第一篇：國家信息安全等級保護(hù)制度的貫徹與實(shí)施

國家信息安全等級保護(hù)實(shí)施計(jì)劃

定級工作的主要步驟:

第一步：開展摸底調(diào)查。按照《定級工作通知》確定的定級范圍，對所屬信息系統(tǒng)進(jìn)行摸底調(diào)查，摸清信息系統(tǒng)底數(shù)，掌握信息系統(tǒng)（包括信息網(wǎng)絡(luò)）的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，為下一步明確要求、落實(shí)責(zé)任奠定基礎(chǔ)。

第二步：確定定級對象。應(yīng)用系統(tǒng)應(yīng)按照不同業(yè)務(wù)類別單獨(dú)確定為定級對象，不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換、是否獨(dú)享設(shè)備為確定定級對象條件。起傳輸作用的基礎(chǔ)網(wǎng)絡(luò)要作為單獨(dú)的定級對象。二是確認(rèn)單位對所定級系統(tǒng)具有安全管理責(zé)任。三是具有信息系統(tǒng)的基本要素。作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件（如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等）作為定級對象。

第三步：初步確定信息系統(tǒng)等級。信息系統(tǒng)的安全保護(hù)等級是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù)措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會(huì)穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全保護(hù)等級。

第四步：信息系統(tǒng)等級評審。在信息系統(tǒng)安全保護(hù)等級確定過程中，聘請專家進(jìn)行咨詢評審，并出具定級評審意見。

第五步：信息系統(tǒng)等級的最終確定與審批。信息系統(tǒng)運(yùn)營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成《定級報(bào)告》。

第六步：備案。第二級以上信息系統(tǒng)，在安全保護(hù)等級確定后30日內(nèi)，到深圳網(wǎng)監(jiān)辦理備案手續(xù)。

定級工作完成后需要開展的工作：

一是開展安全建設(shè)和整改。信息系統(tǒng)定級、備案工作完成后，按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。

二是開展等級測評。信息系統(tǒng)建設(shè)、整改完成后，選擇符合規(guī)定條件的測評機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評。

三是開展自查。定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的，應(yīng)當(dāng)制定方案進(jìn)行整改。

開展安全等級保護(hù)工作依據(jù)的主要標(biāo)準(zhǔn): 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）

《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》 《信息系統(tǒng)安全等級保護(hù)定級指南》 《信息系統(tǒng)安全等級保護(hù)基本要求》

《信息安全技術(shù) 系統(tǒng)安全等級保護(hù)通用安全技術(shù)要求》 《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》 《信息安全技術(shù) 操作系統(tǒng)安全評估準(zhǔn)則》 《信息安全技術(shù)

數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》 《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則》 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》

《信息安全技術(shù) 服務(wù)器安全技術(shù)要求》 《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)技術(shù)要求》

《信息安全技術(shù)

系統(tǒng)安全等級防護(hù)工程管理要求》 《信息安全技術(shù)

系統(tǒng)安全等級保護(hù)管理要求》

第二篇：國家信息安全等級保護(hù)制度的貫徹與實(shí)施

國家信息安全等級保護(hù)制度的貫徹與實(shí)施

一、我國在信息安全保障工作中為什么要實(shí)行等級保護(hù)制度 隨著我國國民經(jīng)濟(jì)和社會(huì)發(fā)展信息化進(jìn)程的全面加快，我國信息化的程度越來越高，關(guān)系國計(jì)民生的重要領(lǐng)域信息系統(tǒng)已經(jīng)成為國家的關(guān)鍵基礎(chǔ)設(shè)施。這些基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，已經(jīng)嚴(yán)重關(guān)系國家安全和社會(huì)穩(wěn)定，關(guān)系廣大人民群眾切身利益。當(dāng)前，我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全面臨的形勢十分嚴(yán)峻，既有外部威脅，又有自身脆弱性和薄弱環(huán)節(jié)，維護(hù)國家信息安全的任務(wù)十分艱巨、繁重。一是針對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升。不法分子利用一些安全漏洞，使用病毒、木馬、網(wǎng)絡(luò)釣魚等技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博等違法犯罪，對我國的經(jīng)濟(jì)秩序、社會(huì)管理秩序和公民的合法權(quán)益造成嚴(yán)重侵害。二是基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴(yán)重。由于各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的核心設(shè)備、技術(shù)和高端服務(wù)主要依賴國外進(jìn)口，在操作系統(tǒng)、專用芯片和大型應(yīng)用軟件等方面不能自主可控，給我國的信息安全帶來了深層的技術(shù)隱患。三是我國的信息安全保障工作基礎(chǔ)還很薄弱。信息安全意識和安全防范能力薄弱，信息系統(tǒng)安全建設(shè)、監(jiān)管缺乏依據(jù)和標(biāo)準(zhǔn)，安全保護(hù)措施和安全制度不落實(shí)，監(jiān)管措施不到位。

面對當(dāng)前信息安全面臨的復(fù)雜、嚴(yán)峻形勢，基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)一旦出現(xiàn)大的信息安全問題，不僅僅影響本單位、本行業(yè)，而是直接威脅國家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展，影響黨的“十七大”和北京奧運(yùn)會(huì)的勝利召開。1994年《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》（國務(wù)院147號令）規(guī)定，“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)，安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定”。2003年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）明確指出“實(shí)行信息安全等級保護(hù)”，“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南”。

實(shí)行信息安全等級保護(hù)是國際上通行的做法。

二、實(shí)行信息安全等級保護(hù)制度能夠解決哪些主要問題 信息安全等級保護(hù)是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息安全等級保護(hù)工作不僅是實(shí)現(xiàn)國家對重要信息系統(tǒng)重點(diǎn)保護(hù)的重大措施，也是一項(xiàng)事關(guān)國家安全、社會(huì)穩(wěn)定、黨的“十七大”勝利召開和北京奧運(yùn)會(huì)成功舉辦的政治任務(wù)。通過開展信息安全等級保護(hù)工作，可以有效解決我國信息安全面臨的威脅和存在的主要問題，充分體現(xiàn)“適度安全、保護(hù)重點(diǎn)”的目的，將有限的財(cái)力、物力、人力投入到重要信息系統(tǒng)安全保護(hù)中，按標(biāo)準(zhǔn)建設(shè)安全保護(hù)措施，建立安全保護(hù)制度，落實(shí)安全責(zé)任，有效保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng)的安全，有效提高我國信息安全保障工作的整體水平。

信息安全等級保護(hù)是當(dāng)今發(fā)達(dá)國家保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施，保障信息安全的通行做法，也是我國多年來信息安全工作經(jīng)驗(yàn)的總結(jié)。實(shí)施信息安全等級保護(hù)，有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)；有利于優(yōu)化信息安全資源的配臵，對信息系統(tǒng)分級實(shí)施保護(hù)，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全；有利于明確國家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)信息安全管理；有利于推動(dòng)信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應(yīng)社會(huì)主義市場經(jīng)濟(jì)發(fā)展的信息安全模式。

三、國家、有關(guān)部門和企業(yè)在信息安全等級保護(hù)工作中各自的責(zé)任和義務(wù)是什么

國家通過制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實(shí)行安全保護(hù)，對等級保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。

信息安全監(jiān)管部門（包括公安機(jī)關(guān)、保密部門、國家密碼工作部門）組織制定等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)實(shí)行分等級安全保護(hù)，對等級保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。

信息系統(tǒng)主管部門依照《信息安全等級保護(hù)管理辦法》及相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營、使用單位的信息安全等級保護(hù)工作。

信息系統(tǒng)運(yùn)營使用單位按照國家有關(guān)等級保護(hù)的管理規(guī)范和 技術(shù)標(biāo)準(zhǔn)開展等級保護(hù)工作，建設(shè)安全設(shè)施、建立安全制度、落實(shí)安全責(zé)任，接受公安機(jī)關(guān)、保密部門、國家密碼工作部門對信息安全等級保護(hù)工作的監(jiān)督、指導(dǎo)，保障信息系統(tǒng)安全。

信息安全產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級測評、風(fēng)險(xiǎn)評估等安全服務(wù)機(jī)構(gòu)，依據(jù)國家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，開展技術(shù)服務(wù)、技術(shù)支持等工作，并接受信息安全監(jiān)管部門的監(jiān)督管理。

四、近幾年來公安部牽頭實(shí)施信息安全等級保護(hù)制度，開展了哪些具體工作

按照《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》（國務(wù)院147號令）規(guī)定和《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）文件精神，公安部會(huì)同國家保密局、國家密碼管理局和國務(wù)院信息辦開展了如下工作。

一是出臺(tái)了等級保護(hù)規(guī)范標(biāo)準(zhǔn)。2004年9月聯(lián)合出臺(tái)了《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字[2004]66號），2007年6月聯(lián)合出臺(tái)了《信息安全等級保護(hù)管理辦法》（公通字[2007]43號，以下簡稱《管理辦法》），明確了信息安全等級保護(hù)制度的基本內(nèi)容、流程及工作要求，明確了信息系統(tǒng)運(yùn)營使用單位和主管部門、監(jiān)管部門在信息安全等級保護(hù)工作中的職責(zé)、任務(wù)，為開展信息安全等級保護(hù)工作提供了規(guī)范保障。制定了包括《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級保護(hù)定級指南》、《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級保護(hù)測評要 求》等50多個(gè)國標(biāo)和行標(biāo)，初步形成了信息安全等級保護(hù)標(biāo)準(zhǔn)體系。

二是開展了等級保護(hù)基礎(chǔ)調(diào)查工作。2005年底，公安部和國務(wù)院信息化工作辦公室聯(lián)合印發(fā)了《關(guān)于開展信息系統(tǒng)安全等級保護(hù)基礎(chǔ)調(diào)查工作的通知》（公信安[2005]1431號）。2006年上半年，公安部會(huì)同國信辦在全國范圍內(nèi)開展了信息系統(tǒng)安全等級保護(hù)基礎(chǔ)調(diào)查。通過基礎(chǔ)調(diào)查，基本摸清和掌握了全國信息系統(tǒng)特別是重要信息系統(tǒng)的基本情況，為制定信息安全等級保護(hù)政策奠定了堅(jiān)實(shí)的基礎(chǔ)。

三是開展了等級保護(hù)試點(diǎn)工作。2006年6月，公安部、國家保密局、國家密碼管理局、國務(wù)院信息辦聯(lián)合下發(fā)了《關(guān)于開展信息安全等級保護(hù)試點(diǎn)工作的通知》（公信安[2006]573號）。在13個(gè)省區(qū)市和3個(gè)部委聯(lián)合開展了信息安全等級保護(hù)試點(diǎn)工作。通過試點(diǎn)，完善了開展等級保護(hù)工作的模式和思路，檢驗(yàn)和完善了開展等級保護(hù)工作的方法、思路、規(guī)范標(biāo)準(zhǔn)，探索了開展等級保護(hù)工作領(lǐng)導(dǎo)、組織、協(xié)調(diào)的模式和辦法，為全面開展等級保護(hù)工作奠定了堅(jiān)實(shí)的基礎(chǔ)。

四是部署開展定級工作。2007年7月16日聯(lián)合出臺(tái)了《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安[2007]861號）。2007年7月20日，四部委在北京聯(lián)合召開了“全國重要信息系統(tǒng)安全等級保護(hù)定級工作電視電話會(huì)議”，部署在全國范圍內(nèi)開展重要信息系統(tǒng)安全等級保護(hù)定級工作。國家信息安全等級保護(hù)協(xié)調(diào)小組組長、公安部副部長張新楓同志和國務(wù)院信 息化工作辦公室副主任、國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室主任楊學(xué)山同志作了重要講話。國家信息安全職能部門、基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)主管部門、各省（區(qū)、市）公安廳（局）、保密局、國家密碼管理局、信息化領(lǐng)導(dǎo)小組辦公室和有關(guān)行業(yè)、部門的負(fù)責(zé)同志出席了會(huì)議。

為加強(qiáng)信息安全等級保護(hù)工作的領(lǐng)導(dǎo)，公安部、國家保密局、國家密碼管理局聯(lián)合成立了由公安部張新楓副部長任組長的“國家信息安全等級保護(hù)協(xié)調(diào)小組”，辦公室設(shè)在公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局。

五、信息安全等級保護(hù)工作的主要流程包括哪些，開展等級保護(hù)工作的基本要求是什么

等級保護(hù)的主要流程包括六項(xiàng)內(nèi)容：一是自主定級與審批。信息系統(tǒng)運(yùn)營使用單位按照等級保護(hù)管理辦法和定級指南，自主確定信息系統(tǒng)的安全保護(hù)等級。有上級主管部門的，應(yīng)當(dāng)經(jīng)上級主管部門審批。跨省或全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護(hù)等級。二是評審。在信息系統(tǒng)確定安全保護(hù)等級過程中，可以組織專家進(jìn)行評審。對擬確定為第四級以上信息系統(tǒng)的，運(yùn)營使用單位或主管部門應(yīng)當(dāng)邀請國家信息安全保護(hù)等級專家評審委員會(huì)評審。三是備案。第二級以上信息系統(tǒng)定級單位到所在地所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。四是系統(tǒng)安全建設(shè)。信息系統(tǒng)安全保護(hù)等級確定后，運(yùn)營使用單位按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，選擇管理辦法要求的信息安全產(chǎn)品，建設(shè)符合等級要求的信息安全設(shè)施，建立安全組織，制定 并落實(shí)安全管理制度。五是等級測評。信息系統(tǒng)建設(shè)完成后，運(yùn)營使用單位選擇符合管理辦法要求的檢測機(jī)構(gòu)，對信息系統(tǒng)安全等級狀況開展等級測評。六是監(jiān)督檢查。公安機(jī)關(guān)依據(jù)信息安全等級保護(hù)管理規(guī)范，監(jiān)督檢查運(yùn)營使用單位開展等級保護(hù)工作，定期對第三級以上的信息系統(tǒng)進(jìn)行安全檢查。運(yùn)營使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)提供有關(guān)材料。

開展等級保護(hù)工作的基本要求是：各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)運(yùn)營使用單位和主管部門，按照“準(zhǔn)確定級、嚴(yán)格審批、及時(shí)備案、認(rèn)真整改、科學(xué)測評”的要求完成等級保護(hù)的定級、備案、整改、測評等工作。公安機(jī)關(guān)和保密、密碼工作部門要及時(shí)開展監(jiān)督檢查，嚴(yán)格審查信息系統(tǒng)所定級別，嚴(yán)格檢查信息系統(tǒng)開展備案、整改、測評等工作。

六、重要信息系統(tǒng)安全等級保護(hù)定級工作的主要步驟是什么 信息系統(tǒng)定級是等級保護(hù)工作的首要環(huán)節(jié)，是開展信息系統(tǒng)備案、建設(shè)整改、等級測評、監(jiān)督檢查等工作的重要基礎(chǔ)。信息系統(tǒng)安全級別定不準(zhǔn)，系統(tǒng)備案、建設(shè)整改、等級測評等工作都失去了針對性。定級工作的主要步驟是：

第一步：開展摸底調(diào)查。按照《定級工作通知》確定的定級范圍，各單位、各部門可以組織開展對所屬信息系統(tǒng)進(jìn)行摸底調(diào)查，摸清信息系統(tǒng)底數(shù)，掌握信息系統(tǒng)（包括信息網(wǎng)絡(luò)）的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，為下一步明確要求、落實(shí)責(zé)任奠定基礎(chǔ)。第二步：確定定級對象。在全國重要信息系統(tǒng)安全等級保護(hù)定級工作（以下簡稱“定級工作”）中，如何科學(xué)、合理地確定定級對象是最關(guān)鍵、最復(fù)雜的問題。信息系統(tǒng)運(yùn)營使用單位或主管部門按如下原則確定定級對象：一是應(yīng)用系統(tǒng)應(yīng)按照不同業(yè)務(wù)類別單獨(dú)確定為定級對象，不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換、是否獨(dú)享設(shè)備為確定定級對象條件。起傳輸作用的基礎(chǔ)網(wǎng)絡(luò)要作為單獨(dú)的定級對象。二是確認(rèn)負(fù)責(zé)定級的單位是否對所定級系統(tǒng)具有安全管理責(zé)任。三是具有信息系統(tǒng)的基本要素。作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件（如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等）作為定級對象。

第三步：初步確定信息系統(tǒng)等級。信息系統(tǒng)的安全保護(hù)等級是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù)措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會(huì)穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全保護(hù)等級。既要防止個(gè)別單位片面追求絕對安全而定級過高，也要防止為了逃避監(jiān)管定級偏低。信息網(wǎng)絡(luò)的安全等級可以參照在其上運(yùn)行的信息系統(tǒng)的等級、網(wǎng)絡(luò)的服務(wù)范圍和自身的安全需求確定適當(dāng)?shù)谋Ｗo(hù)等級，不以在其上運(yùn)行的信息系統(tǒng)的最高等級或最低等級為標(biāo)準(zhǔn)。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)，可以由主管部門統(tǒng)一確定安全保護(hù)等級。由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一安全保護(hù)策略的信息系統(tǒng)，應(yīng)由各部委統(tǒng)一確定一個(gè)級別；由各部委 統(tǒng)一規(guī)劃、分級建設(shè)、運(yùn)行的信息系統(tǒng)，應(yīng)由部、省、地市分別確定系統(tǒng)等級，但各行業(yè)應(yīng)對該類系統(tǒng)提出定級意見，避免出現(xiàn)同類系統(tǒng)定級出現(xiàn)較大偏差問題。

第四步：信息系統(tǒng)等級評審。在信息系統(tǒng)安全保護(hù)等級確定過程中，可以聘請專家進(jìn)行咨詢評審，并出具定級評審意見。對擬確定為第四級以上信息系統(tǒng)的，運(yùn)營使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護(hù)等級專家評審委員會(huì)評審，出具評審意見。

第五步：信息系統(tǒng)等級的最終確定與審批。信息系統(tǒng)運(yùn)營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成《定級報(bào)告》。如果專家評審意見與運(yùn)營使用單位意見不一致時(shí)，由運(yùn)營使用單位自主決定系統(tǒng)等級，信息系統(tǒng)運(yùn)營使用單位有上級主管部門的，應(yīng)當(dāng)經(jīng)上級主管部門對安全保護(hù)等級進(jìn)行審核批準(zhǔn)。主管部門一般是指行業(yè)的上級主管部門或監(jiān)管部門。如果是跨地域聯(lián)網(wǎng)運(yùn)營使用的信息系統(tǒng)，則必須由其上級主管部門審批，確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性。

第六步：備案。第二級以上信息系統(tǒng)，在安全保護(hù)等級確定后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機(jī)關(guān)備案。定級工作的結(jié)果是以備案完成為標(biāo)志。基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的定級、備案工作9月底前完成。第七步：備案審核。受理備案的公安機(jī)關(guān)要公布備案受理地點(diǎn)、備案聯(lián)系方式等。在受理備案時(shí)，應(yīng)對提交的備案材料進(jìn)行完整性審核和定級準(zhǔn)確性審核。對符合等級保護(hù)要求的，應(yīng)頒發(fā)信息系統(tǒng)安全等級保護(hù)備案證明。發(fā)現(xiàn)定級不準(zhǔn)的，通知備案單位重新審核確定。

第八步：及時(shí)總結(jié)并提交總結(jié)報(bào)告。各地區(qū)、各部門要結(jié)合本地區(qū)、本行業(yè)開展定級工作的實(shí)際，認(rèn)真總結(jié)經(jīng)驗(yàn)和不足，提出改進(jìn)和完善定級方法的意見和建議，及時(shí)總結(jié)定級工作經(jīng)驗(yàn)，形成定級工作總結(jié)報(bào)告，并于10月中旬報(bào)送公安部。

七、定級工作完成后需要開展哪些工作

一是開展安全建設(shè)和整改。信息系統(tǒng)定級、備案工作完成后，運(yùn)營使用單位應(yīng)按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。

二是開展等級測評。信息系統(tǒng)建設(shè)、整改完成后，運(yùn)營使用單位或者其主管部門選擇符合《管理辦法》規(guī)定條件的測評機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。

三是開展自查。信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行 自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的，運(yùn)營使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。

八、開展安全等級保護(hù)工作依據(jù)的主要標(biāo)準(zhǔn)有哪些 信息安全等級保護(hù)工作涉及信息安全科學(xué)基礎(chǔ)、系統(tǒng)建設(shè)、產(chǎn)品、測評、管理等多個(gè)方面工作。為保障全面實(shí)施信息安全等級保護(hù)制度，必須建立信息安全等級保護(hù)標(biāo)準(zhǔn)體系。經(jīng)過公安部、國信安標(biāo)委、標(biāo)準(zhǔn)編制企事業(yè)單位、有關(guān)專家等多方努力，多年攻關(guān)，目前，已基本形成了由50多個(gè)國家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)構(gòu)成的比較完整的信息安全等級保護(hù)標(biāo)準(zhǔn)體系，基本能夠滿足國家信息安全等級保護(hù)制度全面實(shí)施的需求?！豆芾磙k法》規(guī)定了信息系統(tǒng)運(yùn)營使用單位在等級保護(hù)工作中按照或參照國家、行業(yè)技術(shù)標(biāo)準(zhǔn)開展系統(tǒng)定級、建設(shè)、整改、測評等工作。鼓勵(lì)重要行業(yè)根據(jù)行業(yè)特點(diǎn)制定等級保護(hù)行業(yè)標(biāo)準(zhǔn)。

1、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）是強(qiáng)制性國標(biāo)，從技術(shù)法規(guī)角度對信息系統(tǒng)安全保護(hù)劃分了五級。是開展等級保護(hù)工作的基礎(chǔ)性標(biāo)準(zhǔn)，是信息安全等級保護(hù)系列標(biāo)準(zhǔn)編制、系統(tǒng)建設(shè)與管理、產(chǎn)品研發(fā)、監(jiān)督檢查的科學(xué)技術(shù)基礎(chǔ)和依據(jù)。

2、《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》是信息系統(tǒng)安全等級保護(hù)實(shí)施的過程控制標(biāo)準(zhǔn)，規(guī)范了信息系統(tǒng)安全等級保護(hù)的實(shí)施各階段內(nèi)容和過程控制問題。

3、《信息系統(tǒng)安全等級保護(hù)定級指南》是信息系統(tǒng)安全保護(hù)等級確定標(biāo)準(zhǔn)，屬于管理規(guī)范，規(guī)范了信息系統(tǒng)安全保護(hù)等級的定級方法。

4、《信息系統(tǒng)安全等級保護(hù)基本要求》（國標(biāo)報(bào)批稿試用，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)文件 信安字[2007]12號）。是以GB17859為基礎(chǔ)的分等級信息系統(tǒng)的安全建設(shè)和管理系列標(biāo)準(zhǔn)之一，是現(xiàn)階段五個(gè)級別的信息系統(tǒng)的基本安全保護(hù)技術(shù)和管理要求，提出了各級信息系統(tǒng)應(yīng)當(dāng)具備的基本安全保護(hù)能力和技術(shù)與管理措施，該標(biāo)準(zhǔn)需與《信息安全技術(shù) 系統(tǒng)安全等級保護(hù)通用安全技術(shù)要求》GB/T20271-2006《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》GB/T20272-2006、《信息安全技術(shù) 操作系統(tǒng)安全評估準(zhǔn)則》GB/T20009-2005、《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》GB/T20273-2006、《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則》GB/T20009-2005、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》GB/T20270-2006等安全等級保護(hù)系列標(biāo)準(zhǔn)配合使用，規(guī)范、指導(dǎo)信息系統(tǒng)安全等級保護(hù)整改建設(shè)工作。

5、《信息安全技術(shù) 服務(wù)器安全技術(shù)要求》GB/T20273-2006和《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)技術(shù)要求》GA/T672-2006是信息系統(tǒng)關(guān)鍵設(shè)備安全等級保護(hù)標(biāo)準(zhǔn)，規(guī)范和解決信息系統(tǒng)主機(jī)和終端安全等級保護(hù)問題。

6、《信息安全技術(shù) 系統(tǒng)安全等級防護(hù)工程管理要求》GB/T20282-2006是信息系統(tǒng)安全等級保護(hù)管理標(biāo)準(zhǔn)之一，規(guī)范信息系統(tǒng)安全等級保護(hù)方案技術(shù)集成和工程實(shí)施過程控制問題?！缎?息安全技術(shù) 系統(tǒng)安全等級保護(hù)管理要求》GB/T20269-2006是信息系統(tǒng)安全等級保護(hù)管理標(biāo)準(zhǔn)，規(guī)范信息系統(tǒng)生命周期的安全等級保護(hù)技術(shù)和相關(guān)人員問題的管理工作。《信息安全技術(shù) 系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》和《信息安全技術(shù) 系統(tǒng)安全等級保護(hù)測評指南》即將出臺(tái)，規(guī)范了信息系統(tǒng)安全等級保護(hù)測評工作。

九、公安機(jī)關(guān)組織開展信息安全等級保護(hù)中的職責(zé)任務(wù)是什么

《中華人民共和國警察法》第二章第六條第十二款規(guī)定，公安機(jī)關(guān)人民警察依法履行“監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作”。組織開展信息安全等級保護(hù)工作是公安機(jī)關(guān)在信息網(wǎng)絡(luò)領(lǐng)域開展的面向全社會(huì)的管理監(jiān)察工作，是公安機(jī)關(guān)在社會(huì)信息化條件的一項(xiàng)新的職責(zé)。實(shí)施信息安全等級保護(hù)是公安機(jī)關(guān)依法保障重要信息系統(tǒng)安全的重要手段。《人民警察法》和《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定了公安機(jī)關(guān)負(fù)責(zé)監(jiān)督管理信息系統(tǒng)特別是重點(diǎn)領(lǐng)域信息系統(tǒng)安全保護(hù)工作。具體職責(zé)是：組織、指導(dǎo)信息系統(tǒng)運(yùn)營使用單位和主管部門開展信息安全等級保護(hù)工作；監(jiān)督、檢查信息系統(tǒng)運(yùn)營使用單位的安全保護(hù)管理制度和技術(shù)措施落實(shí)情況。

十、公安機(jī)關(guān)如何對實(shí)施信息安全等級保護(hù)進(jìn)行監(jiān)督管理 一是指導(dǎo)定級。指導(dǎo)信息系統(tǒng)運(yùn)營使用單位及其主管部門科學(xué)、合理地確定定級對象，準(zhǔn)確確定信息系統(tǒng)安全保護(hù)等級。既要防止個(gè)別單位片面追求絕對安全而定級過高，也要防止忽視安全定級偏低。二是受理備案。對備案單位提交的備案材料進(jìn)行完整性審核和定級準(zhǔn)確性審核，對定級不準(zhǔn)確的信息系統(tǒng)運(yùn)行使用單位提出整改意見；對符合等級保護(hù)要求的第二級以上信息系統(tǒng)，頒發(fā)信息系統(tǒng)安全保護(hù)等級備案證明。

三是定期檢查。定期對三級以上重要信息系統(tǒng)的安全保護(hù)狀況進(jìn)行檢查。檢查信息系統(tǒng)運(yùn)營使用單位的安全保護(hù)管理制度和技術(shù)措施落實(shí)情況。發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，通知運(yùn)營使用單位進(jìn)行整改。

第三篇：國家信息安全等級保護(hù)制度

《信息安全等級保護(hù)管理辦法》 四部委下發(fā)公通字[2007]43號文 《信息安全等級保護(hù)管理辦法》是為規(guī)范信息安全等級保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)而制定的辦法。由四部委下發(fā)，公通字200743號文。2 制定目的 規(guī)范信息安全等級保護(hù)管理。文號

公通字200743號文 第一章 總則 第一條

為規(guī)范信息安全等級保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)，制定本辦法。第二條

國家通過制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實(shí)行安全保護(hù)，對等級保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。第三條

公安機(jī)關(guān)負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負(fù)責(zé)等級保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負(fù)責(zé)等級保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級保護(hù)工作的部門間協(xié)調(diào)。第四條

信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營、使用單位的信息安全等級保護(hù)工作。第五條

信息系統(tǒng)的運(yùn)營、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范，履行信息安全等級保護(hù)的義務(wù)和責(zé)任。

第二章 等級劃分與保護(hù) 第六條

國家信息安全等級保護(hù)堅(jiān)持自主定級、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。第七條

信息系統(tǒng)的安全保護(hù)等級分為以下五級：

第一級，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會(huì)秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造 1

成損害。

第四級，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。

第五級，信息系統(tǒng)受到破壞后，會(huì)對國家安全造成特別嚴(yán)重?fù)p害。第八條

信息系統(tǒng)運(yùn)營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。

第一級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行指導(dǎo)。第三級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。第三章等級保護(hù)的實(shí)施與管理 第九條

信息系統(tǒng)運(yùn)營、用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》 具體實(shí)施等級保護(hù)工作。第十條

信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級保護(hù)定級指南》確定信息系統(tǒng)的安全保護(hù)等級。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級。對擬確定為第四級以上信息系統(tǒng)的，運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護(hù) 等級專家評審委員會(huì)評審。第十一條

信息系統(tǒng)的安全保護(hù)等級確定后，運(yùn)營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。第十二條

在信息系統(tǒng)建設(shè)過程中，運(yùn)營、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求》（GA/T671-2006）等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。第十三條

運(yùn)營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級保護(hù)基本要求》等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。第十四條

信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。

第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級信息系統(tǒng)應(yīng)當(dāng)每 半年至少進(jìn)行一次自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的，運(yùn)營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。第十五條

已運(yùn)營（運(yùn)行）的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級確定后30 日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機(jī)關(guān)備案。第十六條

辦理信息系統(tǒng)安全保護(hù)等級備案手續(xù)時(shí)，應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級保護(hù)備案表》，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料：

（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；

（二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度；

（三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；

（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；

（五）測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報(bào)告；

（六）信息系統(tǒng)安全保護(hù)等級專家評審意見；

（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。

第十七條

信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進(jìn)行審核，對符合等級保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以 糾正；發(fā)現(xiàn)定級不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。運(yùn)營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。第十八條

受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運(yùn)營、使用單位的信息安全等級保護(hù)工作情況進(jìn)行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會(huì)同其主管部門進(jìn)行。對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進(jìn)行檢查。公安機(jī)關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項(xiàng)進(jìn)行檢查：

（一）系統(tǒng)安全需求是否發(fā)生變化，原定保護(hù)等級是否準(zhǔn)確；

（二）運(yùn)營、使用單位安全管理制度、措施的落實(shí)情況；

（三）運(yùn)營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況；

（四）系統(tǒng)安全等級測評是否符合要求；

（五）信息安全產(chǎn)品使用是否符合要求；

（六）對信息系統(tǒng)開展等級測評的技術(shù)測評報(bào)告；

（七）信息安全產(chǎn)品使用的變更情況；

（八）信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報(bào)告；

（九）信息系統(tǒng)安全建設(shè)、整改結(jié)果報(bào)告。

第二十條

公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運(yùn)營、使用單位發(fā)出整改通知。運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。整改完成后，應(yīng)當(dāng)將整改報(bào)告向公安機(jī)關(guān)備案。必要時(shí)，公安機(jī)關(guān)可以對整改情況組織檢查。

第二十一條

第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：

（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民 共和國境內(nèi)具有獨(dú)立的法人資格；

（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；

（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能；

（五）對國家安全、社會(huì)秩序、公共利益不構(gòu)成危害；

（六）對已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。第二十二條

第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級保護(hù)測評機(jī)構(gòu)進(jìn)行測評：

（一）在中華人民共和國境內(nèi)注冊成立（港澳臺(tái)地區(qū)除外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺(tái)地區(qū)除外）；

（三）從事相關(guān)檢測評估工作兩年以上，無違法記錄；

（四）工作人員僅限于中國公民；

（五）法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

（六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求；

（七）具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；

（八）對國家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。第二十三條

從事信息系統(tǒng)安全等級測評的機(jī)構(gòu)，應(yīng)當(dāng)履行下列義務(wù)：

（一）遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公正的檢測評估服務(wù)，保證測評的質(zhì)量和效果；

（二）保守在測評活動(dòng)中知悉的國家秘密、商業(yè)秘密和個(gè)人隱私，防范測評風(fēng)險(xiǎn)；

（三）對測評人員進(jìn)行安全保密教育，與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實(shí)。第四章 涉密信息系統(tǒng)的分級保護(hù)管理

第二十四條

涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護(hù)的基本要求，按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。非涉密信息系統(tǒng)不得處理國家秘密信息。第二十五條

涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高分為秘密、機(jī)密、絕密三個(gè)等級。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上，依據(jù)涉密信息系統(tǒng)分級保護(hù)管理辦法和國家保密標(biāo)準(zhǔn)BMB17-2006《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)技術(shù)要求》確 定系統(tǒng)等級。對于包含多個(gè)安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護(hù)等級。保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進(jìn)行系統(tǒng)定級。第二十六條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級和建設(shè)使用情況，及時(shí)上報(bào)業(yè)務(wù)主管部門的保密工作機(jī)構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導(dǎo)。

第二十七條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計(jì)與實(shí)施。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，按照秘密、機(jī)密、絕密三級的不同要求，結(jié)合系統(tǒng)實(shí)際進(jìn)行方案設(shè)計(jì)，實(shí)施分級保護(hù)，其保護(hù)水平

總體上不低于國家信息安全等級保護(hù)第三級、第四級、第五級的水平。第二十八條

涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品，并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機(jī)構(gòu)依據(jù)有關(guān)國家保密標(biāo)準(zhǔn)進(jìn)行的檢測，通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。

第二十九條

涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實(shí)施結(jié)束后，應(yīng)當(dāng)向保密工作部門提出申請，由國家保密局授權(quán)的系統(tǒng)測評機(jī)構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)BMB22-2007《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)測評指南》，對涉密信息系統(tǒng)進(jìn)行安全保密測評。涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)當(dāng)按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》，向設(shè)區(qū)的市級以上保密工作部門申請進(jìn)行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在按照分級保護(hù)要求完成系統(tǒng)整改后，應(yīng)當(dāng)向保密工作部門備案。

第三十條

涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時(shí)，應(yīng)當(dāng)提交以下材料：

（一）系統(tǒng)設(shè)計(jì)、實(shí)施方案及審查論證意見；

（二）系統(tǒng)承建單位資質(zhì)證明材料；

（三）系統(tǒng)建設(shè)和工程監(jiān)理情況報(bào)告；

（四）系統(tǒng)安全保密檢測評估報(bào)告；

（五）系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況；

（六）其他有關(guān)材料。第三十一條

涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時(shí)，其建設(shè)使用單位應(yīng)當(dāng)及時(shí)向負(fù)責(zé)審批的保密工作部門報(bào)告。保密工作部門應(yīng)當(dāng)根據(jù)實(shí)際情況，決定是否對其重新進(jìn)行測評和審批。第三十二條

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》，加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密管理，定期進(jìn)行風(fēng)險(xiǎn)評估，消除泄密隱患和漏洞。第三十三條

國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護(hù)工作實(shí)施監(jiān)督管理，并做好以下工作：

（一）指導(dǎo)、監(jiān)督和檢查分級保護(hù)工作的開展；

（二）指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密，合理確定系統(tǒng)保護(hù)等級；

（三）參與涉密信息系統(tǒng)分級保護(hù)方案論證，指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計(jì)；

（四）依法對涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行監(jiān)督管理；

（五）嚴(yán)格進(jìn)行系統(tǒng)測評和審批工作，監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級保護(hù)管理制度和技術(shù)措施的落實(shí)情況；

（六）加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對秘密級、機(jī)密級信息系統(tǒng)每兩年至少進(jìn)行一次保密檢查或者系統(tǒng)測評，對絕密級信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測評；

（七）了解掌握各級各類涉密信息系統(tǒng)的管理使用情況，及時(shí)發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第五章

信息安全等級保護(hù)的密碼管理 第三十四條

國家密碼管理部門對信息安全等級保護(hù)的密碼實(shí)行分類分級管理。

根據(jù)被保護(hù)對象在國家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)建設(shè)中的作用和重要程度，被保護(hù)對象的安全防護(hù)要求和涉密程度，被保護(hù)對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等，確定密碼的等級保護(hù)準(zhǔn)則。信息系統(tǒng)運(yùn)營、使用單位采用密碼進(jìn)行等級保護(hù)的，應(yīng)當(dāng)遵照《信息安全等級保護(hù)密碼管理辦法》、《信息安全等級保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。第三十五條

信息系統(tǒng)安全等級保護(hù)中密碼的配備、使用和管理等，應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。

第三十六條

信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)充分運(yùn)用密碼技術(shù)對信息系統(tǒng)進(jìn)行保護(hù)。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，應(yīng)報(bào)經(jīng)國家密碼管理局審批，密碼的設(shè)計(jì)、實(shí)施、使用、運(yùn)行維護(hù)和日常管理等，應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，須遵守《商用密碼管理?xiàng)l例》和密碼分類分級保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機(jī)構(gòu)備案。第三十七條

運(yùn)用密碼技術(shù)對信息系統(tǒng)進(jìn)行系統(tǒng)等級保護(hù)建設(shè)和整改的，必須采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進(jìn)行安全保護(hù)，不得采用國外引進(jìn)或者擅自研制的密碼產(chǎn)品；未經(jīng)批準(zhǔn)不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。第三十八條

信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認(rèn)可的測評機(jī)構(gòu)承擔(dān)，其他任何部門、單位和個(gè)人不得對密碼進(jìn)行評測和監(jiān)控。第三十九條

各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護(hù)工作中密碼配備、使用和管理的情況進(jìn)行檢查和測評，對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進(jìn)行一次檢查和測評。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá) 到密碼相關(guān)標(biāo)準(zhǔn)要求的，應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進(jìn)行處置。第六章 法律責(zé)任 第四十條

第三級以上信息系統(tǒng)運(yùn)營、使用單位違反本辦法規(guī)定，有下列行為之一的，由公安機(jī)關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報(bào)情況，建議對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理，并及時(shí)反饋處理結(jié)果：

（一）未按本辦法規(guī)定備案、審批的；

（二）未按本辦法規(guī)定落實(shí)安全管理制度、措施的；

（三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的；

（四）未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的；

（五）接到整改通知后，拒不整改的；

（六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機(jī)構(gòu)的；

（七）未按本辦法規(guī)定如實(shí)提供有關(guān)文件和證明材料的；

（八）違反保密管理規(guī)定的；

（九）違反密碼管理規(guī)定的；

（十）違反本辦法其他規(guī)定的。

違反前款規(guī)定，造成嚴(yán)重?fù)p害的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。第四十一條

信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中，玩忽職守、濫用職權(quán)、徇私舞弊的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。第七章 附則

第四十二條

已運(yùn)行信息系統(tǒng)的運(yùn)營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護(hù)等級；新建信息系統(tǒng)在設(shè)計(jì)、規(guī)劃階段確定安全保護(hù)等級。第四十三條本辦法所稱“以上”包含本數(shù)（級）。第四十四條本辦法自發(fā)布之日起施行，《信息安全等級保護(hù)管理辦法（試行）》（公通字[2006]7 7

號）同時(shí)廢止。

第四篇：國家信息安全等級保護(hù)制度介紹

CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái) 的信息安全等級保護(hù)工作。各地級以上市參照成立相應(yīng)工作機(jī)制。重要信息系統(tǒng)運(yùn)營使用單位成立信息安全等級保護(hù)工作組，負(fù)責(zé)組織本單位的信息系統(tǒng)安全等級保護(hù)工作。

四、信息安全等級保護(hù)等級劃分和監(jiān)管方式

（一）信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護(hù)等級分為以下五級：

第一級，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會(huì)秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。

第五級，信息系統(tǒng)受到破壞后，會(huì)對國家安全造成特別嚴(yán)重?fù)p害。

（二）信息系統(tǒng)運(yùn)營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。

第一級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。

第二級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行指導(dǎo)。

第三級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。

第四級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。

第五級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。

五、信息安全等級保護(hù)制度的原則

信息安全等級保護(hù)的核心是對信息安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。信息安 CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

（五）依法履行備案手續(xù)。信息系統(tǒng)安全保護(hù)等級為第二級以上的信息系統(tǒng)運(yùn)營使用單位或主管部門應(yīng)當(dāng)在系統(tǒng)投入運(yùn)行后（新建系統(tǒng)）或確定等級后（已運(yùn)營的系統(tǒng)）30日內(nèi)到公安機(jī)關(guān)辦理備案手續(xù)；鼓勵(lì)第一級和第五級的信息系統(tǒng)到公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？绲貐^(qū)或全省統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)由省級主管部門組織向省公安廳備案?？绲貐^(qū)、跨省或者全省、全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，向地級以上市公安局備案。涉密信息系統(tǒng)建設(shè)使用單位依據(jù)《管理辦法》和國家保密局的有關(guān)規(guī)定，到保密工作部門備案。

（六）加強(qiáng)安全監(jiān)督檢查。公安機(jī)關(guān)應(yīng)當(dāng)會(huì)同有關(guān)部門加強(qiáng)對信息系統(tǒng)的監(jiān)督檢查，對未依法履行定級、備案手續(xù)的單位，督促其限期改正。發(fā)現(xiàn)定級不準(zhǔn)的，應(yīng)當(dāng)通知運(yùn)營使用單位或其主管部門重新審核確定。對安全措施不符合要求的，要指導(dǎo)其落實(shí)整改措施。各級保密工作部門加強(qiáng)對涉密信息系統(tǒng)安全等級保護(hù)工作的指導(dǎo)、監(jiān)督和檢查。國家密碼管理部門加強(qiáng)對信息安全等級保護(hù)密碼管理。

（七）建設(shè)技術(shù)支撐體系。省公安廳會(huì)同有關(guān)部門根據(jù)《管理辦法》建立健全管理制度，向社會(huì)推薦一批符合要求的安全專用產(chǎn)品、安全測評機(jī)構(gòu)。組織開展繼續(xù)教育工作，加強(qiáng)對安全專業(yè)技術(shù)人員的培訓(xùn)，提高信息系統(tǒng)運(yùn)營使用單位和主管部門以及安全專用產(chǎn)品研發(fā)機(jī)構(gòu)、安全服務(wù)機(jī)構(gòu)安全專業(yè)技術(shù)人員的技術(shù)和法律知識水平。

（八）健全長效工作機(jī)制。在信息安全等級保護(hù)職能部門、信息系統(tǒng)主管部門、運(yùn)營使用單位間建立暢通的聯(lián)絡(luò)機(jī)制。落實(shí)信息系統(tǒng)主管部門對運(yùn)營使用單位的監(jiān)督指導(dǎo)責(zé)任，建立職能部門、主管部門對信息系統(tǒng)的定期監(jiān)督檢查機(jī)制。爭取省人大和省政府法制辦公室支持，制訂《廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》及實(shí)施細(xì)則，使信息安全等級保護(hù)工作獲得地方立法的支撐。

第五篇：國家信息安全等級保護(hù)制度第三級要求

CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

1.1.1.4 防雷擊(G3)本項(xiàng)要求包括: a)機(jī)房建筑應(yīng)設(shè)置避雷裝置;b)應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷;c)機(jī)房應(yīng)設(shè)置交流電源地線。7.1.1.5 防火(G3)本項(xiàng)要求包括: a)機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測火情、自動(dòng)報(bào)警,并自動(dòng)滅火;b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料;c)機(jī)房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開。1.1.1.6 防水和防潮(G3)本項(xiàng)要求包括: a)水管安裝,不得穿過機(jī)房屋頂和活動(dòng)地板下;b)應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透;c)應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透;d)應(yīng)安裝對水敏感的檢測儀表或元件,對機(jī)房進(jìn)行防水檢測和報(bào)警。1.1.1.7 防靜電(G3)本項(xiàng)要求包括: a)主要設(shè)備應(yīng)采用必要的接地防靜電措施;b)機(jī)房應(yīng)采用防靜電地板。1.1.1.8 溫濕度控制(G3)機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。

1.1.1.9 電力供應(yīng)(A3)本項(xiàng)要求包括: CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

1.1.2.2 訪問控制(G3)本項(xiàng)要求包括: a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能;b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;c)應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾,實(shí)現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3 等協(xié)議命令級的控制;d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接;e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù);f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙;g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問,控制粒度為單個(gè)用戶;h)應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。1.1.2.3 安全審計(jì)(G3)本項(xiàng)要求包括: a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄;b)審計(jì)記錄應(yīng)包括:事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表;d)應(yīng)對審計(jì)記錄進(jìn)行保護(hù),避免受到未預(yù)期的刪除、修改或覆蓋等。1.1.2.4 邊界完整性檢查(S3)本項(xiàng)要求包括: a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對其進(jìn)行有效阻斷;b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

本項(xiàng)要求包括: a)應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別;b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;c)應(yīng)啟用登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;d)當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;e)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。

f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。1.1.3.2 訪問控制(S3)本項(xiàng)要求包括: a)應(yīng)啟用訪問控制功能,依據(jù)安全策略控制用戶對資源的訪問;b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限;c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離;d)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn)口令;e)應(yīng)及時(shí)刪除多余的、過期的帳戶,避免共享帳戶的存在。f)應(yīng)對重要信息資源設(shè)置敏感標(biāo)記;g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作;7.1.3.3 安全審計(jì)(G3)本項(xiàng)要求包括: a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;b)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定;c)應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視,包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況;d)應(yīng)限制單個(gè)用戶對系統(tǒng)資源的最大或最小使用限度;e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警。7.1.4 應(yīng)用安全 7.1.4.1 身份鑒別(S3)本項(xiàng)要求包括: a)應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別;b)應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別;c)應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識,身份鑒別信息不易被冒用;d)應(yīng)提供登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)。

7.1.4.2 訪問控制(S3)本項(xiàng)要求包括: a)應(yīng)提供訪問控制功能,依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問;b)訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作;c)應(yīng)由授權(quán)主體配置訪問控制策略,并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限;d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系。

e)應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記的功能;CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

7.1.4.8 軟件容錯(cuò)(A3)本項(xiàng)要求包括: a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能,保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求;b)應(yīng)提供自動(dòng)保護(hù)功能,當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài),保證系統(tǒng)能夠進(jìn)行恢復(fù)。

7.1.4.9 資源控制(A3)本項(xiàng)要求包括: a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話;b)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制;c)應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制;d)應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制;e)應(yīng)能夠?qū)σ粋€(gè)訪問帳戶或一個(gè)請求進(jìn)程占用的資源分配最大限額和最小限額;f)應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警;g)應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能,并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進(jìn)程的優(yōu)先級,根據(jù)優(yōu)先級分配系統(tǒng)資源。

7.1.5 數(shù)據(jù)安全及備份恢復(fù) 7.1.5.1 數(shù)據(jù)完整性(S3)本項(xiàng)要求包括: a)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞,并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施;b)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過程中完整性受到破壞,并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。

7.1.5.2 數(shù)據(jù)保密性(S3)本項(xiàng)要求包括: CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

c)應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定;d)安全管理制度應(yīng)通過正式、有效的方式發(fā)布;e)安全管理制度應(yīng)注明發(fā)布范圍,并對收發(fā)文進(jìn)行登記。7.2.1.3 評審和修訂(G3)本項(xiàng)要求包括: a)信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定;b)應(yīng)定期或不定期對安全管理制度進(jìn)行檢查和審定,對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。

7.2.2 安全管理機(jī)構(gòu) 7.2.2.1 崗位設(shè)置(G3)本項(xiàng)要求包括: a)應(yīng)設(shè)立信息安全管理工作的職能部門,設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé);b)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位,并定義各個(gè)工作崗位的職責(zé);c)應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán);d)應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)、分工和技能要求。7.2.2.2 人員配備(G3)本項(xiàng)要求包括: a)應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等;b)應(yīng)配備專職安全管理員,不可兼任;c)關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。7.2.2.3 授權(quán)和審批(G3)本項(xiàng)要求包括: a)應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等;CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用;b)應(yīng)嚴(yán)格規(guī)范人員錄用過程,對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查,對其所具有的技術(shù)技能進(jìn)行考核;c)應(yīng)簽署保密協(xié)議;d)應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。7.2.3.2 人員離崗(G3)本項(xiàng)要求包括: a)應(yīng)嚴(yán)格規(guī)范人員離崗過程,及時(shí)終止離崗員工的所有訪問權(quán)限;b)應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備;c)應(yīng)辦理嚴(yán)格的調(diào)離手續(xù),關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。

7.2.3.3 人員考核(G3)本項(xiàng)要求包括: a)應(yīng)定期對各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核;b)應(yīng)對關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核;c)應(yīng)對考核結(jié)果進(jìn)行記錄并保存。7.2.3.4 安全意識教育和培訓(xùn)(G3)本項(xiàng)要求包括: a)應(yīng)對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn);b)應(yīng)對安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員,對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒;c)應(yīng)對定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定,針對不同崗位制定不同的培訓(xùn)計(jì)劃,對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行培訓(xùn);d)應(yīng)對安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。7.2.3.5 外部人員訪問管理(G3)本項(xiàng)要求包括: a)應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請,批準(zhǔn)后由專人全程CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

b)應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求;c)應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購;d)應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。

7.2.4.4 自行軟件開發(fā)(G3)本項(xiàng)要求包括: a)應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開,開發(fā)人員和測試人員分離,測試數(shù)據(jù)和測試結(jié)果受到控制;b)應(yīng)制定軟件開發(fā)管理制度,明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則;c)應(yīng)制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼;d)應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管;e)應(yīng)確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。7.2.4.5 外包軟件開發(fā)(G3)本項(xiàng)要求包括: a)應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量;b)應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼;c)應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南;d)應(yīng)要求開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門。7.2.4.6 工程實(shí)施(G3)本項(xiàng)要求包括: a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理;b)應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程,并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程;c)應(yīng)制定工程實(shí)施方面的管理制度,明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。

7.2.4.7 測試驗(yàn)收(G3)CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

a)在系統(tǒng)運(yùn)行過程中,應(yīng)至少每年對系統(tǒng)進(jìn)行一次等級測評,發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改;b)應(yīng)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對系統(tǒng)進(jìn)行等級測評,發(fā)現(xiàn)級別發(fā)生變化的及時(shí)調(diào)整級別并進(jìn)行安全改造,發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改;c)應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進(jìn)行等級測評;d)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級測評的管理。7.2.4.11 安全服務(wù)商選擇(G3)本項(xiàng)要求包括: a)應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定;b)應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確約定相關(guān)責(zé)任;c)應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾,必要的與其簽訂服務(wù)合同。

7.2.5 系統(tǒng)運(yùn)維管理 7.2.5.1 環(huán)境管理(G3)本項(xiàng)要求包括: a)應(yīng)指定專門的部門或人員定期對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理;b)應(yīng)指定部門負(fù)責(zé)機(jī)房安全,并配備機(jī)房安全管理人員,對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理;c)應(yīng)建立機(jī)房安全管理制度,對有關(guān)機(jī)房物理訪問,物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理做出規(guī)定;d)應(yīng)加強(qiáng)對辦公環(huán)境的保密性管理,規(guī)范辦公環(huán)境人員行為,包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等。

7.2.5.2 資產(chǎn)管理(G3)本項(xiàng)要求包括: a)應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容;CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

d)應(yīng)對終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理,按操作規(guī)程實(shí)現(xiàn)主要設(shè)備(包括備份和冗余設(shè)備)的啟動(dòng)/停止、加電/斷電等操作;e)應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)。7.2.5.5 監(jiān)控管理和安全管理中心(G3)本項(xiàng)要求包括: a)應(yīng)對通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測和報(bào)警,形成記錄并妥善保存;b)應(yīng)組織相關(guān)人員定期對監(jiān)測和報(bào)警記錄進(jìn)行分析、評審,發(fā)現(xiàn)可疑行為,形成分析報(bào)告,并采取必要的應(yīng)對措施;c)應(yīng)建立安全管理中心,對設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。

7.2.5.6 網(wǎng)絡(luò)安全管理(G3)本項(xiàng)要求包括: a)應(yīng)指定專人對網(wǎng)絡(luò)進(jìn)行管理,負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作;b)應(yīng)建立網(wǎng)絡(luò)安全管理制度,對網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級與打補(bǔ)丁、口令更新周期等方面作出規(guī)定;c)應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新,并在更新前對現(xiàn)有的重要文件進(jìn)行備份;d)應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描,對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ);e)應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置,并對配置文件進(jìn)行定期離線備份;f)應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn);g)應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入;h)應(yīng)定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。7.2.5.7 系統(tǒng)安全管理(G3)本項(xiàng)要求包括: CHISC.NET國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

案經(jīng)過評審、審批后方可實(shí)施變更,并在實(shí)施后將變更情況向相關(guān)人員通告;c)應(yīng)建立變更控制的申報(bào)和審批文件化程序,對變更影響進(jìn)行分析并文檔化,記錄變更實(shí)施過程,并妥善保存所有文檔和記錄;d)應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序,明確過程控制方法和人員職責(zé),必要時(shí)對恢復(fù)過程進(jìn)行演練。

7.2.5.11 備份與恢復(fù)管理(G3)本項(xiàng)要求包括: a)應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;b)應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度,對備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等進(jìn)行規(guī)范;c)應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略,備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒?d)應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序,對備份過程進(jìn)行記錄,所有文件和記錄應(yīng)妥善保存;e)應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測試備份介質(zhì)的有效性,確保可以在恢復(fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。

7.2.5.12 安全事件處置(G3)本項(xiàng)要求包括: a)應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件,但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn);b)應(yīng)制定安全事件報(bào)告和處置管理制度,明確安全事件的類型,規(guī)定安全事件的現(xiàn)場處理、事件報(bào)告和后期恢復(fù)的管理職責(zé);c)應(yīng)根據(jù)國家相關(guān)管理部門對計(jì)算機(jī)安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響,對本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級劃分;d)應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序,確定事件的報(bào)告流程,響應(yīng)和處置的范圍、程度,以及處理方法等;e)應(yīng)在安全事件報(bào)告和響應(yīng)處理過程中,分析和鑒定事件產(chǎn)生的原因,收集證據(jù),記錄處理過程,總結(jié)經(jīng)驗(yàn)教訓(xùn),制定防止再次發(fā)生的補(bǔ)救措施,過程形成的CHISC.NET-國內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)

所有文件和記錄均應(yīng)妥善保存;f)對造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報(bào)告程序。

7.2.5.13 應(yīng)急預(yù)案管理(G3)本項(xiàng)要求包括: a)應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案,應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容;b)應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障;c)應(yīng)對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次;d)應(yīng)定期對應(yīng)急預(yù)案進(jìn)行演練,根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容,確定演練的周期;e)應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容,并按照執(zhí)行。