정보보안 수준 보호 관리 대책
제1장 일반 조항
제1조는 정보 보안 수준 보호 관리를 표준화하고, 정보 보안 능력과 수준을 향상시키며, 국가 안보, 사회 안정 및 공익을 보호하기 위한 것입니다. 정보화 건설을 촉진하기 위해, 이 방법은 "중화인민공화국 컴퓨터 정보 시스템 보안 보호에 관한 조례" 및 기타 관련 법률, 규정에 따라 제정됩니다.
제2조: 국가는 통일된 정보 보안 계층적 보호 관리 규정 및 기술 표준을 제정하여 정보 시스템의 계층적 보안 보호를 구현하도록 공민, 법인 및 기타 조직을 조직하고 계층적 보호 구현을 감독 감독합니다. 일하다.
제3조: 공안 기관은 정보 보안 수준 보호 업무에 대한 감독, 검사 및 지도를 담당합니다. 국가 기밀 유지 업무 부서는 등급 보호 업무의 기밀 유지 업무에 대한 감독, 검사 및 지도를 담당합니다. 국가 암호 관리 부서는 계층적 보호 작업에서 암호 작업에 대한 감독, 검사 및 지도를 담당합니다. 기타 직능 부서의 관할권에 관한 사항은 국가 법률 및 법규에 따라 해당 직능 부서에서 관리합니다. 국무원 정보실과 지방 정보 선도 그룹 사무실은 계층적 보호 업무의 부서 간 조정을 담당합니다.
제4조 정보 시스템 주관 부서는 본 방법과 관련 표준 및 사양에 따라 산업, 부서 또는 정보 시스템 운영 및 정보 보안 수준 보호 작업을 감독, 검사 및 지도해야 합니다. 지역의 사용자 단위.
제5조 정보 시스템 운영자와 사용자는 본 조치와 관련 표준 및 규정에 따라 정보 보안 수준 보호에 대한 의무와 책임을 이행해야 합니다.
제2장 분류 및 보호
제6조: 국가 정보 보안 수준 보호는 독립적인 분류와 독립적인 보호의 원칙을 준수합니다. 정보시스템의 보안보호 수준은 국가안보, 경제건설, 사회생활에 있어서 정보시스템이 갖는 중요성을 기준으로 결정되어야 하며, 정보시스템의 훼손은 국가안보, 사회질서, 공공이익 및 사회생활에 부정적인 영향을 미칠 것이다. 공민, 법인 및 기타 조직의 정당한 권리와 이익 및 기타 요소에 대한 피해 정도가 결정됩니다.
제7조 정보시스템의 보안보호 수준은 다음과 같은 5가지 수준으로 구분된다. 1등급: 정보시스템이 훼손된 후 공민, 법인 및 공민의 정당한 권익에 손해를 초래하는 경우 그러나 국가 안보, 사회 질서 및 공익을 손상시키지 않습니다. 2급: 정보시스템이 훼손된 후 공민, 법인 및 기타 조직의 정당한 권익에 심각한 손해를 끼치거나 사회질서 및 공공이익에 손해를 끼치지만 국가안보에는 해를 끼치지 아니한다. 3단계 : 정보시스템이 훼손된 후 사회질서 및 공익에 심각한 피해를 주거나 국가안보에 해를 끼칠 우려가 있는 경우 4단계: 정보시스템이 훼손된 후 사회질서 및 공익에 특히 심각한 피해를 입히거나 국가안보에 심각한 피해를 끼칠 우려가 있는 경우 5단계: 정보시스템이 손상된 후 국가 안보에 특히 심각한 피해를 초래할 수 있습니다.
제8조 정보 시스템 운영자와 사용자는 본 방법과 관련 기술 표준에 따라 정보 시스템을 보호해야 하며 관련 국가 정보 보안 감독 부서는 정보 보안 수준 보호 업무를 감독하고 관리해야 합니다. 일차 정보 시스템 운영자와 사용자는 관련 국가 관리 규정 및 기술 표준에 따라 정보 시스템을 보호해야 합니다. 2차 정보 시스템 운영자와 사용자는 관련 국가 관리 규정 및 기술 표준에 따라 정보 시스템을 보호해야 합니다. 국가 정보 보안 감독 부서는 이 정보 시스템 수준의 정보 보안 수준 보호에 대한 지침을 제공합니다. 3단계 정보 시스템을 운영 및 사용하는 단위는 관련 국가 관리 규정 및 기술 표준에 따라 이를 보호해야 합니다. 국가 정보 보안 감독 부서는 본 수준 정보 시스템의 정보 보안 수준 보호 업무를 감독하고 검사해야 합니다. 4급 정보 시스템을 운영 및 사용하는 단위는 관련 국가 관리 규정, 기술 표준 및 전문적인 비즈니스 요구에 따라 보호를 수행해야 합니다. 국가 정보 보안 감독 부서는 해당 수준의 정보 시스템의 정보 보안 수준 보호에 대한 의무적인 감독 및 검사를 수행해야 합니다. 레벨 5 정보 시스템을 운영하고 사용하는 단위는 국가 관리 규정, 기술 표준 및 특별한 비즈니스 보안 요구에 따라 보호되어야 합니다. 국가는 이 수준의 정보 시스템의 정보 보안 수준 보호에 대한 특별 감독 및 검사를 수행하기 위해 전문 부서를 지정합니다.
제3장 수준 보호 구현 및 관리
제9조 정보 시스템 운영자 및 사용자는 "정보 시스템 보안 수준 보호 구현 지침"에 따라 수준 보호 작업을 구현해야 합니다.
제10조 정보 시스템 운영 단위와 사용자 단위는 본 조치와 "정보 시스템 보안 수준 보호 등급 지침"에 따라 정보 시스템의 보안 보호 수준을 결정해야 합니다. 주무부서가 있는 경우에는 주무부서의 검토와 승인을 받아야 하며, 지방 또는 전국의 통일된 네트워크에서 운영되는 정보시스템은 담당부서에서 통일적으로 결정하여 보안 보호 수준을 결정할 수 있습니다. 4등급 이상으로 결정되는 정보시스템에 대하여 운영·이용 단위 또는 소관부서는 국가정보보호보호등급 전문심의위원회에 검토를 요청하여야 한다.
제11조 정보 시스템의 보안 보호 수준이 결정된 후 운영 및 사용 단위는 국가 정보 보안 수준 보호 관리 표준 및 기술 표준을 준수하고 관련 국가 규정에 따라 사용해야 합니다. 정보 시스템 정보 기술 제품의 보안 보호 수준 요구 사항을 충족하고 정보 시스템 보안 구축 또는 재구성 작업을 수행합니다.
제12조 정보 시스템 구축 과정에서 운영 단위와 사용자 단위는 "컴퓨터 정보 시스템 보안 보호 수준 분류 지침"(GB17859-1999), "보안 수준 보호 기본 요구 사항"을 준수해야 합니다. 정보 시스템" 등의 기술 표준은 "정보 시스템에 대한 정보 보안 기술 일반 보안 기술 요구 사항"(GB/T20271-2006), "정보 보안 기술 네트워크 기본 보안 기술 요구 사항"(GB/T20270-2006)을 참조하세요. , "정보 보안 기술 운영 체제 보안 기술 요구 사항" "(GB/T20272-2006), "정보 보안 기술 데이터베이스 관리 시스템 보안 기술 요구 사항"(GB/T20273-2006), "정보 보안 기술 서버 기술 요구 사항", "정보 보안 기술 단말 컴퓨터 시스템 보안 수준 기술 요구 사항"(GA/T671-2006) 및 기타 기술 표준을 준수하여 이 수준의 요구 사항을 충족하는 정보 보안 시설을 동시에 구축합니다.
제13조 운영 및 사용자 단위는 "정보 보안 기술 정보 시스템 보안 관리 요구 사항"(GB/T20269-2006) 및 "정보 보안 기술 정보 시스템 보안 엔지니어링 관리 요구 사항"(GB/T20282)을 참조해야 합니다. -2006), "정보시스템 보안 수준 보호를 위한 기본 요구사항" 및 기타 관리 규격은 본 시스템의 보안 보호 수준 요구 사항을 충족하는 보안 관리 시스템을 수립하고 구현합니다.
제14조 정보 시스템 구축이 완료된 후 운영 및 사용자 단위 또는 그 관할 부서는 본 조치에 규정된 조건을 충족하고 다음과 같은 기술 표준에 따라 평가 기관을 선택해야 합니다. "정보시스템 보안 수준 보호 평가 요구사항", 정보시스템의 보안 수준에 대한 수준 평가를 정기적으로 실시합니다. 3차 정보시스템은 최소 1년에 1회 수준평가를 실시해야 하고, 4차 정보시스템은 6개월에 1회 이상 수준평가를 실시해야 하며, 5차 정보시스템은 특별기준에 따라 수준평가를 실시해야 한다. 보안 요구 사항. 정보시스템 운영 및 사용자 단위와 그 관할 부서는 정보시스템의 보안 상태, 보안 보호 시스템 및 조치 구현에 대해 정기적으로 자체 점검을 실시해야 합니다. 3단계 정보시스템은 연 1회 이상 자체검사를 실시해야 하며, 4단계 정보시스템은 6개월에 1회 이상 자체검사를, 5단계 정보시스템은 특별기준에 따라 자체검사를 실시해야 한다. 보안 요구. 평가 또는 자체 검사 후 정보 시스템의 보안 상태가 보안 보호 수준 요구 사항을 충족하지 못하는 경우 운영 및 사용자 단위는 시정 계획을 수립해야 합니다.
제15조 이미 운영(운영) 중인 2급 이상의 정보 시스템은 보안 보호 수준이 결정된 후 30일 이내에 운영 및 사용자 단위를 지방 공안 기관에 보고해야 합니다. 지방자치단체 수준 이상에서 신청 절차를 진행하세요. 2급 이상의 새로 구축된 정보 시스템의 경우, 운영 및 사용자 단위는 운영 개시 후 30일 이내에 시급 이상 공안 기관에 신고 절차를 거쳐야 합니다. 베이징의 중앙 정부 산하 단위로서 성 또는 전국에 균일하게 네트워크가 연결되어 있고 관할 기관에서 균일하게 등급을 매긴 정보 시스템은 공안부에 신고 절차를 거쳐야 합니다. 성 또는 전국 여러 장소에서 균일하게 네트워크로 연결된 정보 시스템을 운영 및 적용하는 지점 시스템은 시급 이상의 현지 공안 기관에 제출해야 합니다.
제16조 정보시스템 보안 보호 수준 등록 절차를 진행할 때 "정보시스템 보안 수준 보호 등록 양식"을 작성해야 합니다. 수준 3 이상의 정보 시스템은 다음 자료도 제공해야 합니다.
(1) 시스템 토폴로지 및 설명,
(2) 시스템 보안 조직 구조 및 관리 시스템,
(3) 시스템 보안 보호 시설 설계 및 구현 계획 또는 재구성 구현 계획,
(4) 시스템에서 사용하는 정보 보안 제품 목록과 해당 인증 및 판매 라이센스 인증서,
(5) 다음을 충족하는 기술 검사 및 평가 보고서 평가 후 시스템 보안 보호 수준
(6) 정보 시스템 보안 보호 수준에 대한 전문가 검토 의견
(7) 정보 시스템 검토 및 승인에 대한 관할 부서의 의견 보안 보호 수준.