第一章 總則
第一條 為加強資訊保安等級保護,規範資訊保安等級保護管理,提高資訊保安保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進資訊化建設,根據《中華人民共和國計算機資訊系統安全保護條例》等國家有關法律法規,制定本辦法。
第二條 資訊保安等級保護,是指對國家秘密資訊及公民、法人和其他組織的專有資訊以及公開資訊和儲存、傳輸、處理這些資訊的資訊系統分等級實行安全保護,對資訊系統中使用的資訊保安產品實行按等級管理,對資訊系統中發生的資訊保安事件分等級響應、處置。
第三條 資訊系統的安全保護等級應當根據資訊和資訊系統在國家安全、經濟建設、社會生活中的重要程度,資訊和資訊系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,資訊和資訊系統應當達到的基本的安全保護水平等因素確定。
第四條 資訊系統的安全保護等級分為以下五級:
(一) 第一級為自主保護級,適用於一般的資訊系統,其受到破壞後,會對公民、法人和其他組織的合法權益產生損害,但不損害國家安全、社會秩序和公共利益。
(二) 第二級為指導保護級,適用於一般的資訊系統,其受到破壞後,會對社會秩序和公共利益造成輕微損害,但不損害國家安全。
(三) 第三級為監督保護級,適用於涉及國家安全、社會秩序和公共利益的重要資訊系統,其受到破壞後,會對國家安全、社會秩序和公共利益造成損害。
(四) 第四級為強制保護級,適用於涉及國家安全、社會秩序和公共利益的重要資訊系統,其受到破壞後,會對國家安全、社會秩序和公共利益造成嚴重損害。
(五) 第五級為專控保護級,適用於涉及國家安全、社會秩序和公共利益的重要資訊系統的核心子系統,其受到破壞後,會對國家安全、社會秩序和公共利益造成特別嚴重損害。
第五條 資訊系統運營、使用單位及個人依據本辦法和相關技術標準對資訊系統進行保護,國家有關資訊保安職能部門對其資訊保安等級保護工作進行監督管理。
(一) 第一級資訊系統運營、使用單位或者個人可以依據國家管理規範和技術標準進行保護。
(二) 第二級資訊系統運營、使用單位應當依據國家管理規範和技術標準進行保護。必要時,國家有關資訊保安職能部門可以對其資訊保安等級保護工作進行指導。
(三) 第三級資訊系統運營、使用單位應當依據國家管理規範和技術標準進行保護,國家有關資訊保安職能部門對其資訊保安等級保護工作進行監督、檢查。
(四) 第四級資訊系統運營、使用單位應當依據國家管理規範和技術標準進行保護,國家有關資訊保安職能部門對其資訊保安等級保護工作進行強制監督、檢查。
(五) 第五級資訊系統運營、使用單位應當依據國家管理規範和技術標準進行保護,國家指定的專門部門或者專門機構對其資訊保安等級保護工作進行專門監督、檢查。
第六條 公安機關負責資訊保安等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。
涉及其他職能部門管轄範圍的事項,由有關職能部門依照國家法律法規的規定進行管理。
國務院資訊化工作辦公室及地方資訊化領導小組辦事機構負責等級保護工作的部門間協調。
第二章 資訊保安等級保護工作的安全管理
第七條 資訊系統的運營、使用單位應當依據本辦法和有關標準,確定資訊系統的安全保護等級。有主管部門的,應當報主管部門稽核批准。
第八條 資訊系統的運營、使用單位應當根據據已確定的安全保護等級,依照本辦法和有關技術標準,使用符合國家有關規定,滿足資訊系統安全保護等級需求的資訊科技產品,進行資訊系統建設。
第九條 資訊系統的運營、使用單位應當履行下列安全等級保護職責:
(一) 落實資訊保安等級保護的責任部門和人員,負責資訊系統的安全等級保護管理工作;
(二) 建立健全安全等級保護管理制度;
(三) 落實安全等級保護技術標準要求;
(四) 定期進行安全狀況檢測和風險評估;
(五) 建立資訊保安事件的等級響應、處置制度;
(六) 負責對資訊系統使用者的安全等級保護教育和培訓;
(七) 其他應當履行的安全等級保護職責。
第十條 資訊系統建設完成後,其運營、使用單位應當依據本辦法選擇具有國家相關技術資質和安全資質的測評單位,按照技術標準進行安全測評,符合要求的,方可投入使用。
第十一條 從事資訊系統安全等級測評的單位,應當遵守國家有關法律法規和技術標準規定,保守在測評活動中知悉的國家秘密、商業秘密和個人隱私,提供安全、客觀、公正的檢測評估服務。
測評單位資質管理辦法由有關部門另行制定。
第十二條 第三級以上資訊系統的運營、使用單位應當自系統投入執行之日起三十日內,到所在地的省、自治區、直轄市公安機關指定的受理機構辦理備案手續,填寫《資訊系統安全保護等級備案登記表》。國家另有規定的除外。
備案事項發生變更時,資訊系統運營、使用單位或其主管部門應當自變更之日起三十日內將變更情況報原備案機關。
第十三條 公安機關應當掌握資訊系統運營、使用單位的備案情況,建立備案檔案,進行備案管理。發現不符合本辦法及有關標準的,應通知其予以糾正。
第十四條 公安機關應當監督、檢查第三級和第四級資訊系統運營、使用單位履行安全等級保護職責的情況。
對安全保護等級為三級的資訊系統每年至少檢查一次,對安全保護等級為四級的資訊系統每半年至少檢查一次。
第十五條 公安機關發現資訊系統運營、使用單位未履行安全等級保護職責或未達到安全保護要求的,應當書面通知其整改。
第三章 資訊保安等級保護的保密管理
第十六條 涉及國家秘密的資訊系統應當依據國家資訊保安等級保護的基本要求,按照國家保密工作部門涉密資訊系統分級保護的管理規定和技術標準,結合系統實際情況進行保護。
不涉及國家秘密的資訊系統不得處理國家秘密資訊。
第十七條 涉及國家秘密的資訊系統按照所處理資訊的最高密級,由低到高劃分為秘密級、機密級和絕密級三個級別,其總體防護水平分別不低於三級、四級、五級的要求。
涉及國家秘密的資訊系統建設單位應當依據《中華人民共和國保守國家秘密法》和國家有關秘密及其密級具體範圍的規定,確定系統處理資訊的最高密級和系統的保護級別。
第十八條 涉及國家秘密的資訊系統的設計實施、審批備案、執行維護和日常保密管理,按照國家保密工作部門的有關規定和技術標準執行。
第十九條 各級保密工作部門應當對已投入使用的涉及國家秘密的資訊系統組織檢查和測評。發現系統存在安全隱患或系統保護措施不符合分級保護管理規定和技術標準的,應當通知系統使用單位和管理部門限期整改。
對秘密級、機密級資訊系統,每兩年至少進行一次保密檢查或系統測評;對絕密級資訊系統,每年至少進行一次保密檢查或系統測評。
第四章 資訊保安等級保護的密碼管理
第二十條 國家密碼管理部門對資訊保安等級保護的密碼實行分類分級管理。根據被保護物件在國家安全、社會穩定、經濟建設中的作用和重要程度,被保護物件的安全防護要求和涉密程度,被保護物件被破壞後的危害程度以及密碼使用部門的性質等,確定密碼的等級保護準則。
資訊系統運營、使用單位採用密碼進行等級保護的,應當遵照資訊保安等級保護密碼管理規定和相關標準。
第二十一條 資訊系統安全等級保護中密碼的配備、使用和管理等,應嚴格執行國家密碼管理的有關規定。
第二十二條 要充分運用密碼技術對資訊系統進行保護。採用密碼對涉及國家秘密的資訊和資訊系統進行保護的,密碼的設計、實施、使用、執行維護和日常管理等,應當按照國家密碼管理有關規定和技術標準執行;採用密碼對不涉及國家秘密的資訊和資訊系統進行保護的須遵照《商用密碼管理條例》和密碼分類分級保護有關規定與相關標準。
第二十三條 各級密碼管理部門可以定期或者不定期對資訊系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密資訊系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。 在監督檢查過程中,發現存在安全隱患或違反密碼管理相關規定或者未達到密碼相關標準要求的,按照國家密碼管理的相關規定進行處置。
第五章 法律責任
第二十四條 三級、四級資訊系統和涉及國家秘密的資訊系統的主管部門和運營、使用單位違反本辦法規定,有下列行為之一,造成嚴重損害的,由相關部門依照有關法律、法規予以處理:
(一) 未按本辦法規定報請備案、審批的;
(二) 未按等級保護技術標準要求進行系統安全設施建設和制度建設的;
(三) 接到整改通知後,拒不整改的;
(四) 違反保密管理規定的;
(五) 違反密碼管理規定的;
(六) 違反本辦法和其他規定的。
第六章 附則
第二十五條 軍隊的計算機資訊系統安全保護工作,按照軍隊的有關法規執行。
第二十六條 本管理辦法自2006年3月1日起施行。
第一章 總則
第一條 為加強資訊保安等級保護,規範資訊保安等級保護管理,提高資訊保安保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進資訊化建設,根據《中華人民共和國計算機資訊系統安全保護條例》等國家有關法律法規,制定本辦法。
第二條 資訊保安等級保護,是指對國家秘密資訊及公民、法人和其他組織的專有資訊以及公開資訊和儲存、傳輸、處理這些資訊的資訊系統分等級實行安全保護,對資訊系統中使用的資訊保安產品實行按等級管理,對資訊系統中發生的資訊保安事件分等級響應、處置。
第三條 資訊系統的安全保護等級應當根據資訊和資訊系統在國家安全、經濟建設、社會生活中的重要程度,資訊和資訊系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,資訊和資訊系統應當達到的基本的安全保護水平等因素確定。
第四條 資訊系統的安全保護等級分為以下五級:
(一) 第一級為自主保護級,適用於一般的資訊系統,其受到破壞後,會對公民、法人和其他組織的合法權益產生損害,但不損害國家安全、社會秩序和公共利益。
(二) 第二級為指導保護級,適用於一般的資訊系統,其受到破壞後,會對社會秩序和公共利益造成輕微損害,但不損害國家安全。
(三) 第三級為監督保護級,適用於涉及國家安全、社會秩序和公共利益的重要資訊系統,其受到破壞後,會對國家安全、社會秩序和公共利益造成損害。
(四) 第四級為強制保護級,適用於涉及國家安全、社會秩序和公共利益的重要資訊系統,其受到破壞後,會對國家安全、社會秩序和公共利益造成嚴重損害。
(五) 第五級為專控保護級,適用於涉及國家安全、社會秩序和公共利益的重要資訊系統的核心子系統,其受到破壞後,會對國家安全、社會秩序和公共利益造成特別嚴重損害。
第五條 資訊系統運營、使用單位及個人依據本辦法和相關技術標準對資訊系統進行保護,國家有關資訊保安職能部門對其資訊保安等級保護工作進行監督管理。
(一) 第一級資訊系統運營、使用單位或者個人可以依據國家管理規範和技術標準進行保護。
(二) 第二級資訊系統運營、使用單位應當依據國家管理規範和技術標準進行保護。必要時,國家有關資訊保安職能部門可以對其資訊保安等級保護工作進行指導。
(三) 第三級資訊系統運營、使用單位應當依據國家管理規範和技術標準進行保護,國家有關資訊保安職能部門對其資訊保安等級保護工作進行監督、檢查。
(四) 第四級資訊系統運營、使用單位應當依據國家管理規範和技術標準進行保護,國家有關資訊保安職能部門對其資訊保安等級保護工作進行強制監督、檢查。
(五) 第五級資訊系統運營、使用單位應當依據國家管理規範和技術標準進行保護,國家指定的專門部門或者專門機構對其資訊保安等級保護工作進行專門監督、檢查。
第六條 公安機關負責資訊保安等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。
涉及其他職能部門管轄範圍的事項,由有關職能部門依照國家法律法規的規定進行管理。
國務院資訊化工作辦公室及地方資訊化領導小組辦事機構負責等級保護工作的部門間協調。
第二章 資訊保安等級保護工作的安全管理
第七條 資訊系統的運營、使用單位應當依據本辦法和有關標準,確定資訊系統的安全保護等級。有主管部門的,應當報主管部門稽核批准。
第八條 資訊系統的運營、使用單位應當根據據已確定的安全保護等級,依照本辦法和有關技術標準,使用符合國家有關規定,滿足資訊系統安全保護等級需求的資訊科技產品,進行資訊系統建設。
第九條 資訊系統的運營、使用單位應當履行下列安全等級保護職責:
(一) 落實資訊保安等級保護的責任部門和人員,負責資訊系統的安全等級保護管理工作;
(二) 建立健全安全等級保護管理制度;
(三) 落實安全等級保護技術標準要求;
(四) 定期進行安全狀況檢測和風險評估;
(五) 建立資訊保安事件的等級響應、處置制度;
(六) 負責對資訊系統使用者的安全等級保護教育和培訓;
(七) 其他應當履行的安全等級保護職責。
第十條 資訊系統建設完成後,其運營、使用單位應當依據本辦法選擇具有國家相關技術資質和安全資質的測評單位,按照技術標準進行安全測評,符合要求的,方可投入使用。
第十一條 從事資訊系統安全等級測評的單位,應當遵守國家有關法律法規和技術標準規定,保守在測評活動中知悉的國家秘密、商業秘密和個人隱私,提供安全、客觀、公正的檢測評估服務。
測評單位資質管理辦法由有關部門另行制定。
第十二條 第三級以上資訊系統的運營、使用單位應當自系統投入執行之日起三十日內,到所在地的省、自治區、直轄市公安機關指定的受理機構辦理備案手續,填寫《資訊系統安全保護等級備案登記表》。國家另有規定的除外。
備案事項發生變更時,資訊系統運營、使用單位或其主管部門應當自變更之日起三十日內將變更情況報原備案機關。
第十三條 公安機關應當掌握資訊系統運營、使用單位的備案情況,建立備案檔案,進行備案管理。發現不符合本辦法及有關標準的,應通知其予以糾正。
第十四條 公安機關應當監督、檢查第三級和第四級資訊系統運營、使用單位履行安全等級保護職責的情況。
對安全保護等級為三級的資訊系統每年至少檢查一次,對安全保護等級為四級的資訊系統每半年至少檢查一次。
第十五條 公安機關發現資訊系統運營、使用單位未履行安全等級保護職責或未達到安全保護要求的,應當書面通知其整改。
第三章 資訊保安等級保護的保密管理
第十六條 涉及國家秘密的資訊系統應當依據國家資訊保安等級保護的基本要求,按照國家保密工作部門涉密資訊系統分級保護的管理規定和技術標準,結合系統實際情況進行保護。
不涉及國家秘密的資訊系統不得處理國家秘密資訊。
第十七條 涉及國家秘密的資訊系統按照所處理資訊的最高密級,由低到高劃分為秘密級、機密級和絕密級三個級別,其總體防護水平分別不低於三級、四級、五級的要求。
涉及國家秘密的資訊系統建設單位應當依據《中華人民共和國保守國家秘密法》和國家有關秘密及其密級具體範圍的規定,確定系統處理資訊的最高密級和系統的保護級別。
第十八條 涉及國家秘密的資訊系統的設計實施、審批備案、執行維護和日常保密管理,按照國家保密工作部門的有關規定和技術標準執行。
第十九條 各級保密工作部門應當對已投入使用的涉及國家秘密的資訊系統組織檢查和測評。發現系統存在安全隱患或系統保護措施不符合分級保護管理規定和技術標準的,應當通知系統使用單位和管理部門限期整改。
對秘密級、機密級資訊系統,每兩年至少進行一次保密檢查或系統測評;對絕密級資訊系統,每年至少進行一次保密檢查或系統測評。
第四章 資訊保安等級保護的密碼管理
第二十條 國家密碼管理部門對資訊保安等級保護的密碼實行分類分級管理。根據被保護物件在國家安全、社會穩定、經濟建設中的作用和重要程度,被保護物件的安全防護要求和涉密程度,被保護物件被破壞後的危害程度以及密碼使用部門的性質等,確定密碼的等級保護準則。
資訊系統運營、使用單位採用密碼進行等級保護的,應當遵照資訊保安等級保護密碼管理規定和相關標準。
第二十一條 資訊系統安全等級保護中密碼的配備、使用和管理等,應嚴格執行國家密碼管理的有關規定。
第二十二條 要充分運用密碼技術對資訊系統進行保護。採用密碼對涉及國家秘密的資訊和資訊系統進行保護的,密碼的設計、實施、使用、執行維護和日常管理等,應當按照國家密碼管理有關規定和技術標準執行;採用密碼對不涉及國家秘密的資訊和資訊系統進行保護的須遵照《商用密碼管理條例》和密碼分類分級保護有關規定與相關標準。
第二十三條 各級密碼管理部門可以定期或者不定期對資訊系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密資訊系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。 在監督檢查過程中,發現存在安全隱患或違反密碼管理相關規定或者未達到密碼相關標準要求的,按照國家密碼管理的相關規定進行處置。
第五章 法律責任
第二十四條 三級、四級資訊系統和涉及國家秘密的資訊系統的主管部門和運營、使用單位違反本辦法規定,有下列行為之一,造成嚴重損害的,由相關部門依照有關法律、法規予以處理:
(一) 未按本辦法規定報請備案、審批的;
(二) 未按等級保護技術標準要求進行系統安全設施建設和制度建設的;
(三) 接到整改通知後,拒不整改的;
(四) 違反保密管理規定的;
(五) 違反密碼管理規定的;
(六) 違反本辦法和其他規定的。
第六章 附則
第二十五條 軍隊的計算機資訊系統安全保護工作,按照軍隊的有關法規執行。
第二十六條 本管理辦法自2006年3月1日起施行。