【正文】 保護技術措施和管理措施。 （一）信息安全等級保護定級工作 ? 第三級信息系統(tǒng)： 一般適用于地市級以上國家機關、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門戶網(wǎng)站和重要網(wǎng)站；跨省聯(lián)接的網(wǎng)絡系統(tǒng)等。 （二） 信息系統(tǒng)備案工作 備案工作包括： 信息系統(tǒng)備案 、 受理 、 審核和備案信息管理 。 具體按照 《 關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知 》 要求開展 。 備案 ? 第二級以上信息系統(tǒng) ， 由信息系統(tǒng)運營使用單位到所在地設區(qū)的市級以上公安機關網(wǎng)絡安全保衛(wèi)部門辦理備案手續(xù) ， 填寫 《 信息系統(tǒng)安全等級保護備案表 》 。 （二） 信息系統(tǒng)備案工作 ? 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部備案；其他信息系統(tǒng)向北京市公安局備案。 ? 跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當?shù)卦O區(qū)的市級以上公安機關備案。 ? 各部委統(tǒng)一定級信息系統(tǒng)在各地的分支系統(tǒng)，即使是上級主管部門定級的，也要到當?shù)毓簿W(wǎng)絡安全保衛(wèi)部門備案 。 （二） 信息系統(tǒng)備案工作 2. 受理備案與審核 公安機關受理備案 ， 按照 《 信息安全等級保護備案實施細則 》 要求 ， 對備案材料進行審核， 定級準確 、 材料符合要求的頒發(fā)由公安部統(tǒng)一監(jiān)制的備案證明 。 （三） 信息系統(tǒng)安全建設整改工作 工作目標 ? 開展三項重點工作： 安全管理制度建設、技術措施建設和等級測評。 ? 實現(xiàn)五方面目標： 一是信息系統(tǒng)安全管理水平明顯提高，二是信息系統(tǒng)安全防范能力明顯增強，三是信息系統(tǒng)安全隱患和安全事故明顯減少，四是有效保障信息化健康發(fā)展，五是有效維護國家安全、社會秩序和公共利益。 （三） 信息系統(tǒng)安全建設整改工作 工作范圍和工作特點 ? 工作范圍： 已備案的第二級（含）以上信息系統(tǒng)納入安全建設整改的范圍。 尚未開展定級備案的信息系統(tǒng)，要先定級備案，定級不準的要先糾正，再開展安全建設整改。 新建系統(tǒng)要同步開展安全建設工作。 ? 工作特點：繼承發(fā)展、引入標準、外部監(jiān)督、政策牽引 （三） 信息系統(tǒng)安全建設整改工作 工作方法 ? 突出重要系統(tǒng)，兼顧二級。 ? 試點示范，行業(yè)推廣。 ? 管理制度建設和技術措施建設同步 或分步實施。 ? 加固改造，缺什么補什么；也可以 進行總體安全建設整改規(guī)劃。 ? 利用信息安全等級保護綜合工作平 臺，使等級保護工作常態(tài)化。 （三） 信息系統(tǒng)安全建設整改工作 工作內(nèi)容 （ 1）等級保護安全管理制度建設 一是 落實信息安全責任制。 二是落實人員安全管理制度。 三是落實系統(tǒng)建設管理制度。 四是落實系統(tǒng)運維管理制度。 （三） 信息系統(tǒng)安全建設整改工作 ? 落實信息安全責任制： 成立信息安全工作領導機構(gòu)，明確信息安全工作的主管領導。成立專門的信息安全管理部門或落實信息安全責任部門，確定安全崗位，落實專職人員或兼職人員。明確落實領導機構(gòu)、責任部門和有關人員的信息安全責任。 ? 落實人員安全管理制度： 制定人員錄用、離崗、考核、教育培訓等管理制度，落實管理的具體措施。對安全崗位人員要進行安全審查，定期進行培訓、考核和安全保密教育，提高安全崗位人員的專業(yè)水平，逐步實現(xiàn)安全崗位人員持證上崗。 （三） 信息系統(tǒng)安全建設整改工作 ? 落實系統(tǒng)建設管理制度： 建立信息系統(tǒng)定級備案、方案設計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務等管理制度，明確工作內(nèi)容、工作方法、工作流程和工作要求。 ? 落實系統(tǒng)運維管理制度： 建立機房環(huán)境安全、存儲介質(zhì)安全、設備設施安全、安全監(jiān)控、網(wǎng)絡安全、系統(tǒng)安全、惡意代碼防范、密碼保護、備份與恢復、事件處置等管理制度，制定應急預案并定期開展演練，采取相應的管理技術措施和手段，確保系統(tǒng)運維管理制度的有效落實。 （三） 信息系統(tǒng)安全建設整改工作 （ 2）等級保護安全技術措施建設 結(jié)合行業(yè)特點和安全需求，制定符合相應等級要求的信息系統(tǒng)安全技術建設整改方案，開展安全技術措施建設。 可以采取 “ 一個中心三維防護 ” 的防護策略，實現(xiàn)相應級別信息系統(tǒng)的安全保護技術要求。 （三） 信息系統(tǒng)安全建設整改工作 信息系統(tǒng)安全建設整改方案主要內(nèi)容： ? 項目背景 ? 政策和技術標準依據(jù) ? 安全需求分析 ? 安全建設整改技術方案設計 ? 安全建設整改管理體系設計 ? 信息系統(tǒng)安全產(chǎn)品選型及技術指標 ? 安全建設整改后信息系統(tǒng)殘余風險分析 ? 安全建設整改項目實施計劃 ? 項目預算 （三） 信息系統(tǒng)安全建設整改工作 工作流程 第一步：制定安全建設整改工作規(guī)劃，對安全建設整改工作進行總體部署。 第二步：開展信息系統(tǒng)安全現(xiàn)狀分析，從管理和技術兩方面確定安全建設整改需求。 第三步：確定安全保護策略，制定信息系統(tǒng)安全建設整改方案。 第四步：開展信息系統(tǒng)安全建設整改工作，建立并落實安全管理制度，落實安全責任制，建設安全設施，落實安全措施。 第五步：開展安全自查和等級測評，及時發(fā)現(xiàn)問題并進一步整改。 ?工 ?作 ?流 ?程 （三） 信息系統(tǒng)安全建設整改工作 信息系統(tǒng)應達到的保護能力目標 第二級信息系統(tǒng)： 經(jīng)過安全建設整改工作，信息系統(tǒng)具有抵御小規(guī)模、較弱強度惡意攻擊的能力，抵抗一般的自然災害的能力，防范一般性計算機病毒和惡意代碼危害的能力；具有檢測常見的攻擊行為，并對安全事件進行記錄的能力；系統(tǒng)遭到損害后，具有恢復系統(tǒng)正常運行狀態(tài)的能力。 （三） 信息系統(tǒng)安全建設整改工作 第三級信息系統(tǒng)： 經(jīng)過安全建設整改工作，信息系統(tǒng)在統(tǒng)一的安全保護策略下具有抵御大規(guī)模、較強惡意攻擊的能力，抵抗較為嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力；具有對安全事件進行響應處置，并能夠追蹤安全責任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務保障性要求高的系統(tǒng)，應能立即恢復正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進行集中控管的能力。 （三） 信息系統(tǒng)安全建設整改工作 第四級信息系統(tǒng)： 經(jīng)過安全建設整改工作，信息系統(tǒng)在統(tǒng)一的安全保護策略下具有抵御敵對勢力有組織的大規(guī)模攻擊的能力，抵抗嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力；具有對安全事件進行快速響應處置，并能夠追蹤安全責任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務保障性要求高的系統(tǒng)，應能迅速恢復正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進行集中控管的能力。 （四）信息安全等級保護測評工作 等級測評是測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定 ， 按照有關管理規(guī)范和技術標準 ， 對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。 是信息安全等級保護工作的重要環(huán)節(jié) 。 公安機關按照 《 關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知 》 （ 公信安[2024]303號 ） 要求 ， 開展測評機構(gòu)和測評人員的管理工作 ， 保證等級測評的客觀 、 公正和安全 。 (五 )等級保護工作的要求 測評機構(gòu)和測評人員的管理 （ 1） 職責分工 ? 國家信息安全等級保護工作協(xié)調(diào)小組辦公室 （ 以下簡稱 “ 等保辦 ” ） 負責隸屬國家信息安全職能部門和重點行業(yè)測評機構(gòu)的申請受理 、 審核推薦和監(jiān)督檢查等工作 。 ? 各省級等保辦負責等級測評機構(gòu)的申請受理 、 審核推薦和監(jiān)督檢查等工作 。 ? 公安部信息安全等級保護評估中心 （ 以下簡稱 “ 評估中心 ” ） 負責測評機構(gòu)的能力評估和培訓工作 。 (五 )等級保護工作的要求 （ 2） 測評機構(gòu)申請流程 ? 申請：申請單位向省級以上等保辦書面申請 ， 提交 《信息安全等級保護測評機構(gòu)申請表 》 。 ? 受理 、 初審：等保辦受理申請 ， 并對申請材料進行初審 。 ? 能力評估：公安部信息安全等級保護評估中心對申請單位進行能力評估 ， 對測評師進行培訓 、 考試 、 發(fā)證。 (五 )等級保護工作的要求 ? 專家審核 ：等保辦組織專家對測評能力評估合格的申請單位進行審核 。 ? 推薦：等保辦向通過評審的申請單位頒發(fā)信息安全等級保護測評機構(gòu)推薦證書 。 ? 公布 。 省級等保辦向社會公布測評機構(gòu)推薦目錄并報國家等保辦 ， 國家等保辦匯總公布 《 全國信息安全等級保護測評機構(gòu)推薦目錄 》 。 (五 )等級保護工作的要求 （ 3） 監(jiān)督管理 ? 日常監(jiān)督：測評報告 、 測評過程 、 測評服務費用 。 ? 變更處理：機構(gòu)名稱 、 法人 、 測評師等變動的 ， 在 30日內(nèi)到等保辦辦理變更 。 ? 違規(guī)處置：限期整改 、 警告 、 取消證書 。 ? 年度檢查 ：檢查時間 、 內(nèi)容 、 方式 。 (五 )等級保護工作的要求 測評機構(gòu)不得從事下列活動： ? 影響被測評信息系統(tǒng)正常運行，危害被測評信息系統(tǒng)安全； ? 泄露知悉的被測評單位及被測評信息系統(tǒng)的國家秘密和工作秘密； ? 故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告； ? 未按規(guī)定格式出具等級測評報告； (五 )等級保護工作的要求 ? 非授權(quán)占有、使用等級測評相關資料及數(shù)據(jù)文件； ? 分包或轉(zhuǎn)包等級測評項目； ? 信息安全產(chǎn)品開發(fā)、銷售和信息系統(tǒng)安全集成； ? 限定被測評單位購買、使用其指定的信息安全產(chǎn)品； ? 其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。 (五 )等級保護工作的要求 等級測評工作的開展 ? 測評目的： 一是掌握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設整改需求；二是能夠衡量出信息系統(tǒng)安全保護措施是否符合等級保護基本要求，是否具備了相應等級的安全保護能力。 (五 )等級保護工作的要求 ? 測評時機：建設整改前：等級測評，現(xiàn)狀分析；建設整改后：等級測評，檢驗整改效果。 ? 測評頻率：第三級以上定期；第二級參照。 ? 測評費用：參照國家信息化項目人工計費標準或根據(jù)被測設備數(shù)量與測評項預算測評費用。 (五 )等級保護工作的要求 ? 測評工作要求： 測評工作應按照 “ 流程規(guī)范、方法科學、結(jié)論公正 ”的要求進行。 被測單位要監(jiān)督管理測評機構(gòu)和測評人員的測評活動；與測評機構(gòu)簽訂工作協(xié)議和保密協(xié)議；查驗相關材料；落實測評過程監(jiān)管措施。 測評報告?zhèn)浒福簜浒竼挝幻磕陸獙⒌燃墱y評報告向受理備案的公安機關備案 (五 )等級保護工作的要求 測評業(yè)務范圍 ? 職能部門測評機構(gòu)在全國范圍內(nèi)開展測評業(yè)務，到地方時，應當事先告知屬地省級等保辦。 ? 行業(yè)測評機構(gòu)原則上在本行業(yè)內(nèi)開展測評，到地方時應與屬地省級等保辦協(xié)調(diào)。可以承擔其他行業(yè)信息系統(tǒng)的測評任務。 ? 地方測評機構(gòu)原則上在本地開展測評，也可以到異地開展測評，但事先須與當?shù)氐缺＾k協(xié)調(diào)?？梢猿袚鞑课畔⑾到y(tǒng)的測評任務。 ? 特殊情況由公安機關進行協(xié)調(diào)。 （ 六 ）安全自查和監(jiān)督檢查 備案單位、行業(yè)主管部門、公安機關要分別建立并落實監(jiān)督檢查機制，定期開展監(jiān)督檢查。 備案單位的定期自查 ? 定期開展自查，掌握信息系統(tǒng)安全狀況、安全管理制度及技術保護措施的落實情況等。 ? 配合公安機關的監(jiān)督檢查工作，如實提供有關資料及文件。當重要信息系統(tǒng)發(fā)生事件、案件時，備案單位應當及時向受理備案的公安機關報告。 （ 六 ）安全自查和監(jiān)督檢查 行業(yè)主管部門的督導檢查 ? 行業(yè)主管部門要建立督導檢查制度，組織制定本行業(yè)、本部門的信息安全等級保護檢查工作規(guī)范。 ? 定期組織對本行業(yè)、本部門等級保護工作開展情況進行檢查，督促落實信息安全等級保護制度，達到重點督促，以點帶面的目的。 （ 六 ）安全自查和監(jiān)督檢查 公安機關的監(jiān)督檢查 ? 依據(jù)《關于開展信息安全等級保護專項監(jiān)督檢查工作的通知》（公信安 [2024]1175） 和《公安機關信息安全等級保護檢查工作規(guī)范（試行）》開展監(jiān)督檢查。 ? 會同主管部門共同開展，建立監(jiān)督檢查配合機制。 ? 對重要信息系統(tǒng)發(fā)生的事件、案件及時進行調(diào)查和立案偵查，并指導開展應急處置工作。 （ 六 ）安全自查和監(jiān)督檢查