公通字〔2004〕66號《關(guān)于信息安全等級保護工作的實(shí)施意見(jiàn)》（全文）

關(guān)于信息安全等級保護工作的實(shí)施意見(jiàn)

公通字〔2004〕66號

信息安全等級保護制度是國家在國民經(jīng)濟和社會(huì )信息化的發(fā)展過(guò)程中，提高信息安全保障能力和水平，維護國家安全、社會(huì )穩定和公共利益，保障和促進(jìn)信息化建設健康發(fā)展的一項基本制度。實(shí)行信息安全等級保護制度，能夠充分調動(dòng)國家、法人和其他組織及公民的積極性，發(fā)揮各方面的作用，達到有效保護的目的，增強安全保護的整體性、針對性和實(shí)效性，使信息系統安全建設更加突出重點(diǎn)、統一規范、科學(xué)合理，對促進(jìn)我國信息安全的發(fā)展將起到重要推動(dòng)作用。

為了進(jìn)一步提高信息安全的保障能力和防護水平，維護國家安全、公共利益和社會(huì )穩定，保障和促進(jìn)信息化建設的健康發(fā)展，1994年國務(wù)院頒布的《中華人民共和國計算機信息系統安全保護條例》規定，“計算機信息系統實(shí)行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會(huì )同有關(guān)部門(mén)制定”。2003年《中共中央辦公廳、國務(wù)院辦公廳關(guān)于轉發(fā)〈國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見(jiàn)〉的通知》（中辦發(fā)〔2003〕27號）明確指出，“要重點(diǎn)保護基礎信息網(wǎng)絡(luò )和關(guān)系國家安全、經(jīng)濟命脈、社會(huì )穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南”。

一、開(kāi)展信息安全等級保護工作的重要意義

近年來(lái)，黨中央、國務(wù)院高度重視，各有關(guān)方面協(xié)調配合、共同努力，我國信息安全保障工作取得了很大進(jìn)展。但是從總體上看，我國的信息安全保障工作尚處于起步階段，基礎薄弱，水平不高，存在以下突出問(wèn)題：信息安全意識和安全防范能力薄弱，信息安全滯后于信息化發(fā)展；信息系統安全建設和管理的目標不明確；信息安全保障工作的重點(diǎn)不突出；信息安全監督管理缺乏依據和標準，監管措施有待到位，監管體系尚待完善。隨著(zhù)信息技術(shù)的高速發(fā)展和網(wǎng)絡(luò )應用的迅速普及，我國國民經(jīng)濟和社會(huì )信息化進(jìn)程全面加快，信息系統的基礎性、全局性作用日益增強，信息資源已經(jīng)成為國家經(jīng)濟建設和社會(huì )發(fā)展的重要戰略資源之一。保障信息安全，維護國家安全、公共利益和社會(huì )穩定，是當前信息化發(fā)展中迫切需要解決的重大問(wèn)題。

實(shí)施信息安全等級保護，能夠有效地提高我國信息和信息系統安全建設的整體水平，有利于在信息化建設過(guò)程中同步建設信息安全設施，保障信息安全與信息化建設相協(xié)調；有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務(wù)，有效控制信息安全建設成本；有利于優(yōu)化信息安全資源的配置，對信息系統分級實(shí)施保護，重點(diǎn)保障基礎信息網(wǎng)絡(luò )和關(guān)系國家安全、經(jīng)濟命脈、社會(huì )穩定等方面的重要信息系統的安全；有利于明確國家、法人和其他組織、公民的信息安全責任，加強信息安全管理；有利于推動(dòng)信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應社會(huì )主義市場(chǎng)經(jīng)濟發(fā)展的信息安全模式。

二、信息安全等級保護制度的原則

信息安全等級保護的核心是對信息安全分等級、按標準進(jìn)行建設、管理和監督。信息安全等級保護制度遵循以下基本原則：

（一）明確責任，共同保護。

通過(guò)等級保護，組織和動(dòng)員國家、法人和其他組織、公民共同參與信息安全保護工作；各方主體按照規范和標準分別承擔相應的、明確具體的信息安全保護責任。

（二）依照標準，自行保護。

國家運用強制性的規范及標準，要求信息和信息系統按照相應的建設和管理要求，自行定級、自行保護。

（三）同步建設，動(dòng)態(tài)調整。

信息系統在新建、改建、擴建時(shí)應當同步建設信息安全設施，保障信息安全與信息化建設相適應。因信息和信息系統的應用類(lèi)型、范圍等條件的變化及其他原因，安全保護等級需要變更的，應當根據等級保護的管理規范和技術(shù)標準的要求，重新確定信息系統的安全保護等級。等級保護的管理規范和技術(shù)標準應按照等級保護工作開(kāi)展的實(shí)際情況適時(shí)修訂。

（四）指導監督，重點(diǎn)保護。

國家指定信息安全監管職能部門(mén)通過(guò)備案、指導、檢查、督促整改等方式，對重要信息和信息系統的信息安全保護工作進(jìn)行指導監督。國家重點(diǎn)保護涉及國家安全、經(jīng)濟命脈、社會(huì )穩定的基礎信息網(wǎng)絡(luò )和重要信息系統，主要包括：國家事務(wù)處理信息系統（黨政機關(guān)辦公系統）；財政、金融、稅務(wù)、海關(guān)、審計、工商、社會(huì )保障、能源、交通運輸、國防工業(yè)等關(guān)系到國計民生的信息系統；教育、國家科研等單位的信息系統；公用通信、廣播電視傳輸等基礎信息網(wǎng)絡(luò )中的信息系統；網(wǎng)絡(luò )管理中心、重要網(wǎng)站中的重要信息系統和其他領(lǐng)域的重要信息系統。

三、信息安全等級保護制度的基本內容

信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲、傳輸、處理這些信息的信息系統分等級實(shí)行安全保護，對信息系統中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統中發(fā)生的信息安全事件分等級響應、處置。

信息系統是指由計算機及其相關(guān)和配套的設備、設施構成的，按照一定的應用目標和規則對信息進(jìn)行存儲、傳輸、處理的系統或者網(wǎng)絡(luò )；信息是指在信息系統中存儲、傳輸、處理的數字化信息。

根據信息和信息系統在國家安全、經(jīng)濟建設、社會(huì )生活中的重要程度；遭到破壞后對國家安全、社會(huì )秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統必須要達到的基本的安全保護水平等因素，信息和信息系統的安全保護等級共分五級：

1. 第一級為自主保護級，適用于一般的信息和信息系統，其受到破壞后，會(huì )對公民、法人和其他組織的權益有一定影響，但不危害國家安全、社會(huì )秩序、經(jīng)濟建設和公共利益。

2. 第二級為指導保護級，適用于一定程度上涉及國家安全、社會(huì )秩序、經(jīng)濟建設和公共利益的一般信息和信息系統，其受到破壞后，會(huì )對國家安全、社會(huì )秩序、經(jīng)濟建設和公共利益造成一定損害。

3. 第三級為監督保護級，適用于涉及國家安全、社會(huì )秩序、經(jīng)濟建設和公共利益的信息和信息系統，其受到破壞后，會(huì )對國家安全、社會(huì )秩序、經(jīng)濟建設和公共利益造成較大損害。

4. 第四級為強制保護級，適用于涉及國家安全、社會(huì )秩序、經(jīng)濟建設和公共利益的重要信息和信息系統，其受到破壞后，會(huì )對國家安全、社會(huì )秩序、經(jīng)濟建設和公共利益造成嚴重損害。

5. 第五級為專(zhuān)控保護級，適用于涉及國家安全、社會(huì )秩序、經(jīng)濟建設和公共利益的重要信息和信息系統的核心子系統，其受到破壞后，會(huì )對國家安全、社會(huì )秩序、經(jīng)濟建設和公共利益造成特別嚴重損害。

國家通過(guò)制定統一的管理規范和技術(shù)標準，組織行政機關(guān)、公民、法人和其他組織根據信息和信息系統的不同重要程度開(kāi)展有針對性的保護工作。國家對不同安全保護級別的信息和信息系統實(shí)行不同強度的監管政策。第一級依照國家管理規范和技術(shù)標準進(jìn)行自主保護；第二級在信息安全監管職能部門(mén)指導下依照國家管理規范和技術(shù)標準進(jìn)行自主保護；第三級依照國家管理規范和技術(shù)標準進(jìn)行自主保護，信息安全監管職能部門(mén)對其進(jìn)行監督、檢查；第四級依照國家管理規范和技術(shù)標準進(jìn)行自主保護，信息安全監管職能部門(mén)對其進(jìn)行強制監督、檢查；第五級依照國家管理規范和技術(shù)標準進(jìn)行自主保護，國家指定專(zhuān)門(mén)部門(mén)、專(zhuān)門(mén)機構進(jìn)行專(zhuān)門(mén)監督。

國家對信息安全產(chǎn)品的使用實(shí)行分等級管理。

信息安全事件實(shí)行分等級響應、處置的制度。依據信息安全事件對信息和信息系統的破壞程度、所造成的社會(huì )影響以及涉及的范圍，確定事件等級。根據不同安全保護等級的信息系統中發(fā)生的不同等級事件制定相應的預案，確定事件響應和處置的范圍、程度以及適用的管理制度等。信息安全事件發(fā)生后，分等級按照預案響應和處置。

四、信息安全等級保護工作職責分工

公安機關(guān)負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門(mén)負責等級保護工作中有關(guān)保密工作的監督、檢查、指導。國家密碼管理部門(mén)負責等級保護工作中有關(guān)密碼工作的監督、檢查、指導。

在信息安全等級保護工作中，涉及其他職能部門(mén)管轄范圍的事項，由有關(guān)職能部門(mén)依照國家法律法規的規定進(jìn)行管理。

信息和信息系統的主管部門(mén)及運營(yíng)、使用單位按照等級保護的管理規范和技術(shù)標準進(jìn)行信息安全建設和管理。

國務(wù)院信息化工作辦公室負責信息安全等級保護工作中部門(mén)間的協(xié)調。

五、實(shí)施信息安全等級保護工作的要求

信息安全等級保護工作要突出重點(diǎn)、分級負責、分類(lèi)指導、分步實(shí)施，按照誰(shuí)主管誰(shuí)負責、誰(shuí)運營(yíng)誰(shuí)負責的要求，明確主管部門(mén)以及信息系統建設、運行、維護、使用單位和個(gè)人的安全責任，分別落實(shí)等級保護措施。實(shí)施信息安全等級保護應當做好以下六個(gè)方面工作：

（一）完善標準，分類(lèi)指導。

制定系統完整的信息安全等級保護管理規范和技術(shù)標準，并根據工作開(kāi)展的實(shí)際情況不斷補充完善。信息安全監管職能部門(mén)對不同重要程度的信息和信息系統的安全等級保護工作給予相應的指導，確保等級保護工作順利開(kāi)展。

（二）科學(xué)定級，嚴格備案。

信息和信息系統的運營(yíng)、使用單位按照等級保護的管理規范和技術(shù)標準，確定其信息和信息系統的安全保護等級，并報其主管部門(mén)審批同意。

對于包含多個(gè)子系統的信息系統，在保障信息系統安全互聯(lián)和有效信息共享的前提下，應當根據等級保護的管理規定、技術(shù)標準和信息系統內各子系統的重要程度，分別確定安全保護等級?？绲赜虻拇笙到y實(shí)行縱向保護和屬地保護相結合的方式。

國務(wù)院信息化工作辦公室組織國內有關(guān)信息安全專(zhuān)家成立信息安全保護等級專(zhuān)家評審委員會(huì )。重要的信息和信息系統的運營(yíng)、使用單位及其主管部門(mén)在確定信息和信息系統的安全保護等級時(shí)，應請信息安全保護等級專(zhuān)家評審委員會(huì )給予咨詢(xún)評審。

安全保護等級在三級以上的信息系統，由運營(yíng)、使用單位報送本地區地市級公安機關(guān)備案?？绲赜虻男畔⑾到y由其主管部門(mén)向其所在地的同級公安機關(guān)進(jìn)行總備案，分系統分別由當地運營(yíng)、使用單位向本地地市級公安機關(guān)備案。

信息安全產(chǎn)品使用的分等級管理以及信息安全事件分等級響應、處置的管理辦法由公安部會(huì )同保密局、國密辦、信息產(chǎn)業(yè)部和認監委等部門(mén)制定。

（三）建設整改，落實(shí)措施。

對已有的信息系統，其運營(yíng)、使用單位根據已經(jīng)確定的信息安全保護等級，按照等級保護的管理規范和技術(shù)標準，采購和使用相應等級的信息安全產(chǎn)品，建設安全設施，落實(shí)安全技術(shù)措施，完成系統整改。對新建、改建、擴建的信息系統應當按照等級保護的管理規范和技術(shù)標準進(jìn)行信息系統的規劃設計、建設施工。

（四）自查自糾，落實(shí)要求。

信息和信息系統的運營(yíng)、使用單位及其主管部門(mén)按照等級保護的管理規范和技術(shù)標準，對已經(jīng)完成安全等級保護建設的信息系統進(jìn)行檢查評估，發(fā)現問(wèn)題及時(shí)整改，加強和完善自身信息安全等級保護制度的建設，加強自我保護。

（五）建立制度，加強管理。

信息和信息系統的運營(yíng)、使用單位按照與本系統安全保護等級相對應的管理規范和技術(shù)標準的要求，定期進(jìn)行安全狀況檢測評估，及時(shí)消除安全隱患和漏洞，建立安全制度，制定不同等級信息安全事件的響應、處置預案，加強信息系統的安全管理。信息和信息系統的主管部門(mén)應當按照等級保護的管理規范和技術(shù)標準的要求做好監督管理工作，發(fā)現問(wèn)題，及時(shí)督促整改。

（六）監督檢查，完善保護。

公安機關(guān)按照等級保護的管理規范和技術(shù)標準的要求，重點(diǎn)對第三、第四級信息和信息系統的安全等級保護狀況進(jìn)行監督檢查。發(fā)現確定的安全保護等級不符合等級保護的管理規范和技術(shù)標準的，要通知信息和信息系統的主管部門(mén)及運營(yíng)、使用單位進(jìn)行整改；發(fā)現存在安全隱患或未達到等級保護的管理規范和技術(shù)標準要求的，要限期整改，使信息和信息系統的安全保護措施更加完善。對信息系統中使用的信息安全產(chǎn)品的等級進(jìn)行監督檢查。

對第五級信息和信息系統的監督檢查，由國家指定的專(zhuān)門(mén)部門(mén)、專(zhuān)門(mén)機構按照有關(guān)規定進(jìn)行。

國家保密工作部門(mén)、密碼管理部門(mén)以及其他職能部門(mén)按照職責分工指導、監督、檢查。

六、信息安全等級保護工作實(shí)施計劃

計劃用三年左右的時(shí)間在全國范圍內分三個(gè)階段實(shí)施信息安全等級保護制度。

（一）準備階段。

為了保障信息安全等級保護制度的順利實(shí)施，在全面實(shí)施等級保護制度之前，用一年左右的時(shí)間做好下列準備工作：

1.加強領(lǐng)導，落實(shí)責任。在國家網(wǎng)絡(luò )與信息安全協(xié)調小組的領(lǐng)導下，地方各級人民政府、信息安全監管職能部門(mén)、信息系統的主管部門(mén)和運營(yíng)、使用單位要明確各自的安全責任，建立協(xié)調配合機制，分別制定詳細的實(shí)施方案，積極推進(jìn)信息安全等級保護制度的建立，推動(dòng)信息安全管理運行機制的建立和完善。

2.加快完善法律法規和標準體系。法律規范和技術(shù)標準是推廣和實(shí)施信息安全等級保護工作的法律依據和技術(shù)保障。為此，《信息安全等級保護管理辦法》和《信息系統安全等級保護實(shí)施指南》、《信息安全等級保護評估指南》等法規、規范要加緊制定，盡快出臺。

加快信息安全等級保護管理與技術(shù)標準的制定和完善，其他現行的相關(guān)標準規范中與等級保護管理規范和技術(shù)標準不相適應的，應當進(jìn)行調整。

3.建設信息安全等級保護監督管理隊伍和技術(shù)支撐體系。信息安全監管職能部門(mén)要建立專(zhuān)門(mén)的信息安全等級保護監督檢查機構，充實(shí)力量，加強建設，抓緊培訓，使監督檢查人員能夠全面掌握信息安全等級保護相關(guān)法律規范和管理規范及技術(shù)標準，熟練運用技術(shù)工具，切實(shí)承擔信息安全等級保護的指導、監督、檢查職責。同時(shí)，還要建立信息安全等級保護監督、檢查工作的技術(shù)支撐體系，組織研制、開(kāi)發(fā)科學(xué)、實(shí)用的檢查、評估工具。

4.進(jìn)一步做好等級保護試點(diǎn)工作。選擇電子政務(wù)、電子商務(wù)以及其他方面的重點(diǎn)單位開(kāi)展等級保護試點(diǎn)工作，并在試點(diǎn)工作的基礎上進(jìn)一步完善等級保護實(shí)施指南等相關(guān)的配套規范、標準和工具，積累信息安全等級保護工作實(shí)施的方法和經(jīng)驗。

5.加強宣傳、培訓工作。地方各級人民政府、信息安全監管職能部門(mén)和信息系統的主管部門(mén)要積極宣傳信息安全等級保護的相關(guān)法規、標準和政策，組織開(kāi)展相關(guān)培訓，提高對信息安全等級保護工作的認識和重視，積極推動(dòng)各有關(guān)部門(mén)、單位做好開(kāi)展信息安全等級保護工作的前期準備。

（二）重點(diǎn)實(shí)行階段。

在做好前期準備工作的基礎上，用一年左右的時(shí)間，在國家重點(diǎn)保護的涉及國家安全、經(jīng)濟命脈、社會(huì )穩定的基礎信息網(wǎng)絡(luò )和重要信息系統中實(shí)行等級保護制度。經(jīng)過(guò)一年的建設，使基礎信息網(wǎng)絡(luò )和重要信息系統的核心要害部位得到有效保護，涉及國家安全、經(jīng)濟命脈、社會(huì )穩定的基礎信息網(wǎng)絡(luò )和重要信息系統的保護狀況得到較大改善，結束目前基本沒(méi)有保護措施或保護措施不到位的狀況。

在工作中，如發(fā)現等級保護的管理規范和技術(shù)標準以及檢查評估工具等存在問(wèn)題，及時(shí)組織有關(guān)部門(mén)進(jìn)行調整和修訂。

（三）全面實(shí)行階段。

在試行工作的基礎上，用一年左右的時(shí)間，在全國全面推行信息安全等級保護制度。已經(jīng)實(shí)施等級保護制度的信息和信息系統的運營(yíng)、使用單位及其主管部門(mén)，要進(jìn)一步完善信息安全保護措施。沒(méi)有實(shí)施等級保護制度的，要按照等級保護的管理規范和技術(shù)標準認真組織落實(shí)。

經(jīng)過(guò)三年的努力，逐步將信息安全等級保護制度落實(shí)到信息安全規劃、建設、評估、運行維護等各個(gè)環(huán)節，使我國信息安全保障狀況得到基本改善。

掃描二維碼 關(guān)注我們

本文鏈接：http://jumpstarthappiness.com/law/9253.html

本文關(guān)鍵詞： 公通字〔2004〕66號, 信息, 安全等級, 保護, 實(shí)施意見(jiàn), 全文