发往：签发：

信息安全等级保护工作实施细则

第一章总则

第一条信息安全等级保护制度是国家在国民经济和

社会信息化的发展过程中，提高信息安全保障能力和水平，维护、

社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。为加

强本局信息安全等级保护工作，规范信息安全等级保护安全管理，促进各职能

部门之间的分工与协调合作，提高信息安全保障能力和水平，制定本实施细则。

第二条信息安全等级保护，是指对国家秘密信息及公民、法人和其他组织

的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行

安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中

发生的信息安全事件分等级响应、处置。

第三条本实施细则所指的重要信息系统，是指包括本局公共服务网络与管理信息系统。

第四条信息系统运营、使用单位是指信息系统的所有者或信息系统所承载

业务的主管单位，且对该信息系统的安全运行负主要责任的县区分局。本实施

细则适用于新建和已建的所有信息系统。

第五条本局内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负责的原则，对其信息系统分等级进行保护，履行信息安全等级保护职责。

第六条信息系统安全保护等级分为五级：

（一）第一级为自主保护级，信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。

（二）第二级为指导保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时，相关职能部门可以对其信息安全等级保护工作进行指导。

（三）第三级为监督保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。

（四）第四级为强制保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。

第七条市局成立信息安全等级保护领导小组，负责市局信息安

全等级保护工作的整体协调和指导。市局信息安全等级保护领导小组下设办公室负责：

（一）对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查；

（二）对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导；（三）传达市信息安全等级保护领导小组工作指示，制定、下发

相关文件；

（四）推动制定市局信息安全等级保护相关法律法规和技术标准

的细化；

（五）汇总有关信息安全等级保护工作的信息，并报市信息安全等级保护领导小组审核后上报、市和；

（六）研究制定市局信息安全等级保护工作规划，编制信息安全等级保护工作简报。

第二章工作流程

第各县区分局主管为信息系统安全等级保护工作第一

责任人，负责本单位信息安全等级保护工作的组织实施，为开展信息安全等级保护工作提供必要的条件。

第九条信息系统运营、使用单位应当按照相关法律法规和技术

标准的要求，评估和分析本单位信息系统安全状况，确定信息系统的安全保护等级。

属于重要信息系统的，运营使用单位及其主管部门在确定信息系统的安全保护等级时，应请市局信息安全保护等级专家评审委员会给予咨询评审。

第十条信息系统运营、使用单位变更本单位信息系统的安全等级，需进行重新备案。

第十一条信息系统的运营、使用单位应当根据已确定的安全保

护等级，按照等级保护相关法律法规和技术标准，使用经过相关部门认可的安全产品，进行信息系统建设。

第十二条信息系统运营、使用单位及其主管部门按照等级保护

相关法律法规和技术标准，对已完成安全等级保护建设的信息系统进行自行评估，发现问题及时整改，加强自我保护。

第十三条三级以上（含三级）的信息系统建设完成后，其运营、使用单位及其主管部门应选择具有相关资质和认可的信息安全测评

单位进行安全检测和评估后，方可投入使用。

第十四条信息系统安全等级保护测评的单位，需按照相关技术

标准进行安全测评后，为信息系统运营、使用单位出具信息安全测评报告，并提出相应整改意见。

信息系统安全等级保护测评单位应当遵守国家有关法律法规和

技术标准规定，保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，提供安全、客观、公正的检测服务。

第十五条安全保护等级在三级以上（含三级）的信息系统，运营、使用单位应当自系统投入运行之日起30 日内，到属地、保卫关系所属机关进行信息系统安全等级备案。

第十六条信息系统的备案事项发生变更时，信息系统运营、使

用单位或其主管部门应当自变更之日起30 日内按本实施细则中第二十条规定将变更情况报原备案机关。

第十七条备案事项发生变更，信息系统的结构、处理流程等关

键部分发生重大变更的应当及时重新定级，并出具相应等级的测评报告。

第三章信息安全等级保护职责

第十信息系统的运营、使用单位应当履行下列安全等级保

护职责：

（一）落实主管负责人和主管机构，并配备具有相应资格的工作人员；

（二）建立健全安全等级保护管理制度；

（三）落实安全等级保护技术标准要求；

（四）建立信息安全事件分等级应急响应、处置制度，制定安全

事件应急预案，并定期进行演练；

（五）定期进行安全状况检测和评估；

（六）其他应当履行的安全等级保护职责。

第十九条安全保护等级为三、四级的运营、使用单位信息系统

需进行重点安全事件监控，并纳入本局信息安全应急处置体系中，根据信息安全事件所造成的破坏程度以及涉及的范围，确定事件等级，

对不同等级事件分等级进行响应和处置。

第二十条安全保护等级为三、四级的信息系统，发生信息系统

安全事件后，其运营、使用单位应当迅速采取措施降低损害程度，防

止事件扩大，保存相关记录，并按要求及时向机关报告。

第二十一条信息系统运营、使用单位应当依据信息系统安全等

级保护管理要求，对信息系统和信息数据进行容灾、备份。

第二十二条第五级信息系统适用于涉及、社会秩序和

公共利益的重要信息系统的核心子系统，其运营、使用单位应当依据国家管理规范和技术标准进行保护，由国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、管理、指导。

其他处罚有不同意见的可参照法定程序。

2007年9月6日下载本文