信息安全管理有关信息安全管理有关规定和要求规定和要求信息安全管理有关规定和制度信息安全管理有关规定和制度第一部份第一部份 互联网安全保护技术措施规定互联网安全保护技术措施规定第二部份等级保护制度的贯彻和实施第二部份等级保护制度的贯彻和实施互联网安全保护技术措施规定互联网安全保护技术措施规定的目的的目的保障互联网网络安全和信息安全促进互联网健康、有序发展维护 国家安全、社会秩序和公共利益第第三三条条 互互互互联联联联网网网网服服服服务务务务提提提提供供供供者者者者、联联联联网网网网使使使使用用用用单单单单位位位位负负责责落落落落实实实实互互互互联联联联网网网网安安安安全全全全保保保保护护护护技技技技术术术术措措措措施施施施，并并保保障障互互联联网网安安全全保保护护技技术措施功能的正常发挥。术措施功能的正常发挥。第第四四条条 互互互互联联联联网网网网服服服服务务务务提提提提供供供供者者者者、联联联联网网网网使使使使用用用用单单单单位位位位应应当当建建立立相相应应的的管管管管理理理理制制制制度度度度。未未经经用用户户同同意意不不得得公公开开、泄泄露露用用户户注册信息，但法律、法规另有规定的除外。注册信息，但法律、法规另有规定的除外。第第五五条条 公公公公安安安安机机机机关关关关网网网网络络络络安安安安全全全全保保保保卫卫卫卫部部部部门门门门负负责责对对互互联联网网安安全保护技术措施的落实情况全保护技术措施的落实情况依法实施监督管理依法实施监督管理依法实施监督管理依法实施监督管理。规定具体条款第第七七条条 互互联联网网服服务务提提供供者者和和联联网网使使用用单单位位应应当当落落实实以以下互联网安全保护技术措施：下互联网安全保护技术措施： （一一）防防范范计计计计算算算算机机机机病病病病毒毒毒毒、网网网网络络络络入入入入侵侵侵侵和和和和攻攻攻攻击击击击破破破破坏坏坏坏等等危危害害网网络络安安全事项或者行为的技术措施；全事项或者行为的技术措施； （二）重要（二）重要数据库和系统主要设备数据库和系统主要设备数据库和系统主要设备数据库和系统主要设备的的容灾备份容灾备份容灾备份容灾备份措施；措施； （三三）记记录录并并留留存存用用户户登登录录和和退退出出时时间间、主主叫叫号号码码、账账号号、互联网地址或域名、系统维护互联网地址或域名、系统维护日志日志日志日志的技术措施；的技术措施； （四四）法法律律、法法规规和和规规章章规规定定应应当当落落实实的的其其其其他他他他安安安安全全全全保保保保护护护护技技技技术措施术措施术措施术措施。规定具体条款第第十十五五条条 违违违违反反反反本本规规定定第第七七条条至至第第十十四四条条规规定定的的，由由公公安安机机关关依依照照计计计计算算算算机机机机信信信信息息息息网网网网络络络络国国国国际际际际联联联联网网网网安全保护管理办法安全保护管理办法安全保护管理办法安全保护管理办法第二十一条的规定予以第二十一条的规定予以处罚处罚处罚处罚。规定具体条款规定具体条款第第十十六六条条 公公安安机机关关在在依依法法监监督督检检查查时时，互互联联网网服服务务提提供供者者、联联网网使使用用单单位位应应当当派派人人参参加加。公公公公安安安安机机机机关关关关对对监监督督检检查查发发现现的的问问题题，应应应应当当当当提提提提出出出出改改改改进进进进意意意意见见见见，通通知知互互联联网网服服务务提提供供者者、联联网网使使用用单单位位及时整改及时整改及时整改及时整改。规定具体条款 20052005年年1111月月2323日日，公公安安部部部部长长周周永永康康签签署署了了中中华华人人民民共共和和国国公公安安部部第第8282号号令令，发发布布互互联联网网安安全全保保护护技技术术措措施施规规定定（以以下下简简称称“规规定定”）并并于于20062006年年3 3月月1 1日日起起施行。施行。 信息安全有关规定和制度第一部份第一部份 互联网安全保护技术措施规定互联网安全保护技术措施规定第二部份等级保护制度的贯彻和实施第二部份等级保护制度的贯彻和实施信息安全等级保护制度 一、一、 什么是信息安全等级保护制度什么是信息安全等级保护制度 二、二、 开展信息安全等级保护工作作用开展信息安全等级保护工作作用 三、三、 怎么样开展信息安全等级保护工作怎么样开展信息安全等级保护工作 一、什么是信息安全等级保护制度一、什么是信息安全等级保护制度信息安全等级保护制度什么是信息安全等级保护制度 一、信息安全等级保护是我国信息安全保障工作的一、信息安全等级保护是我国信息安全保障工作的一项一项基本制度基本制度基本制度基本制度。 二、信息安全等级保护是一种二、信息安全等级保护是一种管理规范和技术标准管理规范和技术标准管理规范和技术标准管理规范和技术标准。 三、信息安全等级保护是维护国家基础信息网络和三、信息安全等级保护是维护国家基础信息网络和重要信息系统安全重要信息系统安全最直接、有效的措施最直接、有效的措施最直接、有效的措施最直接、有效的措施。 四、信息安全等级保护是世界各国四、信息安全等级保护是世界各国普遍推行普遍推行普遍推行普遍推行的信息的信息安全保护基本制度。安全保护基本制度。信息安全等级保护的内容一是对一是对信息系统信息系统信息系统信息系统分等级实施安全保护分等级实施安全保护二是对信息系统中使用的二是对信息系统中使用的信息安全产品信息安全产品信息安全产品信息安全产品实行分实行分等级管理等级管理三是对信息系统中发生的三是对信息系统中发生的信息安全事件信息安全事件信息安全事件信息安全事件分等级分等级响应处置响应处置 根据信息系统所承载的业务在国家安全、根据信息系统所承载的业务在国家安全、经济建设、社会生活中的经济建设、社会生活中的重要作用重要作用重要作用重要作用和业务对信和业务对信息系统的息系统的依赖程度依赖程度依赖程度依赖程度这两方面，依据国家规定的这两方面，依据国家规定的等级划分标准等级划分标准等级划分标准等级划分标准确定其保护等级，自主进行信息确定其保护等级，自主进行信息系统安全建设和安全管理，系统安全建设和安全管理，并按照所定等级进并按照所定等级进行行安全建设，落实安全责任和安全技术措施。安全建设，落实安全责任和安全技术措施。提高安全保护的科学性、整体性、实用性。提高安全保护的科学性、整体性、实用性。等级保护的内容信息安全标准体系、信息系统安全等级保护实施指南信息系统安全等级保护实施指南、信息系统安全保护等级定级指南信息系统安全保护等级定级指南、信息系统安全等级保护基本要求信息系统安全等级保护基本要求、信息系统安全等级保护测评要求信息系统安全等级保护测评要求5 5、网络基础安全技术要求网络基础安全技术要求 二、开展信息安全等级保护工作作用二、开展信息安全等级保护工作作用实施信息安全等级保护的意义 实施信息安全等级保护，能够有效地提高我国信实施信息安全等级保护，能够有效地提高我国信实施信息安全等级保护，能够有效地提高我国信实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平。息和信息系统安全建设的整体水平。息和信息系统安全建设的整体水平。息和信息系统安全建设的整体水平。 有利于有利于有利于有利于建立建立建立建立各单位信息安全保障的各单位信息安全保障的各单位信息安全保障的各单位信息安全保障的长效机制长效机制长效机制长效机制，保证安，保证安，保证安，保证安全保护管理工作稳固、持久地开展；全保护管理工作稳固、持久地开展；全保护管理工作稳固、持久地开展；全保护管理工作稳固、持久地开展； 有利于有利于有利于有利于减少减少减少减少信息安全保障信息安全保障信息安全保障信息安全保障工作盲目性工作盲目性工作盲目性工作盲目性； 有利于有利于有利于有利于优化优化优化优化信息安全信息安全信息安全信息安全资源的配置资源的配置资源的配置资源的配置，达到少花钱，多办，达到少花钱，多办，达到少花钱，多办，达到少花钱，多办事的功效；事的功效；事的功效；事的功效； 有利于有利于有利于有利于明确明确明确明确国家、行业、各单位的信息国家、行业、各单位的信息国家、行业、各单位的信息国家、行业、各单位的信息安全责任安全责任安全责任安全责任，清，清，清，清晰划分不同角色，落实不同部门和岗位安全职责；晰划分不同角色，落实不同部门和岗位安全职责；晰划分不同角色，落实不同部门和岗位安全职责；晰划分不同角色，落实不同部门和岗位安全职责；三、怎样开展信息安全等级保护工作三、怎样开展信息安全等级保护工作要求准确定级，严格审批准确定级，严格审批及时备案，认真整改及时备案，认真整改科学测评，加强检查科学测评，加强检查 系统备案系统备案等级测评等级测评建设整改建设整改监督检查监督检查系统定级系统定级一、定级首先要把握好定级的问题，定级是等级保护工作的首要环节首要环节首要环节首要环节，是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础 定级要准确、科学、合理准确、科学、合理准确、科学、合理准确、科学、合理，要防止片面追求安全而定级过高，也要防止忽视安全定级偏低 依据信息系统安全保护等级定级指南信息系统安全保护等级定级指南信息系统安全保护等级定级指南信息系统安全保护等级定级指南等级保护定级-一般流程一般流程3 3、综合评定对客体的侵害程、综合评定对客体的侵害程度度2 2、确定业务信息安全受到破、确定业务信息安全受到破坏时所侵害的客体坏时所侵害的客体6 6、综合评定对客体的侵害、综合评定对客体的侵害程度程度5 5、确定系统服务安全受到破、确定系统服务安全受到破坏时所侵害的客体坏时所侵害的客体7 7、系统服务安全等级、系统服务安全等级4 4、业务信息安全等级、业务信息安全等级8 8、定级对象的安全保护等级、定级对象的安全保护等级1 1、确定定级对象、确定定级对象二、备案 已运营（运行）的已运营（运行）的第二级以上信息系统，第二级以上信息系统，第二级以上信息系统，第二级以上信息系统，应当在安全保护等级确定后应当在安全保护等级确定后应当在安全保护等级确定后应当在安全保护等级确定后30303030日内日内日内日内，由其运营、，由其运营、使用单位到所在地设区市级以上公安机关办理使用单位到所在地设区市级以上公安机关办理备案手续。备案手续。 新建第二级以上信息系统，应当在投入运新建第二级以上信息系统，应当在投入运新建第二级以上信息系统，应当在投入运新建第二级以上信息系统，应当在投入运行后行后行后行后30303030日内日内日内日内，由其运营、使用单位到所在地设，由其运营、使用单位到所在地设区市级以上公安机关办理备案手续。区市级以上公安机关办理备案手续。备案 省生成的备案电子数据，到公安机关办理省生成的备案电子数据，到公安机关办理备案手续，提交备案手续，提交公安厅网警在线网站公安厅网警在线网站公安厅网警在线网站公安厅网警在线网站（www.jxwj.gov.cnwww.jxwj.gov.cnwww.jxwj.gov.cnwww.jxwj.gov.cn）下载下载定级报告定级报告定级报告定级报告、信息信息信息信息系统安全等级保护备案表系统安全等级保护备案表系统安全等级保护备案表系统安全等级保护备案表和和辅助备案工具辅助备案工具辅助备案工具辅助备案工具 。持填写的备案表和利用辅助备案工具有关备。持填写的备案表和利用辅助备案工具有关备案材料及电子数据文件。案材料及电子数据文件。等级保护备案-备案审核备案审核 填写并提交信息系统备案材料后，公安机关填写并提交信息系统备案材料后，公安机关应当对信息系统的备案情况进行应当对信息系统的备案情况进行审核审核审核审核。 审核结果根据被测评单位信息系统：审核结果根据被测评单位信息系统：符合等符合等符合等符合等级保护要求、不符合等级保护要求、定级不准三级保护要求、不符合等级保护要求、定级不准三级保护要求、不符合等级保护要求、定级不准三级保护要求、不符合等级保护要求、定级不准三种不同结果进行评判和整改种不同结果进行评判和整改种不同结果进行评判和整改种不同结果进行评判和整改。等级保护备案-备案审核备案审核1.1.符合等级保护要求的，在收到备案材料之日起符合等级保护要求的，在收到备案材料之日起的的1010个工作日内颁发信息系统安全等级保护个工作日内颁发信息系统安全等级保护备备备备案证明案证明案证明案证明；2.2.不符合本办法及有关标准的，在收到备案材料不符合本办法及有关标准的，在收到备案材料之日起的之日起的1010个工作日内个工作日内通知通知通知通知备案单位予以纠正；备案单位予以纠正；3.3.定级不准的，在收到备案材料之日起的定级不准的，在收到备案材料之日起的1010个工个工作日内作日内通知通知通知通知备案单位重新审核确定。备案单位重新审核确定。三、等级测评 开展信息系统安全等级开展信息系统安全等级保护测评保护测评保护测评保护测评，明确明确明确明确安全建设整安全建设整改改需求需求需求需求。 备案单位选择符合备案单位选择符合管理办法管理办法和有关标准规定条和有关标准规定条件的件的测评机构测评机构测评机构测评机构开展等级测评。开展等级测评。测评机构依据测评机构依据信息系统安全等级保护信息系统安全等级保护测评要求测评要求测评要求测评要求等进行测评。测评机构按照公安部制订的等进行测评。测评机构按照公安部制订的信息系信息系统安全等级测评报告模版统安全等级测评报告模版编制测评报告。编制测评报告。备案单位根据测评报告中的改进建议，研究确定系备案单位根据测评报告中的改进建议，研究确定系统安全建设整改的目标、内容和要求。统安全建设整改的目标、内容和要求。 四、等保基本要求-管理体系建设 依据依据信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求 建立制度体系；建立制度体系； 强化组织机构；强化组织机构； 加强人员控制；加强人员控制； 控制建设过程；控制建设过程； 提高运维效率；提高运维效率； 四、等保基本要求-管理体系建设 建立信息管理制度体系：建立信息管理制度体系：建立信息管理制度体系：建立信息管理制度体系： 建立制度文件建立制度文件建立制度文件建立制度文件层级层级层级层级概念，将所有的信息管理制度分为概念，将所有的信息管理制度分为概念，将所有的信息管理制度分为概念，将所有的信息管理制度分为四个主四个主四个主四个主要层级要层级要层级要层级，分别为，分别为，分别为，分别为: : : :一级方针、二级策略、三级规程、四级表单；一级方针、二级策略、三级规程、四级表单；一级方针、二级策略、三级规程、四级表单；一级方针、二级策略、三级规程、四级表单； 引入等级保护管理引入等级保护管理引入等级保护管理引入等级保护管理框架框架框架框架，将所有的信息管理制度分为，将所有的信息管理制度分为，将所有的信息管理制度分为，将所有的信息管理制度分为五个文五个文五个文五个文件范围件范围件范围件范围，分别为，分别为，分别为，分别为: : : :安全管理制度、安全管理机构、人员安全管理、安全管理制度、安全管理机构、人员安全管理、安全管理制度、安全管理机构、人员安全管理、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理；系统建设管理、系统运维管理；系统建设管理、系统运维管理；系统建设管理、系统运维管理； 进行进行进行进行制度体系运维制度体系运维制度体系运维制度体系运维，对格式、版本、评审、修订、发布等过，对格式、版本、评审、修订、发布等过，对格式、版本、评审、修订、发布等过，对格式、版本、评审、修订、发布等过程进行控制；程进行控制；程进行控制；程进行控制； 任命任命任命任命专职专职专职专职信息管理人员对制度体系进行运维；信息管理人员对制度体系进行运维；信息管理人员对制度体系进行运维；信息管理人员对制度体系进行运维； 建立信息管理制度体系系统建设管理系统建设管理系统运维管理系统运维管理安全管理制度安全管理制度安全管理机构安全管理机构人员安全管理人员安全管理安全管理方针安全管理方针数据库安全管理规程数据库安全管理规程数据库日常巡检记录表数据库日常巡检记录表系统运行管理制度系统运行管理制度操作系统安全管理规程操作系统安全管理规程重要操作变更记录表重要操作变更记录表一级一级文件文件二级二级策略策略三级三级规程规程四级四级表单表单信息机房管理制度信息机房管理制度专业化专业化1 1、阐述信息安全总体目标和原则；、阐述信息安全总体目标和原则；2 2、定义信息安全管理结构；、定义信息安全管理结构；3 3、提出对组织成员的安全要求。、提出对组织成员的安全要求。1 1、根据不同的工作层面划分制度范、根据不同的工作层面划分制度范围；围；2 2、明确范围内的工作要求；、明确范围内的工作要求；3 3、明确执行岗位。、明确执行岗位。1 1、依据二级策略文件，对所属的、依据二级策略文件，对所属的范围内工作进行细化要求和指导；范围内工作进行细化要求和指导；2 2、明确与四级表单的对应关系；、明确与四级表单的对应关系；1 1、是整个制度体系的底层和策略、是整个制度体系的底层和策略落实的关键；落实的关键；2 2、依据三级规程文件，对该项工、依据三级规程文件，对该项工作过程进行控制，表单中应有规程作过程进行控制，表单中应有规程中规定的要素。中规定的要素。四、等保基本要求-管理体系建设 强化组织机构：强化组织机构：强化组织机构：强化组织机构： 建立信息安全管理委员会，应由建立信息安全管理委员会，应由建立信息安全管理委员会，应由建立信息安全管理委员会，应由组织高层组织高层组织高层组织高层和其他业务部门参和其他业务部门参和其他业务部门参和其他业务部门参与，使得信息与，使得信息与，使得信息与，使得信息安全意识安全意识安全意识安全意识和工作方式向组织高层和平级部门透明；和工作方式向组织高层和平级部门透明；和工作方式向组织高层和平级部门透明；和工作方式向组织高层和平级部门透明；并并并并明确明确明确明确信息化工作过程中与其他部门的信息化工作过程中与其他部门的信息化工作过程中与其他部门的信息化工作过程中与其他部门的关系关系关系关系； 对信息化部门自身，对信息化部门自身，对信息化部门自身，对信息化部门自身，划分岗位的职责划分岗位的职责划分岗位的职责划分岗位的职责、分工和技能要求、分工和技能要求、分工和技能要求、分工和技能要求 。 落实授权与审批落实授权与审批落实授权与审批落实授权与审批，根据各个部门和岗位的职责明确授权审批，根据各个部门和岗位的职责明确授权审批，根据各个部门和岗位的职责明确授权审批，根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。事项、审批部门和批准人等。事项、审批部门和批准人等。事项、审批部门和批准人等。 建立全面的建立全面的建立全面的建立全面的沟通机制沟通机制沟通机制沟通机制，覆盖信息化部门内部、平级部门、兄，覆盖信息化部门内部、平级部门、兄，覆盖信息化部门内部、平级部门、兄，覆盖信息化部门内部、平级部门、兄弟单位、公安机关、电信公司、安全供应商和安全顾问等。弟单位、公安机关、电信公司、安全供应商和安全顾问等。弟单位、公安机关、电信公司、安全供应商和安全顾问等。弟单位、公安机关、电信公司、安全供应商和安全顾问等。 组织组织组织组织专人定期专人定期专人定期专人定期进行安全检查，分析运行现状，发现安全隐患；进行安全检查，分析运行现状，发现安全隐患；进行安全检查，分析运行现状，发现安全隐患；进行安全检查，分析运行现状，发现安全隐患； 四、等保基本要求-管理体系建设 加强人员控制：加强人员控制： 加强信息化工作中的加强信息化工作中的加强信息化工作中的加强信息化工作中的岗位交接岗位交接岗位交接岗位交接控制；控制；控制；控制； 加大加大加大加大培训培训培训培训工作力度，贯彻培训计划，强调培训的工作力度，贯彻培训计划，强调培训的工作力度，贯彻培训计划，强调培训的工作力度，贯彻培训计划，强调培训的有效性；有效性；有效性；有效性； 依据当前信息化工作的现状，分析人员需求，制依据当前信息化工作的现状，分析人员需求，制依据当前信息化工作的现状，分析人员需求，制依据当前信息化工作的现状，分析人员需求，制定合理的信息化定合理的信息化定合理的信息化定合理的信息化岗位划分与人员要求岗位划分与人员要求岗位划分与人员要求岗位划分与人员要求。 对对对对外部人员访问外部人员访问外部人员访问外部人员访问的过程进行控制。的过程进行控制。的过程进行控制。的过程进行控制。四、等保基本要求-管理体系建设 控制建设过程：控制建设过程：控制建设过程：控制建设过程： 对信息系统的对信息系统的对信息系统的对信息系统的重要程度重要程度重要程度重要程度进行分析，进行等级保护进行分析，进行等级保护进行分析，进行等级保护进行分析，进行等级保护定级定级定级定级，确定该信息系统所应达到的安全保护水平，确定该信息系统所应达到的安全保护水平，确定该信息系统所应达到的安全保护水平，确定该信息系统所应达到的安全保护水平，优化资源优化资源优化资源优化资源配置；配置；配置；配置； 依据信息系统的安全保护等级标准体系，制定依据信息系统的安全保护等级标准体系，制定依据信息系统的安全保护等级标准体系，制定依据信息系统的安全保护等级标准体系，制定总体规划总体规划总体规划总体规划设计设计设计设计，选择基本安全，选择基本安全，选择基本安全，选择基本安全措施措施措施措施，并依据风险分析的结果补充和，并依据风险分析的结果补充和，并依据风险分析的结果补充和，并依据风险分析的结果补充和调整安全措施，并组织相关部门和调整安全措施，并组织相关部门和调整安全措施，并组织相关部门和调整安全措施，并组织相关部门和安全专家安全专家安全专家安全专家对规划、方案对规划、方案对规划、方案对规划、方案进行评审；进行评审；进行评审；进行评审； 对软、硬件产品的开发、选型、采购、安装实施和验收对软、硬件产品的开发、选型、采购、安装实施和验收对软、硬件产品的开发、选型、采购、安装实施和验收对软、硬件产品的开发、选型、采购、安装实施和验收等等等等过程进行监控过程进行监控过程进行监控过程进行监控，必要时应要求，必要时应要求，必要时应要求，必要时应要求第三方测试第三方测试第三方测试第三方测试单位参与；单位参与；单位参与；单位参与；四、等保基本要求-管理体系建设 环境控制：环境控制：环境控制：环境控制： 部署环境监控系统，对机房和敏感区域进行部署环境监控系统，对机房和敏感区域进行部署环境监控系统，对机房和敏感区域进行部署环境监控系统，对机房和敏感区域进行监控监控监控监控，并合，并合，并合，并合理的理的理的理的配置配置配置配置环境监控系统，在发生安全问题时进行环境监控系统，在发生安全问题时进行环境监控系统，在发生安全问题时进行环境监控系统，在发生安全问题时进行报警报警报警报警； 设置相对独立的外来人员访问设置相对独立的外来人员访问设置相对独立的外来人员访问设置相对独立的外来人员访问区域区域区域区域，加强对办公环境的，加强对办公环境的，加强对办公环境的，加强对办公环境的保密性管理保密性管理保密性管理保密性管理，规范办公环境人员，规范办公环境人员，规范办公环境人员，规范办公环境人员行为行为行为行为；资产和设备管理：资产和设备管理：资产和设备管理：资产和设备管理： 部署资产管理系统，依据资产安全策略、规程和表格，部署资产管理系统，依据资产安全策略、规程和表格，部署资产管理系统，依据资产安全策略、规程和表格，部署资产管理系统，依据资产安全策略、规程和表格，规范化的管理资产规范化的管理资产规范化的管理资产规范化的管理资产，并建立易于管理运维的资产台帐；，并建立易于管理运维的资产台帐；，并建立易于管理运维的资产台帐；，并建立易于管理运维的资产台帐； 设置设置设置设置专用专用专用专用资产储存环境，并定期对资产进行资产储存环境，并定期对资产进行资产储存环境，并定期对资产进行资产储存环境，并定期对资产进行清清清清算；算；算；算；四、等保基本要求-管理体系建设 运维监控管理：运维监控管理：运维监控管理：运维监控管理： 部署运维监控系统，对信息系统各岗位人员的重部署运维监控系统，对信息系统各岗位人员的重部署运维监控系统，对信息系统各岗位人员的重部署运维监控系统，对信息系统各岗位人员的重要操作流程要操作流程要操作流程要操作流程数据信息化数据信息化数据信息化数据信息化，强化审批。建立各信息系统软、，强化审批。建立各信息系统软、，强化审批。建立各信息系统软、，强化审批。建立各信息系统软、硬件、基础设施硬件、基础设施硬件、基础设施硬件、基础设施最新配置档案库最新配置档案库最新配置档案库最新配置档案库，避免多人管理时对系，避免多人管理时对系，避免多人管理时对系，避免多人管理时对系统配置的不了解；统配置的不了解；统配置的不了解；统配置的不了解；五、等保基本要求-技术措施建设 物理安全物理安全网络安全网络安全主机安全主机安全应用安全应用安全数据安全数据安全 六、等级保护的监督检查-检查方式检查方式 受理备案的公安机关应当对受理备案的公安机关应当对第二级以上的信息系统第二级以上的信息系统第二级以上的信息系统第二级以上的信息系统的运营、使用单位的信息安全等级保护工作情况进行检的运营、使用单位的信息安全等级保护工作情况进行检查。查。 第三级第三级第三级第三级信息系统信息系统每年每年每年每年至少检查一次；至少检查一次； 第四级第四级第四级第四级信息系统信息系统每半年每半年每半年每半年至少检查一次。至少检查一次。 第五级第五级第五级第五级信息系统，应当由国家指定的信息系统，应当由国家指定的专门专门专门专门部门进行检部门进行检查。查。 等级保护的监督检查-检查配合检查配合 信息系统运营、使用单位信息系统运营、使用单位应当接受应当接受公安公安机关、国家指定的专门部门的机关、国家指定的专门部门的安全监督、安全监督、检查、指导检查、指导，如实如实向公安机关、国家指定向公安机关、国家指定的专门部门提供下列有关信息安全保护的的专门部门提供下列有关信息安全保护的信息资料及数据文件。信息资料及数据文件。等级保护的监督检查-运营单位配合内运营单位配合内容容应提供下列有关信息安全保护的信息资料及数据文件：应提供下列有关信息安全保护的信息资料及数据文件：l信息系统信息系统备案事项备案事项备案事项备案事项变更情况；变更情况； l安全安全组织、人员组织、人员组织、人员组织、人员的变动情况；的变动情况；l信息安全管理信息安全管理制度、措施制度、措施制度、措施制度、措施变更情况；变更情况； l信息系统信息系统运行状况记录运行状况记录运行状况记录运行状况记录； l运营、使用单位及主管部门运营、使用单位及主管部门定期定期定期定期对信息系统安全状对信息系统安全状况的况的检查记录检查记录检查记录检查记录； l对信息系统开展对信息系统开展等级测评的技术测评报告等级测评的技术测评报告等级测评的技术测评报告等级测评的技术测评报告； l信息信息安全产品使用安全产品使用安全产品使用安全产品使用的变更情况；的变更情况； l信息安全事件信息安全事件应急预案应急预案应急预案应急预案，信息安全事件，信息安全事件应急处置结应急处置结应急处置结应急处置结果报告果报告果报告果报告； l信息系统信息系统安全建设、整改结果报告安全建设、整改结果报告安全建设、整改结果报告安全建设、整改结果报告。七、等级保护的违反处罚-违规行为违规行为第三级以上信息系统运营使用单位：第三级以上信息系统运营使用单位： l未按未按管理办法管理办法规定规定备案、审批备案、审批备案、审批备案、审批的；的； l未按未按管理办法管理办法规定规定落实安全管理制度、措施落实安全管理制度、措施落实安全管理制度、措施落实安全管理制度、措施的；的； l未按未按管理办法管理办法规定规定开展系统安全状况检查开展系统安全状况检查开展系统安全状况检查开展系统安全状况检查的；的； l未按未按管理办法管理办法规定规定开展系统安全技术测评开展系统安全技术测评开展系统安全技术测评开展系统安全技术测评的；的；l接到整改通知后，接到整改通知后，拒不整改拒不整改拒不整改拒不整改的；的； l未按未按管理办法管理办法规定选择使用规定选择使用信息安全产品和测评信息安全产品和测评信息安全产品和测评信息安全产品和测评机构机构机构机构的；的；等级保护的违反处罚-违规行为违规行为l未按未按管理办法管理办法规定如实规定如实提供有关文件和证明材料提供有关文件和证明材料提供有关文件和证明材料提供有关文件和证明材料的；的； l违反违反保密保密保密保密管理规定的；违反管理规定的；违反密码密码密码密码管理规定的；管理规定的；l信息安全监管部门及其工作人员。信息安全监管部门信息安全监管部门及其工作人员。信息安全监管部门及其工作人员在履行监督管理职责中，及其工作人员在履行监督管理职责中，玩忽职守、滥用玩忽职守、滥用玩忽职守、滥用玩忽职守、滥用职权、徇私舞弊职权、徇私舞弊职权、徇私舞弊职权、徇私舞弊。等级保护的违反处罚-处罚方式处罚方式l l公安机关公安机关公安机关公安机关、国家保密工作部门和国家密码工作管理部、国家保密工作部门和国家密码工作管理部门按照职责分工责令门按照职责分工责令第二级第二级第二级第二级以上信息系统运营使用单位以上信息系统运营使用单位限期改正；限期改正； l逾期不改正的，给予警告，并向其上级主管部门通报逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的情况，建议对其直接负责的主管人员主管人员主管人员主管人员和其他直接和其他直接责任人责任人责任人责任人员员员员予以处理，并及时反馈处理结果。予以处理，并及时反馈处理结果。 l违反前述规定，造成严重损害的，由相关部门依照有违反前述规定，造成严重损害的，由相关部门依照有关关法律、法规法律、法规法律、法规法律、法规予以处理。予以处理。谢谢 谢！谢！欢迎提出宝贵意见！欢迎提出宝贵意见！