《信息安全等级保护管理制度32702.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护管理制度32702.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、n 更多资料请请访问.(.)更多企业学学院:./Shopp/中小企业业管理全能能版183套讲讲座+899700份份资料./Shoop/400.shttml总经理、高高层管理49套讲座座+163388份资料./Shoop/388.shttml中层管理理学院46套讲座座+60220份资料./Shoop/399.shttml国学智慧慧、易经46套讲座座./Shoop/411.shttml人力资源源学院56套讲座座+271123份资料./Shoop/444.shttml各阶段员员工培训学学院77套讲座座+ 3224份资料./Shoop/499.shttml员工管理理企业学院院67套讲座座+ 87720
2、份资料./Shoop/422.shttml工厂生产产管理学院院52套讲座座+ 133920份份资料./Shoop/433.shttml财务管理理学院53套讲座座+ 177945份份资料./Shoop/455.shttml销售经理理学院56套讲座座+ 144350份份资料./Shoop/466.shttml销售人员员培训学院院72套讲座座+ 48879份资料./Shoop/477.shttmln 更多资料请请访问.(.)更多企业学学院:./Shopp/中小企业业管理全能能版183套讲讲座+899700份份资料./Shoop/400.shttml总经理、高高层管理49套讲座座+163388份资料.
3、/Shoop/388.shttml中层管理理学院46套讲座座+60220份资料./Shoop/399.shttml国学智慧慧、易经46套讲座座./Shoop/411.shttml人力资源源学院56套讲座座+271123份资料./Shoop/444.shttml各阶段员员工培训学学院77套讲座座+ 3224份资料./Shoop/499.shttml员工管理理企业学院院67套讲座座+ 87720份资料./Shoop/422.shttml工厂生产产管理学院院52套讲座座+ 133920份份资料./Shoop/433.shttml财务管理理学院53套讲座座+ 177945份份资料./Shoop/455
4、.shttml销售经理理学院56套讲座座+ 144350份份资料./Shoop/466.shttml销售人员员培训学院院72套讲座座+ 48879份资料./Shoop/477.shttml关于开展保保险业信息息系统安全全等级保护护定级工作作的通知保监厅厅发20007445号各保监监局,各保保险公司、保保险资产管管理公司,中中国保险行行业协会:为贯彻彻落实国家家信息安全全等级保护护制度,按按照关于于开展全国国重要信息息系统安全全等级保护护定级工作作的通知(公信安22007861号号)要求,中中国保监会会将在保险险行业内开开展信息系系统安全等等级保护定定级工作。现现将有关事事项通知如如下:一、等等
5、级保护定定级工作的的要求及组组织方式各单位位应按照“准确定级级、严格审审批、及时时备案、认认真整改、科科学测评”的要求和和“自主定级级、自主保保护”的工作原原则,成立立相应的领领导及实施施机构,结结合本单位位的实际情情况,准确确开展信息息系统等级级保护定级级工作。保监会会成立等级级保护定级级工作领导导小组,统统一领导、解解决保险行行业信息安安全等级保保护定级工工作中的重重大问题;保监会等等级保护定定级工作领领导小组下下设办公室室,具体负负责保监会会机关信息息系统等级级保护定级级的具体实实施工作和和行业定级级工作的指指导审核。各保监监局负责本本局内独立立运行的信信息系统等等级保护定定级工作,并并
6、对各自辖辖区内的保保险公司分分支机构的的等级保护护定级工作作进行指导导审核。各保险险集团公司司、保险控控股公司负负责本公司司信息系统统等级保护护定级工作作以及其下下属子公司司信息系统统等级保护护定级工作作的组织协协调和指导导。各保险险总公司统统一部署本本公司和分分公司的信信息系统等等级保护定定级工作。二、定定级工作安安排及定级级范围(一)定级工作作安排为稳妥妥做好等级级保护定级级工作,拟拟在保险行行业内分步步分批实施施。保险行行业第一批批定级单位位包括:保保监会及各各保监局,中中国保险行行业协会,中中国人民保保险集团公公司、中国国人寿保险险(集团)公司、中中国再保险险(集团)公司、中中国出口信
7、信用保险公公司、民生生人寿保险险股份有限限公司、阳阳光保险控控股股份有有限公司、中中国平安保保险(集团团)股份有有限公司、中中国太平洋洋(集团)股份有限限公司及其其下属各子子公司和分分公司。其余公公司作为第第二批定级级单位(具具体时间安安排另行通通知)。(二)定级范围围1、保保险监管部部门监管、办办公及网站站等重要信信息系统;保险公司司和中国保保险行业协协会经营、管管理、办公公等重要信信息系统。(以下简称称“重要信息息系统”)2、涉涉及国家秘秘密的信息息系统(以以下简称“涉密信息息系统”)。三、主主要工作步步骤第一阶阶段:自主主定级(99月20日日前完成)各单位位按要求成成立相关定定级实施机机
8、构,对本本系统内的的重要信息息系统和涉涉密信息系系统展开摸摸底调查,全全面掌握信信息网络和和信息系统统的数量、分分布、业务务类型、系系统结构、应应用或服务务范围等基基本情况,按按照信息息安全等级级保护管理理办法(以下简称称“管理办办法”,附件11)和信信息系统安安全等级保保护定级指指南(附附件2)的的要求,确确定定级对对象并初步步确定保护护等级,形形成定级报报告(报告告模板见附附件3)。涉密信信息系统的的等级确定定按照国家家保密局的的有关规定定和标准执执行。第二阶阶段:审核核(9月225日前完完成)各保监监局将各自自独立运行行的重要信信息系统和和涉密信息息系统的定定级报告报报保监会审审核。各公
9、司司对本公司司内的重要要信息系统统和涉密信信息系统定定级进行统统一审核,对对跨省联网网运行且由由公司总部部统一确定定等级的,由由总公司将将重要信息息系统和涉涉密信息系系统的定级级报告报保保监会审核核 (有集集团或控股股公司的,由由集团或控控股公司将将定级报告告统一报保保监会审核核);保险险公司分公公司将经过过总公司审审核的,且且在分公司司独立运行行的重要信信息系统和和涉密系统统定级报告告报当地保保监局审核核。保险行行业协会将将所确定的的重要信息息系统和涉涉密信息系系统的定级级报告报保保监会审核核。保监会会及各保监监局在接到到定级报告告审核文件件后,对不不符合要求求的于5个个工作日内内要求其改改
10、正,审核核通过者不不再单独答答复。第三阶阶段:备案案(9月330日前完完成)根据管管理办法,各各单位定级级报告通过过保监会或或保监局审审核后,对对重要信息息系统安全全等级确定定为二级以以上的信息息系统应到到公安部网网站下载信信息系统安安全等级保保护备案表表(见附附件4)和和辅助备案案工具,并并持填写的的备案表和和利用辅助助备案工具具生成的备备案电子数数据文件,到到公安机关关办理备案案手续(保保险行业协协会确定的的信息系统统、保险总总公司统一一定级的跨跨省联网运运营的信息息系统,向向公安部备备案;保险险公司分公公司将总公公司定级的的跨省联网网在当地运运行、应用用的分支系系统以及在在当地分公公司独
11、立运运行的信息息系统,向向当地省级级公安机关关备案)。备备案完成后后,各级单单位将备案案证明复印印件报相对对应的保险险监管机构构存档。涉密信信息系统建建设使用单单位依据管管理办法和和国家保密密局的有关关规定,填填写涉及及国家秘密密的信息系系统分级保保护备案表表(见附附件5),按按照属地化化管理原则则,将所确确定的涉密密信息系统统,报送相相对应的保保密部门备备案。备案案完成后,各各级单位将将备案证明明复印件报报相对应的的保险监管管机构存档档。第四阶阶段:总结结工作(110月155日前完成成)各单位位应对等级级保护定级级工作进行行总结,并并报保监会会等级保护护定级工作作领导小组组。保监会会根据定级
12、级工作开展展的情况和和定级工作作报告,总总结工作经经验,研究究并启动第第二批等级级保护定级级工作。联 系系 人:李李春亮、王王晓鹏联系电电话:0110-6662866602附件:1、信息息安全等级级保护管理理办法2、信信息安全技技术信息系系统安全等等级保护定定级指南3、信信息系统安安全等级保保护定级报报告4、信信息系统安安全等级保保护备案表表5、涉涉及国家秘秘密的信息息系统分级级保护备案案表二七年九月月六日附件11:信息安安全等级保保护管理办办法(公通通字20007443号)第一章章 总则第一条条 为规范范信息安全全等级保护护管理,提提高信息安安全保障能能力和水平平,维护国国家安全、社社会稳定
13、和和公共利益益,保障和和促进信息息化建设,根根据中华华人民共和和国计算机机信息系统统安全保护护条例等等有关法律律法规,制制定本办法法。第二条条 国家通通过制定统统一的信息息安全等级级保护管理理规范和技技术标准,组组织公民、法法人和其他他组织对信信息系统分分等级实行行安全保护护,对等级级保护工作作的实施进进行监督、管管理。第三条条 公安机机关负责信信息安全等等级保护工工作的监督督、检查、指指导。国家家保密工作作部门负责责等级保护护工作中有有关保密工工作的监督督、检查、指指导。国家家密码管理理部门负责责等级保护护工作中有有关密码码工作的监监督、检查查、指导。涉涉及其他职职能部门管管辖范围的的事项,
14、由由有关职能能部门依照照国家法律律法规的规规定进行管管理。国务务院信息化化工作办公公室及地方方信息化领领导小组办办事机构负负责等级保保护工作的的部门间协协调。第四条条 信息系系统主管部部门应当依依照本办法法及相关标标准规范,督督促、检查查、指导本本行业、本本部门或者者本地区信信息系统运运营、使用用单位的信信息安全等等级保护工工作。第五条条 信息系系统的运营营、使用单单位应当依依照本办法法及其相关关标准规范范,履行信信息安全等等级保护的的义务和责责任。第二章章 等级划划分与保护护第六条条 国家信信息安全等等级保护坚坚持自主定定级、自主主保护的原原则。信息息系统的安安全保护等等级应当根根据信息系系
15、统在国家家安全、经经济建设、社社会生活中中的重要程程度,信息息系统遭到到破坏后对对国家安全全、社会秩秩序、公共共利益以及及公民、法法人和其他他组织的合合法权益的的危害程度度等因素确确定。第七条条 信息系系统的安全全保护等级级分为以下下五级:第一级级,信息系系统受到破破坏后,会会对公民、法法人和其他他组织的合合法权益造造成损害,但但不损害国国家安全、社社会秩序和和公共利益益。第二级级,信息系系统受到破破坏后,会会对公民、法法人和其他他组织的合合法权益产产生严重损损害,或者者对社会秩秩序和公共共利益造成成损害,但但不损害国国家安全。第三级级,信息系系统受到破破坏后,会会对社会秩秩序和公共共利益造成
16、成严重损害害,或者对对国家安全全造成损害害。第四级级,信息系系统受到破破坏后,会会对社会秩秩序和公共共利益造成成特别严重重损害,或或者对国家家安全造成成严重损害害。第五级级,信息系系统受到破破坏后,会会对国家安安全造成特特别严重损损害。第八条条 信息系系统运营、使使用单位依依据本办法法和相关技技术标准对对信息系统统进行保护护,国家有有关信息安安全监管部部门对其信信息安全等等级保护工工作进行监监督管理。第一级级信息系统统运营、使使用单位应应当依据国国家有关管管理规范和和技术标准准进行保护护。第二级级信息系统统运营、使使用单位应应当依据国国家有关管管理规范和和技术标准准进行保护护。国家信信息安全监
17、监管部门对对该级信息息系统信息息安全等级级保护工作作进行指导导。第三级级信息系统统运营、使使用单位应应当依据国国家有关管管理规范和和技术标准准进行保护护。国家信信息安全监监管部门对对该级信息息系统信息息安全等级级保护工作作进行监督督、检查。第四级级信息系统统运营、使使用单位应应当依据国国家有关管管理规范、技技术标准和和业务专门门需求进行行保护。国国家信息安安全监管部部门对该级级信息系统统信息安全全等级保护护工作进行行强制监督督、检查。第五级级信息系统统运营、使使用单位应应当依据国国家管理规规范、技术术标准和业业务特殊安安全需求进进行保护。国国家指定专专门部门对对该级信息息系统信息息安全等级级保
18、护工作作进行专门门监督、检检查。第三章章 等级保保护的实施施与管理第九条条 信息系系统运营、使使用单位应应当按照信信息系统安安全等级保保护实施指指南具体体实施等级级保护工作作。第十条条 信息系系统运营、使使用单位应应当依据本本办法和信信息系统安安全等级保保护定级指指南确定定信息系统统的安全保保护等级。有有主管部门门的,应当当经主管部部门审核批批准。跨省或或者全国统统一联网运运行的信息息系统可以以由主管部部门统一确确定安全保保护等级。对拟确确定为第四四级以上信信息系统的的,运营、使使用单位或或者主管部部门应当请请国家信息息安全保护护等级专家家评审委员员会评审。第十一一条 信息息系统的安安全保护等
19、等级确定后后,运营、使使用单位应应当按照国国家信息安安全等级保保护管理规规范和技术术标准,使使用符合国国家有关规规定,满足足信息系统统安全保护护等级需求求的信息技技术产品,开开展信息系系统安全建建设或者改改建工作。第十二二条 在信信息系统建建设过程中中,运营、使使用单位应应当按照计计算机信息息系统安全全保护等级级划分准则则(GBB178559-19999)、信信息系统安安全等级保保护基本要要求等技技术标准,参参照信息息安全技术术 信息系系统通用安安全技术要要求(GGB/T2202711-20006)、信信息安全技技术 网络络基础安全全技术要求求(GBB/T200270-20066)、信信息安全
20、技技术 操作作系统安全全技术要求求(GBB/T200272-20066)、信信息安全技技术 数据据库管理系系统安全技技术要求(GB/TT202773-20006)、信信息安全技技术 服务务器技术要要求、信信息安全技技术 终端端计算机系系统安全等等级技术要要求(GGA/T6671 -20066)等技术术标准同步步建设符合合该等级要要求的信息息安全设施施。第十三三条 运营营、使用单单位应当参参照信息息安全技术术 信息系系统安全管管理要求(GB/TT202669-20006)、信信息安全技技术 信息息系统安全全工程管理理要求(GB/TT202882-20006)、信信息系统安安全等级保保护基本要要求
21、等管管理规范,制制定并落实实符合本系系统安全保保护等级要要求的安全全管理制度度。第十四四条 信息息系统建设设完成后,运运营、使用用单位或者者其主管部部门应当选选择符合本本办法规定定条件的测测评机构,依依据信息息系统安全全等级保护护测评要求求等技术术标准,定定期对信息息系统安全全等级状况况开展等级级测评。第第三级信息息系统应当当每年至少少进行一次次等级测评评,第四级级信息系统统应当每半半年至少进进行一次等等级测评,第第五级信息息系统应当当依据特殊殊安全需求求进行等级级测评。信息系系统运营、使使用单位及及其主管部部门应当定定期对信息息系统安全全状况、安安全保护制制度及措施施的落实情情况进行自自查。
22、第三三级信息系系统应当每每年至少进进行一次自自查,第四四级信息系系统应当每每半年至少少进行一次次自查,第第五级信息息系统应当当依据特殊殊安全需求求进行自查查。经测评评或者自查查,信息系系统安全状状况未达到到安全保护护等级要求求的,运营营、使用单单位应当制制定方案进进行整改。第十五五条 已运运营(运行行)的第二二级以上信信息系统,应应当在安全全保护等级级确定后330日内,由由其运营、使使用单位到到所在地设设区的市级级以上公安安机关办理理备案手续续。新建第第二级以上上信息系统统,应当在在投入运行行后30日日内,由其其运营、使使用单位到到所在地设设区的市级级以上公安安机关办理理备案手续续。隶属于于中
23、央的在在京单位,其其跨省或者者全国统一一联网运行行并由主管管部门统一一定级的信信息系统,由由主管部门门向公安部部办理备案案手续。跨跨省或者全全国统一联联网运行的的信息系统统在各地运运行、应用用的分支系系统,应当当向当地设设区的市级级以上公安安机关备案案。第十六六条 办理理信息系统统安全保护护等级备案案手续时,应应当填写信信息系统安安全等级保保护备案表表,第三三级以上信信息系统应应当同时提提供以下材材料:(一)系统拓扑扑结构及说说明;(二)系统安全全组织机构构和管理制制度;(三)系统安全全保护设施施设计实施施方案或者者改建实施施方案;(四)系统使用用的信息安安全产品清清单及其认认证、销售售许可证
24、明明;(五)测评后符符合系统安安全保护等等级的技术术检测评估估报告;(六)信息系统统安全保护护等级专家家评审意见见;(七)主管部门门审核批准准信息系统统安全保护护等级的意意见。第十七七条 信息息系统备案案后,公安安机关应当当对信息系系统的备案案情况进行行审核,对对符合等级级保护要求求的,应当当在收到备备案材料之之日起的110个工作作日内颁发发信息系统统安全等级级保护备案案证明;发发现不符合合本办法及有关关标准的,应应当在收到到备案材料料之日起的的10个工工作日内通通知备案单单位予以纠纠正;发现现定级不准准的,应当当在收到备备案材料之之日起的110个工作作日内通知知备案单位位重新审核核确定。运营
25、、使使用单位或或者主管部部门重新确确定信息系系统等级后后,应当按按照本办法法向公安机机关重新备备案。第十八八条 受理理备案的公公安机关应应当对第三三级、第四四级信息系系统的运营营、使用单单位的信息息安全等级级保护工作作情况进行行检查。对对第三级信信息系统每每年至少检检查一次,对对第四级信信息系统每每半年至少少检查一次次。对跨省省或者全国国统一联网网运行的信信息系统的的检查,应应当会同其其主管部门门进行。对第五五级信息系系统,应当当由国家指指定的专门门部门进行行检查。公安机机关、国家家指定的专专门部门应应当对下列列事项进行行检查:(一)信息系统统安全需求求是否发生生变化,原原定保护等等级是否准准
26、确;(二)运营、使使用单位安安全管理制制度、措施施的落实情情况;(三)运营、使使用单位及及其主管部部门对信息息系统安全全状况的检检查情况;(四)系统安全全等级测评评是否符合合要求;(五)信息安全全产品使用用是否符合合要求;(六)信息系统统安全整改改情况;(七)备案材料料与运营、使使用单位、信信息系统的的符合情况况;(八)其他应当当进行监督督检查的事事项。第十九九条 信息息系统运营营、使用单单位应当接接受公安机机关、国家家指定的专专门部门的的安全监督督、检查、指指导,如实实向公安机机关、国家家指定的专专门部门提提供下列有有关信息安安全保护的的信息资料料及数据文文件:(一)信息系统统备案事项项变更
27、情况况;(二)安全组织织、人员的的变动情况况;(三)信息安全全管理制度度、措施变变更情况;(四)信息系统统运行状况况记录;(五)运营、使使用单位及及主管部门门定期对信信息系统安安全状况的的检查记录录;(六)对信息系系统开展等等级测评的的技术测评评报告;(七)信息安全全产品使用用的变更情情况;(八)信息安全全事件应急急预案,信信息安全事事件应急处处置结果报报告;(九)信息系统统安全建设设、整改结结果报告。第二十十条 公安安机关检查查发现信息息系统安全全保护状况况不符合信信息安全等等级保护有有关管理规规范和技术术标准的,应应当向运营营、使用单单位发出整整改通知。运运营、使用用单位应当当根据整改改通
28、知要求求,按照管管理规范和和技术标准准进行整改改。整改完完成后,应应当将整改改报告向公公安机关备备案。必要要时,公安安机关可以以对整改情情况组织检检查。第二十十一条 第第三级以上上信息系统统应当选择择使用符合合以下条件件的信息安安全产品:(一)产品研制制、生产单单位是由中中国公民、法法人投资或或者国家投投资或者控控股的,在在中华人民民共和国境境内具有独独立的法人人资格;(二)产品的核核心技术、关关键部件具具有我国自自主知识产产权;(三)产品研制制、生产单单位及其主主要业务、技技术人员无无犯罪记录录;(四)产品研制制、生产单单位声明没没有故意留留有或者设设置漏洞、后后门、木马马等程序和和功能;(
29、五)对国家安安全、社会会秩序、公公共利益不不构成危害害;(六)对已列入入信息安全全产品认证证目录的,应应当取得国国家信息安安全产品认认证机构颁颁发的认证证证书。第二十十二条 第第三级以上上信息系统统应当选择择符合下列列条件的等等级保护测测评机构进进行测评:(一)在中华人人民共和国国境内注册册成立(港港澳台地区区除外);(二)由中国公公民投资、中中国法人投投资或者国国家投资的的企事业单单位(港澳澳台地区除除外);(三)从事相关关检测评估估工作两年年以上,无无违法记录录;(四)工作人员员仅限于中中国公民;(五)法人及主主要业务、技技术人员无无犯罪记录录;(六)使用的技技术装备、设设施应当符符合本办
30、法法对信息安安全产品的的要求;(七)具有完备备的保密管管理、项目目管理、质质量管理、人人员管理和和培训教育育等安全管管理制度;(八)对国家安安全、社会会秩序、公公共利益不不构成威胁胁。第二十十三条 从从事信息系系统安全等等级测评的的机构,应应当履行下下列义务:(一)遵守国家家有关法律律法规和技技术标准,提提供安全、客客观、公正正的检测评评估服务,保保证测评的的质量和效效果;(二)保守在测测评活动中中知悉的国国家秘密、商商业秘密和和个人隐私私,防范测测评风险;(三)对测评人人员进行安安全保密教教育,与其其签订安全全保密责任任书,规定定应当履行行的安全保保密义务和和承担的法法律责任,并并负责检查查
31、落实。第四章章 涉及国国家秘密信信息系统的的分级保护护管理第二十十四条 涉涉密信息系系统应当依依据国家信信息安全等等级保护的的基本要求求,按照国国家保密工工作部门有有关涉密信信息系统分分级保护的的管理规定定和技术标标准,结合合系统实际际情况进行行保护。非涉密密信息系统统不得处理理国家秘密密信息。第二十十五条 涉涉密信息系系统按照所所处理信息息的最高密密级,由低低到高分为为秘密、机机密、绝密密三个等级级。涉密信信息系统建建设使用单单位应当在在信息规范范定密的基基础上,依依据涉密信信息系统分分级保护管管理办法和和国家保密密标准BMMB17-20066涉及国国家秘密的的计算机信信息系统分分级保护技技
32、术要求确确定系统等等级。对于于包含多个个安全域的的涉密信息息系统,各各安全域可可以分别确确定保护等等级。保密工工作部门和和机构应当当监督指导导涉密信息息系统建设设使用单位位准确、合合理地进行行系统定级级。第二十十六条 涉涉密信息系系统建设使使用单位应应当将涉密密信息系统统定级和建建设使用情情况,及时时上报业务务主管部门门的保密工工作机构和和负责系统统审批的保保密工作部部门备案,并并接受保密密部门的监监督、检查查、指导。第二十十七条 涉涉密信息系系统建设使使用单位应应当选择具具有涉密集集成资质的的单位承担担或者参与与涉密信息息系统的设设计与实施施。涉密信信息系统建建设使用单单位应当依依据涉密信信
33、息系统分分级保护管管理规范和和技术标准准,按照秘秘密、机密密、绝密三三级的不同同要求,结结合系统实实际进行方方案设计,实实施分级保保护,其保保护水平总总体上不低低于国家信信息安全等等级保护第第三级、第第四级、第第五级的水水平。第二十十八条 涉涉密信息系系统使用的的信息安全全保密产品品原则上应应当选用国国产品,并并应当通过过国家保密密局授权的的检测机构构依据有关关国家保密密标准进行行的检测,通通过检测的的产品由国国家保密局局审核发布布目录。第二十十九条 涉涉密信息系系统建设使使用单位在在系统工程程实施结束束后,应当当向保密工工作部门提提出申请,由由国家保密密局授权的的系统测评评机构依据据国家保密
34、密标准BMMB22-20077涉及国国家秘密的的计算机信信息系统分分级保护测测评指南,对对涉密信息息系统进行行安全保密密测评。涉密信信息系统建建设使用单单位在系统统投入使用用前,应当当按照涉涉及国家秘秘密的信息息系统审批批管理规定定,向设设区的市级级以上保密密工作部门门申请进行行系统审批批,涉密信信息系统通通过审批后后方可投入入使用。已已投入使用用的涉密信信息系统,其其建设使用用单位在按按照分级保保护要求完完成系统整整改后,应应当向保密密工作部门门备案。第三十十条 涉密密信息系统统建设使用用单位在申申请系统审审批或者备备案时,应应当提交以以下材料:(一)系统设计计、实施方方案及审查查论证意见见
35、;(二)系统承建建单位资质质证明材料料;(三)系统建设和工工程监理情情况报告;(四)系统安全全保密检测测评估报告告;(五)系统安全全保密组织织机构和管管理制度情情况;(六)其他有关关材料。第三十十一条 涉涉密信息系系统发生涉涉密等级、连连接范围、环环境设施、主主要应用、安安全保密管管理责任单单位变更时时,其建设设使用单位位应当及时时向负责审审批的保密密工作部门门报告。保保密工作部部门应当根根据实际情情况,决定定是否对其其重新进行行测评和审审批。第三十十二条 涉涉密信息系系统建设使使用单位应应当依据国国家保密标标准BMBB20-22007涉涉及国家秘秘密的信息息系统分级级保护管理理规范,加加强涉
36、密信信息系统运运行中的保保密管理,定定期进行风风险评估,消消除泄密隐隐患和漏洞洞。第三十十三条 国国家和地方方各级保密密工作部门门依法对各各地区、各各部门涉密密信息系统统分级保护护工作实施施监督管理理,并做好好以下工作作:(一)指导、监监督和检查查分级保护护工作的开开展;(二)指导涉密密信息系统统建设使用用单位规范范信息定密密,合理确确定系统保保护等级;(三)参与涉密密信息系统统分级保护护方案论证证,指导建建设使用单单位做好保保密设施的的同步规划划设计;(四)依法对涉涉密信息系系统集成资资质单位进进行监督管管理;(五)严格进行行系统测评评和审批工工作,监督督检查涉密密信息系统统建设使用用单位分级级保护管理理制度和技技术措施的的落实情况况;(六)加强涉密密信息系统统运行中的的保密监督督检查。对对秘密级、机机密级信息息系统每两两年至少进进行一次保保密检查或或者系统测测评,对绝绝密级信息息系统每年年至少进行行一次保密密检查或者者系统测评评;(七)了解掌握握各级各类类涉密信息息系统的管管理使用情情况,及时时发现和查查处各种违违规违法行行为和泄密密事件。