信息安全等级保护制度
信息安全等级保护制度
第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
信息安全等级保护制度
信息安全等级保护制度概述信息安全等级保护制度(简称“等保制度”)是中国政府在信息安全领域的重要措施之一,目的在于建立一套科学、合理、可有效执行的信息安全保护制度,减少信息安全风险并维护国家信息安全。
等保制度的核心是建立信息安全等级评估机制和信息安全等级保护措施。
等保等级等保制度是按照“等级+分类”的方式执行的,也就是将不同的信息系统分为不同的安全等级,给出相应的等保等级控制要求和技术要求。
根据国家标准《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2008),等保等级分为4个级别,从高到低分别是:一级、二级、三级、四级。
其中一级要求最高,四级要求最低。
不同等保等级的信息系统,需要采取不同的安全保护措施。
等保评估信息安全等级评估是指对信息系统的安全性进行全面评估,确定其实际受到的攻击威胁以及存在的安全风险,从而确定系统的等保等级。
等保评估是等保制度的核心环节,也是等保保护措施的依据。
等保评估分为两种类型:自我评估和第三方评估。
自我评估适用于等保一级、二级信息系统,第三方评估适用于等保三级、四级信息系统。
等保保护根据等保评估结果,完成等保系统以后需要进行等保保护工作。
等保保护工作包括物理安全措施、技术安全措施、管理安全措施三个方面。
其中物理安全措施主要是对硬件设备的保护,如安装门禁、监控等;技术安全措施是对软件设备的保护,如防火墙、入侵检测等;管理安全措施是对人员进行管理,如实施权限控制、制定密码规则等。
等保保护需要全面、周密地组织实施,保障对信息系统的全面保护,确保系统安全稳定可靠。
信息安全等级保护的意义等保制度是一项非常重要的信息安全保护措施,有着广泛的应用价值。
它的重要意义表现在以下几个方面:内部保护等保制度为企业和组织内部的信息系统提供了全面的信息安全保护,确保了系统的稳定性和可靠性。
企业和组织可以根据等保等级要求对信息系统进行详细的评估,制定相应的保护措施,从而避免或者最大程度上减少信息安全事件的发生。
国家信息安全等级保护制度及落实的具体措施
国家信息安全等级保护制度是一种分类管理和保护信息系统安全的方法,根据信息系统的安全风险等级,将其划分为不同的保护等级,并实施相应的安全措施。
以下是国家信息安全等级保护制度的一般性措施:等级划分:根据信息系统的重要性和安全风险,将其划分为不同的安全等级,如1级(最高)、2级、3级等。
制定明确的等级划分标准,考虑信息系统的功能、涉密程度、服务对象等因素。
风险评估:进行信息系统的风险评估,确定系统的脆弱性和威胁,为后续的保护措施提供依据。
结合信息系统的实际情况,量化风险并制定相应的风险应对计划。
安全保护措施:根据不同的安全等级,制定相应的安全保护措施和标准。
这可能包括物理安全、网络安全、数据加密、访问控制、审计等方面的具体措施。
信息安全政策和规程:制定和实施信息安全政策和规程,明确各级别信息系统的安全要求和标准。
强调对敏感信息的保护,包括信息的收集、存储、传输和销毁等方面。
培训和意识提升:对信息系统的管理人员和用户进行安全培训,提高他们的信息安全意识和技能。
定期组织模拟演练,以验证应急响应和灾难恢复计划的有效性。
监测与审计:建立信息系统的实时监测和定期审计机制,以发现潜在的安全威胁和漏洞。
对关键信息系统进行入侵检测、行为分析等操作,及时发现并应对威胁。
溯源和应急响应:制定信息安全事件的溯源机制,确保能够准确地追溯信息泄露或攻击的来源。
建立健全的应急响应计划,包括处理事件的流程和沟通机制。
技术防护:部署先进的安全技术,包括防火墙、入侵检测系统、反病毒软件等。
运用人工智能和机器学习等技术,提高信息系统对未知威胁的识别和应对能力。
合规性评估:定期进行合规性评估,确保信息系统符合国家信息安全等级保护制度的相关规定。
对评估结果进行及时的修正和改进。
国际合作与信息共享:加强国际合作,分享信息安全情报,共同应对全球范围内的网络威胁。
促进国内信息系统之间的信息共享,提高整个国家信息安全的水平。
这些措施将有助于建立一个有效的信息安全等级保护制度,并确保信息系统在面对不同风险等级时能够采取相应的防护和管理措施。
信息安全等级保护制度
信息安全等级保护制度1. 简介信息安全等级保护制度是为了保障机构和个人的信息安全,确保信息资源在使用、传输和存储过程中不受到非法获取、篡改和破坏的制度。
本文旨在介绍信息安全等级保护制度的背景、目的、原则以及具体实施步骤。
2. 背景随着信息技术的快速发展,信息安全面临越来越严峻的挑战。
大规模的网络攻击、数据泄露事件频发,给机构和个人带来了巨大的损失。
为了加强对信息安全的保护,确保国家安全和社会稳定,信息安全等级保护制度应运而生。
3. 目的信息安全等级保护制度的目的主要有以下几点:•统一信息安全管理标准:通过制定统一的标准和规范,确保信息安全管理工作的可操作性和一致性。
•提高信息安全保护水平:按照不同的安全等级要求,采取相应的措施和防护措施,提高信息安全的保护水平。
•促进信息安全技术的发展:制度的实施将推动信息安全技术的研究和应用,促进信息安全技术的发展和创新。
4. 原则信息安全等级保护制度的实施应遵循以下原则:•全面性原则:制度应对所有涉及信息资源的机构和个人适用,确保全面保护信息安全。
•灵活性原则:制度应根据不同的信息安全等级要求,采取相应的措施,灵活适应不同的情况和需求。
•风险管理原则:制度应建立完善的风险管理机制,评估和应对各种信息安全风险。
•法律依据原则:制度应遵循国家相关法律法规,确保合法合规。
•隐私保护原则:制度应保护个人隐私权益,禁止非法收集和使用个人信息。
5. 实施步骤5.1 制定信息安全等级分类标准制定信息安全等级分类标准是信息安全等级保护制度的重要基础,主要包括以下方面:•信息资源分类:对不同类型的信息资源进行分类,如国家秘密级、商业机密级、一般内部级等。
•安全等级划分:根据不同的信息资源分类,制定相应的安全等级划分标准,包括技术要求、管理要求等。
•安全风险评估:对各个安全等级进行安全风险评估,确定对应的安全等级控制要求。
5.2 制定信息安全等级保护标准与规范根据信息安全等级分类标准,制定相应的信息安全等级保护标准与规范,明确具体的安全保护要求和控制措施。
信息安全等级保护制度的主要内容和工作要求
码部门监管,造成信息系统出现重大安全事故的,要追 究单位和人员的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系
近几年,公安部根据国务院147号令的授
权,会同国家保密局、国家密码管理局、发
改委、原国务院信息办出台了一些文件,公
安部和省厅对有些具体工作出台了一些指导 意见和规范,构成了信息安全等级保护政策 体系。 汇集成《信息安全等级保护工作汇 编》供有关单位、部门使用。
信息安全等级保护制度的
主要内容和工作要求
目
录
一、信息安全等级保护制度的主要内容 二、信息安全等级保护政策、标准体系 三、等级保护工作的具体内容和工作要求
一、等级保护制度的主要内容
(一)国家为什么要实施信息安全等级保 护制度
1.信息安全形势严峻
◆敌对势力的入侵、攻击、破坏
◆针对基础信息网络和重要信息系统的违法犯 罪持续上升 ◆基础信息网络和重要信息系统安全隐患严重
(三)等级保护制度的地位和作用
是国家信息安全保障工作的基本制度、基
本国策。
是开展信息安全工作的基本办法。 是促进国家信息化、维护国家信息安全 的
根本保障。
一、等级保护制度的主要内容
(四)实施等级保护制度的主要目的
◆明确重点、突出重点、保护重点 ◆有利于同步建设、协调发展。
◆
优化信息安全资源的配置。
一、等级保护制度的主要内容
2、《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)规 定:要重点保护基础信息网络和关系国家 安全、经济命脉、社会稳定等方面的重要 信息系统,抓紧建立信息安全等级保护制
度,制定信息安全等级保护的管理办法和
信息安全等级保护制度
感谢您的观看
T测技术
通过部署监测设备,实时监测网络 流量和安全事件,及时发现并处置
网络安全威胁。
数据加密技术
通过加密算法对数据进行加密处理 ,保护数据的安全性和完整性。
安全审计技术
通过审计系统对网络流量和安全事 件进行审计,发现并纠正可能存在 的安全问题。
信息安全等级保护制度的应急响应技术
等级划分
根据信息和信息载体的重要性,一般将信息安全等级划分为 五级,分别是一级、二级、三级、四级和五级。每个级别都 有相应的保护要求和措施。
等级保护制度的基本原则
统一规划、分级实施
信息安全等级保护制度要求对信息和信息载体进行统一规划,并 按照分级原则进行实施。
全面覆盖、突出重点
信息安全等级保护制度要求对所有重要信息和信息载体进行全面 覆盖,同时突出重点,对关键信息基础设施实行重点保护。
定义
信息安全等级保护制度是对信息和信息载体按照重要性等级分级别进行保护 的一种工作机制。
重要性
信息安全等级保护制度旨在保障国家关键信息基础设施的安全运行,降低信 息和数据泄露的风险,维护社会稳定和公共利益。
等级保护制度的法规要求
法规依据
信息安全等级保护制度主要依据《中华人民共和国网络安全 法》、《信息安全等级保护管理办法》等法律法规制定。
要点二
实施过程
在信息安全等级保护制度下,大型企 业根据自身业务特点和安全风险评估 结果,将信息系统划分为不同的安全 等级,并制定相应的安全管理制度。 同时,还加强了对合作伙伴的安全管 理和风险控制。
要点三
效果评估
通过信息安全等级保护制度的实施, 大型企业有效地降低了信息安全风险 ,保障了客户信息和资金的安全。同 时,也提高了企业形象和市场竞争力 。
信息安全等级保护
信息安全等级保护1.定义(百度百科)信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
(百度文库)信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
2. 工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
3. 核心信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。
4.分级第一级为自主保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级为指导保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级为监督保护级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级为强制保护级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级专控保护级,信息系统受到破坏后,会对国家安全造成特别严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
5. 体系结构(1)技术部分包括物理安全,网络安全,主机安全,应用安全,数据安全。
信息安全等级保护制度
信息安全等级保护制度信息安全等级保护制度是指通过对信息系统进行安全评估,根据其安全风险等级的不同,对相关信息进行分级保护的制度。
该制度的目的是保护信息系统的安全,防止信息泄露、被篡改或被破坏,确保关键信息的机密性、完整性和可用性。
下面将重点介绍信息安全等级保护制度的主要内容。
首先,信息安全等级保护制度的制定需要明确的技术和管理标准。
技术标准包括基础设施、网络安全、加密算法等方面的标准,用于评估信息系统的安全风险等级。
管理标准包括组织安全管理、风险管理、安全培训等方面的要求,用于规范信息系统的安全保护工作。
其次,制度还需要包括信息安全等级评估的程序和方法。
评估的程序主要包括评估前准备、信息收集、风险分析、等级划定、评估报告等环节。
评估的方法可以采用定性分析、定量分析或综合分析等不同的方法,根据实际情况选择合适的方法进行评估。
接着,制度还需要明确不同等级的信息安全保护要求。
根据评估结果,将信息系统划分为不同的安全等级,每个等级都有相应的安全保护要求。
例如,高等级的信息系统需要采取更加严格的措施来保护其安全,如加密通信、身份认证、访问控制等。
而低等级的信息系统则可以采取相对简单的措施来保护其安全。
最后,制度还需要明确信息安全等级的监督和管理机制。
监督和管理机制应包括对信息系统安全保护措施的检查和评估,对违规行为的处罚和处置,对信息系统安全事件的处理等。
此外,还需要建立相关的培训和宣传制度,提高员工对信息安全的认识和意识。
总之,信息安全等级保护制度是一项非常重要的制度,对于保护信息系统的安全起着关键的作用。
通过制定明确的技术和管理标准,并采用合适的评估方法,明确不同等级的安全保护要求,建立监督和管理机制,可以有效地提高信息系统的安全性,保护信息的机密性、完整性和可用性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第八条信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。
国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。
国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章等级保护的实施与管理第九条信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
第十条信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。
有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
第十二条在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。
第十三条运营、使用单位应当参照《信息安全技术信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。
第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条已运营(运行)或新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第十六条办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
第十八条受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。
对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。
对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门应当对下列事项进行检查:(一)信息系统安全需求是否发生变化,原定保护等级是否准确;(二)运营、使用单位安全管理制度、措施的落实情况;(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;(四)系统安全等级测评是否符合要求;(五)信息安全产品使用是否符合要求;(六)信息系统安全整改情况;(七)备案材料与运营、使用单位、信息系统的符合情况;(八)其他应当进行监督检查的事项。
第十九条信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:(一)信息系统备案事项变更情况;(二)安全组织、人员的变动情况;(三)信息安全管理制度、措施变更情况;(四)信息系统运行状况记录;(五)运营、使用单位及主管部门定期对信息系统安全状况的检查记录;(六)对信息系统开展等级测评的技术测评报告;(七)信息安全产品使用的变更情况;(八)信息安全事件应急预案,信息安全事件应急处置结果报告;(九)信息系统安全建设、整改结果报告。
第二十条公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。
运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。
整改完成后,应当将整改报告向公安机关备案。
必要时,公安机关可以对整改情况组织检查。
第二十一条第三级以上信息系统应当选择使用符合以下条件的信息安全产品:(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;(二)产品的核心技术、关键部件具有我国自主知识产权;(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;(五)对国家安全、社会秩序、公共利益不构成危害;(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:(一)在中华人民共和国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三)从事相关检测评估工作两年以上,无违法记录;(四)工作人员仅限于中国公民;(五)法人及主要业务、技术人员无犯罪记录;(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;(八)对国家安全、社会秩序、公共利益不构成威胁。
第二十三条从事信息系统安全等级测评的机构,应当履行下列义务:(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第四章涉密信息系统的分级保护管理第二十四条涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。