国家信息安全等级保护制度/山东省公安厅山东省国家保密局山东省密码管理局印发《关于进一步做好信息安全等级保护工作的意见》的通知_零开始白帽子知识点

国家信息安全等级保护制度/山东省公安厅山东省国家保密局山东省密码管理局印发《关于进一步做好信息安全等级保护工作的意见》的通知_零开始白帽子知识点

山东省公安厅 山东省国家保密局

山东省密码管理局印发《关于进一步

做好信息安全等级保护工作的意见》的通知

鲁公通〔2016〕43号

各市公安局、国家保密局、密码管理局，各直属公安局，济南铁路公安局：

《关于印发〈山东省重要信息系统安全等级保护定级工作方案〉的通知》（鲁公发字〔2007〕210号）于2015年12月31日到期废止。为进一步推进信息安全等级保护工作，山东省公安厅、山东省国家保密局、山东省密码管理局制定了《关于进一步做好信息安全等级保护工作的意见》，对信息安全等级保护各项工作提出新要求，现印发你们，请结合实际，认真贯彻落实。本意见自2016年2月3日起施行，有效期至2020年12月31日。

山东省公安厅

山东省国家保密局

山东省密码管理局

2016年2月3日

关于进一步做好信息安全等级

保护工作的意见

信息安全等级保护是国家信息网络安全的一项基础性、制度性、保障性的长期工作。近年来，各级政府部门和企事业单位按照国家信息安全等级保护制度的有关要求，以等级保护工作为抓手，全面开展网络和信息安全建设工作，建成完善了我省信息网络安全管理体系和技术防护体系。为进一步贯彻落实国家信息安全等级保护制度，深入推进信息安全等级保护工作，提高信息系统的安全保障能力和防护水平，现将有关事项通知如下：

一、充分认识开展信息安全等级保护工作的重要性

信息安全等级保护制度是提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。信息安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。实施信息安全等级保护制度，能够有效地提高信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务。

各单位要高度重视信息安全等级保护工作，进一步加强组织领导，落实安全责任，做到组织到位、人员到位、责任到位、措施到位。认真贯彻落实国家信息安全等级保护制度，将信息安全等级保护工作纳入本部门网络信息安全工作的整体布局中，并与信息化建设工作同步规划、同步建设、同步运行。

二、认真做好信息安全等级保护定级和备案工作

根据《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）、《信息安全等级保护管理办法》（公通字〔2007〕43号）等有关规定和《信息系统安全等级保护定级指南》（GB/T 22240-2008）等技术标准，准确确定信息系统安全保护等级。对尚未开展信息系统定级的单位，应从信息系统的业务信息安全和系统服务安全两方面分析重要性和受破坏后的危害性，自主确定信息系统的安全保护等级；对于拟定保护等级为第二级及以上的信息系统，要聘请专家进行咨询评审，以评审意见作为自主定级的参考；对于已定级的信息系统，由于定级不准、信息系统的结构、处理流程、服务内容等发生重大变化或者撤销的，应重新开展定级工作。信息系统定级后30日内，到所在地市级以上公安机关网络安全保卫部门办理备案手续。其中，跨地区或全省统一联网运行并由主管部门统一定级的信息系统，应由省级主管部门向省公安厅报备，其他信息系统应向所辖地公安机关报备。新建系统要在规划设计阶段确定系统安全保护等级，并在等级确定后到公安机关备案。公安机关要及时受理备案，对符合要求的信息系统颁发备案证明。

三、深入开展信息系统安全建设整改和等级测评工作

各单位要在信息系统定级和备案工作基础上，按照国家开展信息安全等级保护安全建设整改工作的有关要求，以《信息系统安全等级保护基本要求》（GB/T 22239-2008）等有关标准为参照，组织开展各类信息系统安全建设整改和等级测评工作，有效提升信息系统安全防护能力和水平。

信息安全主管部门、行业主管部门要督促信息系统运营使用单位以三级及以上信息系统为重点，在省等保办推荐的等级测评机构名单中择优开展系统测评工作。定期组织对三级及以上重要信息系统的安全等级保护状况进行检测和评估，三级信息系统应当每年至少进行一次等级测评，四级信息系统每半年至少进行一次等级测评。测评工作可以在信息系统安全建设整改之前进行，通过全面分析信息系统安全保护现状、排查安全隐患和薄弱环节，明确安全建设整改需求和方案，有针对性地进行安全建设整改；也可以在信息系统安全建设整改后进行，为了检验安全建设整改成效，衡量信息系统的安全保护管理措施和技术措施与等级保护基本要求的符合度。如未达到要求，需要根据改进建议，制定整改方案并进一步进行整改。测评工作应结合安全建设整改工作进度适时安排，测评工作完成后，应及时向受理备案的公安机关提交等级测评报告。安全建设整改工作要坚持管理和技术并重的原则，管理方面要落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作；技术方面要落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

四、切实加强涉及国家秘密信息系统的分级保护工作

涉密信息系统是国家信息安全等级保护在涉密领域的具体体现，是国家信息安全战略的重要组成部分。涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密行政管理部门有关涉密信息系统分级保护的管理规定和技术标准，结合电子政务内网和专业系统实际进行保护。

涉密信息系统建设使用单位应当在准确定密的基础上，依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级，按照秘密、机密、绝密三个等级的不同要求，结合系统实际进行方案设计、论证和组织实施。系统工程实施结束后，应当向市级以上保密行政管理部门提出系统测评或审批申请，由国家保密局授权的系统测评机构或审批机构，进行安全保密测评或审批。涉密信息系统通过审批后方可投入使用。

涉密信息系统建设使用单位应当将投入使用的涉密信息系统定级和建设使用情况，及时上报业务主管部门的保密工作机构和负责系统审批的保密行政管理部门备案，并接受保密行政管理部门的监督、检查、指导。

涉密信息系统建设使用单位应当选择具有涉密信息系统集成资质的单位承担或者参与涉密信息系统的设计与实施。涉密信息系统使用的信息安全保密产品应当选用通过国家保密局授权的检测机构检测的国产产品。

涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》， 加强涉密信息系统运行中的保密管理，定期进行风险评估，及时整改，消除泄密隐患和漏洞。

涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时，其建设使用单位应当及时向负责审批的保密行政管理部门报告。

五、严格落实信息安全等级保护的密码管理工作

密码是保障网络与信息安全的核心技术和基础支撑，在身份识别、安全隔离、信息加密、完整性保护和抗抵赖性等方面具有不可替代的重要作用。信息系统责任单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的，应报经国家密码管理局审批，密码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和相关标准执行；采用密码对不涉及国家秘密的信息和信息系统进行保护的，应当遵守《商用密码管理条例》、《信息安全等级保护商用密码管理办法》、《〈信息安全等级保护商用密码管理办法〉实施意见》、《信息安全等级保护商用密码技术实施要求》等规定规范，采用国家密码管理部门准予销售的密码产品，不得采用国外引进或擅自研制的密码产品。

各单位要切实加强信息安全等级保护中的商用密码管理工作。在实施信息安全等级保护的信息系统中，商用密码应用系统是指采用商用密码产品或者含有密码技术的产品集成建设的，实现相关信息的机密性、完整性、真实性、抗抵赖性等功能的应用系统。商用密码应用系统的建设应当选择具有商用密码相关资质的单位承担。第三级以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施。各单位要根据信息系统的等级划分，制订完善二级以上信息系统的商用密码应用系统建设方案，并按照密码管理要求做好商用密码应用系统的建设、升级、测评和管理工作，确保信息系统安全。二级以上信息系统的责任单位，应当按规定填写《信息安全等级保护商用密码产品备案表》，报省级密码管理部门备案。

各级密码管理部门要加强工作指导，强化对信息安全等级保护使用密码情况的监督检查，定期或不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。

六、逐步建立信息安全等级保护长效工作机制

信息安全等级保护是一项长期的工作，实施信息安全等级保护，能够有效提升我省信息系统安全建设的整体水平，有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务。各单位要按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，完成信息安全等级保护各项工作。按照与本单位信息系统安全保护等级相对应的管理规范和技术标准的要求，定期对信息系统进行安全状况检测评估；对安全保护制度及技术措施的落实情况进行自查，及时消除安全隐患和漏洞；建立安全制度，制定有针对性的信息安全事件的响应、处置预案；加强信息系统的安全管理，逐步实现信息安全产品国产化。公安机关按照等级保护的管理规范和技术标准的要求做好监督管理工作，加强对各单位重要信息系统的监督、检查和指导。对未落实规定的违法违规行为，责令限期改正；对在规定期限内未改正的，依法给予警告，并通报其上级主管部门；对未按要求进行安全等级保护测评和整改，发生重大信息网络安全（案）事件的单位，依法追究单位及相关领导和直接责任人的责任。各单位、各部门明确职责，协作配合，切实推动我省各信息系统和网站安全保护能力达到信息安全等级保护要求，共同维护网络环境，保障网络安全。

（2016年2月15日印发）

~

网络安全学习，我们一起交流

~