《信息安全等級保護措施的一般性規(guī)定》由會員分享��,可在線閱讀��,更多相關(guān)《信息安全等級保護措施的一般性規(guī)定(4頁珍藏版)》請在裝配圖網(wǎng)上搜索�����。
1�、
信息安全等級保護措施的一般性規(guī)定
一�、總體要求
計算機信息系統(tǒng)規(guī)劃�、設(shè)計、建設(shè)和維護應(yīng)當(dāng)同步落實相應(yīng)的安全措施�����,使用符合國家有關(guān)規(guī)定����、滿足計算機信息系統(tǒng)安全保護需求的信息技術(shù)產(chǎn)品。
二��、安全保護機構(gòu)和人員
計算機信息系統(tǒng)的運營�、使用單位應(yīng)當(dāng)按照國家有關(guān)規(guī)定,建立����、健全計算機信息系統(tǒng)安全管理制度,確定安全管理責(zé)任人�����,負責(zé)計算機信息系統(tǒng)的安全保護工作����。
計算機信息系統(tǒng)信息服務(wù)提供者應(yīng)當(dāng)設(shè)立信息審查員�����,負責(zé)信息審查工作。
第二級以上計算機信息系統(tǒng)的運營�����、使用單位應(yīng)當(dāng)建立安全保護組織����,并報地級以上市人民政府公安機關(guān)備案。
三�、信息安全等級保護的重要環(huán)節(jié)
(一)使用前測評
第二級以
2、上計算機信息系統(tǒng)建設(shè)完成后��,運營��、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國家規(guī)定的安全等級測評機構(gòu)�,依據(jù)國家規(guī)定的技術(shù)標準,對計算機信息系統(tǒng)安全等級狀況開展等級測評����,測評合格后方可投入使用。
(二)日常測評和自查
計算機信息系統(tǒng)的運營��、使用單位及其主管部門應(yīng)當(dāng)按照國家規(guī)定定期對計算機信息系統(tǒng)開展安全等級測評,并對計算機信息系統(tǒng)安全狀況�、安全管理制度及措施的落實情況進行自查。計算機信息系統(tǒng)安全狀況經(jīng)測評或者自查����,未達到安全等級保護要求的,運營����、使用單位應(yīng)當(dāng)進行整改。
(三)備案
第二級以上計算機信息系統(tǒng)�,由運營、使用單位在投入運行后三十日內(nèi)����,到地級市以上人民政府公安機關(guān)備案。計算機信息系統(tǒng)備
3��、案后��,對符合安全等級保護要求的��,公安機關(guān)應(yīng)當(dāng)在收到備案材料之日起十個工作日內(nèi)頒發(fā)計算機信息系統(tǒng)安全等級保護備案證明��;對不符合安全等級保護要求的��,應(yīng)當(dāng)在收到備案材料之日起十個工作日內(nèi)通知備案單位予以糾正。運營��、使用單位或者其主管部門重新確定計算機信息系統(tǒng)等級的�����,應(yīng)當(dāng)按照本條例向公安機關(guān)重新備案����。
(四)監(jiān)督檢查
計算機信息系統(tǒng)的運營����、使用單位應(yīng)當(dāng)接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督�����、檢查����、指導(dǎo),按照國家有關(guān)規(guī)定如實提供有關(guān)計算機信息系統(tǒng)安全保護的信息����、資料及數(shù)據(jù)文件����。
(五)應(yīng)急處置
1.情況報告�����。對計算機信息系統(tǒng)中發(fā)生的案件和重大安全事故�����,計算機信息系統(tǒng)的運營��、使用單位應(yīng)當(dāng)在二十
4�����、四小時內(nèi)報告縣級以上人民政府公安機關(guān)����,并保留有關(guān)原始記錄。
2.應(yīng)急預(yù)案��。第二級以上計算機信息系統(tǒng)的運營�����、使用單位應(yīng)當(dāng)制定重大突發(fā)事件應(yīng)急處置預(yù)案。
3.應(yīng)急調(diào)芳�����。第二級以上計算機信息系統(tǒng)發(fā)生重大突發(fā)事件����,有關(guān)單位應(yīng)當(dāng)按照應(yīng)急處置預(yù)案的要求采取相應(yīng)的處置措施,并服從公安機關(guān)和國家指定的專門部門的調(diào)度��。
四�����、安全管理制度
第二級以上計算機信息系統(tǒng)的運營��、使用單位應(yīng)當(dāng)建立并執(zhí)行下列安全管理制度:
(一)計算機機房安全管理制度��;
(二)安全責(zé)任制度�;
(三)網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級制度�;
(四)系統(tǒng)安全風(fēng)險管理和應(yīng)急處置制度;
(五)操作權(quán)限管理制度�����;
(六)用戶登記制度;
5��、
(七)重要設(shè)備�、介質(zhì)管理制度;
(八)信息發(fā)布審查�、登記、保存�����、清除和備份制度�����;
(九)信息群發(fā)服務(wù)管理制度�。
五、安全技術(shù)措施
第二級以上計算機信息系統(tǒng)的運營�、使用單位應(yīng)當(dāng)采取下列安全保護技術(shù)措施:
(一)系統(tǒng)重要部分的冗余或者備份措施;
(二)計算機病毒防治措施�;
(三)網(wǎng)絡(luò)攻擊防范和追蹤措施;
(四)安全審計和預(yù)警措施�;
(五)系統(tǒng)運行和用戶使用日志記錄保存六十日以上措施;
(六)記錄用戶賬號��、主叫電話號碼和網(wǎng)絡(luò)地址的措施;
(七)身份登記和識別確認措施�;
(八)垃圾信息、有害信息防治措施����;
(九)信息群發(fā)限制措施。
六����、安全專用產(chǎn)品的選擇
第三級以上信息
6、系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品:
(一)產(chǎn)品研制����、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的����,在中華人民共和國境內(nèi)具有獨立的法人資格��;
(二)產(chǎn)品的核心技術(shù)�����、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)��;
(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)�、技術(shù)人員無犯罪記錄;
(四)產(chǎn)品研制����、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門�����、木馬等程序和功能�����;
(五)對國家安全�、社會秩序、公共利益不構(gòu)成危害��;
(六)對已列入信息安全產(chǎn)品認證目錄的�����,應(yīng)當(dāng)取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書�����。
符合上述規(guī)定的安全專用產(chǎn)品和生產(chǎn)單位應(yīng)當(dāng)?shù)绞」矎d公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案,以便于向社會公
7�����、布和相關(guān)單位選擇����。
七、測評機構(gòu)的選擇
第二級以上的計算機信息系統(tǒng)的安全測評應(yīng)當(dāng)選擇符合下列條件的計算機信息系統(tǒng)安全等級測評機構(gòu)(簡稱測評機構(gòu))承擔(dān):
(一)在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外)�,具有相應(yīng)經(jīng)營范圍的營業(yè)執(zhí)照,注冊資本100萬元以上��;
(二)由中國公民投資��、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外)����;
(三)近3年完成的測評項目總值150萬元以上;
(四)具有計算機安全或相關(guān)專業(yè)資格證書的專業(yè)技術(shù)人員不少于20人�,其中大學(xué)本科以上學(xué)歷的人員不少于15人;
(五)管理人員應(yīng)當(dāng)具有3年以上從事計算機信息系統(tǒng)安全技術(shù)領(lǐng)域企業(yè)管理工作經(jīng)歷�,技術(shù)負責(zé)人已
8�����、獲得計算機信息系統(tǒng)安全技術(shù)相關(guān)專業(yè)的高級職稱,從事安全測評工作不少于3年����,無犯罪記錄;
(六)工作人員僅限于中國公民��,法人及主要業(yè)務(wù)�����、技術(shù)人員無犯罪記錄����;
(七)具有與所承擔(dān)項目適應(yīng)的技術(shù)裝備;
(八)具有完備的保密管理��、項目管理��、質(zhì)量管理��、人員管理和培訓(xùn)教育等安全管理制度����;
(九)對國家安全、社會秩序�����、公共利益不構(gòu)成威脅。
我省對測評機構(gòu)實施備案制度��。省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門對已備案的測評機構(gòu)進行公布��。
八�����、資料提供要求
信息系統(tǒng)運營����、使用單位應(yīng)當(dāng)接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督�����、檢查�、指導(dǎo),如實向公安機關(guān)����、國家指定的專門部門提供下列有關(guān)信息安全保護的信息資
9、料及數(shù)據(jù)文件:
(一)信息系統(tǒng)備案事項變更情況����;
(二)安全組織、人員的變動情況��;
(三)信息安全管理制度�����、措施變更情況�����;
(四)信息系統(tǒng)運行狀況記錄��;
(五)運營����、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄;
(六)對信息系統(tǒng)開展等級測評的技術(shù)測評報告�����;
(七)信息安全產(chǎn)品使用的變更情況�;
(八)信息安全事件應(yīng)急預(yù)案,信息安全事件應(yīng)急處置結(jié)果報告�����;
(九)信息系統(tǒng)安全建設(shè)、整改結(jié)果報告��。
九�、涉密信息系統(tǒng)的等級保護
(一)玉管部門
保密工作部門依法對涉密計算機信息系統(tǒng)分級保護工作實施指導(dǎo)、監(jiān)督和檢查�,具體負責(zé)下列工作:
1.指導(dǎo)涉密計算機信息系統(tǒng)建設(shè)使用
10、單位規(guī)范信息定密�,合理確定系統(tǒng)保護等級;
2.參與涉密計算機信息系統(tǒng)分級保護方案論證�����,指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計����;
3.依法對涉密計算機信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理;
4.按照國家規(guī)定進行系統(tǒng)測評和審批工作并監(jiān)督檢查涉密計算機信息系統(tǒng)建設(shè)使用單位分級保護管理制度和技術(shù)措施的落實情況�����;
5.按照國家規(guī)定定期對涉密計算機信息系統(tǒng)進行監(jiān)督檢查�����;
6.了解各級各類涉密計算機信息系統(tǒng)的管理使用情況,查處各種違法行為和泄密事件�。
(二)總體要求
涉密計算機信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護的要求,按照國家有關(guān)涉密計算機信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標準�����,結(jié)合計算機信息
11��、系統(tǒng)實際情況進行保護����。
(三)等級劃分
涉密計算機信息系統(tǒng)按照所處理信息的最高密級�,由低到高分為秘密、機密�、絕密三個等級,并實行涉密計算機信息系統(tǒng)分級保護��。
(四)主要環(huán)節(jié)
涉密計算機信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密計算機信息系統(tǒng)定級和建設(shè)使用情況�,及時報業(yè)務(wù)主管部門和負責(zé)系統(tǒng)審批的保密工作部門備案,并接受保密工作部門的監(jiān)督�、檢查、指導(dǎo)�。涉密計算機信息系統(tǒng)投入使用前,應(yīng)當(dāng)按照國家有關(guān)規(guī)定報地級市以上人民政府保密工作部門審批,通過審批后方可投入使用�。
十、密碼管理問題
計算機信息系統(tǒng)安全等級保護中密碼的配備�、使用和管理等,應(yīng)當(dāng)按照國家密碼管理的有關(guān)規(guī)定執(zhí)行��。密碼管理部門應(yīng)當(dāng)對計算機信息系統(tǒng)安全保護工作中密碼配備����、使用和管理的情況進行檢查和測評,發(fā)現(xiàn)存在安全隱患�����、違反密碼管理相關(guān)規(guī)定或者未達到密碼相關(guān)標準要求的�,應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進行處置。
信息安全等級保護措施的一般性規(guī)定
