信息安全等級保護管理辦法?第一章總則第一條目的為規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規，制定本辦法。第二條適用范圍本辦法適用于在中華人民共和國境內運營中收集、存儲、傳輸、處理和使用公民、法人和其他組織的信息系統，以及與之相關的網絡設施和數據資源。第三條定義1.信息系統：指由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。2.等級保護：指對信息系統分等級實行安全保護，根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素，將信息系統劃分為不同等級，采取相應的安全保護技術和管理措施。第四條原則信息安全等級保護堅持自主定級、自主保護的原則。信息系統運營、使用單位應當依據本辦法和相關技術標準對信息系統進行保護，國家有關信息安全監管部門對其信息安全等級保護工作進行監督、檢查和指導。第二章等級劃分與保護要求第五條等級劃分信息系統的安全保護等級分為以下五級：1.第一級：信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。2.第二級：信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。3.第三級：信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。4.第四級：信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。5.第五級：信息系統受到破壞后，會對國家安全造成特別嚴重損害。第六條各等級保護要求1.第一級：基本要求：具備基本的安全保護能力，能夠防護系統免受一般的安全威脅。技術要求：包括網絡安全、主機安全、應用安全、數據安全等方面的基本防護措施。管理要求：建立基本的安全管理制度，明確安全責任，進行日常的安全檢查和維護。2.第二級：基本要求：在第一級基礎上，具有較強的安全保護能力，能夠防護系統免受較大的安全威脅。技術要求：加強網絡安全防護，提高主機和應用系統的安全性，保障數據的完整性和保密性。管理要求：完善安全管理制度，加強人員安全管理，定期進行安全評估和整改。3.第三級：基本要求：具有較高的安全保護能力，能夠有效防護系統免受重大安全威脅。技術要求：采用多種安全技術手段，構建多層次的安全防護體系，確保系統的可靠性、完整性和保密性。管理要求：建立健全的安全管理體系，加強安全策略制定和實施，開展應急響應演練。4.第四級：基本要求：具有很強的安全保護能力，能夠抵御嚴重的安全威脅。技術要求：運用先進的安全技術，實施全方位的安全防護，具備容災備份等高級安全功能。管理要求：強化安全管理，制定嚴格的安全策略和操作規程，確保安全管理措施的有效執行。5.第五級：基本要求：具有最高級別的安全保護能力，能夠抵御國家級別的安全威脅。技術要求：采用最先進的安全技術，構建高度安全可靠的防護體系，具備嚴格的訪問控制和數據加密等措施。管理要求：實行嚴格的安全管理制度，由專門的安全管理團隊負責安全保障工作，確保系統處于絕對安全狀態。第三章等級保護工作流程第七條定級1.信息系統運營、使用單位應當依據本辦法和相關標準，自行確定信息系統的安全保護等級。2.確定為第二級（含）以上信息系統的運營、使用單位，應當在確定后30日內，到所在地設區的市級以上公安機關辦理備案手續。3.公安機關收到備案材料后，應當在10個工作日內對備案材料的完整性進行審查，符合要求的，予以備案；不符合要求的，書面通知備案單位并說明理由。第八條備案1.備案材料包括：信息系統定級報告，包括系統概述、信息安全狀況、業務信息安全或系統服務安全分析、定級情況說明等。信息系統安全保護基本方案，包括安全策略、安全技術措施、安全管理措施等。信息系統安全保護建設整改計劃，包括整改目標、整改內容、整改進度安排等。信息系統安全保護等級測評報告，由具備相應資質的測評機構出具。信息系統安全管理制度，包括人員安全管理、安全審計、應急響應等制度。2.運營、使用單位應當按照公安機關的要求，及時補充完善備案材料。第九條建設整改1.運營、使用單位應當依據信息系統的安全保護等級要求，按照國家有關規定和標準，進行信息系統的安全建設和整改。2.安全建設整改應當優先選擇使用符合國家有關規定和標準的信息安全產品。3.運營、使用單位應當定期對信息系統的安全狀況進行自查，發現問題及時整改。第十條等級測評1.信息系統運營、使用單位應當定期委托具備相應資質的測評機構對信息系統進行安全等級測評。2.第二級信息系統應當每年進行一次等級測評，第三級信息系統應當每兩年進行一次等級測評，第四級信息系統應當每半年進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評。3.測評機構應當按照國家有關規定和標準，客觀、公正地出具測評報告，并對測評結果負責。第十一條監督檢查1.公安機關應當依法對信息系統運營、使用單位的等級保護工作進行監督檢查。2.監督檢查內容包括：定級備案情況、安全建設整改情況、等級測評情況、安全管理制度落實情況等。3.公安機關在監督檢查中發現問題的，應當及時下達整改通知書，要求運營、使用單位限期整改。運營、使用單位應當按照要求進行整改，并將整改情況報告公安機關。第四章信息安全等級保護測評機構管理第十二條資質條件1.測評機構應當具備以下條件：具有獨立法人資格。有固定的工作場所和必要的測評設備。有熟悉信息安全等級保護測評標準和方法的專業技術人員。有完善的信息安全等級保護測評管理制度和質量保證體系。2.測評機構應當按照國家有關規定，取得相應的資質證書。第十三條申請與審批1.測評機構應當向所在地省級公安機關提出資質申請，并提交相關材料。2.省級公安機關應當在收到申請材料后20個工作日內進行初審，初審合格的，報公安部審批；初審不合格的，書面通知申請機構并說明理由。3.公安部應當在收到省級公安機關報送的初審意見和申請材料后20個工作日內進行審批，審批合格的，頒發資質證書；審批不合格的，書面通知申請機構并說明理由。第十四條監督管理1.公安部負責對全國測評機構進行監督管理，省級公安機關負責對本行政區域內測評機構進行監督管理。2.公安機關應當定期對測評機構的工作質量進行檢查，發現問題的，責令其限期整改；情節嚴重的，吊銷其資質證書。3.測評機構應當按照國家有關規定和標準，開展等級測評工作，并對測評結果負責。第五章法律責任第十五條運營、使用單位責任1.運營、使用單位違反本辦法規定，有下列情形之一的，由公安機關責令限期改正；逾期不改正的，給予警告，并可以根據情節輕重處以五千元以上三萬元以下罰款：未按照本辦法規定確定信息系統安全保護等級的。未按照本辦法規定進行備案的。未按照本辦法規定開展安全建設整改的。未按照本辦法規定進行等級測評的。未按照本辦法規定落實安全管理制度的。2.運營、使用單位違反本辦法規定，導致信息系統安全事故的，由公安機關責令改正，給予警告；造成嚴重后果的，依法追究相關人員的法律責任。第十六條測評機構責任1.測評機構違反本辦法規定，有下列情形之一的，由公安機關責令限期改正；逾期不改正的，給予警告，并可以根據情節輕重處以五千元以上三萬元以下罰款：未按照本辦法規定取得資質證書開展測評工作的。未按照國家有關規定和標準進行測評的。出具虛假測評報告的。2.測評機構違反本辦法規定，導致信息系統安全事故的，由公安機關責令改正，給予警告；造成嚴重后果的，依法追究相關人員的法律責任。第十七條其他責任1.違反本辦法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。2.公安機關工作人員在信息安全等級保護管理工作中濫用職權、玩忽職守、徇私舞弊的，依法給予處分；構成犯罪的，依法追究刑事責任。第六章附則第十八條解釋權本辦法由公安部負責解釋。第十九條實施日