第一篇：口袋理財(cái)通過國家信息安全等級(jí)保護(hù)三級(jí)認(rèn)證

口袋理財(cái)通過國家信息安全等級(jí)保護(hù)三級(jí)認(rèn)證

近日，滬上知名的綜合性互聯(lián)網(wǎng)金融理財(cái)服務(wù)平臺(tái)口袋理財(cái)通過了公安部認(rèn)可、上海市公安局指定的信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)上海市信息安全認(rèn)證測(cè)評(píng)中心關(guān)于信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)（簡(jiǎn)稱“三級(jí)等?！保y(cè)評(píng)，成為《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》正式出臺(tái)后，上海僅有的率先通過三級(jí)等保測(cè)評(píng)的互聯(lián)網(wǎng)金融公司之一。

互聯(lián)網(wǎng)技術(shù)的更迭發(fā)展帶動(dòng)了人們的消費(fèi)習(xí)性和生活模式，其中最為典型的就是互聯(lián)網(wǎng)金融理財(cái)模式的發(fā)展。據(jù)零壹財(cái)經(jīng)的2016網(wǎng)貸年報(bào)數(shù)據(jù)統(tǒng)計(jì)，截止2016年12月底，網(wǎng)貸交易規(guī)模已經(jīng)達(dá)到了3.36萬億元，活躍借款人和投資人分別在572萬人和998萬人左右。在此情況下，行業(yè)、平臺(tái)是否有能力保護(hù)動(dòng)輒數(shù)千萬用戶的“信息安全”成為了各方關(guān)注的焦點(diǎn)。

眾所周知，網(wǎng)貸平臺(tái)準(zhǔn)入門檻低，在前期的行業(yè)發(fā)展中也曾經(jīng)歷過一個(gè)野蠻生長時(shí)期，無論是道德水平還是技術(shù)水平都是層次不齊的，那一連串的金融數(shù)字增長下也掩藏了巨大的網(wǎng)絡(luò)信息安全隱患。一旦遇上平臺(tái)信息外泄或者信息盜取的情況都容易對(duì)公眾權(quán)益造成嚴(yán)重?fù)p害，并產(chǎn)生一定的社會(huì)影響。

8月24日《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理辦法》正式出臺(tái)，明確指出網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)按照國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級(jí)保護(hù)制度的要求，開展信息系統(tǒng)定級(jí)備案和等級(jí)測(cè)試，采取完善的管理控制措施和技術(shù)手段保障信息系統(tǒng)安全穩(wěn)健運(yùn)行，保護(hù)出借人與借款人的信息安全?？诖碡?cái)積極響應(yīng)監(jiān)管號(hào)召，召集平臺(tái)一眾BAT技術(shù)團(tuán)隊(duì)配合監(jiān)管部門進(jìn)行相關(guān)的測(cè)評(píng)工作。

此次測(cè)評(píng)，上海市信息安全認(rèn)證測(cè)評(píng)中心對(duì)口袋理財(cái)?shù)臋C(jī)房、網(wǎng)絡(luò)互聯(lián)設(shè)備與安全設(shè)備、數(shù)據(jù)可管理系統(tǒng)、業(yè)務(wù)應(yīng)用軟件、安全管理文檔、人員等具體對(duì)象實(shí)施了多輪多層次抽樣檢測(cè)，在全方位評(píng)估了口袋理財(cái)網(wǎng)站信息系統(tǒng)的安全狀況之后，將口袋理財(cái)?shù)男畔踩燃?jí)評(píng)定為“國家信息安全等級(jí)保護(hù)三級(jí)認(rèn)證”。

據(jù)悉，公安部的安全等級(jí)保護(hù)共五級(jí)，其中第三級(jí)屬于“監(jiān)管級(jí)別”，由國家信息安全監(jiān)管部門進(jìn)行監(jiān)督、檢查，這一級(jí)別信息系統(tǒng)如果受到破壞，會(huì)對(duì)國家安全以及公民權(quán)益造成嚴(yán)重?fù)p害，并產(chǎn)生嚴(yán)重的社會(huì)影響，所以這一級(jí)別的要求是非常嚴(yán)格的。

(國家信息安全等級(jí)保護(hù)的等級(jí)劃分)三級(jí)安全信息認(rèn)證主要依據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《信息安全技術(shù)信息等級(jí)保護(hù)基本要求》第三級(jí)要求以及用戶安全需求，從技術(shù)要求以及管理要求兩大方面提出了包含信息保護(hù)、安全審計(jì)、通信保密等在內(nèi)的近300項(xiàng)要求。

（系統(tǒng)檢測(cè)要求節(jié)選）目前，信息安全等級(jí)認(rèn)證為第三級(jí)的金融機(jī)構(gòu)多以銀行為代表的傳統(tǒng)金融機(jī)構(gòu)，而新興的互聯(lián)網(wǎng)金融機(jī)構(gòu)則多被評(píng)為二級(jí)認(rèn)證標(biāo)準(zhǔn)。在滬上，僅有幾家互聯(lián)網(wǎng)金融機(jī)構(gòu)通過了公安部信息安全等級(jí)的三級(jí)認(rèn)證。此次口袋理財(cái)率先獲得三級(jí)認(rèn)證也證明了平臺(tái)在互聯(lián)網(wǎng)信息技術(shù)、系統(tǒng)安全開發(fā)領(lǐng)域內(nèi)的技術(shù)優(yōu)勢(shì)以及安全優(yōu)勢(shì)，同時(shí)也更堅(jiān)定了口袋理財(cái)成為行業(yè)內(nèi)真正實(shí)現(xiàn)“技術(shù)主導(dǎo)創(chuàng)新”互聯(lián)網(wǎng)金融平臺(tái)的企業(yè)愿景。

口袋理財(cái)信息安全負(fù)責(zé)人表示，互聯(lián)網(wǎng)金融平臺(tái)的信息安全工作影響重大，事關(guān)用戶的個(gè)人信息與資金安全，平臺(tái)方必須高度重視?？诖碡?cái)也將秉持“安全大于收益、合法合規(guī)經(jīng)營”的平臺(tái)原則，積極投入社會(huì)第三方自律性組織，以身作則規(guī)范企業(yè)行為推動(dòng)行業(yè)自律發(fā)展、維系行業(yè)合規(guī)秩序。

第二篇：91旺財(cái)通過公安部國家信息安全等級(jí)保護(hù)三級(jí)認(rèn)證

91旺財(cái)通過公安部國家信息安全等級(jí)保護(hù)三級(jí)認(rèn)證

2017年4月28日，91金融旗下91旺財(cái)正式通過國家“信息系統(tǒng)安全等級(jí)保護(hù)”測(cè)試，獲得公安部核準(zhǔn)頒發(fā)國家信息安全等級(jí)保護(hù)備案證明三級(jí)證明，安全標(biāo)準(zhǔn)達(dá)到國家非銀機(jī)構(gòu)最高評(píng)級(jí)，成為《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》正式出臺(tái)后，在網(wǎng)絡(luò)信息安全方面完成信息系統(tǒng)定級(jí)備案的平臺(tái)之一。

安全標(biāo)準(zhǔn)達(dá)到國家非銀機(jī)構(gòu)最高評(píng)級(jí)

據(jù)了解，信息安全等級(jí)保護(hù)是依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》和《信息安全等級(jí)保護(hù)管理辦法》對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。從公開信息得知，公安部信息系統(tǒng)安全等級(jí)保護(hù)共分為五級(jí)，級(jí)別越高越安全?，F(xiàn)有評(píng)選標(biāo)準(zhǔn)上，第三級(jí)屬于“監(jiān)管級(jí)別”，是非銀行金融機(jī)構(gòu)能夠獲得的最高級(jí)別信息安全認(rèn)證。據(jù)統(tǒng)計(jì)，截至目前，我國僅有120余家網(wǎng)貸平臺(tái)通過等級(jí)保護(hù)測(cè)評(píng)，約占總運(yùn)營平臺(tái)的5.6%。

本次測(cè)評(píng)中，公安部對(duì)91旺財(cái)網(wǎng)貸核心系統(tǒng)承載業(yè)務(wù)、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)資產(chǎn)、安全服務(wù)、安全環(huán)境威脅評(píng)估等多項(xiàng)內(nèi)容進(jìn)行了嚴(yán)格審查，最終予以備案。這說明了91旺財(cái)在技術(shù)安全、系統(tǒng)管理、應(yīng)急保障等方面已經(jīng)達(dá)到了國家標(biāo)準(zhǔn)，建立了完備的網(wǎng)絡(luò)信息安全保護(hù)體系。

堅(jiān)守安全，既是底線，更是責(zé)任

近年來，互聯(lián)網(wǎng)金融迅猛發(fā)展，安全問題一直是網(wǎng)貸行業(yè)的痛點(diǎn)，特別是在用戶信息泄露，平臺(tái)穩(wěn)定安全方面，擁有一個(gè)安全的信息保密、安全交易環(huán)境是互聯(lián)網(wǎng)金融平臺(tái)發(fā)展的根本。

隨著《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》的發(fā)布，網(wǎng)絡(luò)安全已經(jīng)上升為網(wǎng)貸平臺(tái)合規(guī)的必要條件?！掇k法》明確要求：網(wǎng)貸平臺(tái)應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級(jí)保護(hù)制度的要求，開展信息系統(tǒng)定級(jí)備案和等級(jí)測(cè)試，具有完善的防火墻、入侵檢測(cè)、數(shù)據(jù)加密以及災(zāi)難恢復(fù)等網(wǎng)絡(luò)安全設(shè)施和管理制度。

91投資、91眾創(chuàng)空間、91金融創(chuàng)始人、董事長、CEO許澤瑋表示，安全問題不僅是監(jiān)管層要求網(wǎng)貸平臺(tái)堅(jiān)守的底線，更是平臺(tái)對(duì)用戶的一種責(zé)任。只有確保用戶資金與信息安全，才能建立相互間的信任，推動(dòng)公司長遠(yuǎn)發(fā)展。

據(jù)許澤瑋介紹，為確保用戶資金與信息安全，91旺財(cái)快速組建項(xiàng)目小組，推進(jìn)合規(guī)整改，成功上線廈門銀行資金存管系統(tǒng)。同時(shí)，平臺(tái)積極開展自檢自查工作，確保自身具備完善的防火墻、入侵檢測(cè)、數(shù)據(jù)加密以及災(zāi)難恢復(fù)等網(wǎng)絡(luò)安全設(shè)施和管理制度，保障信息系統(tǒng)安全穩(wěn)健運(yùn)行。

第三篇：滿兜理財(cái)——獲得國家信息安全等級(jí)保護(hù)三級(jí)備案證明（范文模版）

滿兜理財(cái)——獲得國家信息安全等級(jí)保護(hù)三級(jí)備案

證明

2017年8月14日，滿兜理財(cái)正式獲得了國家公安部門頒發(fā)認(rèn)證的“信息系統(tǒng)安全等級(jí)保護(hù)”三級(jí)備案證明，成為行業(yè)內(nèi)少數(shù)獲得此備案證明的互聯(lián)網(wǎng)金融平臺(tái)之一。這也標(biāo)志著滿兜理財(cái)在平臺(tái)合規(guī)建設(shè)上更進(jìn)一步，讓平臺(tái)的每位投資和借款用戶的信息得到更安全可靠的技術(shù)保障。

滿兜理財(cái)獲得國家信息安全等級(jí)保護(hù)三級(jí)備案證明

網(wǎng)絡(luò)信息安全成合規(guī)門檻之一

隨著網(wǎng)貸平臺(tái)的監(jiān)管和發(fā)展逐漸規(guī)范化，網(wǎng)貸平臺(tái)的信息系統(tǒng)安全亦如銀行存管和信息披露，成為合規(guī)不可或缺的條件之一，越來越受到重視。

2016年8月，銀監(jiān)會(huì)聯(lián)合多部委出臺(tái)的《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》中規(guī)定，網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級(jí)保護(hù)制度的要求，開展信息系統(tǒng)定級(jí)備案和等級(jí)測(cè)試，保護(hù)出借人與借款人的信息安全。該暫行辦法的發(fā)布，讓開展信息系統(tǒng)定級(jí)備案和等級(jí)測(cè)試，成為互聯(lián)網(wǎng)金融平臺(tái)合規(guī)的門檻之一。

三級(jí)等保為用戶信息保駕護(hù)航

信息系統(tǒng)安全分為五個(gè)等級(jí)，等級(jí)越高，說明保護(hù)能力越強(qiáng)。一般來說，四大國有銀行(總行)的一二級(jí)分行(省行、市行)等重要金融機(jī)構(gòu)一般是第三級(jí)認(rèn)證，而大家熟悉的第三方支付公司，一般是第二級(jí)認(rèn)證。第三級(jí)作為國家對(duì)非銀行金融機(jī)構(gòu)的最高級(jí)認(rèn)證，屬于“監(jiān)管級(jí)別”，即對(duì)于互聯(lián)網(wǎng)金融平臺(tái)等非銀行機(jī)構(gòu)來說，能取得國家信息安全等級(jí)保護(hù)三級(jí)認(rèn)證已經(jīng)是最高級(jí)別的認(rèn)證。

作為一家發(fā)展壯大中的互聯(lián)網(wǎng)金融信息中介服務(wù)平臺(tái)，通過國家信息安全三級(jí)測(cè)評(píng)意味著滿兜理財(cái)?shù)男畔⑾到y(tǒng)安全等級(jí)達(dá)到了與銀行等金融機(jī)構(gòu)業(yè)務(wù)系統(tǒng)相當(dāng)?shù)陌踩芸厮?，在技術(shù)安全、系統(tǒng)管理、應(yīng)急保障等方面達(dá)到國家標(biāo)準(zhǔn)，擁有了完善的網(wǎng)絡(luò)信息安全保護(hù)體系。

未來，滿兜理財(cái)繼續(xù)向合規(guī)前進(jìn)

自上線以來，滿兜理財(cái)就將信息安全作為平臺(tái)合規(guī)項(xiàng)工作之一，一直在努力構(gòu)建嚴(yán)密高效的信息安全管理體系。今后，滿兜理財(cái)將繼續(xù)努力，在合法合規(guī)、保證用戶安全的前提下發(fā)揮技術(shù)和風(fēng)控優(yōu)勢(shì)，全面構(gòu)建平臺(tái)安全、交易安全、資金安全的安全矩陣，為投資者打造一個(gè)安全透明的互聯(lián)網(wǎng)信息中介服務(wù)平臺(tái)。

第四篇：國家信息安全等級(jí)保護(hù)制度

《信息安全等級(jí)保護(hù)管理辦法》 四部委下發(fā)公通字[2007]43號(hào)文 《信息安全等級(jí)保護(hù)管理辦法》是為規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)而制定的辦法。由四部委下發(fā)，公通字200743號(hào)文。2 制定目的 規(guī)范信息安全等級(jí)保護(hù)管理。文號(hào)

公通字200743號(hào)文 第一章 總則 第一條

為規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)，制定本辦法。第二條

國家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。第三條

公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)。第四條

信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營、使用單位的信息安全等級(jí)保護(hù)工作。第五條

信息系統(tǒng)的運(yùn)營、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范，履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任。

第二章 等級(jí)劃分與保護(hù) 第六條

國家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。第七條

信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：

第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全。

第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國家安全造 1

成損害。

第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國家安全造成嚴(yán)重?fù)p害。

第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。第八條

信息系統(tǒng)運(yùn)營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全監(jiān)管部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。

第一級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。第三級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級(jí)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國家指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。第三章等級(jí)保護(hù)的實(shí)施與管理 第九條

信息系統(tǒng)運(yùn)營、用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 具體實(shí)施等級(jí)保護(hù)工作。第十條

信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)請(qǐng)國家信息安全保護(hù) 等級(jí)專家評(píng)審委員會(huì)評(píng)審。第十一條

信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營、使用單位應(yīng)當(dāng)按照國家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。第十二條

在信息系統(tǒng)建設(shè)過程中，運(yùn)營、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671-2006）等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。第十三條

運(yùn)營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。第十四條

信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。

第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每 半年至少進(jìn)行一次自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。經(jīng)測(cè)評(píng)或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，運(yùn)營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。第十五條

已運(yùn)營（運(yùn)行）的第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30 日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。第十六條

辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí)，應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料：

（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；

（二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度；

（三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；

（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；

（五）測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告；

（六）信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見；

（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見。

第十七條

信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核，對(duì)符合等級(jí)保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以 糾正；發(fā)現(xiàn)定級(jí)不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。運(yùn)營、使用單位或者主管部門重新確定信息系統(tǒng)等級(jí)后，應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。第十八條

受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)的運(yùn)營、使用單位的信息安全等級(jí)保護(hù)工作情況進(jìn)行檢查。對(duì)第三級(jí)信息系統(tǒng)每年至少檢查一次，對(duì)第四級(jí)信息系統(tǒng)每半年至少檢查一次。對(duì)跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會(huì)同其主管部門進(jìn)行。對(duì)第五級(jí)信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進(jìn)行檢查。公安機(jī)關(guān)、國家指定的專門部門應(yīng)當(dāng)對(duì)下列事項(xiàng)進(jìn)行檢查：

（一）系統(tǒng)安全需求是否發(fā)生變化，原定保護(hù)等級(jí)是否準(zhǔn)確；

（二）運(yùn)營、使用單位安全管理制度、措施的落實(shí)情況；

（三）運(yùn)營、使用單位及其主管部門對(duì)信息系統(tǒng)安全狀況的檢查情況；

（四）系統(tǒng)安全等級(jí)測(cè)評(píng)是否符合要求；

（五）信息安全產(chǎn)品使用是否符合要求；

（六）對(duì)信息系統(tǒng)開展等級(jí)測(cè)評(píng)的技術(shù)測(cè)評(píng)報(bào)告；

（七）信息安全產(chǎn)品使用的變更情況；

（八）信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報(bào)告；

（九）信息系統(tǒng)安全建設(shè)、整改結(jié)果報(bào)告。

第二十條

公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級(jí)保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運(yùn)營、使用單位發(fā)出整改通知。運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。整改完成后，應(yīng)當(dāng)將整改報(bào)告向公安機(jī)關(guān)備案。必要時(shí)，公安機(jī)關(guān)可以對(duì)整改情況組織檢查。

第二十一條

第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：

（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民 共和國境內(nèi)具有獨(dú)立的法人資格；

（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識(shí)產(chǎn)權(quán)；

（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能；

（五）對(duì)國家安全、社會(huì)秩序、公共利益不構(gòu)成危害；

（六）對(duì)已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。第二十二條

第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)：

（一）在中華人民共和國境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺(tái)地區(qū)除外）；

（三）從事相關(guān)檢測(cè)評(píng)估工作兩年以上，無違法記錄；

（四）工作人員僅限于中國公民；

（五）法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

（六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對(duì)信息安全產(chǎn)品的要求；

（七）具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；

（八）對(duì)國家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。第二十三條

從事信息系統(tǒng)安全等級(jí)測(cè)評(píng)的機(jī)構(gòu)，應(yīng)當(dāng)履行下列義務(wù)：

（一）遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公正的檢測(cè)評(píng)估服務(wù)，保證測(cè)評(píng)的質(zhì)量和效果；

（二）保守在測(cè)評(píng)活動(dòng)中知悉的國家秘密、商業(yè)秘密和個(gè)人隱私，防范測(cè)評(píng)風(fēng)險(xiǎn)；

（三）對(duì)測(cè)評(píng)人員進(jìn)行安全保密教育，與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實(shí)。第四章 涉密信息系統(tǒng)的分級(jí)保護(hù)管理

第二十四條

涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級(jí)保護(hù)的基本要求，按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。非涉密信息系統(tǒng)不得處理國家秘密信息。第二十五條

涉密信息系統(tǒng)按照所處理信息的最高密級(jí)，由低到高分為秘密、機(jī)密、絕密三個(gè)等級(jí)。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上，依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法和國家保密標(biāo)準(zhǔn)BMB17-2006《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》確 定系統(tǒng)等級(jí)。對(duì)于包含多個(gè)安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護(hù)等級(jí)。保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進(jìn)行系統(tǒng)定級(jí)。第二十六條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級(jí)和建設(shè)使用情況，及時(shí)上報(bào)業(yè)務(wù)主管部門的保密工作機(jī)構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導(dǎo)。

第二十七條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計(jì)與實(shí)施。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，按照秘密、機(jī)密、絕密三級(jí)的不同要求，結(jié)合系統(tǒng)實(shí)際進(jìn)行方案設(shè)計(jì)，實(shí)施分級(jí)保護(hù)，其保護(hù)水平

總體上不低于國家信息安全等級(jí)保護(hù)第三級(jí)、第四級(jí)、第五級(jí)的水平。第二十八條

涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品，并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測(cè)機(jī)構(gòu)依據(jù)有關(guān)國家保密標(biāo)準(zhǔn)進(jìn)行的檢測(cè)，通過檢測(cè)的產(chǎn)品由國家保密局審核發(fā)布目錄。

第二十九條

涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實(shí)施結(jié)束后，應(yīng)當(dāng)向保密工作部門提出申請(qǐng)，由國家保密局授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)BMB22-2007《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》，對(duì)涉密信息系統(tǒng)進(jìn)行安全保密測(cè)評(píng)。涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)當(dāng)按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》，向設(shè)區(qū)的市級(jí)以上保密工作部門申請(qǐng)進(jìn)行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在按照分級(jí)保護(hù)要求完成系統(tǒng)整改后，應(yīng)當(dāng)向保密工作部門備案。

第三十條

涉密信息系統(tǒng)建設(shè)使用單位在申請(qǐng)系統(tǒng)審批或者備案時(shí)，應(yīng)當(dāng)提交以下材料：

（一）系統(tǒng)設(shè)計(jì)、實(shí)施方案及審查論證意見；

（二）系統(tǒng)承建單位資質(zhì)證明材料；

（三）系統(tǒng)建設(shè)和工程監(jiān)理情況報(bào)告；

（四）系統(tǒng)安全保密檢測(cè)評(píng)估報(bào)告；

（五）系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況；

（六）其他有關(guān)材料。第三十一條

涉密信息系統(tǒng)發(fā)生涉密等級(jí)、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時(shí)，其建設(shè)使用單位應(yīng)當(dāng)及時(shí)向負(fù)責(zé)審批的保密工作部門報(bào)告。保密工作部門應(yīng)當(dāng)根據(jù)實(shí)際情況，決定是否對(duì)其重新進(jìn)行測(cè)評(píng)和審批。第三十二條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)BMB20-2007《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》，加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密管理，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，消除泄密隱患和漏洞。第三十三條

國家和地方各級(jí)保密工作部門依法對(duì)各地區(qū)、各部門涉密信息系統(tǒng)分級(jí)保護(hù)工作實(shí)施監(jiān)督管理，并做好以下工作：

（一）指導(dǎo)、監(jiān)督和檢查分級(jí)保護(hù)工作的開展；

（二）指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密，合理確定系統(tǒng)保護(hù)等級(jí)；

（三）參與涉密信息系統(tǒng)分級(jí)保護(hù)方案論證，指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計(jì)；

（四）依法對(duì)涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行監(jiān)督管理；

（五）嚴(yán)格進(jìn)行系統(tǒng)測(cè)評(píng)和審批工作，監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級(jí)保護(hù)管理制度和技術(shù)措施的落實(shí)情況；

（六）加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每兩年至少進(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng)，對(duì)絕密級(jí)信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng)；

（七）了解掌握各級(jí)各類涉密信息系統(tǒng)的管理使用情況，及時(shí)發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第五章

信息安全等級(jí)保護(hù)的密碼管理 第三十四條

國家密碼管理部門對(duì)信息安全等級(jí)保護(hù)的密碼實(shí)行分類分級(jí)管理。

根據(jù)被保護(hù)對(duì)象在國家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)建設(shè)中的作用和重要程度，被保護(hù)對(duì)象的安全防護(hù)要求和涉密程度，被保護(hù)對(duì)象被破壞后的危害程度以及密碼使用部門的性質(zhì)等，確定密碼的等級(jí)保護(hù)準(zhǔn)則。信息系統(tǒng)運(yùn)營、使用單位采用密碼進(jìn)行等級(jí)保護(hù)的，應(yīng)當(dāng)遵照《信息安全等級(jí)保護(hù)密碼管理辦法》、《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。第三十五條

信息系統(tǒng)安全等級(jí)保護(hù)中密碼的配備、使用和管理等，應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。

第三十六條

信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)充分運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行保護(hù)。采用密碼對(duì)涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，應(yīng)報(bào)經(jīng)國家密碼管理局審批，密碼的設(shè)計(jì)、實(shí)施、使用、運(yùn)行維護(hù)和日常管理等，應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對(duì)不涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，須遵守《商用密碼管理?xiàng)l例》和密碼分類分級(jí)保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機(jī)構(gòu)備案。第三十七條

運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行系統(tǒng)等級(jí)保護(hù)建設(shè)和整改的，必須采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進(jìn)行安全保護(hù)，不得采用國外引進(jìn)或者擅自研制的密碼產(chǎn)品；未經(jīng)批準(zhǔn)不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。第三十八條

信息系統(tǒng)中的密碼及密碼設(shè)備的測(cè)評(píng)工作由國家密碼管理局認(rèn)可的測(cè)評(píng)機(jī)構(gòu)承擔(dān)，其他任何部門、單位和個(gè)人不得對(duì)密碼進(jìn)行評(píng)測(cè)和監(jiān)控。第三十九條

各級(jí)密碼管理部門可以定期或者不定期對(duì)信息系統(tǒng)等級(jí)保護(hù)工作中密碼配備、使用和管理的情況進(jìn)行檢查和測(cè)評(píng)，對(duì)重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進(jìn)行一次檢查和測(cè)評(píng)。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá) 到密碼相關(guān)標(biāo)準(zhǔn)要求的，應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進(jìn)行處置。第六章 法律責(zé)任 第四十條

第三級(jí)以上信息系統(tǒng)運(yùn)營、使用單位違反本辦法規(guī)定，有下列行為之一的，由公安機(jī)關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正；逾期不改正的，給予警告，并向其上級(jí)主管部門通報(bào)情況，建議對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理，并及時(shí)反饋處理結(jié)果：

（一）未按本辦法規(guī)定備案、審批的；

（二）未按本辦法規(guī)定落實(shí)安全管理制度、措施的；

（三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的；

（四）未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測(cè)評(píng)的；

（五）接到整改通知后，拒不整改的；

（六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測(cè)評(píng)機(jī)構(gòu)的；

（七）未按本辦法規(guī)定如實(shí)提供有關(guān)文件和證明材料的；

（八）違反保密管理規(guī)定的；

（九）違反密碼管理規(guī)定的；

（十）違反本辦法其他規(guī)定的。

違反前款規(guī)定，造成嚴(yán)重?fù)p害的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。第四十一條

信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中，玩忽職守、濫用職權(quán)、徇私舞弊的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。第七章 附則

第四十二條

已運(yùn)行信息系統(tǒng)的運(yùn)營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護(hù)等級(jí)；新建信息系統(tǒng)在設(shè)計(jì)、規(guī)劃階段確定安全保護(hù)等級(jí)。第四十三條本辦法所稱“以上”包含本數(shù)（級(jí)）。第四十四條本辦法自發(fā)布之日起施行，《信息安全等級(jí)保護(hù)管理辦法（試行）》（公通字[2006]7 7

號(hào)）同時(shí)廢止。

第五篇：信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)(二級(jí))信息安全等級(jí)保護(hù)(二級(jí))備注：其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求，藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。

一、物理安全

1、應(yīng)具有機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔（機(jī)房場(chǎng)地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說明、接地防靜電措施）

2、應(yīng)具有有來訪人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄；來訪人員進(jìn)入機(jī)房的登記記錄

3、應(yīng)配置電子門禁系統(tǒng)(三級(jí)明確要求)；電子門禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)，電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄

4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記

5、介質(zhì)有分類標(biāo)識(shí)；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng)；機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄；

7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄

8、應(yīng)具有機(jī)房建筑的避雷裝置；通過驗(yàn)收或國家有關(guān)部門的技術(shù)檢測(cè)；

9、應(yīng)在電源和信號(hào)線上增加有資質(zhì)的防雷保安器；具有防雷檢測(cè)資質(zhì)的檢測(cè)部門對(duì)防雷裝置的檢測(cè)報(bào)告

10、應(yīng)具有自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄；消防產(chǎn)品有效期合格；自動(dòng)消防系統(tǒng)是經(jīng)消防檢測(cè)部門檢測(cè)合格的產(chǎn)品

11、應(yīng)具有除濕裝置；空調(diào)機(jī)和加濕器；溫濕度定期檢查和維護(hù)記錄

12、應(yīng)具有水敏感的檢測(cè)儀表或元件；對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；防水檢測(cè)裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄

13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施；溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄

14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄

15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機(jī)）；備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄

二、安全管理制度

1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程

2、應(yīng)具有安全管理制度的制定程序：

3、應(yīng)具有專門的部門或人員負(fù)責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進(jìn)行版本控制）

4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（如召開評(píng)審會(huì)、函審、內(nèi)部審核等），應(yīng)具有管理制度評(píng)審記錄

5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。

6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，審定周期多長。（安全管理制度體系的評(píng)審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查，對(duì)需要改進(jìn)的制度進(jìn)行修訂。（應(yīng)具有安全管理制度修訂記錄）

三、安全管理機(jī)構(gòu)

1、應(yīng)設(shè)立信息安全管理工作的職能部門

2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人

3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表）

4、安全管理員應(yīng)是專職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）

7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進(jìn)行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開會(huì)議）

9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄，定期：

10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要，信息安全工作決策文檔等）

11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。

13、聘請(qǐng)信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請(qǐng)安全顧問的證明文件、具有安全顧問參與評(píng)審的文檔或記錄）

14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報(bào)告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程）

2、應(yīng)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，技能考核文檔或記錄

3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）

4、應(yīng)設(shè)定關(guān)鍵崗位，對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應(yīng)及時(shí)終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄）

6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）

7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識(shí)、安全技能等。

9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。

10、應(yīng)對(duì)各類人員（普通用戶、運(yùn)維人員、單位領(lǐng)導(dǎo)等）進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。

11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計(jì)劃一致）

12、外部人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪問須提出書面申請(qǐng)批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請(qǐng)

14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等）

五、系統(tǒng)建設(shè)管理

1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)（具有定級(jí)文檔，明確信息系統(tǒng)安全保護(hù)等級(jí)）

2、應(yīng)具有系統(tǒng)建設(shè)/整改方案

3、應(yīng)授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門/何人負(fù)責(zé)

4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃（系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃）

5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定（配套文件的論證評(píng)審記錄或文檔）

6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂

7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本

8、應(yīng)按照國家的相關(guān)規(guī)定進(jìn)行采購和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品

10、應(yīng)具有專門的部門負(fù)責(zé)產(chǎn)品的采購

11、采購產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)

17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

11、采購產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)

17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

六、系統(tǒng)運(yùn)維管理

1、應(yīng)指定專人或部門對(duì)機(jī)房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門/何人負(fù)責(zé)。

2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄，空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄

3、應(yīng)指定部門和人員負(fù)責(zé)機(jī)房安全管理工作

4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理（工作人員離開座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門等方面）

6、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員

7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)

8、介質(zhì)存放于何種環(huán)境中，應(yīng)對(duì)存放環(huán)境實(shí)施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲(chǔ)空間））

9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對(duì)介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制

11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理，并定期盤點(diǎn)（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點(diǎn)的記錄）

12、對(duì)送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。（對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷毀記錄）

13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲(chǔ)空間）

14、介質(zhì)上應(yīng)具有分類的標(biāo)識(shí)或標(biāo)簽

15、應(yīng)對(duì)各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進(jìn)行定期維護(hù)。

16、應(yīng)具有設(shè)備操作手冊(cè)

17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過審批流程，由何人審批（審批記錄）

18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等

19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警

20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄

21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審

22、應(yīng)具有異?，F(xiàn)象的現(xiàn)場(chǎng)處理記錄和事后相關(guān)的分析報(bào)告

23、應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理

24、應(yīng)指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作

25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過升級(jí)，更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份（網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄）

26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過漏洞掃描，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。

27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對(duì)配置文件進(jìn)行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理

30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號(hào)上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過測(cè)試，并對(duì)重要文件進(jìn)行備份。

32、應(yīng)有補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄

33、應(yīng)對(duì)系統(tǒng)管理員用戶進(jìn)行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等）

34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析（有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告）

35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，如告知應(yīng)及時(shí)升級(jí)軟件版本（對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）

36、應(yīng)指定專人對(duì)惡意代碼進(jìn)行檢測(cè)，并保存記錄。

37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄

38、應(yīng)對(duì)惡意代碼庫的升級(jí)情況進(jìn)行記錄（代碼庫的升級(jí)記錄），對(duì)各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應(yīng)具有惡意代碼檢測(cè)記錄、惡意代碼庫升級(jí)記錄和分析報(bào)告 40、應(yīng)具有變更方案評(píng)審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請(qǐng)書，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)

42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性

44、應(yīng)有系統(tǒng)運(yùn)維過程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔

45、應(yīng)對(duì)安全事件記錄分析文檔

46、應(yīng)具有不同事件的應(yīng)急預(yù)案

47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實(shí)。

48、應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）

49、應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新

51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。