信息安全等级保护管理办法

随着信息技术的飞速发展，信息系统在国家安全、社会稳定、经济发展以及公民个人权益保护中扮演着日益重要的角色。然而，随之而来的是信息安全威胁的日益严峻和复杂，各类网络攻击、数据泄露事件频发，给国家安全和社会稳定带来了巨大挑战。为了有效应对这些挑战，确保信息系统的安全稳定运行，保障国家利益和公民个人信息安全，根据《中华人民共和国网络安全法》等相关法律法规，特制定本《信息安全等级保护管理办法》。

一、总则

1、目的与依据：制定办法旨在规范信息安全等级保护管理，提升保障能力，维护国家安全、社会稳定和公共利益，促进信息化建设，依据相关法律法规。

2、国家管理：国家制定统一的管理规范和技术标准，组织公民、法人等实施分等级的信息安全保护，并进行监督和管理。

3、部门职责：公安机关、国家保密部门、国家密码管理部门等负责相应领域内的监督、检查和指导；多部门协调合作，确保等级保护工作的全面覆盖。

4、主管部门责任：各行业、部门或地区的信息系统主管部门需督促、检查、指导本领域内的信息安全等级保护工作。

5、运营使用单位责任：信息系统的运营、使用单位需履行等级保护的相关义务和责任，确保系统安全。

 二、等级划分与保护

1、自主定级与保护原则：国家信息安全等级保护遵循自主定级和自主保护的原则，依据信息系统的重要性、破坏后的危害程度等因素确定保护等级。

2、等级划分：

第一级：对公民、法人等合法权益造成损害，不影响国家安全、社会秩序和公共利益。

第二级：对公民、法人等合法权益或社会秩序、公共利益造成损害，但不危害国家安全。

第三级：对社会秩序、公共利益或国家安全造成损害。

第四级：对社会秩序、公共利益或国家安全造成特别严重损害。

第五级：对国家安全造成特别严重损害。

3、保护责任与监管：

运营、使用单位需依据相关管理规范和技术标准对信息系统进行保护。

第一、二级系统依据国家标准保护，监管部门对第三级进行监督、检查，对第四级进行强制监督、检查，对第五级则由指定专门部门进行专门监督、检查。

随着信息系统等级的提高，国家监管力度逐步加强，特别是针对高等级信息系统的保护，有更加严格的监管措施。

三、涉及国家秘密信息系统的分级保护管理

1、涉密信息系统保护原则：

涉密信息系统需遵循国家信息安全等级保护及保密工作部门的管理规定和技术标准。

非涉密信息系统禁止处理国家秘密信息。

2、涉密信息系统分级：

涉密信息系统分为秘密、机密、绝密三级。

系统定级需依据信息规范定密及国家保密标准BMB17-2006。

多安全域系统可分别确定保护等级。

3、定级与备案：

建设使用单位需上报定级和建设使用情况至业务主管部门和保密工作部门备案。

接受保密部门的监督、检查、指导。

4、设计与实施：

选择具有涉密集成资质的单位承担或参与设计与实施。

保护水平不低于国家信息安全等级保护三级至五级。

5、信息安全保密产品：

原则上选用国产品，并通过国家保密局授权的检测机构检测。

6、安全保密测评与审批：

系统工程实施结束后需申请安全保密测评，通过审批后方可投入使用。

已使用系统需按分级保护要求整改后备案。

7、审批与备案材料：

包括设计实施方案、承建单位资质、建设和监理报告、安全保密检测评估报告等。

8、变更管理：

系统变更需及时向保密工作部门报告，根据实际情况决定是否重新测评和审批。

9、运行管理：

加强运行中的保密管理，定期进行风险评估，消除隐患。

10、监督管理：

保密工作部门依法实施监督管理，包括指导、监督、检查、审批、测评及查处违规行为等。

对秘密级、机密级系统每两年至少一次检查，绝密级系统每年至少一次检查。

四、信息安全等级保护的密码管理

1、密码分类分级管理：

国家密码管理部门根据被保护对象的重要性、涉密程度、危害程度等因素，确定密码等级保护准则。

2、密码管理规定与标准：

信息系统运营、使用单位需遵循《信息安全等级保护密码管理办法》等密码管理规定和相关标准。

3、密码的配备、使用与管理：

严格执行国家密码管理的有关规定，确保密码的合法、安全使用。

4、密码技术的运用：

鼓励运用密码技术保护信息系统，涉及国家秘密的需报国家密码管理局审批，并执行相关规定和标准。

不涉及国家秘密的，需遵守《商用密码管理条例》等规定，并备案密码配备使用情况。

5、密码产品与进口信息技术产品的限制：

系统等级保护必须使用经国家密码管理部门批准或准销的密码产品，禁止擅自使用国外或自制密码产品。

未经批准不得采用含加密功能的进口信息技术产品。

6、密码及设备的测评：

密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，确保测评的专业性和权威性。

7、监督检查与测评：

密码管理部门定期对密码配备、使用和管理情况进行检查和测评，特别是对重要涉密信息系统进行重点检查。

发现安全隐患或违规行为，将按国家密码管理相关规定进行处置。

《信息安全等级保护管理办法》作为保障国家信息安全的重要法规，其制定与实施对于提升我国信息系统的安全防护能力、维护国家安全和社会稳定具有重要意义。通过明确信息系统的安全保护等级、规范等级保护的实施与管理流程、强化密码管理等关键环节的监管，本办法为信息系统的运营、使用单位提供了清晰的安全指引和操作规范。