2014-11-21 09:51:31
来源:
一、总体要求
计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施,使用符合国家有关规定、满足计算机信息系统安全保护需求的信息技术产品。
二、安全保护机构和人员
计算机信息系统的运营、使用单位应当按照国家有关规定,建立、健全计算机信息系统安全管理制度,确定安全管理责任人,负责计算机信息系统的安全保护工作。
计算机信息系统信息服务提供者应当设立信息审查员,负责信息审查工作。
第二级以上计算机信息系统的运营、使用单位应当建立安全保护组织,并报地级以上市人民政府公安机关备案。
三、信息安全等级保护的重要环节
(一)使用前测评
第二级以上计算机信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合格后方可投入使用。
(二)日常测评和自查
计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评,并对计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查。计算机信息系统安全状况经测评或者自查,未达到安全等级保护要求的,运营、使用单位应当进行整改。
(三)备案
第二级以上计算机信息系统,由运营、使用单位在投入运行后三十日内,到地级市以上人民政府公安机关备案。计算机信息系统备案后,对符合安全等级保护要求的,公安机关应当在收到备案材料之日起十个工作日内颁发计算机信息系统安全等级保护备案证明;对不符合安全等级保护要求的,应当在收到备案材料之日起十个工作日内通知备案单位予以纠正。运营、使用单位或者其主管部门重新确定计算机信息系统等级的,应当按照本条例向公安机关重新备案。
(四)监督检查
计算机信息系统的运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,按照国家有关规定如实提供有关计算机信息系统安全保护的信息、资料及数据文件。
(五)应急处置
1.情况报告。对计算机信息系统中发生的案件和重大安全事故,计算机信息系统的运营、使用单位应当在二十四小时内报告县级以上人民政府公安机关,并保留有关原始记录。
2.应急预案。第二级以上计算机信息系统的运营、使用单位应当制定重大突发事件应急处置预案。
3.应急调芳。第二级以上计算机信息系统发生重大突发事件,有关单位应当按照应急处置预案的要求采取相应的处置措施,并服从公安机关和国家指定的专门部门的调度。
四、安全管理制度
第二级以上计算机信息系统的运营、使用单位应当建立并执行下列安全管理制度:
(一)计算机机房安全管理制度;
(二)安全责任制度;
(三)网络安全漏洞检测和系统升级制度;
(四)系统安全风险管理和应急处置制度;
(五)操作权限管理制度;
(六)用户登记制度;
(七)重要设备、介质管理制度;
(八)信息发布审查、登记、保存、清除和备份制度;
(九)信息群发服务管理制度。
五、安全技术措施
第二级以上计算机信息系统的运营、使用单位应当采取下列安全保护技术措施:
(一)系统重要部分的冗余或者备份措施;
(二)计算机病毒防治措施;
(三)网络攻击防范和追踪措施;
(四)安全审计和预警措施;
(五)系统运行和用户使用日志记录保存六十日以上措施;
(六)记录用户账号、主叫电话号码和网络地址的措施;
(七)身份登记和识别确认措施;
(八)垃圾信息、有害信息防治措施;
(九)信息群发限制措施。
六、安全专用产品的选择
第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
符合上述规定的安全专用产品和生产单位应当到省公安厅公共信息网络安全监察部门备案,以便于向社会公布和相关单位选择。
七、测评机构的选择
第二级以上的计算机信息系统的安全测评应当选择符合下列条件的计算机信息系统安全等级测评机构(简称测评机构)承担:
(一)在中华人民共和国境内注册成立(港澳台地区除外),具有相应经营范围的营业执照,注册资本100万元以上;
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)近3年完成的测评项目总值150万元以上;
(四)具有计算机安全或相关专业资格证书的专业技术人员不少于20人,其中大学本科以上学历的人员不少于15人;
(五)管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事安全测评工作不少于3年,无犯罪记录;
(六)工作人员仅限于中国公民,法人及主要业务、技术人员无犯罪记录;
(七)具有与所承担项目适应的技术装备;
(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(九)对国家安全、社会秩序、公共利益不构成威胁。
我省对测评机构实施备案制度。省公安厅公共信息网络安全监察部门对已备案的测评机构进行公布。
八、资料提供要求
信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:
(一)信息系统备案事项变更情况;
(二)安全组织、人员的变动情况;
(三)信息安全管理制度、措施变更情况;
(四)信息系统运行状况记录;
(五)运营、使用单位及主管部门定期对信息系统安全状况的检查记录;
(六)对信息系统开展等级测评的技术测评报告;
(七)信息安全产品使用的变更情况;
(八)信息安全事件应急预案,信息安全事件应急处置结果报告;
(九)信息系统安全建设、整改结果报告。
九、涉密信息系统的等级保护
(一)玉管部门
保密工作部门依法对涉密计算机信息系统分级保护工作实施指导、监督和检查,具体负责下列工作:
1.指导涉密计算机信息系统建设使用单位规范信息定密,合理确定系统保护等级;
2.参与涉密计算机信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
3.依法对涉密计算机信息系统集成资质单位进行监督管理;
4.按照国家规定进行系统测评和审批工作并监督检查涉密计算机信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
5.按照国家规定定期对涉密计算机信息系统进行监督检查;
6.了解各级各类涉密计算机信息系统的管理使用情况,查处各种违法行为和泄密事件。
(二)总体要求
涉密计算机信息系统应当依据国家信息安全等级保护的要求,按照国家有关涉密计算机信息系统分级保护的管理规定和技术标准,结合计算机信息系统实际情况进行保护。
(三)等级划分
涉密计算机信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级,并实行涉密计算机信息系统分级保护。
(四)主要环节
涉密计算机信息系统建设使用单位应当将涉密计算机信息系统定级和建设使用情况,及时报业务主管部门和负责系统审批的保密工作部门备案,并接受保密工作部门的监督、检查、指导。涉密计算机信息系统投入使用前,应当按照国家有关规定报地级市以上人民政府保密工作部门审批,通过审批后方可投入使用。
十、密码管理问题
计算机信息系统安全等级保护中密码的配备、使用和管理等,应当按照国家密码管理的有关规定执行。密码管理部门应当对计算机信息系统安全保护工作中密码配备、使用和管理的情况进行检查和测评,发现存在安全隐患、违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。