第一篇：信息安全等級保護管理辦法(精)

信息安全等級保護管理辦法

第一章

總則

第一條 為規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規，制定本辦法。

第二條 國家通過制定統一的信息安全等級保護管理規范和技術標準，組織公民、法人和其他組織對信息系統分等級實行安全保護，對等級保護工作的實施進行監督、管理。

第三條 公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規的規定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。

第四條 信息系統主管部門應當依照本辦法及相關標準規范，督促、檢查、指導本行業、本部門或者本地區信息系統運營、使用單位的信息安全等級保護工作。

第五條 信息系統的運營、使用單位應當依照本辦法及其相關標準規范，履行信息安全等級保護的義務和責任。

第二章 等級劃分與保護 第六條 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

第七條 信息系統的安全保護等級分為以下五級：

第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

第八條 信息系統運營、使用單位依據本辦法和相關技術標準對信息系統進行保護，國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。

第一級信息系統運營、使用單位應當依據國家有關管理 規范和技術標準進行保護。

第二級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。

第三級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。

第四級信息系統運營、使用單位應當依據國家有關管理規范、技術標準和業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。

第五級信息系統運營、使用單位應當依據國家管理規范、技術標準和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。

第三章 等級保護的實施與管理

第九條 信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》具體實施等級保護工作。

第十條 信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的，應當經主管部門審核批準。

跨省或者全國統一聯網運行的信息系統可以由主管部 門統一確定安全保護等級。

對擬確定為第四級以上信息系統的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

第十一條 信息系統的安全保護等級確定后，運營、使用單位應當按照國家信息安全等級保護管理規范和技術標準，使用符合國家有關規定，滿足信息系統安全保護等級需求的信息技術產品，開展信息系統安全建設或者改建工作。

第十二條 在信息系統建設過程中，運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》（GB17859-1999）、《信息系統安全等級保護基本要求》等技術標準，參照《信息安全技術 信息系統通用安全技術要求》（GB/T20271-2006）、《信息安全技術 網絡基礎安全技術要求》（GB/T20270-2006）、《信息安全技術 操作系統安全技術要求》（GB/T20272-2006）、《信息安全技術 數據庫管理系統安全技術要求》（GB/T20273-2006）、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》（GA/T671-2006）等技術標準同步建設符合該等級要求的信息安全設施。

第十三條 運營、使用單位應當參照《信息安全技術 信息系統安全管理要求》（GB/T20269-2006）、《信息安全技術 信息系統安全工程管理要求》（GB/T20282-2006）、《信息系 統安全等級保護基本要求》等管理規范，制定并落實符合本系統安全保護等級要求的安全管理制度。

第十四條 信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評。

信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查，第四級信息系統應當每半年至少進行一次自查，第五級信息系統應當依據特殊安全需求進行自查。

經測評或者自查，信息系統安全狀況未達到安全保護等級要求的，運營、使用單位應當制定方案進行整改。

第十五條 已運營（運行）的第二級以上信息系統，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。

新建第二級以上信息系統，應當在投入運行后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統，應當向當地設區的市級以上公安機關備案。

第十六條 辦理信息系統安全保護等級備案手續時，應當填寫《信息系統安全等級保護備案表》，第三級以上信息系統應當同時提供以下材料：

（一）系統拓撲結構及說明；

（二）系統安全組織機構和管理制度；

（三）系統安全保護設施設計實施方案或者改建實施方案；

（四）系統使用的信息安全產品清單及其認證、銷售許可證明；

（五）測評后符合系統安全保護等級的技術檢測評估報告；

（六）信息系統安全保護等級專家評審意見；

（七）主管部門審核批準信息系統安全保護等級的意見。

第十七條 信息系統備案后，公安機關應當對信息系統的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工作日內頒發信息系統安全等級保 護備案證明；發現不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正；發現定級不準的，應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。

運營、使用單位或者主管部門重新確定信息系統等級后，應當按照本辦法向公安機關重新備案。

第十八條 受理備案的公安機關應當對第三級、第四級信息系統的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統每年至少檢查一次，對第四級信息系統每半年至少檢查一次。對跨省或者全國統一聯網運行的信息系統的檢查，應當會同其主管部門進行。

對第五級信息系統，應當由國家指定的專門部門進行檢查。

公安機關、國家指定的專門部門應當對下列事項進行檢查：

（一）信息系統安全需求是否發生變化，原定保護等級是否準確；

（二）運營、使用單位安全管理制度、措施的落實情況；

（三）運營、使用單位及其主管部門對信息系統安全狀況的檢查情況；

（四）系統安全等級測評是否符合要求；

（五）信息安全產品使用是否符合要求；

（六）信息系統安全整改情況；

（七）備案材料與運營、使用單位、信息系統的符合情況；

（八）其他應當進行監督檢查的事項。

第十九條 信息系統運營、使用單位應當接受公安機關、國家指定的專門部門的安全監督、檢查、指導，如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信息資料及數據文件：

（一）信息系統備案事項變更情況；

（二）安全組織、人員的變動情況；

（三）信息安全管理制度、措施變更情況；

（四）信息系統運行狀況記錄；

（五）運營、使用單位及主管部門定期對信息系統安全狀況的檢查記錄；

（六）對信息系統開展等級測評的技術測評報告；

（七）信息安全產品使用的變更情況；

（八）信息安全事件應急預案，信息安全事件應急處置結果報告；

（九）信息系統安全建設、整改結果報告。

第二十條 公安機關檢查發現信息系統安全保護狀況不符合信息安全等級保護有關管理規范和技術標準的，應當向運營、使用單位發出整改通知。運營、使用單位應當根據整 改通知要求，按照管理規范和技術標準進行整改。整改完成后，應當將整改報告向公安機關備案。必要時，公安機關可以對整改情況組織檢查。

第二十一條 第三級以上信息系統應當選擇使用符合以下條件的信息安全產品：

（一）產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內具有獨立的法人資格；

（二）產品的核心技術、關鍵部件具有我國自主知識產權；

（三）產品研制、生產單位及其主要業務、技術人員無犯罪記錄；

（四）產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能；

（五）對國家安全、社會秩序、公共利益不構成危害；

（六）對已列入信息安全產品認證目錄的，應當取得國家信息安全產品認證機構頒發的認證證書。

第二十二條 第三級以上信息系統應當選擇符合下列條件的等級保護測評機構進行測評：

（一）在中華人民共和國境內注冊成立（港澳臺地區除外）；

（二）由中國公民投資、中國法人投資或者國家投資的 企事業單位（港澳臺地區除外）；

（三）從事相關檢測評估工作兩年以上，無違法記錄；

（四）工作人員僅限于中國公民；

（五）法人及主要業務、技術人員無犯罪記錄；

（六）使用的技術裝備、設施應當符合本辦法對信息安全產品的要求；

（七）具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；

（八）對國家安全、社會秩序、公共利益不構成威脅。

第二十三條 從事信息系統安全等級測評的機構，應當履行下列義務：

（一）遵守國家有關法律法規和技術標準，提供安全、客觀、公正的檢測評估服務，保證測評的質量和效果；

（二）保守在測評活動中知悉的國家秘密、商業秘密和個人隱私，防范測評風險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。

第四章 涉及國家秘密信息系統的分級保護管理

第二十四條 涉密信息系統應當依據國家信息安全等級保護的基本要求，按照國家保密工作部門有關涉密信息系統分級保護的管理規定和技術標準，結合系統實際情況進行保 護。

非涉密信息系統不得處理國家秘密信息。

第二十五條 涉密信息系統按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級。

涉密信息系統建設使用單位應當在信息規范定密的基礎上，依據涉密信息系統分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統分級保護技術要求》確定系統等級。對于包含多個安全域的涉密信息系統，各安全域可以分別確定保護等級。

保密工作部門和機構應當監督指導涉密信息系統建設使用單位準確、合理地進行系統定級。

第二十六條 涉密信息系統建設使用單位應當將涉密信息系統定級和建設使用情況，及時上報業務主管部門的保密工作機構和負責系統審批的保密工作部門備案，并接受保密部門的監督、檢查、指導。

第二十七條 涉密信息系統建設使用單位應當選擇具有涉密集成資質的單位承擔或者參與涉密信息系統的設計與實施。

涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規范和技術標準，按照秘密、機密、絕密三級的不同要求，結合系統實際進行方案設計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四 級、第五級的水平。

第二十八條 涉密信息系統使用的信息安全保密產品原則上應當選用國產品，并應當通過國家保密局授權的檢測機構依據有關國家保密標準進行的檢測，通過檢測的產品由國家保密局審核發布目錄。

第二十九條 涉密信息系統建設使用單位在系統工程實施結束后，應當向保密工作部門提出申請，由國家保密局授權的系統測評機構依據國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統分級保護測評指南》，對涉密信息系統進行安全保密測評。

涉密信息系統建設使用單位在系統投入使用前，應當按照《涉及國家秘密的信息系統審批管理規定》，向設區的市級以上保密工作部門申請進行系統審批，涉密信息系統通過審批后方可投入使用。已投入使用的涉密信息系統，其建設使用單位在按照分級保護要求完成系統整改后，應當向保密工作部門備案。

第三十條 涉密信息系統建設使用單位在申請系統審批或者備案時，應當提交以下材料：

（一）系統設計、實施方案及審查論證意見；

（二）系統承建單位資質證明材料；

（三）系統建設和工程監理情況報告；

（四）系統安全保密檢測評估報告；

（五）系統安全保密組織機構和管理制度情況；

（六）其他有關材料。

第三十一條 涉密信息系統發生涉密等級、連接范圍、環境設施、主要應用、安全保密管理責任單位變更時，其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據實際情況，決定是否對其重新進行測評和審批。

第三十二條 涉密信息系統建設使用單位應當依據國家保密標準BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》，加強涉密信息系統運行中的保密管理，定期進行風險評估，消除泄密隱患和漏洞。

第三十三條 國家和地方各級保密工作部門依法對各地區、各部門涉密信息系統分級保護工作實施監督管理，并做好以下工作：

（一）指導、監督和檢查分級保護工作的開展；

（二）指導涉密信息系統建設使用單位規范信息定密，合理確定系統保護等級；

（三）參與涉密信息系統分級保護方案論證，指導建設使用單位做好保密設施的同步規劃設計；

（四）依法對涉密信息系統集成資質單位進行監督管理；

（五）嚴格進行系統測評和審批工作，監督檢查涉密信 息系統建設使用單位分級保護管理制度和技術措施的落實情況；

（六）加強涉密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每兩年至少進行一次保密檢查或者系統測評，對絕密級信息系統每年至少進行一次保密檢查或者系統測評；

（七）了解掌握各級各類涉密信息系統的管理使用情況，及時發現和查處各種違規違法行為和泄密事件。

第五章 信息安全等級保護的密碼管理

第三十四條 國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據被保護對象在國家安全、社會穩定、經濟建設中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門的性質等，確定密碼的等級保護準則。

信息系統運營、使用單位采用密碼進行等級保護的，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關標準。

第三十五條 信息系統安全等級保護中密碼的配備、使用和管理等，應當嚴格執行國家密碼管理的有關規定。

第三十六條 信息系統運營、使用單位應當充分運用密碼技術對信息系統進行保護。采用密碼對涉及國家秘密的信息和信息系統進行保護的，應報經國家密碼管理局審批，密 碼的設計、實施、使用、運行維護和日常管理等，應當按照國家密碼管理有關規定和相關標準執行；采用密碼對不涉及國家秘密的信息和信息系統進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關規定與相關標準，其密碼的配備使用情況應當向國家密碼管理機構備案。

第三十七條

運用密碼技術對信息系統進行系統等級保護建設和整改的，必須采用經國家密碼管理部門批準使用或者準于銷售的密碼產品進行安全保護，不得采用國外引進或者擅自研制的密碼產品；未經批準不得采用含有加密功能的進口信息技術產品。

第三十八條

信息系統中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔，其他任何部門、單位和個人不得對密碼進行評測和監控。

第三十九條 各級密碼管理部門可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監督檢查過程中，發現存在安全隱患或者違反密碼管理相關規定或者未達到密碼相關標準要求的，應當按照國家密碼管理的相關規定進行處置。

第六章 法律責任

第四十條 第三級以上信息系統運營、使用單位違反本 辦法規定，有下列行為之一的，由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負責的主管人員和其他直接責任人員予以處理，并及時反饋處理結果：

（一）未按本辦法規定備案、審批的；

（二）未按本辦法規定落實安全管理制度、措施的；

（三）未按本辦法規定開展系統安全狀況檢查的；

（四）未按本辦法規定開展系統安全技術測評的；

（五）接到整改通知后，拒不整改的；

（六）未按本辦法規定選擇使用信息安全產品和測評機構的；

（七）未按本辦法規定如實提供有關文件和證明材料的；

（八）違反保密管理規定的；

（九）違反密碼管理規定的；

（十）違反本辦法其他規定的。

違反前款規定，造成嚴重損害的，由相關部門依照有關法律、法規予以處理。

第四十一條 信息安全監管部門及其工作人員在履行監督管理職責中，玩忽職守、濫用職權、徇私舞弊的，依法給予行政處分；構成犯罪的，依法追究刑事責任。

第七章 附則

第四十二條 已運行信息系統的運營、使用單位自本辦法施行之日起180日內確定信息系統的安全保護等級；新建信息系統在設計、規劃階段確定安全保護等級。

第四十三條 本辦法所稱“以上”包含本數（級）。第四十四條 本辦法自發布之日起施行，《信息安全等級保護管理辦法（試行）》（公通字[2006]7號）同時廢止。

第二篇：信息安全等級保護管理辦法

關于印發《信息安全等級保護管理辦法》的通知

各省、自治區、直轄市公安廳（局）、保密局、國家密碼管理局（國家密碼管理委員會辦公室）、信息化領導小組辦公室，新疆生產建設兵團公安局、保密局、國家密碼管理局、信息化領導小組辦公室，中央和國家機關各部委保密委員會辦公室、密碼工作領導小組辦公室、信息化領導小組辦公室，各人民團體保密委員會辦公室：

為加快推進信息安全等級保護，規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定了《信息安全等級保護管理辦法》?，F印發給你們，請認真貫徹執行。

公

安

部

國 家 保 密 局 國家密碼管理局

國務院信息工作辦公室

二〇〇七年六月二十二日

信息安全等級保護管理辦法

第一章 總則

第一條 為規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規，制定本辦法。

第二條 國家通過制定統一的信息安全等級保護管理規范和技術標準，組織公民、法人和其他組織對信息系統分等級實行安全保護，對等級保護工作的實施進行監督、管理。

第三條 公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規的規定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。

第四條 信息系統主管部門應當依照本辦法及相關標準規范，督促、檢查、指導本行業、本部門或者本地區信息系統運營、使用單位的信息安全等級保護工作。

第五條 信息系統的運營、使用單位應當依照本辦法及其相關標準規范，履行信息安全等級保護的義務和責任。

第二章 等級劃分與保護 第六條 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

第七條 信息系統的安全保護等級分為以下五級：

第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。第八條 信息系統運營、使用單位依據本辦法和相關技術標準對信息系統進行保護，國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。

第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。第二級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。

第三級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。

第四級信息系統運營、使用單位應當依據國家有關管理規范、技術標準和業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。

第五級信息系統運營、使用單位應當依據國家管理規范、技術標準和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。

第三章 等級保護的實施與管理

第九條 信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》 具體實施等級保護工作。

第十條 信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的，應當經主管部門審核批準。

跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。對擬確定為第四級以上信息系統的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

第十一條 信息系統的安全保護等級確定后，運營、使用單位應當按照國家信息安全等級保護管理規范和技術標準，使用符合國家有關規定，滿足信息系統安全保護等級需求的信息技術產品，開展信息系統安全建設或者改建工作。

第十二條 在信息系統建設過程中，運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》（GB17859-1999）、《信息系統安全等級保護基本要求》等技術標準，參照《信息安全技術 信息系統通用安全技術要求》（GB/T20271-2006）、《信息安全技術 網絡基礎安全技術要求》（GB/T20270-2006）、《信息安全技術 操作系統安全技術要求》（GB/T20272-2006）、《信息安全技術 數據庫管理系統安全技術要求》（GB/T20273-2006）、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》（GA/T671-2006）等技術標準同步建設符合該等級要求的信息安全設施。

第十三條 運營、使用單位應當參照《信息安全技術 信息系統安全管理要求》（GB/T20269-2006）、《信息安全技術 信息系統安全工程管理要求》（GB/T20282-2006）、《信息系統安全等級保護基本要求》等管理規范，制定并落實符合本系統安全保護等級要求的安全管理制度。

第十四條 信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評。

信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查，第四級信息系統應當每半年至少進行一次自查，第五級信息系統應當依據特殊安全需求進行自查。經測評或者自查，信息系統安全狀況未達到安全保護等級要求的，運營、使用單位應當制定方案進行整改。

第十五條 已運營（運行）的第二級以上信息系統，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。

新建第二級以上信息系統，應當在投入運行后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。

隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由主管部門向公安部辦理備案手續?？缡』蛘呷珖y一聯網運行的信息系統在各地運行、應用的分支系統，應當向當地設區的市級以上公安機關備案。

第十六條 辦理信息系統安全保護等級備案手續時，應當填寫《信息系統安全等級保護備案表》，第三級以上信息系統應當同時提供以下材料：

（一）系統拓撲結構及說明；

（二）系統安全組織機構和管理制度；

（三）系統安全保護設施設計實施方案或者改建實施方案；

（四）系統使用的信息安全產品清單及其認證、銷售許可證明；

（五）測評后符合系統安全保護等級的技術檢測評估報告；

（六）信息系統安全保護等級專家評審意見；

（七）主管部門審核批準信息系統安全保護等級的意見。

第十七條 信息系統備案后，公安機關應當對信息系統的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工作日內頒發信息系統安全等級保護備案證明；發現不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正；發現定級不準的，應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。

運營、使用單位或者主管部門重新確定信息系統等級后，應當按照本辦法向公安機關重新備案。

第十八條 受理備案的公安機關應當對第三級、第四級信息系統的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統每年至少檢查一次，對第四級信息系統每半年至少檢查一次。對跨省或者全國統一聯網運行的信息系統的檢查，應當會同其主管部門進行。

對第五級信息系統，應當由國家指定的專門部門進行檢查。公安機關、國家指定的專門部門應當對下列事項進行檢查：

（一）信息系統安全需求是否發生變化，原定保護等級是否準確；

（二）運營、使用單位安全管理制度、措施的落實情況；

（三）運營、使用單位及其主管部門對信息系統安全狀況的檢查情況；

（四）系統安全等級測評是否符合要求；

（五）信息安全產品使用是否符合要求；

（六）信息系統安全整改情況；

（七）備案材料與運營、使用單位、信息系統的符合情況；

（八）其他應當進行監督檢查的事項。

第十九條 信息系統運營、使用單位應當接受公安機關、國家指定的專門部門的安全監督、檢查、指導，如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信息資料及數據文件：

（一）信息系統備案事項變更情況；

（二）安全組織、人員的變動情況；

（三）信息安全管理制度、措施變更情況；

（四）信息系統運行狀況記錄；

（五）運營、使用單位及主管部門定期對信息系統安全狀況的檢查記錄；

（六）對信息系統開展等級測評的技術測評報告；

（七）信息安全產品使用的變更情況；

（八）信息安全事件應急預案，信息安全事件應急處置結果報告；

（九）信息系統安全建設、整改結果報告。

第二十條 公安機關檢查發現信息系統安全保護狀況不符合信息安全等級保護有關管理規范和技術標準的，應當向運營、使用單位發出整改通知。運營、使用單位應當根據整改通知要求，按照管理規范和技術標準進行整改。整改完成后，應當將整改報告向公安機關備案。必要時，公安機關可以對整改情況組織檢查。

第二十一條 第三級以上信息系統應當選擇使用符合以下條件的信息安全產品：

（一）產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內具有獨立的法人資格；

（二）產品的核心技術、關鍵部件具有我國自主知識產權；

（三）產品研制、生產單位及其主要業務、技術人員無犯罪記錄；

（四）產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能；

（五）對國家安全、社會秩序、公共利益不構成危害；

（六）對已列入信息安全產品認證目錄的，應當取得國家信息安全產品認證機構頒發的認證證書。

第二十二條 第三級以上信息系統應當選擇符合下列條件的等級保護測評機構進行測評：

（一）在中華人民共和國境內注冊成立（港澳臺地區除外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除外）；

（三）（四）

（五）從事相關檢測評估工作兩年以上，無違法記錄； 工作人員僅限于中國公民；

法人及主要業務、技術人員無犯罪記錄；

（六）使用的技術裝備、設施應當符合本辦法對信息安全產品的要求；

（七）具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；

（八）對國家安全、社會秩序、公共利益不構成威脅。

第二十三條 從事信息系統安全等級測評的機構，應當履行下列義務：

（一）遵守國家有關法律法規和技術標準，提供安全、客觀、公正的檢測評估服務，保證測評的質量和效果；

（二）保守在測評活動中知悉的國家秘密、商業秘密和個人隱私，防范測評風險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。

第四章 涉及國家秘密信息系統的分級保護管理

第二十四條 涉密信息系統應當依據國家信息安全等級保護的基本要求，按照國家保密工作部門有關涉密信息系統分級保護的管理規定和技術標準，結合系統實際情況進行保護。

非涉密信息系統不得處理國家秘密信息。

第二十五條 涉密信息系統按照所處理信息的最高密級，由低到高分為秘密、機 密、絕密三個等級。

涉密信息系統建設使用單位應當在信息規范定密的基礎上，依據涉密信息系統分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統分級保護技術要求》確定系統等級。對于包含多個安全域的涉密信息系統，各安全域可以分別確定保護等級。

保密工作部門和機構應當監督指導涉密信息系統建設使用單位準確、合理地進行系統定級。

第二十六條 涉密信息系統建設使用單位應當將涉密信息系統定級和建設使用情況，及時上報業務主管部門的保密工作機構和負責系統審批的保密工作部門備案，并接受保密部門的監督、檢查、指導。

第二十七條 涉密信息系統建設使用單位應當選擇具有涉密集成資質的單位承擔或者參與涉密信息系統的設計與實施。

涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規范和技術標準，按照秘密、機密、絕密三級的不同要求，結合系統實際進行方案設計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。

第二十八條 涉密信息系統使用的信息安全保密產品原則上應當選用國產品，并應當通過國家保密局授權的檢測機構依據有關國家保密標準進行的檢測，通過檢測的產品由國家保密局審核發布目錄。

第二十九條 涉密信息系統建設使用單位在系統工程實施結束后，應當向保密工作部門提出申請，由國家保密局授權的系統測評機構依據國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統分級保護測評指南》，對涉密信息系統進行安全保密測評。

涉密信息系統建設使用單位在系統投入使用前，應當按照《涉及國家秘密的信息系統審批管理規定》，向設區的市級以上保密工作部門申請進行系統審批，涉密信息系統通過審批后方可投入使用。已投入使用的涉密信息系統，其建設使用單位在按照分級保護要求完成系統整改后，應當向保密工作部門備案。

第三十條 涉密信息系統建設使用單位在申請系統審批或者備案時，應當提交以下材料：

（一）系統設計、實施方案及審查論證意見；

（二）系統承建單位資質證明材料；

（三）系統建設和工程監理情況報告；

（四）系統安全保密檢測評估報告；

（五）系統安全保密組織機構和管理制度情況；

（六）其他有關材料。

第三十一條 涉密信息系統發生涉密等級、連接范圍、環境設施、主要應用、安全保密管理責任單位變更時，其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據實際情況，決定是否對其重新進行測評和審批。

第三十二條 涉密信息系統建設使用單位應當依據國家保密標準BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》，加強涉密信息系統運行中的保密管理，定期進行風險評估，消除泄密隱患和漏洞。

第三十三條 國家和地方各級保密工作部門依法對各地區、各部門涉密信息系統分級保護工作實施監督管理，并做好以下工作：

（一）指導、監督和檢查分級保護工作的開展；

（二）指導涉密信息系統建設使用單位規范信息定密，合理確定系統保護等級；

（三）參與涉密信息系統分級保護方案論證，指導建設使用單位做好保密設施的同步規劃設計；

（四）依法對涉密信息系統集成資質單位進行監督管理；

（五）嚴格進行系統測評和審批工作，監督檢查涉密信息系統建設使用單位分級保護管理制度和技術措施的落實情況；

（六）加強涉密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每兩年至少進行一次保密檢查或者系統測評，對絕密級信息系統每年至少進行一次保密檢查或者系統測評；

（七）了解掌握各級各類涉密信息系統的管理使用情況，及時發現和查處各種違規違法行為和泄密事件。

第五章 信息安全等級保護的密碼管理

第三十四條 國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據被保護對象在國家安全、社會穩定、經濟建設中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門的性 質等，確定密碼的等級保護準則。

信息系統運營、使用單位采用密碼進行等級保護的，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關標準。

第三十五條 信息系統安全等級保護中密碼的配備、使用和管理等，應當嚴格執行國家密碼管理的有關規定。

第三十六條 信息系統運營、使用單位應當充分運用密碼技術對信息系統進行保護。采用密碼對涉及國家秘密的信息和信息系統進行保護的，應報經國家密碼管理局審批，密碼的設計、實施、使用、運行維護和日常管理等，應當按照國家密碼管理有關規定和相關標準執行；采用密碼對不涉及國家秘密的信息和信息系統進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關規定與相關標準，其密碼的配備使用情況應當向國家密碼管理機構備案。

第三十七條

運用密碼技術對信息系統進行系統等級保護建設和整改的，必須采用經國家密碼管理部門批準使用或者準于銷售的密碼產品進行安全保護，不得采用國外引進或者擅自研制的密碼產品；未經批準不得采用含有加密功能的進口信息技術產品。

第三十八條

信息系統中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔，其他任何部門、單位和個人不得對密碼進行評測和監控。

第三十九條 各級密碼管理部門可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監督檢查過程中，發現存在安全隱患或者違反密碼管理相關規定或者未達到密碼相關標準要求的，應當按照國家密碼管理的相關規定進行處置。

第六章 法律責任

第四十條 第三級以上信息系統運營、使用單位違反本辦法規定，有下列行為之一的，由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負責的主管人員和其他直接責任人員予以處理，并及時反饋處理結果：

（一）未按本辦法規定備案、審批的；

（二）未按本辦法規定落實安全管理制度、措施的；

（三）未按本辦法規定開展系統安全狀況檢查的；

（四）未按本辦法規定開展系統安全技術測評的；

（五）接到整改通知后，拒不整改的；

（六）未按本辦法規定選擇使用信息安全產品和測評機構的；

（七）未按本辦法規定如實提供有關文件和證明材料的；

（八）違反保密管理規定的；

（九）違反密碼管理規定的；

（十）違反本辦法其他規定的。

違反前款規定，造成嚴重損害的，由相關部門依照有關法律、法規予以處理。

第四十一條 信息安全監管部門及其工作人員在履行監督管理職責中，玩忽職守、濫用職權、徇私舞弊的，依法給予行政處分；構成犯罪的，依法追究刑事責任。

第七章 附則

第四十二條 已運行信息系統的運營、使用單位自本辦法施行之日起180日內確定信息系統的安全保護等級；新建信息系統在設計、規劃階段確定安全保護等級。

第四十三條 本辦法所稱“以上”包含本數（級）。

第四十四條 本辦法自發布之日起施行，《信息安全等級保護管理辦法（試行）》（公通字[2006]7號）同時廢止。

第三篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統要求，藍色字體為第三級系統等保要求。

一、物理安全

1、應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）

2、應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應配置電子門禁系統(三級明確要求)；電子門禁系統有驗收文檔或產品安全認證資質，電子門禁系統運行和維護記錄

4、主要設備或設備的主要部件上應設置明顯的不易除去的標記

5、介質有分類標識；介質分類存放在介質庫或檔案室內，磁介質、紙介質等分類存放

6、應具有攝像、傳感等監控報警系統；機房防盜報警設施的安全資質材料、安裝測試和驗收報告；機房防盜報警系統的運行記錄、定期檢查和維護記錄；

7、應具有機房監控報警設施的安全資質材料、安裝測試和驗收報告；機房監控報警系統的運行記錄、定期檢查和維護記錄

8、應具有機房建筑的避雷裝置；通過驗收或國家有關部門的技術檢測；

9、應在電源和信號線上增加有資質的防雷保安器；具有防雷檢測資質的檢測部門對防雷裝置的檢測報告

10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統；自動消防系統的運行記錄、檢查和定期維護記錄；消防產品有效期合格；自動消防系統是經消防檢測部門檢測合格的產品

11、應具有除濕裝置；空調機和加濕器；溫濕度定期檢查和維護記錄

12、應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應具有溫濕度自動調節設施；溫濕度自動調節設施的運行記錄、定期檢查和維護記錄

14、應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄

15、應具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應具有備用供電系統（如備用發電機）；備用供電系統運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應具有對重要管理操作的操作規程，如系統維護手冊和用戶操作規程

2、應具有安全管理制度的制定程序：

3、應具有專門的部門或人員負責安全管理制度的制定（發布制度具有統一的格式，并進行版本控制）

4、應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內部審核等），應具有管理制度評審記錄

5、應具有安全管理制度的收發登記記錄，收發應通過正式、有效的方式（如正式發文、領導簽署和單位蓋章等）----安全管理制度應注明發布范圍，并對收發文進行登記。

6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構和組織結構等發生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）

三、安全管理機構

1、應設立信息安全管理工作的職能部門

2、應設立安全主管、安全管理各個方面的負責人

3、應設立機房管理員、系統管理員、網絡管理員、安全管理員等重要崗位（分工明確，各司其職），數量情況（管理人員名單、崗位與人員對應關系表）

4、安全管理員應是專職人員

5、關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應設立指導和管理信息安全工作的委員會或領導小組（最高領導是否由單位主管領導委任或授權的人員擔任）

7、應對重要信息系統活動進行審批（如系統變更、重要操作、物理訪問和系統接入、重要管理制度的制定和發布、人員的配備和培訓、產品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應與其它部門之間及內部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）

9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領導小組安全管理工作執行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應與公安機關、電信公司和兄弟單位等的溝通合作（外聯單位聯系列表）

12、應與供應商、業界專家、專業的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應組織人員定期對信息系統進行安全檢查（查看檢查內容是否包括系統日常運行、系統漏洞和數據備份等情況）

15、應定期進行全面安全檢查（安全檢查是否包含現行技術措施有效性和管理制度執行情況等方面、具有安全檢查表格，安全檢查報告，檢查結果通告記錄）

四、人員安全管理

1、何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）

2、應對被錄用人的身份、背景、專業資格和資質進行審查，對技術人員的技術技能進行考核，技能考核文檔或記錄

3、應與錄用后的技術人員簽署保密協議（協議中有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容）

4、應設定關鍵崗位，對從事關鍵崗位的人員是否從內部人員中選拔，是否要求其簽署崗位安全協議。

5、應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）

6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等（交還身份證件和設備等的登記記錄）

7、人員離崗應辦理調離手續，是否要求關鍵崗位調離人員承諾相關保密義務后方可離開（具有按照離崗程序辦理調離手續的記錄，調離人員的簽字）

8、對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內容要求包含安全知識、安全技能等。

9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內容是否包括操作行為和社會關系等。

10、應對各類人員（普通用戶、運維人員、單位領導等）進行安全教育、崗位技能和安全技術培訓。

11、應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結果記錄，記錄應與培訓計劃一致）

12、外部人員進入條件（對哪些重要區域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監督等）

13、應具有外部人員訪問重要區域的書面申請

14、應具有外部人員訪問重要區域的登記記錄（記錄描述了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等）

五、系統建設管理

1、應明確信息系統的邊界和安全保護等級（具有定級文檔，明確信息系統安全保護等級）

2、應具有系統建設/整改方案

3、應授權專門的部門對信息系統的安全建設進行總體規劃，由何部門/何人負責

4、應具有系統的安全建設工作計劃（系統安全建設工作計劃中明確了近期和遠期的安全建設計劃）

5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂

7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的維護記錄或修訂版本

8、應按照國家的相關規定進行采購和使用系統信息安全產品

9、安全產品的相關憑證，如銷售許可等，應使用符合國家有關規定產品

10、應具有專門的部門負責產品的采購

11、采購產品前應預先對產品進行選型測試確定產品的候選范圍，形成候選產品清單，是否定期審定和更新候選產品名單

12、應具有產品選型測試結果記錄和候選產品名單及更新記錄（產品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發布應進行授權和批準

15、應具有程序資源庫的修改、更新、發布文檔或記錄

16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業產品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統正式運行前，應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試（第三方測試機構出示的系統安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統測試驗收報告進行審定的意見）

26、根據交付清單對所交接的設備、文檔、軟件等進行清點（系統交付清單）

27、應具有系統交付時的技術培訓記錄

28、應具有系統建設文檔（如系統建設方案）、指導用戶進行系統運維的文檔（如服務器操作規程書）以及系統培訓手冊等文檔。

29、應指定部門負責系統交付工作

30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議（文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

11、采購產品前應預先對產品進行選型測試確定產品的候選范圍，形成候選產品清單，是否定期審定和更新候選產品名單

12、應具有產品選型測試結果記錄和候選產品名單及更新記錄（產品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發布應進行授權和批準

15、應具有程序資源庫的修改、更新、發布文檔或記錄

16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業產品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統正式運行前，應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試（第三方測試機構出示的系統安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統測試驗收報告進行審定的意見）

26、根據交付清單對所交接的設備、文檔、軟件等進行清點（系統交付清單）

27、應具有系統交付時的技術培訓記錄

28、應具有系統建設文檔（如系統建設方案）、指導用戶進行系統運維的文檔（如服務器操作規程書）以及系統培訓手冊等文檔。

29、應指定部門負責系統交付工作

30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議（文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

六、系統運維管理

1、應指定專人或部門對機房的基本設施（如空調、供配電設備等）進行定期維護，由何部門/何人負責。

2、應具有機房基礎設施的維護記錄，空調、溫濕度控制等機房設施定期維護保養的記錄

3、應指定部門和人員負責機房安全管理工作

4、應對辦公環境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態、桌面上沒有包含敏感信息的紙檔文件）

5、應具有資產清單（覆蓋資產責任人、所屬級別、所處位置、所處部門等方面）

6、應指定資產管理的責任部門或人員

7、應依據資產的重要程度對資產進行標識

8、介質存放于何種環境中，應對存放環境實施專人管理（介質存放在安全的環境（防潮、防盜、防火、防磁，專用存儲空間））

9、應具有介質使用管理記錄，應記錄介質歸檔和使用等情況（介質存放、使用管理記錄）

10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環節的控制

11、應對介質的使用情況進行登記管理，并定期盤點（介質歸檔和查詢的記錄、存檔介質定期盤點的記錄）

12、對送出維修或銷毀的介質如何管理，銷毀前應對數據進行凈化處理。（對帶出工作環境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）

13、應對某些重要介質實行異地存儲，異地存儲環境是否與本地環境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質上應具有分類的標識或標簽

15、應對各類設施、設備指定專人或專門部門進行定期維護。

16、應具有設備操作手冊

17、應對帶離機房的信息處理設備經過審批流程，由何人審批（審批記錄）

18、應監控主機、網絡設備和應用系統的運行狀況等

19、應有相關網絡監控系統或技術措施能夠對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警

20、應具有日常運維的監控日志記錄和運維交接日志記錄

21、應定期對監控記錄進行分析、評審

22、應具有異常現象的現場處理記錄和事后相關的分析報告

23、應建立安全管理中心，對設備狀態、惡意代碼、補丁升級、安全審計等相關事項進行集中管理

24、應指定專人負責維護網絡安全管理工作

25、應對網絡設備進行過升級，更新前應對現有的重要文件是否進行備份（網絡設備運維維護工作記錄）

26、應對網絡進行過漏洞掃描，并對發現的漏洞進行及時修補。

27、對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網絡設備配置數據的離線備份）

28、系統網絡的外聯種類（互聯網、合作伙伴企業網、上級部門網絡等）應都得到授權與批準，由何人/何部門批準。應定期檢查違規聯網的行為。

29、對便攜式和移動式設備的網絡接入應進行限制管理

30、應具有內部網絡外聯的授權批準書，應具有網絡違規行為（如撥號上網等）的檢查手段和工具。

31、在安裝系統補丁程序前應經過測試，并對重要文件進行備份。

32、應有補丁測試記錄和系統補丁安裝操作記錄

33、應對系統管理員用戶進行分類（比如：劃分不同的管理角色，系統管理權限與安全審計權限分離等）

34、審計員應定期對系統審計日志進行分析（有定期對系統運行日志和審計數據的分析報告）

35、應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關培訓文檔）

36、應指定專人對惡意代碼進行檢測，并保存記錄。

37、應具有對網絡和主機進行惡意代碼檢測的記錄

38、應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現過大規模的病毒事件，如何處理

39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統的變更申請書，應具有主管領導的批準

42、系統管理員、數據庫管理員和網絡管理員應識別需定期備份的業務信息、系統數據及軟件系統（備份文件記錄）

43、應定期執行恢復程序，檢查和測試備份介質的有效性

44、應有系統運維過程中發現的安全弱點和可疑事件對應的報告或相關文檔

45、應對安全事件記錄分析文檔

46、應具有不同事件的應急預案

47、應具有應急響應小組，應具備應急設備并能正常工作，應急預案執行所需資金應做過預算并能夠落實。

48、應對系統相關人員進行應急預案培訓（應急預案培訓記錄）

49、應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新

51、應具有更新的應急預案記錄、應急預案審查記錄。

第四篇：安全等級保護管理辦法

安全等級保護管理辦法

為規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規制定以下辦法：

第1條 網絡安全策略管理由安全保密管理員專職負責，未經允許任何人不得進行此項操作。

第2條 根據網絡信息系統的安全設計要求及主機審計系統數據的分析結果，制定、配置、修改、刪除主機審計系統的各項管理策略，并做記錄。

第3條 根據網絡信息系統的安全設計要求制定、配置、修改、刪除網絡安全評估分析系統的各項管理策略，并做記錄。

第4條 根據網絡信息系統的安全設計要求制定、配置、修改、刪除入侵檢測系統的各項管理策略，并做記錄。

第5條 根據網絡信息系統的安全設計要求制定、配置、修改、刪除、內網主機安全監控與審計系統的各項管理策略，并做記錄。

第6條 每周對網絡信息系統安全管理策略進行數據備份，并作詳細記錄。第7條 網絡信息安全技術防護系統（主機審計系統、漏洞掃描系統、防病毒系統、內網主機安全監控與審計系統）由網絡安全保密管理員統一負責安裝和卸載。

第8條 網絡信息系統安全檢查由安全保密管理員專職負責執行，未經允許任何人不得進行此項操作。

第9條 每天根據入侵檢測系統的系統策略檢測、審計系統日志，檢查是否有網絡攻擊、異常操作、不正常數據流量等，對異常情況做及時處理，遇有重大安全問題上報保密局，并做詳細記錄。

第10條 每周登陸入侵檢測系統產品網站，下載最新升級文件包，對系統進行更新，并做詳細記錄。

第11條 每月通過漏洞掃描系統對網絡系統終端進行安全評估分析，并對掃描結果進行分析，及時對終端系統漏洞及安全隱患進行處理，作詳細記錄，并將安全評估分析報告上報保密辦。

第12條 每周登錄全評估產品網站，下載最新升級文件包，對系統進行更新，并作詳細記錄。

第13條 每周備份入侵檢測系統和漏洞掃描系統的審計信息，并作詳細記錄。第14條 涉密計算機安全管理由安全保密管理員專人負責，未經允許任何人不得進行此項操作。

第15條 根據網絡系統安全設計要求制定、修改、刪除涉密計算機安全審計策略，包括打印控制策略、外設輸入輸出控制策略、應用程序控制策略，并做記錄。

第16條 每日對涉密計算機進行安全審計，及時處理安全問題，并做詳細記錄，遇有重大問題上報保密部門。

第17條 涉密計算機的新增、變更、淘汰需經保密部門審批，審批通過后由安全保密管理員統一進行操作，并做詳細記錄。

第18條 新增涉密計算機聯入涉密網絡，需經保密局審批，由安全保密管理員統一進行操作，并做詳細記錄。

第五篇：浙江省信息安全等級保護管理辦法

浙江省信息安全等級保護管理辦法 省政府令223號

浙江省信息安全等級保護管理辦法》已經省人民政府第77次常務會議審議通過，現予公布，自2007年1月1日起施行。

省長 呂祖善

二○○六年九月三十日

第一章 總則

第一條 為加強和規范信息安全等級保護管理，提高信息安全保障能力，維護國家安全、公共利益和社會穩定，促進信息化建設，根據國家有關規定，結合本省實際，制定本辦法。

第二條 本省行政區域內建設、運營、使用信息系統的單位，均須遵守本辦法。

第三條 本辦法所稱信息安全等級保護，是指按國家規定對需要實行安全等級保護的各類信息的存儲、傳輸、處理的信息系統進行相應的等級保護，對信息系統中發生的信息安全突發公共事件實行分等級響應和處置的安全保障制度。

第四條 本辦法所稱信息，是指通過信息系統進行存儲、傳輸、處理的語言、文字、聲音、圖像、數字等資料。

本辦法所稱信息系統，是指由計算機、信息網絡及其配套的設施、設備構成的，按照一定的應用目標和規則對信息進行存儲、傳輸、處理的運行體系。

第五條 信息安全等級保護應當遵循分級實施、明確責任、確保安全的原則；重點保障基礎信息網絡和重要信息系統各類信息的安全性和信息處理的連續性。

信息系統應當按照信息安全等級保護的要求，實行同步建設、動態調整、誰運行誰負責的原則。

第六條 縣級以上人民政府應當加強對信息安全等級保護工作的領導，把信息安全等級保護納入信息化建設規劃，協調、解決有關重大問題，建立必要的資金和技術的保障機制。

第七條 縣級以上人民政府公安、國家安全、保密、密碼、信息化等行政主管部門應當按照國家和本辦法規定，履行監督管理職責。

縣級以上人民政府其他相關部門，應當按照職責分工，落實信息安全等級保護管理的責任，配合做好相關工作。

第二章 等級保護的分級與實施

第八條 根據信息系統承載的信息的重要性、業務處理對系統的依賴性以及系統遭到破壞后對經濟、社會的危害程度，確定信息系統相應的保護等級。

信息系統的保護等級分為以下五級：

（一）信息系統承載的信息涉及公民、法人和其他組織的權益，信息系統遭到破壞后，業務可以直接用其他方式替代處理，對公民、法人和其他組織的權益有一定影響，但不損害國家安全、社會秩序、經濟建設和公共利益的，為一級保護，由運營單位自主保護；

（二）信息系統承載的信息直接涉及公民、法人和其他組織的權益，信息系統遭到破壞后，會影響業務的正常處理，并對國家安全、社會秩序、經濟建設和公共利益造成一定損害的，為二級保護，由運營單位在信息安全等級保護工作監管部門的指導下進行保護；

（三）信息系統承載的信息涉及國家、社會和公共利益，信息系統遭到破壞后，會嚴重影響業務的正常處理，并對國家安全、社會秩序、經濟建設和公共利益造成較大損害的，為三級保護，由運營單位在信息安全等級保護工作監管部門的監督下進行保護；

（四）信息系統承載的信息直接涉及國家、社會和公共利益，信息系統遭到破壞后，業務無法正常處理，并對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害的，為四級保護，由運營單位按照信息安全等級保護工作監管部門的強制要求進行保護；

（五）信息系統承載的信息直接關系國家安全、社會穩定、經濟建設和運行，信息系統遭到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害的，為五級保護，由運營單位在國家指定的專門部門、專門機構的?？叵逻M行保護。

第九條 信息系統的建設、運營、使用單位，應當按照國家有關技術規范、標準和本辦法第八條規定自行選定其信息系統相應的保護等級。

基礎信息網絡和重要信息系統的保護等級，建設單位應當在信息系統規劃設計時，按照本辦法第十條規定報經審定。

第十條 基礎信息網絡和重要信息系統保護等級，實行專家評審制度。

省、設區的市信息化行政主管部門應當分別建立省、市信息系統保護等級專家評審組，并分別組織對關系全省和關系全市的基礎信息網絡和重要信息系統的保護等級進行審定。申報與審定的具體細則，由省信息化行政主管部門會同省公安部門制定，并報省人民政府備案。

第十一條 對于包含多個子系統的信息系統，應當根據各子系統的重要程度分別確定保護等級。

第十二條 信息系統建設完成后，其運營、使用單位應當按照國家有關技術規范和標準進行安全測評，符合要求的，方可投入使用。

第十三條 信息系統投入運行或者系統變更之日起三十日內，運營、使用單位應當將信息系統保護等級選定或者審定情況報所在地縣級以上人民政府公安部門備案。備案的具體細則由省公安部門制定。

信息系統涉及國家秘密的，運營、使用單位應當按照有關保密法律、法規、規章的規定執行。

第十四條 信息系統的運營、使用單位，應當按照國家有關技術規范和標準，建立信息安全等級保護管理制度，落實安全保護責任，采取相應的安全保護措施，切實保障信息系統正常安全運行。

第十五條 信息系統的運營、使用單位，應當建立信息系統安全狀況日常檢測工作制度，加強對信息系統的日常維護和安全管理，及時消除安全隱患，確保信息的安全和系統的正常運行。

基礎信息網絡和重要信息系統的運營、使用單位，應當按照國家有關技術規范和標準，每年對系統的信息安全狀況進行一次全面的測評，也可以委托有相應資質的單位進行安全測評。

第十六條 信息系統發生信息安全突發公共事件時，應當根據事件的可控性、地域影響范圍和信息系統遭到破壞的嚴重程度，實行分級響應和應急處置。分級響應和應急處置按照省有關網絡與信息安全應急預案的規定執行。

通信基礎網絡發生突發公共事件時，應當按照省有關通信保障應急預案的規定執行。

第三章 監督管理

第十七條 縣級以上人民政府公安部門依法對運營、使用信息系統的單位的信息安全等級保護工作實施監督管理，并做好下列工作：

（一）督促、指導信息安全等級保護工作；

（二）監督、檢查信息系統運營、使用單位的安全等級保護管理制度和技術措施的落實情況；

（三）受理信息系統保護等級的備案；

（四）依法查處信息系統運營、使用單位和個人的違法行為；

（五）信息安全等級保護的其他相關工作。

第十八條 保密工作部門依照職責分工，依法做好下列工作：

（一）督促、指導涉及國家秘密的信息安全等級保護工作；

（二）受理涉及國家秘密的信息系統保護等級的備案；

（三）依法查處信息泄密、失密事件；

（四）信息安全等級保護中涉及國家秘密的其他相關工作。

第十九條 密碼管理部門應當按照職責分工依法做好相關工作，加強對涉及密碼管理的信息安全等級保護工作的監督、檢查和指導，查處信息安全等級保護工作中違反密碼管理的行為和事件。

第二十條 信息化行政主管部門應當加強對信息安全等級保護工作的指導、服務、協調和管理，并做好下列工作：

（一）指導、協調信息安全等級保護工作；

（二）組織制定信息安全等級保護工作規范;

（三）組織專家審定信息系統的保護等級；

（四）為相關單位提供信息安全等級保護的有關資訊和技術咨詢；

（五）根據預案規定，組織落實信息安全突發公共事件的應急處置工作；

（六）信息安全等級保護的其他相關工作。

第二十一條 信息系統建設、運營、使用單位，應當按照國家和本辦法有關規定，開展信息安全等級保護工作，接受有關部門的指導、檢查和監督管理。

信息系統運營、使用單位，在運營、使用中發生信息安全突發公共事件、泄密失密事件的，應當按照應急預案要求，及時采取有效措施，防止事態擴大，并立即報告有關主管部門，配合做好應急處置工作。

第四章 法律責任

第二十二條 違反本辦法規定的行為，有關法律、法規已有行政處罰規定的，從其規定。

第二十三條 信息系統運營、使用單位違反本辦法規定，不建立信息系統保護等級或者自行選定的保護等級不符合國家有關技術規范和標準的，由公安部門責令限期改正，并給予警告；逾期拒不改正的，處一千元以上二千元以下罰款。

第二十四條 信息系統運營、使用單位違反本辦法第十二條、第十三條第一款規定的，由公安部門責令限期改正，并給予警告；逾期不改正的，處二千元罰款。

第二十五條 信息系統運營、使用單位違反本辦法第十四條規定，未建立信息安全等級保護管理制度、落實安全保護責任和措施的，由公安部門責令限期改正，并給予警告；

逾期拒不改正的，對經營性的處五千元以上五萬元以下罰款，對非經營性的處二千元罰款。

第二十六條 違反本辦法第十五條第一款規定，信息系統運營、使用單位未建立信息系統安全狀況日常檢測工作制度的，由公安部門責令限期改正，并給予警告；逾期拒不改正的，處一千元以上二千元以下罰款。

違反本辦法第十五條第二款規定，基礎信息網絡與重要信息系統的運營、使用單位，未定期對系統的信息安全狀況進行測評的，由公安部門責令限期改正，并給予警告；逾期拒不改正的，對經營性的處二千元以上二萬元以下罰款，對非經營性的處二千元罰款。

第二十七條 信息系統運營、使用單位違反本辦法第二十一條第二款規定的，由縣級以上人民政府信息化行政主管部門責令改正，給予警告，對經營性的并處五千元以上三萬元以下罰款，對非經營性的并處二千元罰款；涉及泄密、失密的，按照有關保密法律、法規、規章的規定處理。

第二十八條 有關信息安全等級保護監管部門及其工作人員有下列行為之一的，由其主管部門或者監察部門對直接負責的主管人員和其他直接責任人依法給予行政或者紀律處分。

（一）未按照本辦法規定履行監督管理職責的；

（二）違反國家和本辦法規定審定信息系統保護等級的；

（三）違反法定程序和權限實施行政處罰的；

（四）在履行監督管理職責中，玩忽職守、濫用職權、徇私舞弊的；

（五）其他應當依法給予行政或者紀律處分的行為。

第二十九條違反本辦法規定，構成犯罪的，依法追究刑事責任。

第五章 附則

第三十條 在本辦法施行前已經建成的信息系統，運營、使用單位應當依照本辦法規定建立相應的保護等級。

第三十一條 本辦法自2007年1月1日起施行。