【正文】 第五章 附則第三十條 在本辦法施行前已經(jīng)建成的信息系統(tǒng)，運營、使用單位應(yīng)當(dāng)依照本辦法規(guī)定建立相應(yīng)的保護等級。第二十七條 信息系統(tǒng)運營、使用單位違反本辦法第二十一條第二款規(guī)定的，由縣級以上人民政府信息化行政主管部門責(zé)令改正，給予警告，對經(jīng)營性的并處五千元以上三萬元以下罰款，對非經(jīng)營性的并處二千元罰款；涉及泄密、失密的，按照有關(guān)保密法律、法規(guī)、規(guī)章的規(guī)定處理。第二十四條 信息系統(tǒng)運營、使用單位違反本辦法第十二條、第十三條第一款規(guī)定的，由公安部門責(zé)令限期改正，并給予警告；逾期不改正的，處二千元罰款。第二十一條 信息系統(tǒng)建設(shè)、運營、使用單位，應(yīng)當(dāng)按照國家和本辦法有關(guān)規(guī)定，開展信息安全等級保護工作，接受有關(guān)部門的指導(dǎo)、檢查和監(jiān)督管理。第十八條 保密工作部門依照職責(zé)分工，依法做好下列工作：（一）督促、指導(dǎo)涉及國家秘密的信息安全等級保護工作；（二）受理涉及國家秘密的信息系統(tǒng)保護等級的備案；（三）依法查處信息泄密、失密事件；（四）信息安全等級保護中涉及國家秘密的其他相關(guān)工作。第十六條 信息系統(tǒng)發(fā)生信息安全突發(fā)公共事件時，應(yīng)當(dāng)根據(jù)事件的可控性、地域影響范圍和信息系統(tǒng)遭到破壞的嚴(yán)重程度，實行分級響應(yīng)和應(yīng)急處置。信息系統(tǒng)涉及國家秘密的，運營、使用單位應(yīng)當(dāng)按照有關(guān)保密法律、法規(guī)、規(guī)章的規(guī)定執(zhí)行。第十一條 對于包含多個子系統(tǒng)的信息系統(tǒng)，應(yīng)當(dāng)根據(jù)各子系統(tǒng)的重要程度分別確定保護等級。基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的保護等級，建設(shè)單位應(yīng)當(dāng)在信息系統(tǒng)規(guī)劃設(shè)計時，按照本辦法第十條規(guī)定報經(jīng)審定。縣級以上人民政府其他相關(guān)部門，應(yīng)當(dāng)按照職責(zé)分工，落實信息安全等級保護管理的責(zé)任，配合做好相關(guān)工作。第五條 信息安全等級保護應(yīng)當(dāng)遵循分級實施、明確責(zé)任、確保安全的原則；重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)各類信息的安全性和信息處理的連續(xù)性。第二條 本省行政區(qū)域內(nèi)建設(shè)、運營、使用信息系統(tǒng)的單位，均須遵守本辦法。第17條 涉密計算機的新增、變更、淘汰需經(jīng)保密部門審批，審批通過后由安全保密管理員統(tǒng)一進(jìn)行操作，并做詳細(xì)記錄。第13條 每周備份入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)的審計信息，并作詳細(xì)記錄。第9條 每天根據(jù)入侵檢測系統(tǒng)的系統(tǒng)策略檢測、審計系統(tǒng)日志，檢查是否有網(wǎng)絡(luò)攻擊、異常操作、不正常數(shù)據(jù)流量等，對異常情況做及時處理，遇有重大安全問題上報保密局，并做詳細(xì)記錄。第5條 根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計要求制定、配置、修改、刪除、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)的各項管理策略，并做記錄。第四篇：安全等級保護管理辦法安全等級保護管理辦法為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī)制定以下辦法：第1條 網(wǎng)絡(luò)安全策略管理由安全保密管理員專職負(fù)責(zé)，未經(jīng)允許任何人不得進(jìn)行此項操作。3應(yīng)具有對網(wǎng)絡(luò)和主機進(jìn)行惡意代碼檢測的記錄3應(yīng)對惡意代碼庫的升級情況進(jìn)行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。（對帶出工作環(huán)境的存儲介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。1應(yīng)針對不同崗位制定不同的培訓(xùn)計劃，并按照計劃對各個崗位人員進(jìn)行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計劃一致）1外部人員進(jìn)入條件（對哪些重要區(qū)域的訪問須提出書面申請批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的訪問控制（由專人全程陪同或監(jiān)督等）1應(yīng)具有外部人員訪問重要區(qū)域的書面申請1應(yīng)具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進(jìn)入時間、離開時間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等）五、系統(tǒng)建設(shè)管理應(yīng)明確信息系統(tǒng)的邊界和安全保護等級（具有定級文檔，明確信息系統(tǒng)安全保護等級）應(yīng)具有系統(tǒng)建設(shè)/整改方案應(yīng)授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門/何人負(fù)責(zé)應(yīng)具有系統(tǒng)的安全建設(shè)工作計劃（系統(tǒng)安全建設(shè)工作計劃中明確了近期和遠(yuǎn)期的安全建設(shè)計劃）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定（配套文件的論證評審記錄或文檔）應(yīng)對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件的維護記錄或修訂版本應(yīng)按照國家的相關(guān)規(guī)定進(jìn)行采購和使用系統(tǒng)信息安全產(chǎn)品安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品應(yīng)具有專門的部門負(fù)責(zé)產(chǎn)品的采購1采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單1應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）1應(yīng)具有軟件設(shè)計相關(guān)文檔，專人保管軟件設(shè)計的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊1對程序資源庫的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)1應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄1軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性能等進(jìn)行驗收檢測1軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品1應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南1應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進(jìn)行進(jìn)度和質(zhì)量控制2應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔，如階段性工程進(jìn)程匯報報告，工程實施方案2在信息系統(tǒng)正式運行前，應(yīng)委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進(jìn)行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）2應(yīng)具有工程測試驗收方案（測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致）2應(yīng)具有測試驗收報告2應(yīng)指定專門部門負(fù)責(zé)測試驗收工作（具有對系統(tǒng)測試驗收報告進(jìn)行審定的意見）2根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進(jìn)行清點（系統(tǒng)交付清單）2應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄2應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊等文檔。1聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）1應(yīng)組織人員定期對信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）1應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結(jié)果通告記錄）四、人員安全管理何部門/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程）應(yīng)對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對技術(shù)人員的技術(shù)技能進(jìn)行考核，技能考核文檔或記錄應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）應(yīng)設(shè)定關(guān)鍵崗位，對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。（安全管理制度體系的評審記錄）系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應(yīng)對安全管理制度進(jìn)行檢查，對需要改進(jìn)的制度進(jìn)行修訂。第四十四條 本辦法自發(fā)布之日起施行，《信息安全等級保護管理辦法（試行）》（公通字[2006]7號）同時廢止。違反前款規(guī)定，造成嚴(yán)重?fù)p害的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。第三十八條信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認(rèn)可的測評機構(gòu)承擔(dān)，其他任何部門、單位和個人不得對密碼進(jìn)行評測和監(jiān)控。第三十五條 信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等，應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。對秘密級、機密級信息系統(tǒng)每兩年至少進(jìn)行一次保密檢查或者系統(tǒng)測評，對絕密級信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測評；（七）了解掌握各級各類涉密信息系統(tǒng)的管理使用情況，及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第三十一條 涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時，其建設(shè)使用單位應(yīng)當(dāng)及時向負(fù)責(zé)審批的保密工作部門報告。第二十九條 涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后，應(yīng)當(dāng)向保密工作部門提出申請，由國家保密局授權(quán)的系統(tǒng)測評機構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)BMB222007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》，對涉密信息系統(tǒng)進(jìn)行安全保密測評。第二十六條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級和建設(shè)使用情況，及時上報業(yè)務(wù)主管部門的保密工作機構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導(dǎo)。第二十五條 涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級。第二十二條 第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級保護測評機構(gòu)進(jìn)行測評：（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；（二）由中國公民投資、中國法人投資或者國家投資的 企事業(yè)單位（港澳臺地區(qū)除外）；（三）從事相關(guān)檢測評估工作兩年以上，無違法記錄；（四）工作人員僅限于中國公民；（五）法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；（六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求；（七）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；（八）對國家安全、社會秩序、公共利益不構(gòu)成威脅。運營、使用單位應(yīng)當(dāng)根據(jù)整 改通知要求，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進(jìn)行檢查。運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按照本辦法向公安機關(guān)重新備案。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。第十三條 運營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T202692006）、《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》（GB/T202822006）、《信息系 統(tǒng)安全等級保護基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部 門統(tǒng)一確定安全保護等級。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進(jìn)行專門監(jiān)督、檢查。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進(jìn)行監(jiān)督、檢查。第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理 規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。第二章 等級劃分與保護 第六條 國家信息安全等級保護堅持自主定級、自主保護的原則。涉及其他職能部門管轄范圍的事項，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理。第二條 國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進(jìn)行監(jiān)督、管理。第七章 附則第四十二條 已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級；新建信息系統(tǒng)在設(shè)計、規(guī)劃階段確定安全保護等級。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá)到密碼相關(guān)標(biāo)準(zhǔn)要求的，應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進(jìn)行處置。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護的，應(yīng)報經(jīng)國家密碼管理局審批，密碼的設(shè)計、實施、使用、運行維護和日常管理等，應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進(jìn)行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機構(gòu)備案。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門的性 質(zhì)等，確定密碼的等級保護準(zhǔn)則。第三十二條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)BMB202007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》，加強涉密信息系統(tǒng)運行中的保密管理，定期進(jìn)行風(fēng)險評估，消除泄密隱患和漏洞。已投入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在按照分級保護要求完成系統(tǒng)整改后，應(yīng)當(dāng)向保密工作部門備案。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，按照秘密、機密、絕密三級的不同要求，結(jié)合系統(tǒng)實際進(jìn)行方案設(shè)計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。對于包含多個安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護等級。第四章 涉及國家秘密信息系統(tǒng)的分級保護管理第二十四條 涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護的基本要求，按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實際情況進(jìn)行保護。必要時，公安機關(guān)可以對整改情況組織檢查。