涉密信息系統應當按照國家信息安全等級保護的基本要求、國家保密部門涉密信息系統等級保護管理規定和技術標準,結合系統實際情況進行保護。
非保密信息系統不得處理國家秘密信息等。
第二十五條
涉密信息系統按照所處理信息的最高秘密等級分為秘密、機密、絕密三個等級。
涉密信息系統建設和使用單位應當在信息規範和密級的基礎上,按照《涉密信息系統等級保護管理辦法》和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統等級保護技術要求》確定系統等級。對於具有多個安全域的涉密信息系統,每個安全域可以分別確定保護級別。
安全部門和機構應當監督和指導涉密信息系統的建設和使用,準確合理地對系統進行分級。
第二十六條
涉密信息系統的建設和使用單位應當將涉密信息系統的密級、建設和使用情況報業務主管部門和負責系統審批的保密部門備案,並接受保密部門的監督、檢查和指導。
第二十七條
涉密信息系統的建設和使用單位應當選擇具有涉密資質的單位承擔或者參與涉密信息系統的設計和實施。
涉密信息系統建設和使用單位應當根據涉密信息系統等級保護管理規範和技術標準,按照保密、機密、絕密三個等級的不同要求設計方案,結合系統實際情況實施等級保護。保護等級壹般不低於國家信息安全保護三、四、五級的等級。
第二十八條
涉密信息系統使用的信息安全產品原則上應為國產,並由國家保密局授權的檢測機構按照國家相關安全標準進行檢測。通過檢測的產品要經過國家保密局的審查和公布。
第二十九條
系統工程實施後,涉密信息系統的建設和使用單位應當向保密部門提出申請,由國家保密局授權的系統測評機構按照國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統等級保護測評指南》對涉密信息系統進行安全測評。
系統投入使用前,涉密信息系統的建設和使用單位應當按照《涉及國家秘密信息系統審批管理規定》,向設區的市級以上保密工作部門申請系統審批,經審批合格後,涉密信息系統方可投入使用。對於已經投入使用的涉密信息系統,建設和使用單位應當在按照涉密保護要求完成系統整改後,向保密部門備案。
第三十條
涉密信息系統的建設和使用單位在申請系統核準或備案時,應當提交以下材料:
(壹)系統設計、實施方案及審查意見;
(二)系統承包商的資質證明材料;
(三)系統建設和項目監管報告;
(四)系統安全檢查評估報告;
(五)系統安全組織管理制度;
(六)其他相關材料。
第三十壹條
涉密信息系統的密級、連接範圍、環境設施、主要應用、安全保密管理責任單位等發生變化時,其建設和使用單位應當及時報告負責審批的保密部門。保密部門應當根據實際情況,決定是否重新評估批準。
第三十二條
涉密信息系統建設和使用單位應當按照國家保密標準BMB20-2007《涉及國家秘密的信息系統等級保護管理規範》,加強涉密信息系統運行中的保密管理,定期進行風險評估,消除泄密隱患和漏洞。
第三十三條
國家和地方各級保密部門依法對各地區、各部門涉密信息系統的等級保護進行監督管理,並做好以下工作:
(壹)指導、監督、檢查等級保護工作的開展;
(二)指導涉密信息系統的建設和使用,規範信息分類,合理確定系統的保護等級;
(三)參與涉密信息系統等級保護方案的論證,指導建設和使用單位做好保密設施的同步規劃和設計;
(四)依法監督管理涉密信息系統集成資質單位;
(五)嚴格執行系統評估和審批,監督檢查涉密信息系統使用單位的等級保護管理制度和技術措施的落實情況;
(六)加強對涉密信息系統運行的保密監督檢查。秘密和機密信息系統至少每兩年壹次,絕密信息系統至少每年壹次;
(七)了解各級各類涉密信息系統的管理和使用情況,及時發現和查處各類違規泄密行為。
擴展數據:
為規範信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,根據《中華人民共和國計算機信息系統安全保護條例》及其他相關法律法規,制定本辦法。四部委工統字第200743號發布。
參考資料:
百度百科-信息安全等級保護管理辦法