信息安全等级保护工作流程图

《信息安全等级保护工作流程图》由会员分享，可在线阅读，更多相关《信息安全等级保护工作流程图（12页珍藏版）》请在金锄头文库上搜索。

1、信息安全等级保护工作流程亠、定级一、等级划分计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、 社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、 社会秩序、公 共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定， 分为五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成 损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生 严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或 者对国家安全造成损害。第四级，

2、信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害， 或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。二、定级程序信息系统运营、使用单位应当依据信息系统安全等级保护定级指南（下载专区附）确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批 准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等 级。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国 家信息安全保护等级专家评审委员会评审。三、定级注意事项第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、 县级单位中一般的信息系统。第二级信息

3、系统：适用于县级某些单位中的重要信息系统；地市级以上国家 机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感 信息的办公系统和管理系统，地市级以上国家机关、企事业单位网站等第三级信息系统：一般适用于地市级以上国家机关、企事业单位内部重要的 信息系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等 方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省门户 网站和重要网站；跨省连接的网络系统等。例如网上银行系统、证券集中交易系 统、海关通关系统、民航离港控制系统等为三级信息系统。第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利 益、

4、国家安全、影响社会稳定的核心系统。例如电信骨干传输网、电力能量管理 系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等第五级信息系统：适用于国家特殊领域的极端重要系统。一、总体要求新建第二级以上信息系统，应当在投入运行后 30日内，由其运营、使用单位 到所在地设区的市级以上公安机关办理备案手续。二、备案管辖（一）管辖原则。备案管辖分工采取级别管辖和属地管辖相结合。（二）中央在京单位。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定 级的信息系统，由公安部公共信息网络安全监察局受理备案， 其他信息系统由北 京市公安局公共信息网络安全监察部门（简称网监部门，下同）受理备案。

5、（三）中央驻粤及省直国有单位。隶属中央或省的驻穗国有单位的信息系统，由省公安厅网警总队受理备案。上述单位在各地运行、维护的分支系统由其在各地的分支机构报所在地地级 以上市公安机关网监部门备案。（四）其他单位。其他单位的信息系统由所在地地级以上市公安机关网监部门备案。三、备案流程（一）备案时限。信息系统运营、使用单位或者其主管部门（以下简称“备案单位”）应当在 信息系统设计阶段确定信息系统安全保护等级，并在安全保护等级确定后30日内，到公安机关网监部门办理备案手续。（二）备案申请。办理备案手续，备案单位应当向公安机关网监部门提交以下备案材料：1、 信息系统安全等级保护备案表（以下简称备案表），纸

6、质材料， 一式两份。备案表由“等级保护备案端软件”生成，操作时请详细阅读软件 使用说明书。第二级以上信息系统备案时需提交备案表中的表一、二、三； 第三级以上信息系统还应当在系统整改、测评完成后 30日内提交备案表表 四及其有关材料。信息系统安全等级保护备案表（公安匸2、信息系统安全等级保护定级报告（以下简称定级报告），纸质材料，一式两份。每个备案的信息系统均需提供对应的定级报告，定级报告参照模版格式填写。信息系统安全等 级保护定级报告申3、备案电子数据。每个备案的信息系统，均需通过“等级保护备案端软件” 填写信息，并保存为一个压缩文件（RAR格式）。备注：“等级保护备案端软件”、定级报告模版可

7、在“下载专区”下载，“等级保护备案端软件”使用说明附下载文件内；四、备案审核公安机关网监部门收到申请材料后，应当在 10个工作日内进行审查。对符合要求的，公安机关网监部门应当在 备案表加盖公共信息网络安全监察 专用章并将其中一份反馈备案单位，并出具信息系统安全等级保护备案证明（以下简称备案证明）。备案证明由公安部统一监制。对不符合要求的， 公安网监部门应当出具信息系统安全等级保护备案审核结果通知，通知备案 单位进行整改。其中，对定级不准的备案单位，在通知整改的同时，应当建议备 案单位重新定级。五、变更备案备案表所载事项发生变更，备案单位应当自变更之日起 30日内重新填写 备案表报公安机关网监部

8、门备案。其中，变更事项涉及备案证明的，公 机关网监部门应当重新颁布备案证明。六、重新备案运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向 公安机关重新备案。二、安全建设和整改计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施。运 营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安 全建设或者改建工作。在信息系统建设过程中，运营、使用单位应当按照计算机信息系统安全保 护等级划分准则(GB17859-1999)、信息系统安全等级保护基本要求等 技术标准，参照信息安全技术信息系统通

9、用安全技术要求(GB/T20271-2006)、 信息安全技术网络基础安全技术要求(GB/T20270-2006)、信息安全技 术操作系统安全技术要求(GB/T20272-2006)、信息安全技术数据库管理 系统安全技术要求(GB/T20273-2006)、信息安全技术服务器技术要求、 信息安全技术终端计算机系统安全等级技术要求(GA/T671-2006)等技术 标准同步建设符合该等级要求的信息安全设施。运营、使用单位应当参照信息安全技术信息系统安全管理要求(GB/T20269-2006)、信息安全技术信息系统安全工程管理要求(GB/T20282-2006)、信息系统安全等级保护基本要求等管理

10、规范，制定 并落实符合本系统安全保护等级要求的安全管理制度。四、信息安全等级测评信息系统建设完成后，二级以上的信息系统的运营使用单位应当选择符合国 家规定的测评机构进行测评合格方可投入使用。已投入运行信息系统在完成系统 整改后也应当进行测评。经测评，信息系统安全状况未达到安全保护等级要求的， 运营使用单位应当制定方案进行整改。一、测评程序计算机信息系统运营、使用单位委托安全测评机构测评，应当提交下列资料：(一) 安全测评委托书；(二) 计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和 管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息 安全产品清单。安全测评机

11、构在收到委托材料后，应当与委托方协商制订安全测评计划，开 展安全测评工作，并出具安全测评报告。经测评，计算机信息系统安全状况未达到国家有关规定和标准的要求的，委 托单位应当根据测评报告的建议，完善计算机信息系统安全建设，并重新提出安 全测评委托。二、测评监督测评机构对计算机信息系统进行使用前安全测评，应当预先报告地级以上市 公安机关公共信息网络安全监察部门。安全测评报告由计算机信息系统运营、使 用单位报地级以上市公安机关公共信息网络安全监察部门。三、日常测评计算机信息系统投入使用后，存在下列情形之一的，应当进行安全自查，同时委托安全测评机构进行安全测评：（一）变更关键部件；（二）安全测评时间满

12、一年；（三）发生危害计算机信系统安全的案件或安全事故；（四）公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当 进行安全测评；（五）其他应当进行安全自查和安全测评的情形。第三级计算机信息系统应当每年至少进行一次安全自查和安全测评，第四级 计算机信息系统应当每半年至少进行一次安全自查和安全测评，第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评。自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市 公安机关公共信息网络安全监察部门。四、测评争议解决申请单位认为安全测评报告的合法性和真实性存在重大问题的，可以向本单 位所在地公安机关公共信息网络安全监察部门提出申诉， 提交异议申诉书及有关 证明材料。公安机关公共信息网络安全监察部门应当在收到申诉材料后30个工作日内进行核查，作出异议处理决定。