烟草行业信息安全等级保护管理规定(征求意见稿)

附件
烟草行业信息安全等级保护管理规定
第一章总则
第一条为加强烟草行业信息安全等级保护（以下简称等级保护）工作，提高信息安全保障能力，依据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合印发的《信息安全等级保护管理办法》（公通字〔2007〕43号）和《烟草行业信息化工作管理办法》（国烟办〔2011〕529号），结合行业实际情况，制订本规定。

第二条本规定适用于国家局、总公司机关，行业各直属单位及其所属单位的等级保护工作。

第三条本规定所称信息系统是指行业自行建设（或采购）和使用的非涉及国家秘密的信息系统。

等级保护工作内容主要包括信息系统的定级、备案、测评、安全保护和整改等。

第四条行业等级保护工作实行逐级审核、自主保护的原则，所有信息系统均要确定安全保护等级并明确业务主管部门或专门设立的跨部门管理机构（以下统称业务主管部门）。

未确定安全保护等级和未明确业务主管部门的信息系统，不得竣工验收和支付运行维护期的维护费用。

第二章管理机构与职责
第五条烟草行业信息安全工作领导小组是行业等级保护工作领导机构,主要工作职责是贯彻落实国家有关方针、政策和法律法规，组织开展行业等级保护工作。

第六条烟草行业信息安全工作领导小组办公室承担行业等级保护日常工作，负责组织制订行业等级保护制度和标准，审核行业各直属单位信息系统安全保护等级，指导、检查行业等级保护工作。

第七条国家局烟草经济信息中心负责组织实施国家局、总公司机关信息系统定级、备案、测评、安全保护和整改工作。

行业各直属单位信息化部门具体负责本单位及所属单位等级保护工作，按照行业等级保护有关要求，审核所属单位信息系统安全保护等级，组织实施信息系统定级、备案、测评、安全保护和整改工作。

第八条信息系统业务主管部门负责提出信息系统安全保护需求并确认信息系统安全保护等级。

第三章信息系统定级
第九条信息系统定级是指确定信息系统安全保护等级。

行业各单位要按照本规定和本单位实际情况确定信息系统的安全保护等级，信息化部门要协助信息系统业务主管部门进行定级。

第十条信息系统安全保护等级遵循《信息安全等级保护管理办法》和国家有关标准进行等级划分，共分为第一级
至第五级。

第十一条各单位应根据信息系统存储、处理和传输信息的重要程度，以及信息系统遭到破坏后的危害程度等因素确定系统安全保护等级，对于由多个信息系统集成整合为一个信息系统的，要按其中信息系统的最高安全保护等级进行定级。

第十二条各单位对信息系统进行定级时应遵循以下原则：
（一）对信息系统受到破坏后会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害或特别严重损害的信息系统应定为第五级或第四级。

（二）对全行业联网运行或跨国、跨行业直属单位联网运行的，且信息系统受到破坏后会对行业合法权益、行业形象或者行业生产经营活动造成严重损害的信息系统应定为第三级。

（三）对符合下列条件之一的信息系统可根据本单位实际情况定为第三级或第二级，定为第二级的要按照第三级进行保护：
1.对本单位重要业务和工作起关键支撑作用的信息系统；
2.存储、处理和传输零售户、烟农以及其他客户信息的信息系统；
3.存储、处理和传输行业财务信息、核心技术资料、人事档案、重要生产经营和专卖管理信息以及其他重要数据的信息系统；
4.存储、处理和传输国家非公开的地理、人口、法人、统计等基础信息资源的信息系统；
5.在互联网运行的政府网站、门户网站、面向社会公众提供服务的网站或信息系统；
6.其他按国家和行业有关要求需要重点保护的信息系统。

（四）对其他信息系统可定为第一级。

第十三条行业各直属单位本级应用的信息系统，在本单位范围内推广应用的信息系统，以及跨国、跨行业直属单位联网运行的信息系统安全保护等级需报国家局、总公司审核，其所属单位应用的信息系统安全保护等级由各直属单位负责审核。

行业统一推广信息系统由国家局、总公司负责定级。

对于仅作为用户使用的信息系统且系统的软硬件集中部署在上级单位或特定单位，用户单位不需另行定级。

第十四条新建信息系统要在立项阶段初步确定安全保护等级并按照相应等级要求进行安全保护方案设计。

原有信息系统进行升级改造时，要在设计阶段重新确定安全保护等级。

新建或升级改造的信息系统，要在信息系统正式运行前正式确定安全保护等级。

信息系统发生功能扩充、规模扩建、
集成整合等较大变动时，要重新确定安全保护等级。

第十五条各单位建设第四级（含）以上信息系统前，须先报国家局、总公司审核。

第四章信息系统备案
第十六条信息系统备案是指对安全保护等级为第二级（含）以上的信息系统，按照公安机关要求和国家有关标准填写相关材料，到所在地设区的市级以上公安机关办理备案手续。

第十七条各单位应在信息系统正式运行后30日内到公安机关办理备案工作。

对行业统一推广信息系统需要在本单位所在地公安机关备案的，要按照国家局、总公司确定的安全保护等级和当地公安机关有关要求办理备案工作。

第十八条信息系统重新确定安全保护等级后，办理原信息系统备案手续的单位要及时到公安机关办理备案变更手续。

第十九条信息系统永久性停止运行后，办理原信息系统备案手续的单位要及时到公安机关办理备案撤销手续。

第五章信息系统安全等级测评
第二十条信息系统安全等级测评（以下简称测评）是指依据国家和行业等级保护制度、标准和有关要求，以及信息系统安全保护等级，对信息系统安全保护状况进行检测评估。

第二十一条要定期对信息系统进行测评，其中第三级（含）以上信息系统每年至少进行一次测评。

在完成第三级（含）以上信息系统测评后30日内，各级单位应将信息系统安全等级测评报告提交公安机关备案。

第二十二条委托行业外专业机构进行信息系统测评时，要在国家信息安全等级保护工作协调小组办公室发布的《全国信息安全等级保护测评机构推荐目录》中选择测评机构，测评资料要妥善保管，不得向无关人员或机构泄露。

第二十三条每年12月10日前，行业各直属单位要将本单位及所属单位信息系统备案、测评情况以及信息系统变更、撤销情况汇总报告国家局、总公司。

第六章信息系统安全保护和整改
第二十四条信息系统安全保护和整改是指依据国家和行业等级保护制度、标准及有关要求，以及信息系统安全保护等级，对信息系统进行安全保护和整改。

第二十五条各单位自行建设（或采购）和使用的信息系统实行“自主保护”原则，各单位要依据本规定实施安全保护和整改。

行业统一推广信息系统实行“统一管理、分级负责”的安全保护原则，各单位要按照行业统一要求并依照本规定对部署在本单位的分支系统（子系统）实施安全保护和整改。

第二十六条行业所有信息系统的安全保护措施不能低
于国家等级保护标准对应等级的要求，对符合本规定第十二条第三款规定的信息系统安全保护措施要达到第三级要求。

第二十七条信息系统安全保护状况未达到国家和行业等级保护制度、标准及有关要求的，以及经测评、风险评估和安全检查发现安全保护状态不符合国家和行业等级保护制度、标准及有关要求的，要及时进行整改。

整改结束后要进行再次测评、评估，验证整改效果。

第七章监督与责任
第二十八条各单位信息化部门要配合国家或当地有关信息安全监管部门对本单位等级保护工作进行监督管理。

第二十九条要在信息化建设中同步考虑信息安全建设，保证本单位及所属单位信息系统定级、备案、测评、安全保护和整改的费用。

第三十条要把等级保护工作情况作为每年本单位信息安全检查的重要内容。

第三十一条违反本规定，造成不良影响或损失的，由上一级单位责令其限期改正；情节严重的，将依法依规追究有关领导和人员责任。

第八章附则
第三十二条本规定由国家局、总公司负责解释。

第三十三条本规定自印发之日起施行。

此前国家局、总公司印发的有关规定与本规定不一致的，以本规定为准。

附件：烟草行业信息安全等级保护工作流程
附件：
烟草行业信息安全等级保护工作流程
一、立项与设计阶段
（一）信息系统业务主管部门根据本规定要求以及新建或升级改造信息系统应用情况，提出安全保护需求，信息化部门协助业务主管部门初步确定新建信息系统安全保护等级，重新确定升级改造信息系统安全保护等级。

（二）由业务部门填写“信息系统安全保护需求表”（表1），在信息化部门保存。

表1新建或升级改造信息系统安全保护需求表
填表人：填表日期：年月日
二、信息系统上线部署阶段
（一）新建或升级改造信息系统上线部署后，由业务主管部门确认安全保护等级并填写“信息系统安全保护等级定级确认表”（表2），由信息化部门保存。

表2 信息系统安全保护等级定级确认表
填表人：填表日期：年月日
信息系统业务主管部门负责人：日期：年月日
（二）新建或升级改造信息系统安全保护等级经业务主管部门确认后，由信息化部门汇总填写“烟草行业信息系统安全保护等级审核表”（表3）,报国家局、总公司审核。

表3 烟草行业信息系统安全保护等级审核表
填表人：填表日期：年月日
填表说明：
1.本表只填写在省级单位使用的和全省（区、市）联网运行的信息系统。

2.信息系统名称：填写该系统的正式名称；对于行业联网运行的信息系统，填写“XX
系统（子系统）”。

3.信息系统描述：简要填写信息系统主要功能及在生产、经营、管理工作中发挥的作用
（如重要、较重要或一般）等。

4.主管部门：指信息系统的业务主管部门。

5.使用人员：填写使用信息系统的人员类别：属于行业外人员使用的，填写“社会公众”；
属于行业内、外人员使用的，填写“内部人员及社会公众”；属于行业内部人员使用的，填写“内部人员”。

6.运行网络：根据信息系统运行网络填写互联网、行业内网、省域网或局域网中的一项
或多项。

（三）信息化部门应在信息系统正式运行后30日内到公安机关办理备案工作。

三、信息系统正式运行阶段
（一）在完成三级（含）以上信息系统测评后30日内，由信息化部门将信息系统安全等级测评报告提交本单位所在地公安机关备案。

（二）每年12月10日前，由信息化部门填写“烟草行
业信息系统备案、测评和撤销情况表”（表4）报送国家局烟草经济信息中心。

表4 XX年度烟草行业信息系统备案、撤销和测评情况表
填表人：填表日期：年月日
填表说明：
7.备案证明编号：填写公安机关颁发的信息系统备案证明上给出的备案证明编号。

8.开展情况：填写本年度信息系统等级测评开展情况，已开展等级测评工作的，填写“已
开展”，未开展等级测评工作的，填写“未开展”。

9.测评机构：指具有等级保护测评资质的机构名称。

10.报告编号：填写测评机构出具的测评报告中给出的报告编号。

11.测评结论：填写测评报告中给出的等级测评结论，例如：符合、基本符合、不符合。

12.撤消情况：填写到公安机关办理撤消手续情况。

（三）信息系统永久性停止运行后30日内，由信息化部门到本单位所在地公安机关办理备案撤销手续。