关于开展保险业(第二批)信息系统安全等级保护定级工作的

-1-关于开展保险业（第二批）信息系统安全等级保护定级工作的通知保监厅发〔2007〕80号各保监局，各保险公司、保险资产管理公司：为贯彻落实国家信息安全等级保护制度，现将保险业第二批等级保护定级工作的有关事项通知如下：一、第二批开展定级工作的单位范围除第一批单位(保监会及各保监局，中国保险行业协会，中国人民保险集团公司、中国人寿保险（集团）公司、中国再保险（集团）股份有限公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险（集团）股份有限公司、中国太平洋（集团）股份有限公司及其下属各子公司和分公司)以外的所有保险公司和保险资产管理公司。二、定级依据及定级方法（一）《信息安全等级保护管理办法》（公通字〔2007〕43号，以下简称“《管理办法》”，附件1）；（二）《信息安全技术信息系统安全等级保护定级指南》（信安字〔2007〕11号，以下简称“《定级指南》”，附件2）。三、工作要求及组织方式各单位应按照“自主定级、自主保护”的工作原则，成立相应的领导及实施机构，结合本单位的实际情况，准确开展信息系统等级保护定级工作。各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。四、定级范围（一）保险公司和保险资产管理公司经营、管理、办公等重要信息系统（以下简称“重要信息系统”）；（二）涉及国家秘密的信息系统（以下简称“涉密信息系统”）。五、主要工作步骤第一阶段：自主定级（2008年1月20日前完成）各单位按要求成立相关定级实施机构，对本系统内的重要信息系统和涉密信息系统展开-2-摸底调查，全面掌握信息网络和信息系统的数量、分布、业务类型、系统结构、应用或服务范围等基本情况，按照《管理办法》和《定级指南》的要求，确定定级对象并初步确定保护等级，形成定级报告（报告模板见附件3）。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。各公司对本公司内的重要信息系统和涉密信息系统定级进行统一审核。第二阶段：到公安机关和保密部门备案（2008年1月30日前完成）根据《管理办法》，各单位对重要信息系统安全等级确定为二级以上的信息系统应到公安部网站下载《信息系统安全等级保护备案表》（见附件4）和辅助备案工具，并持填写的备案表和利用辅助备案工具生成的备案电子数据文件，到公安机关办理备案手续。在京的保险总公司，对统一定级的跨省联网运营的信息系统，向公安部备案；非在京的保险总公司，对统一定级的跨省联网运营的信息系统，向当地省级公安机关备案；保险公司分公司将总公司定级的跨省联网在当地运行、应用的分支系统，以及在当地分公司独立运行的信息系统，向当地设区的市级以上公安机关备案。涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定，填写《涉及国家秘密的信息系统分级保护备案表》（见附件5），按照属地化管理原则，将所确定的涉密信息系统，报送相对应的保密部门备案。第三阶段：向保险监管机关报备各级单位到公安机关和保密部门完成备案10个工作日内，对等级保护定级工作进行总结，并将“等级保护定级情况统计表（附件6）”、工作总结的书面材料和电子版，以及备案证明复印件报相对应的保险监管机构存档。其中，总公司向保监会报备，其他分支机构向所在地保监局报备。联系人：李春亮、王晓鹏联系电话：010－66286602Email:xiaopeng_wang@circ.gov.cn附件：1、信息安全等级保护管理办法（公通字〔2007〕43号）；2、信息安全技术信息系统安全等级保护定级指南（信安字〔2007〕11号）；3、信息系统安全等级保护定级报告；4、信息系统安全等级保护备案表；5、涉及国家秘密的信息系统分级保护备案表；6、等级保护定级情况统计表。二○○七年十二月二十七日-3-附件1：信息安全等级保护管理办法（公通字[2007]43号）第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。-4-第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第八条信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。第三章等级保护的实施与管理第九条信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。第十条信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。第十一条信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。第十二条在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照-5-《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。第十三条运营、使用单位应当参照《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。第十四条信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。第十五条已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。第十六条办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：（一）系统拓扑结构及说明；（二）系统安全组织机构和管理制度；-6-（三）系统安全保护设施设计实施方案或者改建实施方案；（四）系统使用的信息安全产品清单及其认证、销售许可证明；（五）测评后符合系统安全保护等级的技术检测评估报告；（六）信息系统安全保护等级专家评审意见；（七）主管部门审核批准信息系统安全保护等级的意见。第十七条信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。第十八条受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。对第五级信息系统，应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查：（一）信息系统安全需求是否发生变化，原定保护等级是否准确；（二）运营、使用单位安全管理制度、措施的落实情况；（三）运营、使用单位及其主管部门对信息系统安全状况的检查情况；（四）系统安全等级测评是否符合要求；（五）信息安全产品使用是否符合要求；（六）信息系统安全整改情况；（七）备案材料与运营、使用单位、信息系统的符合情况；（八）其他应当