【正文】 保護(hù)技術(shù)措施和管理措施。 （一）信息安全等級(jí)保護(hù)定級(jí)工作 ? 第三級(jí)信息系統(tǒng)： 一般適用于地市級(jí)以上國(guó)家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國(guó)聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門(mén)戶網(wǎng)站和重要網(wǎng)站；跨省聯(lián)接的網(wǎng)絡(luò)系統(tǒng)等。 （二） 信息系統(tǒng)備案工作 備案工作包括： 信息系統(tǒng)備案 、 受理 、 審核和備案信息管理 。 具體按照 《 關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知 》 要求開(kāi)展 。 備案 ? 第二級(jí)以上信息系統(tǒng) ， 由信息系統(tǒng)運(yùn)營(yíng)使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門(mén)辦理備案手續(xù) ， 填寫(xiě) 《 信息系統(tǒng)安全等級(jí)保護(hù)備案表 》 。 （二） 信息系統(tǒng)備案工作 ? 隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門(mén)統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門(mén)向公安部備案；其他信息系統(tǒng)向北京市公安局備案。 ? 跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。 ? 各部委統(tǒng)一定級(jí)信息系統(tǒng)在各地的分支系統(tǒng)，即使是上級(jí)主管部門(mén)定級(jí)的，也要到當(dāng)?shù)毓簿W(wǎng)絡(luò)安全保衛(wèi)部門(mén)備案 。 （二） 信息系統(tǒng)備案工作 2. 受理備案與審核 公安機(jī)關(guān)受理備案 ， 按照 《 信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則 》 要求 ， 對(duì)備案材料進(jìn)行審核， 定級(jí)準(zhǔn)確 、 材料符合要求的頒發(fā)由公安部統(tǒng)一監(jiān)制的備案證明 。 （三） 信息系統(tǒng)安全建設(shè)整改工作 工作目標(biāo) ? 開(kāi)展三項(xiàng)重點(diǎn)工作： 安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級(jí)測(cè)評(píng)。 ? 實(shí)現(xiàn)五方面目標(biāo)： 一是信息系統(tǒng)安全管理水平明顯提高，二是信息系統(tǒng)安全防范能力明顯增強(qiáng)，三是信息系統(tǒng)安全隱患和安全事故明顯減少，四是有效保障信息化健康發(fā)展，五是有效維護(hù)國(guó)家安全、社會(huì)秩序和公共利益。 （三） 信息系統(tǒng)安全建設(shè)整改工作 工作范圍和工作特點(diǎn) ? 工作范圍： 已備案的第二級(jí)（含）以上信息系統(tǒng)納入安全建設(shè)整改的范圍。 尚未開(kāi)展定級(jí)備案的信息系統(tǒng)，要先定級(jí)備案，定級(jí)不準(zhǔn)的要先糾正，再開(kāi)展安全建設(shè)整改。 新建系統(tǒng)要同步開(kāi)展安全建設(shè)工作。 ? 工作特點(diǎn)：繼承發(fā)展、引入標(biāo)準(zhǔn)、外部監(jiān)督、政策牽引 （三） 信息系統(tǒng)安全建設(shè)整改工作 工作方法 ? 突出重要系統(tǒng)，兼顧二級(jí)。 ? 試點(diǎn)示范，行業(yè)推廣。 ? 管理制度建設(shè)和技術(shù)措施建設(shè)同步 或分步實(shí)施。 ? 加固改造，缺什么補(bǔ)什么；也可以 進(jìn)行總體安全建設(shè)整改規(guī)劃。 ? 利用信息安全等級(jí)保護(hù)綜合工作平 臺(tái)，使等級(jí)保護(hù)工作常態(tài)化。 （三） 信息系統(tǒng)安全建設(shè)整改工作 工作內(nèi)容 （ 1）等級(jí)保護(hù)安全管理制度建設(shè) 一是 落實(shí)信息安全責(zé)任制。 二是落實(shí)人員安全管理制度。 三是落實(shí)系統(tǒng)建設(shè)管理制度。 四是落實(shí)系統(tǒng)運(yùn)維管理制度。 （三） 信息系統(tǒng)安全建設(shè)整改工作 ? 落實(shí)信息安全責(zé)任制： 成立信息安全工作領(lǐng)導(dǎo)機(jī)構(gòu)，明確信息安全工作的主管領(lǐng)導(dǎo)。成立專門(mén)的信息安全管理部門(mén)或落實(shí)信息安全責(zé)任部門(mén)，確定安全崗位，落實(shí)專職人員或兼職人員。明確落實(shí)領(lǐng)導(dǎo)機(jī)構(gòu)、責(zé)任部門(mén)和有關(guān)人員的信息安全責(zé)任。 ? 落實(shí)人員安全管理制度： 制定人員錄用、離崗、考核、教育培訓(xùn)等管理制度，落實(shí)管理的具體措施。對(duì)安全崗位人員要進(jìn)行安全審查，定期進(jìn)行培訓(xùn)、考核和安全保密教育，提高安全崗位人員的專業(yè)水平，逐步實(shí)現(xiàn)安全崗位人員持證上崗。 （三） 信息系統(tǒng)安全建設(shè)整改工作 ? 落實(shí)系統(tǒng)建設(shè)管理制度： 建立信息系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購(gòu)使用、密碼使用、軟件開(kāi)發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等管理制度，明確工作內(nèi)容、工作方法、工作流程和工作要求。 ? 落實(shí)系統(tǒng)運(yùn)維管理制度： 建立機(jī)房環(huán)境安全、存儲(chǔ)介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼保護(hù)、備份與恢復(fù)、事件處置等管理制度，制定應(yīng)急預(yù)案并定期開(kāi)展演練，采取相應(yīng)的管理技術(shù)措施和手段，確保系統(tǒng)運(yùn)維管理制度的有效落實(shí)。 （三） 信息系統(tǒng)安全建設(shè)整改工作 （ 2）等級(jí)保護(hù)安全技術(shù)措施建設(shè) 結(jié)合行業(yè)特點(diǎn)和安全需求，制定符合相應(yīng)等級(jí)要求的信息系統(tǒng)安全技術(shù)建設(shè)整改方案，開(kāi)展安全技術(shù)措施建設(shè)。 可以采取 “ 一個(gè)中心三維防護(hù) ” 的防護(hù)策略，實(shí)現(xiàn)相應(yīng)級(jí)別信息系統(tǒng)的安全保護(hù)技術(shù)要求。 （三） 信息系統(tǒng)安全建設(shè)整改工作 信息系統(tǒng)安全建設(shè)整改方案主要內(nèi)容： ? 項(xiàng)目背景 ? 政策和技術(shù)標(biāo)準(zhǔn)依據(jù) ? 安全需求分析 ? 安全建設(shè)整改技術(shù)方案設(shè)計(jì) ? 安全建設(shè)整改管理體系設(shè)計(jì) ? 信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標(biāo) ? 安全建設(shè)整改后信息系統(tǒng)殘余風(fēng)險(xiǎn)分析 ? 安全建設(shè)整改項(xiàng)目實(shí)施計(jì)劃 ? 項(xiàng)目預(yù)算 （三） 信息系統(tǒng)安全建設(shè)整改工作 工作流程 第一步：制定安全建設(shè)整改工作規(guī)劃，對(duì)安全建設(shè)整改工作進(jìn)行總體部署。 第二步：開(kāi)展信息系統(tǒng)安全現(xiàn)狀分析，從管理和技術(shù)兩方面確定安全建設(shè)整改需求。 第三步：確定安全保護(hù)策略，制定信息系統(tǒng)安全建設(shè)整改方案。 第四步：開(kāi)展信息系統(tǒng)安全建設(shè)整改工作，建立并落實(shí)安全管理制度，落實(shí)安全責(zé)任制，建設(shè)安全設(shè)施，落實(shí)安全措施。 第五步：開(kāi)展安全自查和等級(jí)測(cè)評(píng)，及時(shí)發(fā)現(xiàn)問(wèn)題并進(jìn)一步整改。 ?工 ?作 ?流 ?程 （三） 信息系統(tǒng)安全建設(shè)整改工作 信息系統(tǒng)應(yīng)達(dá)到的保護(hù)能力目標(biāo) 第二級(jí)信息系統(tǒng)： 經(jīng)過(guò)安全建設(shè)整改工作，信息系統(tǒng)具有抵御小規(guī)模、較弱強(qiáng)度惡意攻擊的能力，抵抗一般的自然災(zāi)害的能力，防范一般性計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)常見(jiàn)的攻擊行為，并對(duì)安全事件進(jìn)行記錄的能力；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)正常運(yùn)行狀態(tài)的能力。 （三） 信息系統(tǒng)安全建設(shè)整改工作 第三級(jí)信息系統(tǒng)： 經(jīng)過(guò)安全建設(shè)整改工作，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力，抵抗較為嚴(yán)重的自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力；具有對(duì)安全事件進(jìn)行響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能立即恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。 （三） 信息系統(tǒng)安全建設(shè)整改工作 第四級(jí)信息系統(tǒng)： 經(jīng)過(guò)安全建設(shè)整改工作，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御敵對(duì)勢(shì)力有組織的大規(guī)模攻擊的能力，抵抗嚴(yán)重的自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力；具有對(duì)安全事件進(jìn)行快速響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能迅速恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。 （四）信息安全等級(jí)保護(hù)測(cè)評(píng)工作 等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定 ， 按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn) ， 對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。 是信息安全等級(jí)保護(hù)工作的重要環(huán)節(jié) 。 公安機(jī)關(guān)按照 《 關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知 》 （ 公信安[2024]303號(hào) ） 要求 ， 開(kāi)展測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員的管理工作 ， 保證等級(jí)測(cè)評(píng)的客觀 、 公正和安全 。 (五 )等級(jí)保護(hù)工作的要求 測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員的管理 （ 1） 職責(zé)分工 ? 國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室 （ 以下簡(jiǎn)稱 “ 等保辦 ” ） 負(fù)責(zé)隸屬國(guó)家信息安全職能部門(mén)和重點(diǎn)行業(yè)測(cè)評(píng)機(jī)構(gòu)的申請(qǐng)受理 、 審核推薦和監(jiān)督檢查等工作 。 ? 各省級(jí)等保辦負(fù)責(zé)等級(jí)測(cè)評(píng)機(jī)構(gòu)的申請(qǐng)受理 、 審核推薦和監(jiān)督檢查等工作 。 ? 公安部信息安全等級(jí)保護(hù)評(píng)估中心 （ 以下簡(jiǎn)稱 “ 評(píng)估中心 ” ） 負(fù)責(zé)測(cè)評(píng)機(jī)構(gòu)的能力評(píng)估和培訓(xùn)工作 。 (五 )等級(jí)保護(hù)工作的要求 （ 2） 測(cè)評(píng)機(jī)構(gòu)申請(qǐng)流程 ? 申請(qǐng)：申請(qǐng)單位向省級(jí)以上等保辦書(shū)面申請(qǐng) ， 提交 《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)申請(qǐng)表 》 。 ? 受理 、 初審：等保辦受理申請(qǐng) ， 并對(duì)申請(qǐng)材料進(jìn)行初審 。 ? 能力評(píng)估：公安部信息安全等級(jí)保護(hù)評(píng)估中心對(duì)申請(qǐng)單位進(jìn)行能力評(píng)估 ， 對(duì)測(cè)評(píng)師進(jìn)行培訓(xùn) 、 考試 、 發(fā)證。 (五 )等級(jí)保護(hù)工作的要求 ? 專家審核 ：等保辦組織專家對(duì)測(cè)評(píng)能力評(píng)估合格的申請(qǐng)單位進(jìn)行審核 。 ? 推薦：等保辦向通過(guò)評(píng)審的申請(qǐng)單位頒發(fā)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū) 。 ? 公布 。 省級(jí)等保辦向社會(huì)公布測(cè)評(píng)機(jī)構(gòu)推薦目錄并報(bào)國(guó)家等保辦 ， 國(guó)家等保辦匯總公布 《 全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄 》 。 (五 )等級(jí)保護(hù)工作的要求 （ 3） 監(jiān)督管理 ? 日常監(jiān)督：測(cè)評(píng)報(bào)告 、 測(cè)評(píng)過(guò)程 、 測(cè)評(píng)服務(wù)費(fèi)用 。 ? 變更處理：機(jī)構(gòu)名稱 、 法人 、 測(cè)評(píng)師等變動(dòng)的 ， 在 30日內(nèi)到等保辦辦理變更 。 ? 違規(guī)處置：限期整改 、 警告 、 取消證書(shū) 。 ? 年度檢查 ：檢查時(shí)間 、 內(nèi)容 、 方式 。 (五 )等級(jí)保護(hù)工作的要求 測(cè)評(píng)機(jī)構(gòu)不得從事下列活動(dòng)： ? 影響被測(cè)評(píng)信息系統(tǒng)正常運(yùn)行，危害被測(cè)評(píng)信息系統(tǒng)安全； ? 泄露知悉的被測(cè)評(píng)單位及被測(cè)評(píng)信息系統(tǒng)的國(guó)家秘密和工作秘密； ? 故意隱瞞測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的安全問(wèn)題，或者在測(cè)評(píng)過(guò)程中弄虛作假，未如實(shí)出具等級(jí)測(cè)評(píng)報(bào)告； ? 未按規(guī)定格式出具等級(jí)測(cè)評(píng)報(bào)告； (五 )等級(jí)保護(hù)工作的要求 ? 非授權(quán)占有、使用等級(jí)測(cè)評(píng)相關(guān)資料及數(shù)據(jù)文件； ? 分包或轉(zhuǎn)包等級(jí)測(cè)評(píng)項(xiàng)目； ? 信息安全產(chǎn)品開(kāi)發(fā)、銷售和信息系統(tǒng)安全集成； ? 限定被測(cè)評(píng)單位購(gòu)買(mǎi)、使用其指定的信息安全產(chǎn)品； ? 其他危害國(guó)家安全、社會(huì)秩序、公共利益以及被測(cè)單位利益的活動(dòng)。 (五 )等級(jí)保護(hù)工作的要求 等級(jí)測(cè)評(píng)工作的開(kāi)展 ? 測(cè)評(píng)目的： 一是掌握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求；二是能夠衡量出信息系統(tǒng)安全保護(hù)措施是否符合等級(jí)保護(hù)基本要求，是否具備了相應(yīng)等級(jí)的安全保護(hù)能力。 (五 )等級(jí)保護(hù)工作的要求 ? 測(cè)評(píng)時(shí)機(jī)：建設(shè)整改前：等級(jí)測(cè)評(píng)，現(xiàn)狀分析；建設(shè)整改后：等級(jí)測(cè)評(píng)，檢驗(yàn)整改效果。 ? 測(cè)評(píng)頻率：第三級(jí)以上定期；第二級(jí)參照。 ? 測(cè)評(píng)費(fèi)用：參照國(guó)家信息化項(xiàng)目人工計(jì)費(fèi)標(biāo)準(zhǔn)或根據(jù)被測(cè)設(shè)備數(shù)量與測(cè)評(píng)項(xiàng)預(yù)算測(cè)評(píng)費(fèi)用。 (五 )等級(jí)保護(hù)工作的要求 ? 測(cè)評(píng)工作要求： 測(cè)評(píng)工作應(yīng)按照 “ 流程規(guī)范、方法科學(xué)、結(jié)論公正 ”的要求進(jìn)行。 被測(cè)單位要監(jiān)督管理測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員的測(cè)評(píng)活動(dòng)；與測(cè)評(píng)機(jī)構(gòu)簽訂工作協(xié)議和保密協(xié)議；查驗(yàn)相關(guān)材料；落實(shí)測(cè)評(píng)過(guò)程監(jiān)管措施。 測(cè)評(píng)報(bào)告?zhèn)浒福簜浒竼挝幻磕陸?yīng)將等級(jí)測(cè)評(píng)報(bào)告向受理備案的公安機(jī)關(guān)備案 (五 )等級(jí)保護(hù)工作的要求 測(cè)評(píng)業(yè)務(wù)范圍 ? 職能部門(mén)測(cè)評(píng)機(jī)構(gòu)在全國(guó)范圍內(nèi)開(kāi)展測(cè)評(píng)業(yè)務(wù)，到地方時(shí)，應(yīng)當(dāng)事先告知屬地省級(jí)等保辦。 ? 行業(yè)測(cè)評(píng)機(jī)構(gòu)原則上在本行業(yè)內(nèi)開(kāi)展測(cè)評(píng)，到地方時(shí)應(yīng)與屬地省級(jí)等保辦協(xié)調(diào)?？梢猿袚?dān)其他行業(yè)信息系統(tǒng)的測(cè)評(píng)任務(wù)。 ? 地方測(cè)評(píng)機(jī)構(gòu)原則上在本地開(kāi)展測(cè)評(píng)，也可以到異地開(kāi)展測(cè)評(píng)，但事先須與當(dāng)?shù)氐缺＾k協(xié)調(diào)?？梢猿袚?dān)各部委信息系統(tǒng)的測(cè)評(píng)任務(wù)。 ? 特殊情況由公安機(jī)關(guān)進(jìn)行協(xié)調(diào)。 （ 六 ）安全自查和監(jiān)督檢查 備案單位、行業(yè)主管部門(mén)、公安機(jī)關(guān)要分別建立并落實(shí)監(jiān)督檢查機(jī)制，定期開(kāi)展監(jiān)督檢查。 備案單位的定期自查 ? 定期開(kāi)展自查，掌握信息系統(tǒng)安全狀況、安全管理制度及技術(shù)保護(hù)措施的落實(shí)情況等。 ? 配合公安機(jī)關(guān)的監(jiān)督檢查工作，如實(shí)提供有關(guān)資料及文件。當(dāng)重要信息系統(tǒng)發(fā)生事件、案件時(shí)，備案單位應(yīng)當(dāng)及時(shí)向受理備案的公安機(jī)關(guān)報(bào)告。 （ 六 ）安全自查和監(jiān)督檢查 行業(yè)主管部門(mén)的督導(dǎo)檢查 ? 行業(yè)主管部門(mén)要建立督導(dǎo)檢查制度，組織制定本行業(yè)、本部門(mén)的信息安全等級(jí)保護(hù)檢查工作規(guī)范。 ? 定期組織對(duì)本行業(yè)、本部門(mén)等級(jí)保護(hù)工作開(kāi)展情況進(jìn)行檢查，督促落實(shí)信息安全等級(jí)保護(hù)制度，達(dá)到重點(diǎn)督促，以點(diǎn)帶面的目的。 （ 六 ）安全自查和監(jiān)督檢查 公安機(jī)關(guān)的監(jiān)督檢查 ? 依據(jù)《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)專項(xiàng)監(jiān)督檢查工作的通知》（公信安 [2024]1175） 和《公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范（試行）》開(kāi)展監(jiān)督檢查。 ? 會(huì)同主管部門(mén)共同開(kāi)展，建立監(jiān)督檢查配合機(jī)制。 ? 對(duì)重要信息系統(tǒng)發(fā)生的事件、案件及時(shí)進(jìn)行調(diào)查和立案?jìng)刹椋⒅笇?dǎo)開(kāi)展應(yīng)急處置工作。 （ 六 ）安全自查和監(jiān)督檢查