网络安全等级保护条例
网络安全等级保护条例
(征求意见稿)
目录
第一章总则
第二章支持与保障
第三章网络的安全保护
第四章涉密网络的安全保护
第五章密码管理
第六章监督管理
第七章法律责任
第八章附则
第一章总则
第一条【立法宗旨与依据】为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。
第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。个人及家庭自建自用的网络除外。第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。
前款所称“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。
网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。
涉密网络应当依据国家保密规定和标准,结合系统实际进行保密防护和保密监管。
第五条【职责分工】中央网络安全和信息化领导机构统一领导网络安全等级保护工作。国家网信部门负责网络安全等级保护工作的统筹协调。
国务院公安部门主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫。
国家保密行政管理部门主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。
国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理。
国务院其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。
县级以上地方人民政府依照本条例和有关法律法规规定,开展网络安全等级保护工作。第六条【网络运营者责任义务】网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作,采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动。
第七条【行业要求】行业主管部门应当组织、指导本行业、本领域落实网络安全等级保护制度。
第二章支持与保障
第八条【总体保障】国家建立健全网络安全等级保护制度的组织领导体系、技术支持体系和保障体系。
各级人民政府和行业主管部门应当将网络安全等级保护制度实施纳入信息化工作总体规划,统筹推进。
第九条【标准制定】国家建立完善网络安全等级保护标准体系。国务院标准化行政主管部门和国务院公安部门、国家保密行政管理部门、国家密码管理部门根据各自职责,组织制定网络安全等级保护的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全等级保护国家标准、行业标准的制定。
第十条【投入和保障】各级人民政府鼓励扶持网络安全等级保护重点工程和项目,支持网络安全等级保护技术的研究开发和应用,推广安全可信的网络产品和服务。
第十一条【技术支持】国家建设网络安全等级保护专家队伍和等级测评、安全建设、应急处置等技术支持体系,为网络安全等级保护制度提供支撑。
第十二条【绩效考核】行业主管部门、各级人民政府应当将网络安全等级保护工作纳入绩效考核评价、社会治安综合治理考核等。
第十三条【宣传教育培训】各级人民政府及其有关部门应当加强网络安全等级保护制度的宣传教育,提升社会公众的网络安全防范意识。
国家鼓励和支持企事业单位、高等院校、研究机构等开展网络安全等级保护制度的教育与培训,加强网络安全等级保护管理和技术人才培养。
第十四条【鼓励创新】国家鼓励利用新技术、新应用开展网络安全等级保护管理和技术防护,采取主动防御、可信计算、人工智能等技术,创新网络安全技术保护措施,提升网络安全防范能力和水平。
国家对网络新技术、新应用的推广,组织开展网络安全风险评估,防范网络新技术、新应用的安全风险。
第三章网络的安全保护
第十五条【网络等级】根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。
(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。第十六条【网络定级】网络运营者应当在规划设计阶段确定网络的安全保护等级。当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,网络运营者应当依法变更网络的安全保护等级。
第十七条【定级评审】对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。
跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。
行业主管部门可以依据国家标准规范,结合本行业网络特点制定行业网络安全等级保护定级指导意见。
第十八条【定级备案】第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。
因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。
备案的具体办法由国务院公安部门组织制定。
第十九条【备案审核】公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明。第二十条【一般安全保护义务】网络运营者应当依法履行下列安全保护义务,保障网络和信息安全:
(一)确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度;
(二)建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;
(三)落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;
(四)落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施;(五)落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志;
(六)落实数据分类、重要数据备份和加密等措施;
(七)依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;
(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;
(九)落实联网备案和用户真实身份查验等责任;
(十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。
(十一)法律、行政法规规定的其他网络安全保护义务。
第二十一条【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务:
(一)确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;
(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;
(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
(八)法律和行政法规规定的其他网络安全保护义务。
第二十二条【上线检测】新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试。
新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。
第二十三条【等级测评】第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。
第二十四条【安全整改】网络运营者应当对等级测评中发现的安全风险隐患,制定整改方案,落实整改措施,消除风险隐患。
第二十五条【自查工作】网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告。
第二十六条【测评活动安全管理】网络安全等级测评机构应当为网络运营者提供安全、客观、公正的等级测评服务。
网络安全等级测评机构应当与网络运营者签署服务协议,并对测评人员进行安全保密教育,与其签订安全保密责任书,明确测评人员的安全保密义务和法律责任,组织测评人员参加专业培训。
第二十七条【网络服务机构要求】网络服务提供者为第三级以上网络提供网络建设、运行维护、安全监测、数据分析等网络服务,应当符合国家有关法律法规和技术标准的要求。
网络安全等级测评机构等网络服务提供者应当保守服务过程中知悉的国家秘密、个人信息和重要数据。不得非法使用或擅自发布、披露在提供服务中收集掌握的数据信息和系统漏洞、恶意代码、网络入侵攻击等网络安全信息。
第二十八条【产品服务采购使用的安全要求】网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务。
第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务;对重要部位使用的网络产品,应当委托专业测评机构进行专项测试,根据测试结果选择符合要求的网络产品;采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
第二十九条【技术维护要求】第三级以上网络应当在境内实施技术维护,不得境外远程技术维护。因业务需要,确需进行境外远程技术维护的,应当进行网络安全评估,
并采取风险管控措施。实施技术维护,应当记录并留存技术维护日志,并在公安机关检查时如实提供。
第三十条【监测预警和信息通报】地市级以上人民政府应当建立网络安全监测预警和信息通报制度,开展安全监测、态势感知、通报预警等工作。
第三级以上网络运营者应当建立健全网络安全监测预警和信息通报制度,按照规定向同级公安机关报送网络安全监测预警信息,报告网络安全事件。有行业主管部门的,同时向行业主管部门报送和报告。
行业主管部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,按照规定向同级网信部门、公安机关报送网络安全监测预警信息,报告网络安全事件。第三十一条【数据和信息安全保护】网络运营者应当建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。
未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息;不得泄露、篡改、损毁其收集的数据和个人信息;不得非授权访问、使用、提供数据和个人信息。第三十二条【应急处置要求】第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。
网络运营者处置网络安全事件应当保护现场,记录并留存相关数据信息,并及时向公安机关和行业主管部门报告。
公安机关和行业主管部门应当向同级网信部门报告重大网络安全事件处置情况。
发生重大网络安全事件时,有关部门应当按照网络安全应急预案要求联合开展应急处置。电信业务经营者、互联网服务提供者应当为重大网络安全事件处置和恢复提供支持和协助。
第三十三条【审计审核要求】网络运营者建设、运营、维护和使用网络,向社会公众提供需取得行政许可的经营活动的,相关主管部门应当将网络安全等级保护制度落实情况纳入审计、审核范围。
第三十四条【新技术新应用风险管控】网络运营者应当按照网络安全等级保护制度要求,采取措施,管控云计算、大数据、人工智能、物联网、工控系统和移动互联网等新技术、新应用带来的安全风险,消除安全隐患。
第四章涉密网络的安全保护
第三十五条【分级保护】涉密网络按照存储、处理、传输国家秘密的最高密级分为绝密级、机密级和秘密级。
第三十六条【网络定级】涉密网络运营者应当依法确定涉密网络的密级,通过本单位保密委员会(领导小组)的审定,并向同级保密行政管理部门备案。
第三十七条【方案审查论证】涉密网络运营者规划建设涉密网络,应当依据国家保密规定和标准要求,制定分级保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转管控、电磁泄漏发射防护、病毒防护、密码保护和保密监管等技术与管理措施。
第三十八条【建设管理】涉密网络运营者委托其他单位承担涉密网络建设的,应当选择具有相应涉密信息系统集成资质的单位,并与建设单位签订保密协议,明确保密责任,采取保密措施。
第三十九条【信息设备、安全保密产品管理】涉密网络中使用的信息设备,应当从国家有关主管部门发布的涉密专用信息设备名录中选择;未纳入名录的,应选择政府采购目录中的产品。确需选用进口产品的,应当进行安全保密检测。
涉密网络运营者不得选用国家保密行政管理部门禁止使用或者政府采购主管部门禁止采购的产品。
涉密网络中使用的安全保密产品,应当通过国家保密行政管理部门设立的检测机构检测。计算机病毒防护产品应当选用取得计算机信息系统安全专用产品销售许可证的可靠产品,密码产品应当选用国家密码管理部门批准的产品。
第四十条【测评审查和风险评估】涉密网络应当由国家保密行政管理部门设立或者授权的保密测评机构进行检测评估,并经设区的市级以上保密行政管理部门审查合格,方可投入使用。
涉密网络运营者在涉密网络投入使用后,应定期开展安全保密检查和风险自评估,并接受保密行政管理部门组织的安全保密风险评估。绝密级网络每年至少进行一次,机密级和秘密级网络每两年至少进行一次。
公安机关、国家安全机关涉密网络投入使用的管理,依照国家保密行政管理部门会同公安机关、国家安全机关制定的有关规定执行。
第四十一条【涉密网络使用管理总体要求】涉密网络运营者应当制定安全保密管理制度,组建相应管理机构,设置安全保密管理人员,落实安全保密责任。
第四十二条【涉密网络预警通报要求】涉密网络运营者应建立健全本单位涉密网络安全保密监测预警和信息通报制度,发现安全风险隐患的,应及时采取应急处置措施,并向保密行政管理部门报告。
第四十三条【涉密网络重大变化的处置】有下列情形之一的,涉密网络运营者应当按照国家保密规定及时向保密行政管理部门报告并采取相应措施:
(一)密级发生变化的;
(二)连接范围、终端数量超出审查通过的范围、数量的;
(三)所处物理环境或者安全保密设施变化可能导致新的安全保密风险的;
(四)新增应用系统的,或者应用系统变更、减少可能导致新的安全保密风险的。对前款所列情形,保密行政管理部门应当及时作出是否对涉密网络重新进行检测评估和审查的决定。
第四十四条【涉密网络废止的处理】涉密网络不再使用的,涉密网络运营者应当及时向保密行政管理部门报告,并按照国家保密规定和标准对涉密信息设备、产品、涉密载体等进行处理。
第五章密码管理
第四十五条【确定密码要求】国家密码管理部门根据网络的安全保护等级、涉密网络的密级和保护等级,确定密码的配备、使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。
第四十六条【涉密网络密码保护】涉密网络及传输的国家秘密信息,应当依法采用密码保护。
密码产品应当经过密码管理部门批准,采用密码技术的软件系统、硬件设备等产品,应当通过密码检测。
密码的检测、装备、采购和使用等,由密码管理部门统一管理;系统设计、运行维护、日常管理和密码评估,应当按照国家密码管理相关法规和标准执行。
第四十七条【非涉密网络密码保护】非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务。第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。
第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。密码应用安全性评估结果应当报受理备案的公安机关和所在地设区市的密码管理部门备案。
第四十八条【密码安全管理责任】网络运营者应当按照国家密码管理法规和相关管理要求,履行密码安全管理职责,加强密码安全制度建设,完善密码安全管理措施,规范密码使用行为。
任何单位和个人不得利用密码从事危害国家安全、社会公共利益的活动,或者从事其他违法犯罪活动。
第六章监督管理
第四十九条【安全监督管理】县级以上公安机关对网络运营者依照国家法律法规规定和相关标准规范要求,落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作,实行监督管理;对第三级以上网络运营
者按照网络安全等级保护制度落实网络基础设施安全、网络运行安全和数据安全保护责任义务,实行重点监督管理。
县级以上公安机关对同级行业主管部门依照国家法律法规规定和相关标准规范要求,组织督促本行业、本领域落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作情况,进行监督、检查、指导。
地市级以上公安机关每年将网络安全等级保护工作情况通报同级网信部门。
第五十条【安全检查】县级以上公安机关对网络运营者开展下列网络安全工作情况进行监督检查:
(一)日常网络安全防范工作;
(二)重大网络安全风险隐患整改情况;
(三)重大网络安全事件应急处置和恢复工作;
(四)重大活动网络安全保护工作落实情况;
(五)其他网络安全保护工作情况。
公安机关对第三级以上网络运营者每年至少开展一次安全检查。涉及相关行业的可以会同其行业主管部门开展安全检查。必要时,公安机关可以委托社会力量提供技术支持。
公安机关依法实施监督检查,网络运营者应当协助、配合,并按照公安机关要求如实提供相关数据信息。
第五十一条【检查处置】公安机关在监督检查中发现网络安全风险隐患的,应当责令网络运营者采取措施立即消除;不能立即消除的,应当责令其限期整改。
公安机关发现第三级以上网络存在重大安全风险隐患的,应当及时通报行业主管部门,并向同级网信部门通报。
第五十二条【重大隐患处置】公安机关在监督检查中发现重要行业或本地区存在严重威胁国家安全、公共安全和社会公共利益的重大网络安全风险隐患的,应报告同级人民政府、网信部门和上级公安机关。
第五十三条【对测评机构和安全建设机构的监管】国家对网络安全等级测评机构和安全建设机构实行推荐目录管理,指导网络安全等级测评机构和安全建设机构建立行业自律组织,制定行业自律规范,加强自律管理。
非涉密网络安全等级测评机构和安全建设机构具体管理办法,由国务院公安部门制定。保密科技测评机构管理办法由国家保密行政管理部门制定。
第五十四条【关键人员管理】第三级以上网络运营者的关键岗位人员以及为第三级以上网络提供安全服务的人员,不得擅自参加境外组织的网络攻防活动。
第五十五条【事件调查】公安机关应当根据有关规定处置网络安全事件,开展事件调查,认定事件责任,依法查处危害网络安全的违法犯罪活动。必要时,可以责令网络运营者采取阻断信息传输、暂停网络运行、备份相关数据等紧急措施。
网络运营者应当配合、支持公安机关和有关部门开展事件调查和处置工作。
第五十六条【紧急情况断网措施】网络存在的安全风险隐患严重威胁国家安全、社会秩序和公共利益的,紧急情况下公安机关可以责令其停止联网、停机整顿。
第五十七条【保密监督管理】保密行政管理部门负责对涉密网络的安全保护工作进行监督管理,负责对非涉密网络的失泄密行为的监管。发现存在安全隐患,违反保密法律法规,或者不符合保密标准保密的,按照《中华人民共和国保守国家秘密法》和国家保密相关规定处理。
第五十八条【密码监督管理】密码管理部门负责对网络安全等级保护工作中的密码管理进行监督管理,监督检查网络运营者对网络的密码配备、使用、管理和密码评估情
况。其中重要涉密信息系统每两年至少开展一次监督检查。监督检查中发现存在安全隐患,或者违反密码管理相关规定,或者不符合密码相关标准规范要求的,按照国家密码管理相关规定予以处理。
第五十九条【行业监督管理】行业主管部门应当组织制定本行业、本领域网络安全等级保护工作规划和标准规范,掌握网络基本情况、定级备案情况和安全保护状况;监督管理本行业、本领域网络运营者开展网络定级备案、等级测评、安全建设整改、安全自查等工作。
行业主管部门应当监督管理本行业、本领域网络运营者依照网络安全等级保护制度和相关标准规范要求,落实网络安全管理和技术保护措施,组织开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作。
第六十条【监督管理责任】网络安全等级保护监督管理部门及其工作人员应当对在履行职责中知悉的国家秘密、个人信息和重要数据严格保密,不得泄露、出售或者非法向他人提供。
第六十一条【执法协助】网络运营者和技术支持单位应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供支持和协助。
第六十二条【网络安全约谈制度】省级以上人民政府公安部门、保密行政管理部门、密码管理部门在履行网络安全等级保护监督管理职责中,发现网络存在较大安全风险隐患或者发生安全事件的,可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。
第七章法律责任
第六十三条【违反安全保护义务】网络运营者不履行本条例第十六条,第十七条第一款,第十八条第一款、第二款,第二十条、第二十二条第一款,第二十四条,第二十五条,第二十八条第一款,第三十一条第一款,第三十二条第二款规定的网络安全保护义务的,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。
第三级以上网络运营者违反本条例第二十一条、第二十二条第二款、第二十三条规定、第二十八条第二款,第三十条第二款,第三十二条第一款规定的,按照前款规定从重处罚。
第六十四条【违反技术维护要求】网络运营者违反本条例第二十九条规定,对第三级以上网络实施境外远程技术维护,未进行网络安全评估、未采取风险管控措施、未记录并留存技术维护日志的,由公安机关和相关行业主管部门依据各自职责责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。
第六十五条【违反数据安全和个人信息保护要求】网络运营者违反本条例第三十一条第二款规定,擅自收集、使用、提供数据和个人信息的,由网信部门、公安机关依据各自职责责令改正,依照《中华人民共和国网络安全法》第六十四条第一款的规定处罚。
第六十六条【网络安全服务责任】违反本条例第二十六条第三款,第二十七条第二款规定的,由公安机关责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿,直至通知发证机关吊销相关业务许可证或者吊销营业执照。
违反本条例第二十七条第二款规定,泄露、非法出售或者向他人提供个人信息的,依照《中华人民共和国网络安全法》第六十四条第二款的规定处罚。
第六十七条【违反执法协助义务】网络运营者违反本条例规定,有下列行为之一的,由公安机关、保密行政管理部门、密码管理部门、行业主管部门和有关部门依据各自职责责令改正;拒不改正或者情节严重的,依照《中华人民共和国网络安全法》第六十九条的规定处罚。
(一)拒绝、阻碍有关部门依法实施的监督检查的;
(二)拒不如实提供有关网络安全保护的数据信息的;
(三)在应急处置中拒不服从有关主管部门统一指挥调度的;
(四)拒不向公安机关、国家安全机关提供技术支持和协助的;
(五)电信业务经营者、互联网服务提供者在重大网络安全事件处置和恢复中未按照本条例规定提供支持和协助的。
第六十八条【违反保密和密码管理责任】违反本条例有关保密管理和密码管理规定的,由保密行政管理部门或者密码管理部门按照各自职责分工责令改正,拒不改正的,给予警告,并通报向其上级主管部门,建议对其主管人员和其他直接责任人员依法给予处分。
第六十九条【监管部门渎职责任】网信部门、公安机关、国家保密行政管理部门、密码管理部门以及有关行业主管部门及其工作人员有下列行为之一,对直接负责的主管人员和其他直接责任人员,或者有关工作人员依法给予处分:
(一)玩忽职守、滥用职权、徇私舞弊的;
(二)泄露、出售、非法提供在履行网络安全等级保护监管职责中获悉的国家秘密、个人信息和重要数据;或者将获取其他信息,用于其他用途的。
第七十条【法律竞合处理】违反本条例规定,构成违反治安管理行为的,由公安机关依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第八章附则
第七十一条【术语解释】本条例所称的“内”、“以上”包含本数;所称的“行业主管部门”包含行业监管部门。
第七十二条【军队】军队的网络安全等级保护工作,按照军队的有关法规执行。
第七十三条【生效时间】本条例由自年月日起施行。
信息安全等级保护工作实施细则.doc
内部明电 发往:签发: 信息安全等级保护工作实施细则 第一章总则 第一条信息安全等级保护制度是国家在国民经济和 社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、 社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。为加 强本局信息安全等级保护工作,规范信息安全等级保护安全管理,促进各职能 部门之间的分工与协调合作,提高信息安全保障能力和水平,制定本实施细则。 第二条信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织 的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行 安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中 发生的信息安全事件分等级响应、处置。 第三条本实施细则所指的重要信息系统,是指包括本局公共服务网络与管理信息系统。 第四条信息系统运营、使用单位是指信息系统的所有者或信息系统所承载 业务的主管单位,且对该信息系统的安全运行负主要责任的县区分局。本实施 细则适用于新建和已建的所有信息系统。 第五条本局内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负
责的原则,对其信息系统分等级进行保护,履行信息安全等级保护职责。 第六条信息系统安全保护等级分为五级: (一)第一级为自主保护级,信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。 (二)第二级为指导保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时,相关职能部门可以对其信息安全等级保护工作进行指导。 (三)第三级为监督保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。 (四)第四级为强制保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。 第七条市局成立信息安全等级保护领导小组,负责市局信息安 全等级保护工作的整体协调和指导。市局信息安全等级保护领导小组下设办公室负责: (一)对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查; (二)对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导;
信息安全管理制度..
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
信息安全等级保护工作汇报
XXX 信息安全等级保护工作汇报 一、医院简介 XXX拥有66年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。医院总占地面积22599平方米,业务用房建筑面积25027平方米。 医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张。设有内、外、妇、儿、五官等二十个临床科室,15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科,其中胸外科、脑外科是我院重点科室之一,胸外科是黑河地区该专业龙头科室,外科常规开展肺癌、脑外、食道癌等复杂手术,广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖,开创了历史先河,成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位,吸引了大量外院病人来我院检查,整合了各方优势资源。 医院环境优美,整洁。目前,现已发展成为一所集医疗、康复、
保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院,“120”急救中心设在我院,同时担负着全市司法鉴定工作。 医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠X光机、C型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、24小时动态心电监测系统等先进设备百余台,抢占医疗市场的制高点。全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备,精良的医疗设备为提高临床诊治水平提供了重要的保证。 医院由门诊楼,病房楼,急救中心组成,住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理,所有病房均设有中央空调、独立卫生间,配备集中供氧、集中负压吸引、自动对讲呼叫等设施。 XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房,是我省北部地区成立较早发展最快的重症科室,设备实力和省级医院相聘美,从业人员都经过正规重症医学培训学习,成立后为北安市危重症治疗开辟了新的天地,危重症抢救成功率达到省级医院水平。具
信息安全等级保护制度
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
信息安全管理制度19215
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
信息安全等级保护工作计划
篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。 三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。(二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。 四、主要内容、工作步骤 (一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。 (二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。 (三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。 五、定级工作要求 (一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。 (二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我
如何做网络安全等级保护
一、网络安全等级保护制度是什么 网络安全等级保护制度不是新事物, 是计算机信息系统安全等级保护制度的升级版。1994年颁布的《中华人民共和国计算机信息系统安全保护条例》最早明确了对计算机信息系统实行安全等级保护, 由公安机关作为主管部门负责监管实施。此后, 公安部同其他相关部门逐步完善了等级保护制度和管理的具体内容, 主导完善了《计算机信息系统安全保护等级划分准则》(GB-17859-1999)等一系列国家标准。随着社会的发展, 网络的外延不断扩展, 出现了云计算、大数据、物联网、工业控制系统等形态, 计算机信息系统等级保护制度已经不能适应, 因此, 2017年6月1日颁布的《中华人民共和国网络安全法》确认并更新了等级保护制度的内容。并且随着网络安全法的发布,信息安全建设已经逐渐提升到国家安全战略的层面,后期哪个单位未落实等级保护制度,一旦出现问题将会受到主管部门的严厉处罚。 二、哪些单位需要做等级保护 《中华人民共和国网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。那么哪些单位需要做等级保护呢? (一)政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等; (二)金融行业:金融监管机构、各大银行、证券、保险公司等; (三)电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等; (四)能源行业:电力公司、石油公司、烟草公司; (五)企业单位:大中型企业、央企、上市公司等; (六)其它有信息系统定级需求的行业与单位。
系统信息安全保护制度
系统信息安全保护制度 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置
相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 二、信息安全保密管理制度 1、网站信息内容更新全部由网站工作人员完成或管理。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过网站散布《互联网信息管理办法》等相关法律法规明令禁止的信息,一经发现,立即删除。 2、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 3、所有信息都及时做备份。按照国家有关规定,网站将保存6个月内系统运行日志和用户使用日志记录。 4、制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。 三、系统账号管理制度 1、服务器和数据库的管理账号密码,由系统管理员和数据库管理员设定并持有,实行定期修改制度,最长有效期不超过90天。 2、更换服务器与数据库密码时必须报备上级领导,以防遗失密码。如发现密码及口令有泄密迹象,管理员要立刻报告主管领导,严查泄露源头,同时更换密码。
信息安全等级保护工作历程
信息安全等级保护工作历程 1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确了公安部的牵头地位。 2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。 2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),计划“经过三年的努力,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善”。 2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。调查对象共计65117家单位,涉及115319个信息系统。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。 2006年6月,四部门联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试
网络安全等级保护管理制度模板
网络安全等级保护管理制度
目录 一.信息安全管理机构及人员职责设置制度 (4) 一、信息安全管理机构及职责 (4) 二、信息安全人员岗位及职责 (4) 三、机构之间的沟通与合作 (5) 二.信息安全岗位人员管理制度 (7) 三.计算机机房日常管理制度 (9) 一、机房区域访问规定 (9) 二、机房环境卫生规定 (9) 三、物品进出管理规定 (10) 四、机房空调管理规定 (10) 五、机房环境监控规定 (10) 四.办公环境安全管理制度 (12) 五.存储介质安全管理制度 (14) 一、介质的存放 (14) 二、介质的使用 (14) 三、介质的带出与维修 (15) 四、介质的报废或销毁 (15) 六.信息化资产安全管理制度 (16) 七.系统建设安全管理制度 (18) 一、系统定级及系统安全方案设计 (18) 二、安全产品采购和使用 (18) 三、自行软件开发 (18) 四、外包软件开发 (19) 五、工程实施 (20) 六、测试验收 (20) 七、系统交付 (20) 八、安全服务商选择 (20) 八.网络安全管理制度 (22)
九.系统运维安全管理制度 (24) 十.计算机和服务器防病毒管理制度 (27) 十一. 安全保密和密码管理制度 (28) 十二. 备份和恢复管理制度 (29) 十三. 安全事件分类及处理流程 (30) 十四. 信息安全应急预案管理制度 (32) 十五. 信息安全知识培训管理制度 (33)
一.信息安全管理机构及人员职责设置制度 一、信息安全管理机构及职责 (该单位)信息安全管理工作由局信息安全工作领导小组负责,领导小组下设办公室,设在规划科技处,规划科技处负责有关信息安全工作的组织协调,技术中心承担具体工作。 (一)领导小组职责 在局党组领导下,负责审议信息安全工作相关政策法规宣传教育及有关技术方面培训计划;审议信息安全的标准规范、规章制度等;审议信息化建设方案中关于信息安全相关内容;审议或决定信息安全重大项目建设、实施、应用、维护和管理中的重大问题;督促、指导局机关有关处室、直属事业单位按职责分工做好信息安全作。 (二)领导小组办公室职责 贯彻落实局信息安全工作领导小组的决策;研究制定信息安全各项政策、技术标准和管理制度;研究提出信息安全建设、应用、维护、管理中重大问题的解决方案和意见;研究提出信息安全重大项目建设、实施总体方案和年度维护方案建议;承办领导小组交办的具体工作。 二、信息安全人员岗位及职责 (该单位)根据信息化建设及维护工作实际,设置系统管理员、网络管理员、安全管理员、机房管理员等岗位,安全管理员不能兼任网络管理员、系统管理员、机房管理员等,关键岗位应配备多人共同管理,
网络安全等级保护(安全通用要求)建设方案
网络安全等级保护建设方案 (安全通用要求) 北京启明星辰信息安全技术有限公司 Beijing Venustech Information Security Technology Co., Ltd. 二零一九年五月
目录 1.项目概述 (4) 1.1.项目概述 (4) 1.2.项目建设背景 (4) 1.2.1.法律依据 (4) 1.2.2.政策依据 (5) 1.3.项目建设目标及内容 (6) 1.3.1.建设目标 (6) 1.3.2.建设内容 (7) 1.4.等级保护对象分析与介绍 (8) 2.方案设计说明 (8) 2.1.设计依据 (8) 2.2.设计原则 (9) 2.2.1.分区分域防护原则 (9) 2.2.2.均衡性保护原则 (9) 2.2.3.技管并重原则 (9) 2.2.4.动态调整原则 (9) 2.2.5.三同步原则 (10) 2.3.设计思路 (10) 2.4.设计框架 (12) 3.安全现状及需求分析 (12) 3.1.安全现状概述 (12) 3.2.安全需求分析 (13) 3.2.1.物理环境安全需求 (13) 3.2.2.通信网络安全需求 (14) 3.2.3.区域边界安全需求 (15) 3.2.4.计算环境安全需求 (17)
3.2.5.安全管理中心安全需求 (18) 3.2.6.安全管理制度需求 (18) 3.2.7.安全管理机构需求 (19) 3.2.8.安全管理人员需求 (19) 3.2.9.安全建设管理需求 (20) 3.2.10.安全运维管理需求 (21) 3.3.合规差距分析 (22) 4.技术体系设计方案 (22) 4.1.技术体系设计目标 (22) 4.2.技术体系设计框架 (23) 4.3.安全技术防护体系设计 (23) 4.3.1.安全计算环境防护设计 (23) 4.3.2.安全区域边界防护设计 (28) 4.3.3.安全通信网络防护设计 (31) 4.3.4.安全管理中心设计 (34) 5.管理体系设计方案 (35) 5.1.管理体系设计目标 (35) 5.2.管理体系设计框架 (35) 5.3.安全管理防护体系设计 (35) 5.3.1.安全管理制度设计 (36) 5.3.2.安全管理机构设计 (36) 5.3.3.安全管理人员设计 (37) 5.3.4.安全建设管理设计 (38) 5.3.5.安全运维管理设计 (39) 6.产品选型与投资概算 (47) 7.部署示意及合规性分析 (48) 7.1.部署示意及描述 (48) 7.2.合规性分析 (48)
网络安全等级保护工作流程【最新版】
网络安全等级保护工作流程 2017年6月1日《网络安全法》正式实施,网络安全等级保护进入有法可依的2.0时代,网路安全等级保护系列标准于2019年5月陆续发布,12月1日起正式实施,标志着等级保护正式迈入2.0时代。 网络安全等级保护2.0时代,落实等级保护制度的五个规定基本动作仍然是:定级、备案、建设整改、等级测评、监督检查。 本文全面介绍网络安全等级保护工作流程。 网络安全等级保护基本概述 网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的网络资源及功能组件分等级实行安全保护,对网络中使用的安全技术和管理制度实行按等级管理,对网络中发生的信息安全事件分等级响应、处置。 为开展网络安全等级保护工作,国家制定了一系列等级保护相关标准,其中主要的标准有:
计算机信息系统安全保护等级划分准则(GB 17859-1999) 信息安全技术网络安全等级保护定级指南(GB/T22240-2020) 信息安全技术网络安全等级保护实施指南(GB/T25058-2019) 信息安全技术网络安全等级保护基本要求(GB/T22239-2019) 信息安全技术网络安全等级保护设计技术要求(GB/T25070-2019) 信息安全技术网络安全等级保护测评要求(GB/T28448-2019) 信息安全技术网络安全等级保护测评过程指南(GB/T28449-2018) 开展网络安全等级保护工作的原因 开展网络安全等级保护的原因大致可以概括为下列三点: 合规要求:落实网络安全等级保护制度,满足国家法律法规要求。
网络安全法第二十一条规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。 网络安全法第三十一条规定国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 网络安全等级保护基本对各行业进行全覆盖,主要行业有:政府机关、金融行业、卫生医疗、教育行业、运营商、能源电力、企业单位及其他行业等。 安全需求:基于等级保护构建安全防护体系,推动安全保障建设,合理规避风险。 网络安全等级保护是信息系统安全领域实施的基本国策,是是国家信息安全保障工作的基本制度、基本方法。 网络运营者依据国家网络安全等级保护政策和标准,开展组织管
信息系统安全等级保护第三级基本要求
7第三级基本要求 7.1技术要求 7.1.1物理安全 7.1.1.1物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 7.1.1.2物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 7.1.1.3防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 7.1.1.4防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 7.1.1.6防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 7.1.1.7防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 7.1.1.8温湿度控制(G3)
信息安全等级保护工作计划
竭诚为您提供优质文档/双击可除信息安全等级保护工作计划 篇一:信息安全等级保护工作计划 篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【20XX】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。 (二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保 护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务
信息安全等级保护工作流程图
信息安全等级保护工作流程
一、定级 一、等级划分 计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 二、定级程序 信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 三、定级注意事项 第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等 第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等。例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。 第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等 第五级信息系统:适用于国家特殊领域的极端重要系统。 二、备案 一、总体要求 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 二、备案管辖 (一)管辖原则。 备案管辖分工采取级别管辖和属地管辖相结合。 (二)中央在京单位。 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门(简称网监部门,下同)受理备案。
信息安全制度
信息安全制度 1总则 第1条为规范信息安全管理工作,加强过程管理和基础设施管理的风险分析及防范,建立安全责任制,健全安全内控制度,保证信息系统的机密性、完整性、可用性,特制定本规定。 2适用范围 第2条本规定适用于。 3管理对象 第3条管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要范围包括:人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源管理、第三方与外包安全、法律和标准的符合性、项目与工程安全控制、安全检查与审计等。
4第四章术语定义 DMZ:用于隔离内网和外网的区域,此区域不属于可信任的内网,也不是完全开放给因特网。 容量:分为系统容量和环境容量两方面。系统容量包括CPU、内存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。 安全制度:与信息安全相关的制度文档,包括安全管理办法、标准、指引和程序等。 安全边界:用以明确划分安全区域,如围墙、大厦接待处、网段等。 恶意软件:包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。 备份周期:根据备份管理办法制定的备份循环的周期,一个备份周期的内容相当于一个完整的全备份。 系统工具:能够更改系统及应用配臵的程序被定义为系统工具,如系统管理、维护工具、调试程序等。 消息验证:一种检查传输的电子消息是否有非法变更或破坏的技术,它可以在硬件或软件上实施。 数字签名:一种保护电子文档真实性和完整性的方法。例如,在电子商务中可以使用它验证谁签署电子文档,并检查已签署文档的内容是否被更改。 信息处理设备:泛指处理信息的所有设备和信息系统,包括网络、
信息安全等级保护标准规范
信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业
网络安全等级保护测评机构管理办法
网络安全等级保护测评机构管理办法 第一章总则 第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。 第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。 测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。 第三条测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。 第四条测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。 第五条测评机构应按照国家有关网络安全法律法规规
定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。 第二章测评机构申请 第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。 国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请,对申请单位进行审核、推荐;监督管理全国测评机构。 省级等保办负责受理本省(区、直辖市)申请单位的申请,对申请单位进行审核、推荐;监督管理其推荐的测评机构。 第七条申请单位应具备以下基本条件: (一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位; (二)产权关系明晰,注册资金500万元以上,独立经营核算,无违法违规记录; (三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力; (四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;
网络安全等级保护2.0—北京在信国通科技有限公司
等级保护2.0-北京在信国通科技有限公司 Q1:什么是等级保护? 答:等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 Q2:什么是等级保护2.0? 答:“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。 Q3:“等保”与“分保”有什么区别? 答:指等级保护与分级保护,主要不同在监管部门、适用对象、分类等级等方面。 监管部门不一样,等级保护由公安部门监管,分级保护由国家保密局监管。 适用对象不一样,等级保护适用非涉密系统,分级保护适用于涉及国家密秘系统。 等级分类不同,等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。 Q4:“等保”与“关保”有什么区别? 答:指等级保护与关键信息基础设施保护,“关保”是在网络安全等级保护制度的基础上,实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。 目前《信息安全技术关键信息基础设施网络安全保护基本要求》正在报批中,相关试点工作已启动。 Q5:什么是等级保护测评? 答:指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。 Q6:等级保护是否是强制性的,可以不做吗? 答:《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护