信息安全等級保護工作流程圖

1、信息安全等級保護工作流程系統(tǒng)定級。信息系統(tǒng)運營使用單位按照信息系統(tǒng)信息安全等級保護定級指南，確定信息系統(tǒng)安全等級。有主管部門的，報主管部門審核批準。在申報系統(tǒng)新建、改建、擴建立項時須同時向立項審批部門提交定級報告。系統(tǒng)備案。已運行的系統(tǒng)在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。新建的系統(tǒng)，在通過立項申請后30日內(nèi)辦理。公安機關審核材料不齊 定級不準材料齊、定級準頒發(fā)證書。公安機關頒發(fā)系統(tǒng)等級保護備案證書。分析安全需求。對照等保有關規(guī)定和標準分析系統(tǒng)安全建設整改需求，可委托安全服務機構、等保技術支持單位分析。對于整改項目，還可委托測評機構通過等保

2、測評、風險評估等方法分析整改需求。 建設整改。根據(jù)需求制訂建設整改方案，按照國家相關規(guī)范和技術標準，使用符合國家有關規(guī)定，滿足系統(tǒng)等級需求產(chǎn)品，開展信息系統(tǒng)安全建設整改。等保測評。選擇第三方測評機構進行測評。其中對于新建系統(tǒng)可在試運行階段進行測評。 不合格 合格 提交報告。系統(tǒng)運營、使用單位向地級以上市公安機關報測評報告。項目驗收文檔中也須含有測評報告。 等保測評。定期選擇第三方測評機構進行測評。三級系統(tǒng)每年至少一次，四級系統(tǒng)每半年至少一次。 合格 不合格推薦精選一、定級      一、等級劃分    

3、計算機信息系統(tǒng)安全保護等級根據(jù)計算機信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，計算機信息系統(tǒng)受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定，分為五級：     第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。     第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。     第三

4、級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。      第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。     第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。     二、定級程序     信息系統(tǒng)運營、使用單位應當依據(jù)信息系統(tǒng)安全等級保護定級指南(下載專區(qū)附)確定信息系統(tǒng)的安全保護等級。有主管部門的，應當經(jīng)主管部門審核批準。 

5、;    跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。     對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。     三、定級注意事項 推薦精選    第一級信息系統(tǒng)：適用于小型私營、個體企業(yè)、中小學、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。     第二級信息系統(tǒng)：適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家機

6、關、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)，地市級以上國家機關、企事業(yè)單位網(wǎng)站等     第三級信息系統(tǒng)：一般適用于地市級以上國家機關、企事業(yè)單位內(nèi)部重要的信息系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、省門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡系統(tǒng)等。例如網(wǎng)上銀行系統(tǒng)、證券集中交易系統(tǒng)、海關通關系統(tǒng)、民航離港控制系統(tǒng)等為三級信息系統(tǒng)。     第四級信息系統(tǒng)：一般適用于國家重要領域、部門中涉及國

7、計民生、國家利益、國家安全、影響社會穩(wěn)定的核心系統(tǒng)。例如電信骨干傳輸網(wǎng)、電力能量管理系統(tǒng)、銀行核心業(yè)務系統(tǒng)、鐵路票客系統(tǒng)、列車指揮調(diào)度系統(tǒng)等     第五級信息系統(tǒng)：適用于國家特殊領域的極端重要系統(tǒng)。   二、備案       一、總體要求     新建第二級以上信息系統(tǒng)，應當在投入運行后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。      二、備案管轄 &

8、#160;  （一）管轄原則。     備案管轄分工采取級別管轄和屬地管轄相結合。    （二）中央在京單位。 推薦精選    隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由公安部公共信息網(wǎng)絡安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公共信息網(wǎng)絡安全監(jiān)察部門（簡稱網(wǎng)監(jiān)部門，下同）受理備案。    （三）中央駐粵及省直國有單位。     隸屬中央或省的駐穗國有單位的信息

9、系統(tǒng)，由省公安廳網(wǎng)警總隊受理備案。     上述單位在各地運行、維護的分支系統(tǒng)由其在各地的分支機構報所在地地級以上市公安機關網(wǎng)監(jiān)部門備案。    （四）其他單位。     其他單位的信息系統(tǒng)由所在地地級以上市公安機關網(wǎng)監(jiān)部門備案。       三、備案流程    （一）備案時限。     信息系統(tǒng)運營、使用單位或者其主管部門（以下簡稱“備案單位”）應當在信息

10、系統(tǒng)設計階段確定信息系統(tǒng)安全保護等級，并在安全保護等級確定后30日內(nèi)，到公安機關網(wǎng)監(jiān)部門辦理備案手續(xù)。    （二）備案申請。     辦理備案手續(xù)，備案單位應當向公安機關網(wǎng)監(jiān)部門提交以下備案材料：         1、信息系統(tǒng)安全等級保護備案表（以下簡稱備案表），紙質(zhì)材料，一式兩份。備案表由“等級保護備案端軟件”生成，操作時請詳細閱讀軟件使用說明書。第二級以上信息系統(tǒng)備案時需提交備案表中的表一、二、三；第三級以上信息系統(tǒng)還應當在系統(tǒng)整改、測評完

11、成后30日內(nèi)提交備案表表四及其有關材料。 推薦精選       2、信息系統(tǒng)安全等級保護定級報告（以下簡稱定級報告），紙質(zhì)材料，一式兩份。每個備案的信息系統(tǒng)均需提供對應的定級報告，定級報告參照模版格式填寫。        3、備案電子數(shù)據(jù)。每個備案的信息系統(tǒng)，均需通過“等級保護備案端軟件”填寫信息，并保存為一個壓縮文件（RAR格式）。      備注：“等級保護備案端軟件”、定級報告模版可在“下載專區(qū)”下載

12、，“等級保護備案端軟件”使用說明附下載文件內(nèi)；   四、備案審核  公安機關網(wǎng)監(jiān)部門收到申請材料后，應當在10個工作日內(nèi)進行審查。對符合要求的，公安機關網(wǎng)監(jiān)部門應當在備案表加蓋公共信息網(wǎng)絡安全監(jiān)察專用章并將其中一份反饋備案單位，并出具信息系統(tǒng)安全等級保護備案證明（以下簡稱備案證明）。備案證明由公安部統(tǒng)一監(jiān)制。對不符合要求的，公安網(wǎng)監(jiān)部門應當出具信息系統(tǒng)安全等級保護備案審核結果通知，通知備案單位進行整改。其中，對定級不準的備案單位，在通知整改的同時，應當建議備案單位重新定級。     五、變更備案   &#

13、160; 備案表所載事項發(fā)生變更，備案單位應當自變更之日起30日內(nèi)重新填寫備案表報公安機關網(wǎng)監(jiān)部門備案。其中，變更事項涉及備案證明的，公機關網(wǎng)監(jiān)部門應當重新頒布備案證明。     六、重新備案     運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應當按照本辦法向公安機關重新備案。   三、安全建設和整改推薦精選       計算機信息系統(tǒng)規(guī)劃、設計、建設和維護應當同步落實相應的安全措施。運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技

14、術標準，使用符合國家有關規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術產(chǎn)品，開展信息系統(tǒng)安全建設或者改建工作。     在信息系統(tǒng)建設過程中，運營、使用單位應當按照計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999）、信息系統(tǒng)安全等級保護基本要求等技術標準，參照信息安全技術信息系統(tǒng)通用安全技術要求（GB/T20271-2006）、信息安全技術 網(wǎng)絡基礎安全技術要求（GB/T20270-2006）、信息安全技術操作系統(tǒng)安全技術要求（GB/T20272-2006）、信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求（GB/T20273-2006）、信息安全技術服

15、務器技術要求、信息安全技術終端計算機系統(tǒng)安全等級技術要求（GA/T671-2006）等技術標準同步建設符合該等級要求的信息安全設施。     運營、使用單位應當參照信息安全技術信息系統(tǒng)安全管理要求（GB/T20269-2006）、信息安全技術信息系統(tǒng)安全工程管理要求（GB/T20282-2006）、信息系統(tǒng)安全等級保護基本要求等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。   四、信息安全等級測評       信息系統(tǒng)建設完成后，二級以上的信息系統(tǒng)的運營使用單位應當選

16、擇符合國家規(guī)定的測評機構進行測評合格方可投入使用。已投入運行信息系統(tǒng)在完成系統(tǒng)整改后也應當進行測評。經(jīng)測評，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營使用單位應當制定方案進行整改。     一、測評程序     計算機信息系統(tǒng)運營、使用單位委托安全測評機構測評，應當提交下列資料：    （一）安全測評委托書；推薦精選    （二）計算機信息系統(tǒng)應用需求、系統(tǒng)結構拓撲及說明、系統(tǒng)安全組織結構和管理制度、安全保護設施設計實施方案或者改建實施方案、系統(tǒng)軟件硬

17、件和信息安全產(chǎn)品清單。     安全測評機構在收到委托材料后，應當與委托方協(xié)商制訂安全測評計劃，開展安全測評工作，并出具安全測評報告。     經(jīng)測評，計算機信息系統(tǒng)安全狀況未達到國家有關規(guī)定和標準的要求的，委托單位應當根據(jù)測評報告的建議，完善計算機信息系統(tǒng)安全建設，并重新提出安全測評委托。     二、測評監(jiān)督     測評機構對計算機信息系統(tǒng)進行使用前安全測評，應當預先報告地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門。安全測評報告由計

18、算機信息系統(tǒng)運營、使用單位報地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門。     三、日常測評     計算機信息系統(tǒng)投入使用后，存在下列情形之一的，應當進行安全自查，同時委托安全測評機構進行安全測評：     （一）變更關鍵部件；     （二）安全測評時間滿一年；    （三）發(fā)生危害計算機信系統(tǒng)安全的案件或安全事故；    （四）公安機關公共信息網(wǎng)絡安全監(jiān)察部門根據(jù)應急處置工作的需要認為應當進行安全測評；     （五）其他應當進行安全自查和安全測評的情形。     第三級計算機信息系統(tǒng)應當每年至少進行一次安全自查和安全測評，第四級計算機信息系統(tǒng)應當每半年至少進行一次安全自查和安全測評，第五級計算機信息系統(tǒng)應當依據(jù)特殊安全要求進行安全自查和