【正文】 況，及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第三十一條涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責任單位變更時，其建設(shè)使用單位應(yīng)當及時向負責審批的保密工作部門報告。第二十九條涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后，應(yīng)當向保密工作部門提出申請，由國家保密局授權(quán)的系統(tǒng)測評機構(gòu)依據(jù)國家保密標準BMB222007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》，對涉密信息系統(tǒng)進行安全保密測評。第二十六條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當將涉密信息系統(tǒng)定級和建設(shè)使用情況，及時上報業(yè)務(wù)主管部門的保密工作機構(gòu)和負責系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導(dǎo)。第二十五條涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級。第二十二條第三級以上信息系統(tǒng)應(yīng)當選擇符合下列條件的等級保護測評機構(gòu)進行測評：（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；（三）從事相關(guān)檢測評估工作兩年以上，無違法記錄；（四）工作人員僅限于中國公民；（五）法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；（六）使用的技術(shù)裝備、設(shè)施應(yīng)當符合本辦法對信息安全產(chǎn)品的要求；（七）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；（八）對國家安全、社會秩序、公共利益不構(gòu)成威脅。運營、使用單位應(yīng)當根據(jù)整改通知要求，按照管理規(guī)范和技術(shù)標準進行整改。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查，應(yīng)當會同其主管部門進行。第十七條信息系統(tǒng)備案后，公安機關(guān)應(yīng)當對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應(yīng)當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標準的，應(yīng)當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以 糾正；發(fā)現(xiàn)定級不準的，應(yīng)當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。新建第二級以上信息系統(tǒng)，應(yīng)當在投入運行后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。信息系統(tǒng)運營、使用單位及其主管部門應(yīng)當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第十二條在信息系統(tǒng)建設(shè)過程中，運營、使用單位應(yīng)當按照《計算機信息系統(tǒng)安全保護等級劃分準則》（GB178591999）、《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標準，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T202712006）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T202702006）、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T202722006）、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T202732006）、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T6712006）等技術(shù)標準同步建設(shè)符合該等級要求的信息安全設(shè)施。有主管部門的，應(yīng)當經(jīng)主管部門審核批準。第五級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家管理規(guī)范、技術(shù)標準和業(yè)務(wù)特殊安全需求進行保護。第三級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。第八條信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標準對信息系統(tǒng)進行保護，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第五條信息系統(tǒng)的運營、使用單位應(yīng)當依照本辦法及其相關(guān)標準規(guī)范，履行信息安全等級保護的義務(wù)和責任。國家密碼管理部門負責等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。文號公通字200743號文 第一章 總則 第一條為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī)，制定本辦法。第一篇：國家信息安全等級保護制度《信息安全等級保護管理辦法》 四部委下發(fā)公通字[2007]43號文 《信息安全等級保護管理辦法》是為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī)而制定的辦法。第二條國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。涉及其他職能部門管轄范圍的事項，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理。第二章 等級劃分與保護 第六條國家信息安全等級保護堅持自主定級、自主保護的原則。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造 1成損害。第一級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。第十三條運營、使用單位應(yīng)當參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T202692006）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T202822006）、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。第三級信息系統(tǒng)應(yīng)當每年至少進行一次自查，第四級信息系統(tǒng)應(yīng)當每 半年至少進行一次自查，第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行自查。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當按照本辦法向公安機關(guān)重新備案。對第五級信息系統(tǒng)，應(yīng)當由國家指定的專門部門進行檢查。整改完成后，應(yīng)當將整改報告向公安機關(guān)備案。第二十三條從事信息系統(tǒng)安全等級測評的機構(gòu)，應(yīng)當履行下列義務(wù)：（一）遵守國家有關(guān)法律法規(guī)和技術(shù)標準，提供安全、客觀、公正的檢測評估服務(wù)，保證測評的質(zhì)量和效果；（二）保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私，防范測評風險；（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規(guī)定應(yīng)當履行的安全保密義務(wù)和承擔的法律責任，并負責檢查落實。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當在信息規(guī)范定密的基礎(chǔ)上，依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標準BMB172006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》確 定系統(tǒng)等級。第二十七條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當選擇具有涉密集成資質(zhì)的單位承擔或者參與涉密信息系統(tǒng)的設(shè)計與實施。涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)當按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》，向設(shè)區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。保密工作部門應(yīng)當根據(jù)實際情況，決定是否對其重新進行測評和審批。第五章信息安全等級保護的密碼管理 第三十四條國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。第三十六條信息系統(tǒng)運營、使用單位應(yīng)當充分運用密碼技術(shù)對信息系統(tǒng)進行保護。第三十九條各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。第四十一條信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責中，玩忽職守、濫用職權(quán)、徇私舞弊的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責任。第二篇：國家信息安全等級保護制度介紹 ,為業(yè)內(nèi)人士提供最強大的交流共享平臺 的信息安全等級保護工作。信息系統(tǒng)的安全保護等級分為以下五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導(dǎo)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。信息安 ,為業(yè)內(nèi)人士提供最強大的交流共享平臺（五）依法履行備案手續(xù)?？绲貐^(qū)、跨省或者全省、全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，向地級以上市公安局備案。發(fā)現(xiàn)定級不準的，應(yīng)當通知運營使用單位或其主管部門重新審核確定。（七）建設(shè)技術(shù)支撐體系。在信息安全等級保護職能部門、信息系統(tǒng)主管部門、運營使用單位間建立暢通的聯(lián)絡(luò)機制。b)應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷。c)機房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開。d)應(yīng)安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警。 電力供應(yīng)(A3)本項要求包括: ,為業(yè)內(nèi)人士提供最強大的交流共享平臺 訪問控制(G3)本項要求包括: a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能。e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。 安全審計(G3)本項要求包括: a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄。 邊界完整性檢查(S3)本項要求包括: a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查,準確定出位置,并對其進行有效阻斷。d)當對服務(wù)器進行遠程管理時,應(yīng)采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限,實現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限。f)應(yīng)對重要信息資源設(shè)置敏感標記。 ,為業(yè)內(nèi)人士提供最強大的交流共享平臺a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄。e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警。d)應(yīng)提供登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。c)應(yīng)由授權(quán)主體配置訪問控制策略,并嚴格限制默認帳戶的訪問權(quán)限。b)應(yīng)提供自動保護功能,當故障發(fā)生時自動保護當前所有狀態(tài),保證系統(tǒng)能夠進行恢復(fù)。d)應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制。 數(shù)據(jù)安全及備份恢復(fù) 數(shù)據(jù)完整性(S3)本項要求包括: a)應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞,并在檢測到完整性錯誤時采取必要的恢復(fù)措施。e)安全管理制度應(yīng)注明發(fā)布范圍,并對收發(fā)文進行登記。b)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位,并定義各個工作崗位的職責。b)應(yīng)配備專職安全管理員,不可兼任。b)應(yīng)嚴格規(guī)范人員錄用過程,對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查,對其所具有的技術(shù)技能進行考核。b)應(yīng)取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備。c)應(yīng)對考核結(jié)果進行記錄并保存。d)應(yīng)對安全教育和培訓(xùn)的情況和結(jié)果進行記錄并歸檔保存。 自行軟件開發(fā)(G3)本項要求包括: a)應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開,開發(fā)人員和測試人員分離,測試數(shù)據(jù)和測試結(jié)果受到控制。e)應(yīng)確保對程序資源庫的修改、更新、發(fā)布進行授權(quán)和批準。d)應(yīng)要求開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門。 測試驗收(G3) ,為業(yè)內(nèi)人士提供最強大的交流共享平臺a)在系統(tǒng)運行過程中,應(yīng)至少每年對系統(tǒng)進行一次等級測評,發(fā)現(xiàn)不符合相應(yīng)等級保護標準要求的及時整改。 安全服務(wù)商選擇(G3)本項要求包括: a)應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定。b)應(yīng)指定部門負責機房安全,并配備機房安全管理人員,對機房的出入、服務(wù)器的開機或關(guān)機等工作進行管理。 ,為業(yè)內(nèi)人士提供最強大的交流共享平臺d)應(yīng)對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管理,按操作規(guī)程實現(xiàn)主要設(shè)備(包括備份和冗余設(shè)備)的啟動/停止、加電/斷電等操作。c)應(yīng)建立安全管理中心,對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關(guān)事項進行集中管理。d)應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描,對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時的修補。h)應(yīng)定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。 備份與恢復(fù)管理(G3)本項要求包括: a)