《信息安全等级保护管理办法》

  1. 第七条 信息系统的安全保护等级分为一下五级:
  2.     第一级 信息系统受到破坏后,会对公民,法人,和其他组织的合法权益造成损失,但不损害国家安全,社会秩序和公共利益
  3.     第二级 信息系统受到破坏后,会对公民,法人,和其他组织合法权益产生严重损害,或者对社会秩序和公共利益造成损害,不会损害国家利益
  4.     第三级 信息系统受到破坏后,会对社会和公共利益造成严重损害,或者对国家安全造成损害
  5.     第四级 信息系统受到破坏后,会对社会秩序和公共利益造成特别严整损害,或者对国家安全造成严重损害
  6.     第五级 信息系统受到破坏后,会对国家安全造成特别严重的损害。
  8. 第八条 信息系统运营,使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监督部门对其信息安全保护等级工作进行监督管理。
  9.     第一级 信息系统运营,使用单位应当依据国家有关管理规范和技术标准进行保护。
  10.     第二级 信息系统运营,使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监督部门对该级信息系统信息安全保护工作进行指导。
  11.     第三级 信息系统运营,使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监督部门对该级信息系统信息安全保护工作进行监督,检查。
  12.     第四级 信息系统运营,使用单位应依据国家有关管理规范,技术标准,和业务专门需求进行保护。国家信息安全监督部门对该级信息系统信息安全保护工作进行监督,检查。
  13.     第五级 信息系统运营,使用单位应依据国家有关管理规范,技术标准,和业务专门需求进行保护。国家指定专门部门对该级信息系统信息安全保护工作进行专门监督,检查。
  15. 第十四条 第三级信息系统应对每年至少进行一次等级测评,第四级信息系统应每半年进行一次等级测评第五级信息系统应对依据特殊安全安全需求进行等级测评。
  17. 第十五 二级以上信息系统,应在安全保护等级确定后30日内,到单位所属市级以上公安机关班里备案手续。
  19. 第十六条 三级以上信息系统班里手续应同时提供以下材料:
  20.     1、系统拓扑结构及说明
  21.     2、系统安全组织机构和管理制度
  22.     3、系统安全保护设施设计实施方案或者改建实施方案
  23.     4、系统使用的信息安全产品清单及其认证,销售许可证明
  24.     5、测评后符合系统安全保护等级的技术检测评估报告
  25.     6、信息系统安全保护等级专家评审意见
  26.     7、主管部门审核批准信息信息系统安全保护等级的意见
  28. 第二十二条 三级以上信息系统应对选择符合下列条件的等级保护测评机构进行测评:
  29.     1、在中华人民共和国境内注册成立(港澳台地区除外)
  30.     2、由中国公民投资,中国法人投资,或者国家投资的企事业单位(港澳台地区除外)
  31.     3、从事相关检测评估工作两年以上,无违法记录
  32.     4、工作人员仅限中国公民
  33.     5、法人及主要业务,技术人员无犯罪记录
  34.     6、使用的技术设备,设施应当符合本办法对信息安全产品的要求
  35.     7、具有完备的保密管理,项目管理,质量管理,人员管理和培训教育等安全管理制度
  36.     8、对国家安全,社会秩序,公共利益不构成威胁
  38. 第二十五条 信息系统的密级,由低到高分为秘密,机密,绝密三个等级。依据BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定等级。
  40. 第二十七条 秘密,机密,绝密等级保护水平不低于国家信息安全等级保护第三、四、五级的水平。