第一篇：信息安全等級保護商用密碼管理辦法實施意辦法

國家密碼管理局文件

國密局發(fā)[2009]10號

關于印發(fā)《<信息安全等級保護商用密碼

管理辦法>實施意見》的通知

各省、自治區(qū)、直轄市密碼管理局，新疆生產(chǎn)建設兵團密碼管理局，深圳市密碼管理局：

為配合《信息安全等級保護商用密碼管理辦法》(國密局發(fā)[2007]11號)的實施，進一步規(guī)范信息安全等級保護商用密碼管理工作，我局研究制定了《<信息安全等級保護商用密碼管理辦法>實施意見》?，F(xiàn)印發(fā)你們，請認真貫徹執(zhí)行。

執(zhí)行中的意見和建議，請及時向我局反饋(聯(lián)系電話：010-59703637)。

2009年12月15日

主題詞：商用密碼 等級保護 實施意見 通知 抄送：公安部十一局、工業(yè)和信息化部信息安全協(xié)調(diào)司、國家保密局中央和國家機關各部委，國務院各直屬機構(gòu)。

國家密碼管理局辦公室 2009年lo月29日印發(fā)

(共印l000份)《信息安全等級保護商用密碼管理辦法》

實施意見

為了配合《信息安全等級保護商用密碼管理辦法》(國密局發(fā)[2007]11號)的實施，進一步規(guī)范信息安全等級保護商用密碼管理工作，特提出以下意見。

一、使用商用密碼對信息系統(tǒng)進行密碼保護，應當嚴格遵守國家商用密碼相關政策和標準規(guī)范。

二、在實施信息安全等級保護的信息系統(tǒng)中，商用密碼應用系統(tǒng)是指采用商用密碼產(chǎn)品或者含有密碼技術的產(chǎn)品集成建設的，實現(xiàn)相關信息的機密性、完整性、真實性、抗抵賴性等功能的應用系統(tǒng)。

三、商用密碼應用系統(tǒng)的建設應當選擇具有商用密碼相關資質(zhì)的單位。

四、使用商用密碼開展信息安全等級保護應當制定商用密碼應用系統(tǒng)建設方案。方案應當包括信息系統(tǒng)概述、安全風險與需求分析、商用密碼應用方案、商用密碼產(chǎn)品清單、商用密碼應用系統(tǒng)的安全管理與維護策略、實施計劃等內(nèi)容。

五、第三級以上信息系統(tǒng)的商用密碼應用系統(tǒng)建設方案應當通過密碼管理部門組織的評審后方可實施。中央和國家機關各部委第三級信息系統(tǒng)的商用密碼應用系統(tǒng)建設方案，由信息系統(tǒng)的責任單位向國家密碼管理部門提出評審申請，國家密碼管理部門組織專家進行評審。設有密碼管理部門的中央和國家機關部委，其第三級信息系統(tǒng)的商用密碼應用系統(tǒng)建設方案可由本部門密碼管理部門組織專家進行評審。

各省(區(qū)、市)第三級信息系統(tǒng)的商用密碼應用系統(tǒng)建設方案，由信息系統(tǒng)的責任單位向所在省(區(qū)、市)密碼管理部門提出評審申請，所在省(區(qū)、市)密碼管理部門組織專家進行評審。

第四級以上信息系統(tǒng)的商用密碼應用系統(tǒng)建設方案，由信息系統(tǒng)的責任單位向國家密碼管理部門提出評審申請，國家密碼管理部門組織專家進行評審。

六、第三級以上信息系統(tǒng)的商用密碼應用系統(tǒng)建設必須嚴格按照通過評審的方案實施。需變更商用密碼應用系統(tǒng)建設方案的，應當按照上述第五條的要求重新評審，評審通過后方可實施。

七、使用商用密碼實施信息安全等級保護，選用的商用密碼產(chǎn)品應當是國家密碼管理部門準予銷售的產(chǎn)品；選用的含有密碼技術的產(chǎn)品，應當是通過國家密碼管理部門指定測評機構(gòu)密碼測評的產(chǎn)品。

八、第三級以上信息系統(tǒng)的商用密碼應用系統(tǒng)，應當通過國家密碼管理部門指定測評機構(gòu)的密碼測評后方可投入運行。密碼測評包括資料審查、系統(tǒng)分析、現(xiàn)場測評、綜合評估等。信息系統(tǒng)的責任單位應當將測評結(jié)果報相應的密碼 管理部門備案。

九、第二級以上信息系統(tǒng)的責任單位，應當填寫《信息安全等級保護商用密碼產(chǎn)品備案表》，并按照《信息安全等級保護商用密碼管理辦法》的要求進行備案。

十、第三級以上信息系統(tǒng)的責任單位，應當建立完善的商用密碼使用管理制度，保障商用密碼應用系統(tǒng)的安全運行。按照密碼管理部門的要求辦理相關事項。

十一、第三級以上信息系統(tǒng)發(fā)生重大變更時，信息系統(tǒng)的責任單位應當將變更情況及時報相應的密碼管理部門，并按照密碼管理部門的要求辦理相關事項。

十二、第三級以上信息系統(tǒng)的商用密碼應用系統(tǒng)需要由責任單位以外的單位負責日常維護的，應當選擇具有商用密碼相關資質(zhì)的單位。

十三、第三級以上信息系統(tǒng)的責任單位，應當積極配合密碼管理部門組織開展的商用密碼檢查工作。

十四、使用商用密碼實施信息安全等級保護，應當符合《信息安全等級保護商用密碼技術實施要求》(附后)。

十五、本意見施行前已建成的第三級以上信息系統(tǒng)的商用密碼應用系統(tǒng)，應當按照本意見第八條的要求進行密碼測評，并根據(jù)密碼測評意見實施改造。

十六、本意見所稱“以上”包含本級。

附件：《信息安全等級保護商用密碼技術實施要求》

信息安全等級保護 商用密碼技術實施要求

國家密碼管理局 2 0 0 9年

引 言 ·································· 8 第一章 第一級信息系統(tǒng)商用密碼技術實施要求 ················ 9 1.1商用密碼技術基本要求 ·····································································································9 1.1.1功能要求 ·························································································································9 1.1.1.1真實性 ··························································································································9 1.1.1.2完整性 ··························································································································9 1.1.2密鑰管理要求 ·················································································································9 1.1.3密碼配用策略要求 ··········································································································9 1.1.4密碼實現(xiàn)機制要求 ··········································································································9 1.1.5密碼安全防護要求 ··········································································································9 1.2商用密碼技術應用要求 ··································································································· 10 1.2.1物理安全 ······················································································································· 10 1.2.2 網(wǎng)絡安全 ···················································································································· 10 1.2.3主機安全 ······················································································································· 10 1.2.4應用安全 ······················································································································· 10 1.2.5數(shù)據(jù)安全及備份恢復 ···································································································· 10 第二章 第二級信息系統(tǒng)商用密碼技術實施要求 ················ 11 2.1商用密碼技術基本要求 ··································································································· 11 2.1.1功能要求 ······················································································································· 11 2.1.1.1真實性 ························································································································ 11 2.1.1.2機密性 ························································································································ 11 2.1.1.3完整性 ························································································································ 11 2.1.3密碼配用策略要求 ········································································································ 12 2.1.3.1密碼算法配用策略 ····································································································· 12 2.1.3.2密碼協(xié)議使用策略 ····································································································· 12 2.1.3.3密碼設備使用策略 ····································································································· 12 2.1.4密碼實現(xiàn)機制 ··············································································································· 12 2.1.5密碼安全防護要求 ········································································································ 12 2.2商用密碼技術應用要求 ··································································································· 12 2.2.1物理安全 ······················································································································· 12 2.2.2 網(wǎng)絡安全 ···················································································································· 13 2.2.3主機安全 ······················································································································· 13 2.2.4應用安全 ······················································································································· 13 2.2.5數(shù)據(jù)安全及備份恢復 ···································································································· 14 第三章 第三級信息系統(tǒng)商用密碼技術實施要求 ················ 15 3.1商用密碼技術基本要求 ··································································································· 15 3.3.1功能要求 ······················································································································· 15 3.1.1.1真實性 ························································································································ 15 3.1.1.2機密性 ························································································································ 15 3.1.1.3完整性 ························································································································ 15 3.1.1.4抗抵賴性 ···················································································································· 16 3.1.2密鑰管理要求 ··············································································································· 16 3.1.3密碼配用策略要求 ········································································································ 17 3.1.3.1密碼算法配用策略 ····································································································· 17 3.1.3.2密碼協(xié)議使用策略 ····································································································· 17 3.1.3.3密碼設備使用策略 ····································································································· 17 3.1.4密碼實現(xiàn)機制 ··············································································································· 17 3.1.5密碼安全防護要求 ········································································································ 17 3.2商用密碼技術應用要求 ··································································································· 18 3.2.1物理安全 ······················································································································· 18 3.2.2網(wǎng)絡安全 ······················································································································· 18 3.2.3主機安全 ······················································································································· 18 3.2.4應用安全 ······················································································································· 19 3.2.5數(shù)據(jù)安全及備份恢復 ···································································································· 19 第四章 第四級信息系統(tǒng)商用密碼技術實施要求 ··············· 20 4.1商用密碼技術基本要求 ··································································································· 20 4.1.1功能要求 ······················································································································· 20 4.1.1.1真實性 ························································································································ 20 4.1.1.1.2機密性 ····················································································································· 20 4.1.1.3完整性 ························································································································ 21 4.1.1.4抗抵賴 ························································································································ 21 4.1.2密鑰管理要求 ··············································································································· 21 4.1.3密碼配用策略要求 ········································································································ 22 4.1.3.1密碼算法配用策略 ····································································································· 22 4.1.3.2密碼協(xié)議使用策略 ····································································································· 22 4.1.3.3密碼設備使用策略 ····································································································· 22 4.1.4密碼實現(xiàn)機制 ··············································································································· 23 4.1.5密碼安全防護要求 ········································································································ 23 4.2商用密碼技術應用要求 ··································································································· 23 4.2.1物理安全 ······················································································································· 23 4.2.2網(wǎng)絡安全 ······················································································································· 23 4.2.3主機安全 ······················································································································· 24 4.2.4應用安全 ······················································································································· 24 4.2.5數(shù)據(jù)安全及備份恢復 ···································································································· 25

引 言

密碼技術作為信息安全的基礎性核心技術，是信息保護和網(wǎng)絡信任體系建設的基礎，是實行信息安全等級保護不可或缺的關鍵技術，充分利用密碼技術能夠有效地保障信息安全等級保護制度的落實，科學合理地采用密碼技術及其產(chǎn)品，是落實信息安全等級保護最為有效、經(jīng)濟和便捷的手段。

國家標準(GB/T 22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求》(以下簡稱“《基本要求》”)規(guī)定了對不同安全保護等級信息系統(tǒng)的基本安全要求，對于涉及到身份的真實性、行為的抗抵賴、內(nèi)容的機密性和完整性的要求項，密碼技術都可以直接或間接地為滿足這些要求提供支持，因此如何科學合理地應用密碼技術對信息系統(tǒng)進行安全保護就成為實施等級保護的關鍵工作內(nèi)容，直接影響著信息安全等級保護的全面推進。為此，我們以《商用密碼管理條例》和《信息安全等級保護商用密碼管理辦法》為指導，結(jié)合《基本要求》中的相關安全要求項，在《信息安全等級保護商用密碼技術要求》的基礎上，編制了《信息安全等級保護商用密碼技術實施要求》，用以規(guī)范使用商用密碼實施等級保護的相關技術工作，并為商用密碼產(chǎn)品的研發(fā)和系統(tǒng)的集成提供依據(jù)。

本要求明確了一、二、三、四級信息系統(tǒng)使用商用密碼技術來實施等級保護的基本要求和應用要求。在基本要求中根據(jù)密碼技術的特點，從技術實施上對商用密碼應用系統(tǒng)的功能、密鑰管理、密碼配用、密碼實現(xiàn)和密碼保護等方面提出了相關要求和規(guī)定。在應用要求中，從應用密碼技術來實現(xiàn)相應等級的物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全提出了要求。為方便使用，我們將各級信息系統(tǒng)的商用密碼需求和相關技術實施要求按照不同安全等級集中進行編排。第一章

第一級信息系統(tǒng)商用密碼技術實施要求

1.1商用密碼技術基本要求 1.1.1功能要求 1.1.1.1真實性

第一級信息系統(tǒng)使用商用密碼進行真實性保護時，應提供以下功能； 1)提供基于實體的身份標識和鑒別服務； 2)為訪問網(wǎng)絡設備提供身份鑒別服務；

3)為登錄操作系統(tǒng)和數(shù)據(jù)庫提供身份鑒別服務； 4)為訪問應用系統(tǒng)提供身份鑒別服務； 5)向訪問控制系統(tǒng)提供身份真實性的憑證。1.1.1.2完整性

第一級信息系統(tǒng)使用商用密碼進行完整性保護時，應提供以下功能； 1)應提供數(shù)據(jù)完整性校驗服務；

2)為通信過程和數(shù)據(jù)傳輸提供完整性校驗服務;3)為訪問控制系統(tǒng)提供訪問控制信息的完整性校驗服務。1.1.2密鑰管理要求

密鑰管理至少應包括密鑰的生成、存儲和使用等過程，并滿足;1)密鑰生成：密鑰應具有一定的隨機性；

2)密鑰存儲：采取必要的安全防護措施，防止密鑰被輕易非授權獲取;3)密鑰使用：采取必要的安全防護措施，防止密鑰被非法使用。1.1.3密碼配用策略要求

采用國家密碼管理部門批準使用的算法。1.1.4密碼實現(xiàn)機制要求 不做強制性要求。1.1.5密碼安全防護要求

不做強制性要求。1.2商用密碼技術應用要求 1.2.1物理安全

第一級物理安全基本技術要求的實現(xiàn)不需使用密碼技術。1.2.2 網(wǎng)絡安全

實現(xiàn)第一級網(wǎng)絡安全基本技術要求在訪問控制和身份鑒別方面可以使用密碼技術。

在訪問控制機制中，可以使用密碼技術的完整性服務來保證訪問控制列表的完整性。

在身份鑒別機制中，可以使用密碼技術的真實性服務來實現(xiàn)鑒別信息的防假冒，可以使用密碼技術的機密性服務來實現(xiàn)鑒別信息的防泄露。1.2.3主機安全

實現(xiàn)第一級主機安全基本技術要求在身份鑒別和訪問控制方面可以使用密碼技術。

在身份鑒別機制中，可以使用密碼技術的真實性服務來實現(xiàn)鑒別信息的防假冒。

在訪問控制機制中，可以使用密碼技術的完整性服務來保證訪問控制信息的完整性。1.2.4應用安全

實現(xiàn)第一級應用安全基本技術要求在身份鑒別、訪問控制和通信安全方面可以使用密碼技術。

在身份鑒別機制中，可以使用密碼技術的真實性服務來實現(xiàn)鑒別信息的防假冒，保證應用系統(tǒng)用戶身份的真實性。

在訪問控制機制中，可以使用密碼技術的完整性服務來保證系統(tǒng)功能和用戶數(shù)據(jù)訪問控制信息的完整性。

在通信安全方面，可以使用密碼技術的完整性服務來實現(xiàn)對通信過程中數(shù)據(jù)完整性。

1.2.5數(shù)據(jù)安全及備份恢復

第一級數(shù)據(jù)安全及備份恢復基本技術要求在數(shù)據(jù)傳輸安全方面，可以使用密碼技術的完整性服務來實現(xiàn)對重要用戶數(shù)據(jù)在傳輸過程中完整性檢測。第二章

第二級信息系統(tǒng)商用密碼技術實施要求

2.1商用密碼技術基本要求 2.1.1功能要求 2.1.1.1真實性

第二級信息系統(tǒng)使用商用密碼進行真實性保護時，應提供以下功能； 1)提供基于單個實體的身份鑒別功能；

2)能唯一標識并有效區(qū)分實體，包括用戶、設備、系統(tǒng)等； 3)為建立網(wǎng)絡會話提供身份鑒別服務； 4)為訪問網(wǎng)絡設備提供身份鑒別服務； 5)保證身份鑒別信息的唯一性；

6)向訪問控制系統(tǒng)提供身份真實性的憑證。2.1.1.2機密性

第二級信息系統(tǒng)使用商用密碼進行機密性保護時，應提供以下功能； 1)提供數(shù)據(jù)機密性服務;2)為初始化會話過程中提供加密保護;3)對通信過程中的重要字段提供加密保護； 4)對存儲的鑒別信息提供加密保護。2.1.1.3完整性

第二級信息系統(tǒng)使用商用密碼進行完整性保護時，應提供以下功能； 1)對鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中提供完整性校驗服務； 2)對系統(tǒng)資源的訪問控制信息提供完整性校驗服務;3)對文件/數(shù)據(jù)庫表等客體的訪問控制信息提供完整性校驗服務； 4)對審計記錄提供完整性校驗服務。

密鑰管理應包括對密鑰的生成、存儲、分發(fā)、導入、導出、使用、備份、恢復、更換等過程，并滿足: 1)密鑰生成：應使用隨機數(shù)發(fā)生器產(chǎn)生密鑰；

2)密鑰存儲：密鑰應加密存儲，并采取必要的安全防護措施，防止密鑰被非法獲取。3)密鑰分發(fā)：密鑰分發(fā)應采取有效的安全措施，防止在分發(fā)過程中泄露。4)密鑰導入與導出：密鑰的導入與導出應采取有效的安全措施，保證密鑰的導入與導出安全，以及密鑰的正確。

5)密鑰使用：密鑰必須明確用途，并按用途正確使用；對于公鑰密碼體制，在使用公鑰之前應對其進行驗證；應有安全措施防止密鑰的泄露和替換；應按照密鑰更換周期要求更換密鑰，密鑰更換允許系統(tǒng)中斷運行。6)密鑰備份與恢復：應制定明確的密鑰備份策略，采用安全可靠的密鑰備份恢復機制，對密鑰進行備份或恢復。

2.1.3密碼配用策略要求 2.1.3.1密碼算法配用策略

采用國家密碼管理部門批準使用的算法。2.1.3.2密碼協(xié)議使用策略

采用經(jīng)國家密碼管理部門安全性評審的密碼協(xié)議實現(xiàn)密碼功能。2.1.3.3密碼設備使用策略

使用密碼設備時應符合以下要求：

1)應選用國家密碼管理部門批準的密碼設備；

2)信源加密、完整性校驗、身份鑒別應選用智能密碼鑰匙、智能IC卡、可信密碼模塊TCKI、密碼卡、密碼機等密碼設備；

3)信道加密應選用鏈路密碼機、網(wǎng)絡密碼機、YPN密碼機等密碼設備。2.1.4密碼實現(xiàn)機制

應采用專用固件或硬件方式實現(xiàn)。2.1.5密碼安全防護要求

密碼安全防護應符合以下要求：

1)專用固件或硬件應具有有效的物理安全保護措施；，2)專用固件或硬件應滿足相應運行環(huán)境的可靠性要求。2.2商用密碼技術應用要求 2.2.1物理安全

實現(xiàn)第二級物理安全基本技術要求不需使用密碼技術。2.2.2 網(wǎng)絡安全

實現(xiàn)第二級網(wǎng)絡安全基本技術要求在訪問控制和身份鑒別方面推薦使用密碼技術。

在訪問控制方面，推薦使用密碼技術的完整性服務來保證網(wǎng)絡邊界訪問控制信息、系統(tǒng)資源訪問控制信息的完整性。

在身份標識與鑒別方面，推薦使用密碼技術的真實性服務來實現(xiàn)鑒別信息的防重用和防冒用，保證網(wǎng)絡設備用戶身份的真實性；推薦使用密碼技術的機密性服務來保證網(wǎng)絡設備遠程管理時，鑒別信息傳輸過程中的機密性。2.2.3主機安全

實現(xiàn)第二級主機安全基本技術要求在身份鑒別、訪問控制和審計記錄方面推薦使用密碼技術。

在身份鑒別方面，推薦使用密碼技術的真實性服務來實現(xiàn)鑒別信息的防冒用和防重用，保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶身份的真實性；推薦使用密碼技術的機密性服務來實現(xiàn)鑒別信息遠程傳輸過程中的機密性。

在訪問控制方面，推薦使用密碼技術的完整性服務來保證系統(tǒng)資源訪問控制信息的完整性。

在審計記錄方面，推薦使用密碼技術的完整性服務來對審計記錄進行完整性保護。2.2.4應用安全

實現(xiàn)第二級應用安全基本技術要求在身份鑒別、訪問控制、審計記錄和通信安全方面推薦使用密碼技術。

在身份鑒別方面，推薦使用密碼技術的真實性服務來實現(xiàn)鑒別信息的防重用和防冒用，保證應用系統(tǒng)用戶身份的真實性和通信雙方身份的真實性。

在訪問控制方面，推薦使用密碼技術的完整性服務來保證文件、數(shù)據(jù)庫表等客體訪問控制信息的完整性。

在審計記錄方面，推薦使用密碼技術的完整性服務來保證審計記錄的完整性，防止對審計記錄的非法修改。

在通信安全方面，推薦使用密碼技術的完整性服務來保證通信過程中數(shù)據(jù)的完整性；推薦使用密碼技術的機密性服務來對通信過程中敏感數(shù)據(jù)加密，保證通信過程中敏感信息的機密性。2.2.5數(shù)據(jù)安全及備份恢復

實現(xiàn)第二級數(shù)據(jù)安全及備份恢復基本技術要求在數(shù)據(jù)傳輸安全和數(shù)據(jù)存儲安全方面可以使用密碼技術。

在數(shù)據(jù)傳輸安全方面，推薦使用密碼技術的完整性服務來實現(xiàn)對鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整性檢測。

在數(shù)據(jù)存儲安全方面，推薦使用密碼技術的機密性服務來實現(xiàn)鑒別信息的存儲機密性。第三章 第三級信息系統(tǒng)商用密碼技術實施要求

3.1商用密碼技術基本要求 3.3.1功能要求 3.1.1.1真實性

第三級信息系統(tǒng)使用商用密碼進行真實性保護時，應提供以下功能； 1)提供重要區(qū)域進入人員身份真實性鑒別服務；

2)提供安全訪問路徑中通信主體身份的真實性鑒別服務； 3)提供訪問網(wǎng)絡設備用戶身份的真實性鑒別服務；

4)提供登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的身份真實性的鑒別服務； 5)提供應用系統(tǒng)用戶身份真實性鑒別服務； 6)提供通信雙方身份真實性鑒別服務； 7)能夠提供組合鑒別方式；

8)在建立網(wǎng)絡會話時提供身份鑒別服務； 9)保證身份鑒別信息的唯一性；

10)向訪問控制系統(tǒng)提供身份真實性的憑證。3.1.1.2機密性

第三級信息系統(tǒng)使用商用密碼進行機密性保護時，應提供以下功能： 1)提供通信過程中整個報文或會話過程的機密性保護服務；

2)提供存儲過程中系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的機密性保護服務；

3)提供傳輸過程中系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的機密性保護服務。

3.1.1.3完整性

第三級信息系統(tǒng)使用商用密碼進行完整性保護時，應提供以下功能： 1)提供電子門禁系統(tǒng)記錄的完整性服務； 2)提供安全訪問路徑中路由信息的完整性服務；

3)提供網(wǎng)絡邊界和系統(tǒng)資源訪問控制信息的完整性服務； 4)提供審計記錄的完整性服務； 5)提供系統(tǒng)資源訪問控制信息的完整性服務； 6)提供重要信息資源敏感標記的完整性服務； 7)提供重要程序的完整性服務；

8)提供文件、數(shù)據(jù)庫表等客體訪問控制信息的完整性服務； 9)提供重要信息資源敏感標記的完整性服務； 10)提供通信過程中所有數(shù)據(jù)的完整性服務；

11)提供存儲過程中系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的完整性服務。

3.1.1.4抗抵賴性

第三級信息系統(tǒng)使用商用密碼進行抗抵賴保護時，應提供以下功能： 1)提供進入重要區(qū)域人員行為的抗抵賴服務； 2)支持原發(fā)抗抵賴服務； 3)支持接收抗抵賴服務。3.1.2密鑰管理要求

密鑰管理應包括對密鑰的生成、存儲、分發(fā)、導入、導出、使用、備份、恢復、歸檔和銷毀等環(huán)節(jié)進行管理和策略制定的全過程，并滿足：

1)密鑰生成：應使用國家密碼管理部門批準的硬件物理噪聲源產(chǎn)生隨機數(shù)；密鑰必須在密碼設備內(nèi)部產(chǎn)生，不得以明文方式出現(xiàn)在密碼設備之外；應具備檢查和剔除弱密鑰的能力。

2)密鑰存儲：密鑰應加密存儲，并采取嚴格的安全防護措施，防止密鑰被非法獲?。幻荑€加密密鑰應存儲在專用硬件中。

3)密鑰分發(fā)：密鑰分發(fā)應采取身份鑒別、數(shù)據(jù)完整性、數(shù)據(jù)機密性等安全措施，應能夠抗截取、假冒、篡改、重放等攻擊，保證密鑰的安全性。4)密鑰導入與導出：密鑰的導入與導出應采取有效的安全措施，保證密鑰的導入與導出安全，以及密鑰的正確。

5)密鑰使用：密鑰必須明確用途，并按用途正確使用；對于公鑰密碼體制，在使用公鑰之前應對其進行驗證；應有安全措施防止密鑰的泄露和替換；應按照密鑰更換周期要求更換密鑰，密鑰更換允許系統(tǒng)中斷運行；密鑰泄露時，必須停止使用，并啟動相應的應急處理和響應措施。

6)密鑰備份與恢復：應制定明確的密鑰備份策略，采用安全可靠的密鑰備份恢復機制，對密鑰進行備份或恢復；密鑰備份或恢復應進行記錄，并生成審計信息；審計信息包括備份或恢復的主體、備份或恢復的時間等。7)密鑰歸檔：應采取有效的安全措施，保證歸檔密鑰的安全性和正確性；歸檔密鑰只能用于解密該密鑰加密的歷史信息或驗證該密鑰簽名的歷史信息；密鑰歸檔應進行記錄，并生成審計信息；審計信息包括歸檔的密鑰、歸檔的時間等；歸檔密鑰應進行數(shù)據(jù)備份，并采用有效的安全保護措施。8)密鑰銷毀：應具有在緊急情況下銷毀密鑰的措施。3.1.3密碼配用策略要求

3.1.3.1密碼算法配用策略

采用國家密碼管理部門批準使用的算法。3.1.3.2密碼協(xié)議使用策略

采用經(jīng)國家密碼管理部門安全性評審的密碼協(xié)議實現(xiàn)密碼功能。

3.1.3.3密碼設備使用策略

使用密碼設備時應符合以下要求：

1)應選用國家密碼管理部門批準的密碼設備；

2)信源加密、完整性校驗、身份鑒別、抗抵賴應選用可信密碼模塊TCM、智能密碼鑰匙、智能IC卡、密碼卡、密碼機等密碼設備；

3)信道加密應選用鏈路密碼機、網(wǎng)絡密碼機、VPN密碼機等密碼設備； 4)需要配用獨立的密鑰管理系統(tǒng)或使用數(shù)字證書認證系統(tǒng)提供的密鑰管理服務。

3.1.4密碼實現(xiàn)機制

必須采用專用固件或硬件方式實現(xiàn)。3.1.5密碼安全防護要求

密碼安全防護應符合以下要求：

1)專用固件或硬件以及密碼設備應具有有效的物理安全保護措施； 2)專用固件或硬件以及密碼設備應滿足相應運行環(huán)境的可靠性要求： 3)應建立有效的密碼設備安全管理制度。3.2商用密碼技術應用要求 3.2.1物理安全

第三級物理安全基本技術要求在電子門禁系統(tǒng)方面推薦使用密碼技術。在電子門禁系統(tǒng)中，推薦使用密碼技術的真實性服務來保護身份鑒別信息，保證重要區(qū)域進入人員身份的真實性；推薦使用密碼技術的完整性服務來保證電子門禁系統(tǒng)進出記錄的完整性。3.2.2網(wǎng)絡安全

第三級網(wǎng)絡安全基本技術要求在安全訪問路徑、訪問控制和身份鑒別方面應當使用密碼技術。

在建立安全訪問路徑過程中，應當使用密碼技術的真實性服務來保證通信主體身份鑒別信息的可靠，實現(xiàn)安全訪問路徑中通信主體身份的真實性；應當使用密碼技術的完整性服務來保證安全訪問路徑中路由控制信息的完整性。

在訪問控制機制中，應當使用密碼技術的完整性服務來保證網(wǎng)絡邊界和系統(tǒng)資源訪問控制信息的完整性。

在審計記錄方面，應當使用密碼技術的完整性服務來對審計記錄進行完整性保護。

在身份標識與鑒別方面，應當使用密碼技術來實現(xiàn)組合鑒別，使用密碼技術的機密性和真實性服務來實現(xiàn)防竊聽、防假冒和防重用，保證傳輸過程中鑒別信息的機密性和網(wǎng)絡設備用戶身份的真實性。3.2.3主機安全

第三級主機安全基本技術要求在身份鑒別、訪問控制、審計記錄和程序安全方面應當使用密碼技術。

在身份標識與鑒別方面，應當使用密碼技術來實現(xiàn)組合鑒別，使用密碼技術的真實性服務來實現(xiàn)鑒別信息的防假冒和防重用，保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶身份的真實性，并在遠程管理時使用密碼技術的機密性服務來實現(xiàn)鑒別信息的防竊聽。

在訪問控制方面，應當使用密碼技術的完整性服務來保證系統(tǒng)資源訪問控制信息的完整性，并使用密碼技術的完整性服務來保證重要信息資源敏感標記的完整性。

在審計記錄方面，應當使用密碼技術的完整性服務來對審計記錄進行完整性保護。

在程序安全方面，推薦使用密碼技術的完整性服務來實現(xiàn)對重要程序的完整性檢測。3.2.4應用安全

第三級應用安全基本技術要求在身份鑒別、訪問控制、審計記錄和通信安全方面應當使用密碼技術。

在身份鑒別方面，應當使用密碼技術來實現(xiàn)組合鑒別，使用密碼技術的機密性和真實性服務來實現(xiàn)防竊聽、防假冒和防重用，保證應用系統(tǒng)用戶身份的真實性。

在訪問控制方面，應當使用密碼技術的完整性服務來保證文件、數(shù)據(jù)庫表訪問控制信息和重要信息資源敏感標記的完整性。

在審計記錄方面，應使用密碼技術的完整性服務來實現(xiàn)對審計記錄完整性的保護。

在通信安全方面，應當使用密碼技術的完整性服務來保證通信過程中數(shù)據(jù)完整性；應當使用密碼技術的真實性服務來實現(xiàn)通信雙方會話初始化驗證；應當使用密碼技術的機密性服務來實現(xiàn)對通信過程中整個報文或會話過程加密保護；應當使用密碼技術的抗抵賴服務來提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實現(xiàn)數(shù)據(jù)原發(fā)行為的抗抵賴和數(shù)據(jù)接收行為的抗抵賴。3.2.5數(shù)據(jù)安全及備份恢復

第三級數(shù)據(jù)安全及備份恢復基本技術要求在數(shù)據(jù)傳輸安全和數(shù)據(jù)存儲安全方面應當使用密碼技術。

在數(shù)據(jù)傳輸安全方面，應當使用密碼技術的完整性服務來實現(xiàn)對系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整性的檢測。應當使用密碼技術的機密性服務來實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的傳輸機密性。

在數(shù)據(jù)存儲安全方面，應當使用密碼技術的完整性服務來實現(xiàn)對系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在存儲過程中完整性的檢測。應當使用密碼技術的機密性服務來實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的存儲機密性。第四章 第四級信息系統(tǒng)商用密碼技術實施要求

4.1商用密碼技術基本要求 4.1.1功能要求 4.1.1.1真實性

第四級信息系統(tǒng)使用商用密碼進行真實性保護時，應提供以下功能： 1)應提供基于單個實體(用戶、主機)的身份鑒別功能； 2)能唯一標識并有效區(qū)分實體，包括用戶、設備、系統(tǒng)等； 3)能夠提供兩種或兩種以上的身份鑒別方式； 4)身份鑒別信息具備不易被冒用的防范能力； 5)身份鑒別信息具備不可偽造性； 6)保證身份鑒別信息的唯一性；

7)提供進入重要區(qū)域人員身份真實性鑒別服務； 8)在建立網(wǎng)絡會話時提供身份鑒別服務；

9)提供安全訪問路徑中通信主體身份的真實性鑒別服務； 10)提供通信雙方身份真實性鑒別服務；

11)支持在網(wǎng)絡設各身份鑒別時提供身份鑒別服務；

12)提供主機平臺基于可信密碼模塊TCM的身份真實性鑒別服務； 13)提供登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的身份真實性的鑒別服務； 14)提供應用系統(tǒng)用戶身份真實性鑒別服務； 15)應向訪問控制系統(tǒng)提供身份真實性的憑證。4.1.1.1.2機密性

第四級信息系統(tǒng)使用商用密碼進行機密性保護時，應提供以下功能： 1)能提供數(shù)據(jù)機密性服務；

2)提供通信過程中整個報文或會話過程的機密性保護服務；

3)提供存儲過程中系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的機密性保護服務；

4)提供傳輸過程中系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的機密性保護服務。4.1.1.3完整性

第四級信息系統(tǒng)使用商用密碼進行完整性保護時，應提供以下功能： 1)能夠提供對數(shù)據(jù)的完整性保護；

2)支持對重要信息資源敏感標記提供完整性服務； 3)提供電子門禁系統(tǒng)記錄的完整性服務； 4)支持對通信過程數(shù)據(jù)提供完整性服務； 5)提供安全訪問路徑中數(shù)據(jù)的完整性服務；

6)提供網(wǎng)絡邊界和系統(tǒng)資源訪問控制信息的完整性服務； 7)提供系統(tǒng)資源訪問控制信息的完整性服務；

8)支持對系統(tǒng)管理數(shù)據(jù)、鑒別信息和業(yè)務數(shù)據(jù)在傳輸過程中提供完整性服務，并能夠檢測完整性錯誤，提供必要的恢復手段；

9)支持對系統(tǒng)管理數(shù)據(jù)、鑒別信息和業(yè)務數(shù)據(jù)在存儲過程中提供完整性服務，并能夠檢測完整性錯誤，提供必要的恢復手段； 10)提供主機平臺基于可信密碼模塊TCM的完整性服務； 11)提供重要程序的完整性服務；

12)提供文件、數(shù)據(jù)庫表等客體訪問控制信息的完整性服務； 13)提供審計記錄的完整性服務。4.1.1.4抗抵賴

第四級信息系統(tǒng)使用商用密碼進行抗抵賴保護時，應提供以下功能： 1)提供進入重要區(qū)域人員行為的抗抵賴服務； 2)支持原發(fā)抗抵賴服務； 3)支持接收抗抵賴服務。4.1.2密鑰管理要求

密鑰管理應包括對密鑰的生成、存儲、分發(fā)、導入、導出、使用、備份、恢復、歸檔和銷毀等環(huán)節(jié)進行管理和策略制定的全過程，并滿足：

1)密鑰生成：應使用國家密碼管理部門批準的硬件物理噪聲源產(chǎn)生隨機數(shù);密鑰必須在密碼設備內(nèi)部產(chǎn)生，不得以明文方式出現(xiàn)在密碼設備之外：應具備檢查和剔除弱密鑰的能力；生成密鑰審計信息，密鑰審計信息包括：種類、長度、擁有者信息、使用起始時間、使用終止時間。

2)密鑰存儲：密鑰應加密存儲，并采取嚴格的安全防護措施，防止密鑰被非法獲取；密鑰加密密鑰應存儲在專用硬件中；應具有密鑰可能泄露時的應急處理和響應措施。

3)密鑰分發(fā)：密鑰分發(fā)應采取身份鑒別、數(shù)據(jù)完整性、數(shù)據(jù)機密性等安全措施，應能夠抗截獲、假冒、篡改、重放等攻擊，保證密鑰的安全性。應具有密鑰可能泄露時的應急處理和響應措施。

4)密鑰導入與導出：密鑰的導入與導出應采取有效的安全措施，保證密鑰的導入與導出安全，以及密鑰的正確；密鑰的導入與導出應采用密鑰分量的方式或者專用設備的方式：密鑰的導入與導出應保證系統(tǒng)密碼服務功能不間斷。

5)密鑰使用：密鑰必須明確用途，并按用途正確使用;對于公鑰密碼體制，在使用公鑰之前應對其進行驗證；應有安全措施防止密鑰的泄露和替換；應按照密鑰更換周期要求更換密鑰，密鑰更換允許系統(tǒng)中斷運行；密鑰泄露時，必須停止使用，并啟動相應的應急處理和響應措施。

6)密鑰備份與恢復：應制定明確的密鑰備份策略，采用安全可靠的密鑰備份恢復機制，對密鑰進行備份或恢復；密鑰備份或恢復應進行記錄，并生成審計信息：審計信息包括備份或恢復的主體、備份或恢復的時間等。7)密鑰歸檔：應采取有效的安全措施，保證歸檔密鑰的安全性和正確性：歸檔密鑰只能用于解密該密鑰加密的歷史信息或驗證該密鑰簽名的歷史信息；密鑰歸檔應進行記錄，并生成審計信息；審計信息包括歸檔的密鑰、歸檔的時間等；歸檔密鑰應進行數(shù)據(jù)備份，并采用有效的安全保護措施。8)密鑰銷毀：應具有在緊急情況下銷毀密鑰的措施。4.1.3密碼配用策略要求 4.1.3.1密碼算法配用策略

采用國家密碼管理部門批準使用的算法。4.1.3.2密碼協(xié)議使用策略

采用經(jīng)國家密碼管理部門安全性評審的密碼協(xié)議實現(xiàn)密碼功能。4.1.3.3密碼設備使用策略

使用密碼設備時應符合以下要求：

1)應選用國家密碼管理部門批準的密碼設備；

2)信源加密、完整性校驗、身份鑒別、抗抵賴應選用可信密碼模塊TCM、智能密碼鑰匙、智能IC卡、密碼卡、密碼機等密碼設備；

3)信道加密應選用鏈路密碼機、網(wǎng)絡密碼機、VPN密碼機等密碼設備； 4)需要配用獨立的密鑰管理系統(tǒng)或使用數(shù)字證書認證系統(tǒng)提供的密鑰管理服務。

4.1.4密碼實現(xiàn)機制

必須采用專用硬件或固件方式實現(xiàn)。4.1.5密碼安全防護要求

密碼安全防護應符合以下要求；

1)專用硬件或固件以及密碼設備應具有嚴格的物理安全保護措施； 2)專用硬件或固件以及密碼設備應滿足相應運行環(huán)境的可靠性要求； 3)應建立嚴格的密碼設備安全管理制度。4.2商用密碼技術應用要求 4.2.1物理安全

第四級物理安全基本技術要求在電子門禁系統(tǒng)方面應當使用密碼技術。在電子門禁系統(tǒng)中，應當使用密碼技術的真實性服務來實現(xiàn)對進入重要區(qū)域人員的身份鑒別，并使用密碼技術的完整性服務來保證電子門禁系統(tǒng)進出記錄的完整性。4.2.2網(wǎng)絡安全

第四級網(wǎng)絡安全基本技術要求在安全訪問路徑、訪問控制和身份鑒別方面應當使用密碼技術。

在建立安全訪問路徑過程中，應當使用密碼技術的真實性服務來保證通信主體身份鑒別信息的可靠，實現(xiàn)安全訪問路徑中通信主體身份的真實性應當使用密碼技術的完整性服務來保證安全訪問路徑中路由控制信息的完整性。

在訪問控制方面，應當使用密碼技術的完整性服務來保證網(wǎng)絡邊界訪問控制信息和數(shù)據(jù)敏感標記的完整性?！?/p>

在審計記錄方面，應當使用密碼技術的完整性服務來對審計記錄進行完整性保護。

在身份標識與鑒別方面，應當采用密碼技術實現(xiàn)組合鑒別，使用密碼技術的機密性和真實性服務來實現(xiàn)傳輸過程中鑒別信息防竊聽、防假冒和防重用，保證網(wǎng)絡設備用戶身份的真實性。4.2.3主機安全

第四級主機安全基本技術要求在身份鑒別、訪問控制、安全信息傳輸路徑、審計記錄和程序安全方面可以使用密碼技術。

在身份鑒別方面，應當采用密碼技術來實現(xiàn)組合鑒別，使用密碼技術的真實性服務來實現(xiàn)鑒別信息的防假冒和防重用，并在遠程管理時使用密碼技術的機密性服務來實現(xiàn)鑒別信息的防竊聽。.在訪問控制方面，應當使用密碼技術的完整性服務來保證細粒度訪問控制信息的完整性和所有主體和客體敏感標記的完整性。

在審計記錄方面，應當使用密碼技術的完整性服務來實現(xiàn)對審計記錄和重要程序的完整性檢測。4.2.4應用安全

第四級應用安全基本技術要求在身份鑒別、訪問控制、審計記錄和通信安全方面應當使用密碼技術。

在身份鑒別方面，應當采用密碼技術來實現(xiàn)組合鑒別，使用密碼技術的真實性和機密性服務來實現(xiàn)鑒別信息的防重用、防冒用、防泄露，保證應用系統(tǒng)用戶身份的真實性；

在訪問控制方面，應使用密碼技術的完整性服務來保證主體對客體訪問控制信息和敏感標記的完整性。

在建立安全的信息傳輸路徑過程中，應當使用密碼技術的真實性服務來實現(xiàn)通信主體身份鑒別，并綜合使用密碼技術的機密性和完整性服務來建立安全通道。

在審計記錄方面，應使用密碼技術的完整性服務來對審計記錄進行完整性保護。

在通信安全方面，應當使用密碼技術的完整性服務來保證通信過程中數(shù)據(jù)完整性；

應當使用密碼技術的真實性服務來實現(xiàn)通信雙方會話初始化驗證；應當使用密碼技術的機密性服務來實現(xiàn)對通信過程中整個報文或會話過程加密保護；應當使用密碼技術的抗抵賴服務來提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實現(xiàn)數(shù)據(jù)原發(fā)行為的抗抵賴和數(shù)據(jù)接收行為的抗抵賴。4.2.5數(shù)據(jù)安全及備份恢復

第四級數(shù)據(jù)安全及備份恢復基本技術要求在數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全和安全通信協(xié)議方面應當使用密碼技術。

在數(shù)據(jù)傳輸安全方面，應使用密碼技術的完整性服務來實現(xiàn)對系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整性的檢測；應使用密碼技術的機密性服務來實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的傳輸機密性。

在數(shù)據(jù)存儲安全方面，應使用密碼技術的完整性服務來實現(xiàn)對系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在存儲過程中完整性的檢測；應使用密碼技術的機密性服務來實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的存儲機密性。

在安全通信協(xié)議方面，應綜合使用密碼技術的真實性、完整性和機密性服務來建立安全通信協(xié)議。

第二篇：信息安全等級保護管理辦法

關于印發(fā)《信息安全等級保護管理辦法》的通知

各省、自治區(qū)、直轄市公安廳（局）、保密局、國家密碼管理局（國家密碼管理委員會辦公室）、信息化領導小組辦公室，新疆生產(chǎn)建設兵團公安局、保密局、國家密碼管理局、信息化領導小組辦公室，中央和國家機關各部委保密委員會辦公室、密碼工作領導小組辦公室、信息化領導小組辦公室，各人民團體保密委員會辦公室：

為加快推進信息安全等級保護，規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定了《信息安全等級保護管理辦法》。現(xiàn)印發(fā)給你們，請認真貫徹執(zhí)行。

公

安

部

國 家 保 密 局 國家密碼管理局

國務院信息工作辦公室

二〇〇七年六月二十二日

信息安全等級保護管理辦法

第一章 總則

第一條 為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關法律法規(guī)，制定本辦法。

第二條 國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。

第三條 公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導。涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構(gòu)負責等級保護工作的部門間協(xié)調(diào)。

第四條 信息系統(tǒng)主管部門應當依照本辦法及相關標準規(guī)范，督促、檢查、指導本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。

第五條 信息系統(tǒng)的運營、使用單位應當依照本辦法及其相關標準規(guī)范，履行信息安全等級保護的義務和責任。

第二章 等級劃分與保護 第六條 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

第七條 信息系統(tǒng)的安全保護等級分為以下五級：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。第八條 信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關技術標準對信息系統(tǒng)進行保護，國家有關信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。

第一級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。

第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。

第四級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。

第五級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范、技術標準和業(yè)務特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。

第三章 等級保護的實施與管理

第九條 信息系統(tǒng)運營、使用單位應當按照《信息系統(tǒng)安全等級保護實施指南》 具體實施等級保護工作。

第十條 信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的，應當經(jīng)主管部門審核批準。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

第十一條 信息系統(tǒng)的安全保護等級確定后，運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術標準，使用符合國家有關規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術產(chǎn)品，開展信息系統(tǒng)安全建設或者改建工作。

第十二條 在信息系統(tǒng)建設過程中，運營、使用單位應當按照《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、《信息系統(tǒng)安全等級保護基本要求》等技術標準，參照《信息安全技術 信息系統(tǒng)通用安全技術要求》（GB/T20271-2006）、《信息安全技術 網(wǎng)絡基礎安全技術要求》（GB/T20270-2006）、《信息安全技術 操作系統(tǒng)安全技術要求》（GB/T20272-2006）、《信息安全技術 數(shù)據(jù)庫管理系統(tǒng)安全技術要求》（GB/T20273-2006）、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統(tǒng)安全等級技術要求》（GA/T671-2006）等技術標準同步建設符合該等級要求的信息安全設施。

第十三條 運營、使用單位應當參照《信息安全技術 信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術 信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。

第十四條 信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測評。

信息系統(tǒng)運營、使用單位及其主管部門應當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應當每年至少進行一次自查，第四級信息系統(tǒng)應當每半年至少進行一次自查，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營、使用單位應當制定方案進行整改。

第十五條 已運營（運行）的第二級以上信息系統(tǒng)，應當在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。

新建第二級以上信息系統(tǒng)，應當在投入運行后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。

隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當?shù)卦O區(qū)的市級以上公安機關備案。

第十六條 辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應當同時提供以下材料：

（一）系統(tǒng)拓撲結(jié)構(gòu)及說明；

（二）系統(tǒng)安全組織機構(gòu)和管理制度；

（三）系統(tǒng)安全保護設施設計實施方案或者改建實施方案；

（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；

（五）測評后符合系統(tǒng)安全保護等級的技術檢測評估報告；

（六）信息系統(tǒng)安全保護等級專家評審意見；

（七）主管部門審核批準信息系統(tǒng)安全保護等級的意見。

第十七條 信息系統(tǒng)備案后，公安機關應當對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明；發(fā)現(xiàn)不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。

運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應當按照本辦法向公安機關重新備案。

第十八條 受理備案的公安機關應當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查，應當會同其主管部門進行。

對第五級信息系統(tǒng)，應當由國家指定的專門部門進行檢查。公安機關、國家指定的專門部門應當對下列事項進行檢查：

（一）信息系統(tǒng)安全需求是否發(fā)生變化，原定保護等級是否準確；

（二）運營、使用單位安全管理制度、措施的落實情況；

（三）運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況；

（四）系統(tǒng)安全等級測評是否符合要求；

（五）信息安全產(chǎn)品使用是否符合要求；

（六）信息系統(tǒng)安全整改情況；

（七）備案材料與運營、使用單位、信息系統(tǒng)的符合情況；

（八）其他應當進行監(jiān)督檢查的事項。

第十九條 信息系統(tǒng)運營、使用單位應當接受公安機關、國家指定的專門部門的安全監(jiān)督、檢查、指導，如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信息資料及數(shù)據(jù)文件：

（一）信息系統(tǒng)備案事項變更情況；

（二）安全組織、人員的變動情況；

（三）信息安全管理制度、措施變更情況；

（四）信息系統(tǒng)運行狀況記錄；

（五）運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄；

（六）對信息系統(tǒng)開展等級測評的技術測評報告；

（七）信息安全產(chǎn)品使用的變更情況；

（八）信息安全事件應急預案，信息安全事件應急處置結(jié)果報告；

（九）信息系統(tǒng)安全建設、整改結(jié)果報告。

第二十條 公安機關檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關管理規(guī)范和技術標準的，應當向運營、使用單位發(fā)出整改通知。運營、使用單位應當根據(jù)整改通知要求，按照管理規(guī)范和技術標準進行整改。整改完成后，應當將整改報告向公安機關備案。必要時，公安機關可以對整改情況組織檢查。

第二十一條 第三級以上信息系統(tǒng)應當選擇使用符合以下條件的信息安全產(chǎn)品：

（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨立的法人資格；

（二）產(chǎn)品的核心技術、關鍵部件具有我國自主知識產(chǎn)權；

（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務、技術人員無犯罪記錄；

（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能；

（五）對國家安全、社會秩序、公共利益不構(gòu)成危害；

（六）對已列入信息安全產(chǎn)品認證目錄的，應當取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。

第二十二條 第三級以上信息系統(tǒng)應當選擇符合下列條件的等級保護測評機構(gòu)進行測評：

（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；

（三）（四）

（五）從事相關檢測評估工作兩年以上，無違法記錄； 工作人員僅限于中國公民；

法人及主要業(yè)務、技術人員無犯罪記錄；

（六）使用的技術裝備、設施應當符合本辦法對信息安全產(chǎn)品的要求；

（七）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；

（八）對國家安全、社會秩序、公共利益不構(gòu)成威脅。

第二十三條 從事信息系統(tǒng)安全等級測評的機構(gòu)，應當履行下列義務：

（一）遵守國家有關法律法規(guī)和技術標準，提供安全、客觀、公正的檢測評估服務，保證測評的質(zhì)量和效果；

（二）保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私，防范測評風險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規(guī)定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。

第四章 涉及國家秘密信息系統(tǒng)的分級保護管理

第二十四條 涉密信息系統(tǒng)應當依據(jù)國家信息安全等級保護的基本要求，按照國家保密工作部門有關涉密信息系統(tǒng)分級保護的管理規(guī)定和技術標準，結(jié)合系統(tǒng)實際情況進行保護。

非涉密信息系統(tǒng)不得處理國家秘密信息。

第二十五條 涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高分為秘密、機 密、絕密三個等級。

涉密信息系統(tǒng)建設使用單位應當在信息規(guī)范定密的基礎上，依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護等級。

保密工作部門和機構(gòu)應當監(jiān)督指導涉密信息系統(tǒng)建設使用單位準確、合理地進行系統(tǒng)定級。

第二十六條 涉密信息系統(tǒng)建設使用單位應當將涉密信息系統(tǒng)定級和建設使用情況，及時上報業(yè)務主管部門的保密工作機構(gòu)和負責系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導。

第二十七條 涉密信息系統(tǒng)建設使用單位應當選擇具有涉密集成資質(zhì)的單位承擔或者參與涉密信息系統(tǒng)的設計與實施。

涉密信息系統(tǒng)建設使用單位應當依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術標準，按照秘密、機密、絕密三級的不同要求，結(jié)合系統(tǒng)實際進行方案設計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。

第二十八條 涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應當選用國產(chǎn)品，并應當通過國家保密局授權的檢測機構(gòu)依據(jù)有關國家保密標準進行的檢測，通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。

第二十九條 涉密信息系統(tǒng)建設使用單位在系統(tǒng)工程實施結(jié)束后，應當向保密工作部門提出申請，由國家保密局授權的系統(tǒng)測評機構(gòu)依據(jù)國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》，對涉密信息系統(tǒng)進行安全保密測評。

涉密信息系統(tǒng)建設使用單位在系統(tǒng)投入使用前，應當按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》，向設區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設使用單位在按照分級保護要求完成系統(tǒng)整改后，應當向保密工作部門備案。

第三十條 涉密信息系統(tǒng)建設使用單位在申請系統(tǒng)審批或者備案時，應當提交以下材料：

（一）系統(tǒng)設計、實施方案及審查論證意見；

（二）系統(tǒng)承建單位資質(zhì)證明材料；

（三）系統(tǒng)建設和工程監(jiān)理情況報告；

（四）系統(tǒng)安全保密檢測評估報告；

（五）系統(tǒng)安全保密組織機構(gòu)和管理制度情況；

（六）其他有關材料。

第三十一條 涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設施、主要應用、安全保密管理責任單位變更時，其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據(jù)實際情況，決定是否對其重新進行測評和審批。

第三十二條 涉密信息系統(tǒng)建設使用單位應當依據(jù)國家保密標準BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》，加強涉密信息系統(tǒng)運行中的保密管理，定期進行風險評估，消除泄密隱患和漏洞。

第三十三條 國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理，并做好以下工作：

（一）指導、監(jiān)督和檢查分級保護工作的開展；

（二）指導涉密信息系統(tǒng)建設使用單位規(guī)范信息定密，合理確定系統(tǒng)保護等級；

（三）參與涉密信息系統(tǒng)分級保護方案論證，指導建設使用單位做好保密設施的同步規(guī)劃設計；

（四）依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理；

（五）嚴格進行系統(tǒng)測評和審批工作，監(jiān)督檢查涉密信息系統(tǒng)建設使用單位分級保護管理制度和技術措施的落實情況；

（六）加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評，對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評；

（七）了解掌握各級各類涉密信息系統(tǒng)的管理使用情況，及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。

第五章 信息安全等級保護的密碼管理

第三十四條 國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門的性 質(zhì)等，確定密碼的等級保護準則。

信息系統(tǒng)運營、使用單位采用密碼進行等級保護的，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規(guī)定和相關標準。

第三十五條 信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等，應當嚴格執(zhí)行國家密碼管理的有關規(guī)定。

第三十六條 信息系統(tǒng)運營、使用單位應當充分運用密碼技術對信息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的，應報經(jīng)國家密碼管理局審批，密碼的設計、實施、使用、運行維護和日常管理等，應當按照國家密碼管理有關規(guī)定和相關標準執(zhí)行；采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關規(guī)定與相關標準，其密碼的配備使用情況應當向國家密碼管理機構(gòu)備案。

第三十七條

運用密碼技術對信息系統(tǒng)進行系統(tǒng)等級保護建設和整改的，必須采用經(jīng)國家密碼管理部門批準使用或者準于銷售的密碼產(chǎn)品進行安全保護，不得采用國外引進或者擅自研制的密碼產(chǎn)品；未經(jīng)批準不得采用含有加密功能的進口信息技術產(chǎn)品。

第三十八條

信息系統(tǒng)中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構(gòu)承擔，其他任何部門、單位和個人不得對密碼進行評測和監(jiān)控。

第三十九條 各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關規(guī)定或者未達到密碼相關標準要求的，應當按照國家密碼管理的相關規(guī)定進行處置。

第六章 法律責任

第四十條 第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定，有下列行為之一的，由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負責的主管人員和其他直接責任人員予以處理，并及時反饋處理結(jié)果：

（一）未按本辦法規(guī)定備案、審批的；

（二）未按本辦法規(guī)定落實安全管理制度、措施的；

（三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的；

（四）未按本辦法規(guī)定開展系統(tǒng)安全技術測評的；

（五）接到整改通知后，拒不整改的；

（六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的；

（七）未按本辦法規(guī)定如實提供有關文件和證明材料的；

（八）違反保密管理規(guī)定的；

（九）違反密碼管理規(guī)定的；

（十）違反本辦法其他規(guī)定的。

違反前款規(guī)定，造成嚴重損害的，由相關部門依照有關法律、法規(guī)予以處理。

第四十一條 信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責中，玩忽職守、濫用職權、徇私舞弊的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責任。

第七章 附則

第四十二條 已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級；新建信息系統(tǒng)在設計、規(guī)劃階段確定安全保護等級。

第四十三條 本辦法所稱“以上”包含本數(shù)（級）。

第四十四條 本辦法自發(fā)布之日起施行，《信息安全等級保護管理辦法（試行）》（公通字[2006]7號）同時廢止。

第三篇：信息安全等級保護管理辦法(精)

信息安全等級保護管理辦法

第一章

總則

第一條 為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關法律法規(guī)，制定本辦法。

第二條 國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。

第三條 公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導。涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構(gòu)負責等級保護工作的部門間協(xié)調(diào)。

第四條 信息系統(tǒng)主管部門應當依照本辦法及相關標準規(guī)范，督促、檢查、指導本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。

第五條 信息系統(tǒng)的運營、使用單位應當依照本辦法及其相關標準規(guī)范，履行信息安全等級保護的義務和責任。

第二章 等級劃分與保護 第六條 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

第七條 信息系統(tǒng)的安全保護等級分為以下五級：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。

第八條 信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關技術標準對信息系統(tǒng)進行保護，國家有關信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。

第一級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理 規(guī)范和技術標準進行保護。

第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。

第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。

第四級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。

第五級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范、技術標準和業(yè)務特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。

第三章 等級保護的實施與管理

第九條 信息系統(tǒng)運營、使用單位應當按照《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。

第十條 信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的，應當經(jīng)主管部門審核批準。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部 門統(tǒng)一確定安全保護等級。

對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

第十一條 信息系統(tǒng)的安全保護等級確定后，運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術標準，使用符合國家有關規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術產(chǎn)品，開展信息系統(tǒng)安全建設或者改建工作。

第十二條 在信息系統(tǒng)建設過程中，運營、使用單位應當按照《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、《信息系統(tǒng)安全等級保護基本要求》等技術標準，參照《信息安全技術 信息系統(tǒng)通用安全技術要求》（GB/T20271-2006）、《信息安全技術 網(wǎng)絡基礎安全技術要求》（GB/T20270-2006）、《信息安全技術 操作系統(tǒng)安全技術要求》（GB/T20272-2006）、《信息安全技術 數(shù)據(jù)庫管理系統(tǒng)安全技術要求》（GB/T20273-2006）、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統(tǒng)安全等級技術要求》（GA/T671-2006）等技術標準同步建設符合該等級要求的信息安全設施。

第十三條 運營、使用單位應當參照《信息安全技術 信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術 信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系 統(tǒng)安全等級保護基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。

第十四條 信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測評。

信息系統(tǒng)運營、使用單位及其主管部門應當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應當每年至少進行一次自查，第四級信息系統(tǒng)應當每半年至少進行一次自查，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行自查。

經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營、使用單位應當制定方案進行整改。

第十五條 已運營（運行）的第二級以上信息系統(tǒng)，應當在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。

新建第二級以上信息系統(tǒng)，應當在投入運行后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當?shù)卦O區(qū)的市級以上公安機關備案。

第十六條 辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應當同時提供以下材料：

（一）系統(tǒng)拓撲結(jié)構(gòu)及說明；

（二）系統(tǒng)安全組織機構(gòu)和管理制度；

（三）系統(tǒng)安全保護設施設計實施方案或者改建實施方案；

（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；

（五）測評后符合系統(tǒng)安全保護等級的技術檢測評估報告；

（六）信息系統(tǒng)安全保護等級專家評審意見；

（七）主管部門審核批準信息系統(tǒng)安全保護等級的意見。

第十七條 信息系統(tǒng)備案后，公安機關應當對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保 護備案證明；發(fā)現(xiàn)不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。

運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應當按照本辦法向公安機關重新備案。

第十八條 受理備案的公安機關應當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查，應當會同其主管部門進行。

對第五級信息系統(tǒng)，應當由國家指定的專門部門進行檢查。

公安機關、國家指定的專門部門應當對下列事項進行檢查：

（一）信息系統(tǒng)安全需求是否發(fā)生變化，原定保護等級是否準確；

（二）運營、使用單位安全管理制度、措施的落實情況；

（三）運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況；

（四）系統(tǒng)安全等級測評是否符合要求；

（五）信息安全產(chǎn)品使用是否符合要求；

（六）信息系統(tǒng)安全整改情況；

（七）備案材料與運營、使用單位、信息系統(tǒng)的符合情況；

（八）其他應當進行監(jiān)督檢查的事項。

第十九條 信息系統(tǒng)運營、使用單位應當接受公安機關、國家指定的專門部門的安全監(jiān)督、檢查、指導，如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信息資料及數(shù)據(jù)文件：

（一）信息系統(tǒng)備案事項變更情況；

（二）安全組織、人員的變動情況；

（三）信息安全管理制度、措施變更情況；

（四）信息系統(tǒng)運行狀況記錄；

（五）運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄；

（六）對信息系統(tǒng)開展等級測評的技術測評報告；

（七）信息安全產(chǎn)品使用的變更情況；

（八）信息安全事件應急預案，信息安全事件應急處置結(jié)果報告；

（九）信息系統(tǒng)安全建設、整改結(jié)果報告。

第二十條 公安機關檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關管理規(guī)范和技術標準的，應當向運營、使用單位發(fā)出整改通知。運營、使用單位應當根據(jù)整 改通知要求，按照管理規(guī)范和技術標準進行整改。整改完成后，應當將整改報告向公安機關備案。必要時，公安機關可以對整改情況組織檢查。

第二十一條 第三級以上信息系統(tǒng)應當選擇使用符合以下條件的信息安全產(chǎn)品：

（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨立的法人資格；

（二）產(chǎn)品的核心技術、關鍵部件具有我國自主知識產(chǎn)權；

（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務、技術人員無犯罪記錄；

（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能；

（五）對國家安全、社會秩序、公共利益不構(gòu)成危害；

（六）對已列入信息安全產(chǎn)品認證目錄的，應當取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。

第二十二條 第三級以上信息系統(tǒng)應當選擇符合下列條件的等級保護測評機構(gòu)進行測評：

（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；

（二）由中國公民投資、中國法人投資或者國家投資的 企事業(yè)單位（港澳臺地區(qū)除外）；

（三）從事相關檢測評估工作兩年以上，無違法記錄；

（四）工作人員僅限于中國公民；

（五）法人及主要業(yè)務、技術人員無犯罪記錄；

（六）使用的技術裝備、設施應當符合本辦法對信息安全產(chǎn)品的要求；

（七）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；

（八）對國家安全、社會秩序、公共利益不構(gòu)成威脅。

第二十三條 從事信息系統(tǒng)安全等級測評的機構(gòu)，應當履行下列義務：

（一）遵守國家有關法律法規(guī)和技術標準，提供安全、客觀、公正的檢測評估服務，保證測評的質(zhì)量和效果；

（二）保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私，防范測評風險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規(guī)定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。

第四章 涉及國家秘密信息系統(tǒng)的分級保護管理

第二十四條 涉密信息系統(tǒng)應當依據(jù)國家信息安全等級保護的基本要求，按照國家保密工作部門有關涉密信息系統(tǒng)分級保護的管理規(guī)定和技術標準，結(jié)合系統(tǒng)實際情況進行保 護。

非涉密信息系統(tǒng)不得處理國家秘密信息。

第二十五條 涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級。

涉密信息系統(tǒng)建設使用單位應當在信息規(guī)范定密的基礎上，依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護等級。

保密工作部門和機構(gòu)應當監(jiān)督指導涉密信息系統(tǒng)建設使用單位準確、合理地進行系統(tǒng)定級。

第二十六條 涉密信息系統(tǒng)建設使用單位應當將涉密信息系統(tǒng)定級和建設使用情況，及時上報業(yè)務主管部門的保密工作機構(gòu)和負責系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導。

第二十七條 涉密信息系統(tǒng)建設使用單位應當選擇具有涉密集成資質(zhì)的單位承擔或者參與涉密信息系統(tǒng)的設計與實施。

涉密信息系統(tǒng)建設使用單位應當依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術標準，按照秘密、機密、絕密三級的不同要求，結(jié)合系統(tǒng)實際進行方案設計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四 級、第五級的水平。

第二十八條 涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應當選用國產(chǎn)品，并應當通過國家保密局授權的檢測機構(gòu)依據(jù)有關國家保密標準進行的檢測，通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。

第二十九條 涉密信息系統(tǒng)建設使用單位在系統(tǒng)工程實施結(jié)束后，應當向保密工作部門提出申請，由國家保密局授權的系統(tǒng)測評機構(gòu)依據(jù)國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》，對涉密信息系統(tǒng)進行安全保密測評。

涉密信息系統(tǒng)建設使用單位在系統(tǒng)投入使用前，應當按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》，向設區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設使用單位在按照分級保護要求完成系統(tǒng)整改后，應當向保密工作部門備案。

第三十條 涉密信息系統(tǒng)建設使用單位在申請系統(tǒng)審批或者備案時，應當提交以下材料：

（一）系統(tǒng)設計、實施方案及審查論證意見；

（二）系統(tǒng)承建單位資質(zhì)證明材料；

（三）系統(tǒng)建設和工程監(jiān)理情況報告；

（四）系統(tǒng)安全保密檢測評估報告；

（五）系統(tǒng)安全保密組織機構(gòu)和管理制度情況；

（六）其他有關材料。

第三十一條 涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設施、主要應用、安全保密管理責任單位變更時，其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據(jù)實際情況，決定是否對其重新進行測評和審批。

第三十二條 涉密信息系統(tǒng)建設使用單位應當依據(jù)國家保密標準BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》，加強涉密信息系統(tǒng)運行中的保密管理，定期進行風險評估，消除泄密隱患和漏洞。

第三十三條 國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理，并做好以下工作：

（一）指導、監(jiān)督和檢查分級保護工作的開展；

（二）指導涉密信息系統(tǒng)建設使用單位規(guī)范信息定密，合理確定系統(tǒng)保護等級；

（三）參與涉密信息系統(tǒng)分級保護方案論證，指導建設使用單位做好保密設施的同步規(guī)劃設計；

（四）依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理；

（五）嚴格進行系統(tǒng)測評和審批工作，監(jiān)督檢查涉密信 息系統(tǒng)建設使用單位分級保護管理制度和技術措施的落實情況；

（六）加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評，對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評；

（七）了解掌握各級各類涉密信息系統(tǒng)的管理使用情況，及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。

第五章 信息安全等級保護的密碼管理

第三十四條 國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等，確定密碼的等級保護準則。

信息系統(tǒng)運營、使用單位采用密碼進行等級保護的，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規(guī)定和相關標準。

第三十五條 信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等，應當嚴格執(zhí)行國家密碼管理的有關規(guī)定。

第三十六條 信息系統(tǒng)運營、使用單位應當充分運用密碼技術對信息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的，應報經(jīng)國家密碼管理局審批，密 碼的設計、實施、使用、運行維護和日常管理等，應當按照國家密碼管理有關規(guī)定和相關標準執(zhí)行；采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關規(guī)定與相關標準，其密碼的配備使用情況應當向國家密碼管理機構(gòu)備案。

第三十七條

運用密碼技術對信息系統(tǒng)進行系統(tǒng)等級保護建設和整改的，必須采用經(jīng)國家密碼管理部門批準使用或者準于銷售的密碼產(chǎn)品進行安全保護，不得采用國外引進或者擅自研制的密碼產(chǎn)品；未經(jīng)批準不得采用含有加密功能的進口信息技術產(chǎn)品。

第三十八條

信息系統(tǒng)中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構(gòu)承擔，其他任何部門、單位和個人不得對密碼進行評測和監(jiān)控。

第三十九條 各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關規(guī)定或者未達到密碼相關標準要求的，應當按照國家密碼管理的相關規(guī)定進行處置。

第六章 法律責任

第四十條 第三級以上信息系統(tǒng)運營、使用單位違反本 辦法規(guī)定，有下列行為之一的，由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負責的主管人員和其他直接責任人員予以處理，并及時反饋處理結(jié)果：

（一）未按本辦法規(guī)定備案、審批的；

（二）未按本辦法規(guī)定落實安全管理制度、措施的；

（三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的；

（四）未按本辦法規(guī)定開展系統(tǒng)安全技術測評的；

（五）接到整改通知后，拒不整改的；

（六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的；

（七）未按本辦法規(guī)定如實提供有關文件和證明材料的；

（八）違反保密管理規(guī)定的；

（九）違反密碼管理規(guī)定的；

（十）違反本辦法其他規(guī)定的。

違反前款規(guī)定，造成嚴重損害的，由相關部門依照有關法律、法規(guī)予以處理。

第四十一條 信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責中，玩忽職守、濫用職權、徇私舞弊的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責任。

第七章 附則

第四十二條 已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級；新建信息系統(tǒng)在設計、規(guī)劃階段確定安全保護等級。

第四十三條 本辦法所稱“以上”包含本數(shù)（級）。第四十四條 本辦法自發(fā)布之日起施行，《信息安全等級保護管理辦法（試行）》（公通字[2006]7號）同時廢止。

第四篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。

一、物理安全

1、應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）

2、應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應配置電子門禁系統(tǒng)(三級明確要求)；電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì)，電子門禁系統(tǒng)運行和維護記錄

4、主要設備或設備的主要部件上應設置明顯的不易除去的標記

5、介質(zhì)有分類標識；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應具有攝像、傳感等監(jiān)控報警系統(tǒng)；機房防盜報警設施的安全資質(zhì)材料、安裝測試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；

7、應具有機房監(jiān)控報警設施的安全資質(zhì)材料、安裝測試和驗收報告；機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄

8、應具有機房建筑的避雷裝置；通過驗收或國家有關部門的技術檢測；

9、應在電源和信號線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告

10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄；消防產(chǎn)品有效期合格；自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品

11、應具有除濕裝置；空調(diào)機和加濕器；溫濕度定期檢查和維護記錄

12、應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應具有溫濕度自動調(diào)節(jié)設施；溫濕度自動調(diào)節(jié)設施的運行記錄、定期檢查和維護記錄

14、應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄

15、應具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應具有備用供電系統(tǒng)（如備用發(fā)電機）；備用供電系統(tǒng)運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程

2、應具有安全管理制度的制定程序：

3、應具有專門的部門或人員負責安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）

4、應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內(nèi)部審核等），應具有管理制度評審記錄

5、應具有安全管理制度的收發(fā)登記記錄，收發(fā)應通過正式、有效的方式（如正式發(fā)文、領導簽署和單位蓋章等）----安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。

6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）

三、安全管理機構(gòu)

1、應設立信息安全管理工作的職能部門

2、應設立安全主管、安全管理各個方面的負責人

3、應設立機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應關系表）

4、安全管理員應是專職人員

5、關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應設立指導和管理信息安全工作的委員會或領導小組（最高領導是否由單位主管領導委任或授權的人員擔任）

7、應對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應與其它部門之間及內(nèi)部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）

9、應組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領導小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應與公安機關、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）

2、應對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術人員的技術技能進行考核，技能考核文檔或記錄

3、應與錄用后的技術人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容）

4、應設定關鍵崗位，對從事關鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）

6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設備等（交還身份證件和設備等的登記記錄）

7、人員離崗應辦理調(diào)離手續(xù)，是否要求關鍵崗位調(diào)離人員承諾相關保密義務后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識、安全技能等。

9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會關系等。

10、應對各類人員（普通用戶、運維人員、單位領導等）進行安全教育、崗位技能和安全技術培訓。

11、應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結(jié)果記錄，記錄應與培訓計劃一致）

12、外部人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應具有外部人員訪問重要區(qū)域的書面申請

14、應具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設備或信息及陪同人等）

五、系統(tǒng)建設管理

1、應明確信息系統(tǒng)的邊界和安全保護等級（具有定級文檔，明確信息系統(tǒng)安全保護等級）

2、應具有系統(tǒng)建設/整改方案

3、應授權專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃，由何部門/何人負責

4、應具有系統(tǒng)的安全建設工作計劃（系統(tǒng)安全建設工作計劃中明確了近期和遠期的安全建設計劃）

5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調(diào)整和修訂

7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的維護記錄或修訂版本

8、應按照國家的相關規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關憑證，如銷售許可等，應使用符合國家有關規(guī)定產(chǎn)品

10、應具有專門的部門負責產(chǎn)品的采購

11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準

15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應委托第三方測試機構(gòu)根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內(nèi)容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應具有系統(tǒng)交付時的技術培訓記錄

28、應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。

29、應指定部門負責系統(tǒng)交付工作

30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準

15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應委托第三方測試機構(gòu)根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內(nèi)容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應具有系統(tǒng)交付時的技術培訓記錄

28、應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。

29、應指定部門負責系統(tǒng)交付工作

30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

六、系統(tǒng)運維管理

1、應指定專人或部門對機房的基本設施（如空調(diào)、供配電設備等）進行定期維護，由何部門/何人負責。

2、應具有機房基礎設施的維護記錄，空調(diào)、溫濕度控制等機房設施定期維護保養(yǎng)的記錄

3、應指定部門和人員負責機房安全管理工作

4、應對辦公環(huán)境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應具有資產(chǎn)清單（覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面）

6、應指定資產(chǎn)管理的責任部門或人員

7、應依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識

8、介質(zhì)存放于何種環(huán)境中，應對存放環(huán)境實施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））

9、應具有介質(zhì)使用管理記錄，應記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對介質(zhì)的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制

11、應對介質(zhì)的使用情況進行登記管理，并定期盤點（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄）

12、對送出維修或銷毀的介質(zhì)如何管理，銷毀前應對數(shù)據(jù)進行凈化處理。（對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領導批準。對保密性較高的介質(zhì)銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）

13、應對某些重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質(zhì)上應具有分類的標識或標簽

15、應對各類設施、設備指定專人或?qū)ｉT部門進行定期維護。

16、應具有設備操作手冊

17、應對帶離機房的信息處理設備經(jīng)過審批流程，由何人審批（審批記錄）

18、應監(jiān)控主機、網(wǎng)絡設備和應用系統(tǒng)的運行狀況等

19、應有相關網(wǎng)絡監(jiān)控系統(tǒng)或技術措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警

20、應具有日常運維的監(jiān)控日志記錄和運維交接日志記錄

21、應定期對監(jiān)控記錄進行分析、評審

22、應具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關的分析報告

23、應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等相關事項進行集中管理

24、應指定專人負責維護網(wǎng)絡安全管理工作

25、應對網(wǎng)絡設備進行過升級，更新前應對現(xiàn)有的重要文件是否進行備份（網(wǎng)絡設備運維維護工作記錄）

26、應對網(wǎng)絡進行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進行及時修補。

27、對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網(wǎng)絡設備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡等）應都得到授權與批準，由何人/何部門批準。應定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對便攜式和移動式設備的網(wǎng)絡接入應進行限制管理

30、應具有內(nèi)部網(wǎng)絡外聯(lián)的授權批準書，應具有網(wǎng)絡違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補丁程序前應經(jīng)過測試，并對重要文件進行備份。

32、應有補丁測試記錄和系統(tǒng)補丁安裝操作記錄

33、應對系統(tǒng)管理員用戶進行分類（比如：劃分不同的管理角色，系統(tǒng)管理權限與安全審計權限分離等）

34、審計員應定期對系統(tǒng)審計日志進行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告）

35、應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關培訓文檔）

36、應指定專人對惡意代碼進行檢測，并保存記錄。

37、應具有對網(wǎng)絡和主機進行惡意代碼檢測的記錄

38、應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請書，應具有主管領導的批準

42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡管理員應識別需定期備份的業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應定期執(zhí)行恢復程序，檢查和測試備份介質(zhì)的有效性

44、應有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應的報告或相關文檔

45、應對安全事件記錄分析文檔

46、應具有不同事件的應急預案

47、應具有應急響應小組，應具備應急設備并能正常工作，應急預案執(zhí)行所需資金應做過預算并能夠落實。

48、應對系統(tǒng)相關人員進行應急預案培訓（應急預案培訓記錄）

49、應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新

51、應具有更新的應急預案記錄、應急預案審查記錄。

第五篇：安全等級保護管理辦法

安全等級保護管理辦法

為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關法律法規(guī)制定以下辦法：

第1條 網(wǎng)絡安全策略管理由安全保密管理員專職負責，未經(jīng)允許任何人不得進行此項操作。

第2條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求及主機審計系統(tǒng)數(shù)據(jù)的分析結(jié)果，制定、配置、修改、刪除主機審計系統(tǒng)的各項管理策略，并做記錄。

第3條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除網(wǎng)絡安全評估分析系統(tǒng)的各項管理策略，并做記錄。

第4條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除入侵檢測系統(tǒng)的各項管理策略，并做記錄。

第5條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)的各項管理策略，并做記錄。

第6條 每周對網(wǎng)絡信息系統(tǒng)安全管理策略進行數(shù)據(jù)備份，并作詳細記錄。第7條 網(wǎng)絡信息安全技術防護系統(tǒng)（主機審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)）由網(wǎng)絡安全保密管理員統(tǒng)一負責安裝和卸載。

第8條 網(wǎng)絡信息系統(tǒng)安全檢查由安全保密管理員專職負責執(zhí)行，未經(jīng)允許任何人不得進行此項操作。

第9條 每天根據(jù)入侵檢測系統(tǒng)的系統(tǒng)策略檢測、審計系統(tǒng)日志，檢查是否有網(wǎng)絡攻擊、異常操作、不正常數(shù)據(jù)流量等，對異常情況做及時處理，遇有重大安全問題上報保密局，并做詳細記錄。

第10條 每周登陸入侵檢測系統(tǒng)產(chǎn)品網(wǎng)站，下載最新升級文件包，對系統(tǒng)進行更新，并做詳細記錄。

第11條 每月通過漏洞掃描系統(tǒng)對網(wǎng)絡系統(tǒng)終端進行安全評估分析，并對掃描結(jié)果進行分析，及時對終端系統(tǒng)漏洞及安全隱患進行處理，作詳細記錄，并將安全評估分析報告上報保密辦。

第12條 每周登錄全評估產(chǎn)品網(wǎng)站，下載最新升級文件包，對系統(tǒng)進行更新，并作詳細記錄。

第13條 每周備份入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)的審計信息，并作詳細記錄。第14條 涉密計算機安全管理由安全保密管理員專人負責，未經(jīng)允許任何人不得進行此項操作。

第15條 根據(jù)網(wǎng)絡系統(tǒng)安全設計要求制定、修改、刪除涉密計算機安全審計策略，包括打印控制策略、外設輸入輸出控制策略、應用程序控制策略，并做記錄。

第16條 每日對涉密計算機進行安全審計，及時處理安全問題，并做詳細記錄，遇有重大問題上報保密部門。

第17條 涉密計算機的新增、變更、淘汰需經(jīng)保密部門審批，審批通過后由安全保密管理員統(tǒng)一進行操作，并做詳細記錄。

第18條 新增涉密計算機聯(lián)入涉密網(wǎng)絡，需經(jīng)保密局審批，由安全保密管理員統(tǒng)一進行操作，并做詳細記錄。