信息安全等级保护管理办法

信息安全等级保护管理办法

信息安全等级保护管理办法

第一章总则

为切实保护国家重要信息基础设施、重要信息系统和重要信息的安全，加强对信息安全等级保护的管理，优化信息安全等级保护体系，促进信息安全发展，根据《中华人民共和国网络安全法》等法律、法规，制定本办法。

第二章信息安全等级及保护对象

第一条信息安全等级分为一级、二级、三级和四级，分别对应于国家重要信息基础设施、重要信息系统、一般信息系统以及不需要进行等级保护的信息系统。

第二条本办法所称重要信息基础设施，是指具有国家安全、人民群众生命财产安全、重要国计民生等方面的重要意义，其安全事故或者破坏会导致严重的社会影响和安全后果的信息基础设施。

第三条本办法所称重要信息系统，是指对国家安全、国民经济、人民生命财产安全等方面起到重要作用，其安全事故或者破坏会导致严重的社会影响和安全后果的信息系统。

第四条本办法所称一般信息系统，是指除重要信息系统和不需要进行等级保护的信息系统以外的信息系统。

第五条本办法所称等级保护对象，是指应当依照本办法的规定进行等级保护的信息基础设施、信息系统和重要信息。

第三章等级保护分类和标准

第六条重要信息基础设施根据其可能受到的威胁、具体特点和重要程度，分为一级、二级和三级。

第七条重要信息系统根据其威胁程度、重要程度，分为一级、二级、三级和四级。

第八条重要信息根据其保密程度、重要程度，分为一级、二级和三级。

第九条各等级保护对象的基本标准如下：

（一）一级：采取最高的信息安全保护措施，经过国家有关部门的安全审查和评估，具有高度的安全可靠性和保密性；

（二）二级：采取较高的信息安全保护措施，经过国家有关部门的安全审查和评估，具有较高的安全可靠性和保密性；

（三）三级：采取一定的信息安全保护措施，确保信息的安全和保密性，经过国家有关部门的安全认证和鉴定；

（四）四级：不需要进行等级保护的信息系统。

第十条各等级保护对象的保护标准如下：

（一）一级保护对象的保护标准：应当采取多重、层次化的安全保护措施，包括物理保护、技术保护、管理保护和突发事件应急处理等，经过安全审查和评估后，进行验收。一级保护对象的日常管理和维护应当有专门的安全管理人员。

（二）二级保护对象的保护标准：应当采取适当的安全保护措施，包括物理保护、技术保护、管理保护和突发事件应急处理等，经过安全审查和评估后，进行验收。二级保护对象的日常管理和维护应当有专门的安全管理人员。

（三）三级保护对象的保护标准：应当采取适当的安全保护措施，包括物理保护、技术保护、管理保护和突发事件应急处理等，经过安全认证和鉴定后，进行验收。三级保护对象的日常管理和维护应当有专门的安全管理人员。

第四章等级保护管理和服务

第十一条国家信息中心和各省、自治区、直辖市的信息中心负责本行政区域内等级保护的组织实施、管理和服务。

第十二条等级保护管理和服务工作应当遵循安全、方便、高效、经济的原则，采用技术手段，对等级保护对象进行安全管理、安全检查、安全监控和安全应急处理等。

第十三条对于等级保护的信息基础设施、信息系统和重要信息，应当实行许可制度。未经许可的，不得开通和使用。

第十四条对于等级保护的信息基础设施、信息系统和重要信息，应当制定安全管理制度、安全管理措施、安全评估和审核制度，开展安全教育和培训，加强安全监控和应急处理能力。

第十五条等级保护对象应当配备安全管理人员，加强日常管理和维护。

第十六条国家和地方应当建立信息安全等级保护的服务和支撑机构，提供信息安全等级保护的技术和服务支持。

第十七条国家应当制定和完善等级保护工作的规划、标准和技术要求，提高等级保护的技术水平和管理水平。

第五章法律责任

第十八条违反本办法的规定，有下列行为之一的，由有关行政机关责令改正，并可以处以罚款或者吊销相关许可等处罚：

（一）未经许可，擅自开通和使用等级保护的信息基础设施、信息系统和重要信息；

（二）未按照要求履行等级保护管理和服务职责的。

第十九条违反本办法的规定，有下列行为之一的，依法追究刑事责任：

（一）以危害国家安全和公共安全等方式，破坏或者破坏等级保护的信息基础设施、信息系统和重要信息；

（二）违反规定，泄露等级保护的重要信息