浙江省資訊保安等級保護管理辦法

當前資訊保安等級保護能力評價採用了定性評價方法,缺少定量評價。下文是浙江省資訊保安等級保護管理辦法，歡迎閱讀!

第一章總則

第一條為加強和規範資訊保安等級保護管理，提高資訊保安保障能力，維護國家安全、公共利益和社會穩定，促進資訊化建設，根據國家有關規定，結合本省實際，制定本辦法。

第二條本省行政區域內建設、運營、使用資訊系統的單位，均須遵守本辦法。

第三條本辦法所稱資訊保安等級保護，是指按國家規定對需要實行安全等級保護的各類資訊的儲存、傳輸、處理的資訊系統進行相應的等級保護，對資訊系統中發生的資訊保安突發公共事件實行分等級響應和處置的安全保障制度。

第四條本辦法所稱資訊，是指通過資訊系統進行儲存、傳輸、處理的語言、文字、聲音、影象、數字等資料。

本辦法所稱資訊系統，是指由計算機、資訊網路及其配套的設施、裝置構成的，按照一定的應用目標和規則對資訊進行儲存、傳輸、處理的執行體系。

第五條資訊保安等級保護應當遵循分級實施、明確責任、確保安全的原則;重點保障基礎資訊網路和重要資訊系統各類資訊的安全性和資訊處理的連續性。

資訊系統應當按照資訊保安等級保護的要求，實行同步建設、動態調整、誰執行誰負責的原則。

第六條縣級以上人民政府應當加強對資訊保安等級保護工作的領導，把資訊保安等級保護納入資訊化建設規劃，協調、解決有關重大問題，建立必要的資金和技術的保障機制。

第七條縣級以上人民政府公安、國家安全、保密、密碼、資訊化等行政主管部門應當按照國家和本辦法規定，履行監督管理職責。

縣級以上人民政府其他相關部門，應當按照職責分工，落實資訊保安等級保護管理的責任，配合做好相關工作。

第二章等級保護的分級與實施

第八條根據資訊系統承載的資訊的重要性、業務處理對系統的依賴性以及系統遭到破壞後對經濟、社會的危害程度，確定資訊系統相應的保護等級。

資訊系統的保護等級分為以下五級：

(一)資訊系統承載的資訊涉及公民、法人和其他組織的權益，資訊系統遭到破壞後，業務可以直接用其他方式替代處理，對公民、法人和其他組織的權益有一定影響，但不損害國家安全、社會秩序、經濟建設和公共利益的，為一級保護，由運營單位自主保護;

(二)資訊系統承載的資訊直接涉及公民、法人和其他組織的權益，資訊系統遭到破壞後，會影響業務的正常處理，並對國家安全、社會秩序、經濟建設和公共利益造成一定損害的，為二級保護，由運營單位在資訊保安等級保護工作監管部門的指導下進行保護;

(三)資訊系統承載的資訊涉及國家、社會和公共利益，資訊系統遭到破壞後，會嚴重影響業務的正常處理，並對國家安全、社會秩序、經濟建設和公共利益造成較大損害的，為三級保護，由運營單位在資訊保安等級保護工作監管部門的監督下進行保護;

(四)資訊系統承載的資訊直接涉及國家、社會和公共利益，資訊系統遭到破壞後，業務無法正常處理，並對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害的，為四級保護，由運營單位按照資訊保安等級保護工作監管部門的強制要求進行保護;

(五)資訊系統承載的資訊直接關係國家安全、社會穩定、經濟建設和執行，資訊系統遭到破壞後，會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害的，為五級保護，由運營單位在國家指定的專門部門、專門機構的專控下進行保護。

第九條資訊系統的建設、運營、使用單位，應當按照國家有關技術規範、標準和本辦法第八條規定自行選定其資訊系統相應的保護等級。

基礎資訊網路和重要資訊系統的保護等級，建設單位應當在資訊系統規劃設計時，按照本辦法第十條規定報經審定。

第十條基礎資訊網路和重要資訊系統保護等級，實行專家評審制度。

省、設區的市資訊化行政主管部門應當分別建立省、市資訊系統保護等級專家評審組，並分別組織對關係全省和關係全市的基礎資訊網路和重要資訊系統的保護等級進行審定。申報與審定的具體細則，由省資訊化行政主管部門會同省公安部門制定，並報省人民政府備案。

第十一條對於包含多個子系統的資訊系統，應當根據各子系統的重要程度分別確定保護等級。

第十二條資訊系統建設完成後，其運營、使用單位應當按照國家有關技術規範和標準進行安全測評，符合要求的，方可投入使用。

第十三條資訊系統投入執行或者系統變更之日起三十日內，運營、使用單位應當將資訊系統保護等級選定或者審定情況報所在地縣級以上人民政府公安部門備案。備案的具體細則由省公安部門制定。

資訊系統涉及國家祕密的，運營、使用單位應當按照有關保密法律、法規、規章的規定執行。

第十四條資訊系統的運營、使用單位，應當按照國家有關技術規範和標準，建立資訊保安等級保護管理制度，落實安全保護責任，採取相應的安全保護措施，切實保障資訊系統正常安全執行。

第十五條資訊系統的運營、使用單位，應當建立資訊系統安全狀況日常檢測工作制度，加強對資訊系統的日常維護和安全管理，及時消除安全隱患，確保資訊的安全和系統的正常執行。

基礎資訊網路和重要資訊系統的運營、使用單位，應當按照國家有關技術規範和標準，每年對系統的資訊保安狀況進行一次全面的測評，也可以委託有相應資質的單位進行安全測評。

第十六條資訊系統發生資訊保安突發公共事件時，應當根據事件的可控性、地域影響範圍和資訊系統遭到破壞的嚴重程度，實行分級響應和應急處置。分級響應和應急處置按照省有關網路與資訊保安應急預案的規定執行。

通訊基礎網路發生突發公共事件時，應當按照省有關通訊保障應急預案的規定執行。

第三章監督管理

第十七條縣級以上人民政府公安部門依法對運營、使用資訊系統的單位的資訊保安等級保護工作實施監督管理，並做好下列工作：

(一)督促、指導資訊保安等級保護工作;

(二)監督、檢查資訊系統運營、使用單位的安全等級保護管理制度和技術措施的落實情況;

(三)受理資訊系統保護等級的備案;

(四)依法查處資訊系統運營、使用單位和個人的違法行為;

(五)資訊保安等級保護的其他相關工作。

第十八條保密工作部門依照職責分工，依法做好下列工作：

(一)督促、指導涉及國家祕密的資訊保安等級保護工作;

(二)受理涉及國家祕密的資訊系統保護等級的備案;

(三)依法查處資訊洩密、失密事件;

(四)資訊保安等級保護中涉及國家祕密的其他相關工作。

第十九條密碼管理部門應當按照職責分工依法做好相關工作，加強對涉及密碼管理的資訊保安等級保護工作的監督、檢查和指導，查處資訊保安等級保護工作中違反密碼管理的行為和事件。

第二十條資訊化行政主管部門應當加強對資訊保安等級保護工作的指導、服務、協調和管理，並做好下列工作：

(一)指導、協調資訊保安等級保護工作;

(二)組織制定資訊保安等級保護工作規範;

(三)組織專家審定資訊系統的保護等級;

(四)為相關單位提供資訊保安等級保護的有關資訊和技術諮詢;

(五)根據預案規定，組織落實資訊保安突發公共事件的應急處置工作;

(六)資訊保安等級保護的其他相關工作。

第二十一條資訊系統建設、運營、使用單位，應當按照國家和本辦法有關規定，開展資訊保安等級保護工作，接受有關部門的指導、檢查和監督管理。

資訊系統運營、使用單位，在運營、使用中發生資訊保安突發公共事件、洩密失密事件的，應當按照應急預案要求，及時採取有效措施，防止事態擴大，並立即報告有關主管部門，配合做好應急處置工作。

第四章法律責任

第二十二條違反本辦法規定的行為，有關法律、法規已有行政處罰規定的，從其規定。

第二十三條資訊系統運營、使用單位違反本辦法規定，不建立資訊系統保護等級或者自行選定的保護等級不符合國家有關技術規範和標準的，由公安部門責令限期改正，並給予警告;逾期拒不改正的，處一千元以上二千元以下罰款。

第二十四條資訊系統運營、使用單位違反本辦法第十二條、第十三條第一款規定的，由公安部門責令限期改正，並給予警告;逾期不改正的，處二千元罰款。

第二十五條資訊系統運營、使用單位違反本辦法第十四條規定，未建立資訊保安等級保護管理制度、落實安全保護責任和措施的，由公安部門責令限期改正，並給予警告;

逾期拒不改正的，對經營性的處五千元以上五萬元以下罰款，對非經營性的處二千元罰款。

第二十六條違反本辦法第十五條第一款規定，資訊系統運營、使用單位未建立資訊系統安全狀況日常檢測工作制度的，由公安部門責令限期改正，並給予警告;逾期拒不改正的，處一千元以上二千元以下罰款。

違反本辦法第十五條第二款規定，基礎資訊網路與重要資訊系統的運營、使用單位，未定期對系統的資訊保安狀況進行測評的，由公安部門責令限期改正，並給予警告;逾期拒不改正的，對經營性的處二千元以上二萬元以下罰款，對非經營性的處二千元罰款。

第二十七條資訊系統運營、使用單位違反本辦法第二十一條第二款規定的，由縣級以上人民政府資訊化行政主管部門責令改正，給予警告，對經營性的並處五千元以上三萬元以下罰款，對非經營性的並處二千元罰款;涉及洩密、失密的，按照有關保密法律、法規、規章的規定處理。

第二十八條有關資訊保安等級保護監管部門及其工作人員有下列行為之一的，由其主管部門或者監察部門對直接負責的主管人員和其他直接責任人依法給予行政或者紀律處分。

(一)未按照本辦法規定履行監督管理職責的;

(二)違反國家和本辦法規定審定資訊系統保護等級的;

(三)違反法定程式和許可權實施行政處罰的;

(四)在履行監督管理職責中，玩忽職守、濫用職權、徇私舞弊的;

(五)其他應當依法給予行政或者紀律處分的行為。

第二十九條違反本辦法規定，構成犯罪的，依法追究刑事責任。

第五章附則

第三十條在本辦法施行前已經建成的資訊系統，運營、使用單位應當依照本辦法規定建立相應的保護等級。

第三十一條本辦法自20xx年1月1日起施行。

計算機資訊系統安全等級保護劃分準則 (GB 17859-1999) (基礎類標準)

資訊系統安全等級保護實施指南 (GB/T 25058-20xx) (基礎類標準)

資訊系統安全保護等級定級指南 (GB/T 22240-20xx) (應用類定級標準)

資訊系統安全等級保護基本要求 (GB/T 22239-20xx) (應用類建設標準)

資訊系統通用安全技術要求 (GB/T 20xx1-20xx) (應用類建設標準)

資訊系統等級保護安全設計技術要求 (GB/T 25070-20xx) (應用類建設標準)

資訊系統安全等級保護測評要求 (GB/T 28448-20xx)(應用類測評標準)

資訊系統安全等級保護測評過程指南 (GB/T 28449-20xx)(應用類測評標準)

資訊系統安全管理要求 (GB/T 20xx9-20xx) (應用類管理標準)

資訊系統安全工程管理要求 (GB/T 20xx2-20xx) (應用類管理標準)