国家信息安全等级保护制度
《信息平安等级爱护管理方法》 1 四部委下发公通字[2007]43号文 《信息平安等级爱护管理方法》是为规范信息平安等级爱护管理,提高信息平安保障实力和水平,维护国家平安、社会稳定和公共利益,保障和促进信息化建设,依据《中华人民共和国计算机信息系统平安爱护条例》等有关法律法规而制定的方法。由四部委下发,公通字200743号文。 2 制定目的 规范信息平安等级爱护管理。 文号 公通字200743号文 第一章 总则 第一条 为规范信息平安等级爱护管理,提高信息平安保障实力和水平,维护国家平安、社会稳定和公共利益,保障和促进信息化建设,依据《中华人民共和国计算机信息系统平安爱护条例》等有关法律法规,制定本方法。 其次条 国家通过制定统一的信息平安等级爱护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行平安爱护,对等级爱护工作的实施进行监督、管理。 第三条 公安机关负责信息平安等级爱护工作的监督、检查、指导。国家保密工作部门负责等级爱护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级爱护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级爱护工作的部门间协调。 第四条 信息系统主管部门应当依照本方法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、运用单位的信息平安等级爱护工作。 第五条 信息系统的运营、运用单位应当依照本方法及其相关标准规范,履行信息平安等级爱护的义务和责任。 其次章 等级划分与爱护 第六条 国家信息平安等级爱护坚持自主定级、自主爱护的原则。信息系统的平安爱护等级应当依据信息系统在国家平安、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家平安、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的平安爱护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害, 但不损害国家平安、社会秩序和公共利益。 其次级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严峻损害,或者对社会秩序和公共利益造成损害,但不损害国家平安。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严峻损害,或者对国家平安造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特殊严峻损害,或者对国家平安造成严峻损害。 第五级,信息系统受到破坏后,会对国家平安造成特殊严峻损害。 第八条 信息系统运营、运用单位依据本方法和相关技术标准对信息系统进行爱护,国家有关信息平安监管部门对其信息平安等级爱护工作进行监督管理。 第一级信息系统运营、运用单位应当依据国家有关管理规范和技术标准进行爱护。 其次级信息系统运营、运用单位应当依据国家有关管理规范和技术标准进行爱护。国家信息平安监管部门对该级信息系统信息平安等级爱护工作进行指导。 第三级信息系统运营、运用单位应当依据国家有关管理规范和技术标准进行爱护。国家信息平安监管部门对该级信息系统信息平安等级爱护工作进行监督、检查。 第四级信息系统运营、运用单位应当依据国家有关管理规范、技术标准和业务特地需求进行爱护。国家信息平安监管部门对该级信息系统信息平安等级爱护工作进行强制监督、检查。 第五级信息系统运营、运用单位应当依据国家管理规范、技术标准和业务特殊平安需求进行爱护。国家指定特地部门对该级信息系统信息平安等级爱护工作进行特地监督、检查。 第三章等级爱护的实施与管理 第九条 信息系统运营、用单位应当依据《信息系统平安等级爱护实施指南》 详细实施等级爱护工作。 第十条 信息系统运营、运用单位应当依据本方法和《信息系统平安等级爱护定级指南》确定信息系统的平安爱护等级。有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定平安爱护等级。对拟确定为第四级以上信息系统的, 运营、运用单位或者主管部门应当请国家信息平安爱护 等级专家评审委员会评审。 第十一条 信息系统的平安爱护等级确定后,运营、运用单位应当依据国家信息平安等级爱护管理规范和技术标准,运用符合国家有关规定,满意信息系统平安爱护等级需求的信息技术产品,开展信息系统平安建设或者改建工作。 第十二条 在信息系统建设过程中,运营、运用单位应当依据《计算机信息系统平安爱护等级划分准则》(GB17859-1999)、《信息系统平安等级爱护基本要求》等技术标准,参照《信息平安技术信息系统通用平安技术要求》(GB/T20271-2006)、《信息平安技术网络基础平安技术要求》(GB/T20270-2006)、《信息平安技术 操作系统平安技术要求》(GB/T20272-2006)、《信息平安技术数据库管理系统平安技术要求》(GB/T20273-2006)、《信息平安技术服务器技术要求》、 《信息平安技术终端计算机系统平安等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息平安设施。 第十三条 运营、运用单位应当参照《信息平安技术 信息系统平安管理要求》( GB/T20269-2006)、《信息平安技术信息系统平安工程管理要求》(GB/T20282-2006)、《信息系统平安等级爱护基本要求》等管理规范,制定并落实符合本系统平安爱护等级要求的平安管理制度。 第十四条 信息系统建设完成后,运营、运用单位或者其主管部门应当选择符合本方法规定条件的测评机构,依据《信息系统平安等级爱护测评要求》等技术标准,定期对信息系统平安等级状况开展等级测评。 第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊平安需求进行等级测评。信息系统运营、运用单位及其主管部门应当定期对信息系统平安状况、平安爱护制度及措施的落实状况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每 半年至少进行一次自查,第五级信息系统应当依据特殊平安需求进行自查。经测评或者自查,信息系统平安状况未达到平安爱护等级要求的, 运营、运用单位应当制定方案进行整改。 第十五条 已运营(运行)的其次级以上信息系统,应当在平安爱护等级确定后30 日内,由其运营、运用单位到所在地设区的市级以上公安机关办理备案手续。新建其次级以上信息系统,应当在投入运行后30日内,由其运营、运用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中心的在京单位,其跨省或者全国统一联网运行并由主管部门统肯定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。 第十六条 办理信息系统平安爱护等级备案手续时,应当填写《信息系统平安等级爱护备案表》,第三级以上信息系统应当同时供应以下材料: (一)系统拓扑结构及说