信息系統運營者和使用者應當按照《信息系統安全等級保護實施指南》實施等級保護工作。
第十條
信息系統運營者和使用者應當根據本辦法和《信息系統安全等級保護分類指南》確定信息系統的安全保護等級。有主管部門的,由主管部門審批。
跨省或全國統壹網絡運行的信息系統,可由主管部門統壹確定。
對於確定為四級以上的信息系統,運營使用單位或者主管部門應當提請國家信息安全保護等級專家評審委員會進行評審。
第十壹條
信息系統安全保護等級確定後,運營使用單位應當按照國家信息安全等級保護管理規範和技術標準,使用符合國家有關規定、符合信息系統安全保護等級要求的信息技術產品,進行信息系統安全建設或者改造。
第十二條
在信息系統建設過程中,運營使用單位應按照《計算機信息系統安全保護分級標準》(GB17859-1999)、《信息系統安全保護基本要求》等技術標準,參照《信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術網絡基本安全技術要求》(GB/T20270-2006)、《信息安全技術操作系統安全技術要求》 《信息安全技術終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標準,同步建設符合該等級要求的信息安全設施。
第十三條
運營使用單位應當參照《信息安全技術信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理標準,制定並實施符合本系統安全保護等級要求的安全管理制度。
第十四條
信息系統建設完成後,運營使用單位或者其主管部門應當選擇符合本辦法規定條件的評估機構,按照信息系統安全等級保護評估要求等技術標準,定期對信息系統安全等級進行等級評估。三級信息系統至少每年分級壹次,四級信息系統至少每半年分級壹次,五級信息系統根據特殊安全要求分級。
信息系統運營使用單位及其主管部門應當定期對信息系統的安全狀況、安全保護制度和措施的落實情況進行自查。三級信息系統每年至少進行壹次自檢,四級信息系統每半年至少進行壹次自檢,五級信息系統根據特殊安全要求進行自檢。
經評估或者自查,信息系統安全狀況不符合安全保護等級要求的,運營使用單位應當制定整改方案。
第十五條
已經運行(運營)或者新建二級以上的信息系統,應當在安全保護等級確定後30日內,向所在地的市級以上公安機關辦理備案手續。
跨省或全國聯網運行、由主管部門統壹分級的中央所屬在京單位信息系統,由主管部門向公安部備案。在統壹網絡中跨省或者全國範圍內運行應用信息系統的子系統,應當向所在地市級以上公安機關備案。
第十六條
辦理信息系統安全保護等級備案手續時,應填寫《信息系統安全等級保護備案表》,三級以上信息系統還應提供以下材料:
(a)系統拓撲和說明;
(二)系統安全組織管理制度;
(3)系統安全防護設施設計實施方案或改造實施方案;
(四)系統使用的信息安全產品清單及其認證和銷售許可證書;
(五)經評估符合系統安全防護等級的技術檢測評估報告;
(六)信息系統安全保護等級的專家評估意見;
(七)主管部門對信息系統安全保護等級的審批意見。
第十七條
信息系統備案後,公安機關應當對信息系統備案進行審查,符合等級保護要求的,應當自收到備案材料之日起10個工作日內出具信息系統安全等級保護備案證明;發現不符合本辦法及相關標準的,應當自收到備案材料之日起10個工作日內通知備案單位補正;發現不允許分級的,應當自收到備案材料之日起10個工作日內通知備案單位重新審核確定。
運營使用單位或者主管部門重新確定信息系統等級後,應當按照本辦法向公安機關重新備案。
第十八條
受理備案的公安機關應當對三級、四級信息系統運行情況和用戶信息安全等級保護情況進行檢查。每年至少檢查壹次三級信息系統,每半年至少檢查壹次四級信息系統。跨省或全國統壹聯網信息系統的檢查,由其主管部門負責。
第五級信息系統由國家指定的專門部門進行檢查。
公安機關和國家指定的專門部門應當檢查下列事項:
(壹)信息系統安全要求是否發生變化,原保護等級是否準確;
(二)運營使用單位安全管理制度和措施的落實情況;
(三)運營使用單位及其主管部門對信息系統安全狀況的檢查;
(四)系統安全等級評估是否符合要求;
(五)信息安全產品的使用是否符合要求;
(六)信息系統安全整改;
(七)備案材料與運營、使用單位和信息系統的符合性;
(八)其他應當監督檢查的事項。
第十九條
信息系統運營和使用單位應當接受公安機關和國家指定的專門部門的安全監督、檢查和指導,如實向公安機關和國家指定的專門部門提供下列與信息安全保護有關的信息資料和數據文件:
(壹)信息系統備案變更情況;
(2)安全組織和人員的變化;
(三)信息安全管理制度和措施的變化;
(四)信息系統運行狀況記錄;
(五)運營使用單位和主管部門定期信息系統安全檢查記錄;
(六)信息系統等級評估的技術評估報告;
(七)信息安全產品用途的變更;
(八)信息安全事件應急預案和信息安全事件應急處理結果報告;
(九)信息系統安全建設、整改結果報告。
第二十條
公安機關發現信息系統安全保護狀況不符合信息安全等級保護相關管理規範和技術標準的,應當向運營使用單位發出整改通知書。運營使用單位應當根據整改通知書的要求,按照管理規範和技術標準進行整改。整改完成後,整改報告應當向公安機關備案。必要時,公安機關可以組織對整改情況進行檢查。
第二十壹條
三級以上信息系統應選擇使用符合以下條件的信息安全產品:
(壹)產品開發和生產單位由中國公民、法人或國家投資或控股,在中華人民共和國境內具有獨立法人資格;
(二)產品的核心技術和關鍵零部件具有我國自主知識產權;
(三)產品開發生產單位及其主要業務和技術人員無犯罪記錄;
(4)產品開發生產單位聲明未故意留下或設置漏洞、後門、木馬等程序和功能;
(五)不危害國家安全、社會秩序和公共利益;
(六)已列入信息安全產品認證目錄的,應當取得國家信息安全產品認證機構頒發的認證證書。
第二十二條
三級以上信息系統應當由符合下列條件的等級保護評估機構進行評估:
(壹)在中華人民共和國(除港、澳、臺地區)註冊;
(2)中國公民、中國法人或國家(港澳臺除外)投資的企事業單位;
(三)從事相關檢測評價工作兩年以上,無違法記錄;
(四)工作人員僅限於中國公民;
(五)法人及其主要業務和技術人員無犯罪記錄;
(六)使用的技術設備和設施符合本辦法對信息安全產品的要求;
(七)具有完善的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度;
(八)對國家安全、社會秩序和公共利益不構成威脅。
第二十三條
從事信息系統安全等級評估的機構應當履行下列義務:
(壹)遵守國家相關法律法規和技術標準,提供安全、客觀、公正的檢測評價服務,保證評價質量和效果;
(二)保守在評價活動中知悉的國家秘密、商業秘密和個人隱私,防範評價風險;
(三)對評價人員進行安全保密教育,與其簽訂安全保密責任書,約定應當履行的安全保密義務和法律責任,並負責檢查落實。