信息安全等级保护法律法规

信息安全等级保护制度信息安全等级保护法律法规提纲前言一、信息安全等级保护的制度体系二、信息安全等级保护的工作要求三、信息安全等级保护的支撑条件四、信息安全等级保护接着做什么前言—什么是等保《信息安全等级保护管理办法》指出信息安全等级保护是以信息为核心的、根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素，对最核心的信息和信息系统划分为五个安全保护和监管等级，实行分级保护。实施信息安全等级保护，可以有效地提高我国信息安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施；有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。前言——为什么实行等保前言——为什么实行等保制度要求——法律法规一、信息安全等级保护的制度体系法规•行政法规——《中华人民共和国计算机信息系统安全保护条例》1997年国务院行政法规，规定计算机信息系统实行安全等级保护。•地方法规——《广东省计算机信息系统安全保护条例》2007年广东地方法规，系统规定了等级保护，并设置了法律责任一、信息安全等级保护的制度体系规范性文件•国家——《关于信息安全等级保护工作的实施意见》2004年公安部、保密局、密码委、信息办联合发文，初步规定了信息安全等级保护工作的指导思想、原则、要求《信息安全等级保护管理办法》2007年公安部、保密局、密码委、信息办联合发文，系统规定了信息安全等级保护制度一、信息安全等级保护的制度体系《公安机关信息安全等级保护检查工作规范（试行）》公安部十一局2008年颁发，规范监督检查工作的具体要求。《信息安全等级保护备案工作实施细则》公安部十一局2008年颁发一、信息安全等级保护的制度体系规范性文件•地方——《广东省公安厅关于计算机信息系统安全保护的实施办法》2008年广东省公安厅（经省政府法制办审查通过）发布《关于贯彻广东省计算机信息系统安全保护条例和广东省公安厅关于计算机信息系统安全保护的实施办法的通知》2008年广东省公安厅网警总队印发《广东省信息安全等级保护备案工作实施细则（试行）》2008年广东省公安厅网警总队印发标准•系统定级–《信息系统安全保护等级定级指南》（国家推荐性标准）•安全保护–《信息系统安全等级保护基本要求》（国家推荐性标准）–《信息系统安全等级保护实施指南》（国家推荐性标准）–《信息系统安全等级保护安全设计技术要求》（国家推荐性标准）•检测评估–《信息系统安全等级保护基本要求》（国家推荐性标准）–《信息系统安全等级保护测评要求》•监督检查–《信息系统安全等级保护监督检查要求》一、信息安全等级保护的制度体系标准•《计算机信息系统安全保护等级划分准则》（GB17859-1999）•《信息安全技术网络基础安全技术要求》•《信息安全技术信息系统通用安全技术要求》•《信息安全技术操作系统安全技术要求》•《信息安全技术数据库管理系统安全技术要求》•《信息安全技术服务器技术要求》•《信息安全技术终端计算机系统安全等级技术要求》一、信息安全等级保护的制度体系原则来源：《关于信息安全等级保护工作的实施意见》信息安全等级保护制度遵循以下基本原则：一是明确责任，共同保护二是依照标准，自行保护三是同步建设，动态调整四是指导监督，保护重点二、信息安全等级保护的工作要求•明确责任，共同保护通过等级保护，组织和动员职能部门、法人和其他组织、公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。二、信息安全等级保护的工作要求•依照标准，自行保护国家运用强制性的规范及标准，要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护。二、信息安全等级保护的工作要求•同步建设，动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。二、信息安全等级保护的工作要求•指导监督，重点保护国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护工作进行指导监督。二、信息安全等级保护的工作要求主要内容来源：《信息安全等级保护管理办法》国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。二、信息安全等级保护的工作要求职责分工公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。二、信息安全等级保护的工作要求在信息安全等级保护工作中，涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责信息安全等级保护工作中部门间的协调。二、信息安全等级保护的工作要求我国信息安全监管部门信息系统的主管部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。信息系统运营、使用单位应当按照等级保护的管理规范和相关标准规范履行信息安全等级保护的义务和责任。二、信息安全等级保护的工作要求省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组各行业主管部门要成立行业信息安全等级保护工作小组各地级以上市参照成立相应工作机制重要信息系统运营使用单位成立信息安全等级保护工作组二、信息安全等级保护的工作要求公安机关职责内容•指导信息系统运营使用单位及其主管部门确定系统安全保护等级。•指导信息安全等级保护的建设、整改和管理。•接受信息系统安全保护等级的备案。•定期对受理备案的信息系统安全保护状况依法进行监督、检查。•对安全保护等级为第三级以上信息系统选择使用信息安全产品的情况进行监督管理。•对信息安全等级保护检测评估服务机构的监督管理。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求各个环节•组织开展调查摸底•合理确定保护等级•依法履行备案手续•开展安全建设整改•组织系统安全测评•加强日常测评自查•加强安全监督检查•组织开展调查摸底各信息系统主管部门、运营使用单位组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构以及系统建设规划等基本情况，为开展信息安全等级保护工作打下基础。二、信息安全等级保护的工作要求•合理确定保护等级（信息化项目立项前）来源和依据：《信息安全等级保护管理办法》、《广东省计算机信息系统安全保护条例》，《信息安全等级保护实施指南》、《信息系统安全等级保护定级指南》二、信息安全等级保护的工作要求定级标准：计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五级：二、信息安全等级保护的工作要求（一）计算机信息系统受到破坏后，可能对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益的，为第一级；二、信息安全等级保护的工作要求（二）计算机信息系统受到破坏后，可能对公民、法人和其他组织的合法权益产生严重损害，或者可能对社会秩序和公共利益造成损害，但不损害国家安全的，为第二级；二、信息安全等级保护的工作要求（三）计算机信息系统受到破坏后，可能对社会秩序和公共利益造成严重损害，或者可能对国家安全造成损害的，为第三级；二、信息安全等级保护的工作要求（四）计算机信息系统受到破坏后，可能对社会秩序和公共利益造成特别严重损害，或者可能对国家安全造成严重损害的，为第四级；（五）计算机信息系统受到破坏后，可能对国家安全造成特别严重损害的，为第五级。二、信息安全等级保护的工作要求定级程序：信息系统运营、使用单位应当依照相关规定和标准和行业指导意见确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。二、信息安全等级保护的工作要求定级注意事项一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。二、信息安全等级保护的工作要求三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。四级信息系统：适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。二、信息安全等级保护的工作要求在申报系统新建、改建、扩建立项时须同时向立项审批部门提交定级报告。二、信息安全等级保护的工作要求•依法履行备案手续来源和依据：《信息安全等级保护管理办法》、《广东省计算机信息系统安全保护条例》，广东省信息安全等级保护备案工作实施细则（试行）、《信息安全等级保护备案实施细则》、《信息安全等级保护实施指南》二、信息安全等级保护的工作要求备案时限。已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，在通过信息化项目立项后，由其运营、使用单位在30日内到所在地设区的市级以上公安机关办理备案手续。二、信息安全等级保护的工作要求补充备案。第三级以上信息系统还应当在系统整改、测评完成后30日内补交《备案表》表四及其有关材料。变更备案。《备案表》所载事项发生变更，备案单位应当自变更之日起30日内重新填写《备案表》报公安机关网监部门备案。其中，变更事项涉及《备案证明》的，公机关网监部门应当重新颁布《备案证明》。二、信息安全等级保护的工作要求书面填写《信息系统安全等级保护备案表》一式两份。可填WORD文档，再打印输出，附上附件。利用备案工具填写。涉密系统填写《涉及国家秘密的信息系统分级保护备案表》，向保密部门备案。备案表填写注意事项《信息系统安全等级保护备案表》WORD文档和备案工具及其他相关材料可到《广东网警》网站信息安全等级保护栏目下载。备案表填写注意事项《信息系统安全等级保护备案表》补充说明一、表一04行政区划代码可到《广东网警》网站信息安全等级保护栏目下载《广东行政区划代码》查询。二、表一08隶属关系1．省直国家机关、省政府直属的企业、事业单位，国资委管理的企业选“2省(自治区、直辖市)”。2．省直部门下设的企业、事业单位选“9其他”，再在横线上注明是哪个部门下设的企业、事业单位。备案表填写注意事项三、表二07关键产品使用情况的部分使用及使用率使用率：软件按产品的种类来计，硬件按件数来计。四、表三06是否有主管部门1．企业、事业单位有主管部门的