信息安全等级保护工作实施细则.doc

内 部 明 电信息安全等级保护工作实施细则 第一章 总则 第一条 信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。为加强本局信息安全等级保护工作，规范信息安全等级保护安全管理，促进各职能部门之间的分工与协调合作，提高信息安全保障能力和水平，制定本实施细则。 第二条 信息安全等级保护，是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 第三条 本实施细则所指的重要信息系统，是指包括本局公共服务网络与管理信息系统。 第四条 信息系统运营、使用单位是指信息系统的所有者或信息系统所承载业务的主管单位，且对该信息系统的安全运行负主要责任的县区分局。本实施细则适用于新建和已建的所有信息系统。第五条 本局内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负发往： 签发：责的原则，对其信息系统分等级进行保护，履行信息安全等级保护职责。第六条 信息系统安全保护等级分为五级： （一）第一级为自主保护级，信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。 （二）第二级为指导保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时，相关职能部门可以对其信息安全等级保护工作进行指导。 （三）第三级为监督保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。 （四）第四级为强制保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。 第七条 市局成立信息安全等级保护领导小组，负责市局信息安全等级保护工作的整体协调和指导。市局信息安全等级保护领导小组下设办公室负责： （一）对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查； （二）对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导； （三）传达市信息安全等级保护领导小组工作指示，制定、下发相关文件； （四）推动制定市局信息安全等级保护相关法律法规和技术标准的细化； （五）汇总有关信息安全等级保护工作的信息，并报市信息安全等级保护领导小组审核后上报市委、市政府和公安部； （六）研究制定市局信息安全等级保护工作规划，编制信息安全等级保护工作简报。 第二章 工作流程 第八条 各县区分局主管局长为信息系统安全等级保护工作第一责任人，负责本单位信息安全等级保护工作的组织实施，为开展信息安全等级保护工作提供必要的条件。 第九条 信息系统运营、使用单位应当按照相关法律法规和技术标准的要求，评估和分析本单位信息系统安全状况，确定信息系统的安全保护等级。 属于重要信息系统的，运营使用单位及其主管部门在确定信息系统的安全保护等级时，应请市局信息安全保护等级专家评审委员会给予咨询评审。 第十条 信息系统运营、使用单位变更本单位信息系统的安全等级，需进行重新备案。 第十一条 信息系统的运营、使用单位应当根据已确定的安全保护等级，按照等级保护相关法律法规和技术标准，使用经过相关部门认可的安全产品，进行信息系统建设。 第十二条 信息系统运营、使用单位及其主管部门按照等级保护相关法律法规和技术标准，对已完成安全等级保护建设的信息系统进行自行评估，发现问题及时整改，加强自我保护。 第十三条 三级以上（含三级）的信息系统建设完成后，其运营、使用单位及其主管部门应选择具有相关资质和认可的信息安全测评单位进行安全检测和评估后，方可投入使用。 第十四条 信息系统安全等级保护测评的单位，需按照相关技术标准进行安全测评后，为信息系统运营、使用单位出具信息安全测评报告，并提出相应整改意见。 信息系统安全等级保护测评单位应当遵守国家有关法律法规和技术标准规定，保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，提供安全、客观、公正的检测服务。 第十五条 安全保护等级在三级以上（含三级）的信息系统，运营、使用单位应当自系统投入运行之日起 30日内，到属地、保卫关系所属公安机关进行信息系统安全等级备案。第十六条 信息系统的备案事项发生变更时，信息系统运营、使用单位或其主管部门应当自变更之日起 30日内按本实施细则中第二十条规定将变更情况报原备案机关。第十七条 备案事项发生变更，信息系统的结构、处理流程等关键部分发生重大变更的应当及时重新定级，并出具相应等级的测评报告。第三章 信息安全等级保护职责 第十八条 信息系统的运营、使用单位应当履行下列安全等级保护职责：（一）落实主管负责人和主管机构，并配备具有相应资格的工作人员； （二）建立健全安全等级保护管理制度；（三）落实安全等级保护技术标准要求；（四）建立信息安全事件分等级应急响应、处置制度，制定安全事件应急预案，并定期进行演练； （五）定期进行安全状况检测和评估； （六）其他应当履行的安全等级保护职责。 第十九条 安全保护等级为三、四级的运营、使用单位信息系统需进行重点安全事件监控，并纳入本局信息安全应急处置体系中，根据信息安全事件所造成的破坏程度以及涉及的范围，确定事件等级，对不同等级事件分等级进行响应和处置。 第二十条 安全保护等级为三、四级的信息系统，发生信息系统安全事件后，其运营、使用单位应当迅速采取措施降低损害程度，防止事件扩大，保存相关记录，并按要求及时向公安机关报告。 第二十一条 信息系统运营、使用单位应当依据信息系统安全等级保护管理要求，对信息系统和信息数据进行容灾、备份。 第二十二条 第五级信息系统适用于