第三章信息安全等级保护的实施和管理

第九条

信息系统运营者和使用者应当按照《信息系统安全等级保护实施指南》实施等级保护工作。

第十条

信息系统运营者和使用者应当根据本办法和《信息系统安全等级保护分类指南》确定信息系统的安全保护等级。有主管部门的,由主管部门审批。

跨省或全国统一网络运行的信息系统,可由主管部门统一确定。

对于确定为四级以上的信息系统,运营使用单位或者主管部门应当提请国家信息安全保护等级专家评审委员会进行评审。

第十一条

信息系统安全保护等级确定后,运营使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定、符合信息系统安全保护等级要求的信息技术产品,进行信息系统安全建设或者改造。

第十二条

在信息系统建设过程中,运营使用单位应按照《计算机信息系统安全保护分级标准》(GB17859-1999)、《信息系统安全保护基本要求》等技术标准,参照《信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基本安全技术要求》(GB/T20270-2006)、《信息安全技术操作系统安全技术要求》 《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准,同步建设符合该等级要求的信息安全设施。

第十三条

运营使用单位应当参照《信息安全技术信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理标准,制定并实施符合本系统安全保护等级要求的安全管理制度。

第十四条

信息系统建设完成后,运营使用单位或者其主管部门应当选择符合本办法规定条件的评估机构,按照信息系统安全等级保护评估要求等技术标准,定期对信息系统安全等级进行等级评估。三级信息系统至少每年分级一次,四级信息系统至少每半年分级一次,五级信息系统根据特殊安全要求分级。

信息系统运营使用单位及其主管部门应当定期对信息系统的安全状况、安全保护制度和措施的落实情况进行自查。三级信息系统每年至少进行一次自检,四级信息系统每半年至少进行一次自检,五级信息系统根据特殊安全要求进行自检。

经评估或者自查,信息系统安全状况不符合安全保护等级要求的,运营使用单位应当制定整改方案。

第十五条

已经运行(运营)或者新建二级以上的信息系统,应当在安全保护等级确定后30日内,向所在地的市级以上公安机关办理备案手续。

跨省或全国联网运行、由主管部门统一分级的中央所属在京单位信息系统,由主管部门向公安部备案。在统一网络中跨省或者全国范围内运行应用信息系统的子系统,应当向所在地市级以上公安机关备案。

第十六条

办理信息系统安全保护等级备案手续时,应填写《信息系统安全等级保护备案表》,三级以上信息系统还应提供以下材料:

(a)系统拓扑和说明;

(二)系统安全组织管理制度;

(3)系统安全防护设施设计实施方案或改造实施方案;

(四)系统使用的信息安全产品清单及其认证和销售许可证书;

(五)经评估符合系统安全防护等级的技术检测评估报告;

(六)信息系统安全保护等级的专家评估意见;

(七)主管部门对信息系统安全保护等级的审批意见。

第十七条

信息系统备案后,公安机关应当对信息系统备案进行审查,符合等级保护要求的,应当自收到备案材料之日起10个工作日内出具信息系统安全等级保护备案证明;发现不符合本办法及相关标准的,应当自收到备案材料之日起10个工作日内通知备案单位补正;发现不允许分级的,应当自收到备案材料之日起10个工作日内通知备案单位重新审核确定。

运营使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。

第十八条

受理备案的公安机关应当对三级、四级信息系统运行情况和用户信息安全等级保护情况进行检查。每年至少检查一次三级信息系统,每半年至少检查一次四级信息系统。跨省或全国统一联网信息系统的检查,由其主管部门负责。

第五级信息系统由国家指定的专门部门进行检查。

公安机关和国家指定的专门部门应当检查下列事项:

(一)信息系统安全要求是否发生变化,原保护等级是否准确;

(二)运营使用单位安全管理制度和措施的落实情况;

(三)运营使用单位及其主管部门对信息系统安全状况的检查;

(四)系统安全等级评估是否符合要求;

(五)信息安全产品的使用是否符合要求;

(六)信息系统安全整改;

(七)备案材料与运营、使用单位和信息系统的符合性;

(八)其他应当监督检查的事项。

第十九条

信息系统运营和使用单位应当接受公安机关和国家指定的专门部门的安全监督、检查和指导,如实向公安机关和国家指定的专门部门提供下列与信息安全保护有关的信息资料和数据文件:

(一)信息系统备案变更情况;

(2)安全组织和人员的变化;

(三)信息安全管理制度和措施的变化;

(四)信息系统运行状况记录;

(五)运营使用单位和主管部门定期信息系统安全检查记录;

(六)信息系统等级评估的技术评估报告;

(七)信息安全产品用途的变更;

(八)信息安全事件应急预案和信息安全事件应急处理结果报告;

(九)信息系统安全建设、整改结果报告。

第二十条

公安机关发现信息系统安全保护状况不符合信息安全等级保护相关管理规范和技术标准的,应当向运营使用单位发出整改通知书。运营使用单位应当根据整改通知书的要求,按照管理规范和技术标准进行整改。整改完成后,整改报告应当向公安机关备案。必要时,公安机关可以组织对整改情况进行检查。

第二十一条

三级以上信息系统应选择使用符合以下条件的信息安全产品:

(一)产品开发和生产单位由中国公民、法人或国家投资或控股,在中华人民共和国境内具有独立法人资格;

(二)产品的核心技术和关键零部件具有我国自主知识产权;

(三)产品开发生产单位及其主要业务和技术人员无犯罪记录;

(4)产品开发生产单位声明未故意留下或设置漏洞、后门、木马等程序和功能;

(五)不危害国家安全、社会秩序和公共利益;

(六)已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。

第二十二条

三级以上信息系统应当由符合下列条件的等级保护评估机构进行评估:

(一)在中华人民共和国(除港、澳、台地区)注册;

(2)中国公民、中国法人或国家(港澳台除外)投资的企事业单位;

(三)从事相关检测评价工作两年以上,无违法记录;

(四)工作人员仅限于中国公民;

(五)法人及其主要业务和技术人员无犯罪记录;

(六)使用的技术设备和设施符合本办法对信息安全产品的要求;

(七)具有完善的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;

(八)对国家安全、社会秩序和公共利益不构成威胁。

第二十三条

从事信息系统安全等级评估的机构应当履行下列义务:

(一)遵守国家相关法律法规和技术标准,提供安全、客观、公正的检测评价服务,保证评价质量和效果;

(二)保守在评价活动中知悉的国家秘密、商业秘密和个人隐私,防范评价风险;

(三)对评价人员进行安全保密教育,与其签订安全保密责任书,约定应当履行的安全保密义务和法律责任,并负责检查落实。