信息安全等級保護管理辦法
第一章總則
第一條
為規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī),制定本辦法。
第二條
國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準,組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。
第三條
公安機關(guān)負責信息安全等級保護工作的監(jiān)督、檢查、指導。國家保密工作部門負責等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導。涉及其他職能部門管轄范圍的事項,由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構(gòu)負責等級保護工作的部門間協(xié)調(diào)。
第四條
信息系統(tǒng)主管部門應當依照本辦法及相關(guān)標準規(guī)范,督促、檢查、指導本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。
第五條
信息系統(tǒng)的運營、使用單位應當依照本辦法及其相關(guān)標準規(guī)范,履行信息安全等級保護的義務和責任。
第二章等級劃分與保護
第六條
國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。
第七條
信息系統(tǒng)的安全保護等級分為以下五級:
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。
第八條
信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標準對信息系統(tǒng)進行保護,國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。
第一級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。
第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。
第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。
第四級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。
第五級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范、技術(shù)標準和業(yè)務特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。
第三章等級保護的實施與管理
第九條
信息系統(tǒng)運營、使用單位應當按照《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。
第十條
信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的,應當經(jīng)主管部門審核批準。
跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。
對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。
第十一條
信息系統(tǒng)的安全保護等級確定后,運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術(shù)標準,使用符合國家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設或者改建工作。
第十二條
在信息系統(tǒng)建設過程中,運營、使用單位應當按照《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)、《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標準,參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù)網(wǎng)絡基礎安全技術(shù)要求》(GB/T20270-2006)、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)、《信息安全技術(shù)服務器技術(shù)要求》、《信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求》(GA/T671-2006)等技術(shù)標準同步建設符合該等級要求的信息安全設施。
第十三條
運營、使用單位應當參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》(GB/T20269-2006)、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范,制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。
第十四條
信息系統(tǒng)建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構(gòu),依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準,定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評,第四級信息系統(tǒng)應當每半年至少進行一次等級測評,第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測評。
信息系統(tǒng)運營、使用單位及其主管部門應當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應當每年至少進行一次自查,第四級信息系統(tǒng)應當每半年至少進行一次自查,第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行自查。
經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進行整改。
第十五條
已運營(運行)的第二級以上信息系統(tǒng),應當在安全保護等級確定后30日內(nèi),由其運營、使用單位到所在地設區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。
新建第二級以上信息系統(tǒng),應當在投入運行后30日內(nèi),由其運營、使用單位到所在地設區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。
隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng),應當向當?shù)卦O區(qū)的市級以上公安機關(guān)備案。
第十六條
辦理信息系統(tǒng)安全保護等級備案手續(xù)時,應當填寫《信息系統(tǒng)安全等級保護備案表》,第三級以上信息系統(tǒng)應當同時提供以下材料:
(一)系統(tǒng)拓撲結(jié)構(gòu)及說明;
(二)系統(tǒng)安全組織機構(gòu)和管理制度;
(三)系統(tǒng)安全保護設施設計實施方案或者改建實施方案;
(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明;
(五)測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告;
(六)信息系統(tǒng)安全保護等級專家評審意見;
(七)主管部門審核批準信息系統(tǒng)安全保護等級的意見。
第十七條
信息系統(tǒng)備案后,公安機關(guān)應當對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的,應當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明;發(fā)現(xiàn)不符合本辦法及有關(guān)標準的,應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正;發(fā)現(xiàn)定級不準的,應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。
運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后,應當按照本辦法向公安機關(guān)重新備案。
第十八條
受理備案的公安機關(guān)應當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次,對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查,應當會同其主管部門進行。
對第五級信息系統(tǒng),應當由國家指定的專門部門進行檢查。
公安機關(guān)、國家指定的專門部門應當對下列事項進行檢查:
(一)信息系統(tǒng)安全需求是否發(fā)生變化,原定保護等級是否準確;
(二)運營、使用單位安全管理制度、措施的落實情況;
(三)運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況;
(四)系統(tǒng)安全等級測評是否符合要求;
(五)信息安全產(chǎn)品使用是否符合要求;
(六)信息系統(tǒng)安全整改情況;
(七)備案材料與運營、使用單位、信息系統(tǒng)的符合情況;
(八)其他應當進行監(jiān)督檢查的事項。
第十九條
信息系統(tǒng)運營、使用單位應當接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導,如實向公安機關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護的信息資料及數(shù)據(jù)文件:
(一)信息系統(tǒng)備案事項變更情況;
(二)安全組織、人員的變動情況;
(三)信息安全管理制度、措施變更情況;
(四)信息系統(tǒng)運行狀況記錄;
(五)運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄;
(六)對信息系統(tǒng)開展等級測評的技術(shù)測評報告;
(七)信息安全產(chǎn)品使用的變更情況;
(八)信息安全事件應急預案,信息安全事件應急處置結(jié)果報告;
(九)信息系統(tǒng)安全建設、整改結(jié)果報告。
第二十條
公安機關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標準的,應當向運營、使用單位發(fā)出整改通知。運營、使用單位應當根據(jù)整改通知要求,按照管理規(guī)范和技術(shù)標準進行整改。整改完成后,應當將整改報告向公安機關(guān)備案。必要時,公安機關(guān)可以對整改情況組織檢查。
第二十一條
第三級以上信息系統(tǒng)應當選擇使用符合以下條件的信息安全產(chǎn)品:
(一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨立的法人資格;
(二)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán);
(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務、技術(shù)人員無犯罪記錄;
(四)產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能;
(五)對國家安全、社會秩序、公共利益不構(gòu)成危害;
(六)對已列入信息安全產(chǎn)品認證目錄的,應當取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。
第二十二條
第三級以上信息系統(tǒng)應當選擇符合下列條件的等級保護測評機構(gòu)進行測評:
(一)在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外);
(二)由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外);
(三)從事相關(guān)檢測評估工作兩年以上,無違法記錄;
(四)工作人員僅限于中國公民;
(五)法人及主要業(yè)務、技術(shù)人員無犯罪記錄;
(六)使用的技術(shù)裝備、設施應當符合本辦法對信息安全產(chǎn)品的要求;
(七)具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度;
(八)對國家安全、社會秩序、公共利益不構(gòu)成威脅。
第二十三條
從事信息系統(tǒng)安全等級測評的機構(gòu),應當履行下列義務:
(一)遵守國家有關(guān)法律法規(guī)和技術(shù)標準,提供安全、客觀、公正的檢測評估服務,保證測評的質(zhì)量和效果;
(二)保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范測評風險;
(三)對測評人員進行安全保密教育,與其簽訂安全保密責任書,規(guī)定應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。
第四章涉密信息系統(tǒng)的分級保護管理
第二十四條
涉密信息系統(tǒng)應當依據(jù)國家信息安全等級保護的基本要求,按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標準,結(jié)合系統(tǒng)實際情況進行保護。
非涉密信息系統(tǒng)不得處理國家秘密信息。
第二十五條
涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個等級。
涉密信息系統(tǒng)建設使用單位應當在信息規(guī)范定密的基礎上,依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng),各安全域可以分別確定保護等級。
保密工作部門和機構(gòu)應當監(jiān)督指導涉密信息系統(tǒng)建設使用單位準確、合理地進行系統(tǒng)定級。
第二十六條
涉密信息系統(tǒng)建設使用單位應當將涉密信息系統(tǒng)定級和建設使用情況,及時上報業(yè)務主管部門的保密工作機構(gòu)和負責系統(tǒng)審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查、指導。
第二十七條
涉密信息系統(tǒng)建設使用單位應當選擇具有涉密集成資質(zhì)的單位承擔或者參與涉密信息系統(tǒng)的設計與實施。
涉密信息系統(tǒng)建設使用單位應當依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術(shù)標準,按照秘密、機密、絕密三級的不同要求,結(jié)合系統(tǒng)實際進行方案設計,實施分級保護,其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。
第二十八條
涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應當選用國產(chǎn)品,并應當通過國家保密局授權(quán)的檢測機構(gòu)依據(jù)有關(guān)國家保密標準進行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。
第二十九條
涉密信息系統(tǒng)建設使用單位在系統(tǒng)工程實施結(jié)束后,應當向保密工作部門提出申請,由國家保密局授權(quán)的系統(tǒng)測評機構(gòu)依據(jù)國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》,對涉密信息系統(tǒng)進行安全保密測評。
涉密信息系統(tǒng)建設使用單位在系統(tǒng)投入使用前,應當按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》,向設區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批,涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設使用單位在按照分級保護要求完成系統(tǒng)整改后,應當向保密工作部門備案。
第三十條
涉密信息系統(tǒng)建設使用單位在申請系統(tǒng)審批或者備案時,應當提交以下材料:
(一)系統(tǒng)設計、實施方案及審查論證意見;
(二)系統(tǒng)承建單位資質(zhì)證明材料;
(三)系統(tǒng)建設和工程監(jiān)理情況報告;
(四)系統(tǒng)安全保密檢測評估報告;
(五)系統(tǒng)安全保密組織機構(gòu)和管理制度情況;
(六)其他有關(guān)材料。
第三十一條
涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設施、主要應用、安全保密管理責任單位變更時,其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據(jù)實際情況,決定是否對其重新進行測評和審批。
第三十二條
涉密信息系統(tǒng)建設使用單位應當依據(jù)國家保密標準BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》,加強涉密信息系統(tǒng)運行中的保密管理,定期進行風險評估,消除泄密隱患和漏洞。
第三十三條
國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理,并做好以下工作:
(一)指導、監(jiān)督和檢查分級保護工作的開展;
(二)指導涉密信息系統(tǒng)建設使用單位規(guī)范信息定密,合理確定系統(tǒng)保護等級;
(三)參與涉密信息系統(tǒng)分級保護方案論證,指導建設使用單位做好保密設施的同步規(guī)劃設計;
(四)依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理;
(五)嚴格進行系統(tǒng)測評和審批工作,監(jiān)督檢查涉密信息系統(tǒng)建設使用單位分級保護管理制度和技術(shù)措施的落實情況;
(六)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評,對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評;
(七)了解掌握各級各類涉密信息系統(tǒng)的管理使用情況,及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。
第五章信息安全等級保護的密碼管理
第三十四條
國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級保護準則。
信息系統(tǒng)運營、使用單位采用密碼進行等級保護的,應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標準。
第三十五條
信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等,應當嚴格執(zhí)行國家密碼管理的有關(guān)規(guī)定。
第三十六條
信息系統(tǒng)運營、使用單位應當充分運用密碼技術(shù)對信息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的,應報經(jīng)國家密碼管理局審批,密碼的設計、實施、使用、運行維護和日常管理等,應當按照國家密碼管理有關(guān)規(guī)定和相關(guān)標準執(zhí)行;采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的,須遵守《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標準,其密碼的配備使用情況應當向國家密碼管理機構(gòu)備案。
第三十七條
運用密碼技術(shù)對信息系統(tǒng)進行系統(tǒng)等級保護建設和整改的,必須采用經(jīng)國家密碼管理部門批準使用或者準于銷售的密碼產(chǎn)品進行安全保護,不得采用國外引進或者擅自研制的密碼產(chǎn)品;未經(jīng)批準不得采用含有加密功能的進口信息技術(shù)產(chǎn)品。
第三十八條
信息系統(tǒng)中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構(gòu)承擔,其他任何部門、單位和個人不得對密碼進行評測和監(jiān)控。
第三十九條
各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達到密碼相關(guān)標準要求的,應當按照國家密碼管理的相關(guān)規(guī)定進行處置。
第六章法律責任
第四十條
第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定,有下列行為之一的,由公安機關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正;逾期不改正的,給予警告,并向其上級主管部門通報情況,建議對其直接負責的主管人員和其他直接責任人員予以處理,并及時反饋處理結(jié)果:
(一)未按本辦法規(guī)定備案、審批的;
(二)未按本辦法規(guī)定落實安全管理制度、措施的;
(三)未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的;
(四)未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的;
(五)接到整改通知后,拒不整改的;
(六)未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的;
(七)未按本辦法規(guī)定如實提供有關(guān)文件和證明材料的;
(八)違反保密管理規(guī)定的;
(九)違反密碼管理規(guī)定的;
(十)違反本辦法其他規(guī)定的。
違反前款規(guī)定,造成嚴重損害的,由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。
第四十一條
信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責中,玩忽職守、濫用職權(quán)、徇私舞弊的,依法給予行政處分;構(gòu)成犯罪的,依法追究刑事責任。
第七章附則
第四十二條
已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級;新建信息系統(tǒng)在設計、規(guī)劃階段確定安全保護等級。
第四十三條
本辦法所稱“以上”包含本數(shù)(級)。
第四十四條
本辦法自發(fā)布之日起施行,《信息安全等級保護管理辦法(試行)》(公通字[2006]7號)同時廢止。
篇2:電力行業(yè)網(wǎng)絡信息安全檢查方案
為貫徹落實《國務院辦公廳關(guān)于開展重點領域網(wǎng)絡與信息安全檢查行動的通知》(國辦函〔2012〕102號)要求,結(jié)合電力行業(yè)信息安全工作實際,制定電力行業(yè)網(wǎng)絡與信息安全檢查方案。
一、檢查依據(jù)
1.《國務院辦公廳關(guān)于開展重點領域網(wǎng)絡與信息安全檢查行動的通知》(國辦函〔2012〕102號);
2.《電力行業(yè)網(wǎng)絡與信息安全監(jiān)督管理暫行規(guī)定》(電監(jiān)信息〔2007〕50號)。
3.《電力二次系統(tǒng)安全防護規(guī)定》(電監(jiān)會5號令)。
二、檢查目的
通過開展電力行業(yè)網(wǎng)絡與信息安全檢查,全面掌握重要電力網(wǎng)絡與信息系統(tǒng)基本情況,分析面臨的安全威脅和風險,評估安全防護水平,查找突出問題和薄弱環(huán)節(jié),有針對性地采取防范對策和改進措施,加強網(wǎng)絡與信息系統(tǒng)安全管理、技術(shù)防護和人才隊伍建設,促進安全防護能力和水平提升,預防和減少重大信息安全事件的發(fā)生,切實保障電力網(wǎng)絡與信息系統(tǒng)安全,維護電力系統(tǒng)安全穩(wěn)定運行,保障*****大順利召開。
三、檢查范圍
各電力企業(yè)運行使用的網(wǎng)絡和信息系統(tǒng),重點檢查信息安全保護等級為3級及以上的重要網(wǎng)絡與信息系統(tǒng)。
四、檢查方式
本次檢查按照“誰主管誰負責、誰運行誰負責”的原則,采用電力企業(yè)自查、電監(jiān)會派出機構(gòu)對轄區(qū)內(nèi)電力企業(yè)自查情況、自查質(zhì)量進行跟蹤檢查和電監(jiān)會組織專門隊伍同時進行抽查相結(jié)合的方式。
五、檢查內(nèi)容
本次信息安全檢查主要分基本情況調(diào)查、安全防護情況檢查和問題及風險分析三個方面。
(一)網(wǎng)絡與信息系統(tǒng)基本情況調(diào)查。
主要調(diào)查系統(tǒng)特征,包括系統(tǒng)停止運行后對主要業(yè)務的影響程度,系統(tǒng)遭到攻擊破壞后對社會公眾的影響程度等;系統(tǒng)構(gòu)成,包括主要軟硬件設備的類型、數(shù)量、生產(chǎn)商等;信息技術(shù)外包服務,包括服務類型、服務提供商、服務方式、安全保密協(xié)議等。各單位要在全面調(diào)查的基礎上,匯總填寫《電力行業(yè)信息安全檢查情況報告表》(見附件1)。
(二)安全防護情況檢查。
各單位主要從以下15個方面對本單位信息安全防護情況進行重點檢查,并在認真檢查的基礎上,如實填寫《電力企業(yè)信息安全檢查表(2012版)》(見附件2)。
1.組織體系建設情況。信息安全組織機構(gòu)建立情況;第一責任人確立情況;責任落實情況;專職機構(gòu)及崗位設置情況;安全人員配置情況等。
2.規(guī)章制度建立情況。整體策略及總體規(guī)劃(方案)制定情況;管理制度制定情況及制度體系完整性;操作規(guī)程制定情況;制度發(fā)布情況等。
3.資金保障情況。經(jīng)費預算情況;安全運維經(jīng)費投入情況;安全建設經(jīng)費投入情況等。
4.人員安全管理情況。全員安全培訓及保密協(xié)議簽訂情況;專業(yè)技能培訓情況;崗位人員審查情況;崗位調(diào)整安全管控情況等。
5.服務外包管控情況。外包服務協(xié)議簽訂情況;第三方人員訪問管理情況;遠程服務管控情況;現(xiàn)場開發(fā)管控情況等。
6.關(guān)鍵信息資產(chǎn)管控情況。資產(chǎn)清單的建立情況;資產(chǎn)管理職責的落實情況;信息系統(tǒng)基礎資料歸檔情況等。
7.信息系統(tǒng)建設安全管理情況。系統(tǒng)上線安全測評情況;等級保護建設情況;等級保護測評情況;信息安全風險評估開展情況;密碼產(chǎn)品采購情況;信息產(chǎn)品采購測試情況;安全產(chǎn)品國產(chǎn)化情況等。
8.安全分區(qū)防御情況。安全分區(qū)情況;橫向隔離及縱向認證設備部署情況;跨區(qū)連接管控情況;內(nèi)外網(wǎng)隔離情況等。
9.網(wǎng)絡安全防護情況。生產(chǎn)控制大區(qū)安全防護情況;管理信息大區(qū)安全防護情況;互聯(lián)網(wǎng)出口統(tǒng)一管理情況;互聯(lián)網(wǎng)出口安全管控情況;無線網(wǎng)絡安全防護情況等。
10.主機和設備安全防護情況。補丁更新管理情況;惡意代碼防護情況;系統(tǒng)加固情況;辦公終端管控情況;主機和設備帳號口令管理情況等。
11.應用系統(tǒng)和數(shù)據(jù)安全防護情況。應用系統(tǒng)安全功能及配置情況;對外服務系統(tǒng)信息監(jiān)控和攻擊防御情況;對外服務系統(tǒng)周期測試情況;應用系統(tǒng)賬號口令管理情況;重要數(shù)據(jù)安全保護情況等。
12.物理環(huán)境安全防護情況。機房安全建設情況等。
13.信息系統(tǒng)運行安全管理情況。日常維護情況;安全審計情況;補丁管理情況;介質(zhì)管理情況;安全監(jiān)測情況等。
14.災難恢復情況。硬件冗余情況;定期備份情況;異地容災中心建設情況;備份介質(zhì)恢復測試情況等。
15.應急管理情況。網(wǎng)絡與信息安全信息通報情況;總體應急預案制定情況;重要信息系統(tǒng)應急預案制定情況;應急演練開展情況;應急資源配備情況;事故調(diào)查工作情況等。
(三)存在的問題和面臨的風險分析。
在完成基本情況調(diào)查和安全防護情況檢查的基礎上,各單位要圍繞著以下三個方面對存在的問題和面臨的主要風險進行分析。
1.當前安全管理和技術(shù)防護中的主要問題及薄弱環(huán)節(jié),制定安全防護能力提高的主要因素(包括法律法規(guī)、政策制度、技術(shù)手段等方面)。
2.統(tǒng)計國外產(chǎn)品和服務在主要軟硬件設備和信息技術(shù)外包服務中所占的比例,分析網(wǎng)絡與信息系統(tǒng)對國外產(chǎn)品和服務的依賴程度。
3.根據(jù)安全檢測發(fā)現(xiàn)的漏洞和隱患,分析網(wǎng)絡與信息系統(tǒng)存在的安全風險,判斷面臨的安全威脅程度以及具備的安全防護能力,評估網(wǎng)絡與信息系統(tǒng)總體安全狀況。
六、檢查組織
1.電監(jiān)會統(tǒng)一組織本次信息安全檢查工作,電力行業(yè)網(wǎng)絡與信息安全領導小組辦公室負責信息安全檢查的日常工作。電監(jiān)會各派出機構(gòu)根據(jù)電監(jiān)會的統(tǒng)一部署,負責轄區(qū)內(nèi)電力企業(yè)信息安全自查督導和監(jiān)督檢查工作。
2.各電力(集團)公司負責組織開展本單位及其下屬單位的信息安全檢查工作。
七、進度安排
1.7月16日~7月20日,動員部署階段
印發(fā)《關(guān)于開展電力行業(yè)網(wǎng)絡與信息安全檢查行動的通知》和《電力行業(yè)網(wǎng)絡與信息安全檢查方案》,召開會議進行動員部署。
2.7月21日~8月31日,實施階段
8月22日前,各單位完成本單位的信息安全自查工作,編寫自查報告,制定整改方案。
8月31日前,完成整改工作。電力(集團)公司應匯總填寫本系統(tǒng)《電力行業(yè)信息安全檢查情況報告表》和《電力企業(yè)信息安全檢查項目表(2012版)》,并和自查整改情況報告一起報送電監(jiān)會。對于無法及時完成整改的隱患項目,有關(guān)電力企業(yè)要說明原因,制定臨時應急措施,并將情況說明按時報電監(jiān)會。
檢查期間,電監(jiān)會將組織若干專業(yè)小組對各單位進行抽查。抽查有關(guān)事項,電監(jiān)會將于行前通知。
3.9月1日~9月15日,總結(jié)階段
電監(jiān)會對檢查工作情況進行匯總和全面總結(jié),形成電力企業(yè)信息安全檢查報告并報國家網(wǎng)絡與信息安全協(xié)調(diào)小組辦公室。
八、工作要求
1.各單位要高度重視,加強組織領導,制定檢查方案,明確檢查任務,落實檢查責任,及時整改檢查中發(fā)現(xiàn)的問題,并將檢查整改情況按時報電監(jiān)會。
2.各單位要精心部署,周密安排,認真組織。對于發(fā)現(xiàn)的問題,要找出原因,并舉一反三,持續(xù)改進。各單位要建立檢查整改跟蹤督辦機制,力求使安全隱患都得到整改和妥善處置。
3.安全檢查工作對象是各單位的重要系統(tǒng)、重要數(shù)據(jù)和敏感信息等資產(chǎn),需要高度重視檢查工作存在的風險,制定周密的應急防范措施,避免發(fā)生影響系統(tǒng)正常運行和敏感信息泄漏的事件。
4.各單位要高度重視信息安全保密工作,加強信息安全保密措施,檢查結(jié)果除按規(guī)定報送外,不得向其他單位和個人透露。所有檢查往來文件一律加密。
5.電監(jiān)會抽查小組成員和派出機構(gòu)督查小組成員要嚴格遵守黨風廉政紀律,嚴格執(zhí)行保密工作規(guī)定,不得隨意泄露抽查組行程。
篇3:W網(wǎng)吧信息安全管理制度
為了規(guī)范網(wǎng)吧管理中對網(wǎng)吧人員的管理,于是網(wǎng)吧制定了網(wǎng)吧人員管理制度,而為了網(wǎng)吧信息安全,所以網(wǎng)吧則制定了網(wǎng)吧信息安全管理制度,以下則是相關(guān)網(wǎng)吧制定的網(wǎng)吧信息安全管理制度的內(nèi)容。
第一條應當遵守有關(guān)法律、法規(guī)的規(guī)定,加強行業(yè)自律,自覺接受政府有關(guān)部門依法實施的監(jiān)督管理,為上網(wǎng)消費者提供良好的服務。
上網(wǎng)消費者,應當遵守有關(guān)法律、法規(guī)的規(guī)定,遵守社會公德,開展文明、健康的上網(wǎng)活動。
第二條上網(wǎng)消費者不得利用網(wǎng)吧制作、下載、復制、查閱、發(fā)布、傳播或者以其他方式使用含有下列內(nèi)容的信息:
(一)反對憲法確定的基本原則的;
(二)危害國家統(tǒng)一、主權(quán)和領土完整的;
(三)泄露國家秘密,危害國家安全或者損害國家榮譽和利益的;
(四)煽動民族仇恨、民族歧視,破壞民族團結(jié),或者侵害民族風俗、習慣的;
(五)破壞國家宗教政策,宣揚*、迷信的;
(六)散布謠言,擾亂社會秩序,破壞社會穩(wěn)定的;
(七)宣傳淫穢、賭博、暴力或者教唆犯罪的;
(八)侮辱或者誹謗他人,侵害他人合法權(quán)益的;
(九)危害社會公德或者民族優(yōu)秀文化傳統(tǒng)的;
(十)含有法律、行政法規(guī)禁止的其他內(nèi)容的。
第三條上網(wǎng)消費者不得進行下列危害信息網(wǎng)絡安全的活動:
(一)故意制作或者傳播計算機病毒以及其他破壞性程序的;
(二)非法侵入計算機信息系統(tǒng)或者破壞計算機信息系統(tǒng)功能、數(shù)據(jù)和應用程序的;
(三)進行法律、行政法規(guī)禁止的其他活動的。
第四條應當通過依法取得經(jīng)營許可證的互聯(lián)網(wǎng)接入服務提供者接入互聯(lián)網(wǎng),不得采取其他方式接入互聯(lián)網(wǎng)。
網(wǎng)吧內(nèi)所有計算機必須通過局域網(wǎng)的方式接入互聯(lián)網(wǎng),不得直接接入互聯(lián)網(wǎng)。
第五條上網(wǎng)消費者不得利用網(wǎng)絡游戲或者其他方式進行賭博或者變相賭博活動。
第六條實施經(jīng)營管理技術(shù)措施,建立場內(nèi)巡查制度,發(fā)現(xiàn)上網(wǎng)消費者有本條例第二條、第三條、第六條所列行為或者有其他違法行為的,應當立即予以制止并在24小時內(nèi)向文化行政部門、公安機關(guān)舉報。
第八條在顯著位置懸掛《網(wǎng)絡文化經(jīng)營許可證》和營業(yè)執(zhí)照。
第九條未成年人不得進入本網(wǎng)吧。在網(wǎng)吧入口處的顯著位置懸掛未成年人禁入標志。
第十條每日營業(yè)時間限于10時至2時。
第十一條對上網(wǎng)消費者的身份證等有效證件進行核對、登記,并記錄有關(guān)上網(wǎng)信息。登記內(nèi)容和記錄備份保存時間不得少于60日,并在文化行政部門、公安機關(guān)依法查詢時予以提供。登記內(nèi)容和記錄備份在保存期內(nèi)不得修改或者刪除。
第十二條依法履行信息網(wǎng)絡安全、治安和消防安全職責,并遵守下列規(guī)定:
(一)禁止明火照明和吸煙并懸掛禁止吸煙標志;
(二)禁止帶入和存放易燃、易爆物品;
(三)不得安裝固定的封閉門窗柵欄;
(四)營業(yè)期間禁止封堵或者鎖閉門窗、安全疏散通道和安全出口;
(五)不得擅自停止實施安全技術(shù)措施。
為了加強對網(wǎng)吧的管理,規(guī)范網(wǎng)吧的經(jīng)營,維護公眾和網(wǎng)吧的合法權(quán)益,保障網(wǎng)吧活動健康發(fā)展,促進社會主義精神文明建設,根據(jù)《互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所管理條例》制定了以上的網(wǎng)吧信息安全管理制度。