第九條
資訊系統運營、使用單位應當按照《資訊系統安全等級保護實施指南》具體實施等級保護工作。
第十條資訊系統運營、使用單位應當依據本辦法和《資訊系統安全等級保護定級指南》確定資訊系統的安全保護等級。有主管部門的,應當經主管部門審核批准。
跨省或者全國統一聯網執行的資訊系統可以由主管部門統一確定安全保護等級。
對擬確定為第四級以上資訊系統的,運營、使用單位或者主管部門應當請國家資訊保安保護等級專家評審委員會評審。
第十一條
資訊系統的安全保護等級確定後,運營、使用單位應當按照國家資訊保安等級保護管理規範和技術標準,使用符合國家有關規定,滿足資訊系統安全保護等級需求的資訊科技產品,開展資訊系統安全建設或者改建工作。
第十二條
在資訊系統建設過程中,運營、使用單位應當按照《計算機資訊系統安全保護等級劃分準則》(gb17859-1999)、《資訊系統安全等級保護基本要求》等技術標準,參照《資訊保安技術 資訊系統通用安全技術要求》(gb/t20271-2006)、《資訊保安技術 網路基礎安全技術要求》(gb/t20270-2006)、《資訊保安技術 作業系統安全技術要求》(gb/t20272-2006)、《資訊保安技術 資料庫管理系統安全技術要求》(gb/t20273-2006)、《資訊保安技術 伺服器技術要求》、《資訊保安技術 終端計算機系統安全等級技術要求》(ga/t671-2006)等技術標準同步建設符合該等級要求的資訊保安設施。
第十三條
運營、使用單位應當參照《資訊保安技術 資訊系統安全管理要求》(gb/t20269-2006)、《資訊保安技術 資訊系統安全工程管理要求》(gb/t20282-2006)、《資訊系統安全等級保護基本要求》等管理規範,制定並落實符合本系統安全保護等級要求的安全管理制度。
第十四條
資訊系統建設完成後,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《資訊系統安全等級保護測評要求》等技術標準,定期對資訊系統安全等級狀況開展等級測評。第**資訊系統應當每年至少進行一次等級測評,第四級資訊系統應當每半年至少進行一次等級測評,第五級資訊系統應當依據特殊安全需求進行等級測評。
資訊系統運營、使用單位及其主管部門應當定期對資訊系統安全狀況、安全保護制度及措施的落實情況進行自查。第**資訊系統應當每年至少進行一次自查,第四級資訊系統應當每半年至少進行一次自查,第五級資訊系統應當依據特殊安全需求進行自查。
經測評或者自查,資訊系統安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進行整改。
第十五條
已運營(執行)或新建的第二級以上資訊系統,應當在安全保護等級確定後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
隸屬於**的在京單位,其跨省或者全國統一聯網執行並由主管部門統一定級的資訊系統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網執行的資訊系統在各地執行、應用的分支系統,應當向當地設區的市級以上公安機關備案。
第十六條
辦理資訊系統安全保護等級備案手續時,應當填寫《資訊系統安全等級保護備案表》,第**以上資訊系統應當同時提供以下材料:
(一)系統拓撲結構及說明;
(二)系統安全組織機構和管理制度;
(三)系統安全保護設施設計實施方案或者改建實施方案;
(四)系統使用的資訊保安產品清單及其認證、銷售許可證明;
(五)測評後符合系統安全保護等級的技術檢測評估報告;
(六)資訊系統安全保護等級專家評審意見;
(七)主管部門審核批准資訊系統安全保護等級的意見。
第十七條
資訊系統備案後,公安機關應當對資訊系統的備案情況進行審核,對符合等級保護要求的,應當在收到備案材料之日起的10個工作日內頒發資訊系統安全等級保護備案證明;發現不符合本辦法及有關標準的,應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正;發現定級不准的,應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。
運營、使用單位或者主管部門重新確定資訊系統等級後,應當按照本辦法向公安機關重新備案。
第十八條
受理備案的公安機關應當對第**、第四級資訊系統的運營、使用單位的資訊保安等級保護工作情況進行檢查。對第**資訊系統每年至少檢查一次,對第四級資訊系統每半年至少檢查一次。對跨省或者全國統一聯網執行的資訊系統的檢查,應當會同其主管部門進行。
對第五級資訊系統,應當由國家指定的專門部門進行檢查。
公安機關、國家指定的專門部門應當對下列事項進行檢查:
(一) 資訊系統安全需求是否發生變化,原定保護等級是否準確;
(二) 運營、使用單位安全管理制度、措施的落實情況;
(三) 運營、使用單位及其主管部門對資訊系統安全狀況的檢查情況;
(四) 系統安全等級測評是否符合要求;
資訊保安等級保護
等保簡單理解就是,對網路安全的乙個整體評估。等保包含裝置的選用以及技術方面,等等一系列的規範。位於哪乙個環節呢?往下看。1.招投標書制定 和客戶等相關人員完成該項目的整體制定,專案範圍,廠家及裝置選擇,參與實施人員 管理人員等 2.總體設計規劃 整體專案實施設計 編制整體方案 裝置介面線纜選擇 裝置...
等保 資訊保安等級保護的等級劃分原則
級別 等級保護劃分 國家資訊保安監管部門對等級保護的指導 第一級 資訊系統受到破壞後,會對公民 法人和其他組織的合法權益造成損害,但不損害 社會秩序和公共利益。第一級資訊系統運營 使用單位應當依據國家有關管理規範和技術標準進行保護。第二級資訊系統受到破壞後,會對公民 法人和其他組織的合法權益產生嚴重...
資訊保安等級保護措施之資料安全技術
3個控制點 資料完整性 資料保密性 資料備份與恢復 a 應能夠檢測到系統管理資料 鑑別資訊和重要業務資料在傳輸過程中完整性受到破壞,並在檢測到完整性錯誤時採取必要的恢復措施 b 應能夠檢測到系統管理資料 鑑別資訊和重要業務資料在儲存過程中完整性受到破壞,並在檢測到完整性錯誤時採取必要的恢復措施。a ...