信息安全等级保护标准规范

信息安全等级保护标准规范

一、开展信息安全等级保护工作的重要性和必要性

信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。

二、信息安全等级保护相关法律和文件

1994年国务院颁布的 《中华人民共和国计算机信息系统安全保护条例》规定，“ 计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定” 。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发 [2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。 2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。

三、工作分工和组织协调

（一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。

（二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业

的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组，负责组织本单位的信息系统安全等级保护工作。

四、信息安全等级保护等级划分和监管方式

（一）信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

（二）信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

五、信息安全等级保护制度的原则

信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安

全等级保护制度遵循以下基本原则：

（一）明确责任，共同保护。通过等级保护，组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。

（二）依照标准，自行保护。国家运用强制性的规范及标准，要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护。

（三）同步建设，动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。

（四）指导监督，重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统，主要包括：国家事务处理信息系统（党政机关办公系统）；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。

五、信息安全等级保护工作主要环节

（一）组织开展调查摸底。各信息系统主管部门、运营使用单位组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构以及系统建设规划等基本情况，为开展信息安全等级保护工作打下基础。

（二）合理确定保护等级。各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》，确定定级对象的安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。对拟确定为第四级以上信息系统的，由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。

（三）开展安全建设整改。各信息系统主管部门和运营使用单位应当根据确定的安全保护等级，对已有的信息系统按照等级保护的管理规范和技术标准，采购和使用相应等级要求的信息安全产品，落实安全技术措施，完成系统整改。对新建、改建、扩建的信息系统按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。

（四）组织系统安全测评。信息系统建设完成后，运营使用单位应当依照《管理办法》选择符合要求的测评机构进行测评。已投入运行信息系统在完成系统整改后也应当进行测评。经测评，信息系统安全状况未达到安全保护等级要求的，运营使用单位应当制定方案进行整改。承担第三级以上信息系统安全测评的机构由省公安厅根据《管理办法》的有关规定予以推荐。

（五）依法履行备案手续。信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门应当在系统投入运行后（新建系统）或确定等级后（已运营的系统）30日内到公安机关办理备案手续；鼓励第一级和第五级的信息系统到公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨地区或全省统一联网运行的信息系统由省级主管部门组织向省公安厅备案。跨地区、跨省或者全省、全国统一联网运行的信息系统在各地运行、应用的分支系统，向地级以上市公安局备案。涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定，到保密工作部门备案。

（六）加强安全监督检查。公安机关应当会同有关部门加强对信息系统的监督检查，对未依法履行定级、备案手续的单位，督促其限期改正。发现定级不准的，应当通知运营使用单位或其主管部门重新审核确定。对安全措施不符合要求的，要指导其落实整改措施。各级保密工作部门加强对涉密信息系统安全等级保护工作的指导、监督和检查。国家密码管理部门加强对信息安全等级保护密码管理。

（七）建设技术支撑体系。省公安厅会同有关部门根据《管理办法》建立健全管理制度，向社会推荐一批符合要求的安全专用产品、安全测评机构。组织开展继续教育工作，加强对安全专业技术人员的培训，提高信息系统运营使用单位和主管部门以及安全专用产品研发机构、安全服务机构安全专业技术人员的技术和法律知识水平。

（八）健全长效工作机制。在信息安全等级保护职能部门、信息系统主管部门、运营使用单位间建立畅通的联络机制。落实信息系统主管部门对运营使用单位的监督指导责任，建立职能部门、主管部门对信息系统的定期监督检查机制。争取省人大和省政府法制办公室支持，制订《广东省计算机信息系统安全保护条例》及实施细则，使信息安全等级保护工作获得地方立法的支撑。