信息安全等級保護的各個環節

《信息安全等級保護的各個環節》由會員分享，可在線閱讀，更多相關《信息安全等級保護的各個環節（8頁珍藏版）》請在裝配圖網上搜索。

1、、信息安全等級保護的各個環節一、基本環節（一）組織開展調查摸底（二）合理確定保護等級（三）開展安全建設整改（四）組織系統安全測評（五）依法履行備案手續（六）加強日常測評自查（七）加強安全監督檢查二、主要環節定級-安全建設-安全測評-備案、定級一、等級劃分計算機信息系統安全保護等級根據計算機信息系統在國家安全、經濟建設、 社會生活中的重要程度，計算機信息系統受到破壞后對國家安全、社會秩序、公 共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定，分為五級：第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成 損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統受到破

2、壞后，會對公民、法人和其他組織的合法權益產生 嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或 者對國家安全造成損害。第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害， 或者對國家安全造成嚴重損害。第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。二、定級程序 信息系統運營、使用單位應當依據信息系統安全等級保護定級指南確定 信息系統的安全保護等級。有主管部門的，應當經主管部門審核批準?？缡』蛘呷珖y一聯網運行的信息系統可以由主管部門統一確定安全保護 等級。對擬確定為第四級以上信息系統的，運

3、營、使用單位或者主管部門應當請國 家信息安全保護等級專家評審委員會評審。三、定級注意事項 一級信息系統：適用于鄉鎮所屬信息系統、縣級某些單位中不重要的信息系 統。小型個體、私營企業中的信息系統。中小學中的信息系統。二級信息系統：適用于地市級以上國家機關、企業、事業單位內部一般的信 息系統。例如小的局域網，非涉及秘密、敏感信息的辦公系統等。三級信息系統：適用于地市級以上國家機關、企業、事業單位內部重要的信 息系統；重要領域、重要部門跨省、跨市或全國（?。┞摼W運行的信息系統；跨 省或全國聯網運行重要信息系統在省、地市的分支系統；各部委官方網站；跨省市）聯接的信息網絡等。四級信息系統：適用于重要領域

4、、重要部門三級信息系統中的部分重要系統。 例如全國鐵路、民航、電力等調度系統，銀行、證券、保險、稅務、海關等部門 中的核心系統。三、備案一、總體要求新建第二級以上信息系統，應當在投入運行后 30 日內，由其運營、使用單 位到所在地設區的市級以上公安機關辦理備案手續。二、備案管轄（一）管轄原則。備案管轄分工采取級別管轄和屬地管轄相結合。（二）中央在京單位。 隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定 級的信息系統，由公安部公共信息網絡安全監察局受理備案，其他信息系統由北 京市公安局公共信息網絡安全監察部門（簡稱網監部門，下同）受理備案。（三）中央駐粵及省直國有單位。 隸屬

5、中央或省的駐穗國有單位的信息系統，由省公安廳網警總隊受理備案。 上述單位在各地運行、維護的分支系統由其在各地的分支機構報所在地地級 以上市公安機關網監部門備案。（四）其他單位。其他單位的信息系統由所在地地級以上市公安機關網監部門備案。三、備案流程（一）備案時限。信息系統運營、使用單位或者其主管部門（以下簡稱“備案單位”）應當在 信息系統設計階段確定信息系統安全保護等級，并在安全保護等級確定后 30日 內，到公安機關網監部門辦理備案手續。（二）備案申請。辦理備案手續，應當到公安機關指定網址下載信息安全等級保護備案軟件， 利用該軟件填寫生成信息系統安全等級保護備案表（簡稱備案表，下同） 表一、表二

6、、表三紙質WORD格式文檔一式兩份和電子數據（RAR格式），并準 備好相關附件（一式兩份），向公安機關網監部門提出備案申請。第三級以上信 息系統應當同時提供以下材料：1系統拓撲結構及說明；2系統安全組織機構和管理制度；3系統安全保護設施設計實施方案或者改建實施方案；4系統使用的信息安全產品清單及其認證、銷售許可證明；5測評后符合系統安全保護等級的技術檢測評估報告；6信息系統安全保護等級專家評審意見；7主管部門審核批準信息系統安全保護等級的意見。四、備案審核公安機關網監部門收到申請材料后，應當在 10 個工作日內進行審查。對符 合要求的，公安機關網監部門應當在備案表加蓋公共信息網絡安全監察專用章

7、并將其中一份反饋備案單位，并出具信息系統安全等級保護備案證明(以 下簡稱備案證明)。備案證明由公安部統一監制。對不符合要求的，公 安網監部門應當出具信息系統安全等級保護備案審核結果通知，通知備案單 位進行整改。其中，對定級不準的備案單位，在通知整改的同時，應當建議備案 單位重新定級。五、變更備案 備案表所載事項發生變更，備案單位應當自變更之日起 30 日內重新填 寫備案表報公安機關網監部門備案。其中，變更事項涉及備案證明的， 公機關網監部門應當重新頒布備案證明。六、重新備案 運營、使用單位或者主管部門重新確定信息系統等級后，應當按照本辦法向 公安機關重新備案。四、安全建設和整改計算機信息系統規

8、劃、設計、建設和維護應當同步落實相應的安全措施。運 營、使用單位應當按照國家信息安全等級保護管理規范和技術標準，使用符合國 家有關規定，滿足信息系統安全保護等級需求的信息技術產品，開展信息系統安 全建設或者改建工作。在信息系統建設過程中，運營、使用單位應當按照計算機信息系統安全保 護等級劃分準則(GB17859-1999)、信息系統安全等級保護基本要求等技 術標準，參照信息安全技術信息系統通用安全技術要求(GB/T20271-2006)、信息安全技術網絡基礎安全技術要求(GB/T20270-2006)、信息安全技 術操作系統安全技術要求(GB/T20272-2006)、信息安全技術數據庫管理

9、系統安全技術要求(GB/T20273-2006)、信息安全技術服務器技術要求、 信息安全技術終端計算機系統安全等級技術要求(GA/T671-2006)等技術 標準同步建設符合該等級要求的信息安全設施。運營、使用單位應當參照信息安全技術 信息系統安全管理要求(GB/T20269-2006)、信息安全技術信息系統安全工程管理要求 (GB/T20282-2006)、信息系統安全等級保護基本要求等管理規范，制定并 落實符合本系統安全保護等級要求的安全管理制度。五、信息安全等級測評信息系統建設完成后，二級以上的信息系統的運營使用單位應當選擇符合國 家規定的測評機構進行測評合格方可投入使用。已投入運行信息

10、系統在完成系統 整改后也應當進行測評。經測評，信息系統安全狀況未達到安全保護等級要求的， 運營使用單位應當制定方案進行整改。一、測評程序 計算機信息系統運營、使用單位委托安全測評機構測評，應當提交下列資料：(一) 安全測評委托書；(二) 計算機信息系統應用需求、系統結構拓撲及說明、系統安全組織結構 和管理制度、安全保護設施設計實施方案或者改建實施方案、系統軟件硬件和信 息安全產品清單。安全測評機構在收到委托材料后，應當與委托方協商制訂安全測評計劃，開 展安全測評工作，并出具安全測評報告。經測評，計算機信息系統安全狀況未達到國家有關規定和標準的要求的，委 托單位應當根據測評報告的建議，完善計算機

11、信息系統安全建設，并重新提出安 全測評委托。二、測評監督測評機構對計算機信息系統進行使用前安全測評，應當預先報告地級以上市 公安機關公共信息網絡安全監察部門。安全測評報告由計算機信息系統運營、使 用單位報地級以上市公安機關公共信息網絡安全監察部門。三、日常測評計算機信息系統投入使用后，存在下列情形之一的，應當進行安全自查，同 時委托安全測評機構進行安全測評：（一）變更關鍵部件；（二）安全測評時間滿一年；（三）發生危害計算機信系統安全的案件或安全事故；（四）公安機關公共信息網絡安全監察部門根據應急處置工作的需要認為應 當進行安全測評；（五）其他應當進行安全自查和安全測評的情形。第三級計算機信息系

12、統應當每年至少進行一次安全自查和安全測評，第四級 計算機信息系統應當每半年至少進行一次安全自查和安全測評，第五級計算機信 息系統應當依據特殊安全要求進行安全自查和安全測評。自查報告連同測評報告應當由計算機信息系統運營、使用單位報地級以上市 公安機關公共信息網絡安全監察部門。四、測評爭議解決申請單位認為安全測評報告的合法性和真實性存在重大問題的，可以向本單 位所在地公安機關公共信息網絡安全監察部門提出申訴，提交異議申訴書及有關 證明材料。公安機關公共信息網絡安全監察部門應當在收到申訴材料后 30個工 作日內進行核查，作出異議處理決定。信息安全等級測評參考流程A倍總安全零級保護制評流程訴合評怙吩啓