信息安全等級保護措施的一般性規(guī)定一、總體要求計算機信息系統(tǒng)規(guī)劃、設計、建設和維護應當同步落實相應的安全措施，使用符合國家有關規(guī)定、滿足計算機信息系統(tǒng)安全保護需求的信息技術產(chǎn)品二、安全保護機構和人員計算機信息系統(tǒng)的運營、使用單位應當按照國家有關規(guī)定，建立、健全計算機信息系統(tǒng)安全管理制度，確定安全管理責任人，負責計算機信息系統(tǒng)的安全保護工作計算機信息系統(tǒng)信息服務提供者應當設立信息審查員，負責信息審查工作第二級以上計算機信息系統(tǒng)的運營、使用單位應當建立安全保護組織，并報地級以上市人民政府公安機關備案三、信息安全等級保護的重要環(huán)節(jié)（一）使用前測評第二級以上計算機信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合國家規(guī)定的安全等級測評機構，依據(jù)國家規(guī)定的技術標準，對計算機信息系統(tǒng)安全等級狀況開展等級測評，測評合格后方可投入使用二）日常測評和自查計算機信息系統(tǒng)的運營、使用單位及其主管部門應當按照國家規(guī)定定期對計算機信息系統(tǒng)開展安全等級測評，并對計算機信息系統(tǒng)安全狀況、安全管理制度及措施的落實情況進行自查計算機信息系統(tǒng)安全狀況經(jīng)測評或者自查，未達到安全等級保護要求的，運營、使用單位應當進行整改。

三）備案第二級以上計算機信息系統(tǒng)，由運營、使用單位在投入運行后三十日內(nèi)，到地級市以上人民政府公安機關備案計算機信息系統(tǒng)備案后，對符合安全等級保護要求的，公安機關應當在收到備案材料之日起十個工作日內(nèi)頒發(fā)計算機信息系統(tǒng)安全等級保護備案證明；對不符合安全等級保護要求的，應當在收到備案材料之日起十個工作日內(nèi)通知備案單位予以糾正運營、使用單位或者其主管部門重新確定計算機信息系統(tǒng)等級的，應當按照本條例向公安機關重新備案四）監(jiān)督檢查計算機信息系統(tǒng)的運營、使用單位應當接受公安機關、國家指定的專門部門的安全監(jiān)督、檢查、指導，按照國家有關規(guī)定如實提供有關計算機信息系統(tǒng)安全保護的信息、資料及數(shù)據(jù)文件五）應急處置1．情況報告對計算機信息系統(tǒng)中發(fā)生的案件和重大安全事故，計算機信息系統(tǒng)的運營、使用單位應當在二十四小時內(nèi)報告縣級以上人民政府公安機關，并保留有關原始記錄2．應急預案第二級以上計算機信息系統(tǒng)的運營、使用單位應當制定重大突發(fā)事件應急處置預案3．應急調(diào)芳第二級以上計算機信息系統(tǒng)發(fā)生重大突發(fā)事件，有關單位應當按照應急處置預案的要求采取相應的處置措施，并服從公安機關和國家指定的專門部門的調(diào)度四、安全管理制度第二級以上計算機信息系統(tǒng)的運營、使用單位應當建立并執(zhí)行下列安全管理制度： （一）計算機機房安全管理制度；（二）安全責任制度；（三）網(wǎng)絡安全漏洞檢測和系統(tǒng)升級制度；（四）系統(tǒng)安全風險管理和應急處置制度；（五）操作權限管理制度；（六）用戶登記制度；（七）重要設備、介質(zhì)管理制度；（八）信息發(fā)布審查、登記、保存、清除和備份制度；（九）信息群發(fā)服務管理制度。

五、安全技術措施第二級以上計算機信息系統(tǒng)的運營、使用單位應當采取下列安全保護技術措施：（一）系統(tǒng)重要部分的冗余或者備份措施；（二）計算機病毒防治措施；（三）網(wǎng)絡攻擊防范和追蹤措施；（四）安全審計和預警措施；（五）系統(tǒng)運行和用戶使用日志記錄保存六十日以上措施；（六）記錄用戶賬號、主叫電話號碼和網(wǎng)絡地址的措施；（七）身份登記和識別確認措施；（八）垃圾信息、有害信息防治措施；（九）信息群發(fā)限制措施六、安全專用產(chǎn)品的選擇第三級以上信息系統(tǒng)應當選擇使用符合以下條件的信息安全產(chǎn)品：（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨立的法人資格；（二）產(chǎn)品的核心技術、關鍵部件具有我國自主知識產(chǎn)權；（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務、技術人員無犯罪記錄； （四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能；（五）對國家安全、社會秩序、公共利益不構成危害；（六）對已列入信息安全產(chǎn)品認證目錄的，應當取得國家信息安全產(chǎn)品認證機構頒發(fā)的認證證書符合上述規(guī)定的安全專用產(chǎn)品和生產(chǎn)單位應當?shù)绞」矎d公共信息網(wǎng)絡安全監(jiān)察部門備案，以便于向社會公布和相關單位選擇。

七、測評機構的選擇第二級以上的計算機信息系統(tǒng)的安全測評應當選擇符合下列條件的計算機信息系統(tǒng)安全等級測評機構（簡稱測評機構）承擔：（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外），具有相應經(jīng)營范圍的營業(yè)執(zhí)照，注冊資本100萬元以上；（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；（三）近3年完成的測評項目總值150萬元以上；（四）具有計算機安全或相關專業(yè)資格證書的專業(yè)技術人員不少于20人，其中大學本科以上學歷的人員不少于15人；（五）管理人員應當具有3年以上從事計算機信息系統(tǒng)安全技術領域企業(yè)管理工作經(jīng)歷，技術負責人已獲得計算機信息系統(tǒng)安全技術相關專業(yè)的高級職稱，從事安全測評工作不少于3年，無犯罪記錄；（六）工作人員僅限于中國公民，法人及主要業(yè)務、技術人員無犯罪記錄；（七）具有與所承擔項目適應的技術裝備； （八）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；（九）對國家安全、社會秩序、公共利益不構成威脅我省對測評機構實施備案制度省公安廳公共信息網(wǎng)絡安全監(jiān)察部門對已備案的測評機構進行公布八、資料提供要求信息系統(tǒng)運營、使用單位應當接受公安機關、國家指定的專門部門的安全監(jiān)督、檢查、指導，如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信息資料及數(shù)據(jù)文件：（一）信息系統(tǒng)備案事項變更情況；（二）安全組織、人員的變動情況；（三）信息安全管理制度、措施變更情況；（四）信息系統(tǒng)運行狀況記錄；（五）運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄；（六）對信息系統(tǒng)開展等級測評的技術測評報告； （七）信息安全產(chǎn)品使用的變更情況；（八）信息安全事件應急預案，信息安全事件應急處置結果報告； （九）信息系統(tǒng)安全建設、整改結果報告。

九、涉密信息系統(tǒng)的等級保護（一）玉管部門保密工作部門依法對涉密計算機信息系統(tǒng)分級保護工作實施指導、監(jiān)督和檢查，具體負責下列工作：1．指導涉密計算機信息系統(tǒng)建設使用單位規(guī)范信息定密，合理確定系統(tǒng)保護等級；2．參與涉密計算機信息系統(tǒng)分級保護方案論證，指導建設使用單位做好保密設施的同步規(guī)劃設計；3．依法對涉密計算機信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理；4．按照國家規(guī)定進行系統(tǒng)測評和審批工作并監(jiān)督檢查涉密計算機信息系統(tǒng)建設使用單位分級保護管理制度和技術措施的落實情況；5．按照國家規(guī)定定期對涉密計算機信息系統(tǒng)進行監(jiān)督檢查；6．了解各級各類涉密計算機信息系統(tǒng)的管理使用情況，查處各種違法行為和泄密事件二）總體要求涉密計算機信息系統(tǒng)應當依據(jù)國家信息安全等級保護的要求，按照國家有關涉密計算機信息系統(tǒng)分級保護的管理規(guī)定和技術標準，結合計算機信息系統(tǒng)實際情況進行保護三）等級劃分涉密計算機信息系統(tǒng)按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級，并實行涉密計算機信息系統(tǒng)分級保護四）主要環(huán)節(jié)涉密計算機信息系統(tǒng)建設使用單位應當將涉密計算機信息系統(tǒng)定級和建設使用情況，及時報業(yè)務主管部門和負責系統(tǒng)審批的保密工作部門備案，并接受保密工作部門的監(jiān)督、檢查、指導。

涉密計算機信息系統(tǒng)投入使用前，應當按照國家有關規(guī)定報地級市以上人民政府保密工作部門審批，通過審批后方可投入使用十、密碼管理問題計算機信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等，應當按照國家密碼管理的有關規(guī)定執(zhí)行密碼管理部門應當對計算機信息系統(tǒng)安全保護工作中密碼配備、使用和管理的情況進行檢查和測評，發(fā)現(xiàn)存在安全隱患、違反密碼管理相關規(guī)定或者未達到密碼相關標準要求的，應當按照國家密碼管理的相關規(guī)定進行處置。