第一章 总则
第一条 为标准信息宁静品级掩护办理,进步信息宁静保证才能和程度,维护国度宁静、社会波动和大众长处,保证和促进信息化建立,依据《中华人民共和国盘算机信息体系宁静掩护条例》等有关执法法例,订定本措施。
第二条 国度经过订定一致的信息宁静品级掩护办理标准和技能尺度,构造百姓、法人和其他构造对信息体系分品级实验宁静掩护,对品级掩护事情的实行举行监视、办理。
第三条 公安构造卖力信息宁静品级掩护事情的监视、反省、引导。国度失密事情部分卖力品级掩护事情中有关失密事情的监视、反省、引导。国度暗码办理部分卖力品级掩护事情中有关暗码事情的监视、反省、引导。触及其他职能部分统领范畴的事变,由有关职能部分按照国度执法法例的划定举行办理。国务院信息化事情办公室及地方信息化向导小组服务机构卖力品级掩护事情的部分间和谐。
第四条 信息体系主管部分该当按照本措施及相干尺度标准,催促、反省、引导本行业、本部分大概当地区信息体系运营、利用单元的信息宁静品级掩护事情。
第五条 信息体系的运营、利用单元该当按照本措施及其相干尺度标准,实行信息宁静品级掩护的任务和责任。
第二章 品级分别与掩护
第六条 国度信息宁静品级掩护对峙自主定级、自主掩护的准绳。信息体系的宁静掩护品级该当依据信息体系在国度宁静、经济建立、社会生存中的紧张水平,信息体系遭到毁坏后对国度宁静、社会次序、大众长处以及百姓、法人和其他构造的正当权柄的危害水平等要素确定。
第七条 信息体系的宁静掩护品级分为以下五级:
第一级,信息体系遭到毁坏后,会对百姓、法人和其他构造的正当权柄形成侵害,但不侵害国度宁静、社会次序和大众长处。
第二级,信息体系遭到毁坏后,会对百姓、法人和其他构造的正当权柄发生严峻侵害,大概对社会次序和大众长处形成侵害,但不侵害国度宁静。
第三级,信息体系遭到毁坏后,会对社会次序和大众长处形成严峻侵害,大概对国度宁静形成侵害。
第四级,信息体系遭到毁坏后,会对社会次序和大众长处形成分外严峻侵害,大概对国度宁静形成严峻侵害。
第五级,信息体系遭到毁坏后,会对国度宁静形成分外严峻侵害。
第八条 信息体系运营、利用单元根据本措施和相干技能尺度对信息体系举行掩护,国度有关信息宁静羁系部分对其信息宁静品级掩护事情举行监视办理。
第一级信息体系运营、利用单元该当根据国度有关办理标准和技能尺度举行掩护。
第二级信息体系运营、利用单元该当根据国度有关办理标准和技能尺度举行掩护。国度信息宁静羁系部分对该级信息体系信息宁静品级掩护事情举行引导。
第三级信息体系运营、利用单元该当根据国度有关办理标准和技能尺度举行掩护。国度信息宁静羁系部分对该级信息体系信息宁静品级掩护事情举行监视、反省。
第四级信息体系运营、利用单元该当根据国度有关办理标准、技能尺度和商业专门需求举行掩护。国度信息宁静羁系部分对该级信息体系信息宁静品级掩护事情举行强迫监视、反省。
第五级信息体系运营、利用单元该当根据国度办理标准、技能尺度和商业特别宁静需求举行掩护。国度指定专门部分对该级信息体系信息宁静品级掩护事情举行专门监视、反省。
第三章 品级掩护的实行与办理
第九条 信息体系运营、利用单元该当依照《信息体系宁静品级掩护实行指南》详细实行品级掩护事情。
第十条 信息体系运营、利用单元该当根据本措施和《信息体系宁静品级掩护定级指南》确定信息体系的宁静掩护品级。有主管部分的,该当经主管部分考核同意。
跨省大概天下一致联网运转的信息体系可以由主管部分一致确定宁静掩护品级。
对拟确定为第四级以上信息体系的,运营、利用单元大概主管部分该当请国度信息宁静掩护品级专家评审委员会评审。
第十一条 信息体系的宁静掩护品级确定后,运营、利用单元该当依照国度信息宁静品级掩护办理标准和技能尺度,利用切合国度有关划定,满意信息体系宁静掩护品级需求的信息技能产品,展开信息体系宁静建立大概改建事情。
第十二条 在信息体系建立历程中,运营、利用单元该当依照《盘算机信息体系宁静掩护品级分别原则》(GB17859-1999)、《信息体系宁静品级掩护根本要求》等技能尺度,参照《信息宁静技能 信息体系通用宁静技能要求》(GB/T20271-2006)、《信息宁静技能 网络底子宁静技能要求》(GB/T20270-2006)、《信息宁静技能 操纵体系宁静技能要求》(GB/T20272-2006)、《信息宁静技能 数据库办理体系宁静技能要求》(GB/T20273-2006)、《信息宁静技能 办事器技能要求》、《信息宁静技能 终端盘算机体系宁静品级技能要求》(GA/T671-2006)等技能尺度同步建立切合该品级要求的信息宁静办法。
第十三条 运营、利用单元该当参照《信息宁静技能 信息体系宁静办理要求》(GB/T20269-2006)、《信息宁静技能 信息体系宁静工程办理要求》(GB/T20282-2006)、《信息体系宁静品级掩护根本要求》等办理标准,订定并落实切合本体系宁静掩护品级要求的宁静办理制度。
第十四条 信息体系建立完成后,运营、利用单元大概其主管部分该当选择切合本措施划定条件的测评机构,根据《信息体系宁静品级掩护测评要求》等技能尺度,活期对信息体系宁静品级情况展开品级测评。第三级信息体系该当每年至多举行一次品级测评,第四级信息体系该当每半年至多举行一次品级测评,第五级信息体系该当根据特别宁静需求举行品级测评。
信息体系运营、利用单元及其主管部分该当活期对信息体系宁静情况、宁静掩护制度及步伐的落真相况举行自查。第三级信息体系该当每年至多举行一次自查,第四级信息体系该当每半年至多举行一次自查,第五级信息体系该当根据特别宁静需求举行自查。
经测评大概自查,信息体系宁静情况未到达宁静掩护品级要求的,运营、利用单元该当订定方案举行整改。
第十五条 已运营(运转)或新建的第二级以上信息体系,该当在宁静掩护品级确定后30日内,由其运营、利用单元到地点地设区的市级以上公安构造操持存案手续。
从属于中间的在京单元,其跨省大概天下一致联网运转并由主管部分一致定级的信息体系,由主管部分向公安部操持存案手续。跨省大概天下一致联网运转的信息体系在各地运转、使用的分支体系,该当向外地设区的市级以上公安构造存案。
第十六条 操持信息体系宁静掩护品级存案手续时,该当填写《信息体系宁静品级掩护存案表》,第三级以上信息体系该当同时提供以下质料:
(一)体系拓扑布局及阐明;
(二)体系宁静构造机谈判办理制度;
(三)体系宁静掩护办法设计实行方案大概改建实行方案;
(四)体系利用的信息宁静产品清单及其认证、贩卖允许证明;
(五)测评后切合体系宁静掩护品级的技能检测评价陈诉;
(六)信息体系宁静掩护品级专家评审意见;
(七)主管部分考核同意信息体系宁静掩护品级的意见。
第十七条 信息体系存案后,公安构造该当对信息体系的存案状况举行考核,对切合品级掩护要求的,该当在收到存案质料之日起的10个事情日内发表信息体系宁静品级掩护存案证明;发明不切合本措施及有关尺度的,该当在收到存案质料之日起的10个事情日内关照存案单元予以改正;发明定级禁绝的,该当在收到存案质料之日起的10个事情日内关照存案单元重新考核确定。
运营、利用单元大概主管部分重新确定信息体系品级后,该当依照本措施向公安构造重新存案。
第十八条 受理存案的公安构造该当对第三级、第四级信息体系的运营、利用单元的信息宁静品级掩护事情状况举行反省。对第三级信息体系每年至多反省一次,对第四级信息体系每半年至多反省一次。对跨省大概天下一致联网运转的信息体系的反省,该当会同其主管部分举行。
对第五级信息体系,该当由国度指定的专门部分举行反省。
公安构造、国度指定的专门部分该当对下列事变举行反省:
(一) 信息体系宁静需求能否产生变革,原定掩护品级能否正确;
(二) 运营、利用单元宁静办理制度、步伐的落真相况;
(三) 运营、利用单元及其主管部分对信息体系宁静情况的反省状况;
(四) 体系宁静品级测评能否切合要求;
(五) 信息宁静产品利用能否切合要求;
(六) 信息体系宁静整改状况;
(七) 存案质料与运营、利用单元、信息体系的切合状况;
(八) 其他该当举行监视反省的事变。
第十九条 信息体系运营、利用单元该当承受公安构造、国度指定的专门部分的宁静监视、反省、引导,照实向公安构造、国度指定的专门部分提供下列有关信息宁静掩护的信息材料及数据文件:
(一) 信息体系存案事变变动状况;
(二) 宁静构造、职员的变化状况;
(三) 信息宁静办理制度、步伐变动状况;
(四) 信息体系运转情况记载;
(五) 运营、利用单元及主管部分活期对信息体系宁静情况的反省记载;
(六) 对信息体系展开品级测评的技能测评陈诉;
(七) 信息宁静产品利用的变动状况;
(八) 信息宁静事情应急预案,信息宁静事情应急处理后果陈诉;
(九) 信息体系宁静建立、整改后果陈诉。
第二十条 公安构造反省发明信息体系宁静掩护情况不切合信息宁静品级掩护有关办理标准和技能尺度的,该当向运营、利用单元收回整改关照。运营、利用单元该当依据整改关照要求,依照办理标准和技能尺度举行整改。整改完成后,该当将整改陈诉向公安构造存案。须要时,公安构造可以对整改状况构造反省。
第二十一条 第三级以上信息体系该当选择利用切合以下条件的信息宁静产品:
(一)产品研制、消费单元是由中国百姓、法人投资大概国度投资大概控股的,在中华人民共和国境内具有独立的法人资历;
(二)产品的中心技能、要害部件具有我国自主知识产权;
(三)产品研制、消费单元及其次要商业、技能职员无犯法记载;
(四)产品研制、消费单元声明没有存心留有大概设置毛病、后门、木马等步伐和功效;
(五)对国度宁静、社会次序、大众长处不组成危害;
(六)对已参加信息宁静产品认证目次的,该当获得国度信息宁静产品认证机构发表的认证证书。
第二十二条 第三级以上信息体系该当选择切合下列条件的品级掩护测评机构举行测评:
(一) 在中华人民共和国境内注册建立(港澳台地域除外);
(二) 由中国百姓投资、中王法人投资大概国度投资的企奇迹单元(港澳台地域除外);
(三) 从事相干检测评价事情两年以上,无守法记载;
(四) 事情职员仅限于中国百姓;
(五) 法人及次要商业、技能职员无犯法记载;
(六) 利用的技能配备、办法该当切合本措施对信息宁静产品的要求;
(七) 具有齐备的失密办理、项目办理、质量办理、职员办理和培训教诲等宁静办理制度;
(八) 对国度宁静、社会次序、大众长处不组成要挟。
第二十三条 从事信息体系宁静品级测评的机构,该当实行下列任务:
(一)恪守国度有关执法法例和技能尺度,提供宁静、客观、公平的检测评价办事,包管测评的质量和结果;
(二)守旧在测评运动中知悉的国度机密、贸易机密和团体隐私,防备测评危害;
(三)对测评职员举行宁静失密教诲,与其签署宁静失密责任书,划定该当实行的宁静失密任务和承当的执法责任,并卖力反省落实。
第四章 涉密信息体系的分级掩护办理
第二十四条 涉密信息体系该当根据国度信息宁静品级掩护的根本要求,依照国度失密事情部分有牵涉密信息体系分级掩护的办理划定和技能尺度,联合体系实践状况举行掩护。
非涉密信息体系不得处置国度机密信息等。
第二十五条 涉密信息体系依照所处置信息的最高密级,由低到高分为机密、秘密、绝密三个品级。
涉密信息体系建立利用单元该当在信息标准定密的底子上,根据涉密信息体系分级掩护办理措施和国度失密尺度BMB17-2006《触及国度机密的盘算机信息体系分级掩护技能要求》确定体系品级。关于包括多个宁静域的涉密信息体系,各宁静域可以辨别确定掩护品级。
失密事情部分和机构该当监视引导涉密信息体系建立利用单元正确、公道地举行体系定级。
第二十六条 涉密信息体系建立利用单元该当将涉密信息体系定级和建立利用状况,实时上报商业主管部分的失密事情机谈判卖力体系审批的失密事情部分存案,并承受失密部分的监视、反省、引导。
第二十七条 涉密信息体系建立利用单元该当选择具有涉麋集成资质的单元承当大概到场涉密信息体系的设计与实行。
涉密信息体系建立利用单元该当根据涉密信息体系分级掩护办理标准和技能尺度,依照机密、秘密、绝密三级的差别要求,联合体系实践举行方案设计,实行分级掩护,其掩护程度总体上不低于国度信息宁静品级掩护第三级、第四级、第五级的程度。
第二十八条 涉密信息体系利用的信息宁静失密产品准绳上该当选用国产品,并该当经过国度失密局受权的检测机构根据有关国度失密尺度举行的检测,经过检测的产品由国度失密局考核公布目次。
第二十九条 涉密信息体系建立利用单元在体系工程实行完毕后,该当向失密事情部分提出请求,由国度失密局受权的体系测评机构根据国度失密尺度BMB22-2007《触及国度机密的盘算机信息体系分级掩护测评指南》,对涉密信息体系举行宁静失密测评。
涉密信息体系建立利用单元在体系投入利用前,该当依照《触及国度机密的信息体系审批办理划定》,向设区的市级以上失密事情部分请求举行体系审批,涉密信息体系经过审批前方可投入利用。已投入利用的涉密信息体系,其建立利用单元在依照分级掩护要求完成体系整改后,该当向失密事情部分存案。
第三十条 涉密信息体系建立利用单元在请求体系审批大概存案时,该当提交以下质料:
(一)体系设计、实行方案及检察论证意见;
(二)体系承建单元资质证明质料;
(三)体系建立和工程监理状况陈诉;
(四)体系宁静失密检测评价陈诉;
(五)体系宁静失密构造机谈判办理制度状况;
(六)其他有关质料。
第三十一条 涉密信息体系产生涉密品级、毗连范畴、情况办法、次要使用、宁静失密办理责任单元变动时,其建立利用单元该当实时向卖力审批的失密事情部分陈诉。失密事情部分该当依据实践状况,决议能否对其重新举行测评和审批。
第三十二条 涉密信息体系建立利用单元该当根据国度失密尺度BMB20-2007《触及国度机密的信息体系分级掩护办理标准》,增强涉密信息体系运转中的失密办理,活期举行危害评价,消弭泄密隐患和毛病。
第三十三条 国度和地方各级失密事情部分依法对各地域、各部分涉密信息体系分级掩护事情实行监视办理,并做好以下事情:
(一)引导、监视和反省分级掩护事情的展开;
(二)引导涉密信息体系建立利用单元标准信息定密,公道确定体系掩护品级;
(三)到场涉密信息体系分级掩护方案论证,引导建立利用单元做好失密办法的同步计划设计;
(四)依法对涉密信息体系集成资质单元举行监视办理;
(五)严厉举行体系测评和审批事情,监视反省涉密信息体系建立利用单元分级掩护办理制度和技能步伐的落真相况;
(六)增强涉密信息体系运转中的失密监视反省。对机密级、秘密级信息体系每两年至多举行一次失密反省大概体系测评,对绝密级信息体系每年至多举行一次失密反省大概体系测评;
(七)理解掌握各级各种涉密信息体系的办理利用状况,实时发明和查处种种违规守法举动和泄密事情。
第五章 信息宁静品级掩护的暗码办理
第三十四条 国度暗码办理部分对信息宁静品级掩护的暗码实验分类分级办理。依据被掩护工具在国度宁静、社会波动、经济建立中的作用和紧张水平,被掩护工具的宁静防护要求和涉密水平,被掩护工具被毁坏后的危害水平以及暗码利用部分的性子等,确定暗码的品级掩护原则。
信息体系运营、利用单元接纳暗码举行品级掩护的,该当依照《信息宁静品级掩护暗码办理措施》、《信息宁静品级掩护商用暗码技能要求》等暗码办理划定和相干尺度。
第三十五条 信息体系宁静品级掩护中暗码的装备、利用和办理等,该当严厉实行国度暗码办理的有关划定。
第三十六条 信息体系运营、利用单元该当充实运用暗码技能对信息体系举行掩护。接纳暗码对触及国度机密的信息和信息体系举行掩护的,应报经国度暗码办理局审批,暗码的设计、实行、利用、运转维护和一样平常办理等,该当依照国度暗码办理有关划定和相干尺度实行;接纳暗码对不触及国度机密的信息和信息体系举行掩护的,须恪守《商用暗码办理条例》和暗码分类分级掩护有关划定与相干尺度,其暗码的装备利用状况该当向国度暗码办理机构存案。
第三十七条 运用暗码技能对信息体系举行体系品级掩护建立和整改的,必需接纳经国度暗码办理部分同意利用大概准于贩卖的暗码产品举行宁静掩护,不得接纳外洋引进大概私自研制的暗码产品;未经同意不得接纳含有加密功效的入口信息技能产品。
第三十八条 信息体系中的暗码及暗码设置装备摆设的测评事情由国度暗码办理局承认的测评机构承当,其他任何部分、单元和团体不得对暗码举行评测和监控。
第三十九条 各级暗码办理部分可以活期大概不活期对信息体系品级掩护事情中暗码装备、利用和办理的状况举行反省和测评,对紧张涉密信息体系的暗码装备、利用和办理状况每两年至多举行一次反省和测评。在监视反省历程中,发明存在宁静隐患大概违背暗码办理相干划定大概未到达暗码相干尺度要求的,该当依照国度暗码办理的相干划定举行处理。
第六章 执法责任
第四十条 第三级以上信息体系运营、利用单元违背本措施划定,有下列举动之一的,由公安构造、国度失密事情部分和国度暗码事情办理部分依照职责分工责令其限期矫正;逾期不矫正的,赐与告诫,并向其下级主管部分转达状况,发起对其间接卖力的主管职员和其他间接责任职员予以处置,并实时反应处置后果:
(一) 未按本措施划定存案、审批的;
(二) 未按本措施划定落实宁静办理制度、步伐的;
(三) 未按本措施划定展开体系宁静情况反省的;
(四) 未按本措施划定展开体系宁静技能测评的;
(五) 接到整改关照后,拒不整改的;
(六) 未按本措施划定选择利用信息宁静产品和测评机构的;
(七) 未按本措施划定照实提供有关文件和证明质料的;
(八) 违背失密办理划定的;
(九) 违背暗码办理划定的;
(十) 违背本措施其他划定的。
违背前款划定,形成严峻侵害的,由相干部分按照有关执法、法例予以处置。
第四十一条 信息宁静羁系部分及其事情职员在实行监视办理职责中,玩忽职守、滥用职权、徇情枉法[xùn qíng wǎng fǎ]的,依法赐与行政奖励;组成犯法的,依法追查刑事责任。
第七章 附则
第四十二条 已运转信息体系的运营、利用单元自本措施实施之日起180日内确定信息体系的宁静掩护品级;新建信息体系在设计、计划阶段确定宁静掩护品级。
第四十三条 本措施所称"以上"包括本数(级)。
第四十四条 本措施自觉布之日起实施,《信息宁静品级掩护办理措施(试行)》(公通字[2006]7号)同时废止。
