信息系統(tǒng)分級安全管理辦法第一章總則第一條目的為規(guī)范本單位信息系統(tǒng)安全管理，防范信息安全風(fēng)險(xiǎn)，保障業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T____）等法律法規(guī)及標(biāo)準(zhǔn)，結(jié)合本單位實(shí)際情況，制定本辦法。第二條依據(jù)本辦法主要依據(jù)以下法律法規(guī)及標(biāo)準(zhǔn)制定：（一）《中華人民共和國網(wǎng)絡(luò)安全法》；（二）《中華人民共和國數(shù)據(jù)安全法》；（三）《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T____）；（四）《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)評估要求》（GB/T____）；（五）本單位《網(wǎng)絡(luò)安全管理規(guī)定》。第三條適用范圍本辦法適用于本單位及所屬機(jī)構(gòu)（以下統(tǒng)稱“各單位”）所有信息系統(tǒng)的安全管理，包括但不限于業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)、數(shù)據(jù)中心、云計(jì)算平臺(tái)等。第四條基本原則（一）分級分類：根據(jù)信息系統(tǒng)的業(yè)務(wù)重要性、數(shù)據(jù)敏感度、系統(tǒng)影響程度，劃分安全等級，實(shí)施差異化管理；（二）權(quán)責(zé)一致：明確信息系統(tǒng)建設(shè)、運(yùn)維、使用等各方的安全責(zé)任，確保責(zé)任到人；（三）動(dòng)態(tài)調(diào)整：定期評估信息系統(tǒng)的安全等級，根據(jù)業(yè)務(wù)變化、風(fēng)險(xiǎn)變化及時(shí)調(diào)整；（四）協(xié)同聯(lián)動(dòng)：建立“技術(shù)防護(hù)+管理控制+人員保障”協(xié)同機(jī)制，形成全生命周期安全管理體系。第二章信息系統(tǒng)分級標(biāo)準(zhǔn)第五條分級依據(jù)信息系統(tǒng)安全等級劃分以“業(yè)務(wù)重要性”“數(shù)據(jù)敏感度”“系統(tǒng)影響程度”為核心指標(biāo)，采用“多維度綜合評估法”確定等級。第六條等級劃分信息系統(tǒng)安全等級分為四級，從低到高依次為：一級（一般系統(tǒng)）、二級（重要系統(tǒng)）、三級（核心系統(tǒng)）、四級（關(guān)鍵系統(tǒng)）。各等級定義及判斷標(biāo)準(zhǔn)如下：**等級****定義****判斷標(biāo)準(zhǔn)（滿足任一條件）**一級（一般系統(tǒng)）支撐非核心業(yè)務(wù)，數(shù)據(jù)敏感度低，發(fā)生安全事件影響范圍小、損失輕微的系統(tǒng)1.業(yè)務(wù)類型為輔助性辦公（如內(nèi)部通知系統(tǒng)、考勤系統(tǒng)）；

2.數(shù)據(jù)類型為非敏感公開數(shù)據(jù)（如公開的企業(yè)簡介、招聘信息）；

3.系統(tǒng)中斷或數(shù)據(jù)泄露后，影響范圍僅限于單個(gè)部門，無經(jīng)濟(jì)損失或聲譽(yù)影響。二級（重要系統(tǒng)）支撐重要業(yè)務(wù)，數(shù)據(jù)敏感度中等，發(fā)生安全事件會(huì)影響業(yè)務(wù)連續(xù)性或造成一定損失的系統(tǒng)1.業(yè)務(wù)類型為支撐部門級核心業(yè)務(wù)（如財(cái)務(wù)報(bào)銷系統(tǒng)、人力資源管理系統(tǒng)）；

2.數(shù)據(jù)類型為內(nèi)部敏感數(shù)據(jù)（如員工基本信息、部門業(yè)務(wù)報(bào)表）；

3.系統(tǒng)中斷或數(shù)據(jù)泄露后，影響1-2個(gè)部門業(yè)務(wù)運(yùn)行，造成輕微經(jīng)濟(jì)損失（如萬元級）或局部聲譽(yù)影響。三級（核心系統(tǒng)）支撐單位核心業(yè)務(wù)，數(shù)據(jù)敏感度高，發(fā)生安全事件會(huì)嚴(yán)重影響業(yè)務(wù)連續(xù)性或造成重大損失的系統(tǒng)1.業(yè)務(wù)類型為支撐單位級核心業(yè)務(wù)（如主營業(yè)務(wù)交易系統(tǒng)、客戶管理系統(tǒng)、核心數(shù)據(jù)庫）；

2.數(shù)據(jù)類型為核心敏感數(shù)據(jù)（如客戶個(gè)人敏感信息、核心商業(yè)秘密、財(cái)務(wù)核心數(shù)據(jù)）；

3.系統(tǒng)中斷或數(shù)據(jù)泄露后，影響單位整體業(yè)務(wù)運(yùn)行，造成較大經(jīng)濟(jì)損失（如十萬元級以上）或嚴(yán)重聲譽(yù)影響。四級（關(guān)鍵系統(tǒng)）支撐國家或單位關(guān)鍵業(yè)務(wù)，數(shù)據(jù)敏感度極高，發(fā)生安全事件會(huì)導(dǎo)致重大安全事故或?yàn)?zāi)難性損失的系統(tǒng)1.業(yè)務(wù)類型為支撐國家關(guān)鍵業(yè)務(wù)（如涉及國家安全、公共利益的系統(tǒng)）；

2.數(shù)據(jù)類型為國家秘密、極端敏感商業(yè)秘密（如國家級項(xiàng)目數(shù)據(jù)、核心技術(shù)專利）；

3.系統(tǒng)中斷或數(shù)據(jù)泄露后，可能引發(fā)國家安全事件、重大社會(huì)影響或巨額經(jīng)濟(jì)損失（如百萬元級以上）。第七條分級流程（一）系統(tǒng)申報(bào)：信息系統(tǒng)建設(shè)或運(yùn)維單位填寫《信息系統(tǒng)安全等級申報(bào)表》（附件1），提交至本單位網(wǎng)絡(luò)安全管理部門；（二）等級評估：網(wǎng)絡(luò)安全管理部門組織安全專家、業(yè)務(wù)專家對申報(bào)系統(tǒng)進(jìn)行評估，形成《信息系統(tǒng)安全等級評估報(bào)告》（附件2）；（三）等級審批：評估報(bào)告經(jīng)本單位網(wǎng)絡(luò)安全管理委員會(huì)審核后，報(bào)單位負(fù)責(zé)人批準(zhǔn)；（四）等級公示：批準(zhǔn)后的等級在本單位內(nèi)部公示，公示期為5個(gè)工作日，無異議后生效。第三章分級安全管理要求第八條一級系統(tǒng)（一般系統(tǒng)）管理要求（一）訪問控制：采用用戶名+密碼的身份認(rèn)證方式，設(shè)置用戶權(quán)限為“最小必要”，定期（每6個(gè)月）清理閑置用戶；（二）日志管理：記錄用戶登錄、操作日志，日志保留期限不少于3個(gè)月；（三）數(shù)據(jù)備份：每天進(jìn)行全量備份，備份數(shù)據(jù)存儲(chǔ)在本地服務(wù)器，保留期限不少于1個(gè)月；（四）漏洞管理：每季度進(jìn)行一次漏洞掃描，及時(shí)修復(fù)高危漏洞；（五）應(yīng)急管理：制定簡易應(yīng)急預(yù)案，每年進(jìn)行一次應(yīng)急演練。第九條二級系統(tǒng)（重要系統(tǒng)）管理要求（一）身份認(rèn)證：采用雙因素認(rèn)證（如密碼+動(dòng)態(tài)令牌），用戶密碼每90天更換一次；（二）訪問控制：實(shí)施角色-based訪問控制（RBAC），定期（每3個(gè)月）審計(jì)用戶權(quán)限；（三）數(shù)據(jù)保護(hù)：敏感數(shù)據(jù)加密存儲(chǔ)（如AES-256），傳輸過程采用SSL/TLS加密；（四）監(jiān)控與審計(jì)：部署網(wǎng)絡(luò)監(jiān)控系統(tǒng)（NMS）和日志管理系統(tǒng)（SIEM），實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量、系統(tǒng)日志，日志保留期限不少于6個(gè)月；（五）漏洞與滲透測試：每季度進(jìn)行漏洞掃描，每年進(jìn)行一次滲透測試，及時(shí)修復(fù)中高危漏洞；（六）應(yīng)急管理：制定詳細(xì)應(yīng)急預(yù)案，每半年進(jìn)行一次應(yīng)急演練，演練結(jié)果報(bào)網(wǎng)絡(luò)安全管理部門備案；（七）人員管理：系統(tǒng)運(yùn)維人員需具備初級網(wǎng)絡(luò)安全認(rèn)證（如CISSP-Associate、CEH），每年參加不少于12學(xué)時(shí)的安全培訓(xùn)。第十條三級系統(tǒng)（核心系統(tǒng)）管理要求（一）物理安全：部署在專用機(jī)房，實(shí)行雙人雙鎖管理，安裝視頻監(jiān)控（保留30天）、門禁系統(tǒng)（生物識(shí)別）；（二）網(wǎng)絡(luò)安全：劃分安全域（如核心業(yè)務(wù)域、數(shù)據(jù)存儲(chǔ)域），采用防火墻（下一代）、入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）進(jìn)行邊界防護(hù)，定期（每季度）進(jìn)行網(wǎng)絡(luò)安全評估；（三）數(shù)據(jù)安全：核心數(shù)據(jù)采用加密（如RSA-2048）存儲(chǔ)和傳輸，實(shí)行數(shù)據(jù)備份“三地三中心”（本地、同城、異地），備份數(shù)據(jù)每小時(shí)同步一次，保留期限不少于6個(gè)月；（四）應(yīng)用安全：采用Web應(yīng)用防火墻（WAF）、應(yīng)用程序安全測試（AST），每季度進(jìn)行一次代碼審計(jì)，防止SQL注入、跨站腳本（XSS）等攻擊；（五）監(jiān)控與審計(jì)：部署實(shí)時(shí)監(jiān)控系統(tǒng)（如SOC），實(shí)現(xiàn)對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)的全維度監(jiān)控，審計(jì)日志保留期限不少于1年；（六）漏洞與滲透測試：每月進(jìn)行漏洞掃描，每半年進(jìn)行一次滲透測試（包括黑盒、白盒），及時(shí)修復(fù)所有高危漏洞；（七）應(yīng)急管理：制定專項(xiàng)應(yīng)急預(yù)案，每季度進(jìn)行一次應(yīng)急演練（包括實(shí)戰(zhàn)演練、桌面演練），演練結(jié)果報(bào)單位負(fù)責(zé)人審批；（八）人員管理：系統(tǒng)運(yùn)維人員需具備中級網(wǎng)絡(luò)安全認(rèn)證（如CISSP、CISM），每年參加不少于24學(xué)時(shí)的安全培訓(xùn)，定期進(jìn)行背景審查；（九）第三方管理：涉及第三方服務(wù)（如云計(jì)算、外包運(yùn)維）的，需簽訂安全協(xié)議，明確安全責(zé)任，定期（每季度）進(jìn)行第三方安全評估。第十一條四級系統(tǒng)（關(guān)鍵系統(tǒng)）管理要求（一）物理安全：部署在專用涉密機(jī)房，實(shí)行三人三鎖管理，安裝24小時(shí)視頻監(jiān)控（保留90天）、生物識(shí)別門禁（如指紋+虹膜），定期進(jìn)行物理安全審計(jì)；（二）網(wǎng)絡(luò)安全：采用物理隔離（如空氣間隙）或邏輯隔離（如隔離網(wǎng)閘），部署國家級網(wǎng)絡(luò)安全設(shè)備（如國產(chǎn)防火墻、IDS），定期（每月）進(jìn)行網(wǎng)絡(luò)安全評估；（三）數(shù)據(jù)安全：核心數(shù)據(jù)采用國密算法（如SM2、SM3、SM4）加密存儲(chǔ)和傳輸，實(shí)行“零信任”數(shù)據(jù)訪問控制（如最小權(quán)限、實(shí)時(shí)認(rèn)證），數(shù)據(jù)備份“四地四中心”（本地、同城、異地、涉密），備份數(shù)據(jù)每15分鐘同步一次，保留期限不少于1年；（四）應(yīng)用安全：采用國產(chǎn)自主可控應(yīng)用系統(tǒng)，每季度進(jìn)行一次代碼審計(jì)（包括靜態(tài)、動(dòng)態(tài)），防止高級持續(xù)性威脅（APT）攻擊；（五）監(jiān)控與審計(jì)：部署國家級安全監(jiān)控系統(tǒng)（如國家網(wǎng)絡(luò)安全監(jiān)測預(yù)警系統(tǒng)），實(shí)現(xiàn)對系統(tǒng)的全生命周期監(jiān)控，審計(jì)日志保留期限不少于3年；（六）漏洞與滲透測試：每周進(jìn)行漏洞掃描，每季度進(jìn)行一次滲透測試（包括國家級滲透測試機(jī)構(gòu)），及時(shí)修復(fù)所有漏洞；（七）應(yīng)急管理：制定國家級應(yīng)急預(yù)案，每月進(jìn)行一次應(yīng)急演練（包括實(shí)戰(zhàn)演練、跨部門演練），演練結(jié)果報(bào)國家網(wǎng)絡(luò)安全主管部門備案；（八）人員管理：系統(tǒng)運(yùn)維人員需具備高級網(wǎng)絡(luò)安全認(rèn)證（如國家級網(wǎng)絡(luò)安全專家），每年參加不少于48學(xué)時(shí)的安全培訓(xùn)，定期進(jìn)行國家安全背景審查；（九）第三方管理：涉及第三方服務(wù)的，需經(jīng)國家網(wǎng)絡(luò)安全主管部門審批，簽訂涉密安全協(xié)議，定期（每月）進(jìn)行第三方安全評估；（十）保密管理：實(shí)行“涉密人員+涉密系統(tǒng)+涉密數(shù)據(jù)”全鏈條保密管理，定期進(jìn)行保密教育（每月一次），防止涉密信息泄露。第四章保障措施第十二條組織保障（一）成立網(wǎng)絡(luò)安全管理委員會(huì)，由單位負(fù)責(zé)人任主任，分管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)任副主任，成員包括各部門負(fù)責(zé)人、網(wǎng)絡(luò)安全專家；（二）設(shè)立網(wǎng)絡(luò)安全管理部門，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)信息系統(tǒng)安全管理工作，配備專職網(wǎng)絡(luò)安全人員（按每100臺(tái)服務(wù)器配備1名專職人員的比例）；（三）各部門設(shè)立網(wǎng)絡(luò)安全聯(lián)絡(luò)員，負(fù)責(zé)本部門信息系統(tǒng)的安全管理工作，定期向網(wǎng)絡(luò)安全管理部門匯報(bào)。第十三條人員保障（一）建立網(wǎng)絡(luò)安全人員資質(zhì)管理體系，明確不同崗位的資質(zhì)要求（如運(yùn)維人員、安全專家、應(yīng)急人員）；（二）定期組織網(wǎng)絡(luò)安全培訓(xùn)（如法律法規(guī)、技術(shù)防護(hù)、應(yīng)急處置），每年不少于24學(xué)時(shí)；（三）建立網(wǎng)絡(luò)安全人員考核機(jī)制，將安全工作納入績效考核，對表現(xiàn)優(yōu)秀的人員給予表彰，對違反規(guī)定的人員給予處罰。第十四條技術(shù)保障（一）建立“一個(gè)中心、三重防護(hù)”技術(shù)體系（安全管理中心，物理環(huán)境防護(hù)、網(wǎng)絡(luò)邊界防護(hù)、應(yīng)用數(shù)據(jù)防護(hù)）；（二）采用國產(chǎn)自主可控的網(wǎng)絡(luò)安全設(shè)備（如國產(chǎn)防火墻、IDS、加密機(jī)），避免使用國外進(jìn)口的高風(fēng)險(xiǎn)設(shè)備；（三）定期升級安全設(shè)備和系統(tǒng)軟件，及時(shí)修補(bǔ)安全漏洞；（四）建立安全技術(shù)支撐體系，與國家級網(wǎng)絡(luò)安全機(jī)構(gòu)（如國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心）、專業(yè)安全廠商合作，獲取技術(shù)支持。第十五條經(jīng)費(fèi)保障（一）將網(wǎng)絡(luò)安全投入納入單位年度預(yù)算，確保安全建設(shè)、運(yùn)維、培訓(xùn)、應(yīng)急等經(jīng)費(fèi)充足；（二）網(wǎng)絡(luò)安全經(jīng)費(fèi)占信息化總經(jīng)費(fèi)的比例不低于10%（一級系統(tǒng)）、15%（二級系統(tǒng)）、20%（三級系統(tǒng)）、30%（四級系統(tǒng)）；（三）建立網(wǎng)絡(luò)安全經(jīng)費(fèi)審計(jì)機(jī)制，確保經(jīng)費(fèi)合理使用。第五章監(jiān)督與責(zé)任第十六條監(jiān)督檢查（一）自查：各單位每月進(jìn)行一次信息系統(tǒng)安全自查，填寫《信息系統(tǒng)安全自查表》（附件3），報(bào)網(wǎng)絡(luò)安全管理部門；（二）抽查：網(wǎng)絡(luò)安全管理部門每季度進(jìn)行一次信息系統(tǒng)安全抽查，重點(diǎn)檢查安全措施落實(shí)情況、應(yīng)急演練情況、漏洞修復(fù)情況；（三）評估：每年委托第三方安全機(jī)構(gòu)進(jìn)行一次信息系統(tǒng)安全評估，形成《信息系統(tǒng)安全評估報(bào)告》，報(bào)單位負(fù)責(zé)人審批；（四）審計(jì)：單位審計(jì)部門每年進(jìn)行一次網(wǎng)絡(luò)安全經(jīng)費(fèi)審計(jì)，確保經(jīng)費(fèi)合理使用。第十七條責(zé)任追究（一）未落實(shí)信息系統(tǒng)安全管理要求的，責(zé)令限期整改，逾期未整改的，給予部門負(fù)責(zé)人通報(bào)批評；（二）發(fā)生信息安全事件的，按照《網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》進(jìn)行處置，對負(fù)有責(zé)任的人員給予處罰（如警告、記過、降薪）；（三）造成重大信息安全事件（如數(shù)據(jù)泄露、系統(tǒng)崩潰）的，依法追究刑事責(zé)任。第十八條獎(jiǎng)懲機(jī)制（一）對信息系統(tǒng)安全管理工作表現(xiàn)優(yōu)秀的單位和個(gè)人，給予表彰（如年度網(wǎng)絡(luò)安全先進(jìn)單位、先進(jìn)個(gè)人）和獎(jiǎng)勵(lì)（如獎(jiǎng)金、晉升）；（二）對違反信息系統(tǒng)安全管理規(guī)定的單位和個(gè)人，給予處罰（如罰款、降職）；（三）對舉報(bào)信息系統(tǒng)安全隱患的人員，給予獎(jiǎng)勵(lì)（如獎(jiǎng)金、表揚(yáng)