• 公安部等告诉印发信息安全品级保护管理办法

           

    各省、自治区、直辖市公安厅(局)、失密局、国家暗码管理局(国家暗码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、失密局、国家暗码管理局、信息化领导小组办公室,中心和国家构造各部委失密委员会办公室、暗码事情领导小组办公室、信息化领导小组办公室,大家平易近团体失密委员会办公室:

    为放慢促进信息安全品级保护,规范信息安全品级保护管理,提高信息安全保证能力和水平,保护国家安全、社会稳定和大众长处,保证和增进信息化建设,公安部、国家失密局、国家暗码管理局、国务院信息化事情办公室拟订了《信息安全品级保护管理办法》。现印发给你们,请认真贯彻执行。

    第三条公安构造卖力信息安全品级保护事情的监督、检查、指导。国家失密事情部门卖力品级保护事情中有关失密事情的监督、检查、指导。国家暗码管理部门卖力品级保护事情中有关暗码事情的监督、检查、指导。触及其他职能部门统领范围的事项,由有关职能部门依照国家法律法例的规定进行管理。国务院信息化事情办公室及地方信息化领导小组办事机构卖力品级保护事情的部门间和谐。

    第六条国家信息安全品级保护坚持自立定级、自立保护的绳尺。信息系统的安全保护品级该当按照信息系统在国家安全、经济建设、社会生活中的主要程度,信息系统遭到破坏后对国家安全、社会秩序、大众长处以及百姓、法人和其他构造的正当权益的风险程度等身分肯定。

    第十一条信息系统的安全保护品级肯定后,运营、利用单位该当按照国家信息安全品级保护管理规范和手艺标准,利用符合国家有关规定,满意信息系统安全保护品级需求的信息手艺产品,开展信息系统安全建设大概改建事情。

    第十二条在信息系统建设历程中,运营、利用单位该当按照《计算机信息系统安全保护品级分别准则》(GB17859-1999)、《信息系统安全品级保护基本请求》等手艺标准,参照《信息安全手艺信息系统通用安全手艺请求》(GB/T20271-2006)、《信息安全手艺收集基础安全手艺请求》(GB/T20270-2006)、《信息安全手艺操作系统安全手艺请求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全手艺请求》(GB/T20273-2006)、《信息安全手艺服务器手艺请求》、《信息安全手艺终端计算机系统安全品级手艺请求》(GA/T671-2006)等手艺标准同步建设符合该品级请求的信息安全设施。

    第十三条运营、利用单位该当参照《信息安全手艺信息系统安全管理请求》(GB/T20269-2006)、《信息安全手艺信息系统安全工程管理请求》(GB/T20282-2006)、《信息系统安全品级保护基本请求》等管理规范,拟订并落实符合本系统安全保护品级请求的安全管理制度。

    第十四条信息系统建设完成后,运营、利用单位大概其主管部门该当挑选符合本办法例定前提的测评机构,依据《信息系统安全品级保护测评请求》等手艺标准,按期对信息系统安全品级状况开展品级测评。第三级信息系统该当每年最少进行一次品级测评,第四级信息系统该当每半年最少进行一次品级测评,第五级信息系统该当依据特别安全需求进行品级测评。

    信息系统运营、利用单位及其主管部门该当按期对信息系统安全状况、安全保护制度及步伐的落真相况进行自查。第三级信息系统该当每年最少进行一次自查,第四级信息系统该当每半年最少进行一次自查,第五级信息系统该当依据特别安全需求进行自查。

    第二十一条第三级以上信息系统该当挑选利用符合以下前提的信息安全产品:(一)产品研制、生产单位是由中国百姓、法人投资大概国家投资大概控股的,在中华大众共和国境内具有自力的法人资历;(二)产品的核心手艺、枢纽部件具有我国自立知识产权;(三)产品研制、生产单位及其主要停业、手艺职员无犯罪记录;(四)产品研制、生产单位声明没有故意留有大概设置漏洞、后门、木马等程序和功能;(五)对国家安全、社会秩序、大众长处不组成风险;(六)对已列入信息安全产品认证目录的,该当取得国家信息安全产品认证机构颁发的认证证书。

    第二十二条第三级以上信息系统该当挑选符合以下前提的品级保护测评机构进行测评:(一)在中华大众共和国境内注册建立(港澳台地区除外);(二)由中国百姓投资、中国法人投资大概国家投资的企奇迹单位(港澳台地区除外);(三)从事相关检测评价事情两年以上,无违法记录;(四)事情职员仅限于中国百姓;(五)法人及主要停业、手艺职员无犯罪记录;(六)利用的手艺装备、设施该当符合本办法对信息安全产品的请求;(七)具有完整的失密管理、项目管理、质量管理、职员管理和培训教诲等安全管理制度;(八)对国家安全、社会秩序、大众长处不组成要挟。

    第二十三条从事信息系统安全品级测评的机构,该当实行以下使命:(一)服从国家有关法律法例和手艺标准,提供安全、客观、公正的检测评价服务,保证测评的质量和结果;(二)保守在测评举动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;(三)对测评职员进行安全失密教诲,与其签署安全失密责任书,规定该当实行的安全失密使命和负担的法律责任,并卖力检查落实。

    涉密信息系统建设利用单位该当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家失密标准BMB17-2006《触及国家秘密的计算机信息系统分级保护手艺请求》肯定系统品级。对于包含多个安全域的涉密信息系统,各安全域可以分别肯定保护品级。

    涉密信息系统建设利用单位该当依据涉密信息系统分级保护管理规范和手艺标准,按照秘密、秘密、绝密三级的不同请求,结合系统实践进行方案设计,实施分级保护,其保护水平团体上不低于国家信息安全品级保护第三级、第四级、第五级的水平。

    第二十九条涉密信息系统建设利用单位在系统工程实施结束后,该当向失密事情部门提出申请,由国家失密局授权的系统测评机构依据国家失密标准BMB22-2007《触及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全失密测评。

    第三十一条涉密信息系统发生涉密品级、毗连范围、状况设施、主要使用、安全失密管理责任单位变更时,其建设利用单位该当实时向卖力审批的失密事情部门报告。失密事情部门该当按照实践状况,决定是否对其重新进行测评和审批。

    第三十三条国家和地方各级失密事情部门依法对各地区、各部门涉密信息系统分级保护事情实施监督管理,并做好以下事情:(一)指导、监督和检查分级保护事情的开展;(二)指导涉密信息系统建设利用单位规范信息定密,公道肯定系统保护品级;(三)参与涉密信息系统分级保护方案论证,指导建设利用单位做好失密设施的同步计划设计;(四)依法对涉密信息系统集成资质单位进行监督管理;(五)严厉进行系统测评和审批事情,监督检查涉密信息系统建设利用单位分级保护管理制度和手艺步伐的落真相况;(六)增强涉密信息系统运行中的失密监督检查。对秘密级、秘密级信息系统每两年最少进行一次失密检查大概系统测评,对绝密级信息系统每年最少进行一次失密检查大概系统测评;(七)了解把握各级各种涉密信息系统的管理利用状况,实时发明和查处各种违规违法举动和保密变乱。

    第三十四条国家暗码管理部门对信息安全品级保护的暗码实施分类分级管理。按照被保护工具在国家安全、社会稳定、经济建设中的作用和主要程度,被保护工具的安全防护请乞降涉密程度,被保护工具被破坏后的风险程度以及暗码利用部门的性子等,肯定暗码的品级保护准则。

    第三十七条运用暗码手艺对信息系统进行系统品级保护建设和整改的,必须采用经国家暗码管理部门批准利用大概准于销售的暗码产品进行安全保护,不得采用外洋引进大概私自研制的暗码产品;未经批准不得采用含有加密功能的进口信息手艺产品。

    第三十九条各级暗码管理部门可以按期大概不按期对信息系统品级保护事情中暗码配备、利用和管理的状况进行检查和测评,对主要涉密信息系统的暗码配备、利用和管理状况每两年最少进行一次检查和测评。在监督检查历程中,发明存在安全隐患大概违反暗码管理相关规定大概未达到暗码相关标准请求的,该当按照国家暗码管理的相关规定进行处理。

級別類型

      拥有一級制作師证书是担任大型项目经理的条件条件。担任大型项目经理的条件是:一級制作師证书+中级职称+安全员B本。

 

       拥有二級制作師证书是担任项目经理的条件条件。担任项目经理的条件是:二級制作師证书+中级职称+安全员B本。