公通字《信息安全等级保护管理办法》20070724.docx

?一、引言

信息安全是当今数字化时代至关重要的议题，关乎国家、企业和个人的利益。为了规范信息安全等级保护工作，提高信息安全保障能力，公安部、国家必威体育官网网址局、国家密码管理局、国务院信息化工作办公室联合制定了《信息安全等级保护管理办法》（公通字[2007]43号）。该办法自2007年7月24日起施行，对指导和推动信息安全等级保护工作具有重要意义。

二、办法出台背景和目的

随着信息技术的飞速发展，信息系统在各个领域得到广泛应用，信息安全面临的威胁日益复杂多样。不同行业、不同规模的信息系统在安全需求和风险程度上存在差异，需要有针对性地实施保护措施。等级保护制度正是基于这种背景应运而生，旨在通过对信息系统分等级实施安全保护，合理分配安全资源，确保信息系统安全稳定运行，保障国家安全、社会稳定和公共利益。

三、等级保护的基本概念

1.信息系统

信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、存储、传输、交换、处理和展示的人机系统。例如，企业的办公自动化系统、电子商务平台、金融机构的核心业务系统等都属于信息系统范畴。

2.等级划分

根据信息系统受到破坏后可能对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的损害程度，信息系统被划分为五个等级：

-第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

-第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

-第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

-第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

-第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

四、等级保护工作流程

1.定级

信息系统运营、使用单位应当依据本办法和相关技术标准，确定信息系统的安全保护等级。定级过程需要综合考虑信息系统的业务类型、业务影响范围、信息资产重要性等因素。例如，对于涉及国家关键基础设施的信息系统，往往需要确定较高的安全保护等级。定级完成后，需向公安机关备案。

2.备案

运营、使用单位应当在确定信息系统安全保护等级后30日内，到所在地设区的市级以上公安机关办理备案手续。备案时需提交《信息系统安全等级保护备案表》、信息系统拓扑结构、系统安全组织机构和管理制度、系统安全保护设施设计实施方案或者改建实施方案、系统使用的信息安全产品清单等材料。公安机关收到备案材料后，会对备案材料进行审核，符合要求的予以备案，并出具《信息系统安全等级保护备案证明》。

3.建设整改

运营、使用单位应当依据信息系统的安全保护等级，按照相关技术标准和规范，进行信息系统的安全建设和整改。对于新建信息系统，应当在规划、设计阶段同步考虑安全保护需求，确保安全保护设施与信息系统建设同步进行。对于已建信息系统，应当按照等级保护要求，对存在的安全隐患进行整改。整改内容包括完善安全管理制度、加强人员安全管理、升级安全技术防护措施等。

4.等级测评

信息系统建设完成后，运营、使用单位应当选择符合国家规定的测评机构，定期对信息系统进行等级测评。测评机构应当按照相关标准和规范，对信息系统的安全状况进行全面评估，出具测评报告。测评周期一般为每年一次，对于重要信息系统或面临高风险的信息系统，可能需要增加测评频次。通过等级测评，及时发现信息系统存在的安全问题，并采取措施进行整改，确保信息系统持续符合相应等级的安全保护要求。

5.监督检查

公安机关会同国家必威体育官网网址行政管理部门、国家密码管理部门等，对信息系统运营、使用单位的等级保护工作进行监督检查。监督检查的内容包括信息系统定级、备案、安全建设整改、等级测评等工作的落实情况。对于发现的问题，责令运营、使用单位限期整改。运营、使用单位应当积极配合监督检查工作，认真落实整改要求，不断提高信息系统的安全保护水平。

五、不同等级信息系统的安全保护要求

1.第一级信息系统

-安全管理制度：应建立基本的安全管理制度，如人员安全管理、系统操作管理等制度，明确安全责任和操作流程。

-安全技术措施：配备必要的防病毒软件、防火墙等安全防护设备，保障系统的基本安全。例如，在网络边界部署防火墙，防止外部非法网络访问；安装防病毒软件，定期更新病毒库，查杀病毒。

-应急处置：制定简单的应急预案，定期进行应