第一篇：阜外醫(yī)院率先通過國家信息安全等級(jí)保護(hù)第三級(jí)測評-胡睿

醫(yī)療信息安全參用軍隊(duì)考評體系

本報(bào)訊（記者 胡睿）1月6日，阜外心血管病醫(yī)院對外公布稱，“該院于2011年11月順利通過國家信息安全等級(jí)保護(hù)第三級(jí)測評，成為國內(nèi)第一家通過三級(jí)測評的醫(yī)院”。衛(wèi)生部統(tǒng)計(jì)信息中心網(wǎng)絡(luò)與應(yīng)用處副處長楊龍頻解釋說，醫(yī)院信息安全保護(hù)測評方式最原始的參照版本是軍隊(duì)保密系統(tǒng)，第三級(jí)保護(hù)信息如果泄露，相當(dāng)于對國家安全產(chǎn)生危害，或者是對社會(huì)秩序帶來不良影響。

據(jù)了解，早在2009年衛(wèi)生部就已經(jīng)提出要加強(qiáng)醫(yī)院信息安全保護(hù)，但由于我國醫(yī)院信息化相對滯后，應(yīng)用范圍還相對有限，衛(wèi)生部沒有對此項(xiàng)工作提出硬性要求。直到2011年，衛(wèi)生部才正是下發(fā)了《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》的通知（衛(wèi)辦綜函【2011】1126號(hào)文）。

通知明確指出，國家信息安全等級(jí)保護(hù)制度將信息安全保護(hù)等級(jí)分為五級(jí)：第一級(jí)為自主保護(hù)級(jí)，第二級(jí)為指導(dǎo)保護(hù)級(jí)，第三級(jí)為監(jiān)督保護(hù)級(jí)，第四級(jí)為強(qiáng)制保護(hù)級(jí)，第五級(jí)為?？乇Ｗo(hù)級(jí)。根據(jù)現(xiàn)階段醫(yī)院信息化應(yīng)用情況來看，我國要求三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)信息安全保護(hù)等級(jí)不低于第三級(jí)。

同時(shí)，通知要求各三級(jí)甲等醫(yī)院于2015年12月30日前完成信息安全等級(jí)保護(hù)建設(shè)整改工作，并通過等級(jí)測評，阜外心血管病醫(yī)院是提前三年完成了衛(wèi)生部部署的工作。

阜外心血管病醫(yī)院信息中心主任趙偉說，近年來該院從技術(shù)、管理、保證系統(tǒng)連續(xù)性三個(gè)方面入手，已經(jīng)建成了一套以電子病歷為核心、信息高度集成、流程嚴(yán)格控制、知識(shí)系統(tǒng)完備、具備事情控制能力、具備醫(yī)療成本控制體系、符合心血管專科醫(yī)療特色的信息化支撐平臺(tái)。這些系統(tǒng)的安全保護(hù)都不低于第三級(jí)，特別是電子病歷管理，目前已經(jīng)達(dá)到了衛(wèi)生部電子病歷系統(tǒng)功能應(yīng)用五級(jí)標(biāo)準(zhǔn)。

“另外，為了確保急診患者信息不外露，阜外心血管病醫(yī)院專門開發(fā)了獨(dú)立于門診之外的急診信息應(yīng)對系統(tǒng)，包括醫(yī)生工作站、護(hù)士工作站、化驗(yàn)平臺(tái)、交費(fèi)系統(tǒng)四個(gè)主體部分。這個(gè)系統(tǒng)雖然是獨(dú)立的，但他可以與門診系統(tǒng)實(shí)現(xiàn)互通，所有的資料都可以上傳給門診系統(tǒng)，以便應(yīng)用于今后的科研、醫(yī)療、教學(xué)等方面”。趙偉如是說。

實(shí)際上，國家對信息安全保護(hù)早已對各行各業(yè)提出了明確要求，只是由于醫(yī)院的信息化建設(shè)晚于其他行業(yè)造成了現(xiàn)在的局面。北京公共衛(wèi)生信息中心主任張文忠說，站在醫(yī)院的角度來說，通常會(huì)把信息安全放在信息化發(fā)展的第二位考慮，第一位是信息化的應(yīng)用。這個(gè)道理很簡單，如果沒有應(yīng)用就無從談及安全，所以說只有應(yīng)用了信息化系統(tǒng)才能談到安全保護(hù)問題。阜外醫(yī)院通過等級(jí)評審，說明醫(yī)院信息化的應(yīng)用已經(jīng)開始考慮安全問題，這也預(yù)示著我國醫(yī)院信息化系統(tǒng)的應(yīng)用已經(jīng)步入了更高階段。

但中國醫(yī)院協(xié)會(huì)信息管理專業(yè)委員會(huì)副主任委員沈韜說，患者信息泄露的確會(huì)對社會(huì)造成一定的影響，但還不至于對社會(huì)秩序和國家安全造成較大影響。他認(rèn)為，三級(jí)醫(yī)療機(jī)構(gòu)的信息安全保護(hù)不低于第三級(jí)標(biāo)準(zhǔn)有些過高，不低于第二級(jí)已經(jīng)可以確保醫(yī)療信息安全。

第二篇：國家信息安全等級(jí)保護(hù)制度第三級(jí)要求

CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

1.1.1.4 防雷擊(G3)本項(xiàng)要求包括: a)機(jī)房建筑應(yīng)設(shè)置避雷裝置;b)應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷;c)機(jī)房應(yīng)設(shè)置交流電源地線。7.1.1.5 防火(G3)本項(xiàng)要求包括: a)機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測火情、自動(dòng)報(bào)警,并自動(dòng)滅火;b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料;c)機(jī)房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開。1.1.1.6 防水和防潮(G3)本項(xiàng)要求包括: a)水管安裝,不得穿過機(jī)房屋頂和活動(dòng)地板下;b)應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透;c)應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透;d)應(yīng)安裝對水敏感的檢測儀表或元件,對機(jī)房進(jìn)行防水檢測和報(bào)警。1.1.1.7 防靜電(G3)本項(xiàng)要求包括: a)主要設(shè)備應(yīng)采用必要的接地防靜電措施;b)機(jī)房應(yīng)采用防靜電地板。1.1.1.8 溫濕度控制(G3)機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。

1.1.1.9 電力供應(yīng)(A3)本項(xiàng)要求包括: CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

1.1.2.2 訪問控制(G3)本項(xiàng)要求包括: a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能;b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級(jí);c)應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾,實(shí)現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3 等協(xié)議命令級(jí)的控制;d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接;e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù);f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙;g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問,控制粒度為單個(gè)用戶;h)應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。1.1.2.3 安全審計(jì)(G3)本項(xiàng)要求包括: a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄;b)審計(jì)記錄應(yīng)包括:事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表;d)應(yīng)對審計(jì)記錄進(jìn)行保護(hù),避免受到未預(yù)期的刪除、修改或覆蓋等。1.1.2.4 邊界完整性檢查(S3)本項(xiàng)要求包括: a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對其進(jìn)行有效阻斷;b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

本項(xiàng)要求包括: a)應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別;b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;c)應(yīng)啟用登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;d)當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;e)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。

f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。1.1.3.2 訪問控制(S3)本項(xiàng)要求包括: a)應(yīng)啟用訪問控制功能,依據(jù)安全策略控制用戶對資源的訪問;b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限;c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離;d)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn)口令;e)應(yīng)及時(shí)刪除多余的、過期的帳戶,避免共享帳戶的存在。f)應(yīng)對重要信息資源設(shè)置敏感標(biāo)記;g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作;7.1.3.3 安全審計(jì)(G3)本項(xiàng)要求包括: a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;b)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定;c)應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視,包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況;d)應(yīng)限制單個(gè)用戶對系統(tǒng)資源的最大或最小使用限度;e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警。7.1.4 應(yīng)用安全 7.1.4.1 身份鑒別(S3)本項(xiàng)要求包括: a)應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別;b)應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別;c)應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí),身份鑒別信息不易被冒用;d)應(yīng)提供登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)。

7.1.4.2 訪問控制(S3)本項(xiàng)要求包括: a)應(yīng)提供訪問控制功能,依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問;b)訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作;c)應(yīng)由授權(quán)主體配置訪問控制策略,并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限;d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系。

e)應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記的功能;CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

7.1.4.8 軟件容錯(cuò)(A3)本項(xiàng)要求包括: a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能,保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求;b)應(yīng)提供自動(dòng)保護(hù)功能,當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài),保證系統(tǒng)能夠進(jìn)行恢復(fù)。

7.1.4.9 資源控制(A3)本項(xiàng)要求包括: a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話;b)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制;c)應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制;d)應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制;e)應(yīng)能夠?qū)σ粋€(gè)訪問帳戶或一個(gè)請求進(jìn)程占用的資源分配最大限額和最小限額;f)應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警;g)應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能,并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進(jìn)程的優(yōu)先級(jí),根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。

7.1.5 數(shù)據(jù)安全及備份恢復(fù) 7.1.5.1 數(shù)據(jù)完整性(S3)本項(xiàng)要求包括: a)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞,并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施;b)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過程中完整性受到破壞,并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。

7.1.5.2 數(shù)據(jù)保密性(S3)本項(xiàng)要求包括: CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

c)應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定;d)安全管理制度應(yīng)通過正式、有效的方式發(fā)布;e)安全管理制度應(yīng)注明發(fā)布范圍,并對收發(fā)文進(jìn)行登記。7.2.1.3 評審和修訂(G3)本項(xiàng)要求包括: a)信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定;b)應(yīng)定期或不定期對安全管理制度進(jìn)行檢查和審定,對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。

7.2.2 安全管理機(jī)構(gòu) 7.2.2.1 崗位設(shè)置(G3)本項(xiàng)要求包括: a)應(yīng)設(shè)立信息安全管理工作的職能部門,設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé);b)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位,并定義各個(gè)工作崗位的職責(zé);c)應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán);d)應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。7.2.2.2 人員配備(G3)本項(xiàng)要求包括: a)應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等;b)應(yīng)配備專職安全管理員,不可兼任;c)關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。7.2.2.3 授權(quán)和審批(G3)本項(xiàng)要求包括: a)應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等;CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用;b)應(yīng)嚴(yán)格規(guī)范人員錄用過程,對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查,對其所具有的技術(shù)技能進(jìn)行考核;c)應(yīng)簽署保密協(xié)議;d)應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。7.2.3.2 人員離崗(G3)本項(xiàng)要求包括: a)應(yīng)嚴(yán)格規(guī)范人員離崗過程,及時(shí)終止離崗員工的所有訪問權(quán)限;b)應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備;c)應(yīng)辦理嚴(yán)格的調(diào)離手續(xù),關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。

7.2.3.3 人員考核(G3)本項(xiàng)要求包括: a)應(yīng)定期對各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核;b)應(yīng)對關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核;c)應(yīng)對考核結(jié)果進(jìn)行記錄并保存。7.2.3.4 安全意識(shí)教育和培訓(xùn)(G3)本項(xiàng)要求包括: a)應(yīng)對各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn);b)應(yīng)對安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員,對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒;c)應(yīng)對定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定,針對不同崗位制定不同的培訓(xùn)計(jì)劃,對信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn);d)應(yīng)對安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。7.2.3.5 外部人員訪問管理(G3)本項(xiàng)要求包括: a)應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請,批準(zhǔn)后由專人全程CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

b)應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求;c)應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購;d)應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。

7.2.4.4 自行軟件開發(fā)(G3)本項(xiàng)要求包括: a)應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開,開發(fā)人員和測試人員分離,測試數(shù)據(jù)和測試結(jié)果受到控制;b)應(yīng)制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則;c)應(yīng)制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼;d)應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管;e)應(yīng)確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。7.2.4.5 外包軟件開發(fā)(G3)本項(xiàng)要求包括: a)應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量;b)應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼;c)應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南;d)應(yīng)要求開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門。7.2.4.6 工程實(shí)施(G3)本項(xiàng)要求包括: a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理;b)應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程,并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程;c)應(yīng)制定工程實(shí)施方面的管理制度,明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。

7.2.4.7 測試驗(yàn)收(G3)CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

a)在系統(tǒng)運(yùn)行過程中,應(yīng)至少每年對系統(tǒng)進(jìn)行一次等級(jí)測評,發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改;b)應(yīng)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對系統(tǒng)進(jìn)行等級(jí)測評,發(fā)現(xiàn)級(jí)別發(fā)生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造,發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改;c)應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進(jìn)行等級(jí)測評;d)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級(jí)測評的管理。7.2.4.11 安全服務(wù)商選擇(G3)本項(xiàng)要求包括: a)應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定;b)應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確約定相關(guān)責(zé)任;c)應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾,必要的與其簽訂服務(wù)合同。

7.2.5 系統(tǒng)運(yùn)維管理 7.2.5.1 環(huán)境管理(G3)本項(xiàng)要求包括: a)應(yīng)指定專門的部門或人員定期對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理;b)應(yīng)指定部門負(fù)責(zé)機(jī)房安全,并配備機(jī)房安全管理人員,對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理;c)應(yīng)建立機(jī)房安全管理制度,對有關(guān)機(jī)房物理訪問,物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理做出規(guī)定;d)應(yīng)加強(qiáng)對辦公環(huán)境的保密性管理,規(guī)范辦公環(huán)境人員行為,包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等。

7.2.5.2 資產(chǎn)管理(G3)本項(xiàng)要求包括: a)應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容;CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

d)應(yīng)對終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理,按操作規(guī)程實(shí)現(xiàn)主要設(shè)備(包括備份和冗余設(shè)備)的啟動(dòng)/停止、加電/斷電等操作;e)應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)。7.2.5.5 監(jiān)控管理和安全管理中心(G3)本項(xiàng)要求包括: a)應(yīng)對通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測和報(bào)警,形成記錄并妥善保存;b)應(yīng)組織相關(guān)人員定期對監(jiān)測和報(bào)警記錄進(jìn)行分析、評審,發(fā)現(xiàn)可疑行為,形成分析報(bào)告,并采取必要的應(yīng)對措施;c)應(yīng)建立安全管理中心,對設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。

7.2.5.6 網(wǎng)絡(luò)安全管理(G3)本項(xiàng)要求包括: a)應(yīng)指定專人對網(wǎng)絡(luò)進(jìn)行管理,負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作;b)應(yīng)建立網(wǎng)絡(luò)安全管理制度,對網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定;c)應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新,并在更新前對現(xiàn)有的重要文件進(jìn)行備份;d)應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描,對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ);e)應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置,并對配置文件進(jìn)行定期離線備份;f)應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn);g)應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入;h)應(yīng)定期檢查違反規(guī)定撥號(hào)上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。7.2.5.7 系統(tǒng)安全管理(G3)本項(xiàng)要求包括: CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

案經(jīng)過評審、審批后方可實(shí)施變更,并在實(shí)施后將變更情況向相關(guān)人員通告;c)應(yīng)建立變更控制的申報(bào)和審批文件化程序,對變更影響進(jìn)行分析并文檔化,記錄變更實(shí)施過程,并妥善保存所有文檔和記錄;d)應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序,明確過程控制方法和人員職責(zé),必要時(shí)對恢復(fù)過程進(jìn)行演練。

7.2.5.11 備份與恢復(fù)管理(G3)本項(xiàng)要求包括: a)應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;b)應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度,對備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等進(jìn)行規(guī)范;c)應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略,備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒?d)應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序,對備份過程進(jìn)行記錄,所有文件和記錄應(yīng)妥善保存;e)應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測試備份介質(zhì)的有效性,確保可以在恢復(fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。

7.2.5.12 安全事件處置(G3)本項(xiàng)要求包括: a)應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件,但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn);b)應(yīng)制定安全事件報(bào)告和處置管理制度,明確安全事件的類型,規(guī)定安全事件的現(xiàn)場處理、事件報(bào)告和后期恢復(fù)的管理職責(zé);c)應(yīng)根據(jù)國家相關(guān)管理部門對計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響,對本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級(jí)劃分;d)應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序,確定事件的報(bào)告流程,響應(yīng)和處置的范圍、程度,以及處理方法等;e)應(yīng)在安全事件報(bào)告和響應(yīng)處理過程中,分析和鑒定事件產(chǎn)生的原因,收集證據(jù),記錄處理過程,總結(jié)經(jīng)驗(yàn)教訓(xùn),制定防止再次發(fā)生的補(bǔ)救措施,過程形成的CHISC.NET-國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

所有文件和記錄均應(yīng)妥善保存;f)對造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報(bào)告程序。

7.2.5.13 應(yīng)急預(yù)案管理(G3)本項(xiàng)要求包括: a)應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案,應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容;b)應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障;c)應(yīng)對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次;d)應(yīng)定期對應(yīng)急預(yù)案進(jìn)行演練,根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容,確定演練的周期;e)應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容,并按照執(zhí)行。

第三篇：信息安全等級(jí)保護(hù)測評

TopSec可信等級(jí)體系 天融信等級(jí)保護(hù)方案

Hacker.cn 更新時(shí)間:08-03-27 09:37 來源:硅谷動(dòng)力 作者:中安網(wǎng)

1.等級(jí)保護(hù)概述

1.1為什么要實(shí)行等級(jí)保護(hù)？

信息系統(tǒng)與社會(huì)組織體系是具有對應(yīng)關(guān)系的，而這些組織體系是分層次和級(jí)別的，因此各種信息系統(tǒng)是具有不同等級(jí)的重要性和社會(huì)、經(jīng)濟(jì)價(jià)值的。對信息系統(tǒng)的基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進(jìn)行區(qū)別對待就是級(jí)別的客觀要求。信息安全必須符合這些客觀要求，這就需要對信息系統(tǒng)進(jìn)行分級(jí)、分區(qū)域、分階段進(jìn)行保護(hù)，這是做好國家信息安全的必要條件。

1.2等級(jí)保護(hù)的政策文件

信息安全等級(jí)保護(hù)工作非常重要，為此從2003年開始國家發(fā)布了一系列政策文件，具體如下：

2003年9月，中辦國辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)），這是我國第一個(gè)信息安全保障工作的綱領(lǐng)性文件，戰(zhàn)略目標(biāo)為經(jīng)過五年努力，基本形成國家信息安全保障體系，實(shí)行等級(jí)保護(hù)制度。

2004年11月，四部委會(huì)簽《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）：等級(jí)保護(hù)是今后國家信息安全的基本制度也是根本方法、等級(jí)保護(hù)制度的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、工作要求和實(shí)施計(jì)劃。2005年9月，國信辦文件，《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》的通知》（國信辦[2004]25號(hào)）：基本原理、定級(jí)方法、安全規(guī)劃與設(shè)計(jì)、實(shí)施與運(yùn)營、大型復(fù)雜電子政務(wù)系統(tǒng)等級(jí)保護(hù)過程。

2005年，公安部標(biāo)準(zhǔn)：《等級(jí)保護(hù)安全要求》、《等級(jí)保護(hù)定級(jí)指南》、《等級(jí)保護(hù)實(shí)施指南》、《等級(jí)保護(hù)測評準(zhǔn)則》。

2006年1月，四部委會(huì)簽《關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法的通知》（公通字[2006]7號(hào)）。

1.3 等級(jí)保護(hù)的管理結(jié)構(gòu)－北京為例

等級(jí)保護(hù)的實(shí)施和落實(shí)離不開各級(jí)管理機(jī)構(gòu)的指導(dǎo)和監(jiān)督，這在等級(jí)保護(hù)的相關(guān)文件中已經(jīng)得到了規(guī)定，下面以北京市為例來說明管理機(jī)構(gòu)的組成和職責(zé)，具體如下圖所示：

1.4等級(jí)保護(hù)理論的技術(shù)演進(jìn)

在等級(jí)保護(hù)理論被提出以后，經(jīng)過相關(guān)部門的努力工作，逐漸提出了一系列原則、技術(shù)和框架，已經(jīng)具備實(shí)施等級(jí)保護(hù)工作的基礎(chǔ)條件了，其具體演進(jìn)過程如下圖所示：

1.5等級(jí)保護(hù)的基本需求

一個(gè)機(jī)構(gòu)要實(shí)施等級(jí)保護(hù)，需要基本需求。由于等級(jí)保護(hù)是國家推動(dòng)的旨在規(guī)范安全工作的基本工作制度，因此各級(jí)組織在這方面就存在如下需求：

（1）政策要求－符合等級(jí)保護(hù)的要求。系統(tǒng)符合《基本要求》中相應(yīng)級(jí)別的指標(biāo)，符合《測評準(zhǔn)則》中的要求。

（2）實(shí)際需求－適應(yīng)客戶實(shí)際情況。適應(yīng)業(yè)務(wù)特性與安全要求的差異性，可工程化實(shí)施。

1.6基本安全要求的結(jié)構(gòu)

對系統(tǒng)進(jìn)行定級(jí)后，需要通過努力達(dá)到相應(yīng)等級(jí)的基本安全要求，在總體上分為技術(shù)要求和管理要求，技術(shù)上又分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全，在管理要求中又分為安全管理機(jī)構(gòu)、安全管理制度等5項(xiàng)，具體如下圖所示：

2.等級(jí)保護(hù)實(shí)施中的困難與出路

由于等級(jí)保護(hù)制度還處于探討階段，目前來看，尚存在如下困難：

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)，否則：

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

3.管理難度太大，管理成本高

4.大型客戶最關(guān)注的關(guān)鍵要求指標(biāo)超出《基本要求》規(guī)定

針對上述問題，在下面幾小節(jié)分別給出了堅(jiān)決辦法。

2.1安全體系設(shè)計(jì)方法

需求分析－1

問題1：標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

需求：從組織整體出發(fā)，綜合考核所有系統(tǒng)

方法：引入體系設(shè)計(jì)方法

2.2保護(hù)對象框架設(shè)計(jì)方法

需求分析－2

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

需求：準(zhǔn)確地進(jìn)行大系統(tǒng)的分解和描述，反映實(shí)際特性和差異性安全要求

方法：引入保護(hù)對象框架設(shè)計(jì)方法

保護(hù)對象框架－政府行業(yè)

保護(hù)對象框架－電信行業(yè)

保護(hù)對象框架－銀行業(yè)

2.3安全平臺(tái)的設(shè)計(jì)與建設(shè)方法

需求分析－3

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

需求：統(tǒng)一規(guī)劃，集中建設(shè)，避免重復(fù)和分散，降低成本，提高建設(shè)水平

方法：引入安全平臺(tái)的設(shè)計(jì)與建設(shè)方法

平臺(tái)定義：為系統(tǒng)提供互操作性及其服務(wù)的環(huán)境

2.4建立安全運(yùn)行體系

需求分析－4

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

需求：建立長效機(jī)制，建立可持續(xù)運(yùn)行、發(fā)展和完善的體系

方法：建立安全運(yùn)行體系

2.5安全運(yùn)維工作過程

需求分析－5

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

3.管理難度太大，管理成本高

需求：需要高水平、自動(dòng)化的安全管理工具

方法：TSM安全管理平臺(tái)

2.6 TNA可信網(wǎng)絡(luò)架構(gòu)模型

需求分析－6

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

3.管理難度太大，管理成本高

4.大型客戶最關(guān)注的關(guān)鍵指標(biāo)超出《基本要求》規(guī)定

需求：在《基本要求》基礎(chǔ)上提出更強(qiáng)的措施，滿足客戶最關(guān)注的指標(biāo)

方法：引入可信計(jì)算的理念，提供可信網(wǎng)絡(luò)架構(gòu)

3.總體解決方案－TopSec可信等級(jí)體系

按照上面解決等級(jí)保護(hù)目前困難的方法，總體解決方案就是建立TopSec可信等級(jí)體系：

遵照國家等級(jí)保護(hù)制度、滿足客戶實(shí)際需求，采用等級(jí)化、體系化和可信保障相結(jié)合的方法，為客戶建設(shè)一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全保障體系。

實(shí)施后狀態(tài)：一套持續(xù)運(yùn)行、涵蓋所有安全內(nèi)容的安全保障體系，是企業(yè)或組織安全工作所追求的最終目標(biāo)

特質(zhì)：

等級(jí)化：突出重點(diǎn)，節(jié)省成本，滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求

整體性：結(jié)構(gòu)化，內(nèi)容全面，可持續(xù)發(fā)展和完善，持續(xù)運(yùn)行

針對性：針對實(shí)際情況，符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略

3.1可信等級(jí)體系設(shè)計(jì)方法

3.2信息安全保障體系總體框架

3.3體系設(shè)計(jì)的成果

安全組織體系

安全策略體系

安全技術(shù)體系

安全運(yùn)行體系

3.4安全體系的實(shí)現(xiàn)

4.成功案例

某國有大型企業(yè)已經(jīng)采用了我們的可信等級(jí)體系，取得了良好的效果。

第四篇：國家信息安全等級(jí)保護(hù)制度

《信息安全等級(jí)保護(hù)管理辦法》 四部委下發(fā)公通字[2007]43號(hào)文 《信息安全等級(jí)保護(hù)管理辦法》是為規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)而制定的辦法。由四部委下發(fā)，公通字200743號(hào)文。2 制定目的 規(guī)范信息安全等級(jí)保護(hù)管理。文號(hào)

公通字200743號(hào)文 第一章 總則 第一條

為規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)，制定本辦法。第二條

國家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。第三條

公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)。第四條

信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營、使用單位的信息安全等級(jí)保護(hù)工作。第五條

信息系統(tǒng)的運(yùn)營、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范，履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任。

第二章 等級(jí)劃分與保護(hù) 第六條

國家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。第七條

信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：

第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會(huì)秩序和公共利益造成損害，但不損害國家安全。

第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造 1

成損害。

第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。

第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對國家安全造成特別嚴(yán)重?fù)p害。第八條

信息系統(tǒng)運(yùn)營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。

第一級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。第三級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國家指定專門部門對該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。第三章等級(jí)保護(hù)的實(shí)施與管理 第九條

信息系統(tǒng)運(yùn)營、用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 具體實(shí)施等級(jí)保護(hù)工作。第十條

信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。對擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護(hù) 等級(jí)專家評審委員會(huì)評審。第十一條

信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營、使用單位應(yīng)當(dāng)按照國家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。第十二條

在信息系統(tǒng)建設(shè)過程中，運(yùn)營、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671-2006）等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。第十三條

運(yùn)營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。第十四條

信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測評。

第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測評，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測評，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測評。信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每 半年至少進(jìn)行一次自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，運(yùn)營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。第十五條

已運(yùn)營（運(yùn)行）的第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30 日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。第十六條

辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí)，應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料：

（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；

（二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度；

（三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；

（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；

（五）測評后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測評估報(bào)告；

（六）信息系統(tǒng)安全保護(hù)等級(jí)專家評審意見；

（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見。

第十七條

信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進(jìn)行審核，對符合等級(jí)保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以 糾正；發(fā)現(xiàn)定級(jí)不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。運(yùn)營、使用單位或者主管部門重新確定信息系統(tǒng)等級(jí)后，應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。第十八條

受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對第三級(jí)、第四級(jí)信息系統(tǒng)的運(yùn)營、使用單位的信息安全等級(jí)保護(hù)工作情況進(jìn)行檢查。對第三級(jí)信息系統(tǒng)每年至少檢查一次，對第四級(jí)信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會(huì)同其主管部門進(jìn)行。對第五級(jí)信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進(jìn)行檢查。公安機(jī)關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項(xiàng)進(jìn)行檢查：

（一）系統(tǒng)安全需求是否發(fā)生變化，原定保護(hù)等級(jí)是否準(zhǔn)確；

（二）運(yùn)營、使用單位安全管理制度、措施的落實(shí)情況；

（三）運(yùn)營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況；

（四）系統(tǒng)安全等級(jí)測評是否符合要求；

（五）信息安全產(chǎn)品使用是否符合要求；

（六）對信息系統(tǒng)開展等級(jí)測評的技術(shù)測評報(bào)告；

（七）信息安全產(chǎn)品使用的變更情況；

（八）信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報(bào)告；

（九）信息系統(tǒng)安全建設(shè)、整改結(jié)果報(bào)告。

第二十條

公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級(jí)保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運(yùn)營、使用單位發(fā)出整改通知。運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。整改完成后，應(yīng)當(dāng)將整改報(bào)告向公安機(jī)關(guān)備案。必要時(shí)，公安機(jī)關(guān)可以對整改情況組織檢查。

第二十一條

第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：

（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民 共和國境內(nèi)具有獨(dú)立的法人資格；

（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識(shí)產(chǎn)權(quán)；

（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能；

（五）對國家安全、社會(huì)秩序、公共利益不構(gòu)成危害；

（六）對已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。第二十二條

第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級(jí)保護(hù)測評機(jī)構(gòu)進(jìn)行測評：

（一）在中華人民共和國境內(nèi)注冊成立（港澳臺(tái)地區(qū)除外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺(tái)地區(qū)除外）；

（三）從事相關(guān)檢測評估工作兩年以上，無違法記錄；

（四）工作人員僅限于中國公民；

（五）法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

（六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求；

（七）具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；

（八）對國家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。第二十三條

從事信息系統(tǒng)安全等級(jí)測評的機(jī)構(gòu)，應(yīng)當(dāng)履行下列義務(wù)：

（一）遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公正的檢測評估服務(wù)，保證測評的質(zhì)量和效果；

（二）保守在測評活動(dòng)中知悉的國家秘密、商業(yè)秘密和個(gè)人隱私，防范測評風(fēng)險(xiǎn)；

（三）對測評人員進(jìn)行安全保密教育，與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實(shí)。第四章 涉密信息系統(tǒng)的分級(jí)保護(hù)管理

第二十四條

涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級(jí)保護(hù)的基本要求，按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。非涉密信息系統(tǒng)不得處理國家秘密信息。第二十五條

涉密信息系統(tǒng)按照所處理信息的最高密級(jí)，由低到高分為秘密、機(jī)密、絕密三個(gè)等級(jí)。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上，依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法和國家保密標(biāo)準(zhǔn)BMB17-2006《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》確 定系統(tǒng)等級(jí)。對于包含多個(gè)安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護(hù)等級(jí)。保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進(jìn)行系統(tǒng)定級(jí)。第二十六條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級(jí)和建設(shè)使用情況，及時(shí)上報(bào)業(yè)務(wù)主管部門的保密工作機(jī)構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導(dǎo)。

第二十七條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計(jì)與實(shí)施。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，按照秘密、機(jī)密、絕密三級(jí)的不同要求，結(jié)合系統(tǒng)實(shí)際進(jìn)行方案設(shè)計(jì)，實(shí)施分級(jí)保護(hù)，其保護(hù)水平

總體上不低于國家信息安全等級(jí)保護(hù)第三級(jí)、第四級(jí)、第五級(jí)的水平。第二十八條

涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品，并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機(jī)構(gòu)依據(jù)有關(guān)國家保密標(biāo)準(zhǔn)進(jìn)行的檢測，通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。

第二十九條

涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實(shí)施結(jié)束后，應(yīng)當(dāng)向保密工作部門提出申請，由國家保密局授權(quán)的系統(tǒng)測評機(jī)構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)BMB22-2007《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測評指南》，對涉密信息系統(tǒng)進(jìn)行安全保密測評。涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)當(dāng)按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》，向設(shè)區(qū)的市級(jí)以上保密工作部門申請進(jìn)行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在按照分級(jí)保護(hù)要求完成系統(tǒng)整改后，應(yīng)當(dāng)向保密工作部門備案。

第三十條

涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時(shí)，應(yīng)當(dāng)提交以下材料：

（一）系統(tǒng)設(shè)計(jì)、實(shí)施方案及審查論證意見；

（二）系統(tǒng)承建單位資質(zhì)證明材料；

（三）系統(tǒng)建設(shè)和工程監(jiān)理情況報(bào)告；

（四）系統(tǒng)安全保密檢測評估報(bào)告；

（五）系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況；

（六）其他有關(guān)材料。第三十一條

涉密信息系統(tǒng)發(fā)生涉密等級(jí)、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時(shí)，其建設(shè)使用單位應(yīng)當(dāng)及時(shí)向負(fù)責(zé)審批的保密工作部門報(bào)告。保密工作部門應(yīng)當(dāng)根據(jù)實(shí)際情況，決定是否對其重新進(jìn)行測評和審批。第三十二條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)BMB20-2007《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》，加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密管理，定期進(jìn)行風(fēng)險(xiǎn)評估，消除泄密隱患和漏洞。第三十三條

國家和地方各級(jí)保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級(jí)保護(hù)工作實(shí)施監(jiān)督管理，并做好以下工作：

（一）指導(dǎo)、監(jiān)督和檢查分級(jí)保護(hù)工作的開展；

（二）指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密，合理確定系統(tǒng)保護(hù)等級(jí)；

（三）參與涉密信息系統(tǒng)分級(jí)保護(hù)方案論證，指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計(jì)；

（四）依法對涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行監(jiān)督管理；

（五）嚴(yán)格進(jìn)行系統(tǒng)測評和審批工作，監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級(jí)保護(hù)管理制度和技術(shù)措施的落實(shí)情況；

（六）加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每兩年至少進(jìn)行一次保密檢查或者系統(tǒng)測評，對絕密級(jí)信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測評；

（七）了解掌握各級(jí)各類涉密信息系統(tǒng)的管理使用情況，及時(shí)發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第五章

信息安全等級(jí)保護(hù)的密碼管理 第三十四條

國家密碼管理部門對信息安全等級(jí)保護(hù)的密碼實(shí)行分類分級(jí)管理。

根據(jù)被保護(hù)對象在國家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)建設(shè)中的作用和重要程度，被保護(hù)對象的安全防護(hù)要求和涉密程度，被保護(hù)對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等，確定密碼的等級(jí)保護(hù)準(zhǔn)則。信息系統(tǒng)運(yùn)營、使用單位采用密碼進(jìn)行等級(jí)保護(hù)的，應(yīng)當(dāng)遵照《信息安全等級(jí)保護(hù)密碼管理辦法》、《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。第三十五條

信息系統(tǒng)安全等級(jí)保護(hù)中密碼的配備、使用和管理等，應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。

第三十六條

信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)充分運(yùn)用密碼技術(shù)對信息系統(tǒng)進(jìn)行保護(hù)。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，應(yīng)報(bào)經(jīng)國家密碼管理局審批，密碼的設(shè)計(jì)、實(shí)施、使用、運(yùn)行維護(hù)和日常管理等，應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，須遵守《商用密碼管理?xiàng)l例》和密碼分類分級(jí)保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機(jī)構(gòu)備案。第三十七條

運(yùn)用密碼技術(shù)對信息系統(tǒng)進(jìn)行系統(tǒng)等級(jí)保護(hù)建設(shè)和整改的，必須采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進(jìn)行安全保護(hù)，不得采用國外引進(jìn)或者擅自研制的密碼產(chǎn)品；未經(jīng)批準(zhǔn)不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。第三十八條

信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認(rèn)可的測評機(jī)構(gòu)承擔(dān)，其他任何部門、單位和個(gè)人不得對密碼進(jìn)行評測和監(jiān)控。第三十九條

各級(jí)密碼管理部門可以定期或者不定期對信息系統(tǒng)等級(jí)保護(hù)工作中密碼配備、使用和管理的情況進(jìn)行檢查和測評，對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進(jìn)行一次檢查和測評。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá) 到密碼相關(guān)標(biāo)準(zhǔn)要求的，應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進(jìn)行處置。第六章 法律責(zé)任 第四十條

第三級(jí)以上信息系統(tǒng)運(yùn)營、使用單位違反本辦法規(guī)定，有下列行為之一的，由公安機(jī)關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正；逾期不改正的，給予警告，并向其上級(jí)主管部門通報(bào)情況，建議對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理，并及時(shí)反饋處理結(jié)果：

（一）未按本辦法規(guī)定備案、審批的；

（二）未按本辦法規(guī)定落實(shí)安全管理制度、措施的；

（三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的；

（四）未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的；

（五）接到整改通知后，拒不整改的；

（六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機(jī)構(gòu)的；

（七）未按本辦法規(guī)定如實(shí)提供有關(guān)文件和證明材料的；

（八）違反保密管理規(guī)定的；

（九）違反密碼管理規(guī)定的；

（十）違反本辦法其他規(guī)定的。

違反前款規(guī)定，造成嚴(yán)重?fù)p害的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。第四十一條

信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中，玩忽職守、濫用職權(quán)、徇私舞弊的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。第七章 附則

第四十二條

已運(yùn)行信息系統(tǒng)的運(yùn)營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護(hù)等級(jí)；新建信息系統(tǒng)在設(shè)計(jì)、規(guī)劃階段確定安全保護(hù)等級(jí)。第四十三條本辦法所稱“以上”包含本數(shù)（級(jí)）。第四十四條本辦法自發(fā)布之日起施行，《信息安全等級(jí)保護(hù)管理辦法（試行）》（公通字[2006]7 7

號(hào)）同時(shí)廢止。

第五篇：《信息安全等級(jí)保護(hù)測評機(jī)構(gòu)管理辦法》最新

信息安全等級(jí)保護(hù)測評機(jī)構(gòu)管理辦法

第一條 為加強(qiáng)信息安全等級(jí)保護(hù)測評機(jī)構(gòu)管理，規(guī)范等級(jí)測評行為，提高測評技術(shù)能力和服務(wù)水平，根據(jù)《信息安全等級(jí)保護(hù)管理辦法》等有關(guān)規(guī)定，制定本辦法。

第二條 等級(jí)測評工作，是指等級(jí)測評機(jī)構(gòu)依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對非涉及國家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測評估的活動(dòng)。

等級(jí)測評機(jī)構(gòu)，是指依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定，具備本辦法規(guī)定的基本條件，經(jīng)審核推薦，從事等級(jí)測評等信息安全服務(wù)的機(jī)構(gòu)。

第三條 等級(jí)測評機(jī)構(gòu)推薦管理工作遵循統(tǒng)籌規(guī)劃、合理布局、安全規(guī)范的方針，按照“誰推薦、誰負(fù)責(zé)，誰審核、誰負(fù)責(zé)”的原則有序開展。

第四條 等級(jí)測評機(jī)構(gòu)應(yīng)以提供等級(jí)測評服務(wù)為主，可根據(jù)信息系統(tǒng)運(yùn)營使用單位安全保障需求，提供信息安全咨詢、應(yīng)急保障、安全運(yùn)維、安全監(jiān)理等服務(wù)。

第五條 國家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室（以下簡稱“國家等保辦”）負(fù)責(zé)受理隸屬國家信息安全職能部門和重點(diǎn)行業(yè)主管部門申請單位提出的申請，并對其推薦的等級(jí)測評機(jī)構(gòu)進(jìn)行監(jiān)督管理。

省級(jí)信息安全等級(jí)保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室（以下簡稱“省級(jí)等保辦”）負(fù)責(zé)受理本?。▍^(qū)、直轄市）申請單位提出的申請，并對其推薦的等級(jí)測評機(jī)構(gòu)進(jìn)行監(jiān)督管理。

第六條 申請成為等級(jí)測評機(jī)構(gòu)的單位（以下簡稱“申請單位”）應(yīng)具備以下基本條件：

（一）在中華人民共和國境內(nèi)注冊成立，由中國公民、法人投資或者國家投資的企事業(yè)單位；

（二）產(chǎn)權(quán)關(guān)系明晰，注冊資金100萬元以上；

（三）從事信息系統(tǒng)安全相關(guān)工作兩年以上，無違法記錄；

（四）測評人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄；

（五）具有信息系統(tǒng)安全相關(guān)工作經(jīng)驗(yàn)的技術(shù)人員，不少于10人；

（六）具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù)裝備、設(shè)施應(yīng)滿足測評工作需求；

（七）具有完備的安全保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等規(guī)章制度；

（八）自覺接受等保辦的監(jiān)督、檢查和指導(dǎo)，對國家安全、社會(huì)秩序、公共利益不構(gòu)成威脅；

（九）不涉及信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成等業(yè)務(wù)；

（十）應(yīng)具備的其他條件。

第七條 申請時(shí)，申請單位應(yīng)向等保辦提交以下材料：

（一）《信息安全等級(jí)保護(hù)測評機(jī)構(gòu)申請表》；

（二）從事信息系統(tǒng)安全相關(guān)工作情況；

（三）檢測評估工作所需軟硬件及其他服務(wù)保障設(shè)施配備情況；

（四）有關(guān)管理制度建設(shè)情況；

（五）申請單位及其測評人員基本情況；

（六）應(yīng)提交的其他材料。

等保辦收到申請材料后，應(yīng)在10個(gè)工作日內(nèi)組織初審，并出具初審結(jié)果告知書。

第八條 通過初審的申請單位，應(yīng)及時(shí)參加指定評估機(jī)構(gòu)組織的測評人員培訓(xùn)。考試合格的人員，取得等級(jí)測評師證書。

等級(jí)測評師分為初級(jí)、中級(jí)和高級(jí)。申請單位應(yīng)至少有10人獲得等級(jí)測評師證書，其中高級(jí)和中級(jí)測評師均不得少于1人。

第九條 指定評估機(jī)構(gòu)應(yīng)根據(jù)標(biāo)準(zhǔn)規(guī)范對申請單位開展能力評估，出具信息安全等級(jí)保護(hù)測評機(jī)構(gòu)能力評估報(bào)告，并及時(shí)將申請單位能力評估有關(guān)情況報(bào)送等保辦。

第十條 等保辦組織專家對通過能力評估的申請單位進(jìn)行審核。審核通過的，頒發(fā)《信息安全等級(jí)保護(hù)測評機(jī)構(gòu)推薦證書》。

省級(jí)等保辦應(yīng)及時(shí)將本地等級(jí)測評機(jī)構(gòu)推薦情況報(bào)國家等保辦，國家等保辦定期發(fā)布公告，在《中國信息安全等級(jí)保護(hù)網(wǎng)》發(fā)布《全國信息安全等級(jí)保護(hù)測評機(jī)構(gòu)推薦目錄》。

第十一條 下列事項(xiàng)發(fā)生變更時(shí)，等級(jí)測評機(jī)構(gòu)應(yīng)在變更后5個(gè)工作日內(nèi)向等保辦報(bào)告。

（一）等級(jí)測評機(jī)構(gòu)名稱、地址、測評人員和主要負(fù)責(zé)人發(fā)生變更的；

（二）等級(jí)測評機(jī)構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的；

（三）其他重大事項(xiàng)發(fā)生變更的。

省級(jí)等保辦應(yīng)及時(shí)將等級(jí)測評機(jī)構(gòu)變更情況報(bào)國家等保辦。

第十二條 信息安全等級(jí)保護(hù)測評機(jī)構(gòu)推薦證書有效期為三年。等級(jí)測評機(jī)構(gòu)應(yīng)在推薦證書期滿前30日內(nèi)，向等保辦申請復(fù)審。復(fù)審?fù)ㄟ^的等級(jí)測評機(jī)構(gòu)應(yīng)換發(fā)新證。復(fù)審未通過的，等保辦應(yīng)督促其限期整改。

省級(jí)等保辦應(yīng)及時(shí)將等級(jí)測評機(jī)構(gòu)期滿復(fù)審情況報(bào)國家等保辦。

第十三條 等級(jí)測評師上崗前，等級(jí)測評機(jī)構(gòu)應(yīng)組織崗前培訓(xùn)。培訓(xùn)合格的，由等級(jí)測評機(jī)構(gòu)配發(fā)上崗證。未取得測評師證書和上崗證的，不得參與等級(jí)測評項(xiàng)目。

等級(jí)測評師離職前，等級(jí)測評機(jī)構(gòu)應(yīng)與其簽訂離職保密承諾書，并收回上崗證。

第十四條 等級(jí)測評師應(yīng)妥善保管等級(jí)測評師證書、上崗證，不得涂改、出借、出租和轉(zhuǎn)讓。

第十五條 等級(jí)測評機(jī)構(gòu)應(yīng)加強(qiáng)對本機(jī)構(gòu)等級(jí)測評師的監(jiān)督管理，定期組織開展安全保密教育和業(yè)務(wù)培訓(xùn)。

第十六條 等級(jí)測評機(jī)構(gòu)應(yīng)嚴(yán)格按照信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范公正、獨(dú)立地開展等級(jí)測評工作，依據(jù)模板出具信息系統(tǒng)安全等級(jí)測評報(bào)告，確保測評質(zhì)量，全面、客觀地反映被測信息系統(tǒng)的安全保護(hù)狀況。

第十七條 等級(jí)測評機(jī)構(gòu)開展測評項(xiàng)目不受地域、行業(yè)限制。等級(jí)測評機(jī)構(gòu)應(yīng)在測評項(xiàng)目合同簽訂以及項(xiàng)目完成后5個(gè)工作日內(nèi)，向受理信息系統(tǒng)備案的公安機(jī)關(guān)報(bào)告等級(jí)測評項(xiàng)目有關(guān)情況。

第十八條 測評項(xiàng)目實(shí)施過程中，等級(jí)測評機(jī)構(gòu)應(yīng)接受等保辦的監(jiān)督、檢查和指導(dǎo)。測評項(xiàng)目完成后，等級(jí)測評機(jī)構(gòu)應(yīng)請被測評信息系統(tǒng)運(yùn)營使用單位對測評服務(wù)情況進(jìn)行評價(jià)，評價(jià)情況由被測單位反饋等保辦。

第十九條 等級(jí)測評機(jī)構(gòu)應(yīng)定期向等保辦報(bào)送測評工作開展情況。根據(jù)測評實(shí)踐，每年底編制并報(bào)送信息系統(tǒng)安全狀況分析報(bào)告。第二十條 等級(jí)測評機(jī)構(gòu)實(shí)行等級(jí)化管理。根據(jù)信息系統(tǒng)測評數(shù)量、機(jī)構(gòu)規(guī)模、測評技術(shù)能力和服務(wù)質(zhì)量等指標(biāo)，對等級(jí)測評機(jī)構(gòu)劃分為五個(gè)星級(jí)，最低為一星級(jí)，最高為五星級(jí)。等級(jí)測評機(jī)構(gòu)星級(jí)評定標(biāo)準(zhǔn)由國家等保辦另行制定。

第二十一條 等級(jí)測評機(jī)構(gòu)應(yīng)于每年底向等保辦提交星級(jí)評定所需材料。

等保辦負(fù)責(zé)組織所推薦等級(jí)測評機(jī)構(gòu)的星級(jí)評定審核工作，并出具星級(jí)評定意見。省級(jí)等保辦應(yīng)及時(shí)將評定意見報(bào)國家等保辦審定，國家等保辦定期發(fā)布星級(jí)評定結(jié)果。

第二十二條 取得信息安全等級(jí)保護(hù)測評機(jī)構(gòu)推薦證書未滿一年的，不參加星級(jí)評定。

第二十三條 等保辦負(fù)責(zé)對所推薦等級(jí)測評機(jī)構(gòu)的日常監(jiān)督檢查、測評項(xiàng)目抽查和年審工作，及時(shí)掌握等級(jí)測評機(jī)構(gòu)工作情況。

第二十四條 等保辦應(yīng)于每年底對所推薦的等級(jí)測評機(jī)構(gòu)進(jìn)行年審。等級(jí)測評機(jī)構(gòu)自推薦之日起未滿6個(gè)月的，當(dāng)年可免予年審。年審時(shí)，等級(jí)測評機(jī)構(gòu)應(yīng)提交以下材料：

（一）《信息安全等級(jí)保護(hù)測評機(jī)構(gòu)年審表》；

（二）信息安全等級(jí)保護(hù)測評機(jī)構(gòu)推薦證書副本；

（三）測評工作總結(jié)；

（四）其他所需材料。

第二十五條

國家等保辦負(fù)責(zé)組織開展等級(jí)測評機(jī)構(gòu)能力驗(yàn)證和抽查工作。

第二十六條 等級(jí)測評機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)責(zé)令其限期整改；情形嚴(yán)重的，予以通報(bào)。

（一）未按照有關(guān)標(biāo)準(zhǔn)規(guī)范開展測評或未按規(guī)定出具信息系統(tǒng)安全等級(jí)測評報(bào)告的；

（二）影響被測評信息系統(tǒng)正常運(yùn)行，危害被測評信息系統(tǒng)安全的；

（三）非授權(quán)占有、使用，未妥善保管等級(jí)測評相關(guān)資料及數(shù)據(jù)文件的；

（四）分包或轉(zhuǎn)包等級(jí)測評項(xiàng)目，以及擾亂測評市場秩序的；

（五）限定被測評單位購買、使用指定信息安全產(chǎn)品的；

（六）測評人員未取得等級(jí)測評師證書和上崗證從事等級(jí)測評活動(dòng)的；

（七）未按本辦法規(guī)定向等保辦提交材料、報(bào)告情況或弄虛作假的；

（八）其他違反等級(jí)測評有關(guān)規(guī)定的行為。

第二十七條 等級(jí)測評機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)取消其信息安全等級(jí)保護(hù)測評機(jī)構(gòu)推薦證書，并向社會(huì)公告。

（一）因單位股權(quán)、人員等情況發(fā)生變動(dòng)，不符合等級(jí)測評機(jī)構(gòu)基本條件的；

（二）有信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成行為的；

（三）故意泄露被測評單位工作秘密、重要信息系統(tǒng)數(shù)據(jù)信息的；

（四）故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測評過程中弄虛作假未如實(shí)出具等級(jí)測評報(bào)告的；

（五）一年內(nèi)未開展信息系統(tǒng)測評工作或自愿退出《全國信息安全等級(jí)保護(hù)測評機(jī)構(gòu)推薦目錄》的；

（六）連續(xù)兩年年審不合格或限期整改后仍未通過復(fù)審的；

（七）違反本辦法第二十六條規(guī)定，情節(jié)特別嚴(yán)重的。第二十八條 等級(jí)測評師有下列行為之一的，等保辦應(yīng)責(zé)令等級(jí)測評機(jī)構(gòu)督促其限期改正；情節(jié)嚴(yán)重的，責(zé)令等級(jí)測評機(jī)構(gòu)暫停其參與測評工作；情形特別嚴(yán)重的，應(yīng)注銷其等級(jí)測評師證書，并對其所在等級(jí)測評機(jī)構(gòu)進(jìn)行通報(bào)。

（一）未經(jīng)允許擅自使用或泄露、出售等級(jí)測評工作中收集的數(shù)據(jù)信息、資料或信息系統(tǒng)安全等級(jí)測評報(bào)告的；

（二）違反本辦法第十四條規(guī)定，未妥善保管等級(jí)測評師證書、上崗證，有涂改、出借、出租和轉(zhuǎn)讓等行為的；

（三）測評行為失誤或不當(dāng)，影響信息系統(tǒng)安全或造成運(yùn)營使用單位利益損失的；

（四）其他違反等級(jí)測評有關(guān)規(guī)定的行為。第二十九條 等級(jí)測評機(jī)構(gòu)及其等級(jí)測評師違反本辦法的相關(guān)規(guī)定，給被測評信息系統(tǒng)運(yùn)營使用單位造成嚴(yán)重危害和損失的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。

第三十條 任何單位和個(gè)人如發(fā)現(xiàn)等級(jí)測評機(jī)構(gòu)、等級(jí)測評師有違法、違規(guī)行為的，可向國家等保辦舉報(bào)、投訴。

第三十一條 本辦法由國家等保辦負(fù)責(zé)解釋。第三十二條 本辦法自發(fā)布之日起實(shí)施。