信息安全等级保护法律法规PPT课件.ppt

信息安全等级保护制度信息安全等级保护制度信息安全等级保护法律法规信息安全等级保护法律法规信息安全等级保护法律法规提提￿￿￿￿￿￿￿￿纲纲 前言前言一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件四、信息安全等级保护接着做什么四、信息安全等级保护接着做什么信息安全等级保护法律法规前言前言——什么是等保什么是等保￿￿《信息安全等级保护管理办法》指出　信息安全等级保护是以信息为核心的、根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素，对最核心的信息和信息系统划分为五个安全保护和监管等级，实行分级保护信息安全等级保护法律法规 实施信息安全等级保护，可以有效地提高我国信息安全建设的整体水平， 有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调； 有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督； 有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施； 有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。

前言前言————为什么实行等保为什么实行等保信息安全等级保护法律法规前言前言————为什么实行等保为什么实行等保 制度要求制度要求——法律法规法律法规信息安全等级保护法律法规一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系法规法规•行政法规行政法规————《《中华人民共和国计算机信息系统安全中华人民共和国计算机信息系统安全保护条例保护条例》》 1997 1997年国务院行政法规，规定计算机信息系统实行安全年国务院行政法规，规定计算机信息系统实行安全等级保护等级保护•地方法规地方法规————《《广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例》》 20072007年广东地方法规，系统规定了等级保护，并设置了年广东地方法规，系统规定了等级保护，并设置了法律责任法律责任信息安全等级保护法律法规一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系规范性文件规范性文件•国家国家———— 《《关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见》》 2004 2004年公安部、保密局、密码委、信息办联合发文，初步年公安部、保密局、密码委、信息办联合发文，初步规定了信息安全等级保护工作的指导思想、原则、要求规定了信息安全等级保护工作的指导思想、原则、要求 《《信息安全等级保护管理办法信息安全等级保护管理办法》》 2007 2007年公安部、保密局、密码委、信息办联合发文，系统年公安部、保密局、密码委、信息办联合发文，系统规定了信息安全等级保护制度规定了信息安全等级保护制度信息安全等级保护法律法规一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系《公安机关信息安全等级保护检查工作规范（试行）》 公安部十一局2008年颁发，规范监督检查工作的具体要求。

《信息安全等级保护备案工作实施细则 》公安部十一局2008年颁发信息安全等级保护法律法规一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系规范性文件规范性文件•地方地方———— 《《广东省公安厅关于计算机信息系统安全保护的实施办法广东省公安厅关于计算机信息系统安全保护的实施办法》》 2008 2008年广东省公安厅（经省政府法制办审查通过）发布年广东省公安厅（经省政府法制办审查通过）发布 《《关于贯彻关于贯彻< <广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例> >和和< <广东广东省公安厅关于计算机信息系统安全保护的实施办法省公安厅关于计算机信息系统安全保护的实施办法> >的通的通知知 》》 2008 2008年广东省公安厅网警总队印发年广东省公安厅网警总队印发《《广东省信息安全等级保护备案工作实施细则（试行）广东省信息安全等级保护备案工作实施细则（试行） 》》20082008年广东省公安厅网警总队印发年广东省公安厅网警总队印发信息安全等级保护法律法规标准标准•系统定级系统定级–《《信息系统安全保护等级定级指南信息系统安全保护等级定级指南》》（国家推荐性标准）（国家推荐性标准）•安全保护安全保护–《《信息系统安全等级保护基本要求信息系统安全等级保护基本要求》》（国家推荐性标准）（国家推荐性标准）–《《信息系统安全等级保护实施指南信息系统安全等级保护实施指南》》￿（国家推荐性标准）（国家推荐性标准）–《《信息系统安全等级保护安全设计技术要求信息系统安全等级保护安全设计技术要求》》￿（国家推荐（国家推荐性标准）性标准）•检测评估检测评估–《《信息系统安全等级保护基本要求信息系统安全等级保护基本要求》》￿（国家推荐性标准）（国家推荐性标准）–《《信息系统安全等级保护测评要求信息系统安全等级保护测评要求》》•监督检查监督检查–《《信息系统安全等级保护监督检查要求信息系统安全等级保护监督检查要求》》一、一、信息安全等级保护的制度体系信息安全等级保护的制度体系信息安全等级保护法律法规标准标准•《《计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则》》（（GB17859GB17859- -19991999））•《《信息安全技术信息安全技术 网络基础安全技术要求网络基础安全技术要求》》•《《信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求》》•《《信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求》》•《《信息安全技术信息安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求》》•《《信息安全技术信息安全技术 服务器技术要求服务器技术要求》》•《《信息安全技术信息安全技术 终端计算机系统安全等级技术要求终端计算机系统安全等级技术要求》》一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系信息安全等级保护法律法规原则原则来源：来源：《《关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见》》信息安全等级保护制度遵循以下基本原则：信息安全等级保护制度遵循以下基本原则：一是明确责任，共同保护一是明确责任，共同保护二是依照标准，自行保护二是依照标准，自行保护三是同步建设，动态调整三是同步建设，动态调整四是指导监督，保护重点四是指导监督，保护重点二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规•明确责任，共同保护明确责任，共同保护 通过等级保护，组织和动员职能部门、法人和其他组织、通过等级保护，组织和动员职能部门、法人和其他组织、公民共同参与信息安全保护工作；各方主体按照规范和标公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任准分别承担相应的、明确具体的信息安全保护责任。

二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规•依照标准，自行保护依照标准，自行保护 国家运用强制性的规范及标准，要求信息和信息系统按照国家运用强制性的规范及标准，要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护相应的建设和管理要求，自行定级、自行保护 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规•同步建设，动态调整同步建设，动态调整 信息系统在新建、改建、扩建时应当同步建设信息安全设信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应因信息和信息系施，保障信息安全与信息化建设相适应因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级等级保护准的要求，重新确定信息系统的安全保护等级等级保护的管理规范和技术标准应按照等级保护工作开展的实际情的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订况适时修订。

二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规•指导监督，重点保护指导监督，重点保护 国家指定信息安全监管职能部门通过备案、指导、检查、国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护督促整改等方式，对重要信息和信息系统的信息安全保护工作进行指导监督工作进行指导监督 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规主要内容主要内容来源：来源：《《信息安全等级保护管理办法信息安全等级保护管理办法》》国家通过制定统一的信息安全等级保护管理规范和技术标准，国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理护，对等级保护工作的实施进行监督、管理 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规职责分工职责分工 公安机关公安机关负责信息安全等级保护工作的监督、检查、负责信息安全等级保护工作的监督、检查、指导。

指导 国家保密工作部门国家保密工作部门负责等级保护工作中有关保密工作负责等级保护工作中有关保密工作的监督、检查、指导的监督、检查、指导 国家密码管理部门国家密码管理部门负责等级保护工作中有关密码工作负责等级保护工作中有关密码工作的监督、检查、指导的监督、检查、指导 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规 在信息安全等级保护工作中，涉及其他职能部门管在信息安全等级保护工作中，涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理进行管理 国务院信息化工作办公室及地方信息化领导小组办事国务院信息化工作办公室及地方信息化领导小组办事机构机构负责信息安全等级保护工作中部门间的协调负责信息安全等级保护工作中部门间的协调 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规我国信息安全监管部门信息安全等级保护法律法规￿￿￿￿￿￿￿￿￿￿信息系统的主管部门应当依照相关规范和标准督促、信息系统的主管部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

单位的信息安全等级保护工作 信息系统运营、使用单位应当按照等级保护的管理规信息系统运营、使用单位应当按照等级保护的管理规范和相关标准规范履行信息安全等级保护的义务和责任范和相关标准规范履行信息安全等级保护的义务和责任二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规 省公安厅、省国家保密局、省国家密码管理局、省信息省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小化领导小组办公室联合成立信息安全等级保护工作协调小组组各行业主管部门要成立行业信息安全等级保护工作小组各行业主管部门要成立行业信息安全等级保护工作小组各地级以上市参照成立相应工作机制各地级以上市参照成立相应工作机制重要信息系统运营使用单位成立信息安全等级保护工作组重要信息系统运营使用单位成立信息安全等级保护工作组 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规公安机关职责内容公安机关职责内容•指导信息系统运营使用单位及其主管部门确定系指导信息系统运营使用单位及其主管部门确定系统安全保护等级。

统安全保护等级•指导信息安全等级保护的建设、整改和管理指导信息安全等级保护的建设、整改和管理•接受信息系统安全保护等级的备案接受信息系统安全保护等级的备案•定期对受理备案的信息系统安全保护状况依法进定期对受理备案的信息系统安全保护状况依法进行监督、检查行监督、检查•对安全保护等级为第三级以上信息系统选择使用对安全保护等级为第三级以上信息系统选择使用信息安全产品的情况进行监督管理信息安全产品的情况进行监督管理•对信息安全等级保护检测评估服务机构的监督管对信息安全等级保护检测评估服务机构的监督管理 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求各个环节各个环节•组织开展调查摸底•合理确定保护等级•依法履行备案手续•开展安全建设整改•组织系统安全测评•加强日常测评自查•加强安全监督检查￿￿￿￿￿￿信息安全等级保护法律法规•组织开展调查摸底组织开展调查摸底 各信息系统主管部门、运营使用单位组织开展对所各信息系统主管部门、运营使用单位组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构以及系统建设规划业务类型、应用或服务范围、系统结构以及系统建设规划等基本情况，为开展信息安全等级保护工作打下基础等基本情况，为开展信息安全等级保护工作打下基础。

二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规•合理确定保护等级合理确定保护等级（信息化项目立项前）（信息化项目立项前） 来源和依据：来源和依据：《《信息安全等级保护管理办法信息安全等级保护管理办法》》、、《《广东省计算机信息系统安广东省计算机信息系统安全保护条例全保护条例》》，，《《信息安全等级保护实施指南信息安全等级保护实施指南》》、、《《信息系统安全等级保护信息系统安全等级保护定级指南定级指南》》 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规 定级标准定级标准：：计算机信息系统安全保护等级根据计算机计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统在国家安全、经济建设、社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、社会秩序、公共计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五级：因素确定，分为五级：￿￿￿￿￿二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规（（一一））计计算算机机信信息息系系统统受受到到破破坏坏后后，，可可能能对对公公民民、、法法人人和和其其他他组组织织的的合合法法权权益益造造成成损损害害，，但但不不损损害害国国家家安安全全、、社社会会秩秩序和公共利益的，序和公共利益的，为第一级为第一级；； 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规（（二二））计计算算机机信信息息系系统统受受到到破破坏坏后后，，可可能能对对公公民民、、法法人人和和其其他他组组织织的的合合法法权权益益产产生生严严重重损损害害，，或或者者可可能能对对社社会会秩秩序序和和公共利益造成损害，但不损害国家安全的公共利益造成损害，但不损害国家安全的，，为第二级；为第二级；￿￿￿￿￿二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规（（三三））计计算算机机信信息息系系统统受受到到破破坏坏后后，，可可能能对对社社会会秩秩序序和和公公共共利利益益造造成成严严重重损损害害，，或或者者可可能能对对国国家家安安全全造造成成损损害害的的，，为第三级为第三级；； 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规（（四四））计计算算机机信信息息系系统统受受到到破破坏坏后后，，可可能能对对社社会会秩秩序序和和公公共共利利益益造造成成特特别别严严重重损损害害，，或或者者可可能能对对国国家家安安全全造造成成严严重重损损害的，为害的，为第四级第四级；；（（五五））计计算算机机信信息息系系统统受受到到破破坏坏后后，，可可能能对对国国家家安安全全造造成成特特别严重损害的，为别严重损害的，为第五级。

第五级￿￿￿￿￿二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规定级程序：定级程序：信信息息系系统统运运营营、、使使用用单单位位应应当当依依照照相相关关规规定定和和标标准准和和行行业业指指导导意意见见确确定定信信息息系系统统的的安安全全保保护护等等级级有有主主管管部部门门的的，，应应当经主管部门审核批准当经主管部门审核批准跨跨省省或或者者全全国国统统一一联联网网运运行行的的信信息息系系统统可可以以由由主主管管部部门门统统一一确定安全保护等级确定安全保护等级对对拟拟确确定定为为第第四四级级以以上上信信息息系系统统的的，，运运营营、、使使用用单单位位或或者者主主管部门应当请国家信息安全保护等级专家评审委员会评审管部门应当请国家信息安全保护等级专家评审委员会评审 ￿￿￿￿￿二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规定级注意事项一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统小型个体、私营企业中的信息系统中小学中的信息系统二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。

例如小的局域网，非涉及秘密、敏感信息的办公系统等二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等四级信息系统：适用于重要领域、重要部门三级信息系统中的部分重要系统例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿￿￿￿￿￿￿￿￿在申报系统新建、改建、扩建立项时在申报系统新建、改建、扩建立项时须同时向立项审批部门提交定级报告须同时向立项审批部门提交定级报告二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规•依法履行备案手续依法履行备案手续 来源和依据：来源和依据：《《信息安全等级保护管理办法信息安全等级保护管理办法》》、、《《广东省计算机信息系统安广东省计算机信息系统安全保护条例全保护条例》》，广东省信息安全等级保护备案工作实施细则（试行），广东省信息安全等级保护备案工作实施细则（试行） 、《信信息安全等级保护备案实施细则息安全等级保护备案实施细则 》、《《信息安全等级保护实施指南信息安全等级保护实施指南》》二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规 ￿￿￿￿￿备案时限。

已运营（运行）的第二级以上信息系统，已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后应当在安全保护等级确定后3030日内，由其运营、使用单位日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续到所在地设区的市级以上公安机关办理备案手续 新建第二级以上信息系统，在通过信息化项目立项后，新建第二级以上信息系统，在通过信息化项目立项后，由其运营、使用单位在由其运营、使用单位在3030日内到所在地设区的市级以上公日内到所在地设区的市级以上公安机关办理备案手续安机关办理备案手续 ￿￿￿￿二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规 ￿￿￿补充备案补充备案第三级以上信息系统还应当在系统整改、测评第三级以上信息系统还应当在系统整改、测评完成后完成后3030日内补交日内补交《《备案表备案表》》表四及其有关材料表四及其有关材料 变更备案变更备案《《备案表备案表》》所载事项发生变更，备案单位应所载事项发生变更，备案单位应当自变更之日起当自变更之日起3030日内重新填写日内重新填写《《备案表备案表》》报公安机关网报公安机关网监部门备案。

其中，变更事项涉及监部门备案其中，变更事项涉及《《备案证明备案证明》》的，公机的，公机关网监部门应当重新颁布关网监部门应当重新颁布《《备案证明备案证明》》 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规 书面填写书面填写《《信息系统安全等级保护备案表信息系统安全等级保护备案表》》 一式两份可填一式两份可填WORDWORD文档，再打印输出，附上附件文档，再打印输出，附上附件利用备案工具填写利用备案工具填写涉密系统填写涉密系统填写《《涉及国家秘密的信息系统分级保护备案表涉及国家秘密的信息系统分级保护备案表》》，向，向保密部门备案保密部门备案备案表填写注意事项备案表填写注意事项信息安全等级保护法律法规 《《信息系统安全等级保护备案表信息系统安全等级保护备案表》》 WORD WORD文档和备案工具及文档和备案工具及其他相关材料可到其他相关材料可到《《广东网警广东网警》》网站网站信息安全等级保护栏目下载信息安全等级保护栏目下载备案表填写注意事项备案表填写注意事项信息安全等级保护法律法规《《信息系统安全等级保护备案表信息系统安全等级保护备案表》》补充说明补充说明 一、表一一、表一0404行政区划代码行政区划代码可到可到《《广东网警广东网警》》网站信息安全等级保护栏目下载网站信息安全等级保护栏目下载《《广东行广东行政区划代码政区划代码》》查询。

查询二、表一二、表一0808隶属关系隶属关系1 1．省直国家机关、省政府直属的企业、事业单位，国资委．省直国家机关、省政府直属的企业、事业单位，国资委管理的企业选管理的企业选““2 2省省( (自治区、直辖市自治区、直辖市)”)”2 2．省直部门下设的企业、事业单位选．省直部门下设的企业、事业单位选““9 9其他其他 ””，再在横线上注明是哪个部门下设的企业、事业单位再在横线上注明是哪个部门下设的企业、事业单位备案表填写注意事项备案表填写注意事项信息安全等级保护法律法规 三、表二三、表二0707关键产品使用情况的部分使用及使用率关键产品使用情况的部分使用及使用率使用率：软件按产品的种类来计，硬件按件数来计使用率：软件按产品的种类来计，硬件按件数来计四、表三四、表三0606是否有主管部门是否有主管部门1 1．企业、事业单位有主管部门的应履行相关报批手续，选．企业、事业单位有主管部门的应履行相关报批手续，选““有有””2 2．国家机关可选．国家机关可选““无无””，但在实际操作中可征求上级部门，但在实际操作中可征求上级部门意见；如本系统内部有规定明确要经上级部门审批的，意见；如本系统内部有规定明确要经上级部门审批的，应履行审批手续。

应履行审批手续 备案表填写注意事项备案表填写注意事项信息安全等级保护法律法规 管辖原则管辖原则 备案管辖分工采取级别管辖和属地管辖相结合备案管辖分工采取级别管辖和属地管辖相结合 中央在京单位隶属于中央的在京单位，其跨省或者全国统中央在京单位隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北京市公安局信息网络安全监察局受理备案，其他信息系统由北京市公安局公共信息网络安全监察部门受理备案公共信息网络安全监察部门受理备案 中央驻粤及省直国有单位隶属中央或省的驻穗国有单位的中央驻粤及省直国有单位隶属中央或省的驻穗国有单位的信息系统，信息系统，由省公安厅网警总队受理备案由省公安厅网警总队受理备案上述单位在各地运上述单位在各地运行、维护的分支系统由其在各地的分支机构报所在地地级以上行、维护的分支系统由其在各地的分支机构报所在地地级以上市公安机关网监部门备案市公安机关网监部门备案二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规办理信息系统安全保护等级备案手续时，应当填写办理信息系统安全保护等级备案手续时，应当填写《《信息系统安信息系统安全等级保护备案表全等级保护备案表》》，，第三级以上信息系统应当同时提供以第三级以上信息系统应当同时提供以下材料：下材料：（一）系统拓扑结构及说明；（一）系统拓扑结构及说明；（二）系统安全组织机构和管理制度；（二）系统安全组织机构和管理制度；（三）系统安全保护设施设计实施方案或者改建实施方案；（三）系统安全保护设施设计实施方案或者改建实施方案； （四）系统使用的信息安全产品清单及其认证、销售许可证明；（四）系统使用的信息安全产品清单及其认证、销售许可证明； （五）测评后符合系统安全保护等级的技术检测评估报告；（五）测评后符合系统安全保护等级的技术检测评估报告；（六）信息系统安全保护等级专家评审意见；（六）信息系统安全保护等级专家评审意见；（七）主管部门审核批准信息系统安全保护等级的意见。

七）主管部门审核批准信息系统安全保护等级的意见 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿￿￿备案申请备案申请 办理备案手续，应当到公安机关指定网址下载信息安全等办理备案手续，应当到公安机关指定网址下载信息安全等级保护备案软件，利用该软件填写生成级保护备案软件，利用该软件填写生成《《信息系统安全等级信息系统安全等级保护备案表保护备案表》》（简称（简称《《备案表备案表》》，下同）表一、表二、表三，下同）表一、表二、表三纸质纸质WORDWORD格式文档一式两份和电子数据（格式文档一式两份和电子数据（RARRAR格式），并准备格式），并准备好相关附件（一式两份），向公安机关网监部门提出备案申好相关附件（一式两份），向公安机关网监部门提出备案申请请二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规实质审查实质审查对于通过形式审查的单位，公安网监部门应当在对于通过形式审查的单位，公安网监部门应当在1010个工作日内对个工作日内对下列内容进行审查：下列内容进行审查：1 1．．《《备案表备案表》》项目填写是否完整，是否符合要求，纸质材料和电项目填写是否完整，是否符合要求，纸质材料和电子数据是否一致；子数据是否一致； 2 2．信息系统所定安全保护等级是否准确．信息系统所定安全保护等级是否准确。

二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规审查结论审查结论对符合要求的对符合要求的，，公安机关网监部门应当在公安机关网监部门应当在《《备案表备案表》》加盖公加盖公共信息网络安全监察专用章并将其中一份反馈备案单位，并共信息网络安全监察专用章并将其中一份反馈备案单位，并出具出具《《信息系统安全等级保护备案证明信息系统安全等级保护备案证明》》（以下简称（以下简称《《备案备案证明证明》》）《《备案证明备案证明》》由公安部统一监制由公安部统一监制对不符合要求的对不符合要求的，，公安网监部门应当出具公安网监部门应当出具《《信息系统安全信息系统安全等级保护备案审核结果通知等级保护备案审核结果通知》》，通知备案单位进行整改其，通知备案单位进行整改其中，对定级不准的备案单位，在通知整改的同时，应当建议中，对定级不准的备案单位，在通知整改的同时，应当建议备案单位重新定级七）主管部门审核批准信息系统安全备案单位重新定级七）主管部门审核批准信息系统安全保护等级的意见保护等级的意见 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿￿￿运营、使用单位或者其主管部门重新确定计算机信息系统等运营、使用单位或者其主管部门重新确定计算机信息系统等级的，应当按照本条例向公安机关重新备案级的，应当按照本条例向公安机关重新备案。

二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿￿￿法律责任法律责任 《《广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例》》规定，计算机信规定，计算机信息系统的运营、使用单位没有向地级市以上人民政府公安机息系统的运营、使用单位没有向地级市以上人民政府公安机关备案的，或者违反本条例第三十六条规定，接到公安机关关备案的，或者违反本条例第三十六条规定，接到公安机关要求整改的通知后拒不按要求整改的，由公安机关处以警告要求整改的通知后拒不按要求整改的，由公安机关处以警告或者停机整顿或者停机整顿 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规•开展安全建设整改开展安全建设整改 来源和依据：来源和依据：《《信息安全等级保护管理办法信息安全等级保护管理办法》》、、《《广东省计算机信息系统安广东省计算机信息系统安全保护条例全保护条例》》，，《《信息安全等级保护实施指南信息安全等级保护实施指南》》、、《《信息系统安全等级保护信息系统安全等级保护基本要求基本要求》》等等二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿￿￿￿￿运营、使用单位应当按照国家信息安全等级保护管理运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作统安全建设或者改建工作。

计算机信息系统规划、设计、建设和维护应当同计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施步落实相应的安全措施二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿￿￿￿在信息系统建设过程中，运营、使用单位应当按照在信息系统建设过程中，运营、使用单位应当按照《《计算计算机信息系统安全保护等级划分准则机信息系统安全保护等级划分准则》》（（GB17859-1999GB17859-1999）、）、《《信息系统安全等级保护基本要求信息系统安全等级保护基本要求》》等技术标准，参照等技术标准，参照《《信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求》》（（GB/T20271-2006GB/T20271-2006）、）、《《信息安全技术信息安全技术 网络基础安全技网络基础安全技术要求术要求》》（（GB/T20270-2006GB/T20270-2006）、）、《《信息安全技术信息安全技术 操作系操作系统安全技术要求统安全技术要求》》（（GB/T20272-2006GB/T20272-2006）、）、《《信息安全技术信息安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求》》（（GB/T20273-2006GB/T20273-2006）、）、《《信息安全技术信息安全技术 服务器技术要求服务器技术要求》》、、《《信息安全技术信息安全技术 终终端计算机系统安全等级技术要求端计算机系统安全等级技术要求》》（（GA/T671-2006GA/T671-2006）等技）等技术标准同步建设符合该等级要求的信息安全设施。

术标准同步建设符合该等级要求的信息安全设施二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿￿￿￿￿￿运营、使用单位应当参照运营、使用单位应当参照《《信息安全技术信息安全技术 信息系统安信息系统安全管理要求全管理要求》》（（GB/T20269-2006GB/T20269-2006）、）、《《信息安全技术信息安全技术 信息系统安全工程管理要求信息系统安全工程管理要求》》（（GB/T20282-2006GB/T20282-2006）、）、《《信息系统安全等级保护基本要求信息系统安全等级保护基本要求》》等管理规范，制定等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度并落实符合本系统安全保护等级要求的安全管理制度 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规通过委托等保测评机构进行测评、风险评估等方式分析整改需通过委托等保测评机构进行测评、风险评估等方式分析整改需求，或者委托等保技术支持单位、安全服务机构（须已参加安求，或者委托等保技术支持单位、安全服务机构（须已参加安全服务机构从业人员培训班并取得信息网络安全专业技术人员全服务机构从业人员培训班并取得信息网络安全专业技术人员继续教育证书）提供咨询等方式对照有关标准了解系统安全保继续教育证书）提供咨询等方式对照有关标准了解系统安全保护现状以及与相应等级保护要求的差距，分析整改需求。

护现状以及与相应等级保护要求的差距，分析整改需求制订安全整改方案制订安全整改方案落实安全整改技术措施和完善安全管理制度落实安全整改技术措施和完善安全管理制度已投入使用的系统已投入使用的系统信息安全等级保护法律法规在实施项目时，要同步设计、同步建设等级保护措在实施项目时，要同步设计、同步建设等级保护措施施对照相应等级的安全保护要求，制订安全建设方案对照相应等级的安全保护要求，制订安全建设方案落实安全技术措施和制订安全管理制度落实安全技术措施和制订安全管理制度新建系统新建系统信息安全等级保护法律法规•组织系统安全测评组织系统安全测评 来源和依据：来源和依据：《《信息安全等级保护管理办法信息安全等级保护管理办法》》、、《《广东省计算机信息系统安广东省计算机信息系统安全保护条例全保护条例》》、、《《广东省信息安全等级测评工作细则广东省信息安全等级测评工作细则》》，，《《信息安全等级保信息安全等级保护实施指南护实施指南》》、、《《信息系统安全等级保护测评准则信息系统安全等级保护测评准则》》等等二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规 信息系统建设完成后，二级以上信息系统建设完成后，二级以上的信息系统的的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评运营使用单位应当选择符合国家规定的测评机构进行测评（在系统试运行阶段）合格方可投入使用。

已投入运行信（在系统试运行阶段）合格方可投入使用已投入运行信息系统在完成系统整改后也应当进行测评经测评，信息息系统在完成系统整改后也应当进行测评经测评，信息系统安全状况未达到安全保护等级要求的，运营使用单位系统安全状况未达到安全保护等级要求的，运营使用单位应当制定方案进行整改应当制定方案进行整改 电子政务信息系统均应测评合格方可投入电子政务信息系统均应测评合格方可投入使用使用二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规 测评程序测评程序 计算机信息系统运营、使用单位委托安全测评机构测评，计算机信息系统运营、使用单位委托安全测评机构测评，应当提交下列资料：应当提交下列资料： （一）（一）安全测评委托书安全测评委托书；； （二）（二）计算机信息系统应用需求计算机信息系统应用需求、系统结构拓扑及说明、、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单案或者改建实施方案、系统软件硬件和信息安全产品清单。

二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规安全测评机构在收到委托材料后，应当与委托方协商制订安安全测评机构在收到委托材料后，应当与委托方协商制订安全测评计划，开展安全测评工作，并出具安全测评报告全测评计划，开展安全测评工作，并出具安全测评报告经测评，计算机信息系统安全状况未达到国家有关规定和标经测评，计算机信息系统安全状况未达到国家有关规定和标准的要求的，委托单位应当根据测评报告的建议，完善计准的要求的，委托单位应当根据测评报告的建议，完善计算机信息系统安全建设，并重新提出安全测评委托算机信息系统安全建设，并重新提出安全测评委托二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规测评机构对计算机信息系统进行使用前安全测评，应当预先测评机构对计算机信息系统进行使用前安全测评，应当预先报告地级以上市公安机关公共信息网络安全监察部门报告地级以上市公安机关公共信息网络安全监察部门安全测评报告由计算机信息系统运营、使用单位报地级以上安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门市公安机关公共信息网络安全监察部门。

还须报送还须报送《《信息系统安全等级保护备案信息系统安全等级保护备案》》表二，表四（三级表二，表四（三级以上系统，含三级）以上系统，含三级） 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规 法律责任法律责任 《《广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例》》规定，第二级规定，第二级以上计算机信息系统的运营、使用单位计算机信息系统投以上计算机信息系统的运营、使用单位计算机信息系统投入使用前未经符合国家规定的安全等级测评机构测评合格入使用前未经符合国家规定的安全等级测评机构测评合格的的 ，由公安机关责令限期改正，给予警告；，由公安机关责令限期改正，给予警告；逾期不改的，逾期不改的，对单位的主管人员、其他直接责任人员可以处五千元以下对单位的主管人员、其他直接责任人员可以处五千元以下罚款，对单位可以处一万五千元以下罚款罚款，对单位可以处一万五千元以下罚款有违法所得的，有违法所得的，没收违法所得；情节严重的，并给予六个月以内的停止联没收违法所得；情节严重的，并给予六个月以内的停止联网、停机整顿的处罚；必要时公安机关可以建议原许可机网、停机整顿的处罚；必要时公安机关可以建议原许可机构撤销许可或者取消联网资格。

构撤销许可或者取消联网资格二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规•加强日常测评自查加强日常测评自查 来源和依据：来源和依据：《《信息安全等级保护管理办法信息安全等级保护管理办法》》、、《《广东省计算机信息系统安广东省计算机信息系统安全保护条例全保护条例》》、、《《广东省信息安全等级测评工作细则广东省信息安全等级测评工作细则》》，，《《信息安全等级保信息安全等级保护实施指南护实施指南》》、、《《信息系统安全等级保护测评准则信息系统安全等级保护测评准则》》二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿计算机信息系统的运营、使用单位及其主管部门应当按照计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评，并对国家规定定期对计算机信息系统开展安全等级测评，并对计算机信息系统安全状况、安全管理制度及措施的落实情计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查况进行自查 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿￿￿￿￿￿￿计算机信息系统投入使用后，存在下列情形之一的，应当进行计算机信息系统投入使用后，存在下列情形之一的，应当进行安全自查，同时委托安全测评机构进行安全测评：安全自查，同时委托安全测评机构进行安全测评： （一）变更关键部件；（一）变更关键部件； （二）安全测评时间满一年；（二）安全测评时间满一年； （三）发生危害计算机信系统安全的案件或安全事故；（三）发生危害计算机信系统安全的案件或安全事故； （四）公安机关公共信息网络安全监察部门根据应急处置工作（四）公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评；的需要认为应当进行安全测评； （五）其他应当进行安全自查和安全测评的情形。

五）其他应当进行安全自查和安全测评的情形 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿￿￿￿￿￿第三级计算机信息系统应当每年至少进行一次安全自第三级计算机信息系统应当每年至少进行一次安全自查和安全测评，第四级计算机信息系统应当每半年至查和安全测评，第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评少进行一次安全自查和安全测评，第五级计算机信息，第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评系统应当依据特殊安全要求进行安全自查和安全测评 自查报告连同测评报告应当由计算机信息系统运营、自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监使用单位报地级以上市公安机关公共信息网络安全监察部门察部门 ￿￿￿二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿￿计算机信息系统安全状况经测评或者自查，未达到安全计算机信息系统安全状况经测评或者自查，未达到安全等级保护要求的，运营、使用单位应当进行整改等级保护要求的，运营、使用单位应当进行整改。

二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规•加强安全监督检查加强安全监督检查 来源和依据：来源和依据：《《信息安全等级保护管理办法信息安全等级保护管理办法》》、、《《广东省计算机信息系统安广东省计算机信息系统安全保护条例全保护条例》》，，《《公安机关信息安全等级保护检查工作规范（试行）公安机关信息安全等级保护检查工作规范（试行） 》》、、《《信息安全等级保护实施指南信息安全等级保护实施指南》》、、《《信息系统安全等级保护监督检查要求信息系统安全等级保护监督检查要求》》二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿总体要求总体要求 公安机关对第三级计算机信息系统每年至少检查一次，公安机关对第三级计算机信息系统每年至少检查一次，对第四级计算机信息系统每半年至少检查一次对第四级计算机信息系统每半年至少检查一次对第五级对第五级计算机信息系统，应当会同国家指定的专门部门进行检查计算机信息系统，应当会同国家指定的专门部门进行检查对其他计算机信息系统应当不定期开展检查对其他计算机信息系统应当不定期开展检查。

公安机关公共信息网络安全监察部门发现计算机信息系公安机关公共信息网络安全监察部门发现计算机信息系统的安全保护等级和安全措施不符合有关规定和技术标准，统的安全保护等级和安全措施不符合有关规定和技术标准，或者存在安全隐患的，应当通知运营、使用单位进行整改或者存在安全隐患的，应当通知运营、使用单位进行整改二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿检查方式检查方式 信息安全等级保护检查工作采取询问情况，查阅、核对信息安全等级保护检查工作采取询问情况，查阅、核对材料，调看记录、资料，现场查验等方式进行材料，调看记录、资料，现场查验等方式进行￿二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规检查的主要内容检查的主要内容：：（一）（一）等级保护工作组织开展、实施情况安全责任落实等级保护工作组织开展、实施情况安全责任落实情况，信息系统安全岗位和安全管理人员设置情况；情况，信息系统安全岗位和安全管理人员设置情况；（二）按照信息安全法律法规、标准规范的要求制定具体实（二）按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况；施方案和落实情况；（三）信息系统定级备案情况，信息系统变化及定级备案变（三）信息系统定级备案情况，信息系统变化及定级备案变动情况；动情况；（四）信息安全设施建设情况和信息安全整改情况；（四）信息安全设施建设情况和信息安全整改情况；二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规（五）（五）信息安全管理制度建设和落实情况；信息安全管理制度建设和落实情况；（六）信息安全保护技术措施建设和落实情况；（六）信息安全保护技术措施建设和落实情况；（七）选择使用信息安全产品情况；（七）选择使用信息安全产品情况；（八）聘请测评机构按规范要求开展技术测评工作情况，根据（八）聘请测评机构按规范要求开展技术测评工作情况，根据测评结果开展整改情况；测评结果开展整改情况；（九）自行定期开展自查情况；（九）自行定期开展自查情况；（十）开展信息安全知识和技能培训情况。

十）开展信息安全知识和技能培训情况 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规检查项目检查项目————等级保护工作部署和组织实施情况等级保护工作部署和组织实施情况1 1．下发开展信息安全等级保护工作的文件，出台有关工作意见．下发开展信息安全等级保护工作的文件，出台有关工作意见或方案，组织开展信息安全等级保护工作情况或方案，组织开展信息安全等级保护工作情况2 2．建立或明确安全管理机构，落实信息安全责任，落实安全管．建立或明确安全管理机构，落实信息安全责任，落实安全管理岗位和人员理岗位和人员3 3．依据国家信息安全法律法规、标准规范等要求制定具体信息．依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案安全工作规划或实施方案4 4．制定本行业、本部门信息安全等级保护行业标准规范并组织．制定本行业、本部门信息安全等级保护行业标准规范并组织实施二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规检查项目检查项目————信息系统安全等级保护定级备案情况信息系统安全等级保护定级备案情况1 1．了解未定级、备案信息系统情况以及第一级信息系统有关情况，．了解未定级、备案信息系统情况以及第一级信息系统有关情况，对定级不准的提出调整建议。

对定级不准的提出调整建议2 2．现场查看备案的信息系统，核对备案材料，备案单位提交的备．现场查看备案的信息系统，核对备案材料，备案单位提交的备案材料与实际情况相符合情况案材料与实际情况相符合情况3 3．补充提交．补充提交《《信息系统安全等级保护备案登记表信息系统安全等级保护备案登记表》》表四中有关备表四中有关备案材料4 4．信息系统所承载的业务、服务范围、安全需求等发生变化情况，．信息系统所承载的业务、服务范围、安全需求等发生变化情况，以及信息系统安全保护等级变更情况以及信息系统安全保护等级变更情况5 5．新建信息系统在规划、设计阶段确定安全保护等级并备案情况．新建信息系统在规划、设计阶段确定安全保护等级并备案情况二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规检查项目检查项目————信息安全设施建设情况和信息安全整改情况信息安全设施建设情况和信息安全整改情况1 1．部署和组织开展信息安全建设整改工作．部署和组织开展信息安全建设整改工作2 2．制定信息安全建设规划、信息系统安全建设整改方案．制定信息安全建设规划、信息系统安全建设整改方案3 3．按照国家标准或行业标准建设安全设施，落实安全措施。

．按照国家标准或行业标准建设安全设施，落实安全措施二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规检查项目检查项目————信息安全管理制度建立和落实情况信息安全管理制度建立和落实情况1 1．建立基本安全管理制度，包括机房安全管理、网络安全管理、．建立基本安全管理制度，包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度据及信息安全管理、用户管理、备份与恢复、密码管理等制度2 2．建立安全责任制，系统管理员、网络管理员、安全管理员、安．建立安全责任制，系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书全审计员是否与本单位签订信息安全责任书3 3．建立安全审计管理制度、岗位和人员管理制度．建立安全审计管理制度、岗位和人员管理制度4 4．建立技术测评管理制度，信息安全产品采购、使用管理制度．建立技术测评管理制度，信息安全产品采购、使用管理制度5 5．建立安全事件报告和处置管理制度，制定信息系统安全应急处．建立安全事件报告和处置管理制度，制定信息系统安全应急处置预案，定期组织开展应急处置演练。

置预案，定期组织开展应急处置演练6 6．建立教育培训制度，定期开展信息安全知识和技能培训．建立教育培训制度，定期开展信息安全知识和技能培训￿二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规检查项目检查项目————信息安全产品选择和使用情况信息安全产品选择和使用情况1 1．按照．按照《《管理办法管理办法》》要求的条件选择使用信息安全产品要求的条件选择使用信息安全产品2 2．要求产品研制、生产单位提供相关材料包括营业执照，产品．要求产品研制、生产单位提供相关材料包括营业执照，产品的版权或专利证书，提供的声明、证明材料，计算机信息系统的版权或专利证书，提供的声明、证明材料，计算机信息系统安全专用产品销售许可证等安全专用产品销售许可证等3 3．采用国外信息安全产品的，经主管部门批准，并请有关单位对．采用国外信息安全产品的，经主管部门批准，并请有关单位对产品进行专门技术检测产品进行专门技术检测二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规检查项目检查项目————聘请测评机构开展技术测评工作情况聘请测评机构开展技术测评工作情况1 1．按照．按照《《管理办法管理办法》》的要求部署开展技术测评工作。

对第三级信的要求部署开展技术测评工作对第三级信息系统每年开展一次技术测评，对第四级信息系统每半年开展息系统每年开展一次技术测评，对第四级信息系统每半年开展一次技术测评一次技术测评2 2．按照．按照《《管理办法管理办法》》规定的条件选择技术测评机构规定的条件选择技术测评机构3 3．要求技术测评机构提供相关材料包括营业执照、声明、证明．要求技术测评机构提供相关材料包括营业执照、声明、证明及资质材料等及资质材料等 4 4．与测评机构签订保密协议．与测评机构签订保密协议二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿检查程序检查程序 公安机关开展检查前，应当提前通知被检查单位，并公安机关开展检查前，应当提前通知被检查单位，并发送发送《《信息安全等级保护监督检查通知书信息安全等级保护监督检查通知书》》 检查时，检查民警不得少于两人，并应当向被检查检查时，检查民警不得少于两人，并应当向被检查单位负责人或其他有关人员出示工作证件单位负责人或其他有关人员出示工作证件 检查中应当填写检查中应当填写《《信息系统安全等级保护监督检查信息系统安全等级保护监督检查记录记录》》（以下简称（以下简称《《监督检查记录监督检查记录》》）。

检查完毕后，）检查完毕后，《《监督检查记录监督检查记录》》应当交被检查单位主管人员阅后签应当交被检查单位主管人员阅后签字；对记录有异议或者拒绝签名的，监督、检查人员字；对记录有异议或者拒绝签名的，监督、检查人员应当注明情况应当注明情况《《监督检查记录监督检查记录》》应当存档备查应当存档备查 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿整改程序整改程序 检查时，发现不符合信息安全等级保护有关管理规范和技检查时，发现不符合信息安全等级保护有关管理规范和技术标准要求，具有下列情形之一的，应当通知其运营使用单位术标准要求，具有下列情形之一的，应当通知其运营使用单位限期整改，并发送限期整改，并发送《《信息系统安全等级保护限期整改通知书信息系统安全等级保护限期整改通知书》》（以下简称（以下简称《《整改通知整改通知》》，见附件，见附件3 3）逾期不改正的，给予）逾期不改正的，给予警告，并向其上级主管部门通报（通报书见附件警告，并向其上级主管部门通报（通报书见附件4 4）：）： （一）未按照（一）未按照《《管理办法管理办法》》开展信息系统定级工作的；开展信息系统定级工作的； （二）信息系统安全保护等级定级不准确的；（二）信息系统安全保护等级定级不准确的； （三）未按（三）未按《《管理办法管理办法》》规定备案的；规定备案的； （四）备案材料与备案单位、备案系统不符合的；（四）备案材料与备案单位、备案系统不符合的；二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规（（五）未按要求及时提交五）未按要求及时提交《《信息系统安全等级保护备案登记表信息系统安全等级保护备案登记表》》表四的有关内容的；表四的有关内容的；（六）系统发生变化，安全保护等级未及时进行调整并重新备案（六）系统发生变化，安全保护等级未及时进行调整并重新备案的；的； （七）未按（七）未按《《管理办法管理办法》》规定落实安全管理制度、技术措施的；规定落实安全管理制度、技术措施的；（八）未按（八）未按《《管理办法管理办法》》规定开展安全建设整改和安全技术测评规定开展安全建设整改和安全技术测评的；的；（九）未按（九）未按《《管理办法管理办法》》规定选择使用信息安全产品和测评机构规定选择使用信息安全产品和测评机构的；的；（十）未定期开展自查的；（十）未定期开展自查的；（十一）违反（十一）违反《《管理办法管理办法》》其他规定的。

其他规定的二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿￿检查发现需要限期整改的，应当出具检查发现需要限期整改的，应当出具《《整改通知整改通知》》，自检查完，自检查完毕之日起毕之日起1010个工作日内送达被检查单位个工作日内送达被检查单位 信息系统运营使用单位整改完成后，应当将整改情况报公安机信息系统运营使用单位整改完成后，应当将整改情况报公安机关，公安机关应当对整改情况进行检查关，公安机关应当对整改情况进行检查 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿法律责任法律责任 《《广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例》》规定，规定，计算机信息系统的运营、使用单位接到公安机计算机信息系统的运营、使用单位接到公安机关要求整改的通知后拒不按要求整改的，关要求整改的通知后拒不按要求整改的，由公由公安机关处以警告或者停机整顿安机关处以警告或者停机整顿 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规关键环节关键环节 定级定级- -备案备案- -需求分析需求分析————安全建设整改安全建设整改- -测测评评信息安全等级保护法律法规信息安全等级保护法律法规应急处置应急处置 来源和依据：来源和依据：《《广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例》》、、《《广东省公安厅关广东省公安厅关于计算机信息系统安全保护的实施办法于计算机信息系统安全保护的实施办法》》。

二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规联防机制联防机制公安机关公共信息网络安全监察部门与所在地安全公安机关公共信息网络安全监察部门与所在地安全服务机构、互联网运营单位和其他计算机信息系服务机构、互联网运营单位和其他计算机信息系统运营、使用单位应当建立联防机制，依法及时统运营、使用单位应当建立联防机制，依法及时查处通过计算机信息系统进行的违法犯罪行为，查处通过计算机信息系统进行的违法犯罪行为，组织处置重大突发事件组织处置重大突发事件情况报告情况报告 对计算机信息系统中发生的案件和重大安全事对计算机信息系统中发生的案件和重大安全事故，计算机信息系统的运营、使用单位应当在二故，计算机信息系统的运营、使用单位应当在二十四小时内报告县级以上人民政府公安机关公共十四小时内报告县级以上人民政府公安机关公共信息网络安全监察部门，并保留有关原始记录信息网络安全监察部门，并保留有关原始记录二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规预案制订和演练预案制订和演练 第二级以上的计算机信息系统运营、使用单位应当制第二级以上的计算机信息系统运营、使用单位应当制定重大突发事件应急处置预案并定期实施演练。

定重大突发事件应急处置预案并定期实施演练应急调度应急调度 计算机信息系统发生重大突发事件，有关单位应当按计算机信息系统发生重大突发事件，有关单位应当按照应急处置预案的要求采取相应的处置措施，并服从公安照应急处置预案的要求采取相应的处置措施，并服从公安机关和国家指定的专门部门的调度机关和国家指定的专门部门的调度应急措施应急措施 地级市以上人民政府公安机关公共信息网络安全监察地级市以上人民政府公安机关公共信息网络安全监察部门经本机关主管领导批准，为保护计算机信息系统安全，部门经本机关主管领导批准，为保护计算机信息系统安全，在发生重大突发事件，危及国家安全、公共安全及社会稳在发生重大突发事件，危及国家安全、公共安全及社会稳定的紧急情况下，可以采取二十四小时内暂时停机、暂停定的紧急情况下，可以采取二十四小时内暂时停机、暂停联网、备份数据等措施联网、备份数据等措施 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规￿￿￿￿法律责任法律责任 《《广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例》》规定，第二级以规定，第二级以上计算机信息系统的运营、使用单位在重大突发事件应急上计算机信息系统的运营、使用单位在重大突发事件应急处置中不服从公安机关和国家指定的专门部门调度的，由处置中不服从公安机关和国家指定的专门部门调度的，由公安机关责令限期改正，给予警告；逾期不改的，对单位公安机关责令限期改正，给予警告；逾期不改的，对单位的主管人员、其他直接责任人员可以处五千元以下罚款，的主管人员、其他直接责任人员可以处五千元以下罚款，对单位可以处一万五千元以下罚款。

有违法所得的，没收对单位可以处一万五千元以下罚款有违法所得的，没收违法所得；情节严重的，并给予六个月以内的停止联网、违法所得；情节严重的，并给予六个月以内的停止联网、停机整顿的处罚；必要时公安机关可以建议原许可机构撤停机整顿的处罚；必要时公安机关可以建议原许可机构撤销许可或者取消联网资格销许可或者取消联网资格二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求信息安全等级保护法律法规安全专用产品安全专用产品安全服务机构安全服务机构安全培训安全培训测评机构测评机构三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规安全专用产品来源和依据：《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《信息安全等级保护管理办法》《广东省计算机信息系统安全保护条例》、《广东省公安厅关于计算机信息系统安全保护的实施办法》、《广东省安全专用产品备案工作管理办法 》三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规含义：是指用于保护计算机信息系统安全的专用硬件和软件产品 三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规销售许可证 •生产单位应当在产品投入市场前，申请检测机构安全功能检测和认定 •检测后，向公安部申领销售许可证 •销售许可证只对所申请销售的安全专用产品有效 •已取得销售许可证的安全专用产品，在固定位置标明“销售许可”标记 •销售许可证自批准之日起两年内有效 三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规重要系统使用的产品安全保护等级为第三级以上的计算机信息系统应当选用符合下列条件的安全专用产品：（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；（二）产品的核心技术、关键部件具有我国自主知识产权；（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录； （四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；（五）对国家安全、社会秩序、公共利益不构成危害。

三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规符合规定的安全专用产品和生产单位应当到省公安厅公共信息网络安全监察部门备案省公安厅公共信息网络安全监察部门对备案的产品进行公布三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规安全服务机构来源和依据：《广东省计算机信息系统安全保护条例》、《广东省公安厅关于计算机信息系统安全保护的实施办法》、《广东省计算机信息系统安全服务管理办法 》含义：指从事计算机信息系统（包括计算机机房）安全设计、建设、检测、维护、监理等业务的机构安全服务管理制度公安机关对从事安全服务的机构实施行政指导，安全服务机构可自愿申请持有广东省公安厅网监部门核发的《广东省计算机信息系统安全服务等级证》三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规安全服务等级的申请条件具有相应经营范围的营业执照具有相应注册资本，财务状况良好  具有相应的工程业绩    具有相应的专业技术人员、经营管理人员、技术负责人员具有相应的软件及系统开发环境、设备和技术开发能力  具有相应的组织管理制度、质量保证体系和客户服务体系 具有对员工进行新知识、新技术培训的计划  无触犯计算机信息系统安全保护等有关法律法规的行为不同的等级的申请条件不同三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规安全服务等级的申请•向地级以上市公安机关网监部门提出申请•地级以上市公安机关网监部门自接到申请材料之日起15日内进行初审，初审合格的，报送省公安厅网监部门核准•省公安厅网监部门15日内作出核准结论•持国家工商行政管理总局或省工商行政管理局核发的营业执照以及申请一级安全服务的机构，直接向省公安厅网监部门提出申请三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规年审安全服务等级证书实行年审制度。

年审结论分为合格、降级、取消三种安全服务机构在年审前应当进行自查 换证证书有效期为4年，安全服务机构应当在期满前60日内提交换证申请材料换证程序与证书申请程序相同期满不换证的，证书作废变更  证书登记事项发生变更的，应在30日内到地级以上市公安机关办理变更手续 三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规晋级安全服务机构在取得资质证书一年后，达到较高一级条件的，可申请晋升等级，办理程序与初次申请相同 降级安全服务机构情况发生变更，不符合原等级条件的，应当予以降级 三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规作用作用：服务范围注有等保技术支撑或者其工作人员参加过安全：服务范围注有等保技术支撑或者其工作人员参加过安全服务机构培训班的可为信息系统运营使用单位提供安全咨询、服务机构培训班的可为信息系统运营使用单位提供安全咨询、需求分析、安全整改、安全维护等服务需求分析、安全整改、安全维护等服务三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规安全培训：来源和依据：公安部、人事部《关于开展信息网络安全专业技术人员继续教育工作的通知 》， 《广东省计算机信息系统安全保护条例》、《广东省公安厅关于计算机信息系统安全保护的实施办法》。

含义：对从事信息安全保护工作的人员进行培训三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规培训范围：（一）计算机信息系统运营、使用单位信息安全管理责任人、信息审查员；（二）互联网接入服务、数据中心服务、信息服务、上网服务提供单位安全管理员、专业技术人员；（三）安全专用产品生产单位专业技术人员；（四）安全服务机构专业技术人员、安全服务管理人员；（五）其他从事计算机信息系统安全保护工作的人员三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规继续教育的组织信息网络安全专业技术人员继续教育和考试由省信息网络安全专业技术人员继续教育工作领导小组办公室（原称省计算机安全培训考试办公室）授权的施教机构负责组织安全培训考试点实行统筹规划，总量控制安全培训、考试和发证信息网络安全专业技术人员继续教育和考试按照有关规定进行，实行统一教学大纲，统一教材，统一考试，统一发证 考试合格的，由省信息网络安全专业技术人员继续教育工作领导小组办公室发给《信息网络安全专业技术人员继续教育证书》 三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规 来源和依据：《信息安全等级保护管理办法》、《信息安全等级保护测评工作管理规范》。

三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件信息安全等级保护法律法规 由省等保办统一受理省内等级测评机构申请和初审，由省等保办统一受理省内等级测评机构申请和初审，在全国信息安全等级保护评估中心能力评估通过后，组织专在全国信息安全等级保护评估中心能力评估通过后，组织专家进行审核，向通过审核的单位颁发推荐证书并向社会公布家进行审核，向通过审核的单位颁发推荐证书并向社会公布目录 可提供各类测评服务、安全整改方案制订，但不得实施可提供各类测评服务、安全整改方案制订，但不得实施安全整改、安全集成、安全产品销售，不得将测评服务再次安全整改、安全集成、安全产品销售，不得将测评服务再次外包 信息安全等级保护法律法规广东省等级测评机构名单列表广东省等级测评机构名单列表序号序号机构名称机构名称证书号码证书号码联系人联系人联系联系1 1广州竞远系统网络技术有广州竞远系统网络技术有限公司限公司（粤）（粤）-001-001梁承东梁承东2 2中国赛宝实验室（工业和中国赛宝实验室（工业和信息化部电子第五研究所）信息化部电子第五研究所）（粤）（粤）-002-002张昊张昊3 3广州华南信息安全测评中广州华南信息安全测评中心心（粤）（粤）-003-003马泽灶马泽灶4 4深圳市信息安全测评中心深圳市信息安全测评中心（粤）（粤）-004-004邱建中邱建中5 5深圳市网安计算机安全检深圳市网安计算机安全检测技术有限公司测技术有限公司（粤）（粤）-005-005周涛周涛信息安全等级保护法律法规 相关重点文件相关重点文件相关重点文件相关重点文件省四部门省四部门省四部门省四部门2009200920092009年正式印发年正式印发年正式印发年正式印发《《《《广东省深化信息安全等级保护工作意见广东省深化信息安全等级保护工作意见广东省深化信息安全等级保护工作意见广东省深化信息安全等级保护工作意见》》》》省信息安全等级保护协调小组办公室省信息安全等级保护协调小组办公室省信息安全等级保护协调小组办公室省信息安全等级保护协调小组办公室2010201020102010年年年年7 7 7 7月月月月30303030日发出日发出日发出日发出《《《《关于进一关于进一关于进一关于进一步深化信息安全等级保护工作的通知步深化信息安全等级保护工作的通知步深化信息安全等级保护工作的通知步深化信息安全等级保护工作的通知》》》》省信息安全等级保护协调小组办公室省信息安全等级保护协调小组办公室省信息安全等级保护协调小组办公室省信息安全等级保护协调小组办公室2010201020102010年年年年9 9 9 9月月月月19191919日发出日发出日发出日发出《《《《关于开展关于开展关于开展关于开展我省信息安全等级保护专项监督检查工作的通知我省信息安全等级保护专项监督检查工作的通知我省信息安全等级保护专项监督检查工作的通知我省信息安全等级保护专项监督检查工作的通知》》》》省公安厅网警总队省公安厅网警总队省公安厅网警总队省公安厅网警总队2011201120112011年年年年2 2 2 2月月月月15151515日发出日发出日发出日发出《《《《关于继续深化我省信息安全关于继续深化我省信息安全关于继续深化我省信息安全关于继续深化我省信息安全等级保护工作的通知等级保护工作的通知等级保护工作的通知等级保护工作的通知》》》》四、信息安全等级保护接着做什么四、信息安全等级保护接着做什么信息安全等级保护法律法规四、信息安全等级保护接着做什么四、信息安全等级保护接着做什么全面完成定级备案全面完成定级备案年底前，全省所有信息系统均要完成定级备案工作。

年底前，全省所有信息系统均要完成定级备案工作 信息安全等级保护法律法规四、信息安全等级保护接着做什么四、信息安全等级保护接着做什么•进一步清理本单位信息系统进一步清理本单位信息系统进一步清理本单位信息系统进一步清理本单位信息系统•看是否有否未定级看是否有否未定级看是否有否未定级看是否有否未定级•所定的级别是否准确所定的级别是否准确所定的级别是否准确所定的级别是否准确信息安全等级保护法律法规定级偏低百害而无一利定级偏低百害而无一利定级偏低百害而无一利定级偏低百害而无一利•上级领导的重视程度自然减弱上级领导的重视程度自然减弱上级领导的重视程度自然减弱上级领导的重视程度自然减弱•经费保障也不到位经费保障也不到位经费保障也不到位经费保障也不到位•出了安全问题承担责任出了安全问题承担责任出了安全问题承担责任出了安全问题承担责任 四、信息安全等级保护接着做什么四、信息安全等级保护接着做什么信息安全等级保护法律法规四、信息安全等级保护接着做什么四、信息安全等级保护接着做什么开展等级测评开展等级测评 年底前，所有已备案系统要至少完成年底前，所有已备案系统要至少完成1 1次次等级测评工作。

其中，等级测评工作其中，6 6月底前，三级以上系统要月底前，三级以上系统要完成第一次系统年度测评，并将测评报告报公安完成第一次系统年度测评，并将测评报告报公安网监部门备案网监部门备案1010月底前，四级信息系统要完成月底前，四级信息系统要完成第二次系统年度测评和测评报告备案工作第二次系统年度测评和测评报告备案工作 信息安全等级保护法律法规四、信息安全等级保护接着做什么四、信息安全等级保护接着做什么加快建设整改加快建设整改 以三级以上信息系统为重点制订安全建设以三级以上信息系统为重点制订安全建设和整改方案年底前，全省所有三级以上系统要和整改方案年底前，全省所有三级以上系统要全部完成整改工作系统建设和整改方案要及时全部完成整改工作系统建设和整改方案要及时报公安网安部门备案报公安网安部门备案 信息安全等级保护法律法规四、信息安全等级保护接着做什么四、信息安全等级保护接着做什么加强宣传教育加强宣传教育年内编辑信息安全事故（案例）汇编，年内编辑信息安全事故（案例）汇编，开展警示教育，请各有关单位加强对本开展警示教育，请各有关单位加强对本单位、本系统发生的信息安全事故（案单位、本系统发生的信息安全事故（案例）的收集。

例）的收集 信息安全等级保护法律法规落实等保经费保障落实等保经费保障国家发展和改革委员会、公安部、保密局国家发展和改革委员会、公安部、保密局国家发展和改革委员会、公安部、保密局国家发展和改革委员会、公安部、保密局联合发出联合发出联合发出联合发出《《《《关于加强国家电子政务工程建关于加强国家电子政务工程建关于加强国家电子政务工程建关于加强国家电子政务工程建设项目信息安全风险评估工作的通知设项目信息安全风险评估工作的通知设项目信息安全风险评估工作的通知设项目信息安全风险评估工作的通知》》》》省发改委、公安厅、保密局省发改委、公安厅、保密局省发改委、公安厅、保密局省发改委、公安厅、保密局2009200920092009年年年年12121212月月月月8 8 8 8日日日日《《《《转发关于加强国家电子政务工程建设转发关于加强国家电子政务工程建设转发关于加强国家电子政务工程建设转发关于加强国家电子政务工程建设项目信息安全风险评估工作的通知项目信息安全风险评估工作的通知项目信息安全风险评估工作的通知项目信息安全风险评估工作的通知》》》》四、信息安全等级保护接着做什么四、信息安全等级保护接着做什么信息安全等级保护法律法规谢谢大家！信息安全等级保护法律法规信息安全等级保护法律法规。