北京市信息安全等级保护工作实施细则

北京市信息安全等级保护工作实施细则

第一章 总则

第一条 信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。为加强本市信息安全等级保护工作，规范信息安全等级保护安全管理，促进各职能部门之间的分工与协调合作，提高首都信息安全保障能力和水平，根据《北京市公共服务网络与信息系统安全管理规定》（市政府第 163号令）、《市公安局、市信息办、市国家保密局、市国家密码办关于开展信息安全等级保护工作的通知》（京公网监字 [2006]208号）和相关法律法规，结合本市实际情况，制定本实施细则。

第二条 信息安全等级保护，是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

第三条 本实施细则所指的重要信息系统，是指包括本市公共服务网络与信息系统在内的财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系国计民生的信息系统；教育、国家科研等单位的信息系统；公共通信、广播电视传输等基础信

息网络中的信息系统；互联网管理中心、重要网站和网络节点的信息系统、重点工程和其他领域的信息系统。

第四条 信息系统运营、使用单位是指信息系统的所有者或信息系统所承载业务的主管单位，且对该信息系统的安全运行负主要责任的最小法人单位或组织。本实施细则适用于新建和已建的所有信息系统。

第五条 本市辖区内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负责的原则，对其信息系统分等级进行保护，履行信息安全等级保护职责。

第六条 信息系统安全保护等级分为五级：

（一）第一级为自主保护级，信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。

（二）第二级为指导保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时，相关职能部门可以对其信息安全等级保护工作进行指导。

（三）第三级为监督保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。

（四）第四级为强制保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。

（五）第五级为专控保护级，由国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、管理、指导。

第七条 北京市成立信息安全等级保护领导小组，负责北京市信息安全等级保护工作的整体协调和指导，北京市公安局牵头，联合市信息办、市国家保密局、市国家密码管理委员会办公室共同开展此项工作。北京市信息安全等级保护领导小组下设办公室负责： （一）对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查；

（二）对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导；

（三）传达市信息安全等级保护领导小组工作指示，制定、下发相关文件；

（四）推动制定北京市信息安全等级保护相关法律法规和技术标准的细化；

（五）汇总有关信息安全等级保护工作的信息，并报市信息安全等级保护领导小组审核后上报市委、市政府和公安部；

（六）研究制定北京市信息安全等级保护工作规划，编制信息安全等级保护工作简报。

第八条 市公安机关负责：

本市所辖区域内所有信息系统安全等级保护工作的监督、检查和指导：

（一）负责组织信息安全等级保护的相关法律法规、标准和政策的培训和宣贯工作，以提高社会对信息安全等级保护工作的认识和重视。

（二）对所管辖的运营、使用单位等级保护工作情况进行检查、指导和监督；

（三）对所管辖的运营、使用单位检查中发现的信息系统安全隐患，督促落实整改措施；

（四）对所管辖的运营、使用单位检查中违反等级保护工作相关法律法规的依法给予行政处罚；

（五）对所管辖的运营、使用单位的信息系统发生的安全事件进行调查、处理，并依法追究相关人员的法律责任；

（六）分阶段汇总情况，报市信息安全等级保护办公室。

第二章 工作流程

第九条 信息系统运营、使用单位法定代表人或相同级别的主管领导为信息系统安全等级保护工作第一责任人，负责本单位信息安全等级保护工作的组织实施，为开展信息安全等级保护工作提供必要的条件。

第十条 信息系统运营、使用单位应当按照相关法律法规和技术标准的要求，评估和分析本单位信息系统安全状况，确定信息系统的安全保护等级。有主管部门的，应当报主管部门审核批准。

属于重要信息系统的，运营使用单位及其主管部门在确定信息系统的安全保护等级时，应请北京市信息安全保护等级专家评审委员会给予咨询评审。

第十一条 公安机关负责及时、准确掌握本市重要信息系统数量、行业分布、区域分布、安全事件发生和等级评定等基本情况。

第十二条 信息系统运营、使用单位应在确定本单位信息系统的安全等级后 7日内，登录北京市信息安全等级保护网站，网上在线填报《信息系统安全定级备案表》；信息系统运营、使用单位也可以下载后填写，将等级评定情况上报属地、保卫关系所属公安机关进行定级备案。

跨地域的信息系统由其主管部门向其所在地的公安机关备案，分系统分别由当地信息系统运营、使用单位到本地备案。

属地、保卫关系所属公安机关汇总各信息系统运营、使用单位定级备案情况上报市公安局，市公安局负责统计分析信息系统定级情况。

第十三条 信息系统运营、使用单位变更本单位信息系统的安全等级，需按照本细则第十二条规定，进行重新备案。

第十四条 信息系统的运营、使用单位应当根据已确定的安全保护等级，按照等级保护相关法律法规和技术标准，使用经过相关部门认可的安全产品，进行信息系统建设。