关于信息安全等级保护工作的实施意见[2]

　　三、信息安全等级保护制度的基本内容

　　信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

　　信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

　　根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，信息和信息系统的安全保护等级共分五级：

　　1.第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。

　　2.第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。

　　3.第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

　　4.第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

　　5.第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

　　国家通过制定统一的管理规范和技术标准，组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。第一级依照国家管理规范和技术标准进行自主保护；第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护；第三级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查；第四级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查；第五级依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督。

　　国家对信息安全产品的使用实行分等级管理。

　　信息安全事件实行分等级响应、处置的制度。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围，确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案，确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后，分等级按照预案响应和处置。

　　四、信息安全等级保护工作职责分工

　　公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

　　在信息安全等级保护工作中，涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

　　信息和信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准进行信息安全建设和管理。

　　国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。

　　五、实施信息安全等级保护工作的要求

　　信息安全等级保护工作要突出重点、分级负责、分类指导、分步实施，按照谁主管谁负责、谁运营谁负责的要求，明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任，分别落实等级保护措施。实施信息安全等级保护应当做好以下六个方面工作：

　　（一）完善标准，分类指导。制定系统完整的信息安全等级保护管理规范和技术标准，并根据工作开展的实际情况不断补充完善。信息安全监管职能部门对不同重要程度的信息和信息系统的安全等级保护工作给予相应的指导，确保等级保护工作顺利开展。

　　（二）科学定级，严格备案。信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准，确定其信息和信息系统的安全保护等级，并报其主管部门审批同意。

　　对于包含多个子系统的信息系统，在保障信息系统安全互联和有效信息共享的前提下，应当根据等级保护的管理规定、技术标准和信息系统内各子系统的重要程度，分别确定安全保护等级。跨地域的大系统实行纵向保护和属地保护相结合的方式。

　　国务院信息化工作办公室组织国内有关信息安全专家成立信息安全保护等级专家评审委员会。重要的信息和信息系统的运营、使用单位及其主管部门在确定信息和信息系统的安全保护等级时，应请信息安全保护等级专家评审委员会给予咨询评审。

　　安全保护等级在三级以上的信息系统，由运营、使用单位报送本地区地市级公安机关备案。跨地域的信息系统由其主管部门向其所在地的同级公安机关进行总备案，分系统分别由当地运营、使用单位向本地地市级公安机关备案。

　　信息安全产品使用的分等级管理以及信息安全事件分等级响应、处置的管理办法由公安部会同保密局、国密办、信息产业部和认监委等部门制定。

　　（三）建设整改，落实措施。对已有的信息系统，其运营、使用单位根据已经确定的信息安全保护等级，按照等级保护的管理规范和技术标准，采购和使用相应等级的信息安全产品，建设安全设施，落实安全技术措施，完成系统整改。对新建、改建、扩建的信息系统应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。

　　（四）自查自纠，落实要求。信息和信息系统的运营、使用单位及其主管部门按照等级保护的管理规范和技术标准，对已经完成安全等级保护建设的信息系统进行检查评估，发现问题及时整改，加强和完善自身信息安全等级保护制度的建设，加强自我保护。

　　（五）建立制度，加强管理。信息和信息系统的运营、使用单位按照与本系统安全保护等级相对应的管理规范和技术标准的要求，定期进行安全状况检测评估，及时消除安全隐患和漏洞，建立安全制度，制定不同等级信息安全事件的响应、处置预案，加强信息系统的安全管理。信息和信息系统的主管部门应当按照等级保护的管理规范和技术标准的要求做好监督管理工作，发现问题，及时督促整改。

　　（六）监督检查，完善保护。公安机关按照等级保护的管理规范和技术标准的要求，重点对第三、第四级信息和信息系统的安全等级保护状况进行监督检查。发现确定的安全保护等级不符合等级保护的管理规范和技术标准的，要通知信息和信息系统的主管部门及运营、使用单位进行整改；发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的，要限期整改，使信息和信息系统的安全保护措施更加完善。对信息系统中使用的信息安全产品的等级进行监督检查。

[1][2][3]