《【最新】广东省信息安全等级保护相关文件汇编》由会员分享,可在线阅读,更多相关《【最新】广东省信息安全等级保护相关文件汇编(44页珍藏版)》请在金锄头文库上搜索。
1、广东省信息安全等级保护相关文件汇编1.关于信息安全等级保护工作的实施意见.22.信息安全等级保护管理办法.63.信息安全等级保护备案实施细则.124.公安机关信息安全等级保护检查工作规范.145.广东省计算机信息系统安全保护条例.176.广东省公安厅关于计算机信息系统安全保护的实施办法.227.关于开展省直单位重要信息系统安全等级保护定级工作的通知.268.广东省信息安全等级保护备案工作实施细则(试行).289.关于贯彻广东省计算机信息系统安全保护条例和广东省公安厅关于计算机信息系统安全保护的实施办法的通知.30关于印发关于信息安全等级保护工作的实施意见的通知公通字200466号各省、自治区、
2、直辖市公安厅(局)保密局、国家密码管理委员会办公室、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理委员会办公室、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室,各人民团体保密委员会办公室: 关于信息安全等级保护工作的实施意见已经国家网络与信息安全协调小组第三次会议讨论通过,现印发给你们,请认真贯彻实施。 中华人民共和国公安部 国家保密局国家密码管理委会员办公室国务院信息化工作办公室二四年九月十日 关于信息安全等级保护工作的实施意见 信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促
3、进信息化建设健康发展的一项基本制度。 实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 为了进一步提高信息安全的保障能力和防护水平,维护国家安全、公共利益和社会稳定,保障和促进信息化建设的健康发展,1994年国务院颁布的 中华人民共和国计算机信息系统安全保护条例规定,“ 计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定” 。2003年中央办公厅、国
4、务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见(中办发 200327 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。 一、开展信息安全等级保护工作的重要意义 近年来,党中央、国务院高度重视,各有关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。 但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的 目标不明确;信息安全保障工
5、作的 重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。随着信息技术的高速发展和网络应用的迅速普及,我国国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。 实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成
6、本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。 二、信息安全等级保护制度的原则 信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则: (一)明确责任,共同保护。通过等级保护,组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护
7、责任。 (二)依照标准,自行保护。国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。 (三)同步建设,动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。 (四)指导监督,重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进
8、行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。 三、信息安全等级保护制度的基本内容 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,
9、对信息系统中发生的信息安全事件分等级响应、处置。 信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。 根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级: 1. 第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影
10、响,但不危害国家安全、社会秩序、经济建设和公共利益。 2. 第二级为指导保护级,适用于 一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。 3. 第三级为监督保护级,适用于 涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。 4. 第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。 5. 第五级为专控保护级,适用于
11、涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。 国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。第一级依照国家管理规范和技术标准进行自主保护;第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护;第三级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查;第四级依照国家管理规范和技术标准进行自主保护,信息安
12、全监管职能部门对其进行强制监督、检查;第五级依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督。 国家对信息安全产品的使用实行分等级管理。 信息安全事件实行分等级响应、处置的制度。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围,确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案,确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后,分等级按照预案响应和处置。 四、信息安全等级保护工作职责分工 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监
13、督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。 在信息安全等级保护工作中,涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。 信息和信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准进行信息安全建设和管理。 国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。 五、实施信息安全等级保护工作的要求 信息安全等级保护工作要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责的要求,明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任,分别落实等级保护措施。实施信息安全等级保护应
14、当做好以下六个方面工作: (一)完善标准,分类指导。制定系统完整的信息安全等级保护管理规范和技术标准,并根据工作开展的实际情况不断补充完善。信息安全监管职能部门对不同重要程度的信息和信息系统的安全等级保护工作给予相应的指导,确保等级保护工作顺利开展。 (二)科学定级,严格备案。信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级,并报其主管部门审批同意。 对于包含多个子系统的信息系统,在保障信息系统安全互联和有效信息共享的前提下,应当根据等级保护的管理规定、技术标准和信息系统内各子系统的重要程度,分别确定安全保护等级。跨地域的大系统实行纵向保护和属地保护相结合的方式。 国务院信息化工作办公室组织国内有关信息安全专家成立信息安全保护等级专家评审委员会。重要的 信息和信息系统的运营、使用单位及其主管部门在确定信息和信息系统的安全保护等级时,应请信息安全保护等级专家评审委员会给予咨询评审。 安全保护等级在三级以上的信息系统,由运营、使用单位报送本地区地市级公安机关备案。跨地域的信息系统由其主管部门向其所在地的同级公安机关进行总备案,分系统分别由当地运营、使用单位向本地地市级公安机关备案。 信息安全产品使用的分
