信息安全等级保护管理办法.docxVIP

信息安全等级保护管理办法  信息安全等级保护管理办法 第一章 总则 为切实保护国家重要信息基础设施、重要信息系统和重要信息的安全，加强对信息安全等级保护的管理，优化信息安全等级保护体系，促进信息安全发展，根据《中华人民共和国网络安全法》等法律、法规，制定本办法。 第二章 信息安全等级及保护对象 第一条 信息安全等级分为一级、二级、三级和四级，分别对应于国家重要信息基础设施、重要信息系统、一般信息系统以及不需要进行等级保护的信息系统。 第二条 本办法所称重要信息基础设施，是指具有国家安全、人民群众生命财产安全、重要国计民生等方面的重要意义，其安全事故或者破坏会导致严重的社会影响和安全后果的信息基础设施。 第三条 本办法所称重要信息系统，是指对国家安全、国民经济、人民生命财产安全等方面起到重要作用，其安全事故或者破坏会导致严重的社会影响和安全后果的信息系统。 第四条 本办法所称一般信息系统，是指除重要信息系统和不需要进行等级保护的信息系统以外的信息系统。 第五条 本办法所称等级保护对象，是指应当依照本办法的规定进行等级保护的信息基础设施、信息系统和重要信息。 第三章 等级保护分类和标准 第六条 重要信息基础设施根据其可能受到的威胁、具体特点和重要程度，分为一级、二级和三级。 第七条 重要信息系统根据其威胁程度、重要程度，分为一级、二级、三级和四级。 第八条 重要信息根据其必威体育官网网址程度、重要程度，分为一级、二级和三级。 第九条 各等级保护对象的基本标准如下： （一）一级：采取最高的信息安全保护措施，经过国家有关部门的安全审查和评估，具有高度的安全可靠性和必威体育官网网址性； （二）二级：采取较高的信息安全保护措施，经过国家有关部门的安全审查和评估，具有较高的安全可靠性和必威体育官网网址性； （三）三级：采取一定的信息安全保护措施，确保信息的安全和必威体育官网网址性，经过国家有关部门的安全认证和鉴定； （四）四级：不需要进行等级保护的信息系统。 第十条 各等级保护对象的保护标准如下： （一）一级保护对象的保护标准：应当采取多重、层次化的安全保护措施，包括物理保护、技术保护、管理保护和突发事件应急处理等，经过安全审查和评估后，进行验收。一级保护对象的日常管理和维护应当有专门的安全管理人员。 （二）二级保护对象的保护标准：应当采取适当的安全保护措施，包括物理保护、技术保护、管理保护和突发事件应急处理等，经过安全审查和评估后，进行验收。二级保护对象的日常管理和维护应当有专门的安全管理人员。 （三）三级保护对象的保护标准：应当采取适当的安全保护措施，包括物理保护、技术保护、管理保护和突发事件应急处理等，经过安全认证和鉴定后，进行验收。三级保护对象的日常管理和维护应当有专门的安全管理人员。 第四章 等级保护管理和服务 第十一条 国家信息中心和各省、自治区、直辖市的信息中心负责本行政区域内等级保护的组织实施、管理和服务。 第十二条 等级保护管理和服务工作应当遵循安全、方便、高效、经济的原则，采用技术手段，对等级保护对象进行安全管理、安全检查、安全监控和安全应急处理等。 第十三条 对于等级保护的信息基础设施、信息系统和重要信息，应当实行许可制度。未经许可的，不得开通和使用。 第十四条 对于等级保护的信息基础设施、信息系统和重要信息，应当制定安全管理制度、安全管理措施、安全评估和审核制度，开展安全教育和培训，加强安全监控和应急处理能力。 第十五条 等级保护对象应当配备安全管理人员，加强日常管理和维护。 第十六条 国家和地方应当建立信息安全等级保护的服务和支撑机构，提供信息安全等级保护的技术和服务支持。 第十七条 国家应当制定和完善等级保护工作的规划、标准和技术要求，提高等级保护的技术水平和管理水平。 第五章 法律责任 第十八条 违反本办法的规定，有下列行为之一的，由有关行政机关责令改正，并可以处以罚款或者吊销相关许可等处罚： （一）未经许可，擅自开通和使用等级保护的信息基础设施、信息系统和重要信息； （二）未按照要求履行等级保护管理和服务职责的。 第十九条 违反本办法的规定，有下列行为之一的，依法追究刑事责任： （一）以危害国家安全和公共安全等方式，破坏或者破坏等级保护的信息基础设施、信息系统和重要信息； （二）违反规定，泄露等级保护的重要信息。 第六章 附 则 第二十条 本办法自发布之日起施行。 第二十一条 国家有关部门和地方应当按照本办法规定执行等级保护管理和服务的职责，健全完善等级保护体系，保持体系的持续稳定和连续性。