下载文档原格式
信息安全等级保护制度概述信息安全等级保护制度(简称“等保制度”)是中国政府在信息安全领域的重要措施之一,目的在于建立一套科学、合理、可有效执行的信息安全保护制度,减少信息安全风险并维护国家信息安全。
等保制度的核心是建立信息安全等级评估机制和信息安全等级保护措施。
等保等级等保制度是按照“等级+分类”的方式执行的,也就是将不同的信息系统分为不同的安全等级,给出相应的等保等级控制要求和技术要求。
根据国家标准《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2008),等保等级分为4个级别,从高到低分别是:一级、二级、三级、四级。
其中一级要求最高,四级要求最低。
不同等保等级的信息系统,需要采取不同的安全保护措施。
等保评估信息安全等级评估是指对信息系统的安全性进行全面评估,确定其实际受到的攻击威胁以及存在的安全风险,从而确定系统的等保等级。
等保评估是等保制度的核心环节,也是等保保护措施的依据。
等保评估分为两种类型:自我评估和第三方评估。
自我评估适用于等保一级、二级信息系统,第三方评估适用于等保三级、四级信息系统。
等保保护根据等保评估结果,完成等保系统以后需要进行等保保护工作。
等保保护工作包括物理安全措施、技术安全措施、管理安全措施三个方面。
其中物理安全措施主要是对硬件设备的保护,如安装门禁、监控等;技术安全措施是对软件设备的保护,如防火墙、入侵检测等;管理安全措施是对人员进行管理,如实施权限控制、制定密码规则等。
等保保护需要全面、周密地组织实施,保障对信息系统的全面保护,确保系统安全稳定可靠。
信息安全等级保护的意义等保制度是一项非常重要的信息安全保护措施,有着广泛的应用价值。
它的重要意义表现在以下几个方面:内部保护等保制度为企业和组织内部的信息系统提供了全面的信息安全保护,确保了系统的稳定性和可靠性。
企业和组织可以根据等保等级要求对信息系统进行详细的评估,制定相应的保护措施,从而避免或者最大程度上减少信息安全事件的发生。
信息安全等级保护制度的主要内容和要求什么是信息安全等级保护制度?信息安全等级保护制度,简称信息保护制度(或C保护制度),是指国家对各类重要信息系统的安全等级进行划分,并根据不同等级制定不同的信息安全保护措施体系。
该制度是我国信息安全行业的重要标志之一,目的是保护重要信息系统的安全和稳定运行,从而保障国家的安全利益。
信息安全等级保护制度的主要内容信息安全等级保护制度是由官方机构和专业机构共同参与制定,目前分为4个级别,分别为“核心”、“重要”、“一般”、“一般级”四个级别,每个级别的保护要求和保护措施不同。
核心级核心级是最高等级,指涉及国家安全、军事安全、重要经济命脉、人民群众生命财产安全以及社会稳定等方面的信息系统。
其主要保护措施包括:•每日备份数据至离线备份机房;•应急处置预案必须保持在最新状态;•用户需要签订保密协议,保障数据安全;•部署安全监控系统,随时捕捉异常操作或攻击情况;•信息泄露后,需在2小时内报告相关部门。
重要级重要级信息系统是指涉及国家经济建设、政治、外交、科技等国家利益和人民群众生产、生活和健康安全方面的信息系统。
其主要保护措施包括:•划分多层次访问权限,在明确范围内进行配置;•实施物理隔离和网络隔离,确保边界安全;•部署安全防护设备,包括入侵检测、防火墙等;•开展安全漏洞测试和风险评估。
一般级一般级信息系统是指涉及政府各部门、企事业单位等一般信息系统。
其主要保护措施包括:•加密重要信息,确保机密性;•网络通信安全,保护数据完整性和可用性;•安全审计,记录和监督操作日志;•针对各种攻击手段进行防范和应对。
一般级(核心部委)一般级(核心部委)是对部委系统进行特殊分类的一般级信息系统。
其主要保护措施包括:•安全防护设备,如断网安全等级保护系统(GJB1782-2005);•资源访问控制,限制非本系统人员访问;•数据备份及恢复,避免数据丢失;•安全漏洞扫描、修复和漏洞统计。
信息安全等级保护制度的主要要求信息安全等级保护制度对每个级别都有一系列的要求,其中一些主要的要求包括:•整体安全意识要高,每个岗位、每个员工都要重视信息安全;•建立完善的安全管理和保障体系,包括安全组织、安全策略、安全标准等;•建立完善的信息管理和保障体系,包括信息采集、信息存储、信息传输等;•建立完善的安全监控和应急预案体系,包括定期演练应急处置预案、维护系统和网络设施的安全等等。
信息安全等级保护制度一、为了加强医院的计算机信息网络的安全保护,根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息信息安全等级保护制度》、《计算机信息安全管理办法》和其它有关法律、法规的规定,制定本制度。
二、本制度适用于我院网络机房、各计算机网络用户。
三、医院信息安全管理工作在医院信息化建设委员会的领导下进行,医院网络管理员必须要对所有网上信息进行巡查。
四、任何科室和个人不得利用医院内部网络或国际互联网危害国家安全、泄露国家和医院内部秘密,不得从事违法犯罪活动,不得在医院内部网络和互联网中故意传播计算机病毒等破坏性程序。
五、任何人不得将含有医院信息的计算机或各种存储介质交予无关人员。
更不得利用医院数据信息获取不当利益。
六、未经允许不得对医院内部网络站点中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。
七、网络使用人员应妥善保管各自的用户名和密码,不得将密码交予其他人使用。
八、网络机房由专人负责管理,未经同意,不得进入。
服务器、路由器和交换机的口令由专人负责保管,不得随意外泄,口令的修改及设定需做好专门记录和备案。
九、内部站点禁止USB使用大容量存储设备。
定期检查内网站点是否有非授权使用情况,保证设备正常运行。
做好医院内部网络医疗系统数据的备份工作,确保系统遭破坏后能及时恢复。
十、未经允许,不得中断网络设备及设施的供电线路。
因特殊原因必须停电的,应提前通知网络管理人员。
十一、对于违反上述制度的有关人员,将视情节及危害程度予以教育、经济处罚和行政处罚等措施,触犯法律的将移送公安司法机关依法追究刑事责任。
附件:《核心制度的各层级人员考核细则》十二、信息科技术人员在指定情况下可以使用移动设备。
十三、本制度由信息科制定,解释权、修改权归属信息科。
信息安全等级保护制度概述信息安全等级保护制度是指一种根据信息内容重要程度划分等级,按照不同等级的安全保障要求和分类管理标准,采取针对性的安全防范措施,降低信息泄露和网络攻击等风险的管理制度。
制度等级分类根据国家《保密法》和《信息安全等级保护管理办法》规定,信息安全等级保护分为4个等级,由高到低分别为:特级、一级、二级、三级。
1.特级:适用于涉国家安全和重要决策的核心信息;2.一级:适用于涉及国家利益和重要业务的重要信息;3.二级:适用于企事业单位的核心信息和关键技术信息;4.三级:适用于企事业单位的一般信息和管理信息。
制度要求1.信息分类:对企事业单位的信息资产进行分类,根据不同等级进行安全保护和管理。
2.安全措施:采取适当的技术措施和管理制度,确保信息在存储、传输、处理等过程中的安全性和完整性。
3.安全培训:针对不同的岗位,制定不同的安全培训计划和内容,加强安全教育,提升员工的安全意识和技能。
4.安全评估:定期进行信息安全评估和风险评估,及时发现和解决安全问题,提高信息安全等级保护能力。
5.安全应急:建立完善的安全事件应急预案,及时应对和处理安全事件,降低安全风险。
实施措施在实施信息安全等级保护制度时,需要根据企业的实际情况采取相应的措施,包括以下几个方面:制度建设1.制定信息安全管理制度,建立相关部门和岗位,明确职责和权限。
2.制定信息分类和等级划分标准,明确各级别信息的保密程度和安全要求。
3.建立安全保障和检查机制,设置安全巡查、监督和管理流程,保障信息安全。
技术措施1.建立物理安全措施,包括防火墙、入侵检测和防病毒系统等。
2.建立网络安全措施,包括网络拓扑结构设计、网络访问控制和数据加密等。
3.建立数据安全措施,采用数据加密、备份和恢复等技术手段,保障数据安全。
培训和评估1.建立安全教育、培训和考核机制,提升员工的安全意识和技能。
2.建立信息安全评估和风险评估机制,定期进行评估和改进。
总结信息安全等级保护制度是企业信息安全管理的基础和核心,通过科学的等级划分和针对性的防护措施,可以有效预防和减少信息泄露和网络攻击等风险,降低企业的安全风险,提高信息安全保护能力。
国家信息安全等级制度与等级保护国家信息安全等级制度是指国家根据信息系统的安全性质和安全等级要求,对信息系统进行分类、评估和认证,并确定相应的安全等级标准和要求的制度。
等级保护是指根据信息系统的安全等级要求,采取一系列的防护措施和安全管理措施,确保信息系统的安全运行和信息的保密性、完整性和可用性的保护。
1. 国家信息安全等级制度:国家信息安全等级制度是为了保护国家和社会的信息安全而建立的一套分类和评估制度。
该制度根据信息系统的安全性质和安全等级要求,将信息系统分为不同的等级。
等级制度采用了逐级划分的方式,通常分为四个等级:一般等级、重要等级、核心等级和绝密等级。
这些等级标准和要求是由国家相关部门制定的,涵盖了信息系统的物理安全、网络安全、数据安全等方面的要求。
2. 信息系统等级评估和认证:为了确定信息系统的安全等级,需要对其进行评估和认证。
信息系统等级评估是指通过对信息系统的安全性能和安全控制措施进行检测和评估,确定其所属的安全等级。
评估采用了一系列的标准和方法,包括对信息系统的安全漏洞检测、安全性能测试、安全策略评估等。
评估结果将以等级评估报告的形式呈现出来。
信息系统等级认证是指通过对评估结果的审核和确认,确认信息系统的安全等级,并颁发相应的等级认证证书。
3. 等级保护措施:等级保护是在确定了信息系统的安全等级之后,根据等级要求采取的一系列防护措施和安全管理措施。
这些措施旨在保障信息系统的安全运行,防止信息的泄露、篡改和丢失。
等级保护措施包括物理安全、网络安全、数据安全等方面的措施。
例如,对于核心等级的信息系统,可能需要加强物理防护措施,如门禁系统、视频监控系统等;对于重要等级的信息系统,可能需要加强网络安全措施,如防火墙、入侵检测系统等;对于一般等级的信息系统,可能需要加强数据备份和恢复措施,以确保数据的可用性和完整性。
4. 信息安全等级保护管理:信息安全等级保护管理是指对信息系统的等级保护措施进行全面管理和监督的过程。
信息安全等级保护制度第1条为规范信息安全等级维护管理,提升信息安全保障能力与水平,保护国家安全、社会不乱与公共利益,保障与增进信息化建设,按照《中华人民共与国计算机信息系统安全维护条例》等相关法律法规,制订本办法。
第2条国家通过制订统1的信息安全等级维护管理规范与技术准绳,组织公民、法人与其他组织对于信息系统分等级履行安全维护,对于等级维护工作的施行进行监督、管理。
第3条公安机关负责信息安全等级维护工作的监督、检查、指点。
国家保密工作部门负责等级维护工作中相关保密工作的监督、检查、指点。
国家密码管理部门负责等级维护工作中相关密码工作的监督、检查、指点。
触及其他职能部门管辖规模的事项,由相关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及处所信息化领导小组办事机构负责等级维护工作的部门间调和。
第4条信息系统主管部门应该依照本办法及有关准绳规范,督促、检查、指点本行业、本部门或者者本地区信息系统运营、使用单位的信息安全等级维护工作。
第5条信息系统的运营、使用单位应该依照本办法及其有关准绳规范,实行信息安全等级维护的义务与职责。
第2章等级划分和维护第6条国家信息安全等级维护坚强自主定级、自主维护的原则。
信息系统的安全维护等级应该按照信息系统在国家安全、经济建设、社会糊口中的首要程度,信息系统受到损坏后对于国家安全、社会秩序、公共利益以及公民、法人与其他组织的合法权益的危害程度等因素肯定。
第7条信息系统的安全维护等级分为下列5级:第1级,信息系统遭到损坏后,会对于公民、法人与其他组织的合法权益造成侵害,但不侵害国家安全、社会秩序与公共利益。
第2级,信息系统遭到损坏后,会对于公民、法人与其他组织的合法权益发生严重侵害,或者者对于社会秩序与公共利益造成侵害,但不侵害国家安全。
第3级,信息系统遭到损坏后,会对于社会秩序与公共利益造成严重侵害,或者者对于国家安全造成侵害。
第4级,信息系统遭到损坏后,会对于社会秩序与公共利益造成特殊严重侵害,或者者对于国家安全造成严重侵害。
信息安全等级保护的内容和意义信息安全等级保护是指根据国家标准,对信息系统及其相关技术设备、管理与操作人员、安全管理制度等进行评估、定级、认证,并按照等级要求实施安全保护的一种制度。
它是一种系统化的安全保护措施,对于各类企事业单位、政府部门、金融机构等,都具有重要的意义。
信息安全等级保护的内容主要包括等级划分、安全措施和认证三个方面。
一、等级划分信息安全等级保护采用了“高、中、低”三个等级来划分,分别对应不同的信息安全等级保护标准和安全措施。
其中,高等级是最高的保护等级,面向的是国家重点信息系统和数据,需要采取最为严格的安全措施;中等级则针对一些企业和政府部门等机构,主要是确保信息系统运行的稳定和安全性;低等级则面向的是其他的企业和个人用户,主要是为了防止一些简单的安全威胁。
通过对等级划分的实施,能够使得不同级别的信息系统都在拥有相应的安全措施的同时,实现更为全面的信息安全保护。
二、安全措施信息安全等级保护的另一个重要内容就是建立各种安全措施,包括技术措施、管理措施、物理措施和应急处置措施等。
这些措施主要是为了确保信息系统的安全性、可用性和完整性。
技术措施包括防火墙、入侵检测、加密等,可以有效的保护信息系统的隐私与机密信息的泄漏;管理措施包括安全管理制度、安全培训等,可以提高员工的安全意识和操作水平;物理措施包括门禁、保险柜等,可以保护信息物理环境的安全;应急处置措施包括备份、恢复、紧急响应等,可以有效地抵御各种安全事件的发生。
通过多种安全措施的综合实施,能够使得机构的信息系统具备更高的安全性和较低的安全风险。
三、认证信息安全等级保护对于认证的重要性同样不可忽视,只有完成认证,才能获取相应的等级保护认证证书。
认证分为内审、外审和连续审查三个过程。
内审主要是由机构自主开展,外审则由独立的认证机构负责组织,连续审查则是定期进行的,以确保机构信息安全等级保护制度的长期有效性。
通过认证,可以将各种安全措施落实到位,有针对性地提高机构对于信息安全的保护,并通过认证证书的形式,向外界和业界展示机构的信息安全保障水平。
信息安全等级保护制度—1—信息安全等级保护制度制定部门:某某单位时间:202X 年X 月X 日封面信息安全等级保护制度为规范本单位生产生活及工作次序,确保本单位相关工作有序正常运转,根据单位发展需要,结合单位工作实际情况,特制定《信息安全等级保护制度》,望本单位职工严格执行!第一条为规范信息安全等级保护管理,提高信息安全保障能力与水平,维持国家安全、社会稳定与公共利益,保障与促进信息化建设,根据《中华人民共与国计算机信息系统安全保护条例》等有关法律法规,拟定本办法。
第二条国家通过拟定统一的信息安全等级保护管理规范与技术标准,安排公民、法人与其他安排对信息系统分等级实行安全保护,对等级保护工作的实施进行监管与督查、管理。
第三条公安机关承担信息安全等级保护工作的监管与督查、检查、指导。
国家保密工作部门承担等级保护工作中有关保密工作的监管与督查、检查、指导。
国家密码管理部门承担等级保护工作中有关密码工作的监管与督查、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构承担等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保—2—护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务与责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人与其他安排的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人与其他安排的合法权益造成损害,但不损害国家安全、社会秩序与公共利益。
《信息安全等级保护管理办法》1四部委下发公通字[2007]43号文《信息安全等级保护管理办法》是为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。
由四部委下发,公通字200743号文。
2制定目的规范信息安全等级保护管理。
文号公通字200743号文第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
信息安全等级保护制度介绍一、开展信息安全等级保护工作的重要性和必要性信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
二、信息安全等级保护相关法律和文件1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。
2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。
三、工作分工和组织协调(一)工作分工。
公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。
(二)组织协调。
省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。
办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。
各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业的信息安全等级保护工作。
各地级以上市参照成立相应工作机制。
重要信息系统运营使用单位成立信息安全等级保护工作组,负责组织本单位的信息系统安全等级保护工作。
四、信息安全等级保护等级划分和监管方式(一)信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
(二)信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。
国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。
国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
五、信息安全等级保护制度的原则信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。
信息安全等级保护制度遵循以下基本原则:(一)明确责任,共同保护。
通过等级保护,组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。
(二)依照标准,自行保护。
国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。
(三)同步建设,动态调整。
信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。
因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。
等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。
(四)指导监督,重点保护。
国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督。
国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。
五、信息安全等级保护工作主要环节(一)组织开展调查摸底。
各信息系统主管部门、运营使用单位组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构以及系统建设规划等基本情况,为开展信息安全等级保护工作打下基础。
(二)合理确定保护等级。
各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》,确定定级对象的安全保护等级。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。
(三)开展安全建设整改。
各信息系统主管部门和运营使用单位应当根据确定的安全保护等级,对已有的信息系统按照等级保护的管理规范和技术标准,采购和使用相应等级要求的信息安全产品,落实安全技术措施,完成系统整改。
对新建、改建、扩建的信息系统按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。
(四)组织系统安全测评。
信息系统建设完成后,运营使用单位应当依照《管理办法》选择符合要求的测评机构进行测评。
已投入运行信息系统在完成系统整改后也应当进行测评。
经测评,信息系统安全状况未达到安全保护等级要求的,运营使用单位应当制定方案进行整改。
承担第三级以上信息系统安全测评的机构由省公安厅根据《管理办法》的有关规定予以推荐。
(五)依法履行备案手续。
信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门应当在系统投入运行后(新建系统)或确定等级后(已运营的系统)30日内到公安机关办理备案手续;鼓励第一级和第五级的信息系统到公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。
跨地区或全省统一联网运行的信息系统由省级主管部门组织向省公安厅备案。
跨地区、跨省或者全省、全国统一联网运行的信息系统在各地运行、应用的分支系统,向地级以上市公安局备案。
涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,到保密工作部门备案。
(六)加强安全监督检查。
公安机关应当会同有关部门加强对信息系统的监督检查,对未依法履行定级、备案手续的单位,督促其限期改正。
发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。
对安全措施不符合要求的,要指导其落实整改措施。
各级保密工作部门加强对涉密信息系统安全等级保护工作的指导、监督和检查。
国家密码管理部门加强对信息安全等级保护密码管理。
(七)建设技术支撑体系。
省公安厅会同有关部门根据《管理办法》建立健全管理制度,向社会推荐一批符合要求的安全专用产品、安全测评机构。
组织开展继续教育工作,加强对安全专业技术人员的培训,提高信息系统运营使用单位和主管部门以及安全专用产品研发机构、安全服务机构安全专业技术人员的技术和法律知识水平。
(八)健全长效工作机制。
在信息安全等级保护职能部门、信息系统主管部门、运营使用单位间建立畅通的联络机制。
落实信息系统主管部门对运营使用单位的监督指导责任,建立职能部门、主管部门对信息系统的定期监督检查机制。
争取省人大和省政府法制办公室支持,制订《广东省计算机信息系统安全保护条例》及实施细则,使信息安全等级保护工作获得地方立法的支撑。
