信息安全等級保護法律法規(guī)(共127頁).ppt

1、信息安全等級保護制度信息安全等級保護制度信息安全等級保護法律法規(guī)信息安全等級保護法律法規(guī)20112011年年3 3月月提提 綱綱 前言前言一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求三、信息安全等級保護的支撐條件三、信息安全等級保護的支撐條件四、信息安全等級保護接著做什么四、信息安全等級保護接著做什么前言前言什么是等保什么是等保 信息安全等級保護管理辦法指出信息安全等級保護是以信息為核心的、根據信息和信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合

2、法權益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達到的基本的安全保護水平等因素，對最核心的信息和信息系統(tǒng)劃分為五個安全保護和監(jiān)管等級，實行分級保護。 實施信息安全等級保護，可以有效地提高我國信息安全建設的整體水平， 有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協(xié)調； 有利于加強對涉及國家安全、經濟秩序、社會穩(wěn)定和公共利益的信息系統(tǒng)的安全保護和管理監(jiān)督； 有利于明確國家、法人和其他組織、公民的安全責任，強化政府監(jiān)管職能，共同落實各項安全建設和安全管理措施； 有利于提高安全保護的科學性、整體性、針對性，推動信息安全產業(yè)水平，逐步探索一條適應社會主義市

3、場經濟發(fā)展的信息安全發(fā)展模式。前言前言為什么實行等保為什么實行等保前言前言為什么實行等保為什么實行等保前言前言為什么實行等保為什么實行等保 前言前言為什么實行等保為什么實行等保前言前言為什么實行等保為什么實行等保前言前言為什么實行等保為什么實行等保 前言前言為什么實行等保為什么實行等保案例案例 案例案例即使是相對封閉的工業(yè)控制系統(tǒng)也無法以善其身即使是相對封閉的工業(yè)控制系統(tǒng)也無法以善其身數據交換中如隨意使用移動存儲設備，沒有嚴格執(zhí)行安全隔數據交換中如隨意使用移動存儲設備，沒有嚴格執(zhí)行安全隔離要求，則可能被感染。離要求，則可能被感染。專用網絡難以及時獲取安全補丁專用網絡難以及時獲取安全補丁,安全軟

4、件升級滯后。安全軟件升級滯后。案例案例 案例案例 事件二：震網病毒事件二：震網病毒震網病毒（震網病毒（Stuxnet），是世界上首個以直接破壞現(xiàn)實世界中工業(yè)基），是世界上首個以直接破壞現(xiàn)實世界中工業(yè)基礎設施為目標的蠕蟲病毒，被稱為網絡礎設施為目標的蠕蟲病毒，被稱為網絡“超級武器超級武器”。震網病毒于。震網病毒于2010年年7月開始爆發(fā)，截至月開始爆發(fā)，截至2010年年9月底，包括中國、印度、俄羅斯月底，包括中國、印度、俄羅斯在內的許多國家都發(fā)現(xiàn)了這個病毒。據統(tǒng)計，目前全球已有約在內的許多國家都發(fā)現(xiàn)了這個病毒。據統(tǒng)計，目前全球已有約45000個網絡被該病毒感染，其中個網絡被該病毒感染，其中60%

5、的受害主機位于伊朗境內，并已造成的受害主機位于伊朗境內，并已造成伊朗核電站推遲發(fā)電。目前我國也有近伊朗核電站推遲發(fā)電。目前我國也有近500萬網民、以及多個行業(yè)的萬網民、以及多個行業(yè)的領軍企業(yè)遭此病毒攻擊。領軍企業(yè)遭此病毒攻擊。 事件三：事件三：3Q之爭之爭2010年年9月，奇虎公司針對騰訊公司的月，奇虎公司針對騰訊公司的QQ聊天軟件，發(fā)布了聊天軟件，發(fā)布了“360隱隱私保護器私保護器”和和“360扣扣保鏢扣扣保鏢”兩款網絡安全軟件，并稱其可以保護兩款網絡安全軟件，并稱其可以保護QQ用戶的隱私和網絡安全。騰訊公司認為奇虎用戶的隱私和網絡安全。騰訊公司認為奇虎360的這一做法嚴重危的這一做法嚴重危

6、害了騰訊的商業(yè)利益，并稱害了騰訊的商業(yè)利益，并稱“360扣扣保鏢扣扣保鏢”是是“外掛外掛”行為。隨后，行為。隨后，騰訊公司在騰訊公司在11月月3日宣布將停止對裝有日宣布將停止對裝有360軟件的電腦提供軟件的電腦提供QQ服務。服務。由此引發(fā)了由此引發(fā)了“360 QQ大戰(zhàn)大戰(zhàn)”，同時引起了，同時引起了360軟件與其它公司類似產軟件與其它公司類似產品的一系列紛爭，最終演變成為了互聯(lián)網行業(yè)中的一場混戰(zhàn)。最終品的一系列紛爭，最終演變成為了互聯(lián)網行業(yè)中的一場混戰(zhàn)。最終3Q之爭在國家相關部門的強力干預下得以平息，扣扣保鏢被召回，之爭在國家相關部門的強力干預下得以平息，扣扣保鏢被召回，QQ與與360恢復兼容。

7、但此次事件對廣大終端用戶造成的惡劣影響和侵害，恢復兼容。但此次事件對廣大終端用戶造成的惡劣影響和侵害，并由此引發(fā)的公眾對于終端安全和隱私保護的困惑和憂慮卻遠沒有消并由此引發(fā)的公眾對于終端安全和隱私保護的困惑和憂慮卻遠沒有消除。除。案例案例 上述三個安全事件均發(fā)自于終端，可見終端安全已經上述三個安全事件均發(fā)自于終端，可見終端安全已經成為世界范圍內的突出問題，在各國精心構建的信息安全成為世界范圍內的突出問題，在各國精心構建的信息安全防御體系中，終端安全仍是一個薄弱環(huán)節(jié)。美國政府歷來防御體系中，終端安全仍是一個薄弱環(huán)節(jié)。美國政府歷來以防御嚴密、技術先進著稱，尚且發(fā)生了維基解密事件，以防御嚴密、技術先

8、進著稱，尚且發(fā)生了維基解密事件，我國在核心技術依賴于國外的情況下，面臨的嚴峻的信息我國在核心技術依賴于國外的情況下，面臨的嚴峻的信息安全形勢可想而知，發(fā)達國家要使我們的網絡信息系統(tǒng)癱安全形勢可想而知，發(fā)達國家要使我們的網絡信息系統(tǒng)癱瘓或盜竊我們的渉密信息易如反掌。因此，信息安全建設瘓或盜竊我們的渉密信息易如反掌。因此，信息安全建設必須走自主之路，而必須走自主之路，而3Q之爭又暴露出國內安全廠商和安全之爭又暴露出國內安全廠商和安全產業(yè)發(fā)展存在的諸多問題，我們的安全意識、技術和管理產業(yè)發(fā)展存在的諸多問題，我們的安全意識、技術和管理水平都亟待提高。如何真正提高終端安全性，水平都亟待提高。如何真正提高

9、終端安全性，可以得到如下啟示：可以得到如下啟示：案例案例（1）要建立可控的信息交換機制要建立可控的信息交換機制。不同等級網絡之間進行數據交換的需。不同等級網絡之間進行數據交換的需求是客觀存在的，禁止一切數據交換只會導致求是客觀存在的，禁止一切數據交換只會導致“地下地下”數據交換，專用數據交換，專用U盤、刻光盤，物理隔離都存在安全風險和漏洞。強行盤、刻光盤，物理隔離都存在安全風險和漏洞。強行“封堵封堵”不如合理不如合理“疏導疏導”，建立集中的數據交換渠道，并對交換過程進行全程監(jiān)控和審，建立集中的數據交換渠道，并對交換過程進行全程監(jiān)控和審計，切實落實信息使用和管理的相關責任，才能確保數據安全。計，

10、切實落實信息使用和管理的相關責任，才能確保數據安全。（2）攻擊和竊密是終端安全的外部原因攻擊和竊密是終端安全的外部原因，計算機系統(tǒng)存在缺陷或漏洞、，計算機系統(tǒng)存在缺陷或漏洞、系統(tǒng)配置不當是終端安全的內部原因。外因通過內因起作用，內因是決系統(tǒng)配置不當是終端安全的內部原因。外因通過內因起作用，內因是決定因素，通過實施終端安全核心配置，對操作系統(tǒng)等系統(tǒng)軟件和常用軟定因素，通過實施終端安全核心配置，對操作系統(tǒng)等系統(tǒng)軟件和常用軟件進行安全配置，提高系統(tǒng)自身安全性，減少系統(tǒng)安全漏洞，降低對第件進行安全配置，提高系統(tǒng)自身安全性，減少系統(tǒng)安全漏洞，降低對第三方工具技術的依賴，真正提高終端安全防護的自主性。三方

11、工具技術的依賴，真正提高終端安全防護的自主性。（3）國家應盡快建立政府終端安全保障基礎設施國家應盡快建立政府終端安全保障基礎設施，形成從中央到地方多，形成從中央到地方多級部署，覆蓋全國各級政府部門的終端安全管理應用支撐環(huán)境，實現(xiàn)對級部署，覆蓋全國各級政府部門的終端安全管理應用支撐環(huán)境，實現(xiàn)對全國政務終端的統(tǒng)一安全管理和安全狀態(tài)監(jiān)測，掌握終端安全態(tài)勢，提全國政務終端的統(tǒng)一安全管理和安全狀態(tài)監(jiān)測，掌握終端安全態(tài)勢，提高運行管理效率，保障國家信息安全。高運行管理效率，保障國家信息安全。（4）國家應加強對信息安全市場的監(jiān)督管理，國家應加強對信息安全市場的監(jiān)督管理，盡快出臺有關信息安全、盡快出臺有關信息

12、安全、軟件行為、信息采集及隱私保護方面的法律法規(guī)，規(guī)范商業(yè)競爭，維護軟件行為、信息采集及隱私保護方面的法律法規(guī)，規(guī)范商業(yè)競爭，維護廣大用戶的合法權益，促進國內安全廠商和信息安全產業(yè)的良性發(fā)展。廣大用戶的合法權益，促進國內安全廠商和信息安全產業(yè)的良性發(fā)展。（來源：國家信息中心（來源：國家信息中心 李新友李新友 劉蓓劉蓓 蔡軍霞蔡軍霞 許濤許濤 劉帥）劉帥）前言前言為什么實行等保為什么實行等保一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系法規(guī)法規(guī) 行政法規(guī)行政法規(guī)中華人民共和國計算機信息系統(tǒng)安全中華人民共和國計算機信息系統(tǒng)安全保護條例保護條例 1997 1997年國務院行政法規(guī)，規(guī)定

13、計算機信息系統(tǒng)實行安全年國務院行政法規(guī)，規(guī)定計算機信息系統(tǒng)實行安全等級保護。等級保護。 地方法規(guī)地方法規(guī)廣東省計算機信息系統(tǒng)安全保護條例廣東省計算機信息系統(tǒng)安全保護條例 20072007年廣東地方法規(guī)，系統(tǒng)規(guī)定了等級保護，并設置了年廣東地方法規(guī)，系統(tǒng)規(guī)定了等級保護，并設置了法律責任法律責任一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系規(guī)范性文件規(guī)范性文件 國家國家 關于信息安全等級保護工作的實施意見關于信息安全等級保護工作的實施意見 2004 2004年公安部、保密局、密碼委、信息辦聯(lián)合發(fā)文，初步年公安部、保密局、密碼委、信息辦聯(lián)合發(fā)文，初步規(guī)定了信息安全等級保護工作的指導思想、

14、原則、要求規(guī)定了信息安全等級保護工作的指導思想、原則、要求 信息安全等級保護管理辦法信息安全等級保護管理辦法 2007 2007年公安部、保密局、密碼委、信息辦聯(lián)合發(fā)文，系統(tǒng)年公安部、保密局、密碼委、信息辦聯(lián)合發(fā)文，系統(tǒng)規(guī)定了信息安全等級保護制度規(guī)定了信息安全等級保護制度一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系公安機關信息安全等級保護檢查工作規(guī)范（試行） 公安部十一局2008年頒發(fā)，規(guī)范監(jiān)督檢查工作的具體要求。信息安全等級保護備案工作實施細則 公安部十一局2008年頒發(fā)一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系規(guī)范性文件規(guī)范性文件 地方地方 廣東省公安廳關

15、于計算機信息系統(tǒng)安全保護的實施辦法廣東省公安廳關于計算機信息系統(tǒng)安全保護的實施辦法 2008 2008年廣東省公安廳（經省政府法制辦審查通過）發(fā)布年廣東省公安廳（經省政府法制辦審查通過）發(fā)布 關于貫徹關于貫徹 和和 的通的通知知 2008 2008年廣東省公安廳網警總隊印發(fā)年廣東省公安廳網警總隊印發(fā)廣東省信息安全等級保護備案工作實施細則（試行）廣東省信息安全等級保護備案工作實施細則（試行） 20082008年廣東省公安廳網警總隊印發(fā)年廣東省公安廳網警總隊印發(fā)標準標準 系統(tǒng)定級系統(tǒng)定級 信息系統(tǒng)安全保護等級定級指南信息系統(tǒng)安全保護等級定級指南（國家推薦性標準）（國家推薦性標準） 安全保護安全保護

16、 信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護基本要求（國家推薦性標準）（國家推薦性標準） 信息系統(tǒng)安全等級保護實施指南信息系統(tǒng)安全等級保護實施指南 信息系統(tǒng)安全等級保護安全設計技術要求信息系統(tǒng)安全等級保護安全設計技術要求 檢測評估檢測評估 信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護基本要求 信息系統(tǒng)安全等級保護測評要求信息系統(tǒng)安全等級保護測評要求 監(jiān)督檢查監(jiān)督檢查 信息系統(tǒng)安全等級保護監(jiān)督檢查要求信息系統(tǒng)安全等級保護監(jiān)督檢查要求一、一、信息安全等級保護的制度體系信息安全等級保護的制度體系標準標準 計算機信息系統(tǒng)安全保護等級劃分準則計算機信息系統(tǒng)安全保護等級劃分準則（GB17859G

17、B17859- -19991999） 信息安全技術信息安全技術 網絡基礎安全技術要求網絡基礎安全技術要求 信息安全技術信息安全技術 信息系統(tǒng)通用安全技術要求信息系統(tǒng)通用安全技術要求 信息安全技術信息安全技術 操作系統(tǒng)安全技術要求操作系統(tǒng)安全技術要求 信息安全技術信息安全技術 數據庫管理系統(tǒng)安全技術要求數據庫管理系統(tǒng)安全技術要求 信息安全技術信息安全技術 服務器技術要求服務器技術要求 信息安全技術信息安全技術 終端計算機系統(tǒng)安全等級技術要求終端計算機系統(tǒng)安全等級技術要求一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系原則原則來源：來源：關于信息安全等級保護工作的實施意見關于信息安全等

18、級保護工作的實施意見信息安全等級保護制度遵循以下基本原則：信息安全等級保護制度遵循以下基本原則：一是明確責任，共同保護一是明確責任，共同保護二是依照標準，自行保護二是依照標準，自行保護三是同步建設，動態(tài)調整三是同步建設，動態(tài)調整四是指導監(jiān)督，保護重點四是指導監(jiān)督，保護重點二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 明確責任，共同保護明確責任，共同保護 通過等級保護，組織和動員職能部門、法人和其他組織、通過等級保護，組織和動員職能部門、法人和其他組織、公民共同參與信息安全保護工作；各方主體按照規(guī)范和標公民共同參與信息安全保護工作；各方主體按照規(guī)范和標準分別承擔相應的、明確具體的

19、信息安全保護責任準分別承擔相應的、明確具體的信息安全保護責任。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 依照標準，自行保護依照標準，自行保護 國家運用強制性的規(guī)范及標準，要求信息和信息系統(tǒng)按照國家運用強制性的規(guī)范及標準，要求信息和信息系統(tǒng)按照相應的建設和管理要求，自行定級、自行保護相應的建設和管理要求，自行定級、自行保護。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 同步建設，動態(tài)調整。同步建設，動態(tài)調整。 信息系統(tǒng)在新建、改建、擴建時應當同步建設信息安全設信息系統(tǒng)在新建、改建、擴建時應當同步建設信息安全設施，保障信息安全與信息化建設相適應。因信息和信息

20、系施，保障信息安全與信息化建設相適應。因信息和信息系統(tǒng)的應用類型、范圍等條件的變化及其他原因，安全保護統(tǒng)的應用類型、范圍等條件的變化及其他原因，安全保護等級需要變更的，應當根據等級保護的管理規(guī)范和技術標等級需要變更的，應當根據等級保護的管理規(guī)范和技術標準的要求，重新確定信息系統(tǒng)的安全保護等級。等級保護準的要求，重新確定信息系統(tǒng)的安全保護等級。等級保護的管理規(guī)范和技術標準應按照等級保護工作開展的實際情的管理規(guī)范和技術標準應按照等級保護工作開展的實際情況適時修訂況適時修訂。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 指導監(jiān)督，重點保護指導監(jiān)督，重點保護 國家指定信息安全監(jiān)管職能

21、部門通過備案、指導、檢查、國家指定信息安全監(jiān)管職能部門通過備案、指導、檢查、督促整改等方式，對重要信息和信息系統(tǒng)的信息安全保護督促整改等方式，對重要信息和信息系統(tǒng)的信息安全保護工作進行指導監(jiān)督。工作進行指導監(jiān)督。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求主要內容主要內容來源：來源：信息安全等級保護管理辦法信息安全等級保護管理辦法國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。護

22、，對等級保護工作的實施進行監(jiān)督、管理。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求職責分工職責分工 公安機關公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指負責信息安全等級保護工作的監(jiān)督、檢查、指導。導。 國家保密工作部門國家保密工作部門負責等級保護工作中有關保密工作的負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。監(jiān)督、檢查、指導。 國家密碼管理部門國家密碼管理部門負責等級保護工作中有關密碼工作的負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導監(jiān)督、檢查、指導。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 在信息安全等級保護工作中，涉及其他職能部門管在信

23、息安全等級保護工作中，涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規(guī)的規(guī)定轄范圍的事項，由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。進行管理。 國務院信息化工作辦公室及地方信息化領導小組辦事機國務院信息化工作辦公室及地方信息化領導小組辦事機構構負責信息安全等級保護工作中部門間的協(xié)調。負責信息安全等級保護工作中部門間的協(xié)調。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 信息系統(tǒng)的主管部門應當依照相關規(guī)范和標準督促、信息系統(tǒng)的主管部門應當依照相關規(guī)范和標準督促、檢查、指導本行業(yè)、本部門或本地區(qū)信息系統(tǒng)運營、使用檢查、指導本行業(yè)、本部門或本地區(qū)信息系統(tǒng)運營、使用單

24、位的信息安全等級保護工作。單位的信息安全等級保護工作。 信息系統(tǒng)運營、使用單位應當按照等級保護的管理規(guī)范信息系統(tǒng)運營、使用單位應當按照等級保護的管理規(guī)范和相關標準規(guī)范履行信息安全等級保護的義務和責任。和相關標準規(guī)范履行信息安全等級保護的義務和責任。二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 省公安廳、省國家保密局、省國家密碼管理局、省信息化省公安廳、省國家保密局、省國家密碼管理局、省信息化領導小組辦公室聯(lián)合成立信息安全等級保護工作協(xié)調小組領導小組辦公室聯(lián)合成立信息安全等級保護工作協(xié)調小組各行業(yè)主管部門要成立行業(yè)信息安全等級保護工作小組各行業(yè)主管部門要成立行業(yè)信息安全等級保護工

25、作小組各地級以上市參照成立相應工作機制各地級以上市參照成立相應工作機制重要信息系統(tǒng)運營使用單位成立信息安全等級保護工作組重要信息系統(tǒng)運營使用單位成立信息安全等級保護工作組 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求公安機關職責內容公安機關職責內容 指導信息系統(tǒng)運營使用單位及其主管部門確定系指導信息系統(tǒng)運營使用單位及其主管部門確定系統(tǒng)安全保護等級。統(tǒng)安全保護等級。 指導信息安全等級保護的建設、整改和管理。指導信息安全等級保護的建設、整改和管理。 接受信息系統(tǒng)安全保護等級的備案。接受信息系統(tǒng)安全保護等級的備案。 定期對受理備案的信息系統(tǒng)安全保護狀況依法進定期對受理備案的信息系統(tǒng)安

26、全保護狀況依法進行監(jiān)督、檢查。行監(jiān)督、檢查。 對安全保護等級為第三級以上信息系統(tǒng)選擇使用對安全保護等級為第三級以上信息系統(tǒng)選擇使用信息安全產品的情況進行監(jiān)督管理。信息安全產品的情況進行監(jiān)督管理。 對信息安全等級保護檢測評估服務機構的監(jiān)督管對信息安全等級保護檢測評估服務機構的監(jiān)督管理。理。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求各個環(huán)節(jié)各個環(huán)節(jié) 組織開展調查摸底組織開展調查摸底 合理確定保護等級合理確定保護等級 依法履行備案手續(xù)依法履行備案手續(xù) 開展安全建設整改開展安全建設整改 組織系統(tǒng)安全測評組織系統(tǒng)安全測評 加

27、強日常測評自查加強日常測評自查 加強安全監(jiān)督檢查加強安全監(jiān)督檢查 組織開展調查摸底組織開展調查摸底 各信息系統(tǒng)主管部門、運營使用單位組織開展對所屬各信息系統(tǒng)主管部門、運營使用單位組織開展對所屬信息系統(tǒng)的摸底調查，全面掌握信息系統(tǒng)的數量、分布、信息系統(tǒng)的摸底調查，全面掌握信息系統(tǒng)的數量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結構以及系統(tǒng)建設規(guī)劃業(yè)務類型、應用或服務范圍、系統(tǒng)結構以及系統(tǒng)建設規(guī)劃等基本情況，為開展信息安全等級保護工作打下基礎等基本情況，為開展信息安全等級保護工作打下基礎。二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 合理確定保護等級合理確定保護等級（信息化項目立項前）

28、（信息化項目立項前） 來源和依據：來源和依據：信息安全等級保護管理辦法信息安全等級保護管理辦法、廣東省計算機信息系統(tǒng)安廣東省計算機信息系統(tǒng)安全保護條例全保護條例，信息安全等級保護實施指南信息安全等級保護實施指南、信息系統(tǒng)安全等級保護信息系統(tǒng)安全等級保護定級指南定級指南 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 定級標準定級標準：計算機信息系統(tǒng)安全保護等級根據計算機計算機信息系統(tǒng)安全保護等級根據計算機信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度，信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度，計算機信息系統(tǒng)受到破壞后對國家安全、社會秩序、公共計算機信息系統(tǒng)受到破壞后

29、對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等利益以及公民、法人和其他組織的合法權益的危害程度等因素確定，分為五級：因素確定，分為五級： 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求（一）計算機信息系統(tǒng)受到破壞后，可能對公民、法人和其一）計算機信息系統(tǒng)受到破壞后，可能對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益的，序和公共利益的，為第一級為第一級； 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求（二）計算機信息系統(tǒng)受到破壞后，可能對公民、法人和其二）計

30、算機信息系統(tǒng)受到破壞后，可能對公民、法人和其他組織的合法權益產生嚴重損害，或者可能對社會秩序和他組織的合法權益產生嚴重損害，或者可能對社會秩序和公共利益造成損害，但不損害國家安全的公共利益造成損害，但不損害國家安全的，為第二級；為第二級； 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求（三（三）計算機信息系統(tǒng)受到破壞后，可能對社會秩序和公）計算機信息系統(tǒng)受到破壞后，可能對社會秩序和公共利益造成嚴重損害，或者可能對國家安全造成損害的，共利益造成嚴重損害，或者可能對國家安全造成損害的，為第三級為第三級； 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求（四）計算機信息系統(tǒng)

31、受到破壞后，可能對社會秩序和公共四）計算機信息系統(tǒng)受到破壞后，可能對社會秩序和公共利益造成特別嚴重損害，或者可能對國家安全造成嚴重損利益造成特別嚴重損害，或者可能對國家安全造成嚴重損害的，為害的，為第四級第四級；（五）計算機信息系統(tǒng)受到破壞后，可能對國家安全造成特（五）計算機信息系統(tǒng)受到破壞后，可能對國家安全造成特別嚴重損害的，為別嚴重損害的，為第五級。第五級。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求定級程序：定級程序：信息系統(tǒng)運營、使用單位信息系統(tǒng)運營、使用單位應應當依照相關規(guī)定和標準和行業(yè)指當依照相關規(guī)定和標準和行業(yè)指導意見導意見確定信息系統(tǒng)的安全保護等級。有主管部門

32、的，應確定信息系統(tǒng)的安全保護等級。有主管部門的，應當經主管部門審核批準。當經主管部門審核批準?？缡』蛘呷珖缡』蛘呷珖y(tǒng)一聯(lián)網運行的信息系統(tǒng)可以由主管部門統(tǒng)統(tǒng)一聯(lián)網運行的信息系統(tǒng)可以由主管部門統(tǒng)一一確定安全保護等級。確定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。管部門應當請國家信息安全保護等級專家評審委員會評審。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求定級注意事項一級信息系統(tǒng)：適用于鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級某些單位中不重要的信息系統(tǒng)。小型個體、私營

33、企業(yè)中的信息系統(tǒng)。中小學中的信息系統(tǒng)。二級信息系統(tǒng)：適用于地市級以上國家機關、企業(yè)、事業(yè)單位內部一般的信息系統(tǒng)。例如小的局域網，非涉及秘密、敏感信息的辦公系統(tǒng)等。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求三級信息系統(tǒng)：適用于地市級以上國家機關、企業(yè)、事業(yè)單位內部重要的信息系統(tǒng)；重要領域、重要部門跨省、跨市或全國（?。┞?lián)網運行的信息系統(tǒng)；跨省或全國聯(lián)網運行重要信息系統(tǒng)在省、地市的分支系統(tǒng)；各部委官方網站；跨省（市）聯(lián)接的信息網絡等。四級信息系統(tǒng)：適用于重要領域、重要部門三級信息系統(tǒng)中的部分重要系統(tǒng)。例如全國鐵路、民航、電力等調度系統(tǒng)，銀行、證券、保險、稅務、海關等部門中的核心系

34、統(tǒng)。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 在申報系統(tǒng)新建、改建、擴建立項時在申報系統(tǒng)新建、改建、擴建立項時須同時向立項審批部門提交定級報告須同時向立項審批部門提交定級報告。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 依法履行備案手續(xù)依法履行備案手續(xù) 來源和依據：來源和依據：信息安全等級保護管理辦法信息安全等級保護管理辦法、廣東省計算機信息系統(tǒng)安廣東省計算機信息系統(tǒng)安全保護條例全保護條例，廣東省信息安全等級保護備案工作實施細則（試行），廣東省信息安全等級保護備案工作實施細則（試行） 、信信息安全等級保護備案實施細則息安全等級保護備案實施細則 、信息安全等

35、級保護實施指南信息安全等級保護實施指南二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 備案時限。已運營（運行）的第二級以上信息系統(tǒng)，已運營（運行）的第二級以上信息系統(tǒng)，應當在安全保護等級確定后應當在安全保護等級確定后3030日內，由其運營、使用單位日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。 新建第二級以上信息系統(tǒng)，在通過信息化項目立項后，新建第二級以上信息系統(tǒng)，在通過信息化項目立項后，由其運營、使用單位在由其運營、使用單位在3030日內到所在地設區(qū)的市級以上公日內到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。安機

36、關辦理備案手續(xù)。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 補充備案。補充備案。第三級以上信息系統(tǒng)還應當在系統(tǒng)整改、測評第三級以上信息系統(tǒng)還應當在系統(tǒng)整改、測評完成后完成后3030日內補交日內補交備案表備案表表四及其有關材料表四及其有關材料。 變更備案變更備案。備案表備案表所載事項發(fā)生變更，備案單位應所載事項發(fā)生變更，備案單位應當自變更之日起當自變更之日起3030日內重新填寫日內重新填寫備案表備案表報公安機關網報公安機關網監(jiān)部門備案。其中，變更事項涉及監(jiān)部門備案。其中，變更事項涉及備案證明備案證明的，公機的，公機關網監(jiān)部門應當重新頒布關網監(jiān)部門應當重新頒布備案證明備案證明。

37、 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 書面填寫書面填寫信息系統(tǒng)安全等級保護備案表信息系統(tǒng)安全等級保護備案表 一式兩份?？商钜皇絻煞荨？商頦ORDWORD文檔，再打印輸出，附上附件。文檔，再打印輸出，附上附件。 利用備案工具填寫利用備案工具填寫。涉密系統(tǒng)填寫涉密系統(tǒng)填寫涉及國家秘密的信息系統(tǒng)分級保護備案表涉及國家秘密的信息系統(tǒng)分級保護備案表，向，向保密部門備案。保密部門備案。備案表填寫注意事項備案表填寫注意事項 信息系統(tǒng)安全等級保護備案表信息系統(tǒng)安全等級保護備案表 WORD WORD文檔和備案工具文檔和備案工具及其他相關材料可到及其他相關材料可到廣東網警廣東網警網站信息

38、安全等級保網站信息安全等級保護欄目下載。護欄目下載。備案表填寫注意事項備案表填寫注意事項信息系統(tǒng)安全等級保護備案表信息系統(tǒng)安全等級保護備案表補充說明補充說明 一、表一一、表一0404行政區(qū)劃代碼行政區(qū)劃代碼可到可到廣東網警廣東網警網站信息安全等級保護欄目下載網站信息安全等級保護欄目下載廣東行廣東行政區(qū)劃代碼政區(qū)劃代碼查詢。查詢。二、表一二、表一0808隸屬關系隸屬關系1 1省直國家機關、省政府直屬的企業(yè)、事業(yè)單位，國資委省直國家機關、省政府直屬的企業(yè)、事業(yè)單位，國資委管理的企業(yè)選管理的企業(yè)選“2 2省省( (自治區(qū)、直轄市自治區(qū)、直轄市)”)”。2 2省直部門下設的企業(yè)、事業(yè)單位選省直部門下設

39、的企業(yè)、事業(yè)單位選“9 9其他其他 ”，再在橫線上注明是哪個部門下設的企業(yè)、事業(yè)單位。再在橫線上注明是哪個部門下設的企業(yè)、事業(yè)單位。備案表填寫注意事項備案表填寫注意事項 三、表二三、表二0707關鍵產品使用情況的部分使用及使用率關鍵產品使用情況的部分使用及使用率使用率：軟件按產品的種類來計，硬件按件數來計。使用率：軟件按產品的種類來計，硬件按件數來計。四、表三四、表三0606是否有主管部門是否有主管部門1 1企業(yè)、事業(yè)單位有主管部門的應履行相關報批手續(xù)，選企業(yè)、事業(yè)單位有主管部門的應履行相關報批手續(xù)，選“有有”。2 2國家機關可選國家機關可選“無無”，但在實際操作中可征求上級部門，但在實際操作

40、中可征求上級部門意見；如本系統(tǒng)內部有規(guī)定明確要經上級部門審批的，意見；如本系統(tǒng)內部有規(guī)定明確要經上級部門審批的，應履行審批手續(xù)。應履行審批手續(xù)。 備案表填寫注意事項備案表填寫注意事項 管轄原則。管轄原則。 備案管轄分工采取級別管轄和屬地管轄相結合。備案管轄分工采取級別管轄和屬地管轄相結合。 中央在京單位。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一中央在京單位。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由公安部公共信聯(lián)網運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由公安部公共信息網絡安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公息網絡安全監(jiān)察局受理備案，其他信息系統(tǒng)

41、由北京市公安局公共信息網絡安全監(jiān)察部門受理備案。共信息網絡安全監(jiān)察部門受理備案。 中央駐粵及省直國有單位。隸屬中央或省的駐穗國有單位的中央駐粵及省直國有單位。隸屬中央或省的駐穗國有單位的信息系統(tǒng)，信息系統(tǒng)，由省公安廳網警總隊受理備案由省公安廳網警總隊受理備案。上述單位在各地運。上述單位在各地運行、維護的分支系統(tǒng)由其在各地的分支機構報所在地地級以上行、維護的分支系統(tǒng)由其在各地的分支機構報所在地地級以上市公安機關網監(jiān)部門備案。市公安機關網監(jiān)部門備案。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫信

42、息系統(tǒng)安信息系統(tǒng)安全等級保護備案表全等級保護備案表，第三級以上信息系統(tǒng)應當同時提供以第三級以上信息系統(tǒng)應當同時提供以下材料：下材料：（一）系統(tǒng)拓撲結構及說明；（一）系統(tǒng)拓撲結構及說明；（二）系統(tǒng)安全組織機構和管理制度；（二）系統(tǒng)安全組織機構和管理制度；（三）系統(tǒng)安全保護設施設計實施方案或者改建實施方案；（三）系統(tǒng)安全保護設施設計實施方案或者改建實施方案； （四）系統(tǒng)使用的信息安全產品清單及其認證、銷售許可證明；（四）系統(tǒng)使用的信息安全產品清單及其認證、銷售許可證明； （五）測評后符合系統(tǒng)安全保護等級的技術檢測評估報告；（五）測評后符合系統(tǒng)安全保護等級的技術檢測評估報告；（六）信息系統(tǒng)安全保護等

43、級專家評審意見；（六）信息系統(tǒng)安全保護等級專家評審意見；（七）主管部門審核批準信息系統(tǒng)安全保護等級的意見。（七）主管部門審核批準信息系統(tǒng)安全保護等級的意見。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 備案申請備案申請 辦理備案手續(xù)，應當到公安機關指定網址下載信息安全等級辦理備案手續(xù)，應當到公安機關指定網址下載信息安全等級保護備案軟件，利用該軟件填寫生成保護備案軟件，利用該軟件填寫生成信息系統(tǒng)安全等級保信息系統(tǒng)安全等級保護備案表護備案表（簡稱（簡稱備案表備案表，下同）表一、表二、表三紙，下同）表一、表二、表三紙質質WORDWORD格式文檔一式兩份和電子數據（格式文檔一式兩份和

44、電子數據（RARRAR格式），并準格式），并準備好相關附件（一式兩份），向公安機關網監(jiān)部門提出備案備好相關附件（一式兩份），向公安機關網監(jiān)部門提出備案申請申請。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求實質審查實質審查。對于通過形式審查的單位，公安網監(jiān)部門應當在對于通過形式審查的單位，公安網監(jiān)部門應當在1010個工作日內對個工作日內對下列內容進行審查：下列內容進行審查：1 1備案表備案表項目填寫是否完整，是否符合要求，紙質材料和項目填寫是否完整，是否符合要求，紙質材料和電子數據是否一致；電子數據是否一致； 2 2信息系統(tǒng)所定安全保護等級是否準確信息系統(tǒng)所定安全保護等級是否準確

45、。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求審查結論審查結論。對符合要求的對符合要求的，公安機關網監(jiān)部門應當在公安機關網監(jiān)部門應當在備案表備案表加蓋公加蓋公共信息網絡安全監(jiān)察專用章并將其中一份反饋備案單位，并共信息網絡安全監(jiān)察專用章并將其中一份反饋備案單位，并出具出具信息系統(tǒng)安全等級保護備案證明信息系統(tǒng)安全等級保護備案證明（以下簡稱（以下簡稱備案備案證明證明）。）。備案證明備案證明由公安部統(tǒng)一監(jiān)制。由公安部統(tǒng)一監(jiān)制。對不符合要求的對不符合要求的，公安網監(jiān)部門應當出具公安網監(jiān)部門應當出具信息系統(tǒng)安全信息系統(tǒng)安全等級保護備案審核結果通知等級保護備案審核結果通知，通知備案單位進行整

46、改。其，通知備案單位進行整改。其中，對定級不準的備案單位，在通知整改的同時，應當建議中，對定級不準的備案單位，在通知整改的同時，應當建議備案單位重新定級。（七）主管部門審核批準信息系統(tǒng)安全備案單位重新定級。（七）主管部門審核批準信息系統(tǒng)安全保護等級的意見保護等級的意見。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 運營、使用單位或者其主管部門重新確定計算機信息系統(tǒng)等運營、使用單位或者其主管部門重新確定計算機信息系統(tǒng)等級的，應當按照本條例向公安機關重新備案級的，應當按照本條例向公安機關重新備案。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 法律責任法律責任 廣

47、東省計算機信息系統(tǒng)安全保護條例廣東省計算機信息系統(tǒng)安全保護條例規(guī)定，計算機信息規(guī)定，計算機信息系統(tǒng)的運營、使用單位沒有向地級市以上人民政府公安機關系統(tǒng)的運營、使用單位沒有向地級市以上人民政府公安機關備案的，或者違反本條例第三十六條規(guī)定，接到公安機關要備案的，或者違反本條例第三十六條規(guī)定，接到公安機關要求整改的通知后拒不按要求整改的，由公安機關處以警告或求整改的通知后拒不按要求整改的，由公安機關處以警告或者停機整頓者停機整頓。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 開展安全建設整改開展安全建設整改 來源和依據：來源和依據：信息安全等級保護管理辦法信息安全等級保護管理辦法、

48、廣東省計算機信息系統(tǒng)安全廣東省計算機信息系統(tǒng)安全保護條例保護條例，信息安全等級保護實施指南信息安全等級保護實施指南、信息系統(tǒng)安全等級保護基信息系統(tǒng)安全等級保護基本要求本要求等等二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 運營、使用單位應當按照國家信息安全等級保護管理運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術標準，使用符合國家有關規(guī)定，滿足信息規(guī)范和技術標準，使用符合國家有關規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術產品，開展信息系系統(tǒng)安全保護等級需求的信息技術產品，開展信息系統(tǒng)安全建設或者改建工作統(tǒng)安全建設或者改建工作。 計算機信息系統(tǒng)規(guī)劃、設計、建設和維護應

49、當同步落計算機信息系統(tǒng)規(guī)劃、設計、建設和維護應當同步落實相應的安全措施實相應的安全措施二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 在信息系統(tǒng)建設過程中，運營、使用單位應當按照在信息系統(tǒng)建設過程中，運營、使用單位應當按照計算計算機信息系統(tǒng)安全保護等級劃分準則機信息系統(tǒng)安全保護等級劃分準則（GB17859-GB17859-19991999）、）、信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護基本要求等技術標等技術標準，參照準，參照信息安全技術信息安全技術 信息系統(tǒng)通用安全技術要求信息系統(tǒng)通用安全技術要求（GB/T20271-2006GB/T20271-2006）、）、信息安全技

50、術信息安全技術 網絡基礎安全網絡基礎安全技術要求技術要求（GB/T20270-2006GB/T20270-2006）、）、信息安全技術信息安全技術 操操作系統(tǒng)安全技術要求作系統(tǒng)安全技術要求（GB/T20272-2006GB/T20272-2006）、）、信息信息安全技術安全技術 數據庫管理系統(tǒng)安全技術要求數據庫管理系統(tǒng)安全技術要求（GB/T20273-2006GB/T20273-2006）、）、信息安全技術信息安全技術 服務器技術要服務器技術要求求、信息安全技術信息安全技術 終端計算機系統(tǒng)安全等級技術要終端計算機系統(tǒng)安全等級技術要求求（GA/T671-2006GA/T671-2006）等技術標

51、準同步建設符合該等）等技術標準同步建設符合該等級要求的信息安全設施。級要求的信息安全設施。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 運營、使用單位應當參照運營、使用單位應當參照信息安全技術信息安全技術 信息系統(tǒng)安信息系統(tǒng)安全管理要求全管理要求（GB/T20269-2006GB/T20269-2006）、）、信息安全技信息安全技術術 信息系統(tǒng)安全工程管理要求信息系統(tǒng)安全工程管理要求（GB/T20282-GB/T20282-20062006）、）、信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護基本要求等管理等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全規(guī)范，制定并落實

52、符合本系統(tǒng)安全保護等級要求的安全管理制度管理制度。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求通過委托等保測評機構進行測評、風險評估等方式分析整改需通過委托等保測評機構進行測評、風險評估等方式分析整改需求，或者委托等保技術支持單位、安全服務機構（須已參加安求，或者委托等保技術支持單位、安全服務機構（須已參加安全服務機構從業(yè)人員培訓班并取得信息網絡安全專業(yè)技術人員全服務機構從業(yè)人員培訓班并取得信息網絡安全專業(yè)技術人員繼續(xù)教育證書）提供咨詢等方式對照有關標準了解系統(tǒng)安全保繼續(xù)教育證書）提供咨詢等方式對照有關標準了解系統(tǒng)安全保護現(xiàn)狀以及與相應等級保護要求的差距，分析整改需求。護現(xiàn)狀

53、以及與相應等級保護要求的差距，分析整改需求。制訂安全整改方案。制訂安全整改方案。落實安全整改技術措施和完善安全管理制度落實安全整改技術措施和完善安全管理制度。已投入使用的系統(tǒng)已投入使用的系統(tǒng) 在實施項目時，要同步設計、同步建設等級保護措在實施項目時，要同步設計、同步建設等級保護措施施。 對照相應等級的安全保護要求，制訂安全建設方案對照相應等級的安全保護要求，制訂安全建設方案。 落實安全技術措施和制訂安全管理制度。落實安全技術措施和制訂安全管理制度。新建系統(tǒng)新建系統(tǒng) 組織系統(tǒng)安全測評組織系統(tǒng)安全測評 來源和依據：來源和依據：信息安全等級保護管理辦法信息安全等級保護管理辦法、廣東省計算機信息系統(tǒng)安

54、廣東省計算機信息系統(tǒng)安全保護條例全保護條例、廣東省信息安全等級測評工作細則廣東省信息安全等級測評工作細則，信息安全等級保信息安全等級保護實施指南護實施指南、信息系統(tǒng)安全等級保護測評準則信息系統(tǒng)安全等級保護測評準則等等二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 信息系統(tǒng)建設完成后，二級以上信息系統(tǒng)建設完成后，二級以上的信息系統(tǒng)的的信息系統(tǒng)的運營使用單位應當選擇符合國家規(guī)定的測評機構進行測評運營使用單位應當選擇符合國家規(guī)定的測評機構進行測評（在系統(tǒng)試運行階段）合格方可投入使用。已投入運行信（在系統(tǒng)試運行階段）合格方可投入使用。已投入運行信息系統(tǒng)在完成系統(tǒng)整改后也應當進行測評。經測

55、評，信息息系統(tǒng)在完成系統(tǒng)整改后也應當進行測評。經測評，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營使用單位系統(tǒng)安全狀況未達到安全保護等級要求的，運營使用單位應當制定方案進行整改。應當制定方案進行整改。 電子政務信息系統(tǒng)均應測評合格方可投入電子政務信息系統(tǒng)均應測評合格方可投入使用使用。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 測評程序測評程序 計算機信息系統(tǒng)運營、使用單位委托安全測評機構測評，計算機信息系統(tǒng)運營、使用單位委托安全測評機構測評，應當提交下列資料：應當提交下列資料： （一）（一）安全測評委托書安全測評委托書； （二）（二）計算機信息系統(tǒng)應用需求計算機信息系統(tǒng)應用

56、需求、系統(tǒng)結構拓撲及說明、系統(tǒng)結構拓撲及說明、系統(tǒng)安全組織結構和管理制度、安全保護設施設計實施方系統(tǒng)安全組織結構和管理制度、安全保護設施設計實施方案或者改建實施方案、系統(tǒng)軟件硬件和信息安全產品清單。案或者改建實施方案、系統(tǒng)軟件硬件和信息安全產品清單。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求安全測評機構在收到委托材料后，應當與委托方協(xié)商制訂安安全測評機構在收到委托材料后，應當與委托方協(xié)商制訂安全測評計劃，開展安全測評工作，并出具安全測評報告。全測評計劃，開展安全測評工作，并出具安全測評報告。經測評，計算機信息系統(tǒng)安全狀況未達到國家有關規(guī)定和標經測評，計算機信息系統(tǒng)安全狀況未達

57、到國家有關規(guī)定和標準的要求的，委托單位應當根據測評報告的建議，完善計準的要求的，委托單位應當根據測評報告的建議，完善計算機信息系統(tǒng)安全建設，并重新提出安全測評委托。算機信息系統(tǒng)安全建設，并重新提出安全測評委托。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求測評機構對計算機信息系統(tǒng)進行使用前安全測評，應當預先測評機構對計算機信息系統(tǒng)進行使用前安全測評，應當預先報告地級以上市公安機關公共信息網絡安全監(jiān)察部門。報告地級以上市公安機關公共信息網絡安全監(jiān)察部門。安全測評報告由計算機信息系統(tǒng)運營、使用單位報地級以上安全測評報告由計算機信息系統(tǒng)運營、使用單位報地級以上市公安機關公共信息網絡安全

58、監(jiān)察部門。市公安機關公共信息網絡安全監(jiān)察部門。還須報送還須報送信息系統(tǒng)安全等級保護備案信息系統(tǒng)安全等級保護備案表二，表四（三級表二，表四（三級以上系統(tǒng)，含三級）以上系統(tǒng)，含三級）。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 法律責任法律責任 廣東省計算機信息系統(tǒng)安全保護條例廣東省計算機信息系統(tǒng)安全保護條例規(guī)定，第二級規(guī)定，第二級以上計算機信息系統(tǒng)的運營、使用單位計算機信息系統(tǒng)投以上計算機信息系統(tǒng)的運營、使用單位計算機信息系統(tǒng)投入使用前未經符合國家規(guī)定的安全等級測評機構測評合格入使用前未經符合國家規(guī)定的安全等級測評機構測評合格的的 ，由公安機關責令限期改正，給予警告；逾期不改

59、的，由公安機關責令限期改正，給予警告；逾期不改的，對單位的主管人員、其他直接責任人員可以處五千元以下對單位的主管人員、其他直接責任人員可以處五千元以下罰款，對單位可以處一萬五千元以下罰款。有違法所得的，罰款，對單位可以處一萬五千元以下罰款。有違法所得的，沒收違法所得；情節(jié)嚴重的，并給予六個月以內的停止聯(lián)沒收違法所得；情節(jié)嚴重的，并給予六個月以內的停止聯(lián)網、停機整頓的處罰；必要時公安機關可以建議原許可機網、停機整頓的處罰；必要時公安機關可以建議原許可機構撤銷許可或者取消聯(lián)網資格。構撤銷許可或者取消聯(lián)網資格。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 加強日常測評自查加強日常測評

60、自查 來源和依據：來源和依據：信息安全等級保護管理辦法信息安全等級保護管理辦法、廣東省計算機信息系統(tǒng)安廣東省計算機信息系統(tǒng)安全保護條例全保護條例、廣東省信息安全等級測評工作細則廣東省信息安全等級測評工作細則，信息安全等級保信息安全等級保護實施指南護實施指南、信息系統(tǒng)安全等級保護測評準則信息系統(tǒng)安全等級保護測評準則二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 計算機信息系統(tǒng)的運營、使用單位及其主管部門應當按照計算機信息系統(tǒng)的運營、使用單位及其主管部門應當按照國家規(guī)定定期對計算機信息系統(tǒng)開展安全等級測評，并對國家規(guī)定定期對計算機信息系統(tǒng)開展安全等級測評，并對計算機信息系統(tǒng)安全狀況、