信息安全等级保护管理办法.pdfVIP

信息安全等级保护管理办法

一、总则

信息安全等级保护管理办法（以下简称“办法”），依据国

家有关法律法规，配合信息安全等级保护制度的实施，以规范信

息系统安全等级保护的管理，确保信息系统安全运行，保护国家

利益和社会公共利益，制定本办法。

二、适用范围

本办法适用于所有内外部组织和个人使用的、可存储、处

理、传输或展示信息的信息系统等级保护的管理。

三、等级划分与评定

1.信息系统等级划分

根据信息系统的安全需求，划分为四个等级：一级、二级、

三级、四级，等级从高到低递减。

1.1一级：具有较高安全需求的信息系统，包括国家重要部

门、关键基础设施等；

1.2二级：具有一定安全需求的信息系统，包括行业重要部

门、关键系统等；

1.3三级：具有一般安全需求的信息系统，包括普通企事业

单位、一般系统等；

1.4四级：具有较低安全需求的信息系统，包括个人或家庭

使用的系统等。

2.信息系统等级评定

第1页共5页

信息系统管理机构根据信息系统规模、功能、重要性、安全

需求等因素，进行等级评定，并依据评定结果，给予相应的保护

措施。

四、等级保护管理机构

设立信息等级保护管理机构，负责统筹信息系统等级保护工

作，主要职责包括：

1.制定和完善信息安全等级保护管理制度、规范和技术标

准；

2.组织等级评定和审核；

3.协调各相关部门和单位，推进信息安全等级保护工作；

4.监督、检查信息系统等级保护的实施情况；

5.组织信息安全等级保护的宣传教育和培训工作；

6.处理信息安全等级保护相关的投诉和举报。

五、等级保护责任

各内外部组织和个人应当履行等级保护责任，包括但不限于

以下方面：

1.提供真实、完整、准确的等级保护申报材料；

2.根据实际需求，建立和完善信息安全管理制度和技术措

施；

3.配合信息安全等级评定，提供必要的信息和数据；

4.定期对信息系统进行安全检查和漏洞修复；

5.进行信息安全意识教育和培训；

第2页共5页

6.发现信息泄漏和安全事件应及时报告等级保护管理机构。

六、等级保护措施

1.一级信息系统应采取最高级别的保护措施，包括但不限

于：

1.1建立完善的信息安全管理制度，实施严格的权限控制；

1.2配备具备高级防护能力的安全设备和系统；

1.3对重要的信息进行加密存储和传输；

1.4定期开展安全评估和测试。

2.二级信息系统应采取适当的保护措施，包括但不限于：

2.1建立完善的信息安全管理制度，实施严格的权限控制；

2.2配备具备中级防护能力的安全设备和系统；

2.3对敏感信息进行加密存储和传输；

2.4定期开展安全评估和测试。

3.三级信息系统应采取基本的保护措施，包括但不限于：

3.1建立基本的信息安全管理制度，实施限制权限；

3.2配备基本的安全设备和系统；

3.3对核心信息进行加密存储和传输；

3.4定期开展安全评估和测试。

4.四级信息系统应采取最低级别的保护措施，包括但不限

于：

4.1建立基本的信息安全管理制度，限制操作权限；

4.2配备基本的安全设备和系统；

第3页共5页

4.3对重要信息进行备份；

4.4采取必要的安全防护措施。

七、安全检查和评估

信息等级保护管理机构应定期进行安全检查和评估，包括但

不限于以下内容：

1.对信息系统的安全性、完整性、可用性进行评估；

2.对信息系统的安全管理制度和技术措施进行检查；

3.对信息系统可能存在的漏洞和威胁进行评估和测试；

4.对信息系统维护和备份情况