數(shù)據(jù)中心信息安全法規(guī)辦法
為加強(qiáng)數(shù)據(jù)中心的數(shù)據(jù)安全和保密管理,保障數(shù)據(jù)中心的數(shù)據(jù)安全,現(xiàn)依據(jù)國(guó)家有關(guān)法律法規(guī)和政策,針對(duì)當(dāng)前安全保密管理工作中可能存在的問(wèn)題和薄弱環(huán)節(jié),制定本辦法。
一、?按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的原則,各部門在其職責(zé)范圍內(nèi),負(fù)責(zé)本單位計(jì)算機(jī)信息系統(tǒng)的安全和保密管理。
二、?各單位應(yīng)當(dāng)明確一名主要領(lǐng)導(dǎo)負(fù)責(zé)計(jì)算機(jī)信息系統(tǒng)安全和保密工作,指定一個(gè)工作機(jī)構(gòu)具體負(fù)責(zé)計(jì)算機(jī)信息系統(tǒng)安全和保密綜合管理。各部門內(nèi)設(shè)機(jī)構(gòu)應(yīng)當(dāng)指定一名信息安全保密員。?
三、?要加強(qiáng)對(duì)與互聯(lián)網(wǎng)聯(lián)接的信息網(wǎng)絡(luò)的管理,采取有效措施,防止違規(guī)接入,防范外部攻擊,并留存互聯(lián)網(wǎng)訪問(wèn)日志。
四、?計(jì)算機(jī)的使用管理應(yīng)當(dāng)符合下列要求:
1.?對(duì)計(jì)算機(jī)及軟件安裝情況進(jìn)行登記備案,定期核查;
2.?設(shè)置開(kāi)機(jī)口令,長(zhǎng)度不得少于8個(gè)字符,并定期更換,防止口令被盜;
3.?安裝防病毒等安全防護(hù)軟件,并及時(shí)進(jìn)行升級(jí);及時(shí)更新操作系統(tǒng)補(bǔ)丁程序;
4.?不得安裝、運(yùn)行、使用與工作無(wú)關(guān)的軟件;
5.?嚴(yán)禁同一計(jì)算機(jī)既上互聯(lián)網(wǎng)又處理涉密信息;
6.?嚴(yán)禁使用含有無(wú)線網(wǎng)卡、無(wú)線鼠標(biāo)、無(wú)線鍵盤等具有無(wú)線互聯(lián)功能的設(shè)備處理涉密信息;
7.?嚴(yán)禁將涉密計(jì)算機(jī)帶到與工作無(wú)關(guān)的場(chǎng)所。
五、?移動(dòng)存儲(chǔ)設(shè)備的使用管理應(yīng)當(dāng)符合下列要求:
1.?實(shí)行登記管理;
2.?移動(dòng)存儲(chǔ)設(shè)備不得在涉密信息系統(tǒng)和非涉密信息系統(tǒng)間交叉使用,涉密移動(dòng)存儲(chǔ)設(shè)備不得在非涉密信息系統(tǒng)中使用;
3.?移動(dòng)存儲(chǔ)設(shè)備在接入本單位計(jì)算機(jī)信息系統(tǒng)之前,應(yīng)當(dāng)查殺病毒、木馬等惡意代碼;
4.?鼓勵(lì)采用密碼技術(shù)等對(duì)移動(dòng)存儲(chǔ)設(shè)備中的信息進(jìn)行保護(hù);
5.?嚴(yán)禁將涉密存儲(chǔ)設(shè)備帶到與工作無(wú)關(guān)的場(chǎng)所。
六、?數(shù)據(jù)復(fù)制操作管理應(yīng)當(dāng)符合下列要求:
1.?將互聯(lián)網(wǎng)上的信息復(fù)制到處理內(nèi)部信息的系統(tǒng)時(shí),應(yīng)當(dāng)采取嚴(yán)格的技術(shù)防護(hù)措施,查殺病毒、木馬等惡意代碼,嚴(yán)防病毒等傳播;
2.?嚴(yán)格限制從互聯(lián)網(wǎng)向涉密信息系統(tǒng)復(fù)制數(shù)據(jù)。確需復(fù)制的,應(yīng)當(dāng)嚴(yán)格按照國(guó)家有關(guān)保密標(biāo)準(zhǔn)執(zhí)行;
3.?不得使用移動(dòng)存儲(chǔ)設(shè)備從涉密計(jì)算機(jī)向非涉密計(jì)算機(jī)復(fù)制數(shù)據(jù)。確需復(fù)制的,應(yīng)當(dāng)采取嚴(yán)格的保密措施,防止泄密;
4.?復(fù)制和傳遞涉密電子文檔,應(yīng)當(dāng)嚴(yán)格按照復(fù)制和傳遞同等密級(jí)紙質(zhì)文件的有關(guān)規(guī)定辦理。
七、?處理內(nèi)部信息的計(jì)算機(jī)及相關(guān)設(shè)備在變更用途時(shí),應(yīng)當(dāng)使用能夠有效刪除數(shù)據(jù)的工具刪除存儲(chǔ)部件中的內(nèi)部信息。
八、?涉密計(jì)算機(jī)及相關(guān)設(shè)備不再用于處理涉密信息或不再使用時(shí),應(yīng)當(dāng)將涉密信息存儲(chǔ)部件拆除或及時(shí)銷毀。涉密信息存儲(chǔ)部件的銷毀必須按照涉密載體銷毀要求進(jìn)行。
九、?加強(qiáng)對(duì)計(jì)算機(jī)使用人員的管理,開(kāi)展經(jīng)常性的保密教育培訓(xùn),提高計(jì)算機(jī)使用人員的安全和保密意識(shí)與技能。
十、?各單位應(yīng)當(dāng)與重點(diǎn)崗位的計(jì)算機(jī)使用人員簽訂安全保密責(zé)任書(shū),明確安全和保密要求與責(zé)任。
十一、?計(jì)算機(jī)使用人員離崗離職,有關(guān)部門應(yīng)當(dāng)即時(shí)取消其計(jì)算機(jī)信息系統(tǒng)訪問(wèn)授權(quán),收回計(jì)算機(jī)、移動(dòng)存儲(chǔ)設(shè)備等相關(guān)物品。
十二、?各單位要加強(qiáng)對(duì)本單位計(jì)算機(jī)信息系統(tǒng)安全和保密管理情況的監(jiān)督,定期開(kāi)展檢查,發(fā)現(xiàn)問(wèn)題及時(shí)糾正。
十三、?定期檢查重點(diǎn)
1.?系統(tǒng)安全運(yùn)行情況。
檢查各個(gè)信息系統(tǒng)運(yùn)行情況。綜合業(yè)務(wù)網(wǎng)絡(luò)殺毒軟件更新、運(yùn)行情況;外網(wǎng)辦公用計(jì)算機(jī)病毒查殺情況;操作系統(tǒng)和軟件使用情況是否安全;是否存在內(nèi)外網(wǎng)混用情況;終端機(jī)是否開(kāi)啟安全防護(hù)措施。
2.?安全管理情況。
A.?信息安全主管領(lǐng)導(dǎo)、信息安全管理部門、信息安全工作人員履職以及崗位責(zé)任情況等。
(1)?信息安全主管領(lǐng)導(dǎo)明確及工作落實(shí)情況。
是否有領(lǐng)導(dǎo)分工等相關(guān)文件,是否明確了信息安全主管領(lǐng)導(dǎo),檢查信息安全相關(guān)工作批示和會(huì)議記錄等文件,了解主管領(lǐng)導(dǎo)工作落實(shí)情況。
(2)?信息安全管理部門指定及工作落實(shí)情況。
檢查部門分工文件,是否指定了信息安全管理部門。是否制定了工作計(jì)劃、工作方案、管理規(guī)章制度、監(jiān)督檢查記錄等文件,檢查管理部門工作落實(shí)情況。
(3)?信息安全工作人員配備及工作落實(shí)情況。
檢查人員列表、崗位職責(zé)分工等文件,是否配備了信息安全工作人員。
B.?日常安全管理制度建立和落實(shí)情況。
檢查人員管理、設(shè)備管理、運(yùn)行維護(hù)管理情況。
(1)?人員管理制度。
檢查人員管理制度文件,是否有崗位信息安全責(zé)任,人員離崗離職管理、外部人員來(lái)訪管理等制度。檢查人員離崗離職管理落實(shí)情況。
(2)?設(shè)備管理制度。
檢查設(shè)備管理制度等文件。是否有設(shè)備發(fā)放、使用、維修、維護(hù)和報(bào)廢等相關(guān)制度,是否明確了相關(guān)管理責(zé)任人。硬件設(shè)備登記情況,包括PC機(jī),路由器,交換機(jī)及其他主要設(shè)備。檢查《計(jì)算機(jī)硬件設(shè)備登記簿》。
(3)?運(yùn)行維護(hù)管理制度。
檢查是否建立了運(yùn)行維護(hù)管理等相關(guān)制度文件,是否包含事故處理記錄、數(shù)據(jù)維護(hù)情況等相關(guān)內(nèi)容。檢查運(yùn)維操作手冊(cè)和運(yùn)維相關(guān)記錄,檢查是否有事故處理記錄、數(shù)據(jù)維護(hù)記錄、運(yùn)行維護(hù)管理制度落實(shí)情況及相關(guān)記錄完整性。
3.?技術(shù)防護(hù)情況。
檢查所有接入互聯(lián)網(wǎng)的計(jì)算機(jī)設(shè)備是否安裝了最新的殺毒軟件和病毒防火墻,統(tǒng)計(jì)網(wǎng)絡(luò)外連的出口個(gè)數(shù),是否每個(gè)出口都進(jìn)行了安全措施。檢查網(wǎng)點(diǎn)路由器、交換機(jī)等設(shè)備配置是否合理,是否啟用了有效的身份控制、訪問(wèn)控制功能。
4.?應(yīng)急處理及容災(zāi)備份情況。
重點(diǎn)檢查應(yīng)急預(yù)案、應(yīng)急演練和災(zāi)備措施情況。檢查應(yīng)急預(yù)案制定和修訂情況。檢查應(yīng)急演練人員對(duì)預(yù)案的熟悉程度。檢查冗余設(shè)備情況。
十四、?加強(qiáng)整改落實(shí)
各部門要切實(shí)做好整改工作,對(duì)檢查中發(fā)現(xiàn)的問(wèn)題,要及時(shí)進(jìn)行研究,采取有效措施加以整改。因條件不具備不能立即整改的,要制定整改計(jì)劃、整改方案及整改時(shí)間表,并采取臨時(shí)防范措施,確保網(wǎng)絡(luò)與信息系統(tǒng)安全正常運(yùn)行。要舉一反三,在同類系統(tǒng)、同類設(shè)備中排查類似問(wèn)題,切實(shí)提高信息系統(tǒng)安全防護(hù)水平。
十五、?加強(qiáng)風(fēng)險(xiǎn)控制
各部門在開(kāi)展安全檢查工作時(shí),要明確相關(guān)工作紀(jì)律并嚴(yán)格執(zhí)行。要識(shí)別檢查中的安全風(fēng)險(xiǎn),周密制定應(yīng)急預(yù)案,強(qiáng)化風(fēng)險(xiǎn)控制措施,明確發(fā)生重大安全問(wèn)題時(shí)的處置流程,確保被檢查信息系統(tǒng)的正常運(yùn)行。
十六、?加強(qiáng)保密管理
各單位要高度重視保密工作,指定專人負(fù)責(zé),對(duì)檢查活動(dòng)、檢查實(shí)施人員以及相關(guān)文檔和數(shù)據(jù)進(jìn)行嚴(yán)格管理,確保檢查工作中涉及到的商業(yè)秘密得到有效控制;對(duì)檢查人員進(jìn)行保密培訓(xùn),確保檢查工作中獲知的信息不被泄露,檢查數(shù)據(jù)和檢查結(jié)果不向外透露。
十七、?各單位應(yīng)當(dāng)建立健全政府信息保密審查機(jī)制,明確審查的程序和責(zé)任,并明確一名機(jī)關(guān)行政負(fù)責(zé)人分管保密審查工作,指定機(jī)構(gòu)負(fù)責(zé)保密審查的日常工作。各單位開(kāi)展保密審查時(shí)應(yīng)履行審查審批手續(xù)。
十八、?數(shù)據(jù)中心信息安全保密審查,應(yīng)當(dāng)以《保密法》及其實(shí)施辦法等有關(guān)法律、法規(guī)的規(guī)定及由中央國(guó)家機(jī)關(guān)和國(guó)家保密局制定的《國(guó)家秘密及其密級(jí)具體范圍的規(guī)定》(以下簡(jiǎn)稱《保密范圍》)為依據(jù)。
十九、?各單位不得開(kāi)放涉及國(guó)家秘密、商業(yè)秘密、個(gè)人隱私的下列政府信息:
1.?依照國(guó)家保密范圍和定密規(guī)定,明確標(biāo)識(shí)為“秘密”、“機(jī)密”、“絕密”的信息;
2.?雖未標(biāo)識(shí),但內(nèi)容涉及國(guó)家秘密、商業(yè)秘密、個(gè)人隱私的信息;
3.?依照規(guī)定需經(jīng)國(guó)家和有關(guān)主管部門批準(zhǔn)開(kāi)放,而未獲批準(zhǔn)的信息。
4.?其他開(kāi)放后可能危及國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的信息。
二十、?各單位的業(yè)務(wù)機(jī)構(gòu)在政府信息接入數(shù)據(jù)中心時(shí)、審簽時(shí)標(biāo)明是否屬于保密事項(xiàng);在進(jìn)行保密審查時(shí),負(fù)責(zé)保密審查工作的機(jī)構(gòu)和人員應(yīng)當(dāng)提出“主動(dòng)公開(kāi)”、“不予公開(kāi)”、“依申請(qǐng)開(kāi)放”等審查意見(jiàn),并注明其依據(jù)和理由。
二十一、?各單位可以在數(shù)據(jù)中心查看本單位的數(shù)據(jù)以及其他單位公開(kāi)的數(shù)據(jù);如果要查看需要申請(qǐng)開(kāi)放的數(shù)據(jù),需要提出申請(qǐng),審查通過(guò)后即可查看數(shù)據(jù),審核不通過(guò)后不能查看數(shù)據(jù)。數(shù)據(jù)開(kāi)放的審核及授權(quán)由有關(guān)主管部門或者同級(jí)保密工作部門負(fù)責(zé)。
二十二、?數(shù)據(jù)中心的數(shù)據(jù)由九次方公司保障信息安全。
二十三、?不同單位共同形成的政府信息開(kāi)放給其他單位時(shí),應(yīng)由主辦的單位負(fù)責(zé)開(kāi)放前的保密審查,并以文字形式征得其他機(jī)關(guān)單位同意后方可予以開(kāi)放。
二十四、?各單位對(duì)政府信息是否可以開(kāi)放不明確時(shí),在征求政府信息制作或者獲取單位保密組織機(jī)構(gòu)的意見(jiàn)后,報(bào)有關(guān)主管部門或者同級(jí)保密工作部門確定。
二十五、?已確定為國(guó)家秘密但已超過(guò)保密期限并擬開(kāi)放的政府信息,單位應(yīng)在保密審查確認(rèn)能夠開(kāi)放后,按保密規(guī)定辦理解密手續(xù),再予以開(kāi)放。
二十六、?擬開(kāi)放的政府信息中含有部分涉密內(nèi)容的,應(yīng)當(dāng)按照有關(guān)規(guī)定對(duì)國(guó)家秘密內(nèi)容采取刪除、變更等方式進(jìn)行非密處理,采取屬于國(guó)家秘密的部分不予開(kāi)放、其余部分開(kāi)放的方法處理。
二十七、?單位及其工作人員有下列情形之一的,應(yīng)當(dāng)追究政府信息開(kāi)放工作過(guò)錯(cuò)責(zé)任:
1.?未按照規(guī)定的開(kāi)放范圍和期限主動(dòng)提供政府信息,以及不及時(shí)更新本單位的政府信息的;
2.?對(duì)應(yīng)當(dāng)提供的政府信息不提供及提供虛假政府信息的;
3.?未建立健全保密審查機(jī)制,不履行保密審查義務(wù)的,或者違反政府信息開(kāi)放工作程序,開(kāi)放不應(yīng)當(dāng)開(kāi)放的政府信息的;
4.?違反規(guī)定收取費(fèi)用或者通過(guò)其他組織、個(gè)人以有償服務(wù)方式提供政府信息的;
5.?違反政府信息開(kāi)放有關(guān)規(guī)定的其他行為。
違反上述有關(guān)規(guī)定的單位,視情況給予責(zé)令作出書(shū)面檢查、通報(bào)批評(píng)處理。
二十八、?無(wú)正當(dāng)理由,在規(guī)定期限內(nèi)不依法履行保密審查職責(zé),從而影響政府信息發(fā)布的,由監(jiān)察機(jī)關(guān)、上一級(jí)單位責(zé)令改正;情節(jié)嚴(yán)重的,對(duì)單位直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。
二十九、?單位違反有關(guān)規(guī)定,開(kāi)放涉及國(guó)家秘密的政府信息,造成泄密事件的,依照有關(guān)規(guī)定對(duì)單位直接負(fù)責(zé)保密審查的主管人員和直接責(zé)任人給予處分;情節(jié)嚴(yán)重構(gòu)成犯罪的,按照《刑法》、《保密法》及其實(shí)施辦法的有關(guān)規(guī)定,依法追究刑事責(zé)任。
三十、?對(duì)違反有關(guān)規(guī)定的單位直接責(zé)任人員、直接負(fù)責(zé)的主管人員和主要負(fù)責(zé)人,視情追究政府信息開(kāi)放工作過(guò)錯(cuò)責(zé)任。責(zé)任追究方式為:
1.?責(zé)令改正;
2.?誡勉談話;
3.?責(zé)令作出書(shū)面檢查;
4.?通報(bào)批評(píng);
5.?調(diào)離工作崗位。
以上追究方式可以單獨(dú)或合并使用;情節(jié)嚴(yán)重的,視情給予辭退、責(zé)令辭職或免職處理;需要依法給予處分的,依照《單位公務(wù)員處分條例》予以處理;構(gòu)成犯罪的,依法追究刑事責(zé)任。
三十一、?有關(guān)責(zé)任人員包括:
1.?不依法履行職責(zé),對(duì)造成的影響或者后果負(fù)直接責(zé)任的政府信息開(kāi)放工作人員;
2.?不依法履行職責(zé),對(duì)造成的影響或者后果負(fù)直接領(lǐng)導(dǎo)責(zé)任的主管政府信息開(kāi)放工作的領(lǐng)導(dǎo);
3.?不依法履行職責(zé),對(duì)造成的影響或者后果負(fù)全面領(lǐng)導(dǎo)責(zé)任的單位主要領(lǐng)導(dǎo)。
三十二、?政府信息開(kāi)放工作過(guò)錯(cuò)責(zé)任人有下列情形之一的,應(yīng)當(dāng)從重處理:
1.?推卸、轉(zhuǎn)嫁責(zé)任的;
2.?干擾、妨礙調(diào)查處理,或者不采取補(bǔ)救措施,致使損失或者不良影響發(fā)生或者擴(kuò)大的;
3.?造成重大經(jīng)濟(jì)損失或者嚴(yán)重不良社會(huì)影響的;
4.?一年內(nèi)出現(xiàn)兩次以上應(yīng)予追究責(zé)任的情形的;
5.?打擊、報(bào)復(fù)對(duì)信息開(kāi)放工作進(jìn)行投訴和申訴的公民、法人或其他組織的;
6.?不依法履行政府信息開(kāi)放義務(wù),被復(fù)議機(jī)關(guān)或?qū)徟袡C(jī)關(guān)確認(rèn)違法的;
7.?法律、法規(guī)、規(guī)章規(guī)定的其他情形。
三十三、?政府信息開(kāi)放工作過(guò)錯(cuò)責(zé)任人有下列情形之一的,可以從輕或者免予處理:
1.?問(wèn)題或過(guò)錯(cuò)發(fā)生后,主動(dòng)配合調(diào)查處理的;
2.?及時(shí)改正錯(cuò)誤的;
3.?主動(dòng)采取措施,有效避免或者挽回?fù)p失,或者有效避免社會(huì)不良影響發(fā)生或者擴(kuò)大的;
4.?法律、法規(guī)、規(guī)章規(guī)定的其他情形。
三十四、?單位的政府信息開(kāi)放工作過(guò)錯(cuò)責(zé)任追究,由同級(jí)監(jiān)察機(jī)關(guān)或其上一級(jí)單位實(shí)施。監(jiān)察機(jī)關(guān)和上一級(jí)單位應(yīng)加強(qiáng)溝通協(xié)商,及時(shí)對(duì)違反規(guī)定的單位作出處理。單位工作人員的政府信息開(kāi)放工作過(guò)錯(cuò)責(zé)任追究,由本單位負(fù)責(zé),但按照人事管理權(quán)限不屬于本單位管理的除外。政府信息開(kāi)放工作過(guò)錯(cuò)責(zé)任追究機(jī)構(gòu)應(yīng)當(dāng)依照法律、法規(guī)和管理權(quán)限的有關(guān)規(guī)定,對(duì)政府信息開(kāi)放工作過(guò)錯(cuò)行為進(jìn)行調(diào)查和處理,必要時(shí)可以聯(lián)合調(diào)查處理。
三十五、?實(shí)施責(zé)任追究,應(yīng)當(dāng)充分聽(tīng)取有關(guān)責(zé)任人員的陳述和申辯。有關(guān)責(zé)任人員對(duì)處理決定不服的,可以向作出處理決定的機(jī)關(guān)申請(qǐng)復(fù)核,也可以直接向作出處理決定機(jī)關(guān)的上一級(jí)機(jī)關(guān)或者監(jiān)察機(jī)關(guān)提出申訴。
篇2:信息安全等級(jí)保護(hù)管理辦法
第一章總則
第一條
為規(guī)范信息安全等級(jí)保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè),根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī),制定本辦法。
第二條
國(guó)家通過(guò)制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。
第三條
公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng),由有關(guān)職能部門依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理。國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)。
第四條
信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范,督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作。
第五條
信息系統(tǒng)的運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范,履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任。
第二章等級(jí)劃分與保護(hù)
第六條
國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。
第七條
信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí):
第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。
第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全。
第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害。
第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。
第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。
第八條
信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù),國(guó)家有關(guān)信息安全監(jiān)管部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。
第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。
第二級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。
第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。
第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。
第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國(guó)家指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。
第三章等級(jí)保護(hù)的實(shí)施與管理
第九條
信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》具體實(shí)施等級(jí)保護(hù)工作。
第十條
信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門的,應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。
跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。
對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的,運(yùn)營(yíng)、使用單位或者主管部門應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審。
第十一條
信息系統(tǒng)的安全保護(hù)等級(jí)確定后,運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國(guó)家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品,開(kāi)展信息系統(tǒng)安全建設(shè)或者改建工作。
第十二條
在信息系統(tǒng)建設(shè)過(guò)程中,運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn),參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》(GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。
第十三條
運(yùn)營(yíng)、使用單位應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》(GB/T20269-2006)、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等管理規(guī)范,制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。
第十四條
信息系統(tǒng)建設(shè)完成后,運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn),定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng),第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng),第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。
信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查,第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查,第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。
經(jīng)測(cè)評(píng)或者自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的,運(yùn)營(yíng)、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。
第十五條
已運(yùn)營(yíng)(運(yùn)行)的第二級(jí)以上信息系統(tǒng),應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi),由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。
新建第二級(jí)以上信息系統(tǒng),應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi),由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。
隸屬于中央的在京單位,其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)。跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。
第十六條
辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí),應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》,第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料:
(一)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明;
(二)系統(tǒng)安全組織機(jī)構(gòu)和管理制度;
(三)系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案;
(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明;
(五)測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告;
(六)信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見(jiàn);
(七)主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見(jiàn)。
第十七條
信息系統(tǒng)備案后,公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核,對(duì)符合等級(jí)保護(hù)要求的,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明;發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正;發(fā)現(xiàn)定級(jí)不準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。
運(yùn)營(yíng)、使用單位或者主管部門重新確定信息系統(tǒng)等級(jí)后,應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。
第十八條
受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)的運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作情況進(jìn)行檢查。對(duì)第三級(jí)信息系統(tǒng)每年至少檢查一次,對(duì)第四級(jí)信息系統(tǒng)每半年至少檢查一次。對(duì)跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查,應(yīng)當(dāng)會(huì)同其主管部門進(jìn)行。
對(duì)第五級(jí)信息系統(tǒng),應(yīng)當(dāng)由國(guó)家指定的專門部門進(jìn)行檢查。
公安機(jī)關(guān)、國(guó)家指定的專門部門應(yīng)當(dāng)對(duì)下列事項(xiàng)進(jìn)行檢查:
(一)信息系統(tǒng)安全需求是否發(fā)生變化,原定保護(hù)等級(jí)是否準(zhǔn)確;
(二)運(yùn)營(yíng)、使用單位安全管理制度、措施的落實(shí)情況;
(三)運(yùn)營(yíng)、使用單位及其主管部門對(duì)信息系統(tǒng)安全狀況的檢查情況;
(四)系統(tǒng)安全等級(jí)測(cè)評(píng)是否符合要求;
(五)信息安全產(chǎn)品使用是否符合要求;
(六)信息系統(tǒng)安全整改情況;
(七)備案材料與運(yùn)營(yíng)、使用單位、信息系統(tǒng)的符合情況;
(八)其他應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項(xiàng)。
第十九條
信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)、國(guó)家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo),如實(shí)向公安機(jī)關(guān)、國(guó)家指定的專門部門提供下列有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件:
(一)信息系統(tǒng)備案事項(xiàng)變更情況;
(二)安全組織、人員的變動(dòng)情況;
(三)信息安全管理制度、措施變更情況;
(四)信息系統(tǒng)運(yùn)行狀況記錄;
(五)運(yùn)營(yíng)、使用單位及主管部門定期對(duì)信息系統(tǒng)安全狀況的檢查記錄;
(六)對(duì)信息系統(tǒng)開(kāi)展等級(jí)測(cè)評(píng)的技術(shù)測(cè)評(píng)報(bào)告;
(七)信息安全產(chǎn)品使用的變更情況;
(八)信息安全事件應(yīng)急預(yù)案,信息安全事件應(yīng)急處置結(jié)果報(bào)告;
(九)信息系統(tǒng)安全建設(shè)、整改結(jié)果報(bào)告。
第二十條
公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級(jí)保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的,應(yīng)當(dāng)向運(yùn)營(yíng)、使用單位發(fā)出整改通知。運(yùn)營(yíng)、使用單位應(yīng)當(dāng)根據(jù)整改通知要求,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。整改完成后,應(yīng)當(dāng)將整改報(bào)告向公安機(jī)關(guān)備案。必要時(shí),公安機(jī)關(guān)可以對(duì)整改情況組織檢查。
第二十一條
第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品:
(一)產(chǎn)品研制、生產(chǎn)單位是由中國(guó)公民、法人投資或者國(guó)家投資或者控股的,在中華人民共和國(guó)境內(nèi)具有獨(dú)立的法人資格;
(二)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國(guó)自主知識(shí)產(chǎn)權(quán);
(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄;
(四)產(chǎn)品研制、生產(chǎn)單位聲明沒(méi)有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能;
(五)對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成危害;
(六)對(duì)已列入信息安全產(chǎn)品認(rèn)證目錄的,應(yīng)當(dāng)取得國(guó)家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書(shū)。
第二十二條
第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng):
(一)在中華人民共和國(guó)境內(nèi)注冊(cè)成立(港澳臺(tái)地區(qū)除外);
(二)由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資的企事業(yè)單位(港澳臺(tái)地區(qū)除外);
(三)從事相關(guān)檢測(cè)評(píng)估工作兩年以上,無(wú)違法記錄;
(四)工作人員僅限于中國(guó)公民;
(五)法人及主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄;
(六)使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對(duì)信息安全產(chǎn)品的要求;
(七)具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度;
(八)對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。
第二十三條
從事信息系統(tǒng)安全等級(jí)測(cè)評(píng)的機(jī)構(gòu),應(yīng)當(dāng)履行下列義務(wù):
(一)遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn),提供安全、客觀、公正的檢測(cè)評(píng)估服務(wù),保證測(cè)評(píng)的質(zhì)量和效果;
(二)保守在測(cè)評(píng)活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人隱私,防范測(cè)評(píng)風(fēng)險(xiǎn);
(三)對(duì)測(cè)評(píng)人員進(jìn)行安全保密教育,與其簽訂安全保密責(zé)任書(shū),規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,并負(fù)責(zé)檢查落實(shí)。
第四章涉密信息系統(tǒng)的分級(jí)保護(hù)管理
第二十四條
涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的基本要求,按照國(guó)家保密工作部門有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。
非涉密信息系統(tǒng)不得處理國(guó)家秘密信息。
第二十五條
涉密信息系統(tǒng)按照所處理信息的最高密級(jí),由低到高分為秘密、機(jī)密、絕密三個(gè)等級(jí)。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法和國(guó)家保密標(biāo)準(zhǔn)BMB17-2006《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》確定系統(tǒng)等級(jí)。對(duì)于包含多個(gè)安全域的涉密信息系統(tǒng),各安全域可以分別確定保護(hù)等級(jí)。
保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進(jìn)行系統(tǒng)定級(jí)。
第二十六條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級(jí)和建設(shè)使用情況,及時(shí)上報(bào)業(yè)務(wù)主管部門的保密工作機(jī)構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查、指導(dǎo)。
第二十七條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計(jì)與實(shí)施。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),按照秘密、機(jī)密、絕密三級(jí)的不同要求,結(jié)合系統(tǒng)實(shí)際進(jìn)行方案設(shè)計(jì),實(shí)施分級(jí)保護(hù),其保護(hù)水平總體上不低于國(guó)家信息安全等級(jí)保護(hù)第三級(jí)、第四級(jí)、第五級(jí)的水平。
第二十八條
涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國(guó)產(chǎn)品,并應(yīng)當(dāng)通過(guò)國(guó)家保密局授權(quán)的檢測(cè)機(jī)構(gòu)依據(jù)有關(guān)國(guó)家保密標(biāo)準(zhǔn)進(jìn)行的檢測(cè),通過(guò)檢測(cè)的產(chǎn)品由國(guó)家保密局審核發(fā)布目錄。
第二十九條
涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實(shí)施結(jié)束后,應(yīng)當(dāng)向保密工作部門提出申請(qǐng),由國(guó)家保密局授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家保密標(biāo)準(zhǔn)BMB22-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》,對(duì)涉密信息系統(tǒng)進(jìn)行安全保密測(cè)評(píng)。
涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前,應(yīng)當(dāng)按照《涉及國(guó)家秘密的信息系統(tǒng)審批管理規(guī)定》,向設(shè)區(qū)的市級(jí)以上保密工作部門申請(qǐng)進(jìn)行系統(tǒng)審批,涉密信息系統(tǒng)通過(guò)審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設(shè)使用單位在按照分級(jí)保護(hù)要求完成系統(tǒng)整改后,應(yīng)當(dāng)向保密工作部門備案。
第三十條
涉密信息系統(tǒng)建設(shè)使用單位在申請(qǐng)系統(tǒng)審批或者備案時(shí),應(yīng)當(dāng)提交以下材料:
(一)系統(tǒng)設(shè)計(jì)、實(shí)施方案及審查論證意見(jiàn);
(二)系統(tǒng)承建單位資質(zhì)證明材料;
(三)系統(tǒng)建設(shè)和工程監(jiān)理情況報(bào)告;
(四)系統(tǒng)安全保密檢測(cè)評(píng)估報(bào)告;
(五)系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況;
(六)其他有關(guān)材料。
第三十一條
涉密信息系統(tǒng)發(fā)生涉密等級(jí)、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時(shí),其建設(shè)使用單位應(yīng)當(dāng)及時(shí)向負(fù)責(zé)審批的保密工作部門報(bào)告。保密工作部門應(yīng)當(dāng)根據(jù)實(shí)際情況,決定是否對(duì)其重新進(jìn)行測(cè)評(píng)和審批。
第三十二條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國(guó)家保密標(biāo)準(zhǔn)BMB20-2007《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》,加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密管理,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估,消除泄密隱患和漏洞。
第三十三條
國(guó)家和地方各級(jí)保密工作部門依法對(duì)各地區(qū)、各部門涉密信息系統(tǒng)分級(jí)保護(hù)工作實(shí)施監(jiān)督管理,并做好以下工作:
(一)指導(dǎo)、監(jiān)督和檢查分級(jí)保護(hù)工作的開(kāi)展;
(二)指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密,合理確定系統(tǒng)保護(hù)等級(jí);
(三)參與涉密信息系統(tǒng)分級(jí)保護(hù)方案論證,指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計(jì);
(四)依法對(duì)涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行監(jiān)督管理;
(五)嚴(yán)格進(jìn)行系統(tǒng)測(cè)評(píng)和審批工作,監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級(jí)保護(hù)管理制度和技術(shù)措施的落實(shí)情況;
(六)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每?jī)赡曛辽龠M(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng),對(duì)絕密級(jí)信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng);
(七)了解掌握各級(jí)各類涉密信息系統(tǒng)的管理使用情況,及時(shí)發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。
第五章信息安全等級(jí)保護(hù)的密碼管理
第三十四條
國(guó)家密碼管理部門對(duì)信息安全等級(jí)保護(hù)的密碼實(shí)行分類分級(jí)管理。根據(jù)被保護(hù)對(duì)象在國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)建設(shè)中的作用和重要程度,被保護(hù)對(duì)象的安全防護(hù)要求和涉密程度,被保護(hù)對(duì)象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級(jí)保護(hù)準(zhǔn)則。
信息系統(tǒng)運(yùn)營(yíng)、使用單位采用密碼進(jìn)行等級(jí)保護(hù)的,應(yīng)當(dāng)遵照《信息安全等級(jí)保護(hù)密碼管理辦法》、《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。
第三十五條
信息系統(tǒng)安全等級(jí)保護(hù)中密碼的配備、使用和管理等,應(yīng)當(dāng)嚴(yán)格執(zhí)行國(guó)家密碼管理的有關(guān)規(guī)定。
第三十六條
信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)充分運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行保護(hù)。采用密碼對(duì)涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的,應(yīng)報(bào)經(jīng)國(guó)家密碼管理局審批,密碼的設(shè)計(jì)、實(shí)施、使用、運(yùn)行維護(hù)和日常管理等,應(yīng)當(dāng)按照國(guó)家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行;采用密碼對(duì)不涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的,須遵守《商用密碼管理?xiàng)l例》和密碼分類分級(jí)保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn),其密碼的配備使用情況應(yīng)當(dāng)向國(guó)家密碼管理機(jī)構(gòu)備案。
第三十七條
運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行系統(tǒng)等級(jí)保護(hù)建設(shè)和整改的,必須采用經(jīng)國(guó)家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進(jìn)行安全保護(hù),不得采用國(guó)外引進(jìn)或者擅自研制的密碼產(chǎn)品;未經(jīng)批準(zhǔn)不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。
第三十八條
信息系統(tǒng)中的密碼及密碼設(shè)備的測(cè)評(píng)工作由國(guó)家密碼管理局認(rèn)可的測(cè)評(píng)機(jī)構(gòu)承擔(dān),其他任何部門、單位和個(gè)人不得對(duì)密碼進(jìn)行評(píng)測(cè)和監(jiān)控。
第三十九條
各級(jí)密碼管理部門可以定期或者不定期對(duì)信息系統(tǒng)等級(jí)保護(hù)工作中密碼配備、使用和管理的情況進(jìn)行檢查和測(cè)評(píng),對(duì)重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每?jī)赡曛辽龠M(jìn)行一次檢查和測(cè)評(píng)。在監(jiān)督檢查過(guò)程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá)到密碼相關(guān)標(biāo)準(zhǔn)要求的,應(yīng)當(dāng)按照國(guó)家密碼管理的相關(guān)規(guī)定進(jìn)行處置。
第六章法律責(zé)任
第四十條
第三級(jí)以上信息系統(tǒng)運(yùn)營(yíng)、使用單位違反本辦法規(guī)定,有下列行為之一的,由公安機(jī)關(guān)、國(guó)家保密工作部門和國(guó)家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正;逾期不改正的,給予警告,并向其上級(jí)主管部門通報(bào)情況,建議對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理,并及時(shí)反饋處理結(jié)果:
(一)未按本辦法規(guī)定備案、審批的;
(二)未按本辦法規(guī)定落實(shí)安全管理制度、措施的;
(三)未按本辦法規(guī)定開(kāi)展系統(tǒng)安全狀況檢查的;
(四)未按本辦法規(guī)定開(kāi)展系統(tǒng)安全技術(shù)測(cè)評(píng)的;
(五)接到整改通知后,拒不整改的;
(六)未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測(cè)評(píng)機(jī)構(gòu)的;
(七)未按本辦法規(guī)定如實(shí)提供有關(guān)文件和證明材料的;
(八)違反保密管理規(guī)定的;
(九)違反密碼管理規(guī)定的;
(十)違反本辦法其他規(guī)定的。
違反前款規(guī)定,造成嚴(yán)重?fù)p害的,由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。
第四十一條
信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中,玩忽職守、濫用職權(quán)、徇私舞弊的,依法給予行政處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第七章附則
第四十二條
已運(yùn)行信息系統(tǒng)的運(yùn)營(yíng)、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護(hù)等級(jí);新建信息系統(tǒng)在設(shè)計(jì)、規(guī)劃階段確定安全保護(hù)等級(jí)。
第四十三條
本辦法所稱“以上”包含本數(shù)(級(jí))。
第四十四條
本辦法自發(fā)布之日起施行,《信息安全等級(jí)保護(hù)管理辦法(試行)》(公通字[2006]7號(hào))同時(shí)廢止。