信息安全等级保护工作实施细则.docVIP

内 部 明 电 发往： 签发： 信息安全等级保护工作实施细则 第一章 总则 第一条 信息安全等级保护制度是国家在国民经济和 社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、 社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。为加 强本局信息安全等级保护工作，规范信息安全等级保护安全管理，促进各职能 部门之间的分工与协调合作，提高信息安全保障能力和水平，制定本实施细则。 第二条 信息安全等级保护，是指对国家秘密信息及公民、法人和其他组织 的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行 安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中 发生的信息安全事件分等级响应、处置。 第三条 本实施细则所指的重要信息系统， 是指包括本局公共服务网络与管 理信息系统。 第四条 信息系统运营、使用单位是指信息系统的所有者或信息系统所承载 业务的主管单位，且对该信息系统的安全运行负主要责任的县区分局。本实施 细则适用于新建和已建的所有信息系统。 第五条 本局内的信息系统运营、 使用单位按照谁主管谁负责、 谁运营谁负 责的原则， 对其信息系统分等级进行保护， 履行信息安全等级保护职 责。 第六条 信息系统安全保护等级分为五级： （一）第一级为自主保护级，信息系统运营、使用单位可以依据 相关管理规范和技术标准进行保护。 （二）第二级为指导保护级，信息系统运营、使用单位应当依据 相关管理规范和技术标准进行保护。 必要时， 相关职能部门可以对其 信息安全等级保护工作进行指导。 （三）第三级为监督保护级，信息系统运营、使用单位应当依据 相关管理规范和技术标准进行保护， 相关职能部门对其信息安全等级 保护工作进行监督、管理、检查、指导。 （四）第四级为强制保护级，信息系统运营、使用单位应当依据 相关管理规范和技术标准进行保护， 相关职能部门对其信息安全等级 保护工作进行强制监督、管理、检查、指导。 第七条 市局成立信息安全等级保护领导小组，负责市局信息安 全等级保护工作的整体协调和指导。 市局信息安全等级保护领导小组 下设办公室负责： （一）对市信息安全等级保护领导小组决定的有关信息安全等级 保护工作的落实情况进行督办和检查； （二） 对各区县、 各相关职能单位的信息系统安全等级保护工作 进行监督、协调和指导； （三）传达市信息安全等级保护领导小组工作指示，制定、下发 相关文件； （四）推动制定市局信息安全等级保护相关法律法规和技术标准 的细化； （五）汇总有关信息安全等级保护工作的信息， 并报市信息安全 等级保护领导小组审核后上报市委、市政府和公安部； （六）研究制定市局信息安全等级保护工作规划， 编制信息安全 等级保护工作简报。 第二章 工作流程 第八条 各县区分局主管局长为信息系统安全等级保护工作第一 责任人，负责本单位信息安全等级保护工作的组织实施， 为开展信息 安全等级保护工作提供必要的条件。 第九条 信息系统运营、使用单位应当按照相关法律法规和技术 标准的要求， 评估和分析本单位信息系统安全状况， 确定信息系统的 安全保护等级。 属于重要信息系统的， 运营使用单位及其主管部门在确定信息系 统的安全保护等级时， 应请市局信息安全保护等级专家评审委员会给 予咨询评审。 第十条 信息系统运营、使用单位变更本单位信息系统的安全等 级，需进行重新备案。 第十一条 信息系统的运营、使用单位应当根据已确定的安全保 护等级，按照等级保护相关法律法规和技术标准， 使用经过相关部门 认可的安全产品，进行信息系统建设。 第十二条 信息系统运营、使用单位及其主管部门按照等级保护 相关法律法规和技术标准， 对已完成安全等级保护建设的信息系统进 行自行评估，发现问题及时整改，加强自我保护。 第十三条 三级以上 （含三级）的信息系统建设完成后，其运营、 使用单位及其主管部门应选择具有相关资质和认可的信息安全测评 单位进行安全检测和评估后，方可投入使用。 第十四条 信息系统安全等级保护测评的单位，需按照相关技术 标准进行安全测评后， 为信息系统运营、 使用单位出具信息安全测评 报告，并提出相应整改意见。 信息系统安全等级保护测评单位应当遵守国家有关法律法规和 技术标准规定， 保守在测评活动中知悉的国家秘密、 商业秘密和个人 隐私，提供安全、客观、公正的检测服务。 第十五条 安全保护等级在三级以上（含三级）的信息系统，运 营、使用单位应当自系统投入运行之日起 30 日内，到属地、保卫关 系所属公安机关进行信息系统安全等级备案。 第十六条 信息系统的备案事项发生变更时，信息系统运营、使 用单位或其主管部门应当自变更之日起 30 日内按本实施细则中第二 十条规定将变更情况报原备案机关。 第十七条 备案事项发生变更