信息安全等級保護(hù)工作流程圖

1、精品文檔 信息安全等級保護(hù)工作流程 亠、定級 一、等級劃分 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級根據(jù)計(jì)算機(jī)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、 社會生活中的重要程度，計(jì)算機(jī)信息系統(tǒng)受到破壞后對國家安全、 社會秩序、公 共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定， 分為五級： 第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成 損害，但不損害國家安全、社會秩序和公共利益。 第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生 嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。 第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或 者對國家

2、安全造成損害。 第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害， 或者對國家安全造成嚴(yán)重?fù)p害。 第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。 二、定級程序 信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)信息系統(tǒng)安全等級保護(hù)定級指南（下載 專區(qū)附）確定信息系統(tǒng)的安全保護(hù)等級。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批 準(zhǔn)。 跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等 級。 對擬確定為第四級以上信息系統(tǒng)的，運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)請國 家信息安全保護(hù)等級專家評審委員會評審。 三、定級注意事項(xiàng) 第一級信息系統(tǒng)：適用于小型私營、個(gè)體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)

3、、 縣級單位中一般的信息系統(tǒng)。 第二級信息系統(tǒng)：適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家 機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感 信息的辦公系統(tǒng)和管理系統(tǒng)，地市級以上國家機(jī)關(guān)、企事業(yè)單位網(wǎng)站等 第三級信息系統(tǒng)：一般適用于地市級以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部重要的 信息系統(tǒng)；跨省或全國聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等 方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、省門戶 網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等。例如網(wǎng)上銀行系統(tǒng)、證券集中交易系 統(tǒng)、海關(guān)通關(guān)系統(tǒng)、民航離港控制系統(tǒng)等為三級信息系統(tǒng)。 第四級信息系統(tǒng)：一般適用于

4、國家重要領(lǐng)域、部門中涉及國計(jì)民生、國家利 益、國家安全、影響社會穩(wěn)定的核心系統(tǒng)。例如電信骨干傳輸網(wǎng)、電力能量管理 系統(tǒng)、銀行核心業(yè)務(wù)系統(tǒng)、鐵路票客系統(tǒng)、列車指揮調(diào)度系統(tǒng)等 第五級信息系統(tǒng)：適用于國家特殊領(lǐng)域的極端重要系統(tǒng)。 一、總體要求 新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后 30日內(nèi)，由其運(yùn)營、使用單位 到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。 二、備案管轄 （一）管轄原則。 備案管轄分工采取級別管轄和屬地管轄相結(jié)合。 （二）中央在京單位。 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定 級的信息系統(tǒng)，由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局受理備案， 其他信息系統(tǒng)由北 京市

5、公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門（簡稱網(wǎng)監(jiān)部門，下同）受理備案。 （三）中央駐粵及省直國有單位。 隸屬中央或省的駐穗國有單位的信息系統(tǒng)，由省公安廳網(wǎng)警總隊(duì)受理備案。 上述單位在各地運(yùn)行、維護(hù)的分支系統(tǒng)由其在各地的分支機(jī)構(gòu)報(bào)所在地地級 以上市公安機(jī)關(guān)網(wǎng)監(jiān)部門備案。 （四）其他單位。 其他單位的信息系統(tǒng)由所在地地級以上市公安機(jī)關(guān)網(wǎng)監(jiān)部門備案。 三、備案流程 （一）備案時(shí)限。 信息系統(tǒng)運(yùn)營、使用單位或者其主管部門（以下簡稱“備案單位”）應(yīng)當(dāng)在 信息系統(tǒng)設(shè)計(jì)階段確定信息系統(tǒng)安全保護(hù)等級，并在安全保護(hù)等級確定后30日 內(nèi)，到公安機(jī)關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)。 （二）備案申請。 辦理備案手續(xù)，備案單位應(yīng)當(dāng)向公安

6、機(jī)關(guān)網(wǎng)監(jiān)部門提交以下備案材料： 1、信息系統(tǒng)安全等級保護(hù)備案表（以下簡稱備案表），紙質(zhì)材料， 一式兩份。備案表由“等級保護(hù)備案端軟件”生成，操作時(shí)請?jiān)敿?xì)閱讀軟件 使用說明書。第二級以上信息系統(tǒng)備案時(shí)需提交備案表中的表一、二、三； 第三級以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、測評完成后 30日內(nèi)提交備案表表 四及其有關(guān)材料。 信息系統(tǒng)安全零級 保護(hù)備案衷（公安上 2、信息系統(tǒng)安全等級保護(hù)定級報(bào)告（以下簡稱定級報(bào)告），紙質(zhì) 材料，一式兩份。每個(gè)備案的信息系統(tǒng)均需提供對應(yīng)的定級報(bào)告，定級報(bào) 告參照模版格式填寫。 3、備案電子數(shù)據(jù)。每個(gè)備案的信息系統(tǒng)，均需通過“等級保護(hù)備案端軟件” 填寫信息，并保存為一個(gè)壓縮

7、文件（RAR格式）。 備注：“等級保護(hù)備案端軟件”、定級報(bào)告模版可在“下載專區(qū)”下載， “等級保護(hù)備案端軟件”使用說明附下載文件內(nèi)； 四、備案審核 公安機(jī)關(guān)網(wǎng)監(jiān)部門收到申請材料后，應(yīng)當(dāng)在 10個(gè)工作日內(nèi)進(jìn)行審查。 對符合要求的，公安機(jī)關(guān)網(wǎng)監(jiān)部門應(yīng)當(dāng)在 備案表加蓋公共信息網(wǎng)絡(luò)安全監(jiān)察 專用章并將其中一份反饋備案單位，并出具信息系統(tǒng)安全等級保護(hù)備案證明 （以下簡稱備案證明）。備案證明由公安部統(tǒng)一監(jiān)制。對不符合要求的， 公安網(wǎng)監(jiān)部門應(yīng)當(dāng)出具信息系統(tǒng)安全等級保護(hù)備案審核結(jié)果通知，通知備案 單位進(jìn)行整改。其中，對定級不準(zhǔn)的備案單位，在通知整改的同時(shí)，應(yīng)當(dāng)建議備 案單位重新定級。 五、變更備案 備案表所載

8、事項(xiàng)發(fā)生變更，備案單位應(yīng)當(dāng)自變更之日起 30日內(nèi)重新填寫 備案表報(bào)公安機(jī)關(guān)網(wǎng)監(jiān)部門備案。其中，變更事項(xiàng)涉及備案證明的，公 機(jī)關(guān)網(wǎng)監(jiān)部門應(yīng)當(dāng)重新頒布備案證明。 六、重新備案 運(yùn)營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按照本辦法向 公安機(jī)關(guān)重新備案。 二、安全建設(shè)和整改 計(jì)算機(jī)信息系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)和維護(hù)應(yīng)當(dāng)同步落實(shí)相應(yīng)的安全措施。運(yùn) 營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國 家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安 全建設(shè)或者改建工作。 在信息系統(tǒng)建設(shè)過程中，運(yùn)營、使用單位應(yīng)當(dāng)按照計(jì)算機(jī)信息系統(tǒng)安全保 護(hù)等級劃分準(zhǔn)則(GB

9、17859-1999)、信息系統(tǒng)安全等級保護(hù)基本要求等 技術(shù)標(biāo)準(zhǔn)，參照信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求(GB/T20271-2006)、 信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T20270-2006)、信息安全技 術(shù)操作系統(tǒng)安全技術(shù)要求(GB/T20272-2006)、信息安全技術(shù)數(shù)據(jù)庫管理 系統(tǒng)安全技術(shù)要求(GB/T20273-2006)、信息安全技術(shù)服務(wù)器技術(shù)要求、 信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求(GA/T671-2006)等技術(shù) 標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。 運(yùn)營、使用單位應(yīng)當(dāng)參照信息安全技術(shù)信息系統(tǒng)安全管理要求 (GB/T20269-2006)、信息安全

10、技術(shù)信息系統(tǒng)安全工程管理要求 (GB/T20282-2006)、信息系統(tǒng)安全等級保護(hù)基本要求等管理規(guī)范，制定 并落實(shí)符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。 四、信息安全等級測評 信息系統(tǒng)建設(shè)完成后，二級以上的信息系統(tǒng)的運(yùn)營使用單位應(yīng)當(dāng)選擇符合國 家規(guī)定的測評機(jī)構(gòu)進(jìn)行測評合格方可投入使用。已投入運(yùn)行信息系統(tǒng)在完成系統(tǒng) 整改后也應(yīng)當(dāng)進(jìn)行測評。經(jīng)測評，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的， 運(yùn)營使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。 、測評程序 計(jì)算機(jī)信息系統(tǒng)運(yùn)營、使用單位委托安全測評機(jī)構(gòu)測評，應(yīng)當(dāng)提交下列資料: (一)安全測評委托書； （二）計(jì)算機(jī)信息系統(tǒng)應(yīng)用需求、系統(tǒng)結(jié)構(gòu)拓?fù)浼罢f明、系統(tǒng)安全組織

11、結(jié)構(gòu)和 管理制度、安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案、系統(tǒng)軟件硬件和信息 安全產(chǎn)品清單。 安全測評機(jī)構(gòu)在收到委托材料后，應(yīng)當(dāng)與委托方協(xié)商制訂安全測評計(jì)劃，開 展安全測評工作，并出具安全測評報(bào)告。 經(jīng)測評，計(jì)算機(jī)信息系統(tǒng)安全狀況未達(dá)到國家有關(guān)規(guī)定和標(biāo)準(zhǔn)的要求的，委 托單位應(yīng)當(dāng)根據(jù)測評報(bào)告的建議，完善計(jì)算機(jī)信息系統(tǒng)安全建設(shè)，并重新提出安 全測評委托。 二、測評監(jiān)督 測評機(jī)構(gòu)對計(jì)算機(jī)信息系統(tǒng)進(jìn)行使用前安全測評，應(yīng)當(dāng)預(yù)先報(bào)告地級以上市 公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。安全測評報(bào)告由計(jì)算機(jī)信息系統(tǒng)運(yùn)營、使 用單位報(bào)地級以上市公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。 三、日常測評 計(jì)算機(jī)信息系統(tǒng)投入使用后，存在下列情形之一的，應(yīng)當(dāng)進(jìn)行安全自查，同 時(shí)委托安全測評機(jī)構(gòu)進(jìn)行安全測評： （一）變更關(guān)鍵部件； （二）安全測評時(shí)間滿一年； （三）發(fā)生危害計(jì)算機(jī)信系統(tǒng)安全的案件或安全事故； （四）公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門根據(jù)應(yīng)急處置工作的需要認(rèn)為應(yīng)當(dāng) 進(jìn)行安全測評； （五）其他應(yīng)當(dāng)進(jìn)行安全自查和安全測評的情形。 第三級計(jì)算機(jī)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次安全自查和安全測評，第四級 計(jì)算機(jī)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次安全自查和安全測評，第五級計(jì)算機(jī)信 息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全要求進(jìn)行安全自查和安全測評