信息安全等級保護管理辦法

信息安全等級保護管理辦法

信息安全等級保護管理辦法》是為規範信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規而制定的辦法。由四部委下發,公通字200743號文。

內容全文


浙江省人民政府令
(第223號)
《浙江省信息安全等級保護管理辦法》已經省人民政府第77次常務會議審議通過,現予公布,自2007年1月1日起施行。
省長 呂祖善二○○六年九月三十日
浙江省信息安全等級保護管理辦法
第一章 總則
第一條 為加強和規範信息安全等級保護管理,提高信息安全保障能力,維護國家安全、公共利益和社會穩定,促進信息化建設,根據國家有關規定,結合本省實際,制定本辦法。
第二條 本省行政區域內建設、運營、使用信息系統的單位,均須遵守本辦法。
第三條 本辦法所稱信息安全等級保護,是指按國家規定對需要實行安全等級保護的各類信息的存儲、傳輸、處理的信息系統進行相應的等級保護,對信息系統中發生的信息安全突發公共事件實行分等級響應和處置的安全保障制度。
第四條 本辦法所稱信息,是指通過信息系統進行存儲、傳輸、處理的語言、文字、聲音、圖像、數字等資料。
本辦法所稱信息系統,是指由計算機、信息網路及其配套的設施、設備構成的,按照一定的應用目標和規則對信息進行存儲、傳輸、處理的運行體系。
第五條 信息安全等級保護應當遵循分級實施、明確責任、確保安全的原則;重點保障基礎信息網路和重要信息系統各類信息的安全性和信息處理的連續性。
信息系統應當按照信息安全等級保護的要求,實行同步建設、動態調整、誰運行誰負責的原則。
第六條 縣級以上人民政府應當加強對信息安全等級保護工作的領導,把信息安全等級保護納入信息化建設規劃,協調、解決有關重大問題,建立必要的資金和技術的保障機制。
第七條 縣級以上人民政府公安、國家安全、保密、密碼、信息化等行政主管部門應當按照國家和本辦法規定,履行監督管理職責。
縣級以上人民政府其他相關部門,應當按照職責分工,落實信息安全等級保護管理的責任,配合做好相關工作。
第二章 等級保護的分級與實施
第八條 根據信息系統承載的信息的重要性、業務處理對系統的依賴性以及系統遭到破壞后對經濟、社會的危害程度,確定信息系統相應的保護等級。
信息系統的保護等級分為以下五級:
(一)信息系統承載的信息涉及公民、法人和其他組織的權益,信息系統遭到破壞后,業務可以直接用其他方式替代處理,對公民、法人和其他組織的權益有一定影響,但不損害國家安全、社會秩序、經濟建設和公共利益的,為一級保護,由運營單位自主保護;
(二)信息系統承載的信息直接涉及公民、法人和其他組織的權益,信息系統遭到破壞后,會影響業務的正常處理,並對國家安全、社會秩序、經濟建設和公共利益造成一定損害的,為二級保護,由運營單位在信息安全等級保護工作監管部門的指導下進行保護;
(三)信息系統承載的信息涉及國家、社會和公共利益,信息系統遭到破壞后,會嚴重影響業務的正常處理,並對國家安全、社會秩序、經濟建設和公共利益造成較大損害的,為三級保護,由運營單位在信息安全等級保護工作監管部門的監督下進行保護;
(四)信息系統承載的信息直接涉及國家、社會和公共利益,信息系統遭到破壞后,業務無法正常處理,並對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害的,為四級保護,由運營單位按照信息安全等級保護工作監管部門的強制要求進行保護;
(五)信息系統承載的信息直接關係國家安全、社會穩定、經濟建設和運行,信息系統遭到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害的,為五級保護,由運營單位在國家指定的專門部門、專門機構的專控下進行保護。
第九條 信息系統的建設、運營、使用單位,應當按照國家有關技術規範、標準和本辦法第八條規定自行選定其信息系統相應的保護等級。
基礎信息網路和重要信息系統的保護等級,建設單位應當在信息系統規劃設計時,按照本辦法第十條規定報經審定。
第十條 基礎信息網路和重要信息系統保護等級,實行專家評審制度。
省、設區的市信息化行政主管部門應當分別建立省、市信息系統保護等級專家評審組,並分別組織對關係全省和關係全市的基礎信息網路和重要信息系統的保護等級進行審定。申報與審定的具體細則,由省信息化行政主管部門會同省公安部門制定,並報省人民政府備案。
第十一條 對於包含多個子系統的信息系統,應當根據各子系統的重要程度分別確定保護等級。
第十二條 信息系統建設完成後,其運營、使用單位應當按照國家有關技術規範和標準進行安全測評,符合要求的,方可投入使用。
第十三條 信息系統投入運行或者系統變更之日起三十日內,運營、使用單位應當將信息系統保護等級選定或者審定情況報所在地縣級以上人民政府公安部門備案。備案的具體細則由省公安部門制定。
信息系統涉及國家秘密的,運營、使用單位應當按照有關保密法律、法規、規章的規定執行。
第十四條 信息系統的運營、使用單位,應當按照國家有關技術規範和標準,建立信息安全等級保護管理制度,落實安全保護責任,採取相應的安全保護措施,切實保障信息系統正常安全運行。
第十五條 信息系統的運營、使用單位,應當建立信息系統安全狀況日常檢測工作制度,加強對信息系統的日常維護和安全管理,及時消除安全隱患,確保信息的安全和系統的正常運行。
基礎信息網路和重要信息系統的運營、使用單位,應當按照國家有關技術規範和標準,每年對系統的信息安全狀況進行一次全面的測評,也可以委託有相應資質的單位進行安全測評。
第十六條 信息系統發生信息安全突發公共事件時,應當根據事件的可控性、地域影響範圍和信息系統遭到破壞的嚴重程度,實行分級響應和應急處置。分級響應和應急處置按照省有關網路與信息安全應急預案的規定執行。
通信基礎網路發生突發公共事件時,應當按照省有關通信保障應急預案的規定執行。
第三章 監督管理
第十七條 縣級以上人民政府公安部門依法對運營、使用信息系統的單位的信息安全等級保護工作實施監督管理,並做好下列工作:
(一)督促、指導信息安全等級保護工作;
(二)監督、檢查信息系統運營、使用單位的安全等級保護管理制度和技術措施的落實情況;
(三)受理信息系統保護等級的備案;
(四)依法查處信息系統運營、使用單位和個人的違法行為;
(五)信息安全等級保護的其他相關工作。
第十八條 保密工作部門依照職責分工,依法做好下列工作:
(一)督促、指導涉及國家秘密的信息安全等級保護工作;
(二)受理涉及國家秘密的信息系統保護等級的備案;
(三)依法查處信息泄密、失密事件;
(四)信息安全等級保護中涉及國家秘密的其他相關工作。
第十九條 密碼管理部門應當按照職責分工依法做好相關工作,加強對涉及密碼管理的信息安全等級保護工作的監督、檢查和指導,查處信息安全等級保護工作中違反密碼管理的行為和事件。
第二十條 信息化行政主管部門應當加強對信息安全等級保護工作的指導、服務、協調和管理,並做好下列工作:
(一)指導、協調信息安全等級保護工作;
(二)組織制定信息安全等級保護工作規範;
(三)組織專家審定信息系統的保護等級;
(四)為相關單位提供信息安全等級保護的有關資訊和技術諮詢;
(五)根據預案規定,組織落實信息安全突發公共事件的應急處置工作;
(六)信息安全等級保護的其他相關工作。
第二十一條 信息系統建設、運營、使用單位,應當按照國家和本辦法有關規定,開展信息安全等級保護工作,接受有關部門的指導、檢查和監督管理。
信息系統運營、使用單位,在運營、使用中發生信息安全突發公共事件、泄密失密事件的,應當按照應急預案要求,及時採取有效措施,防止事態擴大,並立即報告有關主管部門,配合做好應急處置工作。
第四章 法律責任
第二十二條 違反本辦法規定的行為,有關法律、法規已有行政處罰規定的,從其規定。
第二十三條 信息系統運營、使用單位違反本辦法規定,不建立信息系統保護等級或者自行選定的保護等級不符合國家有關技術規範和標準的,由公安部門責令限期改正,並給予警告;逾期拒不改正的,處一千元以上二千元以下罰款。
第二十四條 信息系統運營、使用單位違反本辦法第十二條、第十三條第一款規定的,由公安部門責令限期改正,並給予警告;逾期不改正的,處二千元罰款。
第二十五條 信息系統運營、使用單位違反本辦法第十四條規定,未建立信息安全等級保護管理制度、落實安全保護責任和措施的,由公安部門責令限期改正,並給予警告;
逾期拒不改正的,對經營性的處五千元以上五萬元以下罰款,對非經營性的處二千元罰款。
第二十六條 違反本辦法第十五條第一款規定,信息系統運營、使用單位未建立信息系統安全狀況日常檢測工作制度的,由公安部門責令限期改正,並給予警告;逾期拒不改正的,處一千元以上二千元以下罰款。
違反本辦法第十五條第二款規定,基礎信息網路與重要信息系統的運營、使用單位,未定期對系統的信息安全狀況進行測評的,由公安部門責令限期改正,並給予警告;逾期拒不改正的,對經營性的處二千元以上二萬元以下罰款,對非經營性的處二千元罰款。
第二十七條 信息系統運營、使用單位違反本辦法第二十一條第二款規定的,由縣級以上人民政府信息化行政主管部門責令改正,給予警告,對經營性的並處五千元以上三萬元以下罰款,對非經營性的並處二千元罰款;涉及泄密、失密的,按照有關保密法律、法規、規章的規定處理。
第二十八條 有關信息安全等級保護監管部門及其工作人員有下列行為之一的,由其主管部門或者監察部門對直接負責的主管人員和其他直接責任人依法給予行政或者紀律處分。
(一)未按照本辦法規定履行監督管理職責的;
(二)違反國家和本辦法規定審定信息系統保護等級的;
(三)違反法定程序和許可權實施行政處罰的;
(四)在履行監督管理職責中,玩忽職守、濫用職權、徇私舞弊的;
(五)其他應當依法給予行政或者紀律處分的行為。
第二十九條 違反本辦法規定,構成犯罪的,依法追究刑事責任。
第五章 附則
第三十條 在本辦法施行前已經建成的信息系統,運營、使用單位應當依照本辦法規定建立相應的保護等級。
第三十一條 本辦法自2007年1月1日起施行。

第一章 總則


第一條
為規範信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規,制定本辦法。
第二條
國家通過制定統一的信息安全等級保護管理規範和技術標準,組織公民、法人和其他組織對信息系統分等級實行安全保護,對等級保護工作的實施進行監督、管理。
第三條
公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。涉及其他職能部門管轄範圍的事項,由有關職能部門依照國家法律法規的規定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。
第四條
信息系統主管部門應當依照本辦法及相關標準規範,督促、檢查、指導本行業、本部門或者本地區信息系統運營、使用單位的信息安全等級保護工作。
第五條
信息系統的運營、使用單位應當依照本辦法及其相關標準規範,履行信息安全等級保護的義務和責任。

第二章 等級劃分與保護


第六條
國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。
第七條
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
第八條
信息系統運營、使用單位依據本辦法和相關技術標準對信息系統進行保護,國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。
第一級信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。
第二級信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。
第三級信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。
第四級信息系統運營、使用單位應當依據國家有關管理規範、技術標準和業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。
第五級信息系統運營、使用單位應當依據國家管理規範、技術標準和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。

第三章 等級保護的實施與管理


第九條
信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》具體實施等級保護工作。
第十條
信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的,應當經主管部門審核批准。
跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。
對擬確定為第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。
第十一條
信息系統的安全保護等級確定后,運營、使用單位應當按照國家信息安全等級保護管理規範和技術標準,使用符合國家有關規定,滿足信息系統安全保護等級需求的信息技術產品,開展信息系統安全建設或者改建工作。
第十二條
在信息系統建設過程中,運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》(GB17859-1999)、《信息系統安全等級保護基本要求》等技術標準,參照《信息安全技術 信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術 網路基礎安全技術要求》(GB/T20270-2006)、《信息安全技術 操作系統安全技術要求》(GB/T20272-2006)、《信息安全技術 資料庫管理系統安全技術要求》(GB/T20273-2006)、《信息安全技術 伺服器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標準同步建設符合該等級要求的信息安全設施。
第十三條
運營、使用單位應當參照《信息安全技術 信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術 信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理規範,制定並落實符合本系統安全保護等級要求的安全管理制度。
第十四條
信息系統建設完成後,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評。
信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查,第四級信息系統應當每半年至少進行一次自查,第五級信息系統應當依據特殊安全需求進行自查。
經測評或者自查,信息系統安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進行整改。
第十五條
已運營(運行)或新建的第二級以上信息系統,應當在安全保護等級確定后30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
隸屬於中央的在京單位,其跨省或者全國統一聯網運行並由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,應當向當地設區的市級以上公安機關備案。
第十六條
辦理信息系統安全保護等級備案手續時,應當填寫《信息系統安全等級保護備案表》,第三級以上信息系統應當同時提供以下材料:
(一)系統拓撲結構及說明;
(二)系統安全組織機構和管理制度;
(三)系統安全保護設施設計實施方案或者改建實施方案;
(四)系統使用的信息安全產品清單及其認證、銷售許可證明;
(五)測評后符合系統安全保護等級的技術檢測評估報告;
(六)信息系統安全保護等級專家評審意見;
(七)主管部門審核批准信息系統安全保護等級的意見。
第十七條
信息系統備案后,公安機關應當對信息系統的備案情況進行審核,對符合等級保護要求的,應當在收到備案材料之日起的10個工作日內頒發信息系統安全等級保護備案證明;發現不符合本辦法及有關標準的,應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正;發現定級不準的,應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。
運營、使用單位或者主管部門重新確定信息系統等級后,應當按照本辦法向公安機關重新備案。
第十八條
受理備案的公安機關應當對第三級、第四級信息系統的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統每年至少檢查一次,對第四級信息系統每半年至少檢查一次。對跨省或者全國統一聯網運行的信息系統的檢查,應當會同其主管部門進行。
對第五級信息系統,應當由國家指定的專門部門進行檢查。
公安機關、國家指定的專門部門應當對下列事項進行檢查:
(一)信息系統安全需求是否發生變化,原定保護等級是否準確;
(二)運營、使用單位安全管理制度、措施的落實情況;
(三)運營、使用單位及其主管部門對信息系統安全狀況的檢查情況;
(四)系統安全等級測評是否符合要求;
(五)信息安全產品使用是否符合要求;
(六)信息系統安全整改情況;
(七)備案材料與運營、使用單位、信息系統的符合情況;
(八)其他應當進行監督檢查的事項。
第十九條
信息系統運營、使用單位應當接受公安機關、國家指定的專門部門的安全監督、檢查、指導,如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信息資料及數據文件:
(一)信息系統備案事項變更情況;
(二)安全組織、人員的變動情況;
(三)信息安全管理制度、措施變更情況;
(四)信息系統運行狀況記錄;
(五)運營、使用單位及主管部門定期對信息系統安全狀況的檢查記錄;
(六)對信息系統開展等級測評的技術測評報告;
(七)信息安全產品使用的變更情況;
(八)信息安全事件應急預案,信息安全事件應急處置結果報告;
(九)信息系統安全建設、整改結果報告。
第二十條
公安機關檢查發現信息系統安全保護狀況不符合信息安全等級保護有關管理規範和技術標準的,應當向運營、使用單位發出整改通知。運營、使用單位應當根據整改通知要求,按照管理規範和技術標準進行整改。整改完成後,應當將整改報告向公安機關備案。必要時,公安機關可以對整改情況組織檢查。
第二十一條
第三級以上信息系統應當選擇使用符合以下條件的信息安全產品:
(一)產品研製、生產單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內具有獨立的法人資格;
(二)產品的核心技術、關鍵部件具有我國自主知識產權;
(三)產品研製、生產單位及其主要業務、技術人員無犯罪記錄;
(四)產品研製、生產單位聲明沒有故意留有或者設置漏洞、後門、木馬等程序和功能;
(五)對國家安全、社會秩序、公共利益不構成危害;
(六)對已列入信息安全產品認證目錄的,應當取得國家信息安全產品認證機構頒發的認證證書。
第二十二條
第三級以上信息系統應當選擇符合下列條件的等級保護測評機構進行測評:
(一)在中華人民共和國境內註冊成立(港澳台地區除外);
(二)由中國公民投資、中國法人投資或者國家投資的企事業單位(港澳台地區除外);
(三)從事相關檢測評估工作兩年以上,無違法記錄;
(四)工作人員僅限於中國公民;
(五)法人及主要業務、技術人員無犯罪記錄;
(六)使用的技術裝備、設施應當符合本辦法對信息安全產品的要求;
(七)具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度;
(八)對國家安全、社會秩序、公共利益不構成威脅。
第二十三條
從事信息系統安全等級測評的機構,應當履行下列義務:
(一)遵守國家有關法律法規和技術標準,提供安全、客觀、公正的檢測評估服務,保證測評的質量和效果;
(二)保守在測評活動中知悉的國家秘密、商業秘密和個人隱私,防範測評風險;
(三)對測評人員進行安全保密教育,與其簽訂安全保密責任書,規定應當履行的安全保密義務和承擔的法律責任,並負責檢查落實。

第四章 涉密信息系統的分級保護管理


第二十四條
涉密信息系統應當依據國家信息安全等級保護的基本要求,按照國家保密工作部門有關涉密信息系統分級保護的管理規定和技術標準,結合系統實際情況進行保護。
非涉密信息系統不得處理國家秘密信息等。
第二十五條
涉密信息系統按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個等級。
涉密信息系統建設使用單位應當在信息規範定密的基礎上,依據涉密信息系統分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統分級保護技術要求》確定系統等級。對於包含多個安全域的涉密信息系統,各安全域可以分別確定保護等級。
保密工作部門和機構應當監督指導涉密信息系統建設使用單位準確、合理地進行系統定級。
第二十六條
涉密信息系統建設使用單位應當將涉密信息系統定級和建設使用情況,及時上報業務主管部門的保密工作機構和負責系統審批的保密工作部門備案,並接受保密部門的監督、檢查、指導。
第二十七條
涉密信息系統建設使用單位應當選擇具有涉密集成資質的單位承擔或者參與涉密信息系統的設計與實施。
涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規範和技術標準,按照秘密、機密、絕密三級的不同要求,結合系統實際進行方案設計,實施分級保護,其保護水平總體上不低於國家信息安全等級保護第三級、第四級、第五級的水平。
第二十八條
涉密信息系統使用的信息安全保密產品原則上應當選用國產品,並應當通過國家保密局授權的檢測機構依據有關國家保密標準進行的檢測,通過檢測的產品由國家保密局審核發布目錄。
第二十九條
涉密信息系統建設使用單位在系統工程實施結束后,應當向保密工作部門提出申請,由國家保密局授權的系統測評機構依據國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統分級保護測評指南》,對涉密信息系統進行安全保密測評。
涉密信息系統建設使用單位在系統投入使用前,應當按照《涉及國家秘密的信息系統審批管理規定》,向設區的市級以上保密工作部門申請進行系統審批,涉密信息系統通過審批後方可投入使用。已投入使用的涉密信息系統,其建設使用單位在按照分級保護要求完成系統整改后,應當向保密工作部門備案。
第三十條
涉密信息系統建設使用單位在申請系統審批或者備案時,應當提交以下材料:
(一)系統設計、實施方案及審查論證意見;
(二)系統承建單位資質證明材料;
(三)系統建設和工程監理情況報告;
(四)系統安全保密檢測評估報告;
(五)系統安全保密組織機構和管理制度情況;
(六)其他有關材料。
第三十一條
涉密信息系統發生涉密等級、連接範圍、環境設施、主要應用、安全保密管理責任單位變更時,其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據實際情況,決定是否對其重新進行測評和審批。
第三十二條
涉密信息系統建設使用單位應當依據國家保密標準BMB20-2007《涉及國家秘密的信息系統分級保護管理規範》,加強涉密信息系統運行中的保密管理,定期進行風險評估,消除泄密隱患和漏洞。
第三十三條
國家和地方各級保密工作部門依法對各地區、各部門涉密信息系統分級保護工作實施監督管理,並做好以下工作:
(一)指導、監督和檢查分級保護工作的開展;
(二)指導涉密信息系統建設使用單位規範信息定密,合理確定系統保護等級;
(三)參與涉密信息系統分級保護方案論證,指導建設使用單位做好保密設施的同步規劃設計;
(四)依法對涉密信息系統集成資質單位進行監督管理;
(五)嚴格進行系統測評和審批工作,監督檢查涉密信息系統建設使用單位分級保護管理制度和技術措施的落實情況;
(六)加強涉密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每兩年至少進行一次保密檢查或者系統測評,對絕密級信息系統每年至少進行一次保密檢查或者系統測評;
(七)了解掌握各級各類涉密信息系統的管理使用情況,及時發現和查處各種違規違法行為和泄密事件。

第五章 信息安全等級保護的密碼管理


第三十四條
國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據被保護對象在國家安全、社會穩定、經濟建設中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門的性質等,確定密碼的等級保護準則。
信息系統運營、使用單位採用密碼進行等級保護的,應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關標準。
第三十五條
信息系統安全等級保護中密碼的配備、使用和管理等,應當嚴格執行國家密碼管理的有關規定。
第三十六條
信息系統運營、使用單位應當充分運用密碼技術對信息系統進行保護。採用密碼對涉及國家秘密的信息和信息系統進行保護的,應報經國家密碼管理局審批,密碼的設計、實施、使用、運行維護和日常管理等,應當按照國家密碼管理有關規定和相關標準執行;採用密碼對不涉及國家秘密的信息和信息系統進行保護的,須遵守《商用密碼管理條例》和密碼分類分級保護有關規定與相關標準,其密碼的配備使用情況應當向國家密碼管理機構備案。
第三十七條
運用密碼技術對信息系統進行系統等級保護建設和整改的,必須採用經國家密碼管理部門批准使用或者准於銷售的密碼產品進行安全保護,不得採用國外引進或者擅自研製的密碼產品;未經批准不得採用含有加密功能的進口信息技術產品。
第三十八條
信息系統中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔,其他任何部門、單位和個人不得對密碼進行評測和監控。
第三十九條
各級密碼管理部門可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密信息系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監督檢查過程中,發現存在安全隱患或者違反密碼管理相關規定或者未達到密碼相關標準要求的,應當按照國家密碼管理的相關規定進行處置。

第六章 法律責任


第四十條
第三級以上信息系統運營、使用單位違反本辦法規定,有下列行為之一的,由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正;逾期不改正的,給予警告,並向其上級主管部門通報情況,建議對其直接負責的主管人員和其他直接責任人員予以處理,並及時反饋處理結果:
(一)未按本辦法規定備案、審批的;
(二)未按本辦法規定落實安全管理制度、措施的;
(三)未按本辦法規定開展系統安全狀況檢查的;
(四)未按本辦法規定開展系統安全技術測評的;
(五)接到整改通知后,拒不整改的;
(六)未按本辦法規定選擇使用信息安全產品和測評機構的;
(七)未按本辦法規定如實提供有關文件和證明材料的;
(八)違反保密管理規定的;
(九)違反密碼管理規定的;
(十)違反本辦法其他規定的。
違反前款規定,造成嚴重損害的,由相關部門依照有關法律、法規予以處理。
第四十一條
信息安全監管部門及其工作人員在履行監督管理職責中,玩忽職守、濫用職權、徇私舞弊的,依法給予行政處分;構成犯罪的,依法追究刑事責任。

第七章 附則


第四十二條
已運行信息系統的運營、使用單位自本辦法施行之日起180日內確定信息系統的安全保護等級;新建信息系統在設計、規劃階段確定安全保護等級。
第四十三條
本辦法所稱“以上”包含本數(級)。
第四十四條
本辦法自發布之日起施行,《信息安全等級保護管理辦法(試行)》(公通字[2006]7號)同時廢止。