等级保护管理办法070626(印刷稿)

《等级保护管理办法070626(印刷稿)》由会员分享，可在线阅读，更多相关《等级保护管理办法070626(印刷稿)（17页珍藏版）》请在金锄头文库上搜索。

1、关于印发信息平安等级爱护管理方法的通知各省、自治区、直辖市公安厅（局）、保密局、国家密码管理局（国家密码管理委员会办公室）、信息化领导小组办公室，新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室，中心和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室，各人民团体保密委员会办公室：为加快推动信息平安等级爱护，规范信息平安等级爱护管理，提高信息平安保障实力和水平，维护国家平安、社会稳定和公共利益，保障和促进信息化建设，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了信息平安等级爱护管理方法。现印发给你们，请仔细贯彻执行。公安部国 家

2、保 密 局国家密码管理局国务院信息工作办公室二七年六月二十二日主题词：信息平安等级爱护管理方法抄送：中心办公厅、国务院办公厅。 中心和国家机关各部委，国务院各直属机构、办事机构、事业单位，国务院部委管理的各国家局。 国家保密局、国家密码管理局、国务院信息化工作办公室有关部门。 公安部党委，部属有关局级单位。 （存档3份共印2500份）公安部办公厅 2007年6月27日印发承办人：郭启全刘伟 校对：郭启全信息平安等级爱护管理方法第一章 总则第一条 为规范信息平安等级爱护管理，提高信息平安保障实力和水平，维护国家平安、社会稳定和公共利益，保障和促进信息化建设，依据中华人民共和国计算机信息系统平安爱

3、护条例等有关法律法规，制定本方法。第二条 国家通过制定统一的信息平安等级爱护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行平安爱护，对等级爱护工作的实施进行监督、管理。第三条 公安机关负责信息平安等级爱护工作的监督、检查、指导。国家保密工作部门负责等级爱护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级爱护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级爱护工作的部门间协调。第四条 信息系统主管部门应当依照本方法及相关标准规范，督促、检查

4、、指导本行业、本部门或者本地区信息系统运营、运用单位的信息平安等级爱护工作。第五条 信息系统的运营、运用单位应当依照本方法及其相关标准规范，履行信息平安等级爱护的义务和责任。第二章 等级划分与爱护第六条 国家信息平安等级爱护坚持自主定级、自主爱护的原则。信息系统的平安爱护等级应当依据信息系统在国家平安、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家平安、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条 信息系统的平安爱护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家平安、社会秩序和公共利益。其次级

5、，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严峻损害，或者对社会秩序和公共利益造成损害，但不损害国家平安。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严峻损害，或者对国家平安造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特殊严峻损害，或者对国家平安造成严峻损害。第五级，信息系统受到破坏后，会对国家平安造成特殊严峻损害。第八条 信息系统运营、运用单位依据本方法和相关技术标准对信息系统进行爱护，国家有关信息平安监管部门对其信息平安等级爱护工作进行监督管理。第一级信息系统运营、运用单位应当依据国家有关管理规范和技术标准进行爱护。其次级信息系统运营、运用单

6、位应当依据国家有关管理规范和技术标准进行爱护。国家信息平安监管部门对该级信息系统信息平安等级爱护工作进行指导。第三级信息系统运营、运用单位应当依据国家有关管理规范和技术标准进行爱护。国家信息平安监管部门对该级信息系统信息平安等级爱护工作进行监督、检查。第四级信息系统运营、运用单位应当依据国家有关管理规范、技术标准和业务特地需求进行爱护。国家信息平安监管部门对该级信息系统信息平安等级爱护工作进行强制监督、检查。第五级信息系统运营、运用单位应当依据国家管理规范、技术标准和业务特殊平安需求进行爱护。国家指定特地部门对该级信息系统信息平安等级爱护工作进行特地监督、检查。第三章 等级爱护的实施与管理第九

7、条 信息系统运营、运用单位应当依据信息系统平安等级爱护实施指南详细实施等级爱护工作。第十条 信息系统运营、运用单位应当依据本方法和信息系统平安等级爱护定级指南确定信息系统的平安爱护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定平安爱护等级。对拟确定为第四级以上信息系统的，运营、运用单位或者主管部门应当请国家信息平安爱护等级专家评审委员会评审。第十一条 信息系统的平安爱护等级确定后，运营、运用单位应当依据国家信息平安等级爱护管理规范和技术标准，运用符合国家有关规定，满意信息系统平安爱护等级需求的信息技术产品，开展信息系统平安建设或者改建工作。

8、第十二条 在信息系统建设过程中，运营、运用单位应当依据计算机信息系统平安爱护等级划分准则（GB17859-1999）、信息系统平安等级爱护基本要求等技术标准，参照信息平安技术 信息系统通用平安技术要求（GB/T20271-2006）、信息平安技术 网络基础平安技术要求（GB/T20270-2006）、信息平安技术 操作系统平安技术要求（GB/T20272-2006）、信息平安技术 数据库管理系统平安技术要求（GB/T20273-2006）、信息平安技术 服务器技术要求、信息平安技术 终端计算机系统平安等级技术要求（GA/T671-2006）等技术标准同步建设符合该等级要求的信息平安设施。第十三

9、条 运营、运用单位应当参照信息平安技术 信息系统平安管理要求（GB/T20269-2006）、信息平安技术 信息系统平安工程管理要求（GB/T20282-2006）、信息系统平安等级爱护基本要求等管理规范，制定并落实符合本系统平安爱护等级要求的平安管理制度。第十四条 信息系统建设完成后，运营、运用单位或者其主管部门应当选择符合本方法规定条件的测评机构，依据信息系统平安等级爱护测评要求等技术标准，定期对信息系统平安等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊平安需求进行等级测评。信息系统运营、运用单位及

10、其主管部门应当定期对信息系统平安状况、平安爱护制度及措施的落实状况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊平安需求进行自查。经测评或者自查，信息系统平安状况未达到平安爱护等级要求的，运营、运用单位应当制定方案进行整改。第十五条 已运营（运行）的其次级以上信息系统，应当在平安爱护等级确定后30日内，由其运营、运用单位到所在地设区的市级以上公安机关办理备案手续。新建其次级以上信息系统，应当在投入运行后30日内，由其运营、运用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中心的在京单位，其跨省或者全国统一联网运行并

11、由主管部门统肯定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。第十六条 办理信息系统平安爱护等级备案手续时，应当填写信息系统平安等级爱护备案表，第三级以上信息系统应当同时供应以下材料：（一）系统拓扑结构及说明；（二）系统平安组织机构和管理制度；（三）系统平安爱护设施设计实施方案或者改建实施方案； （四）系统运用的信息平安产品清单及其认证、销售许可证明； （五）测评后符合系统平安爱护等级的技术检测评估报告；（六）信息系统平安爱护等级专家评审看法；（七）主管部门审核批准信息系统平安爱护等级的看法。第

12、十七条 信息系统备案后，公安机关应当对信息系统的备案状况进行审核，对符合等级爱护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统平安等级爱护备案证明；发觉不符合本方法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以订正；发觉定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。 运营、运用单位或者主管部门重新确定信息系统等级后，应当依据本方法向公安机关重新备案。第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、运用单位的信息平安等级爱护工作状况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。

13、对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。对第五级信息系统，应当由国家指定的特地部门进行检查。公安机关、国家指定的特地部门应当对下列事项进行检查：（一） 信息系统平安需求是否发生改变，原定爱护等级是否精确；（二） 运营、运用单位平安管理制度、措施的落实状况；（三） 运营、运用单位及其主管部门对信息系统平安状况的检查状况；（四） 系统平安等级测评是否符合要求；（五） 信息平安产品运用是否符合要求； （六） 信息系统平安整改状况；（七） 备案材料与运营、运用单位、信息系统的符合状况；（八） 其他应当进行监督检查的事项。第十九条 信息系统运营、运用单位应当接受公安机关、国家

14、指定的特地部门的平安监督、检查、指导，照实向公安机关、国家指定的特地部门供应下列有关信息平安爱护的信息资料及数据文件：（一） 信息系统备案事项变更状况；（二） 平安组织、人员的变动状况；（三） 信息平安管理制度、措施变更状况；（四） 信息系统运行状况记录；（五） 运营、运用单位及主管部门定期对信息系统平安状况的检查记录；（六） 对信息系统开展等级测评的技术测评报告； （七） 信息平安产品运用的变更状况；（八） 信息平安事务应急预案，信息平安事务应急处置结果报告； （九） 信息系统平安建设、整改结果报告。第二十条 公安机关检查发觉信息系统平安爱护状况不符合信息平安等级爱护有关管理规范和技术标准的

15、，应当向运营、运用单位发出整改通知。运营、运用单位应当依据整改通知要求，依据管理规范和技术标准进行整改。整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改状况组织检查。第二十一条 第三级以上信息系统应当选择运用符合以下条件的信息平安产品：（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；（二）产品的核心技术、关键部件具有我国自主学问产权；（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录； （四）产品研制、生产单位声明没有有意留有或者设置漏洞、后门、木马等程序和功能；（五）对国家平安、社会秩序、公共利益不构成危害；（六）对已列入信息平安产品认证书目的，应当取得国家信息平安产品认证机构颁发的认证证书。第二十二条 第三级以上信息系统应当选择符合下列条件的等级爱护测评