新版等级保护管理办法

新版等级保护管理办法一、总则（一）目的为了规范信息系统安全等级保护工作，提高信息系统的安全保护能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设的健康发展，依据国家有关法律法规，制定本办法。（二）适用范围本办法适用于中华人民共和国境内的计算机信息系统。涉及国家秘密的信息系统，按国家保密工作部门的有关规定执行。（三）基本原则1.自主保护原则：信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。2.重点保护原则：根据信息系统在国家安全、经济建设、社会生活中的重要程度，以及遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，对信息系统实行重点保护。3.同步建设原则：信息系统的安全保护设施必须与主体工程同时规划、同时设计、同时施工、同时投入使用。4.动态调整原则：根据信息系统的变化情况和对其安全保护的需求，及时调整安全保护等级，确保其始终具有与其安全保护等级相适应的安全保护能力。二、等级划分与保护要求（一）等级划分信息系统的安全保护等级分为以下五级：1.第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。2.第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。3.第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。4.第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。5.第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。（二）各等级保护要求1.第一级：基本的身份鉴别。访问控制。数据完整性保护。审计。2.第二级：较完善的身份鉴别。访问控制策略。数据加密保护。安全审计机制。应急响应机制。3.第三级：严格的身份鉴别和认证。全面的访问控制。数据加密存储和传输。安全审计与监控。应急处置预案。4.第四级：高强度的身份鉴别和认证。精细的访问控制。数据加密和脱敏处理。实时的安全审计与监控。应急处置与恢复。5.第五级：最严格的身份鉴别和认证。全方位的访问控制。数据加密和安全防护。实时的安全审计与监控。应急处置与恢复。三、安全等级保护的实施与管理（一）定级1.信息系统运营、使用单位应当依据本办法和相关技术标准，确定信息系统的安全保护等级。2.新建信息系统在规划设计阶段应同步确定安全保护等级；已建信息系统应在本办法实施后一年内确定安全保护等级。（二）备案1.信息系统运营、使用单位或者其主管部门应当在确定信息系统安全保护等级后三十日内，到公安机关办理备案手续。2.办理备案时，应当提交以下材料：信息系统备案表。信息系统安全保护等级定级报告。符合本办法及相关标准规定的信息系统安全技术措施方案。信息系统安全管理措施方案。信息系统使用的信息安全产品清单及其认证、销售许可证明。信息系统应急处置预案。（三）建设整改1.信息系统运营、使用单位及其主管部门应当按照经备案的信息系统安全保护等级，进行信息系统建设和整改，保障信息系统安全保护措施的有效落实。2.安全保护措施应当符合相关国家标准和行业标准的要求。（四）等级测评1.信息系统运营、使用单位应当定期委托具有相应资质的测评机构对信息系统进行安全等级测评。2.二级以上信息系统应当每年至少进行一次等级测评，三级信息系统应当每年进行一次全面的安全等级测评，四级信息系统应当每半年进行一次全面的安全等级测评，五级信息系统应当依据特殊安全需求进行安全等级测评。（五）监督检查1.公安机关对备案的信息系统进行监督检查，发现不符合本办法及相关标准的，应当通知运营、使用单位限期整改。2.运营、使用单位应当接受公安机关的监督检查，并按照要求进行整改。四、信息安全产品与服务管理（一）信息安全产品采购1.信息系统运营、使用单位采购信息安全产品，应当选择具有国家规定资质的产品，并采购通过安全认证的产品。2.采购的信息安全产品应当与信息系统的安全保护等级相适应。（二）信息安全服务1.信息系统运营、使用单位委托信息安全服务机构提供信息安全服务，应当选择具有国家规定资质的服务机构，并签订服务合同，明确双方的权利和义务。2.信息安全服务机构应当按照国家有关规定和合同约定，提供安全、可靠、有效的服务。五、人员安全管理（一）人员安全意识培训1.信息系统运营、使用单位应当定期对员工进行信息安全意识培训，提高员工的安全意识和防范能力。2.培训内容应当包括信息安全法律法规、安全操作规程、安全防范知识等。（二）人员安全背景审查1.对涉及信息系统安全的关键岗位人员，应当进行安全背景审查。2.审查内容包括人员的政治背景、犯罪记录、职业道德等。（三）人员安全离职管理1.人员离职时，应当及时收回其相关权限和账号。2.对离职人员进行安全提醒，防止其泄露信息系统的敏感信息。六、应急管理（一）应急预案制定1.信息系统运营、使用单位应当制定信息系统安全应急预案，明确应急处置流程和责任分工。2.应急预案应当包括应急处置流程、应急处置措施、应急处置资源等内容。（二）应急演练1.信息系统运营、使用单位应当定期组织应急演练，提高应急处置能力。2.应急演练应当包括应急处置流程演练、应急处置措施演练、应急处置资源演练等内容。（三）应急处置1.信息系统发生安全事件时，运营、使用单位应当立即启动应急预案，采取应急处置措施，防止事件扩大。2.及时向公安机关等相关部门报告安全事件情况，并配合相关部门进行调查处理。七、法律责任（一）运营、使用单位责任1.信息系统运营、使用单位违反本办法规定，有下列情形之一的，由公安机关责令限期改正；逾期不改正的，给予警告，并可以根据情节轻重处以一万元以上五万元以下罚款：未按本办法规定确定信息系统安全保护等级的。未按本办法规定进行备案的。未按本办法规定开展等级测评的。未按本办法规定落实安全保护措施的。2.信息系统运营、使用单位违反本办法规定，导致信息系统被攻击、破坏，造成严重后果的，由公安机关依法予以处罚；构成犯罪的，依法追究刑事责任。（二）测评机构责任1.测评机构违反本办法规定，有下列情形之一的，由公安机关责令限期改正；逾期不改正的，给予警告，并可以根据情节轻重处以一万元以上五万元以下罚款：未按本办法规定开展等级测评的。出具虚假测评报告的。2.测评机构违反本办法规定，导致信息系统安全隐患未被及时发现，造成严重后果的，由公安机关依法予以处罚；构成犯罪的，依法追究刑事责任。（三）其他责任1.信息安全产品和服务提供商违反本办法规定，提供的产品和服务不符合相关标准和要求的，由公安机关责令限期改正；逾期不改正的，给予警告，并可以根据情节轻重处以一万元以上五万元以下罚款。2.违反本办法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责