信息安全等级保护规范

第一篇：信息安全等级保护规范

公安机关信息安全等级保护检查工作规范

第一条 为规范公安机关公共信息网络安全监察部门开 展信息安全等级保护检查工作，根据《信息安全等级保护管 理办法》(以下简称《管理办法》)，制定本规范。

第二条 公安机关信息安全等级保护检查工作是指公安 机关依据有关规定，会同主管部门对非涉密重要信息系统运 营使用单位等级保护工作开展和落实情况进行检查，督促、 检查其建设安全设施、落实安全措施、建立并落实安全管理 制度、落实安全责任、落实责任部门和人员。

第三条 信息安全等级保护检查工作由市(地)级以上 公安机关公共信息网络安全监察部门负责实施。每年对第三 级信息系统的运营使用单位信息安全等级保护工作检查一 次，每半年对第四级信息系统的运营使用单位信息安全等级 保护工作检查一次。

第四条 公安机关开展检查工作，应当按照“严格依法， 热情服务”的原则，遵守检查纪律，规范检查程序，主动、 热情地为运营使用单位提供服务和指导。

第五条 信息安全等级保护检查工作采取询问情况，查 阅、核对材料，调看记录、资料，现场查验等方式进行。

第六条 检查的主要内容：

(一) 等级保护工作组织开展、实施情况。安全责任落 实情况，信息系统安全岗位和安全管理人员设置情况;

(二) 按照信息安全法律法规、标准规范的要求制定具 体实施方案和落实情况;

(三) 信息系统定级备案情况，信息系统变化及定级备 案变动情况;

(四) 信息安全设施建设情况和信息安全整改情况;

(五) 信息安全管理制度建设和落实情况;

(六) 信息安全保护技术措施建设和落实情况;

(七) 选择使用信息安全产品情况;

(八) 聘请测评机构按规范要求开展技术测评工作情 况，根据测评结果开展整改情况;

(九) 自行定期开展自查情况;

(十) 开展信息安全知识和技能培训情况。 第七条 检查项目：

(一)等级保护工作部署和组织实施情况

1.下发开展信息安全等级保护工作的文件，出台有关 工作意见或方案，组织开展信息安全等级保护工作情况。

2.建立或明确安全管理机构，落实信息安全责任，落 实安全管理岗位和人员。 3.依据国家信息安全法律法规、标准规范等要求制定 具体信息安全工作规划或实施方案。

4.制定本行业、本部门信息安全等级保护行业标准规 范并组织实施。

(二)信息系统安全等级保护定级备案情况

1.了解未定级、备案信息系统情况以及第一级信息系 统有关情况，对定级不准的提出调整建议。

2.现场查看备案的信息系统，核对备案材料，备案单 位提交的备案材料与实际情况相符合情况。

3.补充提交《信息系统安全等级保护备案登记表》表 四中有关备案材料。

4.信息系统所承载的业务、服务范围、安全需求等发 生变化情况，以及信息系统安全保护等级变更情况。

5.新建信息系统在规划、设计阶段确定安全保护等级 并备案情况。

(三)信息安全设施建设情况和信息安全整改情况

1.部署和组织开展信息安全建设整改工作。

2.制定信息安全建设规划、信息系统安全建设整改方 案。 3.按照国家标准或行业标准建设安全设施，落实安全 措施。

(四)信息安全管理制度建立和落实情况 1.建立基本安全管理制度，包括机房安全管理、网络 安全管理、系统运行维护管理、系统安全风险管理、资产和 设备管理、数据及信息安全管理、用户管理、备份与恢复、 密码管理等制度。

2.建立安全责任制，系统管理员、网络管理员、安全 管理员、安全审计员是否与本单位签订信息安全责任书。

3.建立安全审计管理制度、岗位和人员管理制度。

4.建立技术测评管理制度，信息安全产品采购、使用 管理制度。 5.建立安全事件报告和处置管理制度，制定信息系统 安全应急处置预案，定期组织开展应急处置演练。

6.建立教育培训制度，定期开展信息安全知识和技能 培训。

(五)信息安全产品选择和使用情况

1.按照《管理办法》要求的条件选择使用信息安全产 品。

2.要求产品研制、生产单位提供相关材料。包括营业 执照，产品的版权或专利证书，提供的声明、证明材料，计 算机信息系统安全专用产品销售许可证等。

3.采用国外信息安全产品的，经主管部门批准，并请 有关单位对产品进行专门技术检测。

(六)聘请测评机构开展技术测评工作情况

1.按照《管理办法》的要求部署开展技术测评工作。 对第三级信息系统每年开展一次技术测评，对第四级信息系 统每半年开展一次技术测评。 2.按照《管理办法》规定的条件选择技术测评机构。

3.要求技术测评机构提供相关材料。包括营业执照、 声明、证明及资质材料等。

4.与测评机构签订保密协议。 5.要求测评机构制定技术检测方案。

6.对技术检测过程进行监督，采取了哪些监督措施。

7.出具技术检测报告，检测报告是否规范、完整，检 查结果是否客观、公正。

8.根据技术检测结果，对不符合安全标准要求的，进 一步进行安全整改。

(七)定期自查情况

1.定期对信息系统安全状况、安全保护制度及安全技 术措施的落实情况进行自查。第三级信息系统是否每年进行 一次自查，第四级信息系统是否每半年进行一次自查。

2.经自查，信息系统安全状况未达到安全保护等级要 求的，运营、使用单位进一步进行安全建设整改。

第八条 各级公安机关按照“谁受理备案，谁负责检查” 的原则开展检查工作。具体要求是：

对跨省或者全国联网运行、跨市或者全省联网运行等跨 地域的信息系统，由部、省、市级公安机关分别对所受理备 案的信息系统进行检查。 对辖区内独自运行的信息系统，由受理备案的公安机关 独自进行检查。

第九条 对跨省或者全国联网运行的信息系统进行检查 时，需要会同其主管部门。因故无法会同的，公安机关可以 自行开展检查。

第十条 公安机关开展检查前，应当提前通知被检查单 位，并发送《信息安全等级保护监督检查通知书》。

第十一条 检查时，检查民警不得少于两人，并应当向 被检查单位负责人或其他有关人员出示工作证件。

第十二条 检查中应当填写《信息系统安全等级保护监 督检查记录》(以下简称《监督检查记录》)。检查完毕后，《监 督检查记录》应当交被检查单位主管人员阅后签字;对记录 有异议或者拒绝签名的，监督、检查人员应当注明情况。《监 督检查记录》应当存档备查。

第十三条 检查时，发现不符合信息安全等级保护有关 管理规范和技术标准要求，具有下列情形之一的，应当通知 其运营使用单位限期整改，并发送《信息系统安全等级保护 限期整改通知书》(以下简称《整改通知》)。逾期不改正的， 给予警告，并向其上级主管部门通报：

(一) 未按照《管理办法》开展信息系统定级工作的;

(二) 信息系统安全保护等级定级不准确的;

(三) 未按《管理办法》规定备案的;

(四)备案材料与备案单位、备案系统不符合的;

(五)未按要求及时提交《信息系统安全等级保护备案 登记表》表四的有关内容的;

(六)系统发生变化，安全保护等级未及时进行调整并 重新备案的;

(七)未按《管理办法》规定落实安全管理制度、技术 措施的;

(八)未按《管理办法》规定开展安全建设整改和安全 技术测评的;

(九)未按《管理办法》规定选择使用信息安全产品和 测评机构的;

(十)未定期开展自查的;

(十一)违反《管理办法》其他规定的。

第十四条 检查发现需要限期整改的，应当出具《整改 通知》，自检查完毕之日起10个工作日内送达被检查单位。

第十五条 信息系统运营使用单位整改完成后，应当将 整改情况报公安机关，公安机关应当对整改情况进行检查。

第十六条 公安机关实施信息安全等级保护监督检查的 法律文书和记录，应当统一存档备查。

第十七条 受理备案的公安机关应该配备必要的警力， 专门负责信息安全等级保护监督、检查和指导。从事检查工 作的民警应当经过省级以上公安机关组织的信息安全等级 保护监督检查岗位培训。 第十八条 公安机关对检查工作中涉及的国家秘密、工 作秘密、商业秘密和个人隐私等应当予以保密。

第十九条 公安机关进行安全检查时不得收取任何费 用。 第二十条 本规范所称“以上”包含本数(级)。 第二十一条 本规范自发布之日起实施。

第二篇：信息安全等级保护测评工作管理规范

(试行)

第一条 为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。

第二条 本规范适用于等级测评机构和人员及其测评活动的管理。

第三条 等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐，从事等级测评工作的机构。

第四条 省级以上等保办负责等级测评机构的审核和推荐工作。

公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。

第五条 等级测评机构应当具备以下基本条件：

(一)在中华人民共和国境内注册成立(港澳台地区除

外);

(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);

(三)产权关系明晰，注册资金100万元以上;

(四)从事信息系统检测评估相关工作两年以上，无违法记录;

(五)工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录;

(六)具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人;

(七)具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;

(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;

(九)对国家安全、社会秩序、公共利益不构成威胁;

(十)应当具备的其他条件。

第六条 测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。不得从事下列活动：

(一)影响被测评信息系统正常运行，危害被测评信息系统安全;

(二)泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密;

(三)故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告;

(四)未按规定格式出具等级测评报告;

(五)非授权占有、使用等级测评相关资料及数据文件;

(六)分包或转包等级测评项目;

(七)信息安全产品开发、销售和信息系统安全集成;

(八)限定被测评单位购买、使用其指定的信息安全产品;

(九)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。

第七条 申请成为等级测评机构的单位(以下简称“申请单位”)应当向省级以上等保办申请。

国家信息安全等级保护工作协调小组办公室负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请。省级等保办负责受理本省(区、直辖市)申请单位提出的申请。

申请单位申请时，等保办应当告知测评机构的条件、从事的业务范围以及禁止行为等内容，使申请单位清楚了解测评机构的责任和义务。

第八条 知悉有关规定并愿意成为测评机构的申请单位，可以向省级以上等保办提出书面申请，如实填写《信息安全等级保护测评机构申请表》。

申请单位的人员应当如实填写人员基本情况表，并承诺对信息的真实性和有效性负责。

省级以上等保办对申请单位进行初审，初审通过的，应当告知申请单位到评估中心进行测评能力评估。

第九条 评估中心按照有关标准规范，在30个工作日内完成对申请单位的材料审查和现场核查工作。

测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。等级测评人员需持等级测评师证上岗。

评估中心综合评估申请单位的测评能力，测评能力评估合格的，出具评估报告。

第十条 省级以上等保办组织专家对测评能力评估合格的申请单位及其测评人员进行审核。

第十一条 通过审核的，由省级以上等保办向申请单位颁发信息安全等级保护测评机构推荐证书，并向社会公布测评机构推荐目录。

省级等保办将测评机构推荐目录报国家信息安全等级保护工作协调小组办公室，国家信息安全等级保护工作协调小组办公室汇总公布《全国信息安全等级保护测评机构推荐目录》。

第十二条 测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版(试行)》格式出具测评报告，根据信息系统规模和所投入的成本，合理收取测评服务费用。

第十三条 省级以上等保办每年对所推荐的测评机构进行检查。检查时，测评机构应提交《信息安全等级保护测评机构检查表》。

第十四条 测评机构名称、法人等事项发生变化的，或者其等级测评师变动的，测评机构应在30日内到受理申请的省级以上等保办办理变更手续。

第十五条 测评机构应当严格遵循申诉、投诉及争议处理制度，妥善处理争议事件，及时采取纠正和改进措施。

第十六条 测评机构或者其测评人员违反本规范第六条规定之一或检查未通过的，由省级以上等保办责令其限期改正;逾期不改正的，给予警告，直至取消测评机构的推荐证书或等级测评师证书，并向社会公告;造成严重损害的，由相关部门依照有关法律、法规予以处理。

第十七条 测评机构或者测评人员违反本规范的规定，给被测评单位造成损失的，应当依法承担法律责任。

第十八条 本规范由国家信息安全等级保护工作协调小组办公室负责解释。

第十九条 本规范中省级以上含省级。

第二十条 本规范自发布之日起施行。

第三篇：信息安全等级保护

信息安全等级保护(二级) 信息安全等级保护(二级) 备注：其中黑色字体为信息安全等级保护第二级系统要求，蓝色字体为第三级系统等保要求。

一、物理安全

1、应具有机房和办公场地的设计/验收文档（机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施）

2、应具有有来访人员进入机房的申请、审批记录；来访人员进入机房的登记记录

3、应配置电子门禁系统(三级明确要求)；电子门禁系统有验收文档或产品安全认证资质，电子门禁系统运行和维护记录

4、主要设备或设备的主要部件上应设置明显的不易除去的标记

5、介质有分类标识；介质分类存放在介质库或档案室内，磁介质、纸介质等分类存放

6、应具有摄像、传感等监控报警系统；机房防盗报警设施的安全资质材料、安装测试和验收报告；机房防盗报警系统的运行记录、定期检查和维护记录；

7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告；机房监控报警系统的运行记录、定期检查和维护记录

8、应具有机房建筑的避雷装置；通过验收或国家有关部门的技术检测；

9、应在电源和信号线上增加有资质的防雷保安器；具有防雷检测资质的检测部门对防雷装置的检测报告

10、应具有自动检测火情、自动报警、自动灭火的自动消防系统；自动消防系统的运行记录、检查和定期维护记录；消防产品有效期合格；自动消防系统是经消防检测部门检测合格的产品

11、应具有除湿装置；空调机和加湿器；温湿度定期检查和维护记录

12、应具有水敏感的检测仪表或元件；对机房进行防水检测和报警；防水检测装置的运行记录、定期检查和维护记录

13、应具有温湿度自动调节设施；温湿度自动调节设施的运行记录、定期检查和维护记录

14、应具有短期备用电力供应设备（如UPS）；短期备用电力供应设备的运行记录、定期检查和维护记录

15、应具有冗余或并行的电力电缆线路（如双路供电方式）

2

16、应具有备用供电系统（如备用发电机）；备用供电系统运行记录、定期检查和维护记录

二、安全管理制度

1、应具有对重要管理操作的操作规程，如系统维护手册和用户操作规程

2、应具有安全管理制度的制定程序：

3、应具有专门的部门或人员负责安全管理制度的制定（发布制度具有统一的格式，并进行版本控制）

4、应对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等），应具有管理制度评审记录

5、应具有安全管理制度的收发登记记录，收发应通过正式、有效的方式（如正式发文、领导签署和单位盖章等）----安全管理制度应注明发布范围，并对收发文进行登记。

6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定，审定周期多长。（安全管理制度体系的评审记录）

7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查，对需要改进的制度进行修订。（应具有安全管理制度修订记录）

三、安全管理机构

1、应设立信息安全管理工作的职能部门

2、应设立安全主管、安全管理各个方面的负责人

3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位（分工明确，各司其职），数量情况（管理人员名单、岗位与人员对应关系表）

4、安全管理员应是专职人员

5、关键事物需要配备2人或2人以上共同管理，人员具体配备情况如何。

6、应设立指导和管理信息安全工作的委员会或领导小组（最高领导是否由单位主管领导委任或授权的人员担任）

7、应对重要信息系统活动进行审批（如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等），审批部门是何部门，审批人是何人。审批程序：

8、应与其它部门之间及内部各部门管理人员定期进行沟通（信息安全领导小组或者安全管理委员会应定期召开会议）

9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录，定期：

10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录（如会议记录/纪要，信息安全工作决策文档等）

11、应与公安机关、电信公司和兄弟单位等的沟通合作（外联单位联系列表）

12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。

13、聘请信息安全专家作为常年的安全顾问（具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录）

14、应组织人员定期对信息系统进行安全检查（查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况）

15、应定期进行全面安全检查（安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格，安全检查报告，检查结果通告记录）

四、人员安全管理

1、何部门/何人负责安全管理和技术人员的录用工作（录用过程）

2、应对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核，技能考核文档或记录

3、应与录用后的技术人员签署保密协议（协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容）

4、应设定关键岗位，对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全协议。

5、应及时终止离岗人员的所有访问权限（离岗人员所有访问权限终止的记录）

6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等（交还身份证件和设备等的登记记录）

7、人员离岗应办理调离手续，是否要求关键岗位调离人员承诺相关保密义务后方可离开（具有按照离岗程序办理调离手续的记录，调离人员的签字）

8、对各个岗位人员应定期进行安全技能考核；具有安全技能考核记录，考核内容要求包含安全知识、安全技能等。

9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同，审查内容是否包括操作行为和社会关系等。

10、应对各类人员（普通用户、运维人员、单位领导等）进行安全教育、岗位技能和安全技术培训。

6

11、应针对不同岗位制定不同的培训计划，并按照计划对各个岗位人员进行安全教育和培训（安全教育和培训的结果记录，记录应与培训计划一致）

12、外部人员进入条件（对哪些重要区域的访问须提出书面申请批准后方可进入），外部人员进入的访问控制（由专人全程陪同或监督等）

13、应具有外部人员访问重要区域的书面申请

14、应具有外部人员访问重要区域的登记记录（记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等）

五、系统建设管理

1、应明确信息系统的边界和安全保护等级（具有定级文档，明确信息系统安全保护等级）

2、应具有系统建设/整改方案

3、应授权专门的部门对信息系统的安全建设进行总体规划，由何部门/何人负责

4、应具有系统的安全建设工作计划（系统安全建设工作计划中明确了近期和远期的安全建设计划）

5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定（配套文件的论证评审记录或文档）

6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订

7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本

8、应按照国家的相关规定进行采购和使用系统信息安全产品

9、安全产品的相关凭证，如销售许可等，应使用符合国家有关规定产品

10、应具有专门的部门负责产品的采购

11、采购产品前应预先对产品进行选型测试确定产品的候选范围，形成候选产品清单，是否定期审定和更新候选产品名单

12、应具有产品选型测试结果记录和候选产品名单及更新记录（产品选型测试结果文档）

13、应具有软件设计相关文档，专人保管软件设计的相关文档，应具有软件使用指南或操作手册

14、对程序资源库的修改、更新、发布应进行授权和批准

8

15、应具有程序资源库的修改、更新、发布文档或记录

16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测

17、软件安装之前应检测软件中的恶意代码（该软件包的恶意代码检测报告），检测工具是否是第三方的商业产品

18、应具有软件设计的相关文档和使用指南

19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档

20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制

21、应具有工程实施过程应按照实施方案形成各种文档，如阶段性工程进程汇报报告，工程实施方案

22、在信息系统正式运行前，应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试（第三方测试机构出示的系统安全性测试验收报告）

23、应具有工程测试验收方案（测试验收方案与设计方案或合同要求内容一致）

24、应具有测试验收报告

9

25、应指定专门部门负责测试验收工作（具有对系统测试验收报告进行审定的意见）

26、根据交付清单对所交接的设备、文档、软件等进行清点（系统交付清单）

27、应具有系统交付时的技术培训记录

28、应具有系统建设文档（如系统建设方案）、指导用户进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档。

29、应指定部门负责系统交付工作

30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议（文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容

31、选定的安全服务商应提供一定的技术培训和服务

32、应与安全服务商签订的服务合同或安全责任合同书

11、采购产品前应预先对产品进行选型测试确定产品的候选范围，形成候选产品清单，是否定期审定和更新候选产品名单

12、应具有产品选型测试结果记录和候选产品名单及更新记录（产品选型测试结果文档）

10

13、应具有软件设计相关文档，专人保管软件设计的相关文档，应具有软件使用指南或操作手册

14、对程序资源库的修改、更新、发布应进行授权和批准

15、应具有程序资源库的修改、更新、发布文档或记录

16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测

17、软件安装之前应检测软件中的恶意代码（该软件包的恶意代码检测报告），检测工具是否是第三方的商业产品

18、应具有软件设计的相关文档和使用指南

19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档

20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制

21、应具有工程实施过程应按照实施方案形成各种文档，如阶段性工程进程汇报报告，工程实施方案

22、在信息系统正式运行前，应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试（第三方测试机构出示的系统安全性测试验收报告）

11

23、应具有工程测试验收方案（测试验收方案与设计方案或合同要求内容一致）

24、应具有测试验收报告

25、应指定专门部门负责测试验收工作（具有对系统测试验收报告进行审定的意见）

26、根据交付清单对所交接的设备、文档、软件等进行清点（系统交付清单）

27、应具有系统交付时的技术培训记录

28、应具有系统建设文档（如系统建设方案）、指导用户进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档。

29、应指定部门负责系统交付工作

30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议（文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容

31、选定的安全服务商应提供一定的技术培训和服务

32、应与安全服务商签订的服务合同或安全责任合同书

六、系统运维管理

1、应指定专人或部门对机房的基本设施（如空调、供配电设备等）进行定期维护，由何部门/何人负责。

2、应具有机房基础设施的维护记录，空调、温湿度控制等机房设施定期维护保养的记录

3、应指定部门和人员负责机房安全管理工作

4、应对办公环境保密性进行管理（工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件）

5、应具有资产清单（覆盖资产责任人、所属级别、所处位置、所处部门等方面）

6、应指定资产管理的责任部门或人员

7、应依据资产的重要程度对资产进行标识

8、介质存放于何种环境中，应对存放环境实施专人管理（介质存放在安全的环境（防潮、防盗、防火、防磁，专用存储空间））

9、应具有介质使用管理记录，应记录介质归档和使用等情况（介质存放、使用管理记录）

10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包（如采用防拆包装置）、选择安全的物理传输途径、双方在场交付等环节的控制

13

11、应对介质的使用情况进行登记管理，并定期盘点（介质归档和查询的记录、存档介质定期盘点的记录）

12、对送出维修或销毁的介质如何管理，销毁前应对数据进行净化处理。（对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准）（送修记录、带出记录、销毁记录）

13、应对某些重要介质实行异地存储，异地存储环境是否与本地环境相同（防潮、防盗、防火、防磁，专用存储空间）

14、介质上应具有分类的标识或标签

15、应对各类设施、设备指定专人或专门部门进行定期维护。

16、应具有设备操作手册

17、应对带离机房的信息处理设备经过审批流程，由何人审批（审批记录）

18、应监控主机、网络设备和应用系统的运行状况等

19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警

20、应具有日常运维的监控日志记录和运维交接日志记录

14

21、应定期对监控记录进行分析、评审

22、应具有异常现象的现场处理记录和事后相关的分析报告

23、应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理

24、应指定专人负责维护网络安全管理工作

25、应对网络设备进行过升级，更新前应对现有的重要文件是否进行备份（网络设备运维维护工作记录）

26、应对网络进行过漏洞扫描，并对发现的漏洞进行及时修补。

27、对设备的安全配置应遵循最小服务原则，应对配置文件进行备份（具有网络设备配置数据的离线备份）

28、系统网络的外联种类（互联网、合作伙伴企业网、上级部门网络等）应都得到授权与批准，由何人/何部门批准。应定期检查违规联网的行为。

29、对便携式和移动式设备的网络接入应进行限制管理

30、应具有内部网络外联的授权批准书，应具有网络违规行为（如拨号上网等）的检查手段和工具。

31、在安装系统补丁程序前应经过测试，并对重要文件进行备份。

15

32、应有补丁测试记录和系统补丁安装操作记录

33、应对系统管理员用户进行分类（比如：划分不同的管理角色，系统管理权限与安全审计权限分离等）

34、审计员应定期对系统审计日志进行分析（有定期对系统运行日志和审计数据的分析报告）

35、应对员工进行基本恶意代码防范意识的教育，如告知应及时升级软件版本（对员工的恶意代码防范教育的相关培训文档）

36、应指定专人对恶意代码进行检测，并保存记录。

37、应具有对网络和主机进行恶意代码检测的记录

38、应对恶意代码库的升级情况进行记录（代码库的升级记录），对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件，如何处理

39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。

41、重要系统的变更申请书，应具有主管领导的批准

42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统（备份文件记录）

16

43、应定期执行恢复程序，检查和测试备份介质的有效性

44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档

45、应对安全事件记录分析文档

46、应具有不同事件的应急预案

47、应具有应急响应小组，应具备应急设备并能正常工作，应急预案执行所需资金应做过预算并能够落实。

48、应对系统相关人员进行应急预案培训（应急预案培训记录）

49、应定期对应急预案进行演练（应急预案演练记录） 50、应对应急预案定期进行审查并更新

51、应具有更新的应急预案记录、应急预案审查记录。

第四篇：信息安全等级保护测评

TopSec可信等级体系 天融信等级保护方案

Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网

1.等级保护概述

1.1为什么要实行等级保护？

信息系统与社会组织体系是具有对应关系的，而这些组织体系是分层次和级别的，因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求，这就需要对信息系统进行分级、分区域、分阶段进行保护，这是做好国家信息安全的必要条件。

1.2等级保护的政策文件

信息安全等级保护工作非常重要，为此从2003年开始国家发布了一系列政策文件，具体如下：

2003年9月，中办国办颁发《关于加强信息安全保障工作的意见》（中办发[2003]27号），这是我国第一个信息安全保障工作的纲领性文件，战略目标为经过五年努力，基本形成国家信息安全保障体系，实行等级保护制度。

2004年11月，四部委会签《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）：等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。 2005年9月，国信办文件，《关于转发《电子政务信息安全等级保护实施指南》的通知》（国信办[2004]25号）：基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。

2005年，公安部标准：《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。

2006年1月，四部委会签《关于印发《信息安全等级保护管理办法的通知》（公通字[2006]7号）。

1.3 等级保护的管理结构－北京为例

等级保护的实施和落实离不开各级管理机构的指导和监督，这在等级保护的相关文件中已经得到了规定，下面以北京市为例来说明管理机构的组成和职责，具体如下图所示：

1.4等级保护理论的技术演进

在等级保护理论被提出以后，经过相关部门的努力工作，逐渐提出了一系列原则、技术和框架，已经具备实施等级保护工作的基础条件了，其具体演进过程如下图所示：

1.5等级保护的基本需求

一个机构要实施等级保护，需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度，因此各级组织在这方面就存在如下需求：

（1） 政策要求－符合等级保护的要求。系统符合《基本要求》中相应级别的指标，符合《测评准则》中的要求。

（2） 实际需求－适应客户实际情况。适应业务特性与安全要求的差异性，可工程化实施。

1.6基本安全要求的结构

对系统进行定级后，需要通过努力达到相应等级的基本安全要求，在总体上分为技术要求和管理要求，技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全，在管理要求中又分为安全管理机构、安全管理制度等5项，具体如下图所示：

2.等级保护实施中的困难与出路

由于等级保护制度还处于探讨阶段，目前来看，尚存在如下困难：

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统，否则：

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

2.在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善

3.管理难度太大，管理成本高

4.大型客户最关注的关键要求指标超出《基本要求》规定

针对上述问题，在下面几小节分别给出了坚决办法。

2.1安全体系设计方法

需求分析－1

问题1：标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

需求：从组织整体出发，综合考核所有系统

方法：引入体系设计方法

2.2保护对象框架设计方法

需求分析－2

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

需求：准确地进行大系统的分解和描述，反映实际特性和差异性安全要求

方法：引入保护对象框架设计方法

保护对象框架－政府行业

保护对象框架－电信行业

保护对象框架－银行业

2.3安全平台的设计与建设方法

需求分析－3

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

需求：统一规划，集中建设，避免重复和分散，降低成本，提高建设水平

方法：引入安全平台的设计与建设方法

平台定义：为系统提供互操作性及其服务的环境

2.4建立安全运行体系

需求分析－4

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

2.在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善

需求：建立长效机制，建立可持续运行、发展和完善的体系

方法：建立安全运行体系

2.5安全运维工作过程

需求分析－5

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

2.在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善

3.管理难度太大，管理成本高

需求：需要高水平、自动化的安全管理工具

方法：TSM安全管理平台

2.6 TNA可信网络架构模型

需求分析－6

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

2.在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善

3.管理难度太大，管理成本高

4.大型客户最关注的关键指标超出《基本要求》规定

需求：在《基本要求》基础上提出更强的措施，满足客户最关注的指标

方法：引入可信计算的理念，提供可信网络架构

3.总体解决方案－TopSec可信等级体系

按照上面解决等级保护目前困难的方法，总体解决方案就是建立TopSec可信等级体系：

遵照国家等级保护制度、满足客户实际需求，采用等级化、体系化和可信保障相结合的方法，为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。

实施后状态：一套持续运行、涵盖所有安全内容的安全保障体系，是企业或组织安全工作所追求的最终目标

特质：

等级化：突出重点，节省成本，满足不同行业、不同发展阶段、不同层次的要求

整体性：结构化，内容全面，可持续发展和完善，持续运行

针对性：针对实际情况，符合业务特性和发展战略

3.1可信等级体系设计方法

3.2信息安全保障体系总体框架

3.3体系设计的成果

安全组织体系

安全策略体系

安全技术体系

安全运行体系

3.4安全体系的实现

4.成功案例

某国有大型企业已经采用了我们的可信等级体系，取得了良好的效果。

第五篇：国家信息安全等级保护制度

《信息安全等级保护管理办法》

1 四部委下发公通字[2007]43号文 《信息安全等级保护管理办法》是为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。由四部委下发，公通字200743号文。 2 制定目的 规范信息安全等级保护管理。 文号

公通字200743号文 第一章 总则 第一条

为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条

国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条

公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条

信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条

信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章 等级划分与保护 第六条

国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条

信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害， 但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造 1

成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 第八条

信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。 第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。 第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。 第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。 第三章等级保护的实施与管理 第九条

信息系统运营、用单位应当按照《信息系统安全等级保护实施指南》 具体实施等级保护工作。 第十条

信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的， 运营、使用单位或者主管部门应当请国家信息安全保护 等级专家评审委员会评审。 第十一条

信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。 第十二条

在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、 《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。 第十三条

运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》( GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。 第十四条

2

信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。

第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每 半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的， 运营、使用单位应当制定方案进行整改。 第十五条

已运营(运行)的第二级以上信息系统，应当在安全保护等级确定后30 日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。 第十六条

办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：

(一)系统拓扑结构及说明;

(二)系统安全组织机构和管理制度;

(三)系统安全保护设施设计实施方案或者改建实施方案;

(四)系统使用的信息安全产品清单及其认证、销售许可证明;

(五)测评后符合系统安全保护等级的技术检测评估报告;

(六)信息系统安全保护等级专家评审意见;

(七)主管部门审核批准信息系统安全保护等级的意见。

第十七条

信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以 纠正;发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。 第十八条

受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。对第五级信息系统，应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查：

(一)

系统安全需求是否发生变化，原定保护等级是否准确;

(二)

运营、使用单位安全管理制度、措施的落实情况;

3

(三)

运营、使用单位及其主管部门对信息系统安全状况的检查情况;

(四)

系统安全等级测评是否符合要求;

(五)

信息安全产品使用是否符合要求;

(六)

对信息系统开展等级测评的技术测评报告;

(七)

信息安全产品使用的变更情况;

(八)

信息安全事件应急预案，信息安全事件应急处置结果报告;

(九)

信息系统安全建设、整改结果报告。

第二十条

公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求，按照管理规范和技术标准进行整改。 整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改情况组织检查。

第二十一条

第三级以上信息系统应当选择使用符合以下条件的信息安全产品：

(一)

产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民 共和国境内具有独立的法人资格;

(二)产品的核心技术、关键部件具有我国自主知识产权;

(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;

(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;

(五)对国家安全、社会秩序、公共利益不构成危害;

(六)对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。 第二十二条

第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：

(一)

在中华人民共和国境内注册成立(港澳台地区除外);

(二)

由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);

(三)

从事相关检测评估工作两年以上，无违法记录;

(四)

工作人员仅限于中国公民;

(五)

法人及主要业务、技术人员无犯罪记录;

(六)

使用的技术装备、设施应当符合本办法对信息安全产品的要求;

4

(七)

具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;

(八)

对国家安全、社会秩序、公共利益不构成威胁。 第二十三条

从事信息系统安全等级测评的机构，应当履行下列义务：

(一)遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果;

(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险;

(三)对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。 第四章 涉密信息系统的分级保护管理

第二十四条

涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。 第二十五条

涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。涉密信息系统建设使用单位应当在信息规范定密的基础上，依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确 定系统等级。对于包含多个安全域的涉密信息系统，各安全域可以分别确定保护等级。保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。 第二十六条

涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况，及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案，并接受保密部门的监督、检查、指导。

第二十七条

涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准，按照秘密、机密、绝密三级的不同要求，结合系统实际进行方案设计，实施分级保护，其保护水平

总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。 第二十八条

涉密信息系统使用的信息安全保密产品原则上应当选用国产品，并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测，通过检测的产品由国家保密局审核发布目录。

第二十九条

涉密信息系统建设使用单位在系统工程实施结束后，应当向保密工作部门提出申请，由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》

，对涉密信息系统进行安全保密测评。涉密信息系统建设使用单位在系统投入使用前，应当按照《涉及国家秘密的信息系统审批管理规定》，向设区的市级以上保密工作部门申请进行系统审批，涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统，其建设使用单位在按照分级保护要求完成系统整改后，应当向保密工作部门备案。

5

第三十条

涉密信息系统建设使用单位在申请系统审批或者备案时，应当提交以下材料：

(一)系统设计、实施方案及审查论证意见;

(二)系统承建单位资质证明材料;

(三)系统建设和工程监理情况报告;

(四)系统安全保密检测评估报告;

(五)系统安全保密组织机构和管理制度情况;

(六)其他有关材料。 第三十一条

涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时，其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况，决定是否对其重新进行测评和审批。 第三十二条

涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》，加强涉密信息系统运行中的保密管理，定期进行风险评估，消除泄密隐患和漏洞。 第三十三条

国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理，并做好以下工作：

(一)指导、监督和检查分级保护工作的开展;

(二)指导涉密信息系统建设使用单位规范信息定密，合理确定系统保护等级;

(三)参与涉密信息系统分级保护方案论证，指导建设使用单位做好保密设施的同步规划设计;

(四)依法对涉密信息系统集成资质单位进行监督管理;

(五)严格进行系统测评和审批工作，监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;

(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评，对绝密级信息系统每年至少进行一次保密检查或者系统测评;

(七)了解掌握各级各类涉密信息系统的管理使用情况，及时发现和查处各种违规违法行为和泄密事件。 第五章

信息安全等级保护的密码管理 第三十四条

国家密码管理部门对信息安全等级保护的密码实行分类分级管理。

根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度，被保护对象的安全防护要求和涉密程度，被保护对象被破坏后的危害程度以及密码使用部门的性质等，确定密码的等级保护准则。信息系统运营、

使用单位采用密码进行等级保护的，应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。 第三十五条

信息系统安全等级保护中密码的配备、使用和管理等，应当严格执行国家密码管理的有关规定。

第三十六条

6

信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的，应报经国家密码管理局审批，密码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的，须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准，其密码的配备使用情况应当向国家密码管理机构备案。 第三十七条

运用密码技术对信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。 第三十八条

信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。 第三十九条

各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达 到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。 第六章 法律责任 第四十条

第三级以上信息系统运营、使用单位违反本办法规定，有下列行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的，给予警告，并向其上级主管部门通报情况，

建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果：

(一)未按本办法规定备案、审批的;

(二)未按本办法规定落实安全管理制度、措施的;

(三)未按本办法规定开展系统安全状况检查的;

(四)未按本办法规定开展系统安全技术测评的;

(五)接到整改通知后，拒不整改的;

(六)未按本办法规定选择使用信息安全产品和测评机构的;

(七)未按本办法规定如实提供有关文件和证明材料的;

(八)违反保密管理规定的;

(九)违反密码管理规定的;

(十)违反本办法其他规定的。

违反前款规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。 第四十一条

信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、

滥用职权、徇私舞弊的，依法给予行政处分;构成犯罪的，依法追究刑事责任。 第七章 附则

第四十二条

已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。 第四十三条本办法所称“以上”包含本数(级)。 第四十四条本办法自发布之日起施行，《信息安全等级保护管理办法(试行)》(公通字[2006]7 7

号)同时废止。