信息安全等级保护的各个环节.doc

一、信息安全等级保护的各个环节 （一）组织开展调查摸底 （二）合理确定保护等级 （三）开展安全建设整改 （四）组织系统安全测评 （五）依法履行备案手续 （六）加强日常测评自查 （七）加强安全监督检查 二、主要环节 定级-安全建设-安全测评-备案 二、定级 一、等级划分 计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 二、定级程序 信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 三、定级注意事项 一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。 三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。 四级信息系统：适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。 三、备案 一、总体要求 新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 二、备案管辖 （一）管辖原则。 备案管辖分工采取级别管辖和属地管辖相结合。 （二）中央在京单位。 隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北京市公安局公共信息网络安全监察部门（简称网监部门，下同）受理备案。 （三）中央驻粤及省直国有单位。 隶属中央或省的驻穗国有单位的信息系统，由省公安厅网警总队受理备案。 上述单位在各地运行、维护的分支系统由其在各地的分支机构报所在地地级以上市公安机关网监部门备案。 （四）其他单位。 其他单位的信息系统由所在地地级以上市公安机关网监部门备案。 三、备案流程 （一）备案时限。 信息系统运营、使用单位或者其主管部门（以下简称“备案单位”）应当在信息系统设计阶段确定信息系统安全保护等级，并在安全保护等级确定后30日内，到公安机关网监部门办理备案手续。 （二）备案申请。 办理备案手续，应当到公安机关指定网址下载信息安全等级保护备案软件，利用该软件填写生成《信息系统安全等级保护备案表》（简称《备案表》，下同）表一、表二、表三纸质WORD格式文档一式两份和电子数据（RAR格式），并准备好相关附件（一式两份），向公安机关网监部门提出备案申请。第三级以上信息系统应当同时提供以下材料： 1．系统拓扑结构及说明； 2．系统安全组织机构和管理制度； 3．系统安全保护设施设计实施方案或者改建实施方案； 4．系统使用的信息安全产品清单及其认证、销售许可证明； 5．测评后符合系统安全保护等级的技术检测评估报告； 6．信息系统安全保护等级专家评审意见； 7．主管部门审核批准信息系统安全保护等级的意见。 四、备案审核 公安机关网监部门收到申请材料后，应当在10个工作日内进行审查。对符合要求的，公安机关网监部门应当在《备案表》加盖公共信息网络安全监察专用章并将其中一份反馈备案单位，并出具《信息系统安全等级保护备案证明》（以下简称《备案证明》）。《备案证明》由公安部统一监制。对不符合要求的，公安网监部门应当出具《信息系统安全等级保护备案审核结果通知》，通知备案单位进行整改。其中，对定级不准的备案单位，在通知整改的同时，应当建议备案单位重新定级。 五、变更备案 《备案表》所载事项发生变