北京市信息安全等级保护办公室.docx
《北京市信息安全等级保护办公室.docx》由会员分享,可在线阅读,更多相关《北京市信息安全等级保护办公室.docx(7页珍藏版)》请在冰豆网上搜索。
北京市信息安全等级保护办公室
北京市信息安全等级保护办公室
关于印发《北京市信息安全等级保护工作
实施细则》的通知
北京市网络与信息安全协调小组各成员单位、北京市公安局局属各单位,各区县信息化工作部门,各区县国家保密局,各区县密码工作领导小组办公室:
为进一步贯彻落实公安部、国务院信息化工作办公室等四部门《信息安全等级保护管理办法(试行)》(公通字[2006]7号)和《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)精神,在全市范围内落实信息安全等级保护工作,按照《市公安局、市信息办、市国家保密局、市国家密码办关于开展信息安全等级保护工作的通知》(京公网监字[2006]208号)规定,推动首都信息安全等级保护工作顺利开展,保障和促进首都信息化建设,市信息安全等级保护办公室结合相关法律法规和文件的工作要求,制定了《北京市信息安全等级保护工作实施细则》,现印发给你们,请认真遵照执行。
二〇〇六年七月六日
北京市信息安全等级保护
工作实施细则
第一条信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
为加强本市信息安全等级保护工作,规范信息安全等级保护安全管理,促进各职能部门之间的分工与协调合作,提高首都信息安全保障能力和水平,根据《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)、《市公安局、市信息办、市国家保密局、市国家密码办关于开展信息安全等级保护工作的通知》(京公网监字[2006]208号)和相关法律法规,结合本市实际情况,制定本实施细则。
第二条信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
第三条本市行政区域内的所有计算机信息系统适用于本实施细则。
本实施细则所称的重要信息系统,是指包括本市公共服务网络与信息系统在内的,各级国家事务处理信息系统(党政机关办公系统);各级财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系国计民生的信息系统;各级教育、国家科研等单位的信息系统;各级公共通信、广播电视传输等基础信息网络中的信息系统;互联网管理中心、重要网站和网络节点的信息系统和其他领域的信息系统。
第四条本市行政区域内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负责的原则,对其信息系统分等级进行保护,履行信息安全等级保护职责。
第五条信息系统安全保护等级分为五级:
(一)第一级为自主保护级,信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。
(二)第二级为指导保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。
必要时,相关职能部门可以对其信息安全等级保护工作进行指导。
(三)第三级为监督保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。
(四)第四级为强制保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。
(五)第五级为专控保护级,由国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、管理、指导。
第六条北京市成立信息安全等级保护领导小组,负责北京市信息安全等级保护工作的整体协调和指导,并由市公安局牵头联合市信息办、市国家保密局、市国家密码管理委员会办公室共同开展此项工作。
北京市信息安全等级保护领导小组下设办公室具体负责:
(一)对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查;
(二)对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导;
(三)传达市信息安全等级保护领导小组工作指示,制定、下发相关文件;
(四)推动制定北京市信息安全等级保护相关法律法规和技术标准的细化;
(五)汇总有关信息安全等级保护工作的信息,并报市信息安全等级保护小组审核后上报市委、市政府和公安部;
(六)研究制定北京市信息安全等级保护工作规划,编制信息安全等级保护工作简报。
第七条市公安机关负责:
除市属电子政务和涉及国家秘密以外,本市行政区域内所有信息系统安全等级保护工作的监督、检查和指导:
(一)对所管辖的运营、使用单位定级、建设、评估、测评、备案和履行安全等级保护职责情况进行检查、指导和监督;
(二)对所管辖的运营、使用单位检查中发现的信息系统安全隐患,督促落实整改措施;
(三)对所管辖的运营、使用单位检查中违反定级、建设、评估、测评、备案和履行安全等级保护职责规定的给予处罚;
(四)对所管辖的运营、使用单位的信息系统发生的安全事件调查、处理,并依法追究相关人员的法律责任;
(五)分阶段汇总情况,报市信息安全等级保护办公室。
第八条市信息化主管部门负责:
市属电子政务信息系统安全等级保护工作的监督、检查、指导;督促各单位落实信息安全等级保护职责;对违反等级保护相关法律法规的行为依法给予行政处罚。
第九条市国家保密局负责:
依据国家保密部门有关规定,负责对涉及国家秘密信息系统安全等级保护的监督、指导工作;监督、指导各区县保密工作部门落实涉及国家秘密信息系统安全等级保护工作;负责对信息系统的泄密事件进行查处;分阶段汇总涉及国家秘密信息系统安全等级保护实施情况,报市信息安全等级保护工作办公室。
第十条市国家密码管理委员会办公室负责:
依据国家密码管理部门有关规定,负责对信息安全等级保护的密码实行分级管理。
监督、指导密码的配备、使用和管理。
在监督检查过程中,发现的安全隐患或违反密码管理规定或者未达到密码相关标准要求的,按照国家密码管理的相关规定进行处置。
第十一条涉及保密、国家密码部门管辖范围的事项,由市国家保密局依照国家法律法规的规定进行管理和实施信息安全等级保护工作,本实施细则不作细化规定。
第十二条信息系统运营、使用单位法定代表人为第一责任人,负责本单位信息安全等级保护工作的组织实施,为开展信息安全等级保护工作提供必要的条件。
第十三条市公安机关、信息化主管部门按职责分工负责组织信息安全等级保护的相关法律法规、标准和政策的培训和宣贯工作,以提高社会对信息安全等级保护工作的认识和重视。
第十四条信息系统运营、使用单位应当按照相关法律法规和技术标准的要求,评估和分析本单位信息系统安全状况,自主确定信息系统的安全保护等级。
有主管部门的,应当报主管部门审核批准。
属于重要信息系统的,运营使用单位及其主管部门在确定信息系统的安全保护等级时,应请北京市“信息安全等级专家评审委员会”给予咨询评审。
第十五条市公安机关、信息化主管部门按职责分工,及时、准确掌握本市重要信息系统数量、行业分布和区域分布和等级评定等基本情况,报北京市信息安全等级保护办公室。
第十六条信息系统运营、使用单位应在确定本单位信息系统的安全等级后7日内,提交《信息系统安全定级备案表》,将等级评定情况上报属地、保卫关系所属公安机关或区县信息化主管部门进行定级备案。
涉及电子政务的信息系统,其运营、使用单位或主管部门报信息化主管部门备案。
跨地域的信息系统由其主管部门向其所在地的公安机关或信息化主管部门备案,分系统分别由当地信息系统运营、使用单位到本地备案。
信息系统运营、使用单位可以登录北京市信息安全等级保护网站,网上在线填报《信息系统安全定级备案表》。
第十七条信息系统运营、使用单位变更本单位信息系统的安全等级,需按照本细则第十六条规定,进行备案。
第十八条信息系统的运营、使用单位应当根据已确定的安全保护等级,按照等级保护相关法律法规和技术标准,使用经过相关部门认可的安全产品,进行信息系统建设。
第十九条信息系统运营、使用单位及其主管部门按照等级保护相关法律法规和技术标准,对已完成安全等级保护建设的信息系统进行安全评估,发现问题及时整改,加强自我保护。
第二十条三级以上的信息系统建设完成后,其运营、使用单位及其主管部门选择具有相关技术资质和安全资质,并由北京市信息安全等级保护办公室认可的信息安全测评单位进行测评后,方可投入使用。
本市信息安全等级保护测评工作目前由北京网络行业协会信息系统等级保护测评中心和北京信息安全测评中心承担。
第二十一条信息系统安全等级保护测评的单位,需按照相关技术标准进行安全测评后,为信息系统运营、使用单位出具信息安全测评报告,并提出相应整改意见。
信息系统安全等级保护测评单位应当遵守国家和本市有关法律法规和技术标准规定,保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,提供安全、客观、公正的检测服务。
第二十二条安全保护等级在三级以上的信息系统,运营、使用单位应当自系统投入运行之日起30日内,到属地、保卫关系所属公安机关或区县信息化主管部门进行信息系统安全等级备案。
涉及电子政务的信息系统应当报市信息化主管部门备案;其他信息系统报市公安机关备案。
跨地域的信息系统由其主管部门向其所在地的公安机关或信息化主管部门进行总备案,分系统分别由当地信息系统运营、使用单位到本地备案。
第二十三条属地、保卫关系所属公安机关或区县信息化主管部门接收到等级备案申请材料后,对提交材料的合法性和完整性进行审查,日期从受理申请之日起开始计算,10个工作日内完成,属地公安机关或区县信息化主管部门审查合格后(不合格的书面告知理由),将等级备案材料连同审查意见上报市公安局或市信息办,市公安局或市信息办对等级备案材料进行复审,审查日期从受理之日起计算,10个工作日内完成,并汇总上报北京市信息安全等级保护办公室。
公安机关、信息化主管部门应当建立备案数据库,市信息安全等级保护办公室建立北京市信息系统等级保护管理数据库,进行备案管理。
第二十四条信息系统安全等级保护备案情况由属地公安机关或区县信息化主管部门依据分工书面告知信息系统运营、使用单位。
符合备案要求的信息系统由北京市信息安全等级保护办公室在北京市信息安全等级保护网站上向社会公布。
第二十五条信息系统运营、使用单位到属地公安机关或区县信息化主管部门备案需要提交以下材料:
(一)信息系统运营、使用单位法定代表人签订的第一责任书;
(二)信息系统运营、使用单位法定代表人的身份证明;
(三)《信息系统定级备案表》;
(四)信息系统评估报告;
(五)信息系统测评报告;
(六)信息系统安全管理人员从业资质;
(七)《信息系统安全等级备案表》(可在北京市信息安全等级保护网站网上下载)。
第二十六条信息系统的备案事项发生变更时,信息系统运营、使用单位或其主管部门应当自变更之日起30日内按本实施细则中第二十五条规定将变更情况报原备案机关。
第二十七条备案事项发生变更,法定代表人发生变化的,需重新提交信息系统运营、使用单位法定代表人签订的第一责任书和信息系统运营、使用单位法定代表人的身份证明;信息系统安全保护等级发生变化的,需要对变更后的信息系统重新进行测评,并出具相应等级的评估和测评报告。
第二十八条信息系统的运营、使用单位应当履行下列安全等级保护职责:
(一)落实主管负责人和主管机构,并配备具有相应资格的工作人员;
(二)建立健全安全等级保护管理制度;
(三)落实安全等级保护技术标准要求;
(四)建立信息安全事件的分等级应急响应、处置制度,制定安全事件应急预案,并定期进行演练;
(五)定期进行安全状况检测和等保评估;
(六)其他应当履行的安全等级保护职责。
第二十九条北京市信息安全等级保护办公室组织专家、科研机构、安全厂商建立信息安全应急救援服务体系,为发生信息安全事件的单位提供救援服务。
信息安全应急救援服务组织应当公布救援电话,在接到救援请求时,及时提供救援服务。
第三十条市公安机关、信息化主管部门依职责分工负责规划和组织建设应急处置体系,建立信息安全等级保护安全事件应急处置制度,收集整理信息安全事件基础数据,对全市信息安全事件进行分等级的监控和处置。
第三十一条安全保护等级为三、四级的的运营、使用单位信息系统需进行重点安全事件监控,并纳入本市信息安全应急处置体系中,根据信息安全事件所造成的破坏程度以及涉及的范围,确定事件等级,对不同等级事件分等级进行响应和处置。
第三十二条安全保护等级为三、四级的信息系统,发生信息系统安全事件后,其运营、使用单位应当迅速采取措施降低损害程度,防止事件扩大,保存相关记录,并按要求及时向公安机关或信息化主管部门报告。
第三十三条信息系统运营、使用单位应当依据信息系统安全等级保护管理要求,对信息系统和信息数据进行冗灾、备份。
第三十四条公安机关、信息化主管部门依职责分工负责对信息系统运营、使用单位定级、建设、评测、备案和履行安全等级保护职责情况进行检查、指导和监督,安全保护等级为三级的信息系统每年至少检查一次,安全保护等级为四级的信息系统每半年至少检查一次。
第三十五条信息系统运营、使用单位未按要求履行备案职责的,按照职责分工,由公安机关或信息化主管部门给予警告,对单位可以并处3万元以下罚款。
第三十六条一、二级信息系统的运营、使用单位未履行安全等级保护职责,有下列行为之一的,由公安机关或信息化主管部门责令限期整改,给予警告,对单位可以并处3万元以下罚款:
(一)未落实主管负责人和主管机构并配备具有相应资格工作人员的;
(二)未建立健全安全等级保护管理制度的;
(三)未落实安全等级保护技术标准要求的;
(四)未履行其他的安全等级保护职责的。
第三十七条三级(含三级)以上信息系统的运营、使用单位未履行安全等级保护职责,有下列行为之一的,由公安机关或信息化主管部门责令限期整改,给予警告,对单位可以并处3万元以下罚款;情节严重的,可以给予六个月以内的停机整顿的处罚:
(一)未落实主管负责人和主管机构,并配备具有相应资格工作人员的;
(二)未建立健全安全等级保护管理制度的;
(三)未落实安全等级保护技术标准要求的;
(四)未建立信息安全事件的分等级应急响应、处置制度,制定安全事件应急预案,并定期进行演练的;
(五)未履行其他的安全等级保护职责的。
第三十八条三级(含三级)以上信息系统的运营、使用单位未定期对信息系统进行安全状况检测和等保评估的,由公安机关或信息化主管部门责令其限期整改,给予警告,对单位可以并处3万元以下罚款。
第三十九条三级(含三级)以上信息系统的运营、使用单位的信息系统未经过测评单位的测评就投入使用的或未定期测评的,由公安机关或信息化主管部门责令其限期整改,给予警告,对单位可以并处3万元以下罚款。
第四十条三级以上(含三级)信息系统的运营、使用单位不接受符合性测评的,按照职责分工,由公安机关或信息化主管部门给予警告,对单位可以并处3万元以下罚款;情节严重的,可以给予六个月以内的停机整顿的处罚。
第四十一条三级以上(含三级)信息系统的运营、使用单位没有对本单位负责信息系统安全等级保护工作的行政主管和技术人员进行教育和培训的,按照职责分工,由公安机关或信息化主管部门责令其限期整改,给予警告。
第四十二条信息系统运营、使用单位有违反以下规定的,由公安机关或信息化主管部门责令其限期整改,给予警告,对单位可以并处3万元以下罚款;情节严重的,可以给予六个月以内的停机整顿的处罚:
(一)未及时向公安机关上报信息安全事件,或有缓报、谎报、破坏原始记录行为的,未迅速采取措施降低损害程度,造成事件扩大的;
(二)未对信息系统和信息数据进行冗灾、备份的;
(三)接到整改通知后,拒不整改或未按期整改的;
(四)使用未经过相关部门许可的安全产品进行信息系统建设的;
第四十三条对危害公共安全或违反相关法律、法规和规章行为的,由公安机关依法处理,构成犯罪的,依法追究法律责任。
第四十四条本实施细则由北京市信息安全等级保护办公室具体负责解释。
第四十五条本实施细则自2006年7月1日起施行。