第壹條為了規範信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規,制定本辦法。
第二條國家通過制定統壹的信息安全等級保護管理規範和技術標準,組織公民、法人和其他組織實施信息系統等級安全保護,並對等級保護的實施進行監督管理。
第三條公安機關負責信息安全等級保護的監督、檢查和指導。國家保密部門負責對等級保護工作中的保密工作進行監督、檢查和指導。國家密碼管理部門負責對等級保護工作中的密碼工作進行監督、檢查和指導。涉及其他職能部門管轄的事項,由相關職能部門按照國家法律法規的規定進行管理。國務院信息化工作辦公室和地方信息化領導小組辦公室負責等級保護的跨部門協調工作。
第四條信息系統主管部門應當依據本辦法和相關標準規範,對本行業、本部門、本地區信息系統運營者和使用者的信息安全等級保護工作進行監督、檢查和指導。
第五條信息系統運營使用單位應當按照本辦法和相關標準規範履行信息安全等級保護的義務和責任。
第二章分級保護
第六條國家信息安全等級保護堅持獨立分級和獨立保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設和社會生活中的重要程度,以及信息系統被破壞後對國家安全、社會秩序、公共利益和公民、法人及其他組織合法權益的危害程度確定。
第七條信息系統安全保護等級分為以下五個等級:第壹級,信息系統遭受破壞,將損害公民、法人和其他組織的合法權益,但不損害國家安全、社會秩序和公共利益。第二個層面,信息系統被破壞後,會嚴重損害公民、法人和其他組織的合法權益,或者損害社會秩序和公共利益,但不會危害國家安全。第三層次,信息系統被破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。第四級,信息系統被破壞後,會對社會秩序和公共利益,或者對國家安全造成特別嚴重的損害。第五個層次,信息系統被破壞後,會對國家安全造成特別嚴重的損害。
第八條信息系統運營者和使用者應當依照本辦法和相關技術標準保護信息系統,國家有關信息安全監管部門對其信息安全等級保護實施監督管理。壹級信息系統的運營和使用單位應當按照國家相關管理規範和技術標準對其進行保護。二級信息系統的運營和使用單位應當按照國家相關管理規範和技術標準進行保護。國家信息安全監管部門對本級信息系統的信息安全等級保護進行指導。運營和使用三級信息系統的單位應當按照國家相關管理規範和技術標準進行保護。國家信息安全監管部門應當對本級信息系統的信息安全等級保護進行監督檢查。運營使用四級信息系統的單位應當按照國家相關管理規範、技術標準和特殊業務要求進行保護。國家信息安全監管部門應當對本級信息系統的信息安全等級保護進行強制監督檢查。運營和使用第五級信息系統的單位應當按照國家管理規範、技術標準和特殊業務安全要求對其進行保護。國家指定專門部門對本級信息系統的信息安全等級保護進行監督檢查。
第三章等級保護的實施和管理
第九條信息系統運營使用單位應當按照《信息系統等級保護實施指南》實施等級保護。
第十條信息系統運營者和使用者應當按照本辦法和《信息系統安全等級保護分類指南》確定信息系統的安全保護等級。有主管部門的,由主管部門審批,跨省或全國統壹組網運行的信息系統可由主管部門統壹確定。對於確定為四級以上的信息系統,運營使用單位或者主管部門應當提請國家信息安全保護等級專家評審委員會進行評審。
第十壹條信息系統安全保護等級確定後,運營使用單位應當按照國家信息安全等級保護管理規範和技術標準,使用符合國家有關規定、符合信息系統安全保護等級要求的信息技術產品,進行信息系統安全建設或者改造。
第十二條在信息系統建設過程中,運營使用單位應當按照《計算機信息系統安全保護等級劃分標準》(GB17859-1999)、《信息系統安全等級保護基本要求》等技術標準,參照《信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術網絡基本安全技術要求》(GB/T20270-2006)、《操作系統安全技術 《信息安全技術服務器技術要求》、《信息安全技術終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標準,同步建設符合該等級要求的信息安全設施。
第十三條運營使用單位應當參照《信息安全技術信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理規範,制定並實施符合本系統安全保護等級要求的安全管理制度。
第十四條信息系統建設完成後,運營使用單位或者其主管部門應當選擇符合本辦法規定條件的評估機構,按照信息系統安全等級保護評估要求等技術標準,定期對信息系統安全等級進行等級評估。三級信息系統至少每年分級壹次,四級信息系統至少每半年分級壹次,五級信息系統根據特殊安全要求分級。信息系統運營使用單位及其主管部門應當定期對信息系統的安全狀況、安全保護制度和措施的落實情況進行自查。三級信息系統每年至少進行壹次自檢,四級信息系統每半年至少進行壹次自檢,五級信息系統根據特殊安全要求進行自檢。經評估或者自查,信息系統安全狀況不符合安全保護等級要求的,運營使用單位應當制定整改方案。
第十五條已經運營(運行)二級以上的信息系統,應當在安全保護等級確定後30日內,由運營和使用單位向所在地市級以上公安機關辦理備案手續。新建的二級以上信息系統應當在投入運行後30日內,向所在地的市級以上公安機關辦理備案手續。跨省或全國聯網運行、由主管部門統壹分級的中央所屬在京單位信息系統,由主管部門向公安部備案。在統壹網絡中跨省或者全國範圍內運行應用信息系統的子系統,應當向所在地市級以上公安機關備案。
第十六條辦理信息系統安全保護等級備案手續時,應當填寫《信息系統安全等級保護備案表》,三級以上信息系統應當同時提供以下材料:
(a)系統拓撲和說明;
(二)系統安全組織管理制度;
(3)系統安全防護設施設計實施方案或改造實施方案;
(四)系統使用的信息安全產品清單及其認證和銷售許可證書;
(五)經評估符合系統安全防護等級的技術檢測評估報告;
(六)信息系統安全保護等級的專家評估意見;
(七)主管部門對信息系統安全保護等級的審批意見。