信息安全等級保護的標準是什麽？妳知道有什麽童鞋嗎？

如果妳看看下面的文檔，可能對妳理解哪些標準更有幫助。

關於印發《信息安全等級保護管理辦法》的通知

工統字[2007]43號

各省、自治區、直轄市公安廳(局)、保密局、國家密碼管理局(國家密碼管理局委員會辦公室)、信息化領導小組辦公室、新疆生產建設兵團公安局、保密局、國家密碼管理局、信息化領導小組辦公室、中央和國家機關部委保密委員會辦公室、密碼領導小組辦公室、信息化領導小組辦公室、人民團體辦公室:

為加快信息安全等級保護，規範信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，公安部、國家保密局、國家密碼管理局、國務院新聞辦公室制定了《信息安全等級保護管理辦法》。現印發給妳們，請認真貫徹執行。

2007年6月22日

信息安全等級保護管理辦法

第壹章總則

第壹條為了規範信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規，制定本辦法。

第二條國家通過制定統壹的信息安全等級保護管理規範和技術標準，組織公民、法人和其他組織實施信息系統等級安全保護，並對等級保護的實施進行監督管理。

第三條公安機關負責信息安全等級保護的監督、檢查和指導。國家保密部門負責對等級保護工作中的保密工作進行監督、檢查和指導。國家密碼管理部門負責對等級保護工作中的密碼工作進行監督、檢查和指導。涉及其他職能部門管轄的事項，由相關職能部門按照國家法律法規的規定進行管理。國務院信息化工作辦公室和地方信息化領導小組辦公室負責等級保護的跨部門協調工作。

第四條信息系統主管部門應當依據本辦法和相關標準規範，對本行業、本部門、本地區信息系統運營者和使用者的信息安全等級保護工作進行監督、檢查和指導。

第五條信息系統運營使用單位應當按照本辦法和相關標準規範履行信息安全等級保護的義務和責任。

第二章分級保護

第六條國家信息安全等級保護堅持獨立分級和獨立保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設和社會生活中的重要程度，以及信息系統被破壞後對國家安全、社會秩序、公共利益和公民、法人及其他組織合法權益的危害程度確定。

第七條信息系統的安全保護等級分為以下五個等級:

第壹個層面，信息系統被破壞後，會損害公民、法人和其他組織的合法權益，但不會損害國家安全、社會秩序和公共利益。

第二個層面，信息系統被破壞後，會嚴重損害公民、法人和其他組織的合法權益，或者損害社會秩序和公共利益，但不會危害國家安全。

第三層次，信息系統被破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統被破壞後，會對社會秩序和公共利益，或者對國家安全造成特別嚴重的損害。

第五個層次，信息系統被破壞後，會對國家安全造成特別嚴重的損害。

第八條信息系統運營者和使用者應當依照本辦法和相關技術標準保護信息系統，國家有關信息安全監管部門對其信息安全等級保護實施監督管理。

壹級信息系統的運營和使用單位應當按照國家相關管理規範和技術標準對其進行保護。

二級信息系統的運營和使用單位應當按照國家相關管理規範和技術標準進行保護。國家信息安全監管部門對本級信息系統的信息安全等級保護進行指導。

運營和使用三級信息系統的單位應當按照國家相關管理規範和技術標準進行保護。國家信息安全監管部門應當對本級信息系統的信息安全等級保護進行監督檢查。

運營使用四級信息系統的單位應當按照國家相關管理規範、技術標準和特殊業務要求進行保護。國家信息安全監管部門應當對本級信息系統的信息安全等級保護進行強制監督檢查。

運營和使用第五級信息系統的單位應當按照國家管理規範、技術標準和特殊業務安全要求對其進行保護。國家指定專門部門對本級信息系統的信息安全等級保護進行監督檢查。

第三章等級保護的實施和管理

第九條信息系統運營使用單位應當按照《信息系統等級保護實施指南》實施等級保護。

第十條信息系統運營者和使用者應當按照本辦法和《信息系統安全等級保護分類指南》確定信息系統的安全保護等級。有主管部門的，由主管部門審批。

跨省或全國統壹網絡運行的信息系統，可由主管部門統壹確定。

對於確定為四級以上的信息系統，運營使用單位或者主管部門應當提請國家信息安全保護等級專家評審委員會進行評審。

第十壹條信息系統安全保護等級確定後，運營使用單位應當按照國家信息安全等級保護管理規範和技術標準，使用符合國家有關規定、符合信息系統安全保護等級要求的信息技術產品，進行信息系統安全建設或者改造。

第十二條在信息系統建設過程中，運營使用單位應當按照《計算機信息系統安全保護等級劃分標準》(GB17859-1999)、《信息系統安全等級保護基本要求》等技術標準，參照《信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術網絡基本安全技術要求》(GB/T20270-2006)、《操作系統安全技術《信息安全技術服務器技術要求》、《信息安全技術終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標準，同步建設符合該等級要求的信息安全設施。

第十三條運營使用單位應當參照《信息安全技術信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理規範，制定並實施符合本系統安全保護等級要求的安全管理制度。

第十四條信息系統建設完成後，運營使用單位或者其主管部門應當選擇符合本辦法規定條件的評估機構，按照信息系統安全等級保護評估要求等技術標準，定期對信息系統安全等級進行等級評估。三級信息系統至少每年分級壹次，四級信息系統至少每半年分級壹次，五級信息系統根據特殊安全要求分級。

信息系統運營使用單位及其主管部門應當定期對信息系統的安全狀況、安全保護制度和措施的落實情況進行自查。三級信息系統每年至少進行壹次自檢，四級信息系統每半年至少進行壹次自檢，五級信息系統根據特殊安全要求進行自檢。

經評估或者自查，信息系統安全狀況不符合安全保護等級要求的，運營使用單位應當制定整改方案。

第十五條已經運營(運行)二級以上的信息系統，應當在安全保護等級確定後30日內，由運營和使用單位向所在地市級以上公安機關辦理備案手續。

新建的二級以上信息系統應當在投入運行後30日內，向所在地的市級以上公安機關辦理備案手續。

跨省或全國聯網運行、由主管部門統壹分級的中央所屬在京單位信息系統，由主管部門向公安部備案。在統壹網絡中跨省或者全國範圍內運行應用信息系統的子系統，應當向所在地市級以上公安機關備案。

第十六條辦理信息系統安全保護等級備案手續時，應當填寫《信息系統安全等級保護備案表》，三級以上信息系統應當同時提供以下材料:

(a)系統拓撲和說明；

(二)系統安全組織管理制度；

(3)系統安全防護設施設計實施方案或改造實施方案；

(四)系統使用的信息安全產品清單及其認證和銷售許可證書；

(五)經評估符合系統安全防護等級的技術檢測評估報告；

(六)信息系統安全保護等級的專家評估意見；

(七)主管部門對信息系統安全保護等級的審批意見。

第十七條信息系統備案後，公安機關應當對信息系統備案情況進行審查，符合等級保護要求的，應當自收到備案材料之日起10個工作日內出具信息系統安全等級保護備案證明；發現不符合本辦法及相關標準的，應當自收到備案材料之日起10個工作日內通知備案單位補正；發現不允許分級的，應當自收到備案材料之日起10個工作日內通知備案單位重新審核確定。

運營使用單位或者主管部門重新確定信息系統等級後，應當按照本辦法向公安機關重新備案。

第十八條受理備案的公安機關應當對三級、四級信息系統運行情況和用戶信息安全等級保護情況進行檢查。每年至少檢查壹次三級信息系統，每半年至少檢查壹次四級信息系統。跨省或全國統壹聯網信息系統的檢查，由其主管部門負責。

第五級信息系統由國家指定的專門部門進行檢查。

公安機關和國家指定的專門部門應當檢查下列事項:

(壹)信息系統安全要求是否發生變化，原保護等級是否準確；

(二)運營使用單位安全管理制度和措施的落實情況；

(三)運營使用單位及其主管部門對信息系統安全狀況的檢查；

(四)系統安全等級評估是否符合要求；

(五)信息安全產品的使用是否符合要求；

(六)信息系統安全整改；

(七)備案材料與運營、使用單位和信息系統的符合性；

(八)其他應當監督檢查的事項。

第十九條信息系統運營和使用單位應當接受公安機關和國家指定的專門部門的安全監督、檢查和指導，如實向公安機關和國家指定的專門部門提供下列與信息安全保護有關的信息資料和數據文件:

(壹)信息系統備案變更情況；

(2)安全組織和人員的變化；

(三)信息安全管理制度和措施的變化；

(四)信息系統運行狀況記錄；

(五)運營使用單位和主管部門定期信息系統安全檢查記錄；

(六)信息系統等級評估的技術評估報告；

(七)信息安全產品用途的變更；

(八)信息安全事件應急預案和信息安全事件應急處理結果報告；

(九)信息系統安全建設、整改結果報告。

第二十條公安機關發現信息系統安全保護狀況不符合信息安全等級保護相關管理規範和技術標準的，應當向運營使用單位發出整改通知書。運營使用單位應當根據整改通知書的要求，按照管理規範和技術標準進行整改。整改完成後，整改報告應當向公安機關備案。必要時，公安機關可以組織對整改情況進行檢查。

第二十壹條三級以上信息系統應當選擇使用符合下列條件的信息安全產品:

(壹)產品開發和生產單位由中國公民、法人或國家投資或控股，在中華人民共和國境內具有獨立法人資格；

(二)產品的核心技術和關鍵零部件具有我國自主知識產權；

(三)產品開發生產單位及其主要業務和技術人員無犯罪記錄；

(4)產品開發生產單位聲明未故意留下或設置漏洞、後門、木馬等程序和功能；

(五)不危害國家安全、社會秩序和公共利益；

(六)已列入信息安全產品認證目錄的，應當取得國家信息安全產品認證機構頒發的認證證書。

第二十二條三級以上信息系統應當選擇符合下列條件的等級保護評估機構進行評估:

(壹)在中華人民共和國(除港、澳、臺地區)註冊；

(2)中國公民、中國法人或國家(港澳臺除外)投資的企事業單位；

(三)從事相關檢測評價工作兩年以上，無違法記錄；

(四)工作人員僅限於中國公民；

(五)法人及其主要業務和技術人員無犯罪記錄；

(六)使用的技術設備和設施符合本辦法對信息安全產品的要求；

(七)具有完善的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；

(八)對國家安全、社會秩序和公共利益不構成威脅。

第二十三條從事信息系統安全等級評估的機構應當履行下列義務:

(壹)遵守國家相關法律法規和技術標準，提供安全、客觀、公正的檢測評價服務，保證評價質量和效果；

(二)保守在評價活動中知悉的國家秘密、商業秘密和個人隱私，防範評價風險；

(三)對評價人員進行安全保密教育，與其簽訂安全保密責任書，約定應當履行的安全保密義務和法律責任，並負責檢查落實。

第四章涉及國家秘密信息系統的等級保護和管理。

第二十四條涉密信息系統應當按照國家信息安全等級保護的基本要求、國家保密部門涉密信息系統等級保護管理規定和技術標準，結合系統實際情況進行保護。

非保密信息系統不得處理國家秘密信息。

第二十五條涉密信息系統根據信息處理的最高等級，由低到高分為秘密、機密和絕密三個等級。

涉密信息系統建設和使用單位應當在信息規範和密級的基礎上，按照《涉密信息系統等級保護管理辦法》和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統等級保護技術要求》確定系統等級。對於具有多個安全域的涉密信息系統，每個安全域可以分別確定保護級別。

安全部門和機構應當監督和指導涉密信息系統的建設和使用，準確合理地對系統進行分級。

第二十六條涉密信息系統的建設和使用單位應當將涉密信息系統的分類、建設和使用情況報業務主管部門保密工作機構和負責系統審批的保密工作機構備案，並接受保密工作機構的監督、檢查和指導。

第二十七條涉密信息系統建設和使用單位應當選擇有資質的單位承擔或者參與涉密信息系統的設計和實施。

涉密信息系統建設和使用單位應當根據涉密信息系統等級保護管理規範和技術標準，按照保密、機密、絕密三個等級的不同要求設計方案，結合系統實際情況實施等級保護。保護等級壹般不低於國家信息安全保護三、四、五級的等級。

第二十八條涉密信息系統使用的信息安全產品原則上應為國產產品，並由國家保密局授權的檢測機構按照國家相關保密標準進行檢測。通過檢測的產品要經過國家保密局的審查和公布。

第二十九條系統項目實施後，涉密信息系統的建設和使用單位應當向保密部門提出申請，由國家保密局授權的系統測評機構按照國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統等級保護測評指南》對涉密信息系統進行安全測評。

系統投入使用前，涉密信息系統的建設和使用單位應當按照《涉及國家秘密信息系統審批管理規定》，向設區的市級以上保密工作部門申請系統審批，經審批合格後，涉密信息系統方可投入使用。對於已經投入使用的涉密信息系統，建設和使用單位應當在按照涉密保護要求完成系統整改後，向保密部門備案。

第三十條保密信息系統建設單位在申請系統驗收或備案時，應當提交下列材料:

(壹)系統設計、實施方案及審查意見；

(二)系統承包商的資質證明材料；

(三)系統建設和項目監管報告；

(四)系統安全檢查評估報告；

(五)系統安全組織管理制度；

(六)其他相關材料。

第三十壹條涉密信息系統的密級、連接範圍、環境設施、主要應用以及安全保密管理責任單位發生變化時，其建設和使用單位應當及時報告負責審批的安全部門。保密部門應當根據實際情況，決定是否重新評估批準。

第三十二條涉密信息系統建設和使用單位應當按照國家保密標準BMB20-2007《涉及國家秘密的信息系統等級保護管理標準》，加強涉密信息系統運行中的保密管理，定期進行風險評估，消除泄密隱患和漏洞。

第三十三條國家和地方各級安全部門依法對各地區、各部門涉密信息系統的等級保護進行監督管理，並做好以下工作:

(壹)指導、監督、檢查等級保護工作的開展；

(二)指導涉密信息系統的建設和使用，規範信息分類，合理確定系統的保護等級；

(三)參與涉密信息系統等級保護方案的論證，指導建設和使用單位做好保密設施的同步規劃和設計；

(四)依法監督管理涉密信息系統集成資質單位；

(五)嚴格執行系統評估和審批，監督檢查涉密信息系統使用單位的等級保護管理制度和技術措施的落實情況；

(六)加強對涉密信息系統運行的保密監督檢查。秘密和機密信息系統至少每兩年壹次，絕密信息系統至少每年壹次；

(七)了解各級各類涉密信息系統的管理和使用情況，及時發現和查處各類違規泄密行為。

第五章信息安全等級保護的密碼管理

第三十四條國家密碼管理部門對受信息安全等級保護的密碼實行分類管理。根據保護對象在國家安全、社會穩定和經濟建設中的作用和重要性，保護對象的安全保護要求和保密性，保護對象被破壞後的危害程度，密碼使用部門的性質，確定分級保護標準。

信息系統運營者或者用戶使用等級保護密碼的，應當符合《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關標準。

第三十五條信息系統安全等級保護中密碼的提供、使用和管理，應當嚴格執行國家有關密碼管理的規定。

第三十六條信息系統運營者和使用者應當充分利用密碼技術保護信息系統。使用密碼保護涉及國家秘密的信息和信息系統，應當報國家密碼管理局審批，密碼的設計、實施、使用、運行維護和日常管理按照國家密碼管理局的有關規定和標準執行；使用密碼保護不涉及國家秘密的信息和信息系統的，應當遵守《商用密碼管理條例》和密碼分類分級保護的有關規定和標準，其密碼的使用應當向國家密碼管理機構備案。

第三十七條利用密碼技術對信息系統進行系統級保護建設和整改的，必須使用國家密碼管理部門認可或者批準銷售的密碼產品進行安全保護，不得使用從國外引進或者擅自開發的密碼產品；未經批準，不得使用具有加密功能的進口信息技術產品。

第三十八條信息系統密碼和密碼設備的評估由國家密碼管理局認可的評估機構承擔，其他任何部門、單位和個人不得對密碼進行評估和監測。

第三十九條各級密碼管理部門可以定期或不定期對信息系統等級保護中的密碼配置、使用和管理情況進行檢查和評估，對重要涉密信息系統的密碼配置、使用和管理情況至少每兩年檢查和評估壹次。在監督檢查過程中，發現存在安全隱患或者違反密碼管理有關規定或者不符合密碼相關標準要求的，應當按照國家密碼管理的有關規定進行處置。

第六章法律責任

第四十條三級以上信息系統運營、使用單位違反本辦法規定，有下列行為之壹的，由公安機關、國家保密部門、國家密碼管理部門按照職責分工責令限期改正；逾期不改正的，給予警告，並將情況報告其上級主管部門，建議對直接負責的主管人員和其他直接責任人員進行處理，並及時反饋處理結果:

(壹)未按本辦法規定備案、審批的；

(二)未按照本辦法規定落實安全管理制度和措施的；

(三)未按本辦法規定進行系統安全檢查的；

(四)未按本辦法規定開展系統安全技術評估的；

(五)接到整改通知後拒不整改的；

(六)未按本辦法規定選擇使用信息安全產品和評估機構的；

(七)未按本辦法規定如實提供相關文件和證明材料的；

(八)違反保密管理規定的；

(九)違反密碼管理規定的；

(十)違反本辦法其他規定的。