1、信息安全等級保護制度信息安全等級保護制度信息安全等級保護信息安全等級保護法律法規法律法規20112011年年3 3月月提提 綱綱 前言前言一、一、信息安全等級保護的制度體系信息安全等級保護的制度體系二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求三、信息安全等級保護的支撐條件三、信息安全等級保護的支撐條件四、信息安全等級保護接著做什么四、信息安全等級保護接著做什么前言前言什么是等保什么是等保 信息安全等級保護管理辦法指出信息安全等級保護是以信息為核心的、根據信息和信息系統在國家安全、經濟建設、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合

2、法權益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統必須達到的基本的安全保護水平等因素，對最核心的信息和信息系統劃分為五個安全保護和監管等級，實行分級保護。 實施信息安全等級保護，可以有效地提高我國信息安全建設的整體水平， 有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協調； 有利于加強對涉及國家安全、經濟秩序、社會穩定和公共利益的信息系統的安全保護和管理監督； 有利于明確國家、法人和其他組織、公民的安全責任，強化政府監管職能，共同落實各項安全建設和安全管理措施； 有利于提高安全保護的科學性、整體性、針對性，推動信息安全產業水平，逐步探索一條適應社會主義市

3、場經濟發展的信息安全發展模式。前言前言為什么實行等保為什么實行等保前言前言為什么實行等保為什么實行等保前言前言為什么實行等保為什么實行等保 前言前言為什么實行等保為什么實行等保前言前言為什么實行等保為什么實行等保前言前言為什么實行等保為什么實行等保 前言前言為什么實行等保為什么實行等保案例案例 案例案例即使是相對封閉的工業控制系統也無法以善其身即使是相對封閉的工業控制系統也無法以善其身數據交換中如隨意使用移動存儲設備，沒有嚴格執行安全隔數據交換中如隨意使用移動存儲設備，沒有嚴格執行安全隔離要求，則可能被感染。離要求，則可能被感染。專用網絡難以及時獲取安全補丁專用網絡難以及時獲取安全補丁,安全軟

4、件升級滯后。安全軟件升級滯后。案例案例 案例案例 事件二：震網病毒事件二：震網病毒震網病毒（震網病毒（Stuxnet），是世界上首個以直接破壞現實世界中工業基），是世界上首個以直接破壞現實世界中工業基礎設施為目標的蠕蟲病毒，被稱為網絡礎設施為目標的蠕蟲病毒，被稱為網絡“超級武器超級武器”。震網病毒于。震網病毒于2010年年7月開始爆發，截至月開始爆發，截至2010年年9月底，包括中國、印度、俄羅斯月底，包括中國、印度、俄羅斯在內的許多國家都發現了這個病毒。據統計，目前全球已有約在內的許多國家都發現了這個病毒。據統計，目前全球已有約45000個網絡被該病毒感染，其中個網絡被該病毒感染，其中60%

5、的受害主機位于伊朗境內，并已造成的受害主機位于伊朗境內，并已造成伊朗核電站推遲發電。目前我國也有近伊朗核電站推遲發電。目前我國也有近500萬網民、以及多個行業的萬網民、以及多個行業的領軍企業遭此病毒攻擊。領軍企業遭此病毒攻擊。 事件三：事件三：3Q之爭之爭2010年年9月，奇虎公司針對騰訊公司的月，奇虎公司針對騰訊公司的QQ聊天軟件，發布了聊天軟件，發布了“360隱隱私保護器私保護器”和和“360扣扣保鏢扣扣保鏢”兩款網絡安全軟件，并稱其可以保護兩款網絡安全軟件，并稱其可以保護QQ用戶的隱私和網絡安全。騰訊公司認為奇虎用戶的隱私和網絡安全。騰訊公司認為奇虎360的這一做法嚴重危的這一做法嚴重危

6、害了騰訊的商業利益，并稱害了騰訊的商業利益，并稱“360扣扣保鏢扣扣保鏢”是是“外掛外掛”行為。隨后，行為。隨后，騰訊公司在騰訊公司在11月月3日宣布將停止對裝有日宣布將停止對裝有360軟件的電腦提供軟件的電腦提供QQ服務。服務。由此引發了由此引發了“360 QQ大戰大戰”，同時引起了，同時引起了360軟件與其它公司類似產軟件與其它公司類似產品的一系列紛爭，最終演變成為了互聯網行業中的一場混戰。最終品的一系列紛爭，最終演變成為了互聯網行業中的一場混戰。最終3Q之爭在國家相關部門的強力干預下得以平息，扣扣保鏢被召回，之爭在國家相關部門的強力干預下得以平息，扣扣保鏢被召回，QQ與與360恢復兼容。

7、但此次事件對廣大終端用戶造成的惡劣影響和侵害，恢復兼容。但此次事件對廣大終端用戶造成的惡劣影響和侵害，并由此引發的公眾對于終端安全和隱私保護的困惑和憂慮卻遠沒有消并由此引發的公眾對于終端安全和隱私保護的困惑和憂慮卻遠沒有消除。除。案例案例 上述三個安全事件均發自于終端，可見終端安全已經上述三個安全事件均發自于終端，可見終端安全已經成為世界范圍內的突出問題，在各國精心構建的信息安全成為世界范圍內的突出問題，在各國精心構建的信息安全防御體系中，終端安全仍是一個薄弱環節。美國政府歷來防御體系中，終端安全仍是一個薄弱環節。美國政府歷來以防御嚴密、技術先進著稱，尚且發生了維基解密事件，以防御嚴密、技術先

8、進著稱，尚且發生了維基解密事件，我國在核心技術依賴于國外的情況下，面臨的嚴峻的信息我國在核心技術依賴于國外的情況下，面臨的嚴峻的信息安全形勢可想而知，發達國家要使我們的網絡信息系統癱安全形勢可想而知，發達國家要使我們的網絡信息系統癱瘓或盜竊我們的渉密信息易如反掌。因此，信息安全建設瘓或盜竊我們的渉密信息易如反掌。因此，信息安全建設必須走自主之路，而必須走自主之路，而3Q之爭又暴露出國內安全廠商和安全之爭又暴露出國內安全廠商和安全產業發展存在的諸多問題，我們的安全意識、技術和管理產業發展存在的諸多問題，我們的安全意識、技術和管理水平都亟待提高。如何真正提高終端安全性，水平都亟待提高。如何真正提高

9、終端安全性，可以得到如下啟示：可以得到如下啟示：案例案例（1）要建立可控的信息交換機制要建立可控的信息交換機制。不同等級網絡之間進行數據交換的需。不同等級網絡之間進行數據交換的需求是客觀存在的，禁止一切數據交換只會導致求是客觀存在的，禁止一切數據交換只會導致“地下地下”數據交換，專用數據交換，專用U盤、刻光盤，物理隔離都存在安全風險和漏洞。強行盤、刻光盤，物理隔離都存在安全風險和漏洞。強行“封堵封堵”不如合理不如合理“疏導疏導”，建立集中的數據交換渠道，并對交換過程進行全程監控和審，建立集中的數據交換渠道，并對交換過程進行全程監控和審計，切實落實信息使用和管理的相關責任，才能確保數據安全。計，

10、切實落實信息使用和管理的相關責任，才能確保數據安全。（2）攻擊和竊密是終端安全的外部原因攻擊和竊密是終端安全的外部原因，計算機系統存在缺陷或漏洞、，計算機系統存在缺陷或漏洞、系統配置不當是終端安全的內部原因。外因通過內因起作用，內因是決系統配置不當是終端安全的內部原因。外因通過內因起作用，內因是決定因素，通過實施終端安全核心配置，對操作系統等系統軟件和常用軟定因素，通過實施終端安全核心配置，對操作系統等系統軟件和常用軟件進行安全配置，提高系統自身安全性，減少系統安全漏洞，降低對第件進行安全配置，提高系統自身安全性，減少系統安全漏洞，降低對第三方工具技術的依賴，真正提高終端安全防護的自主性。三方

11、工具技術的依賴，真正提高終端安全防護的自主性。（3）國家應盡快建立政府終端安全保障基礎設施國家應盡快建立政府終端安全保障基礎設施，形成從中央到地方多，形成從中央到地方多級部署，覆蓋全國各級政府部門的終端安全管理應用支撐環境，實現對級部署，覆蓋全國各級政府部門的終端安全管理應用支撐環境，實現對全國政務終端的統一安全管理和安全狀態監測，掌握終端安全態勢，提全國政務終端的統一安全管理和安全狀態監測，掌握終端安全態勢，提高運行管理效率，保障國家信息安全。高運行管理效率，保障國家信息安全。（4）國家應加強對信息安全市場的監督管理，國家應加強對信息安全市場的監督管理，盡快出臺有關信息安全、盡快出臺有關信息

12、安全、軟件行為、信息采集及隱私保護方面的法律法規，規范商業競爭，維護軟件行為、信息采集及隱私保護方面的法律法規，規范商業競爭，維護廣大用戶的合法權益，促進國內安全廠商和信息安全產業的良性發展。廣大用戶的合法權益，促進國內安全廠商和信息安全產業的良性發展。（來源：國家信息中心（來源：國家信息中心 李新友李新友 劉蓓劉蓓 蔡軍霞蔡軍霞 許濤許濤 劉帥）劉帥）前言前言為什么實行等保為什么實行等保一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系法規法規 行政法規行政法規中華人民共和國計算機信息系統安全中華人民共和國計算機信息系統安全保護條例保護條例 1997 1997年國務院行政法規，規定

13、計算機信息系統實行安全年國務院行政法規，規定計算機信息系統實行安全等級保護。等級保護。 地方法規地方法規廣東省計算機信息系統安全保護條例廣東省計算機信息系統安全保護條例 20072007年廣東地方法規，系統規定了等級保護，并設置了年廣東地方法規，系統規定了等級保護，并設置了法律責任法律責任一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系規范性文件規范性文件 國家國家 關于信息安全等級保護工作的實施意見關于信息安全等級保護工作的實施意見 2004 2004年公安部、保密局、密碼委、信息辦聯合發文，初步年公安部、保密局、密碼委、信息辦聯合發文，初步規定了信息安全等級保護工作的指導思想、

14、原則、要求規定了信息安全等級保護工作的指導思想、原則、要求 信息安全等級保護管理辦法信息安全等級保護管理辦法 2007 2007年公安部、保密局、密碼委、信息辦聯合發文，系統年公安部、保密局、密碼委、信息辦聯合發文，系統規定了信息安全等級保護制度規定了信息安全等級保護制度一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系公安機關信息安全等級保護檢查工作規范（試行） 公安部十一局2008年頒發，規范監督檢查工作的具體要求。信息安全等級保護備案工作實施細則 公安部十一局2008年頒發一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系規范性文件規范性文件 地方地方 廣東省公安廳關

15、于計算機信息系統安全保護的實施辦法廣東省公安廳關于計算機信息系統安全保護的實施辦法 2008 2008年廣東省公安廳（經省政府法制辦審查通過）發布年廣東省公安廳（經省政府法制辦審查通過）發布 關于貫徹關于貫徹 和和 的通的通知知 2008 2008年廣東省公安廳網警總隊印發年廣東省公安廳網警總隊印發廣東省信息安全等級保護備案工作實施細則（試行）廣東省信息安全等級保護備案工作實施細則（試行） 20082008年廣東省公安廳網警總隊印發年廣東省公安廳網警總隊印發標準標準 系統定級系統定級 信息系統安全保護等級定級指南信息系統安全保護等級定級指南（國家推薦性標準）（國家推薦性標準） 安全保護安全保護

16、 信息系統安全等級保護基本要求信息系統安全等級保護基本要求（國家推薦性標準）（國家推薦性標準） 信息系統安全等級保護實施指南信息系統安全等級保護實施指南 信息系統安全等級保護安全設計技術要求信息系統安全等級保護安全設計技術要求 檢測評估檢測評估 信息系統安全等級保護基本要求信息系統安全等級保護基本要求 信息系統安全等級保護測評要求信息系統安全等級保護測評要求 監督檢查監督檢查 信息系統安全等級保護監督檢查要求信息系統安全等級保護監督檢查要求一、一、信息安全等級保護的制度體系信息安全等級保護的制度體系標準標準 計算機信息系統安全保護等級劃分準則計算機信息系統安全保護等級劃分準則（GB17859G

17、B17859- -19991999） 信息安全技術信息安全技術 網絡基礎安全技術要求網絡基礎安全技術要求 信息安全技術信息安全技術 信息系統通用安全技術要求信息系統通用安全技術要求 信息安全技術信息安全技術 操作系統安全技術要求操作系統安全技術要求 信息安全技術信息安全技術 數據庫管理系統安全技術要求數據庫管理系統安全技術要求 信息安全技術信息安全技術 服務器技術要求服務器技術要求 信息安全技術信息安全技術 終端計算機系統安全等級技術要求終端計算機系統安全等級技術要求一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系原則原則來源：來源：關于信息安全等級保護工作的實施意見關于信息安全等

18、級保護工作的實施意見信息安全等級保護制度遵循以下基本原則：信息安全等級保護制度遵循以下基本原則：一是明確責任，共同保護一是明確責任，共同保護二是依照標準，自行保護二是依照標準，自行保護三是同步建設，動態調整三是同步建設，動態調整四是指導監督，保護重點四是指導監督，保護重點二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 明確責任，共同保護明確責任，共同保護 通過等級保護，組織和動員職能部門、法人和其他組織、通過等級保護，組織和動員職能部門、法人和其他組織、公民共同參與信息安全保護工作；各方主體按照規范和標公民共同參與信息安全保護工作；各方主體按照規范和標準分別承擔相應的、明確具體的

19、信息安全保護責任準分別承擔相應的、明確具體的信息安全保護責任。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 依照標準，自行保護依照標準，自行保護 國家運用強制性的規范及標準，要求信息和信息系統按照國家運用強制性的規范及標準，要求信息和信息系統按照相應的建設和管理要求，自行定級、自行保護相應的建設和管理要求，自行定級、自行保護。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 同步建設，動態調整。同步建設，動態調整。 信息系統在新建、改建、擴建時應當同步建設信息安全設信息系統在新建、改建、擴建時應當同步建設信息安全設施，保障信息安全與信息化建設相適應。因信息和信息

20、系施，保障信息安全與信息化建設相適應。因信息和信息系統的應用類型、范圍等條件的變化及其他原因，安全保護統的應用類型、范圍等條件的變化及其他原因，安全保護等級需要變更的，應當根據等級保護的管理規范和技術標等級需要變更的，應當根據等級保護的管理規范和技術標準的要求，重新確定信息系統的安全保護等級。等級保護準的要求，重新確定信息系統的安全保護等級。等級保護的管理規范和技術標準應按照等級保護工作開展的實際情的管理規范和技術標準應按照等級保護工作開展的實際情況適時修訂況適時修訂。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 指導監督，重點保護指導監督，重點保護 國家指定信息安全監管職能

21、部門通過備案、指導、檢查、國家指定信息安全監管職能部門通過備案、指導、檢查、督促整改等方式，對重要信息和信息系統的信息安全保護督促整改等方式，對重要信息和信息系統的信息安全保護工作進行指導監督。工作進行指導監督。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求主要內容主要內容來源：來源：信息安全等級保護管理辦法信息安全等級保護管理辦法國家通過制定統一的信息安全等級保護管理規范和技術標準，國家通過制定統一的信息安全等級保護管理規范和技術標準，組織公民、法人和其他組織對信息系統分等級實行安全保組織公民、法人和其他組織對信息系統分等級實行安全保護，對等級保護工作的實施進行監督、管理。護

22、，對等級保護工作的實施進行監督、管理。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求職責分工職責分工 公安機關公安機關負責信息安全等級保護工作的監督、檢查、指負責信息安全等級保護工作的監督、檢查、指導。導。 國家保密工作部門國家保密工作部門負責等級保護工作中有關保密工作的負責等級保護工作中有關保密工作的監督、檢查、指導。監督、檢查、指導。 國家密碼管理部門國家密碼管理部門負責等級保護工作中有關密碼工作的負責等級保護工作中有關密碼工作的監督、檢查、指導監督、檢查、指導。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 在信息安全等級保護工作中，涉及其他職能部門管在信

23、息安全等級保護工作中，涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規的規定轄范圍的事項，由有關職能部門依照國家法律法規的規定進行管理。進行管理。 國務院信息化工作辦公室及地方信息化領導小組辦事機國務院信息化工作辦公室及地方信息化領導小組辦事機構構負責信息安全等級保護工作中部門間的協調。負責信息安全等級保護工作中部門間的協調。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 信息系統的主管部門應當依照相關規范和標準督促、信息系統的主管部門應當依照相關規范和標準督促、檢查、指導本行業、本部門或本地區信息系統運營、使用檢查、指導本行業、本部門或本地區信息系統運營、使用單

24、位的信息安全等級保護工作。單位的信息安全等級保護工作。 信息系統運營、使用單位應當按照等級保護的管理規范信息系統運營、使用單位應當按照等級保護的管理規范和相關標準規范履行信息安全等級保護的義務和責任。和相關標準規范履行信息安全等級保護的義務和責任。二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 省公安廳、省國家保密局、省國家密碼管理局、省信息化省公安廳、省國家保密局、省國家密碼管理局、省信息化領導小組辦公室聯合成立信息安全等級保護工作協調小組領導小組辦公室聯合成立信息安全等級保護工作協調小組各行業主管部門要成立行業信息安全等級保護工作小組各行業主管部門要成立行業信息安全等級保護工

25、作小組各地級以上市參照成立相應工作機制各地級以上市參照成立相應工作機制重要信息系統運營使用單位成立信息安全等級保護工作組重要信息系統運營使用單位成立信息安全等級保護工作組 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求公安機關職責內容公安機關職責內容 指導信息系統運營使用單位及其主管部門確定系指導信息系統運營使用單位及其主管部門確定系統安全保護等級。統安全保護等級。 指導信息安全等級保護的建設、整改和管理。指導信息安全等級保護的建設、整改和管理。 接受信息系統安全保護等級的備案。接受信息系統安全保護等級的備案。 定期對受理備案的信息系統安全保護狀況依法進定期對受理備案的信息系統安

26、全保護狀況依法進行監督、檢查。行監督、檢查。 對安全保護等級為第三級以上信息系統選擇使用對安全保護等級為第三級以上信息系統選擇使用信息安全產品的情況進行監督管理。信息安全產品的情況進行監督管理。 對信息安全等級保護檢測評估服務機構的監督管對信息安全等級保護檢測評估服務機構的監督管理。理。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求各個環節各個環節 組織開展調查摸底組織開展調查摸底 合理確定保護等級合理確定保護等級 依法履行備案手續依法履行備案手續 開展安全建設整改開展安全建設整改 組織系統安全測評組織系統安全測評 加

27、強日常測評自查加強日常測評自查 加強安全監督檢查加強安全監督檢查 組織開展調查摸底組織開展調查摸底 各信息系統主管部門、運營使用單位組織開展對所屬各信息系統主管部門、運營使用單位組織開展對所屬信息系統的摸底調查，全面掌握信息系統的數量、分布、信息系統的摸底調查，全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構以及系統建設規劃業務類型、應用或服務范圍、系統結構以及系統建設規劃等基本情況，為開展信息安全等級保護工作打下基礎等基本情況，為開展信息安全等級保護工作打下基礎。二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 合理確定保護等級合理確定保護等級（信息化項目立項前）

28、（信息化項目立項前） 來源和依據：來源和依據：信息安全等級保護管理辦法信息安全等級保護管理辦法、廣東省計算機信息系統安廣東省計算機信息系統安全保護條例全保護條例，信息安全等級保護實施指南信息安全等級保護實施指南、信息系統安全等級保護信息系統安全等級保護定級指南定級指南 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 定級標準定級標準：計算機信息系統安全保護等級根據計算機計算機信息系統安全保護等級根據計算機信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統在國家安全、經濟建設、社會生活中的重要程度，計算機信息系統受到破壞后對國家安全、社會秩序、公共計算機信息系統受到破壞后

29、對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等利益以及公民、法人和其他組織的合法權益的危害程度等因素確定，分為五級：因素確定，分為五級： 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求（一）計算機信息系統受到破壞后，可能對公民、法人和其一）計算機信息系統受到破壞后，可能對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益的，序和公共利益的，為第一級為第一級； 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求（二）計算機信息系統受到破壞后，可能對公民、法人和其二）計

30、算機信息系統受到破壞后，可能對公民、法人和其他組織的合法權益產生嚴重損害，或者可能對社會秩序和他組織的合法權益產生嚴重損害，或者可能對社會秩序和公共利益造成損害，但不損害國家安全的公共利益造成損害，但不損害國家安全的，為第二級；為第二級； 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求（三（三）計算機信息系統受到破壞后，可能對社會秩序和公）計算機信息系統受到破壞后，可能對社會秩序和公共利益造成嚴重損害，或者可能對國家安全造成損害的，共利益造成嚴重損害，或者可能對國家安全造成損害的，為第三級為第三級； 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求（四）計算機信息系統

31、受到破壞后，可能對社會秩序和公共四）計算機信息系統受到破壞后，可能對社會秩序和公共利益造成特別嚴重損害，或者可能對國家安全造成嚴重損利益造成特別嚴重損害，或者可能對國家安全造成嚴重損害的，為害的，為第四級第四級；（五）計算機信息系統受到破壞后，可能對國家安全造成特（五）計算機信息系統受到破壞后，可能對國家安全造成特別嚴重損害的，為別嚴重損害的，為第五級。第五級。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求定級程序：定級程序：信息系統運營、使用單位信息系統運營、使用單位應應當依照相關規定和標準和行業指當依照相關規定和標準和行業指導意見導意見確定信息系統的安全保護等級。有主管部門

32、的，應確定信息系統的安全保護等級。有主管部門的，應當經主管部門審核批準。當經主管部門審核批準。跨省或者全國跨省或者全國統一聯網運行的信息系統可以由主管部門統統一聯網運行的信息系統可以由主管部門統一一確定安全保護等級。確定安全保護等級。對擬確定為第四級以上信息系統的，運營、使用單位或者主對擬確定為第四級以上信息系統的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。管部門應當請國家信息安全保護等級專家評審委員會評審。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求定級注意事項一級信息系統：適用于鄉鎮所屬信息系統、縣級某些單位中不重要的信息系統。小型個體、私營

33、企業中的信息系統。中小學中的信息系統。二級信息系統：適用于地市級以上國家機關、企業、事業單位內部一般的信息系統。例如小的局域網，非涉及秘密、敏感信息的辦公系統等。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求三級信息系統：適用于地市級以上國家機關、企業、事業單位內部重要的信息系統；重要領域、重要部門跨省、跨市或全國（省）聯網運行的信息系統；跨省或全國聯網運行重要信息系統在省、地市的分支系統；各部委官方網站；跨省（市）聯接的信息網絡等。四級信息系統：適用于重要領域、重要部門三級信息系統中的部分重要系統。例如全國鐵路、民航、電力等調度系統，銀行、證券、保險、稅務、海關等部門中的核心系

34、統。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 在申報系統新建、改建、擴建立項時在申報系統新建、改建、擴建立項時須同時向立項審批部門提交定級報告須同時向立項審批部門提交定級報告。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 依法履行備案手續依法履行備案手續 來源和依據：來源和依據：信息安全等級保護管理辦法信息安全等級保護管理辦法、廣東省計算機信息系統安廣東省計算機信息系統安全保護條例全保護條例，廣東省信息安全等級保護備案工作實施細則（試行），廣東省信息安全等級保護備案工作實施細則（試行） 、信信息安全等級保護備案實施細則息安全等級保護備案實施細則 、信息安全等

35、級保護實施指南信息安全等級保護實施指南二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 備案時限。已運營（運行）的第二級以上信息系統，已運營（運行）的第二級以上信息系統，應當在安全保護等級確定后應當在安全保護等級確定后3030日內，由其運營、使用單位日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。到所在地設區的市級以上公安機關辦理備案手續。 新建第二級以上信息系統，在通過信息化項目立項后，新建第二級以上信息系統，在通過信息化項目立項后，由其運營、使用單位在由其運營、使用單位在3030日內到所在地設區的市級以上公日內到所在地設區的市級以上公安機關辦理備案手續。安機

36、關辦理備案手續。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 補充備案。補充備案。第三級以上信息系統還應當在系統整改、測評第三級以上信息系統還應當在系統整改、測評完成后完成后3030日內補交日內補交備案表備案表表四及其有關材料表四及其有關材料。 變更備案變更備案。備案表備案表所載事項發生變更，備案單位應所載事項發生變更，備案單位應當自變更之日起當自變更之日起3030日內重新填寫日內重新填寫備案表備案表報公安機關網報公安機關網監部門備案。其中，變更事項涉及監部門備案。其中，變更事項涉及備案證明備案證明的，公機的，公機關網監部門應當重新頒布關網監部門應當重新頒布備案證明備案證明。

37、 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 書面填寫書面填寫信息系統安全等級保護備案表信息系統安全等級保護備案表 一式兩份。可填一式兩份。可填WORDWORD文檔，再打印輸出，附上附件。文檔，再打印輸出，附上附件。利用備案工具填寫利用備案工具填寫。涉密系統填寫涉密系統填寫涉及國家秘密的信息系統分級保護備案表涉及國家秘密的信息系統分級保護備案表，向，向保密部門備案。保密部門備案。備案表填寫注意事項備案表填寫注意事項 信息系統安全等級保護備案表信息系統安全等級保護備案表 WORD WORD文檔和備案工具文檔和備案工具及其他相關材料可到及其他相關材料可到廣東網警廣東網警網站網站信

38、息安全等級保護欄目下載。信息安全等級保護欄目下載。備案表填寫注意事項備案表填寫注意事項信息系統安全等級保護備案表信息系統安全等級保護備案表補充說明補充說明 一、表一一、表一0404行政區劃代碼行政區劃代碼可到可到廣東網警廣東網警網站信息安全等級保護欄目下載網站信息安全等級保護欄目下載廣東行廣東行政區劃代碼政區劃代碼查詢。查詢。二、表一二、表一0808隸屬關系隸屬關系1 1省直國家機關、省政府直屬的企業、事業單位，國資委省直國家機關、省政府直屬的企業、事業單位，國資委管理的企業選管理的企業選“2 2省省( (自治區、直轄市自治區、直轄市)”)”。2 2省直部門下設的企業、事業單位選省直部門下設的

39、企業、事業單位選“9 9其他其他 ”，再在橫線上注明是哪個部門下設的企業、事業單位。再在橫線上注明是哪個部門下設的企業、事業單位。備案表填寫注意事項備案表填寫注意事項 三、表二三、表二0707關鍵產品使用情況的部分使用及使用率關鍵產品使用情況的部分使用及使用率使用率：軟件按產品的種類來計，硬件按件數來計。使用率：軟件按產品的種類來計，硬件按件數來計。四、表三四、表三0606是否有主管部門是否有主管部門1 1企業、事業單位有主管部門的應履行相關報批手續，選企業、事業單位有主管部門的應履行相關報批手續，選“有有”。2 2國家機關可選國家機關可選“無無”，但在實際操作中可征求上級部門，但在實際操作中

40、可征求上級部門意見；如本系統內部有規定明確要經上級部門審批的，意見；如本系統內部有規定明確要經上級部門審批的，應履行審批手續。應履行審批手續。 備案表填寫注意事項備案表填寫注意事項 管轄原則。管轄原則。 備案管轄分工采取級別管轄和屬地管轄相結合。備案管轄分工采取級別管轄和屬地管轄相結合。 中央在京單位。隸屬于中央的在京單位，其跨省或者全國統一中央在京單位。隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由公安部公共信聯網運行并由主管部門統一定級的信息系統，由公安部公共信息網絡安全監察局受理備案，其他信息系統由北京市公安局公息網絡安全監察局受理備案，其他信息系統由

41、北京市公安局公共信息網絡安全監察部門受理備案。共信息網絡安全監察部門受理備案。 中央駐粵及省直國有單位。隸屬中央或省的駐穗國有單位的中央駐粵及省直國有單位。隸屬中央或省的駐穗國有單位的信息系統，信息系統，由省公安廳網警總隊受理備案由省公安廳網警總隊受理備案。上述單位在各地運。上述單位在各地運行、維護的分支系統由其在各地的分支機構報所在地地級以上行、維護的分支系統由其在各地的分支機構報所在地地級以上市公安機關網監部門備案。市公安機關網監部門備案。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求辦理信息系統安全保護等級備案手續時，應當填寫辦理信息系統安全保護等級備案手續時，應當填寫信息

42、系統安信息系統安全等級保護備案表全等級保護備案表，第三級以上信息系統應當同時提供以第三級以上信息系統應當同時提供以下材料：下材料：（一）系統拓撲結構及說明；（一）系統拓撲結構及說明；（二）系統安全組織機構和管理制度；（二）系統安全組織機構和管理制度；（三）系統安全保護設施設計實施方案或者改建實施方案；（三）系統安全保護設施設計實施方案或者改建實施方案； （四）系統使用的信息安全產品清單及其認證、銷售許可證明；（四）系統使用的信息安全產品清單及其認證、銷售許可證明； （五）測評后符合系統安全保護等級的技術檢測評估報告；（五）測評后符合系統安全保護等級的技術檢測評估報告；（六）信息系統安全保護等級

43、專家評審意見；（六）信息系統安全保護等級專家評審意見；（七）主管部門審核批準信息系統安全保護等級的意見。（七）主管部門審核批準信息系統安全保護等級的意見。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 備案申請備案申請 辦理備案手續，應當到公安機關指定網址下載信息安全等級辦理備案手續，應當到公安機關指定網址下載信息安全等級保護備案軟件，利用該軟件填寫生成保護備案軟件，利用該軟件填寫生成信息系統安全等級保信息系統安全等級保護備案表護備案表（簡稱（簡稱備案表備案表，下同）表一、表二、表三紙，下同）表一、表二、表三紙質質WORDWORD格式文檔一式兩份和電子數據（格式文檔一式兩份和電

44、子數據（RARRAR格式），并準格式），并準備好相關附件（一式兩份），向公安機關網監部門提出備案備好相關附件（一式兩份），向公安機關網監部門提出備案申請申請。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求實質審查實質審查。對于通過形式審查的單位，公安網監部門應當在對于通過形式審查的單位，公安網監部門應當在1010個工作日內對個工作日內對下列內容進行審查：下列內容進行審查：1 1備案表備案表項目填寫是否完整，是否符合要求，紙質材料和項目填寫是否完整，是否符合要求，紙質材料和電子數據是否一致；電子數據是否一致； 2 2信息系統所定安全保護等級是否準確信息系統所定安全保護等級是否準確。

45、二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求審查結論審查結論。對符合要求的對符合要求的，公安機關網監部門應當在公安機關網監部門應當在備案表備案表加蓋公加蓋公共信息網絡安全監察專用章并將其中一份反饋備案單位，并共信息網絡安全監察專用章并將其中一份反饋備案單位，并出具出具信息系統安全等級保護備案證明信息系統安全等級保護備案證明（以下簡稱（以下簡稱備案備案證明證明）。）。備案證明備案證明由公安部統一監制。由公安部統一監制。對不符合要求的對不符合要求的，公安網監部門應當出具公安網監部門應當出具信息系統安全信息系統安全等級保護備案審核結果通知等級保護備案審核結果通知，通知備案單位進行整改

46、。其，通知備案單位進行整改。其中，對定級不準的備案單位，在通知整改的同時，應當建議中，對定級不準的備案單位，在通知整改的同時，應當建議備案單位重新定級。（七）主管部門審核批準信息系統安全備案單位重新定級。（七）主管部門審核批準信息系統安全保護等級的意見保護等級的意見。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 運營、使用單位或者其主管部門重新確定計算機信息系統等運營、使用單位或者其主管部門重新確定計算機信息系統等級的，應當按照本條例向公安機關重新備案級的，應當按照本條例向公安機關重新備案。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 法律責任法律責任 廣東

47、省計算機信息系統安全保護條例廣東省計算機信息系統安全保護條例規定，計算機信息規定，計算機信息系統的運營、使用單位沒有向地級市以上人民政府公安機關系統的運營、使用單位沒有向地級市以上人民政府公安機關備案的，或者違反本條例第三十六條規定，接到公安機關要備案的，或者違反本條例第三十六條規定，接到公安機關要求整改的通知后拒不按要求整改的，由公安機關處以警告或求整改的通知后拒不按要求整改的，由公安機關處以警告或者停機整頓者停機整頓。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 開展安全建設整改開展安全建設整改 來源和依據：來源和依據：信息安全等級保護管理辦法信息安全等級保護管理辦法、廣

48、東省計算機信息系統安全廣東省計算機信息系統安全保護條例保護條例，信息安全等級保護實施指南信息安全等級保護實施指南、信息系統安全等級保護基信息系統安全等級保護基本要求本要求等等二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 運營、使用單位應當按照國家信息安全等級保護管理運營、使用單位應當按照國家信息安全等級保護管理規范和技術標準，使用符合國家有關規定，滿足信息規范和技術標準，使用符合國家有關規定，滿足信息系統安全保護等級需求的信息技術產品，開展信息系系統安全保護等級需求的信息技術產品，開展信息系統安全建設或者改建工作統安全建設或者改建工作。 計算機信息系統規劃、設計、建設和維護應當

49、同步落計算機信息系統規劃、設計、建設和維護應當同步落實相應的安全措施實相應的安全措施二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 在信息系統建設過程中，運營、使用單位應當按照在信息系統建設過程中，運營、使用單位應當按照計算計算機信息系統安全保護等級劃分準則機信息系統安全保護等級劃分準則（GB17859-GB17859-19991999）、）、信息系統安全等級保護基本要求信息系統安全等級保護基本要求等技術標等技術標準，參照準，參照信息安全技術信息安全技術 信息系統通用安全技術要求信息系統通用安全技術要求（GB/T20271-2006GB/T20271-2006）、）、信息安全技術

50、信息安全技術 網絡基礎安全網絡基礎安全技術要求技術要求（GB/T20270-2006GB/T20270-2006）、）、信息安全技術信息安全技術 操操作系統安全技術要求作系統安全技術要求（GB/T20272-2006GB/T20272-2006）、）、信息信息安全技術安全技術 數據庫管理系統安全技術要求數據庫管理系統安全技術要求（GB/T20273-2006GB/T20273-2006）、）、信息安全技術信息安全技術 服務器技術要服務器技術要求求、信息安全技術信息安全技術 終端計算機系統安全等級技術要終端計算機系統安全等級技術要求求（GA/T671-2006GA/T671-2006）等技術標準

51、同步建設符合該等）等技術標準同步建設符合該等級要求的信息安全設施。級要求的信息安全設施。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 運營、使用單位應當參照運營、使用單位應當參照信息安全技術信息安全技術 信息系統安信息系統安全管理要求全管理要求（GB/T20269-2006GB/T20269-2006）、）、信息安全技信息安全技術術 信息系統安全工程管理要求信息系統安全工程管理要求（GB/T20282-GB/T20282-20062006）、）、信息系統安全等級保護基本要求信息系統安全等級保護基本要求等管理等管理規范，制定并落實符合本系統安全保護等級要求的安全規范，制定并落實符

52、合本系統安全保護等級要求的安全管理制度管理制度。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求通過委托等保測評機構進行測評、風險評估等方式分析整改需通過委托等保測評機構進行測評、風險評估等方式分析整改需求，或者委托等保技術支持單位、安全服務機構（須已參加安求，或者委托等保技術支持單位、安全服務機構（須已參加安全服務機構從業人員培訓班并取得信息網絡安全專業技術人員全服務機構從業人員培訓班并取得信息網絡安全專業技術人員繼續教育證書）提供咨詢等方式對照有關標準了解系統安全保繼續教育證書）提供咨詢等方式對照有關標準了解系統安全保護現狀以及與相應等級保護要求的差距，分析整改需求。護現狀以

53、及與相應等級保護要求的差距，分析整改需求。制訂安全整改方案。制訂安全整改方案。落實安全整改技術措施和完善安全管理制度落實安全整改技術措施和完善安全管理制度。已投入使用的系統已投入使用的系統在實施項目時，要同步設計、同步建設等級保護措在實施項目時，要同步設計、同步建設等級保護措施施。對照相應等級的安全保護要求，制訂安全建設方案對照相應等級的安全保護要求，制訂安全建設方案。落實安全技術措施和制訂安全管理制度。落實安全技術措施和制訂安全管理制度。新建系統新建系統 組織系統安全測評組織系統安全測評 來源和依據：來源和依據：信息安全等級保護管理辦法信息安全等級保護管理辦法、廣東省計算機信息系統安廣東省計

54、算機信息系統安全保護條例全保護條例、廣東省信息安全等級測評工作細則廣東省信息安全等級測評工作細則，信息安全等級保信息安全等級保護實施指南護實施指南、信息系統安全等級保護測評準則信息系統安全等級保護測評準則等等二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 信息系統建設完成后，二級以上信息系統建設完成后，二級以上的信息系統的的信息系統的運營使用單位應當選擇符合國家規定的測評機構進行測評運營使用單位應當選擇符合國家規定的測評機構進行測評（在系統試運行階段）合格方可投入使用。已投入運行信（在系統試運行階段）合格方可投入使用。已投入運行信息系統在完成系統整改后也應當進行測評。經測評，信息

55、息系統在完成系統整改后也應當進行測評。經測評，信息系統安全狀況未達到安全保護等級要求的，運營使用單位系統安全狀況未達到安全保護等級要求的，運營使用單位應當制定方案進行整改。應當制定方案進行整改。 電子政務信息系統均應測評合格方可投入電子政務信息系統均應測評合格方可投入使用使用。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 測評程序測評程序 計算機信息系統運營、使用單位委托安全測評機構測評，計算機信息系統運營、使用單位委托安全測評機構測評，應當提交下列資料：應當提交下列資料： （一）（一）安全測評委托書安全測評委托書； （二）（二）計算機信息系統應用需求計算機信息系統應用需求、系

56、統結構拓撲及說明、系統結構拓撲及說明、系統安全組織結構和管理制度、安全保護設施設計實施方系統安全組織結構和管理制度、安全保護設施設計實施方案或者改建實施方案、系統軟件硬件和信息安全產品清單。案或者改建實施方案、系統軟件硬件和信息安全產品清單。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求安全測評機構在收到委托材料后，應當與委托方協商制訂安安全測評機構在收到委托材料后，應當與委托方協商制訂安全測評計劃，開展安全測評工作，并出具安全測評報告。全測評計劃，開展安全測評工作，并出具安全測評報告。經測評，計算機信息系統安全狀況未達到國家有關規定和標經測評，計算機信息系統安全狀況未達到國家有

57、關規定和標準的要求的，委托單位應當根據測評報告的建議，完善計準的要求的，委托單位應當根據測評報告的建議，完善計算機信息系統安全建設，并重新提出安全測評委托。算機信息系統安全建設，并重新提出安全測評委托。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求測評機構對計算機信息系統進行使用前安全測評，應當預先測評機構對計算機信息系統進行使用前安全測評，應當預先報告地級以上市公安機關公共信息網絡安全監察部門。報告地級以上市公安機關公共信息網絡安全監察部門。安全測評報告由計算機信息系統運營、使用單位報地級以上安全測評報告由計算機信息系統運營、使用單位報地級以上市公安機關公共信息網絡安全監察部門

58、。市公安機關公共信息網絡安全監察部門。還須報送還須報送信息系統安全等級保護備案信息系統安全等級保護備案表二，表四（三級表二，表四（三級以上系統，含三級）以上系統，含三級）。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 法律責任法律責任 廣東省計算機信息系統安全保護條例廣東省計算機信息系統安全保護條例規定，第二級規定，第二級以上計算機信息系統的運營、使用單位計算機信息系統投以上計算機信息系統的運營、使用單位計算機信息系統投入使用前未經符合國家規定的安全等級測評機構測評合格入使用前未經符合國家規定的安全等級測評機構測評合格的的 ，由公安機關責令限期改正，給予警告；逾期不改的，由公

59、安機關責令限期改正，給予警告；逾期不改的，對單位的主管人員、其他直接責任人員可以處五千元以下對單位的主管人員、其他直接責任人員可以處五千元以下罰款，對單位可以處一萬五千元以下罰款。有違法所得的，罰款，對單位可以處一萬五千元以下罰款。有違法所得的，沒收違法所得；情節嚴重的，并給予六個月以內的停止聯沒收違法所得；情節嚴重的，并給予六個月以內的停止聯網、停機整頓的處罰；必要時公安機關可以建議原許可機網、停機整頓的處罰；必要時公安機關可以建議原許可機構撤銷許可或者取消聯網資格。構撤銷許可或者取消聯網資格。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 加強日常測評自查加強日常測評自查 來

60、源和依據：來源和依據：信息安全等級保護管理辦法信息安全等級保護管理辦法、廣東省計算機信息系統安廣東省計算機信息系統安全保護條例全保護條例、廣東省信息安全等級測評工作細則廣東省信息安全等級測評工作細則，信息安全等級保信息安全等級保護實施指南護實施指南、信息系統安全等級保護測評準則信息系統安全等級保護測評準則二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 計算機信息系統的運營、使用單位及其主管部門應當按照計算機信息系統的運營、使用單位及其主管部門應當按照國家規定定期對計算機信息系統開展安全等級測評，并對國家規定定期對計算機信息系統開展安全等級測評，并對計算機信息系統安全狀況、安全管理