dāng)即時取消其計算機信息系統(tǒng)訪問授權(quán),收回計算機、移動存儲設(shè)備等相關(guān)物品。
十二、?各單位要加強對本單位計算機信息系統(tǒng)安全和保密管理情況的監(jiān)督,定期開展檢查,發(fā)現(xiàn)問題及時糾正。
十三、?定期檢查重點
1.?系統(tǒng)安全運行情況。
檢查各個信息系統(tǒng)運行情況。綜合業(yè)務(wù)網(wǎng)絡(luò)殺毒軟件更新、運行情況;外網(wǎng)辦公用計算機病毒查殺情況;操作系統(tǒng)和軟件使用情況是否安全;是否存在內(nèi)外網(wǎng)混用情況;終端機是否開啟安全防護措施。
2.?安全管理情況。
A.?信息安全主管領(lǐng)導(dǎo)、信息安全管理部門、信息安全工作人員履職以及崗位責(zé)任情況等。
(1)?信息安全主管領(lǐng)導(dǎo)明確及工作落實情況。
是否有領(lǐng)導(dǎo)分工等相關(guān)文件,是否明確了信息安全主管領(lǐng)導(dǎo),檢查信息安全相關(guān)工作批示和會議記錄等文件,了解主管領(lǐng)導(dǎo)工作落實情況。
(2)?信息安全管理部門指定及工作落實情況。
檢查部門分工文件,是否指定了信息安全管理部門。是否制定了工作計劃、工作方案、管理規(guī)章制度、監(jiān)督檢查記錄等文件,檢查管理部門工作落實情況。
(3)?信息安全工作人員配備及工作落實情況。
檢查人員列表、崗位職責(zé)分工等文件,是否配備了信息安全工作人員。
B.?日常安全管理制度建立和落實情況。
檢查人員管理、設(shè)備管理、運行維護管理情況。
(1)?人員管理制度。
檢查人員管理制度文件,是否有崗位信息安全責(zé)任,人員離崗離職管理、外部人員來訪管理等制度。檢查人員離崗離職管理落實情況。
(2)?設(shè)備管理制度。
檢查設(shè)備管理制度等文件。是否有設(shè)備發(fā)放、使用、維修、維護和報廢等相關(guān)制度,是否明確了相關(guān)管理責(zé)任人。硬件設(shè)備登記情況,包括PC機,路由器,交換機及其他主要設(shè)備。檢查《計算機硬件設(shè)備登記簿》。
(3)?運行維護管理制度。
檢查是否建立了運行維護管理等相關(guān)制度文件,是否包含事故處理記錄、數(shù)據(jù)維護情況等相關(guān)內(nèi)容。檢查運維操作手冊和運維相關(guān)記錄,檢查是否有事故處理記錄、數(shù)據(jù)維護記錄、運行維護管理制度落實情況及相關(guān)記錄完整性。
3.?技術(shù)防護情況。
檢查所有接入互聯(lián)網(wǎng)的計算機設(shè)備是否安裝了最新的殺毒軟件和病毒防火墻,統(tǒng)計網(wǎng)絡(luò)外連的出口個數(shù),是否每個出口都進行了安全措施。檢查網(wǎng)點路由器、交換機等設(shè)備配置是否合理,是否啟用了有效的身份控制、訪問控制功能。
4.?應(yīng)急處理及容災(zāi)備份情況。
重點檢查應(yīng)急預(yù)案、應(yīng)急演練和災(zāi)備措施情況。檢查應(yīng)急預(yù)案制定和修訂情況。檢查應(yīng)急演練人員對預(yù)案的熟悉程度。檢查冗余設(shè)備情況。
十四、?加強整改落實
各部門要切實做好整改工作,對檢查中發(fā)現(xiàn)的問題,要及時進行研究,采取有效措施加以整改。因條件不具備不能立即整改的,要制定整改計劃、整改方案及整改時間表,并采取臨時防范措施,確保網(wǎng)絡(luò)與信息系統(tǒng)安全正常運行。要舉一反三,在同類系統(tǒng)、同類設(shè)備中排查類似問題,切實提高信息系統(tǒng)安全防護水平。
十五、?加強風(fēng)險控制
各部門在開展安全檢查工作時,要明確相關(guān)工作紀(jì)律并嚴(yán)格執(zhí)行。要識別檢查中的安全風(fēng)險,周密制定應(yīng)急預(yù)案,強化風(fēng)險控制措施,明確發(fā)生重大安全問題時的處置流程,確保被檢查信息系統(tǒng)的正常運行。
十六、?加強保密管理
各單位要高度重視保密工作,指定專人負(fù)責(zé),對檢查活動、檢查實施人員以及相關(guān)文檔和數(shù)據(jù)進行嚴(yán)格管理,確保檢查工作中涉及到的商業(yè)秘密得到有效控制;對檢查人員進行保密培訓(xùn),確保檢查工作中獲知的信息不被泄露,檢查數(shù)據(jù)和檢查結(jié)果不向外透露。
十七、?各單位應(yīng)當(dāng)建立健全政府信息保密審查機制,明確審查的程序和責(zé)任,并明確一名機關(guān)行政負(fù)責(zé)人分管保密審查工作,指定機構(gòu)負(fù)責(zé)保密審查的日常工作。各單位開展保密審查時應(yīng)履行審查審批手續(xù)。
十八、?數(shù)據(jù)中心信息安全保密審查,應(yīng)當(dāng)以《保密法》及其實施辦法等有關(guān)法律、法規(guī)的規(guī)定及由中央國家機關(guān)和國家保密局制定的《國家秘密及其密級具體范圍的規(guī)定》(以下簡稱《保密范圍》)為依據(jù)。
十九、?各單位不得開放涉及國家秘密、商業(yè)秘密、個人隱私的下列政府信息:
1.?依照國家保密范圍和定密規(guī)定,明確標(biāo)識為“秘密”、“機密”、“絕密”的信息;
2.?雖未標(biāo)識,但內(nèi)容涉及國家秘密、商業(yè)秘密、個人隱私的信息;
3.?依照規(guī)定需經(jīng)國家和有關(guān)主管部門批準(zhǔn)開放,而未獲批準(zhǔn)的信息。
4.?其他開放后可能危及國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的信息。
二十、?各單位的業(yè)務(wù)機構(gòu)在政府信息接入數(shù)據(jù)中心時、審簽時標(biāo)明是否屬于保密事項;在進行保密審查時,負(fù)責(zé)保密審查工作的機構(gòu)和人員應(yīng)當(dāng)提出“主動公開”、“不予公開”、“依申請開放”等審查意見,并注明其依據(jù)和理由。
二十一、?各單位可以在數(shù)據(jù)中心查看本單位的數(shù)據(jù)以及其他單位公開的數(shù)據(jù);如果要查看需要申請開放的數(shù)據(jù),需要提出申請,審查通過后即可查看數(shù)據(jù),審核不通過后不能查看數(shù)據(jù)。數(shù)據(jù)開放的審核及授權(quán)由有關(guān)主管部門或者同級保密工作部門負(fù)責(zé)。
二十二、?數(shù)據(jù)中心的數(shù)據(jù)由九次方公司保障信息安全。
二十三、?不同單位共同形成的政府信息開放給其他單位時,應(yīng)由主辦的單位負(fù)責(zé)開放前的保密審查,并以文字形式征得其他機關(guān)單位同意后方可予以開放。
二十四、?各單位對政府信息是否可以開放不明確時,在征求政府信息制作或者獲取單位保密組織機構(gòu)的意見后,報有關(guān)主管部門或者同級保密工作部門確定。
二十五、?已確定為國家秘密但已超過保密期限并擬開放的政府信息,單位應(yīng)在保密審查確認(rèn)能夠開放后,按保密規(guī)定辦理解密手續(xù),再予以開放。
二十六、?擬開放的政府信息中含有部分涉密內(nèi)容的,應(yīng)當(dāng)按照有關(guān)規(guī)定對國家秘密內(nèi)容采取刪除、變更等方式進行非密處理,采取屬于國家秘密的部分不予開放、其余部分開放的方法處理。
二十七、?單位及其工作人員有下列情形之一的,應(yīng)當(dāng)追究政府信息開放工作過錯責(zé)任:
1.?未按照規(guī)定的開放范圍和期限主動提供政府信息,以及不及時更新本單位的政府信息的;
2.?對應(yīng)當(dāng)提供的政府信息不提供及提供虛假政府信息的;
3.?未建立健全保密審查機制,不履行保密審查義務(wù)的,或者違反政府信息開放工作程序,開放不應(yīng)當(dāng)開放的政府信息的;
4.?違反規(guī)定收取費用或者通過其他組織、個人以有償服務(wù)方式提供政府信息的;
5.?違反政府信息開放有關(guān)規(guī)定的其他行為。
違反上述有關(guān)規(guī)定的單位,視情況給予責(zé)令作出書面檢查、通報批評處理。
二十八、?無正當(dāng)理由,在規(guī)定期限內(nèi)不依法履行保密審查職責(zé),從而影響政府信息發(fā)布的,由監(jiān)察機關(guān)、上一級單位責(zé)令改正;情節(jié)嚴(yán)重的,對單位直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。
二十九、?單位違反有關(guān)規(guī)定,開放涉及國家秘密的政府信息,造成泄密事件的,依照有關(guān)規(guī)定對單位直接負(fù)責(zé)保密審查的主管人員和直接責(zé)任人給予處分;情節(jié)嚴(yán)重構(gòu)成犯罪的,按照《刑法》、《保密法》及其實施辦法的有關(guān)規(guī)定,依法追究刑事責(zé)任。
三十、?對違反有關(guān)規(guī)定的單位直接責(zé)任人員、直接負(fù)責(zé)的主管人員和主要負(fù)責(zé)人,視情追究政府信息開放工作過錯責(zé)任。責(zé)任追究方式為:
1.?責(zé)令改正;
2.?誡勉談話;
3.?責(zé)令作出書面檢查;
4.?通報批評;
5.?調(diào)離工作崗位。
以上追究方式可以單獨或合并使用;情節(jié)嚴(yán)重的,視情給予辭退、責(zé)令辭職或免職處理;需要依法給予處分的,依照《單位公務(wù)員處分條例》予以處理;構(gòu)成犯罪的,依法追究刑事責(zé)任。
三十一、?有關(guān)責(zé)任人員包括:
1.?不依法履行職責(zé),對造成的影響或者后果負(fù)直接責(zé)任的政府信息開放工作人員;
2.?不依法履行職責(zé),對造成的影響或者后果負(fù)直接領(lǐng)導(dǎo)責(zé)任的主管政府信息開放工作的領(lǐng)導(dǎo);
3.?不依法履行職責(zé),對造成的影響或者后果負(fù)全面領(lǐng)導(dǎo)責(zé)任的單位主要領(lǐng)導(dǎo)。
三十二、?政府信息開放工作過錯責(zé)任人有下列情形之一的,應(yīng)當(dāng)從重處理:
1.?推卸、轉(zhuǎn)嫁責(zé)任的;
2.?干擾、妨礙調(diào)查處理,或者不采取補救措施,致使損失或者不良影響發(fā)生或者擴大的;
3.?造成重大經(jīng)濟損失或者嚴(yán)重不良社會影響的;
4.?一年內(nèi)出現(xiàn)兩次以上應(yīng)予追究責(zé)任的情形的;
5.?打擊、報復(fù)對信息開放工作進行投訴和申訴的公民、法人或其他組織的;
6.?不依法履行政府信息開放義務(wù),被復(fù)議機關(guān)或?qū)徟袡C關(guān)確認(rèn)違法的;
7.?法律、法規(guī)、規(guī)章規(guī)定的其他情形。
三十三、?政府信息開放工作過錯責(zé)任人有下列情形之一的,可以從輕或者免予處理:
1.?問題或過錯發(fā)生后,主動配合調(diào)查處理的;
2.?及時改正錯誤的;
3.?主動采取措施,有效避免或者挽回?fù)p失,或者有效避免社會不良影響發(fā)生或者擴大的;
4.?法律、法規(guī)、規(guī)章規(guī)定的其他情形。
三十四、?單位的政府信息開放工作過錯責(zé)任追究,由同級監(jiān)察機關(guān)或其上一級單位實施。監(jiān)察機關(guān)和上一級單位應(yīng)加強溝通協(xié)商,及時對違反規(guī)定的單位作出處理。單位工作人員的政府信息開放工作過錯責(zé)任追究,由本單位負(fù)責(zé),但按照人事管理權(quán)限不屬于本單位管理的除外。政府信息開放工作過錯責(zé)任追究機構(gòu)應(yīng)當(dāng)依照法律、法規(guī)和管理權(quán)限的有關(guān)規(guī)定,對政府信息開放工作過錯行為進行調(diào)查和處理,必要時可以聯(lián)合調(diào)查處理。
三十五、?實施責(zé)任追究,應(yīng)當(dāng)充分聽取有關(guān)責(zé)任人員的陳述和申辯。有關(guān)責(zé)任人員對處理決定不服的,可以向作出處理決定的機關(guān)申請復(fù)核,也可以直接向作出處理決定機關(guān)的上一級機關(guān)或者監(jiān)察機關(guān)提出申訴。
篇2:信息安全等級保護管理辦法
第一章總則
第一條
為規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設(shè),根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī),制定本辦法。
第二條
國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。
第三條
公安機關(guān)負(fù)責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負(fù)責(zé)等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負(fù)責(zé)等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項,由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負(fù)責(zé)等級保護工作的部門間協(xié)調(diào)。
第四條
信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范,督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。
第五條
信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范,履行信息安全等級保護的義務(wù)和責(zé)任。
第二章等級劃分與保護
第六條
國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。
第七條
信息系統(tǒng)的安全保護等級分為以下五級:
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。
第八條
信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進行保護,國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。
第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。
第二級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導(dǎo)。
第三級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。
第四級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。
第五級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。
第三章等級保護的實施與管理
第九條
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。
第十條
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的,應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。
跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。
對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護等級專家評審委員會評審。
第十一條
信息系統(tǒng)的安全保護等級確定后,運營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者改建工作。
第十二條
在信息系統(tǒng)建設(shè)過程中,運營、使用單位應(yīng)當(dāng)按照《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(GB17859-1999)、《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標(biāo)準(zhǔn),參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求》(GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。
第十三條
運營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》(GB/T20269-2006)、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范,制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。
第十四條
信息系統(tǒng)建設(shè)完成后,運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機構(gòu),依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行等級測評。
信息系統(tǒng)運營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次自查,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次自查,第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行自查。
經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達到安全保護等級要求的,運營、使用單位應(yīng)當(dāng)制定方案進行整改。
第十五條
已運營(運行)的第二級以上信息系統(tǒng),應(yīng)當(dāng)在安全保護等級確定后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。
新建第二級以上信息系統(tǒng),應(yīng)當(dāng)在投入運行后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。
隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。
第十六條
辦理信息系統(tǒng)安全保護等級備案手續(xù)時,應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級保護備案表》,第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料:
(一)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明;
(二)系統(tǒng)安全組織機構(gòu)和管理制度;
(三)系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案;
(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明;
(五)測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告;
(六)信息系統(tǒng)安全保護等級專家評審意見;
(七)主管部門審核批準(zhǔn)信息系統(tǒng)安全保護等級的意見。
第十七條
信息系統(tǒng)備案后,公安機關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明;發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正;發(fā)現(xiàn)定級不準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。
運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后,應(yīng)當(dāng)按照本辦法向公安機關(guān)重新備案。
第十八條
受理備案的公安機關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次,對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查,應(yīng)當(dāng)會同其主管部門進行。
對第五級信息系統(tǒng),應(yīng)當(dāng)由國家指定的專門部門進行檢查。
公安機關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項進行檢查:
(一)信息系統(tǒng)安全需求是否發(fā)生變化,原定保護等級是否準(zhǔn)確;
(二)運營、使用單位安全管理制度、措施的落實情況;
(三)運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況;
(四)系統(tǒng)安全等級測評是否符合要求;
(五)信息安全產(chǎn)品使用是否符合要求;
(六)信息系統(tǒng)安全整改情況;
(七)備案材料與運營、使用單位、信息系統(tǒng)的符合情況;
(八)其他應(yīng)當(dāng)進行監(jiān)督檢查的事項。
第十九條
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo),如實向公安機關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護的信息資料及數(shù)據(jù)文件:
(一)信息系統(tǒng)備案事項變更情況;
(二)安全組織、人員的變動情況;
(三)信息安全管理制度、措施變更情況;
(四)信息系統(tǒng)運行狀況記錄;
(五)運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄;
(六)對信息系統(tǒng)開展等級測評的技術(shù)測評報告;
(七)信息安全產(chǎn)品使用的變更情況;
(八)信息安全事件應(yīng)急預(yù)案,信息安全事件應(yīng)急處置結(jié)果報告;
(九)信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。
第二十條
公安機關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的,應(yīng)當(dāng)向運營、使用單位發(fā)出整改通知。運營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行整改。整改完成后,應(yīng)當(dāng)將整改報告向公安機關(guān)備案。必要時,公安機關(guān)可以對整改情況組織檢查。
第二十一條
第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品:
(一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨立的法人資格;
(二)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán);
(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;
(四)產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能;
(五)對國家安全、社會秩序、公共利益不構(gòu)成危害;
(六)對已列入信息安全產(chǎn)品認(rèn)證目錄的,應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機構(gòu)頒發(fā)的認(rèn)證證書。
第二十二條
第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級保護測評機構(gòu)進行測評:
(一)在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外);
(二)由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外);
(三)從事相關(guān)檢測評估工作兩年以上,無違法記錄;
(四)工作人員僅限于中國公民;
(五)法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;
(六)使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求;
(七)具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度;
(八)對國家安全、社會秩序、公共利益不構(gòu)成威脅。
第二十三條
從事信息系統(tǒng)安全等級測評的機構(gòu),應(yīng)當(dāng)履行下列義務(wù):
(一)遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn),提供安全、客觀、公正的檢測評估服務(wù),保證測評的質(zhì)量和效果;
(二)保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范測評風(fēng)險;
(三)對測評人員進行安全保密教育,與其簽訂安全保密責(zé)任書,規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,并負(fù)責(zé)檢查落實。
第四章涉密信息系統(tǒng)的分級保護管理
第二十四條
涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護的基本要求,按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實際情況進行保護。
非涉密信息系統(tǒng)不得處理國家秘密信息。
第二十五條
涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個等級。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標(biāo)準(zhǔn)BMB17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng),各安全域可以分別確定保護等級。
保密工作部門和機構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進行系統(tǒng)定級。
第二十六條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級和建設(shè)使用情況,及時上報業(yè)務(wù)主管部門的保密工作機構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查、指導(dǎo)。
第二十七條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計與實施。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn),按照秘密、機密、絕密三級的不同要求,結(jié)合系統(tǒng)實際進行方案設(shè)計,實施分級保護,其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。
第二十八條
涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品,并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機構(gòu)依據(jù)有關(guān)國家保密標(biāo)準(zhǔn)進行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。
第二十九條
涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后,應(yīng)當(dāng)向保密工作部門提出申請,由國家保密局授權(quán)的系統(tǒng)測評機構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)BMB22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》,對涉密信息系統(tǒng)進行安全保密測評。
涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前,應(yīng)當(dāng)按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》,向設(shè)區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批,涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設(shè)使用單位在按照分級保護要求完成系統(tǒng)整改后,應(yīng)當(dāng)向保密工作部門備案。
第三十條
涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時,應(yīng)當(dāng)提交以下材料:
(一)系統(tǒng)設(shè)計、實施方案及審查論證意見;
(二)系統(tǒng)承建單位資質(zhì)證明材料;
(三)系統(tǒng)建設(shè)和工程監(jiān)理情況報告;
(四)系統(tǒng)安全保密檢測評估報告;
(五)系統(tǒng)安全保密組織機構(gòu)和管理制度情況;
(六)其他有關(guān)材料。
第三十一條
涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時,其建設(shè)使用單位應(yīng)當(dāng)及時向負(fù)責(zé)審批的保密工作部門報告。保密工作部門應(yīng)當(dāng)根據(jù)實際情況,決定是否對其重新進行測評和審批。
第三十二條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》,加強涉密信息系統(tǒng)運行中的保密管理,定期進行風(fēng)險評估,消除泄密隱患和漏洞。
第三十三條
國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理,并做好以下工作:
(一)指導(dǎo)、監(jiān)督和檢查分級保護工作的開展;
(二)指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密,合理確定系統(tǒng)保護等級;
(三)參與涉密信息系統(tǒng)分級保護方案論證,指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計;
(四)依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理;
(五)嚴(yán)格進行系統(tǒng)測評和審批工作,監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級保護管理制度和技術(shù)措施的落實情況;
(六)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評,對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評;
(七)了解掌握各級各類涉密信息系統(tǒng)的管理使用情況,及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。
第五章信息安全等級保護的密碼管理
第三十四條
國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級保護準(zhǔn)則。
信息系統(tǒng)運營、使用單位采用密碼進行等級保護的,應(yīng)當(dāng)遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。
第三十五條
信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等,應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。
第三十六條
信息系統(tǒng)運營、使用單位應(yīng)當(dāng)充分運用密碼技術(shù)對信息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的,應(yīng)報經(jīng)國家密碼管理局審批,密碼的設(shè)計、實施、使用、運行維護和日常管理等,應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行;采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的,須遵守《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn),其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機構(gòu)備案。
第三十七條
運用密碼技術(shù)對信息系統(tǒng)進行系統(tǒng)等級保護建設(shè)和整改的,必須采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進行安全保護,不得采用國外引進或者擅自研制的密碼產(chǎn)品;未經(jīng)批準(zhǔn)不得采用含有加密功能的進口信息技術(shù)產(chǎn)品。
第三十八條
信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認(rèn)可的測評機構(gòu)承擔(dān),其他任何部門、單位和個人不得對密碼進行評測和監(jiān)控。
第三十九條
各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達到密碼相關(guān)標(biāo)準(zhǔn)要求的,應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進行處置。
第六章法律責(zé)任
第四十條
第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定,有下列行為之一的,由公安機關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正;逾期不改正的,給予警告,并向其上級主管部門通報情況,建議對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理,并及時反饋處理結(jié)果:
(一)未按本辦法規(guī)定備案、審批的;
(二)未按本辦法規(guī)定落實安全管理制度、措施的;
(三)未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的;
(四)未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的;
(五)接到整改通知后,拒不整改的;
(六)未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的;
(七)未按本辦法規(guī)定如實提供有關(guān)文件和證明材料的;
(八)違反保密管理規(guī)定的;
(九)違反密碼管理規(guī)定的;
(十)違反本辦法其他規(guī)定的。
違反前款規(guī)定,造成嚴(yán)重?fù)p害的,由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。
第四十一條
信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中,玩忽職守、濫用職權(quán)、徇私舞弊的,依法給予行政處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第七章附則
第四十二條
已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級;新建信息系統(tǒng)在設(shè)計、規(guī)劃階段確定安全保護等級。
第四十三條
本辦法所稱“以上”包含本數(shù)(級)。
第四十四條
本辦法自發(fā)布之日起施行,《信息安全等級保護管理辦法(試行)》(公通字[2006]7號)同時廢止。