1. 网络信息系统安全保护等级
第一章 总则
第一条 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等国家有关法律法规,制定本办法。
第二条 信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
第三条 信息系统的安全保护等级应当根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,信息和信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,信息和信息系统应当达到的基本的安全保护水平等因素确定。
第四条 信息系统的安全保护等级分为以下五级:
(一) 第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。
(二) 第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
(三) 第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
(四) 第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。
(五) 第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。
第五条 信息系统运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。
(一) 第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。
(二) 第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时,国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。
(三) 第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。
(四) 第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。
(五) 第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。
第六条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第二章 信息安全等级保护工作的安全管理
第七条 信息系统的运营、使用单位应当依据本办法和有关标准,确定信息系统的安全保护等级。有主管部门的,应当报主管部门审核批准。
第八条 信息系统的运营、使用单位应当根据据已确定的安全保护等级,依照本办法和有关技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,进行信息系统建设。
第九条 信息系统的运营、使用单位应当履行下列安全等级保护职责:
(一) 落实信息安全等级保护的责任部门和人员,负责信息系统的安全等级保护管理工作;
(二) 建立健全安全等级保护管理制度;
(三) 落实安全等级保护技术标准要求;
(四) 定期进行安全状况检测和风险评估;
(五) 建立信息安全事件的等级响应、处置制度;
(六) 负责对信息系统用户的安全等级保护教育和培训;
(七) 其他应当履行的安全等级保护职责。
第十条 信息系统建设完成后,其运营、使用单位应当依据本办法选择具有国家相关技术资质和安全资质的测评单位,按照技术标准进行安全测评,符合要求的,方可投入使用。
第十一条 从事信息系统安全等级测评的单位,应当遵守国家有关法律法规和技术标准规定,保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,提供安全、客观、公正的检测评估服务。
测评单位资质管理办法由有关部门另行制定。
第十二条 第三级以上信息系统的运营、使用单位应当自系统投入运行之日起三十日内,到所在地的省、自治区、直辖市公安机关指定的受理机构办理备案手续,填写《信息系统安全保护等级备案登记表》。国家另有规定的除外。
备案事项发生变更时,信息系统运营、使用单位或其主管部门应当自变更之日起三十日内将变更情况报原备案机关。
第十三条 公安机关应当掌握信息系统运营、使用单位的备案情况,建立备案档案,进行备案管理。发现不符合本办法及有关标准的,应通知其予以纠正。
第十四条 公安机关应当监督、检查第三级和第四级信息系统运营、使用单位履行安全等级保护职责的情况。
对安全保护等级为三级的信息系统每年至少检查一次,对安全保护等级为四级的信息系统每半年至少检查一次。
第十五条 公安机关发现信息系统运营、使用单位未履行安全等级保护职责或未达到安全保护要求的,应当书面通知其整改。
第三章 信息安全等级保护的保密管理
第十六条 涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
不涉及国家秘密的信息系统不得处理国家秘密信息。
第十七条 涉及国家秘密的信息系统按照所处理信息的最高密级,由低到高划分为秘密级、机密级和绝密级三个级别,其总体防护水平分别不低于三级、四级、五级的要求。
涉及国家秘密的信息系统建设单位应当依据《中华人民共和国保守国家秘密法》和国家有关秘密及其密级具体范围的规定,确定系统处理信息的最高密级和系统的保护级别。
第十八条 涉及国家秘密的信息系统的设计实施、审批备案、运行维护和日常保密管理,按照国家保密工作部门的有关规定和技术标准执行。
第十九条 各级保密工作部门应当对已投入使用的涉及国家秘密的信息系统组织检查和测评。发现系统存在安全隐患或系统保护措施不符合分级保护管理规定和技术标准的,应当通知系统使用单位和管理部门限期整改。
对秘密级、机密级信息系统,每两年至少进行一次保密检查或系统测评;对绝密级信息系统,每年至少进行一次保密检查或系统测评。
第四章 信息安全等级保护的密码管理
第二十条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照信息安全等级保护密码管理规定和相关标准。
第二十一条 信息系统安全等级保护中密码的配备、使用和管理等,应严格执行国家密码管理的有关规定。
第二十二条 要充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和技术标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的须遵照《商用密码管理条例》和密码分类分级保护有关规定与相关标准。
第二十三条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。 在监督检查过程中,发现存在安全隐患或违反密码管理相关规定或者未达到密码相关标准要求的,按照国家密码管理的相关规定进行处置。
第五章 法律责任
第二十四条 三级、四级信息系统和涉及国家秘密的信息系统的主管部门和运营、使用单位违反本办法规定,有下列行为之一,造成严重损害的,由相关部门依照有关法律、法规予以处理:
(一) 未按本办法规定报请备案、审批的;
(二) 未按等级保护技术标准要求进行系统安全设施建设和制度建设的;
(三) 接到整改通知后,拒不整改的;
(四) 违反保密管理规定的;
(五) 违反密码管理规定的;
(六) 违反本办法和其他规定的。
第六章 附则
第二十五条 军队的计算机信息系统安全保护工作,按照军队的有关法规执行。
第二十六条 本管理办法自2006年3月1日起施行。
2. 网络信息系统安全保护等级分
网络安全等级条例将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象,并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。
3. 网络信息系统安全保护等级划分
关于网络安全我国实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
4. 网络信息系统安全保护等级分为
安全电压是不致造成人身触电事故的电压,一般低于36伏。
基本介绍
安全电压,是指不致使人直接致死或致残的电压。一般环境条件下允许持续接触的“安全特低电压”是24v。(也可能是36v、12vac/dc,24v最常见)
安全标准
所谓安全电压,是指为了防止触电事故而由特定电源供电所采用的电压系列。这个电压系列的上限,即两导体间或任一导体与地之间的电压,在任何情况下,都不超过交流有效值50伏。我国规定安全电压额定值的等级为42、36、24、12、6伏。当电气设备采用的电压超过安全电压时,必须按规定采取防止直接接触带电体的保护措施。
关于安全电压的相关规定
根据生产和作业场所的特点,采用相应等级的安全电压,是防止发生触电伤亡事故的根本性措施。国家标准《安全电压》(gb3805—83)规定我国安全电压额定值的等级为42v、36v、24v、12v和6v,应根据作业场所、操作员条件、使用方式、供电方式、线路状况等因素选用。
《安全电压》(gb3805—83)是一项关于对人没有危险电压的最权威的基础标准。充分分析表中的数据后可知,在最不利条件下(除医疗及人体浸没在水中外),这种限值是:15~100hz交流电压(有效值)不超过16v;无纹波直流为35v。其中50hz交流16v的数值,较现今我国工程习惯(乃至初中物理教科书)还采用的36v,低得很多;更低于1998年发布的gb4706.1—98(家用和类似用途电器的安全通用要求》中所规定的安全特低电压不超过42v的数值。
2008年9月1日起实施的《特低电压(elv)限值》gb/t3805-2008中不知道又有什么新规定,现在还找不到全文。
安全电压值的规定,各国有所不同,我国根据具体环境条件的不同,安全电压值规定为:
在无高度触电危险的建筑物中为65v。 在有高度触电危险的建筑物中为24v。 在有特别触电危险的建筑物中为12v。
5. 网络信息系统安全保护等级文件
1.《中华人民共和国网络安全法》由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。
2.《互联网信息服务管理办法》经2000年9月20日中华人民共和国 国务院第31次常务会议通过2000年9月25日公布施行。该《办法》共二十七条,自公布之日起施行。
3.《计算机信息网络国际联网安全保护管理办法》是由中华人民共和国国务院于1997年12月11日批准,公安部于1997年12月16日公安部令(第33号)发布,于1997年12月30日实施。
4.《中华人民共和国计算机信息系统安全保护条例》1994年2月18日中华人民共和国国务院令第147号发布,根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订。
5.《计算机信息系统国际联网保密管理规定》自2000年1月1日起施行。
扩展资料:
国家为保障网络安全以及维护国家的主权,相继制定了以下一系列网络安全法律法规,规范网络空间的秩序,并让网络价值最大化:
1.《公安机关信息安全等级保护检查工作规范(试行)》
2.中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
3.中办、国办《关于进一步加强互联网管理工作的意见》(中办发[2004]32号)
4.中央网信办《关于加强党政机关网站安全管理的通知》(中网办发文[2014]1号)
5.中央网信办《关于印发<2014年国家网络安全检查工作方案>的通知(中网办发文[2014]5号)
6.工业和信息化部《关于印发<2013年重点领域信息安检查工作方案>的函》(工信部协函[2013]259号)
7.《通信网络安全防护管理办法》(工业和信息部令第11号)
8.《电信和互联网用户个人信息保护规定》(工业和信息部令第24号)
参考资料:
国家互联网信息办公室-网络安全政策法
6. 网络信息系统安全保护等级为几级
存储处理国家秘密的计算机实行分级保护。
1.涉密信息系统是有一定的安全保密要求的,按照国家有关标准,涉密信息系统的建设是需要达到较高的安全等级的计算机系统。将涉密系统按照涉密程度分为绝密级、机密级、秘密级,实行分级保护。
2.国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构。同时对涉密信息系统采取技术保护的规定为:涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。
7. 网络安全等级保护
首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在×××的统一领导下,制定我国开展信息网络安全等级保护工作的发展政策,统一制定针对不同安全保护等级的管理规定和技术标准,对不同信息网络确定不同安全保护等级和实施不同的监督管理措施。公安机关作为计算机信息网络安全保护工作的主管部门,代表国家依法履行对计算机信息网络安全等级保护工作的监督管理和服务保障职能,依据管理规定和技术标准的具体等级,对单位、企业、个人计算机信息网络的安全保护状况进行监督和检查,并为落实等级保护制度提供指导和服务保障。国家保密、密码管理、技术监督、信息产业等部门也要根据各自职能,在等级保护中各自发挥重要作用。
其次,等级保护坚持“谁主管、谁负责,谁经营、谁负责,谁建设、谁负责,谁使用、谁负责”的原则。计算机信息网络的建设和使用单位要依照等级保护管理规定,根据单位在国民经济和社会发展中的地位作用、信息网络依赖程度和重要程度、信息内容或数据的重要程度、系统遭到***破坏后造成的危害程度等因素,科学、准确地设定其安全保护等级,开展安全等级保护设施和制度建设,落实安全管理措施和相关责任。重要领域和重点要害信息网络的上级主管部门对所属信息网络的安全负起领导和管理责任,提高自主管理、自我保护能力。
等级保护实行“国家主导、重点单位强制、一般单位自愿;高保护级别强制、低保护级别自愿”的监管原则。计算机信息网络安全涉及国家安全、国家利益和社会稳定,信息网络安全等级保护是国家安全战略的重要组成部分。国家根据信息网络的重要程度和保护价值实行分等级逐步加重的保护措施。涉及国家安全和利益的重要信息网络,按照管理规定设定相应的安全保护制度,并由国家主管部门予以核准;其他信息网络自行设定安全等级,报国家主管部门备案。重要信息网络按照国家有关法规和技术标准建设安全保护设施和进行安全保护管理,国家主管部门依法对其进行监督和检查;一般使用单位自愿按照国家制度的标准,在国家主管部门的制度或帮助下,实施自我保护和共同保护。
信息系统安全状况等级的检测评估是等级保护的重点。信息系统的安全等级基本要求是信息系统安全状况等级的主要指标,由国家授权的测评机构通过访谈、检查、测试等手段来进行评定。测评机构在取得国家主管部门的资质和授权后,从事信息系统安全等级保护的测评工作,其结果报送国家主管部门。国家主管部门根据测评报告和其他安全检查的结果对信息系统的安全保护进行监督管理,并对等级测评机构进行监管。
等级保护制度为信息网络安全产品的普及使用提供了广阔的市场和发展空间。通过等级保护,引导国内外信息技术和信息安全产品研发企业根据国家有关法规和技术标准,积极研发和推广使用适合不同安全保护等级的产品。由于国家强制采用符合安全等级的产品,特别是重要领域要求采用我国自主开发的安全产品,必将带动和促进自主信息网络安全产品的开发、研制、生产和使用,使我国自主的信息安全产业化,尽快缩短与发达国家的差距,既能推动我国民族信息产业的进一步发展,也为保障我国的信息网络安全打下更坚实的基础。
而在《网络安全法》则将信息安全等级保护提升至网络安全等级保护。其中第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络***、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第三十一条规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
8. 信息系统的安全保护等级
生物安全防护等级4级都有BSL一1、BSL一2、BSL一3、BSL一4。BSL-1代表病原体:麻疹病毒、腮腺炎病毒。BSL-2代表病原体:流感病毒。BSL-3代表病原体:炭疽芽孢杆菌、鼠疫杆菌、结核分枝杆菌、狂犬病毒。BSL-4代表病原体:埃博拉病毒、马尔堡病毒、拉沙病毒。
生物安全是人类生物危害的定义为生物性的传染媒介通过直接感染或间接破坏环境而导致对人类、动物或者植物的真实或者潜在的危险。“实验室生物安全”一词用来描述那些用以防止发生病原体或毒素无意中暴露及意外释放的防护原则、技术以及实践。生物安全等级是针对生物危害的不同程度而确定的,其中包括对实验人员、实验室,乃至环境保护的要求,通常按生物危害等级将微生物和生物医学实验室的安全相应划分为4级,以适应科研、教学、临床和诊断等各种适应的需要。
9. 网络信息系统安全保护等级包括
五级
安全保护级别的确定主要根据业务系统中应用的重要程度、敏感程度以及信息资产的客观条件。信息系统包含了多个操作系统和多个数据库,以及多个独立的网络产品,网络系统也十分复杂。在对大型信息系统的安全保护等级进行划分时,通常需要对构成信息系统的操作系统、网络系统、数据库系统和独立的网络产品等子系统的安全性进行考虑,在确定各子系统对应的安全等级保护技术要求的前提下,依据木桶原理综合分析,确定对该计算机信息系统安全保护等级的划分。7 W) P! N7 E" [% k目前,国内对信息系统等级定级可以参考公安部的《信息系统安全保护等级定级指南(试用稿)》。
等级保护的定级问题是一个比较复杂的问题,确定的等级将涉及以下几个方面因素:
1)信息系统所属类型,即信息系统资产的安全利益主体。
2)信息系统主要处理的业务信息类别。
3)信息系统服务范围,包括服务对象和服务网络覆盖范围。
4)业务对信息系统的依赖程度。
10. 网络等级保护
信息安全等级保护就是分等级保护、分等级监管,是将全国的信息系统(包括网络)按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级,逐级增高);等级确定后,第二级(含)以上信息系统到公安机关备案,公安机关对备案材料和定级准确性进行审核,审核合格后颁发备案证明;备案单位根据信息系统安全等级,按照国家标准开展安全建设整改,建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度:备案单位选择符合国家规定条件的测评机构开展等级测评;公安机关对第二级信息系统进行指导,对第三、四级信息系统定期开展监督、检查。
根据《信息安全等级保护管理办法》的规定,等级保护工作主要分为五个环节,定级、备案、建设整改、等级测评和监督检查。其中定级是信息安全等级保护的首要环节,通过定级,可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等,确定信息安全保护的重点。而安全建设整改是落实信息安全等级保护工作的关键,通过建设整改使具有不同等级的信息系统达到相应等级的基本保护能力,从而提高我国基础网络和重要信息系统整体防护能力。等级测评工作的主体是第三方测评机构,通过开展等级测评,可以检验和评价信息系统安全建设整改工作的成效,判断安全保护能力是否达到相关标准要求。监督检查工作的主体是公安机关等信息安全职能部门,通过开展监督、检查和指导,维护重要信息系统安全和国家安全。