信息安全等级保护措施的一般性规定.doc

信息安全等级保护措施的一般性规定 一、总体要求 计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施，使用符合国家有关规定、满足计算机信息系统安全保护需求的信息技术产品。 二、安全保护机构和人员 计算机信息系统的运营、使用单位应当按照国家有关规定，建立、健全计算机信息系统安全管理制度，确定安全管理责任人，负责计算机信息系统的安全保护工作。 计算机信息系统信息服务提供者应当设立信息审查员，负责信息审查工作。 第二级以上计算机信息系统的运营、使用单位应当建立安全保护组织，并报地级以上市人民政府公安机关备案。 三、信息安全等级保护的重要环节 （一）使用前测评 第二级以上计算机信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构，依据国家规定的技术标准，对计算机信息系统安全等级状况开展等级测评，测评合格后方可投入使用。 （二）日常测评和自查 计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评，并对计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查。计算机信息系统安全状况经测评或者自查，未达到安全等级保护要求的，运营、使用单位应当进行整改。 （三）备案 第二级以上计算机信息系统，由运营、使用单位在投入运行后三十日内，到地级市以上人民政府公安机关备案。计算机信息系统备案后，对符合安全等级保护要求的，公安机关应当在收到备案材料之日起十个工作日内颁发计算机信息系统安全等级保护备案证明；对不符合安全等级保护要求的，应当在收到备案材料之日起十个工作日内通知备案单位予以纠正。运营、使用单位或者其主管部门重新确定计算机信息系统等级的，应当按照本条例向公安机关重新备案。 （四）监督检查 计算机信息系统的运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，按照国家有关规定如实提供有关计算机信息系统安全保护的信息、资料及数据文件。 （五）应急处置 1．情况报告。对计算机信息系统中发生的案件和重大安全事故，计算机信息系统的运营、使用单位应当在二十四小时内报告县级以上人民政府公安机关，并保留有关原始记录。 2．应急预案。第二级以上计算机信息系统的运营、使用单位应当制定重大突发事件应急处置预案。 3．应急调芳。第二级以上计算机信息系统发生重大突发事件，有关单位应当按照应急处置预案的要求采取相应的处置措施，并服从公安机关和国家指定的专门部门的调度。 四、安全管理制度 第二级以上计算机信息系统的运营、使用单位应当建立并执行下列安全管理制度： （一）计算机机房安全管理制度； （二）安全责任制度； （三）网络安全漏洞检测和系统升级制度； （四）系统安全风险管理和应急处置制度； （五）操作权限管理制度； （六）用户登记制度； （七）重要设备、介质管理制度； （八）信息发布审查、登记、保存、清除和备份制度； （九）信息群发服务管理制度。 五、安全技术措施 第二级以上计算机信息系统的运营、使用单位应当采取下列安全保护技术措施： （一）系统重要部分的冗余或者备份措施； （二）计算机病毒防治措施； （三）网络攻击防范和追踪措施； （四）安全审计和预警措施； （五）系统运行和用户使用日志记录保存六十日以上措施； （六）记录用户账号、主叫电话号码和网络地址的措施； （七）身份登记和识别确认措施； （八）垃圾信息、有害信息防治措施； （九）信息群发限制措施。 六、安全专用产品的选择 第三级以上信息系统应当选择使用符合以下条件的信息安全产品： （一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格； （二）产品的核心技术、关键部件具有我国自主知识产权； （三）产品研制、生产单位及其主要业务、技术人员无犯罪记录； （四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能； （五）对国家安全、社会秩序、公共利益不构成危害； （六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。 符合上述规定的安全专用产品和生产单位应当到省公安厅公共信息网络安全监察部门备案，以便于向社会公布和相关单位选择。 七、测评机构的选择 第二级以上的计算机信息系统的安全测评应当选择符合下列条件的计算机信息系统安全等级测评机构（简称测评机构）承担： （一）在中华人民共和国境内注册成立（港澳台地区除外），具有相应经营范围的营业执照，注册资本100万元以上； （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； （三）近3年完成的测评项目总值150万元以上； （四）具有计算机安全或相关专业资格证书的专业技术人员不少于20人，其中大学本科以上学历的人员不少于15人； （五）管