信息安全等级保护备案实施细则-中华人民共和国公安部

—1—中华人民共和国公安部关于印发《信息安全等级保护备案实施细则》的通知公信安[2007]1360号各省、自治区、直辖市公安厅（局）公共信息网络安全监察总队（处），新疆生产建设兵团公安局公共信息网络安全监察处：为配合《信息安全等级保护管理办法》（公通字[2007]43号）和《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）的贯彻实施，严格规范备案管理工作，实现备案工作的规范化、制度化，我局制定了《信息安全等级保护备案实施细则》及配套法律文书，现印发给你们，请认真贯彻执行。二〇〇七年十月二十六日—2—信息安全等级保护备案实施细则第一条为加强和指导信息安全等级保护备案工作，规范备案受理、审核和管理等工作，根据《信息安全等级保护管理办法》制定本实施细则。第二条本细则适用于非涉及国家秘密的第二级以上信息系统的备案。第三条地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。隶属于省级的备案单位，其跨地（市）联网运行的信息系统，由省级公安机关公共信息网络安全监察部门受理备案。第四条隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。隶属于中央的非在京单位的信息系统，由当地省级公安机关公共信息网络安全监察部门（或其指定的地市级公安机关公共信息网络安全监察部门）受理备案。跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统（包括由上级主管部门定级，在当地有应用的信息系统），由所在地地市级以上公安机关公共信息—3—网络安全监察部门受理备案。第五条受理备案的公安机关公共信息网络安全监察部门应该设立专门的备案窗口，配备必要的设备和警力，专门负责受理备案工作，受理备案地点、时间、联系人和联系方式等应向社会公布。第六条信息系统运营、使用单位或者其主管部门（以下简称“备案单位”）应当在信息系统安全保护等级确定后30日内，到公安机关公共信息网络安全监察部门办理备案手续。办理备案手续时，应当首先到公安机关指定的网址下载并填写备案表，准备好备案文件，然后到指定的地点备案。第七条备案时应当提交《信息系统安全等级保护备案表》（以下简称《备案表》）（一式两份）及其电子文档。第二级以上信息系统备案时需提交《备案表》中的表一、二、三；第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。第八条公安机关公共信息网络安全监察部门收到备案单位提交的备案材料后，对属于本级公安机关受理范围且备案材料齐全的，应当向备案单位出具《信息系统安全等级保护备案材料接收回执》；备案材料不齐全的，应当当场或者在五日内一次性告知其补正内容；对不属于本级公安机关受理范围的，应当书面告知备案单位到有管辖权的公安机关办理。第九条接收备案材料后，公安机关公共信息网络安全监察—4—部门应当对下列内容进行审核：（一）备案材料填写是否完整，是否符合要求，其纸质材料和电子文档是否一致；（二）信息系统所定安全保护等级是否准确。第十条经审核，对符合等级保护要求的，公安机关公共信息网络安全监察部门应当自收到备案材料之日起的十个工作日内，将加盖本级公安机关印章（或等级保护专用章）的《备案表》一份反馈备案单位，一份存档；对不符合等级保护要求的，公安机关公共信息网络安全监察部门应当在十个工作日内通知备案单位进行整改，并出具《信息系统安全等级保护备案审核结果通知》。第十一条《备案表》中表一、表二、表三内容经审核合格的，公安机关公共信息网络安全监察部门应当出具《信息系统安全等级保护备案证明》（以下简称《备案证明》）。《备案证明》由公安部统一监制。第十二条公安机关公共信息网络安全监察部门对定级不准的备案单位，在通知整改的同时，应当建议备案单位组织专家进行重新定级评审，并报上级主管部门审批。备案单位仍然坚持原定等级的，公安机关公共信息网络安全监察部门可以受理其备案，但应当书面告知其承担由此引发的责任和后果，经上级公安机关公共信息网络安全监察部门同意后，同时通报备案单位上级主管部门。第十三条对拒不备案的，公安机关应当依据《中华人民共—5—和国计算机信息系统安全保护条例》等其他有关法律、法规规定，责令限期整改。逾期仍不备案的，予以警告，并向其上级主管部门通报。依照前款规定向中央和国家机关通报的，应当报经公安部公共信息网络安全监察局同意。第十四条受理备案的公安机关公共信息网络安全监察部门应当及时将备案文件录入到数据库管理系统，并定期逐级上传《备案表》中表一、表二、表三内容的电子数据。上传时间为每季度的第一天。受理备案的公安机关公共信息网络安全监察部门应当建立管理制度，对备案材料按照等级进行严格管理，严格遵守保密制度，未经批准不得对外提供查询。第十五条公安机关公共信息网络安全监察部门受理备案时不得收取任何费用。第十六条本细则所称“以上”包含本数（级）。第十七条各省（区、市）公安机关公共信息网络安全监察部门可以依据本细则制定具体的备案工作规范，并报公安部公共信息网络安全监察局备案。—6—信息系统安全等级保护备案材料接收回执（存根）备案类型：□初次备案□变更备案□其他备案单位：备案单位联系人：联系电话：材料数量：□表一共页□表二共页□表三共页□表四共页□附件共份□电子数据材料接受人：接受日期：年月日信息系统安全等级保护备案材料接收回执：我单位接收你单位提交的《信息系统安全等级保护备案表》如下具体备案材料（备案日期年月日）：□表一共页□表二共页□表三共页□表四共页□附件共份□电子数据我单位将自即日起的日内，反馈备案审核结果。接收人：接收单位（盖章）年月日业务联系电话：网址：接收材料回执编号：J接收材料回执编号：J—7—信息系统安全等级保护备案审核结果通知（存根）备案类型：□初次备案□变更备案□其他备案单位：备案单位联系人：联系电话：审核人：审核日期：年月日信息系统安全等级保护备案审核结果通知：经对你单位提交的《信息系统安全等级保护备案表》（备案表编号/）进行审核，备案材料不符合要求，请你单位按照审核单中所列内容进行整改后，于天内重新进行备案。附：《信息系统安全等级保护备案审核详单》审核人：业务联系电话：审核单位（盖章）年月日备案整改通知编号：S备案整改通知编号：S—8—信息系统安全等级保护备案审核详单审核结果一01是否按要求填写《信息系统安全等级保护备案表》是否02是否提交《信息系统安全等级保护备案表》电子版是否审查结果二03《信息系统安全等级保护备案表》内容是否完整是否（如否请填写下项）1．表第项内容不完整；2．表第项内容不完整；3．表第项内容不完整；4．表第项内容不完整；5．表第项内容不完整；04《信息系统安全等级保护备案表》附件内容是否完整是否（如否请填写下项）1．附件第部分内容不完整；2．附件第部分内容不完整；3．附件第部分内容不完整；4．附件第部分内容不完整；5．附件第部分内容不完整；审核结果三1、信息系统安全保护等级定级不准确，建议重新审核确定系统安全保护等级；2、信息系统安全保护等级定级不准确，建议重新审核确定系统安全保护等级；3、信息系统安全保护等级定级不准确，建议重新审核确定系统安全保护等级；（可自行添加）—9—（备案证明背版）注意事项：1、备案单位备案后应当依据信息系统所定安全保护等级，按照《信息安全等级保护管理办法》中规定的技术标准和管理规范建设安全设施，落实安全保护措施。2、备案事项发生变更时，备案单位应当自变更之日起三十日内将变更情况报公安机关公共信息网络安全监察部门重新备案。3、本备案证由信息系统运营使用单位或其主管部门保管，公安机关监督检查时应主动出示本证。—10—（此处印制公安机关名称）信息系统安全等级保护限期整改通知书Ｘ公信安限字[]第号检查时间检查地点被检查单位名称被检查单位地址违规行为限期改正时间年月日至年月日办理单位承办人批准人填发人填发日期存根—11—（此处印制公安机关名称）信息系统安全等级保护限期整改通知书X公信安限字[]第号：根据《中华人民共和国计算机信息系统安全保护条例》，我单位工作人员于年月日对你单位信息安全等级保护工作进行了监督检查，发现存在下列违规行为（□1有关信息系统安全保护状况不符合国家信息安全等级保护管理规范和技术标准的要求；□2未按照《信息安全等级保护管理办法》开展有关工作；□3不符合其他有关信息安全规定的行为）1．（具体的不符合行为描述，可自行添加）；2．；根据，请你单位于年月日前改正，并在期限届满前将整改情况函告我单位。在期限届满之前，你单位应当采取必要的安全保护管理和技术措施，确保信息系统安全。（公安机关印章）被检查单位：年月日年月日一式两份，一份交被检查单位，一份附卷。