涉及国家秘密的信息系统分级保护
第一章 总 则
第一条 为了加强涉及国家秘密的信息系统(以下简称“涉密信息系统”)的
保密管理,确保国家秘密信息安全,依据《中华人民共和国保守国家秘密法》和相关法规,制定本办法。
第二条 涉密信息系统实行分级保护。涉密信息系统分级保护是指,涉密信
息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
第三条 中华人民共和国境内的涉密信息系统分级保护管理适用本办法。
第四条 涉密信息系统分级保护管理遵循以下原则:
规范定密,准确定级;依据标准,同步建设;突出重点,确保核心;
明确责任,加强监督。
第五条 国家保密工作部门负责全国涉密信息系统分级保护工作的指导、监督
和检查;
地方各级保密工作部门负责本行政区域涉密信息系统分级保护工作
的指导、监督和检查;中央和国家机关各部门在其职权范围内,主管或指导本部门和本系统涉密信息系统得分级保护工作。涉密信息系统的建设使用单位按照“谁主管、谁负责”的原则,负责本单位涉秘信息系统分级保护工作的具体实施。
第二章 系统分级
第六条 涉密信息系统按照所处理信息的最高密级,由低到高划分为秘密、机密
和绝密三个等级。绝密级信息系统应限定在封闭、安全可控的独立建筑群内。
第七条 涉密信息系统建设单位应当依据《中华人民共和国保守国家秘密法》和
国家秘密及其密级具体范围的规定,规范信息定密,明确新建涉密信息系统处理信息的最高密级。
已经投入使用的涉密信息系统,使用单位应依照有关法律法规,对系统
中运行的信息进行密级核定,对漏定、错定的进行纠正,同时建立科学规范的系统信息定密机制和操作程序。
第八条 涉密信息系统建设单位在准确定密的基础上,应依据本办法和国家保密
标准《涉及国家秘密的信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的信息系统,各安全域可以分别确定保护等级。
已经投入使用的涉密信息系统,建设使用单位应依据本办法和国家保密
标准《涉及国家秘密的信息系统分级保护技术要求》重新核定系统等级。
第九条 涉密信息系统处理信息的密级和应用情况发生变化时,建设使用单位应
当根据本办法和有关技术标准的要求,重新确定系统保护等级,并按相应等级要求调整保护措施。
第三章 系统保护
第十条 涉密信息系统按照秘密、机密、绝密三级进行保护和管理。
第十一条 系统建设使用单位应当依据《涉及国家秘密的信息系统分级保护技
术要求》进行系统安全保密方案设计,并结合系统实际进行安全风险分 析,根据分析结果确定所应采取的保护措施,增强分级保护的针对性。具体步骤如下:
(一)根据系统分级,确定系统保护所须达到的基本要求;
(二)结合系统实际进行安全风险分析,对部分保护要求作适当调整; (三)按照最终确定的保护要求,采取具体保护措施。
已经投入使用的涉密信息系统,建设适用单位应按照《涉及国家
秘密的信息系统分级保护技术要求》制定系统分级保护方案,补充、完善保护措施。
第十二条 确定为机密级的信息系统,根据系统使用单位的重要性、系统中涉密
信息的数量与含量、信息系统的重要程度和使用单位对信息系统的依赖程度等因素,确定是否选择增强性保护要求。
第十三条 涉密信息系统中相同等级的不同安全域,可根据风险分析结果采取不
同的保护措施;系统中不同等级的安全域,应当按照相应等级的保护要求进行保护。
第十四条 处理国家秘密信息的单台计算机,应当根据所处理信息的最高密级,
按照相应级别涉密信息系统的有关要求进行保护和管理。
第十五条 集中处理工作秘密的信息系统,参照秘密级信息系统的有关要求进行
保护。
第十六条 涉密信息系统投入使用前有关安全风险分析、安全保密方案设计、论
证和系统测评等所需经费,由系统建设使用单位在系统规划时按照一定比例统一纳入系统建设经费预算予以解决。
第四章 系统监督
第十七条 各级保密工作部门应加强对涉密信息系统建设使用单位系统定级工
作的具体指导与监督。
第十八条 涉密信息系统建设使用单位必须选择具有相应涉密资质的单位承担
或参与涉密信息系统的方案设计与实施、软件开发、综合布线、系统服务、系统咨询、风险评估、屏蔽室建设、工程监理等。各级保密工作部门应加强指导与监督。
第十九条 涉密信息系统建设使用单位应组织对系统设计方案进行审查论证,各
级保密工作部门应当参与方案审查论证,在系统总体安全保密性方面加强指导,严格把关。
第二十条 涉密信息系统建设使用单位在系统工程施工结束后,应向保密工作部
门提出申请,由国家保密局授权的系统测评机构对涉密信息系统进行安全保密测评。
已投入使用的涉密信息系统在完善分级保护措施后,如原系统已做过
系统测评,可只对新增加的保护措施进行测评,否则应对整个系统进行测评。
第二十一条 涉密信息系统建设使用单位在系统投入使用前,应按照涉密信息系
统审批管理办法的规定进行审批,通过审批后方可投入使用。保密工作部门视情节进行核查和抽查。
已通过审批投入使用的涉密信息系统,建设使用单位在按照分级保
护要求完成对系统的整改后,应向保密工作部门备案。保密工作部门视情节进行核查或抽查。
第二十二条 涉密信息系统备案的基本内容包括:涉密信息系统设计实施方案及
论证意见、系统集成资质单位情况、系统测评报告、系统审批意见、系统安全保密组织机构和管理制度等。
第二十三条 涉密信息系统建设使用单位应当定期组织对系统的安全保密状况
进行自评估。自评估主要检查系统分级保护措施是否符合要求,分析由于系统需求及技术与管理因素变化而新出现的安全威胁,动态调整安全策略,适时补充和完善技术与管理措施,以使系统保持与等级要求相一致的防护水平。各级保密工作部门应加强对自评估的指导。
第二十四条 各级保密工作部门应加强对已投入使用的涉密信息系统的检查和
测评。发现系统存在安全隐患或保护措施不符合分级保护管理规范和技术标准的,应当通知系统使用单位和管理部门限期整改。
(一)对于秘密级、机密级信息系统,每两年至少进行一次保密检
查或系统测评。
(二)对于绝密级信息系统,每年至少进行一次保密检查或系统测
评。
第二十五条 保密工作部门对违反本办法规定的行为将进行查处:
(一)对未按分级保护管理要求和技术标准确定系统等级、同步规
划建设系统安全保密设施的,下发整改通知并限期整改。
(二)对涉密信息系统建成后未经保密审批就投入使用的,责令停
止作为涉密信息系统运行,下发整改通知并限期整改。
(三)对在系统测评和日常检查中发现严重泄密隐患和漏洞,接到
保密工作部门整改通知而逾期不改的,通报批评并追求单位领导责任。
(四)对涉密信息系统发生泄密事件造成严重后果的,追究当事人
的法律责任和单位领导责任。
第五章 附 则
第二十六条 涉密信息系统分级测评准则、分级保护管理规范;由国家保密局另
行制定。
第二十七条 军队涉密信息系统分级保护管理办法,由解放军保密委员会参照本
办法制定。
第二十八条 本办法由国家保密局负责解释。 第二十九条 本办法自发布之日起施行。