《《信息安全等级保护管理办法》(公通字[2023年]43号文件).docx》由会员分享,可在线阅读,更多相关《《信息安全等级保护管理办法》(公通字[2023年]43号文件).docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全等级保护治理方法公通字202343号作者 : 来源 : 公安部、国家、国家密码治理局、国务院信息工作办公室 时间:2023-06-22字体:大 中小第一章 总则第一条 为标准信息安全等级保护治理,提高信息安全保障力量和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,依据中华人民共和国计算机信息系统安全保护条例等有关法律法规,制定本方法。其次条 国家通过制定统一的信息安全等级保护治理标准和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进展监视、治理。第三条 公安机关负责信息安全等级保护工作的监视、检查、指导。国家保密工作部门负责等级保护
2、工作中有关保密工作的监视、检查、指导。国家密码治理部门负责等级保护工作中有关密码工作的监视、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进展治理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条 信息系统主管部门应当依照本方法及相关标准标准,催促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条 信息系统的运营、使用单位应当依照本方法及其相关标准标准,履行信息安全等级保护的义务和责任。其次章 等级划分与保护第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等
3、级应当依据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条 信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。其次级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严峻损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严峻损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严峻损
4、害,或者对国家安全造成严峻损害。第五级,信息系统受到破坏后,会对国家安全造成特别严峻损害。第八条 信息系统运营、使用单位依据本方法和相关技术标准对信息系统进展保护,国家有关信息安全监管部门对其信息安全等级保护工作进展监视治理。第一级信息系统运营、使用单位应当依据国家有关治理标准和技术标准进展保护。其次级信息系统运营、使用单位应当依据国家有关治理标准和技术标准进展保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进展指导。第三级信息系统运营、使用单位应当依据国家有关治理标准和技术标准进展保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进展监视、检查。第四级信息系统运营、使用
5、单位应当依据国家有关治理标准、技术标准和业务特地需求进展保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进展强制监视、检查。第五级信息系统运营、使用单位应当依据国家治理标准、技术标准和业务特别安全需求进展保护。国家指定特地部门对该级信息系统信息安全等级保护工作进展特地监视、检查。第三章 等级保护的实施与治理第九条 信息系统运营、使用单位应当依据信息系统安全等级保护实施指南具体实施等级保护工作。第十条 信息系统运营、使用单位应当依据本方法和信息系统安全等级保护定级指南确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一
6、确定安全保护等级。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。第十一条 信息系统的安全保护等级确定后,运营、使用单位应当依据国家信息安全等级保护治理标准和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。第十二条 在信息系统建设过程中,运营、使用单位应当依据计算机信息系统安全保护等级划分准则GB17859-1999、信息系统安全等级保护根本要求等技术标准,参照信息安全技术 信息系统通用安全技术要求 GB/T20271-2023 、信息安 全技术 网络根底安全技术要求GB/T2
7、0270-2023、信息安全技术 操作系统安全技术要求GB/T20272-2023、信息安全技术 数据库治理系统安全技术要求GB/T20273-2023、信息安全技术 效劳器技术要求、信息安全技术 终端计算机系统安全等级技术要求GA/T671-2023等技术标准同步建设符合该等级要求的信息安全设施。第十三条 运营、使用单位应当参照信息安全技术信息系统安全治理要求GB/T20269-2023、信息安全技术 信息系统安全工程治理要求GB/T20282-2023、信息系统安全等级保护根本要求等治理标准,制定并落实符合本系统安全保护等级要求的安全治理制度。第十四条 信息系统建设完成后,运营、使用单位或
8、者其主管部门应中选择符合本方法规定条件的测评机构,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进展一次等级测评,第四级信息系统应当每半年至少进展一次等级测评,第五级信息系统应当依据特别安全需求进展等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实状况进展自查。第三级信息系统应当每年至少进展一次自查,第四级信息系统应当每半年至少进展一次自查,第五级信息系统应当依据特别安全需求进展自查。经测评或者自查,信息系统安全状况未到达安全保护等级要求的,运营、使用单位应当制定方案进展整改。第十五条
9、 已运营运行的其次级以上信息系统,应当在安全保护等级确定后 30 日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。建其次级以上信息系统,应当在投入运行后 30 日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中心的在京单位,其跨省或者全国统一联网运行并由主管部门统肯定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。第十六条 办理信息系统安全保护等级备案手续时,应当填写信息系统安全等级保护备案表, 第三级以上信息系统应当同时供给以下材料:一系统拓扑构造及
10、说明;二系统安全组织机构和治理制度;三系统安全保护设施设计实施方案或者改建实施方案;四系统使用的信息安全产品清单及其认证、销售许可证明;五测评后符合系统安全保护等级的技术检测评估报告;六信息系统安全保护等级专家评审意见;七主管部门审核批准信息系统安全保护等级的意见。第十七条 信息系统备案后,公安机关应当对信息系统的备案状况进展审核,对符合等级保护要求的,应当在收到备案材料之日起的 10 个工作日内颁发信息系统安全等级保护备案证明;觉察不符合本方法及有关标准的,应当在收到备案材料之日起的 10 个工作日内通知备案单位予以订正;发现定级不准的,应当在收到备案材料之日起的 10 个工作日内通知备案单
11、位重审核确定。运营、使用单位或者主管部门重确定信息系统等级后,应当依据本方法向公安机关重备案。第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作状况进展检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进展。对第五级信息系统,应当由国家指定的特地部门进展检查。公安机关、国家指定的特地部门应当对以下事项进展检查:一 信息系统安全需求是否发生变化,原定保护等级是否准确;二 运营、使用单位安全治理制度、措施的落实状况;三 运营、使用单位及其主管部门对信息系统安全状况的检
12、查状况;四 系统安全等级测评是否符合要求;五 信息安全产品使用是否符合要求;六 信息系统安全整改状况;七 备案材料与运营、使用单位、信息系统的符合状况;八 其他应当进展监视检查的事项。第十九条 信息系统运营、使用单位应当承受公安机关、国家指定的特地部门的安全监视、检查、指导,照实向公安机关、国家指定的特地部门供给以下有关信息安全保护的信息资料及数据文件:一 信息系统备案事项变更状况;二 安全组织、人员的变动状况;三 信息安全治理制度、措施变更状况;四 信息系统运行状况记录;五 运营、使用单位及主管部门定期对信息系统安全状况的检查记录;六 对信息系统开展等级测评的技术测评报告;七 信息安全产品使
13、用的变更状况;八 信息安全大事应急预案,信息安全大事应急处置结果报告;九 信息系统安全建设、整改结果报告。其次十条 公安机关检查觉察信息系统安全保护状况不符合信息安全等级保护有关治理标准和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当依据整改通知要求,依据治理标准和技术标准进展整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改状况组织检查。其次十一条 第三级以上信息系统应中选择使用符合以下条件的信息安全产品:一产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;二产品的核心技术、关键部件具有我国自主学
14、问产权;三产品研制、生产单位及其主要业务、技术人员无犯罪记录;四产品研制、生产单位声明没有有意留有或者设置漏洞、后门、木马等程序和功能;五对国家安全、社会秩序、公共利益不构成危害;六对已列入信息安全产品认证名目的,应当取得国家信息安全产品认证机构颁发的认证证书。其次十二条 第三级以上信息系统应中选择符合以下条件的等级保护测评机构进展测评:一 在中华人民共和国境内注册成立港澳台地区除外;二 由中国公民投资、中国法人投资或者国家投资的企事业单位港澳台地区除外;三 从事相关检测评估工作两年以上,无违法记录;四 工作人员仅限于中国公民;五 法人及主要业务、技术人员无犯罪记录;六 使用的技术装备、设施应
15、当符合本方法对信息安全产品的要求;七 具有完备的保密治理、工程治理、质量治理、人员治理和培训教育等安全治理制度;八 对国家安全、社会秩序、公共利益不构成威逼。其次十三条 从事信息系统安全等级测评的机构,应当履行以下义务:一遵守国家有关法律法规和技术标准,供给安全、客观、公正的检测评估效劳,保证测评的质量和效果;二保守在测评活动中知悉的国家隐秘、商业隐秘和个人隐私,防范测评风险;三对测评人员进展安全,与其签订安全保密责任书,规定应当履行的安全保密义务和担当的法律责任,并负责检查落实。第四章 涉及国家隐秘信息系统的分级保护治理其次十四条 涉密信息系统应当依据国家信息安全等级保护的根本要求,依据国家
16、保密工作部门有关涉密信息系统分级保护的治理规定和技术标准,结合系统实际状况进展保护。非涉密信息系统不得处理国家隐秘信息。其次十五条 涉密信息系统依据所处理信息的最高密级,由低到高分为隐秘、机密、绝密三个等级。涉密信息系统建设使用单位应当在信息标准定密的根底上,依据涉密信息系统分级保护治理方法和国家保密标准 BMB17-2023涉及国家隐秘的计算机信息系统分级保护技术要求确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。保密工作部门和机构应当监视指导涉密信息系统建设使用单位准确、合理地进展系统定级。其次十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用状
17、况,准时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并承受保密部门的监视、检查、指导。其次十七条 涉密信息系统建设使用单位应中选择具有涉密集成资质的单位担当或者参与涉密信息系统的设计与实施。涉密信息系统建设使用单位应当依据涉密信息系统分级保护治理标准和技术标准,依据隐秘、机密、绝密三级的不同要求,结合系统实际进展方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。其次十八条 涉密信息系统使用的信息安全保密产品原则上应中选用国产品,并应当通过国家授权的检测机构依据有关国家保密标准进展的检测,通过检测的产品由国家审核公布名目。其次十九
18、条 涉密信息系统建设使用单位在系统工程实施完毕后,应当向保密工作部门提出申请, 由国家授权的系统测评机构依据国家保密标准 BMB22-2023涉及国家隐秘的计算机信息系统分级保护测评指南,对涉密信息系统进展安全保密测评。涉密信息系统建设使用单位在系统投入使用前,应当依据涉及国家隐秘的信息系统审批治理规定,向设区的市级以上保密工作部门申请进展系统审批,涉密信息系统通过审批前方可投入使用。已投入使用的涉密信息系统,其建设使用单位在依据分级保护要求完成系统整改后,应当向保密工作部门备案。第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:一系统设计、实施方案及审查论证意见;
19、二系统承建单位资质证明材料;三系统建设和工程监理状况报告;四系统安全保密检测评估报告;五系统安全保密组织机构和治理制度状况;六其他有关材料。第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密治理责任单位变更时,其建设使用单位应当准时向负责审批的保密工作部门报告。保密工作部门应当依据实际状况,打算是否对其重进展测评和审批。第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2023涉及国家隐秘的信息系统分级保护治理标准,加强涉密信息系统运行中的保密治理,定期进展风险评估,消退泄密隐患和漏洞。第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信
20、息系统分级保护工作实施监视治理,并做好以下工作:一指导、监视和检查分级保护工作的开展;二指导涉密信息系统建设使用单位标准信息定密,合理确定系统保护等级;三参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;四依法对涉密信息系统集成资质单位进展监视治理;五严格进展系统测评和审批工作,监视检查涉密信息系统建设使用单位分级保护治理制度和技术措施的落实状况;六加强涉密信息系统运行中的保密监视检查。对隐秘级、机密级信息系统每两年至少进展一次保密检查或者系统测评,对绝密级信息系统每年至少进展一次保密检查或者系统测评;七了解把握各级各类涉密信息系统的治理使用状况,准时觉察和查处各种
21、违规违法行为和泄密大事。第五章 信息安全等级保护的密码治理第三十四条 国家密码治理部门对信息安全等级保护的密码实行分类分级治理。依据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。信息系统运营、使用单位承受密码进展等级保护的,应当遵照信息安全等级保护密码治理方法、信息安全等级保护商用密码技术要求等密码治理规定和相关标准。第三十五条 信息系统安全等级保护中密码的配备、使用和治理等,应当严格执行国家密码治理的有关规定。第三十六条 信息系统运营、使用单位应当充分运用密码技术对
22、信息系统进展保护。承受密码对涉及国家隐秘的信息和信息系统进展保护的,应报经国家密码治理局审批,密码的设计、实施、使用、运行维护和日常治理等,应当依据国家密码治理有关规定和相关标准执行;承受密码对不涉及国家隐秘的信息和信息系统进展保护的,须遵守商用密码治理条例和密码分类分级保护有关规定与相关标准,其密码的配备使用状况应当向国家密码治理机构备案。第三十七条 运用密码技术对信息系统进展系统等级保护建设和整改的,必需承受经国家密码治理部门批准使用或者准于销售的密码产品进展安全保护,不得承受国外引进或者擅自研制的密码产品;未经批准不得承受含有加密功能的进口信息技术产品。第三十八条 信息系统中的密码及密码
23、设备的测评工作由国家密码治理局认可的测评机构担当, 其他任何部门、单位和个人不得对密码进展评测和监控。第三十九条 各级密码治理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和治理的状况进展检查和测评,对重要涉密信息系统的密码配备、使用和治理状况每两年至少进展一次检查和测评。在监视检查过程中,觉察存在安全隐患或者违反密码治理相关规定或者未到达密码相关标准要求的,应当依据国家密码治理的相关规定进展处置。第六章 法律责任第四十条 第三级以上信息系统运营、使用单位违反本方法规定,有以下行为之一的,由公安机关、国家保密工作部门和国家密码工作治理部门依据职责分工责令其限期改正;逾期不改正的,
24、赐予警告,并向其上级主管部门通报状况,建议对其直接负责的主管人员和其他直接责任人员予以处理, 并准时反响处理结果:一 未按本方法规定备案、审批的;二 未按本方法规定落实安全治理制度、措施的;三 未按本方法规定开展系统安全状况检查的;四 未按本方法规定开展系统安全技术测评的;五 接到整改通知后,拒不整改的;六 未按本方法规定选择使用信息安全产品和测评机构的;七 未按本方法规定照实供给有关文件和证明材料的;八 违反保密治理规定的;九 违反密码治理规定的;十 违反本方法其他规定的。违反前款规定,造成严峻损害的,由相关部门依照有关法律、法规予以处理。第四十一条 信息安全监管部门及其工作人员在履行监视治理职责中,玩忽职守、滥用职权、徇私舞弊的,依法赐予行政处分;构成犯罪的,依法追究刑事责任。第七章 附则第四十二条 已运行信息系统的运营、使用单位自本方法施行之日起 180 日内确定信息系统的安全保护等级;建信息系统在设计、规划阶段确定安全保护等级。第四十三条 本方法所称“以上”包含本数级。第四十四条 本方法自公布之日起施行,信息安全等级保护治理方法试行公通字20237 号 同时废止。