办法等级掩护安全管理信息包括/等级掩护安全管理体系-详细网安教学 ...

办法等级掩护安全管理信息包括/等级掩护安全管理体系-详细网安教学
《信息安全等级掩护管理办法》是为规范信息安全等级掩护管理，进步信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建立，根据《中华人民共和国盘算机信息系统安全掩护条例》等有关法律法规而订定的办法。由四部委下发，公通字号文。
第一章 总则
编辑
第一条
为规范信息安全等级掩护管理，进步信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建立，根据《中华人民共和国盘算机信息系统安全掩护条例》等有关法律法规，订定本办法。
第二条
国家通过订定同一的信息安全等级掩护管理规范和技能标准，组织公民、法人和其他组织对信息系统分等级实行安全掩护，对等级掩护工作的实施进行监视、管理。
第三条
公安构造负责信息安全等级掩护工作的监视、查抄、指导。国家保密工作部门负责等级掩护工作中有关保密工作的监视、查抄、指导。国家暗码管理部门负责等级掩护工作中有关暗码工作的监视、查抄、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组服务机构负责等级掩护工作的部门间协调。
第四条
信息系统主管部门应当依照本办法及干系标准规范，督促、查抄、指导本行业、本部门或者本地区信息系统运营、利用单位的信息安全等级掩护工作。
第五条
信息系统的运营、利用单位应当依照本办法及其干系标准规范，履行信息安全等级掩护的使命和责任。
第二章 等级分别与掩护
编辑
第六条
国家信息安全等级掩护坚持自主定级、自主掩护的原则。信息系统的安全掩护等级应当根据信息系统在国家安全、经济建立、社会生活中的重要水平，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害水平等因素确定。
第七条
信息系统的安全掩护等级分为以下五级：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
第八条
信息系统运营、利用单位依据本办法和干系技能标准对信息系统进行掩护，国家有关信息安全监管部门对其信息安全等级掩护工作进行监视管理。
第一级信息系统运营、利用单位应当依据国家有关管理规范和技能标准进行掩护。
第二级信息系统运营、利用单位应当依据国家有关管理规范和技能标准进行掩护。国家信息安全监管部门对该级信息系统信息安全等级掩护工作进行指导。
第三级信息系统运营、利用单位应当依据国家有关管理规范和技能标准进行掩护。国家信息安全监管部门对该级信息系统信息安全等级掩护工作进行监视、查抄。
第四级信息系统运营、利用单位应当依据国家有关管理规范、技能标准和业务专门需求进行掩护。国家信息安全监管部门对该级信息系统信息安全等级掩护工作进行强制监视、查抄。
第五级信息系统运营、利用单位应当依据国家管理规范、技能标准和业务特殊安全需求进行掩护。国家指定专门部门对该级信息系统信息安全等级掩护工作进行专门监视、查抄。
第三章 等级掩护的实施与管理
编辑
第九条
信息系统运营、利用单位应当按照《信息系统安全等级掩护实施指南》具体实施等级掩护工作。
第十条
信息系统运营、利用单位应当依据本办法和《信息系统安全等级掩护定级指南》确定信息系统的安全掩护等级。有主管部门的，应当经主管部门审核答应。
跨省或者全国同一联网运行的信息系统可以由主管部门同一确定安全掩护等级。
对拟确定为第四级以上信息系统的，运营、利用单位或者主管部门应当请国家信息安全掩护等级专家评审委员会评审。
第十一条
信息系统的安全掩护等级确定后，运营、利用单位应当按照国家信息安全等级掩护管理规范和技能标准，利用符合国家有关规定，满足信息系统安全掩护等级需求的信息技能产物，开展信息系统安全建立或者改建工作。
第十二条
在信息系统建立过程中，运营、利用单位应当按照《盘算机信息系统安全掩护等级分别准则》（-1999）、《信息系统安全等级掩护基本要求》等技能标准，参照《信息安全技能 信息系统通用安全技能要求》（GB/-2006）、《信息安全技能 网络基础安全技能要求》（GB/-2006）、《信息安全技能 操纵系统安全技能要求》（GB/-2006）、《信息安全技能 数据库管理系统安全技能要求》（GB/-2006）、《信息安全技能 服务器技能要求》、《信息安全技能 终端盘算机系统安全等级技能要求》（GA/T671-2006）等技能标准同步建立符合该等级要求的信息安全设施。
第十三条
运营、利用单位应当参照《信息安全技能 信息系统安全管理要求》（GB/-2006）、《信息安全技能 信息系统安全工程管理要求》（GB/-2006）、《信息系统安全等级掩护基本要求》等管理规范，订定并落实符合本系统安全掩护等级要求的安全管理制度。
第十四条
信息系统建立完成后，运营、利用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级掩护测评要求》等技能标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、利用单位及其主管部门应当定期对信息系统安全状况、安全掩护制度及步伐的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查，信息系统安全状况未达到安全掩护等级要求的，运营、利用单位应当订定方案进行整改。
第十五条
已运营（运行）或新建的第二级以上信息系统，应当在安全掩护等级确定后30日内，由其运营、利用单位到所在地设区的市级以上公安构造办理存案手续。
隶属于中心的在京单位，其跨省或者全国同一联网运行并由主管部门同一定级的信息系统，由主管部门向公安部办理存案手续。跨省或者全国同一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安构造存案。
第十六条
办理信息系统安全掩护等级存案手续时，应当填写《信息系统安全等级掩护存案表》，第三级以上信息系统应当同时提供以下材料：
（一）系统拓扑布局及说明；
（二）系统安全组织机构和管理制度；
（三）系统安全掩护设施计划实施方案或者改建实施方案；
（四）系统利用的信息安全产物清单及其认证、贩卖许可证实；
（五）测评后符合系统安全掩护等级的技能检测评估报告；
（六）信息系统安全掩护等级专家评审意见；
（七）主管部门审核答应信息系统安全掩护等级的意见。
第十七条
信息系统存案后，公安构造应当对信息系统的存案情况进行审核，对符合等级掩护要求的，应当在收到存案材料之日起的10个工作日内颁发信息系统安全等级掩护存案证实；发现不符合本办法及有关标准的，应当在收到存案材料之日起的10个工作日内通知存案单位予以纠正；发现定级不准的，应当在收到存案材料之日起的10个工作日内通知存案单位重新审核确定。
运营、利用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安构造重新存案。
第十八条
受理存案的公安构造应当对第三级、第四级信息系统的运营、利用单位的信息安全等级掩护工作情况进行查抄。对第三级信息系统每年至少查抄一次，对第四级信息系统每半年至少查抄一次。对跨省或者全国同一联网运行的信息系统的查抄，应当会同其主管部门进行。
对第五级信息系统，应当由国家指定的专门部门进行查抄。
公安构造、国家指定的专门部门应当对下列事项进行查抄：
（一） 信息系统安全需求是否发生变化，原定掩护等级是否正确；
（二） 运营、利用单位安全管理制度、步伐的落实情况；
（三） 运营、利用单位及其主管部门对信息系统安全状况的查抄情况；
（四） 系统安全等级测评是否符合要求；
（五） 信息安全产物利用是否符合要求；
（六） 信息系统安全整改情况；
（七） 存案材料与运营、利用单位、信息系统的符合情况；
（八） 其他应当进行监视查抄的事项。
第十九条
信息系统运营、利用单位应当接受公安构造、国家指定的专门部门的安全监视、查抄、指导，如实向公安构造、国家指定的专门部门提供下列有关信息安全掩护的信息资料及数据文件：
（一） 信息系统存案事项变更情况；
（二） 安全组织、人员的变动情况；
（三） 信息安全管理制度、步伐变更情况；
（四） 信息系统运行状况记录；
（五） 运营、利用单位及主管部门定期对信息系统安全状况的查抄记录；
（六） 对信息系统开展等级测评的技能测评报告；
（七） 信息安全产物利用的变更情况；
（八） 信息安全事件应急预案，信息安全事件应急处理结果报告；
（九） 信息系统安全建立、整改结果报告。
第二十条
公安构造查抄发现信息系统安全掩护状况不符合信息安全等级掩护有关管理规范和技能标准的，应当向运营、利用单位发出整改通知。运营、利用单位应当根据整改通知要求，按照管理规范和技能标准进行整改。整改完成后，应当将整改报告向公安构造存案。必要时，公安构造可以对整改情况组织查抄。
第二十一条
第三级以上信息系统应当选择利用符合以下条件的信息安全产物：
（一）产物研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；
（二）产物的核心技能、关键部件具有我国自主知识产权；
（三）产物研制、生产单位及其主要业务、技能人员无犯罪记录；
（四）产物研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等步伐和功能；
（五）对国家安全、社会秩序、公共利益不构成危害；
（六）对已列入信息安全产物认证目录的，应当取得国家信息安全产物认证机构颁发的认证证书。
第二十二条
第三级以上信息系统应当选择符合下列条件的等级掩护测评机构进行测评：
（一） 在中华人民共和国境内注册成立（港澳台地区除外）；
（二） 由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；
（三） 从事干系检测评估工作两年以上，无违法记录；
（四） 工作人员仅限于中国公民；
（五） 法人及主要业务、技能人员无犯罪记录；
（六） 利用的技能装备、设施应当符合本办法对信息安全产物的要求；
（七） 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；
（八） 对国家安全、社会秩序、公共利益不构成威胁。
第二十三条
从事信息系统安全等级测评的机构，应当履行下列使命：
（一）遵守国家有关法律法规和技能标准，提供安全、客观、公正的检测评估服务，包管测评的质量和效果；
（二）保守在测评活动中知悉的国家机密、贸易机密和个人隐私，防范测评风险；
（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密使命和承担的法律责任，并负责查抄落实。
第四章 涉密信息系统的分级掩护管理
编辑
第二十四条
涉密信息系统应当依据国家信息安全等级掩护的基本要求，按照国家保密工作部门有关涉密信息系统分级掩护的管理规定和技能标准，联合系统实际情况进行掩护。
非涉密信息系统不得处理国家机密信息等。
第二十五条
涉密信息系统按照所处理信息的最高密级，由低到高分为机密、机密、绝密三个等级。
涉密信息系统建立利用单位应当在信息规范定密的基础上，依据涉密信息系统分级掩护管理办法和国家保密标准BMB17-2006《涉及国家机密的盘算机信息系统分级掩护技能要求》确定系统等级。对于包含多个安全域的涉密信息系统，各安全域可以分别确定掩护等级。
保密工作部门和机构应当监视指导涉密信息系统建立利用单位正确、合理地进行系统定级。
第二十六条
涉密信息系统建立利用单位应当将涉密信息系统定级和建立利用情况，实时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门存案，并接受保密部门的监视、查抄、指导。
第二十七条
涉密信息系统建立利用单位应当选择具有涉麋集成资质的单位承担或者到场涉密信息系统的计划与实施。
涉密信息系统建立利用单位应当依据涉密信息系统分级掩护管理规范和技能标准，按照机密、机密、绝密三级的不同要求，联合系统实际进行方案计划，实施分级掩护，其掩护水平总体上不低于国家信息安全等级掩护第三级、第四级、第五级的水平。
第二十八条
涉密信息系统利用的信息安全保密产物原则上应当选用国产物，并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测，通过检测的产物由国家保密局审核发布目录。
第二十九条
涉密信息系统建立利用单位在系统工程实施竣事后，应当向保密工作部门提出申请，由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家机密的盘算机信息系统分级掩护测评指南》，对涉密信息系统进行安全保密测评。
涉密信息系统建立利用单位在系统投入利用前，应当按照《涉及国家机密的信息系统审批管理规定》，向设区的市级以上保密工作部门申请进行系统审批，涉密信息系统通过审批后方可投入利用。已投入利用的涉密信息系统，其建立利用单位在按照分级掩护要求完成系统整改后，应当向保密工作部门存案。
第三十条
涉密信息系统建立利用单位在申请系统审批或者存案时，应当提交以下材料：
（一）系统计划、实施方案及审查论证意见；
（二）系统承建单位资质证实材料；
（三）系统建立和工程监理情况报告；
（四）系统安全保密检测评估报告；
（五）系统安全保密组织机构和管理制度情况；
（六）其他有关材料。
第三十一条
涉密信息系统发生涉密等级、连接范围、情况设施、主要应用、安全保密管理责任单位变更时，其建立利用单位应当实时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况，决定是否对其重新进行测评和审批。
第三十二条
涉密信息系统建立利用单位应当依据国家保密标准BMB20-2007《涉及国家机密的信息系统分级掩护管理规范》，加强涉密信息系统运行中的保密管理，定期进行风险评估，消除泄密隐患和漏洞。
第三十三条
国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级掩护工作实施监视管理，并做好以下工作：
（一）指导、监视和查抄分级掩护工作的开展；
（二）指导涉密信息系统建立利用单位规范信息定密，合理确定系统掩护等级；
（三）到场涉密信息系统分级掩护方案论证，指导建立利用单位做好保密设施的同步规划计划；
（四）依法对涉密信息系统集成资质单位进行监视管理；
（五）严格进行系统测评和审批工作，监视查抄涉密信息系统建立利用单位分级掩护管理制度和技能步伐的落实情况；
（六）加强涉密信息系统运行中的保密监视查抄。对机密级、机密级信息系统每两年至少进行一次保密查抄或者系统测评，对绝密级信息系统每年至少进行一次保密查抄或者系统测评；
（七）了解掌握各级各类涉密信息系统的管理利用情况，实时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级掩护的暗码管理
编辑
第三十四条
国家暗码管理部门对信息安全等级掩护的暗码实行分类分级管理。根据被掩护对象在国家安全、社会稳定、经济建立中的作用和重要水平，被掩护对象的安全防护要求和涉密水平，被掩护对象被破坏后的危害水平以及暗码利用部门的性质等，确定暗码的等级掩护准则。
信息系统运营、利用单位采用暗码进行等级掩护的，应当遵照《信息安全等级掩护暗码管理办法》、《信息安全等级掩护商用暗码技能要求》等暗码管理规定和干系标准。
第三十五条
信息系统安全等级掩护中暗码的配备、利用和管理等，应当严格执行国家暗码管理的有关规定。
第三十六条
信息系统运营、利用单位应当充实运用暗码技能对信息系统进行掩护。采用暗码对涉及国家机密的信息和信息系统进行掩护的，应报经国家暗码管理局审批，暗码的计划、实施、利用、运行维护和一样平常管理等，应当按照国家暗码管理有关规定和干系标准执行；采用暗码对不涉及国家机密的信息和信息系统进行掩护的，须遵守《商用暗码管理条例》和暗码分类分级掩护有关规定与干系标准，其暗码的配备利用情况应当向国家暗码管理机构存案。
第三十七条
运用暗码技能对信息系统进行系统等级掩护建立和整改的，必须采用经国家暗码管理部门答应利用或者准于贩卖的暗码产物进行安全掩护，不得采用国外引进或者擅自研制的暗码产物；未经答应不得采用含有加密功能的进口信息技能产物。
第三十八条
信息系统中的暗码及暗码设备的测评工作由国家暗码管理局认可的测评机构承担，其他任何部门、单位和个人不得对暗码进行评测和监控。
第三十九条
各级暗码管理部门可以定期或者不定期对信息系统等级掩护工作中暗码配备、利用和管理的情况进行查抄和测评，对重要涉密信息系统的暗码配备、利用和管理情况每两年至少进行一次查抄和测评。在监视查抄过程中，发现存在安全隐患或者违反暗码管理干系规定或者未达到暗码干系标准要求的，应当按照国家暗码管理的干系规定进行处理。
~
网络安全学习，我们一起交换
~

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。