信息安全等级保护制度(精编文档).doc

信息安全等级保护管理规定公通字文件精编W O R D版IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】信息安全等级保护管理办法（公通字[2007]43号）作者 : 来源 : 公安部、国家保密局、国家密码管理局、国务院信息工作办公室时间：2007-字体：大中小06-22第一章?总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

一、总则为了加强信息安全保障工作，提高信息安全防护能力，确保国家信息安全，根据《中华人民共和国网络安全法》、《信息安全技术信息系统安全等级保护基本要求》等相关法律法规，制定本制度。

二、适用范围本制度适用于我单位所有信息系统，包括但不限于内部网络、外网、移动终端等。

三、安全等级保护1. 信息系统安全等级保护分为五个等级，从低到高分别为：一级保护、二级保护、三级保护、四级保护和五级保护。

2. 根据信息系统的重要性和业务性质，按照国家信息安全等级保护标准，确定信息系统的安全保护等级。

3. 信息系统的安全保护等级确定后，应采取相应的安全保护措施，确保信息系统安全稳定运行。

四、安全管理制度1. 组织管理（1）成立信息系统安全等级保护工作领导小组，负责信息系统的安全等级保护工作。

（2）明确信息系统安全等级保护工作职责，建立健全信息安全管理制度。

（3）加强信息安全培训，提高员工信息安全意识。

2. 技术措施（1）物理安全：加强信息系统物理环境的安全防护，防止非法侵入、破坏、盗窃等。

（2）网络安全：采用防火墙、入侵检测系统、漏洞扫描等网络安全设备和技术，保障网络畅通、安全。

（3）主机安全：定期对主机系统进行安全加固，防止恶意代码、病毒、木马等攻击。

（4）应用安全：加强应用系统安全防护，防止系统漏洞、信息泄露等。

（5）数据安全：建立数据备份和恢复机制，确保数据安全、可靠。

3. 安全运维（1）定期对信息系统进行安全检查，及时发现并整改安全隐患。

（2）建立安全事件报告制度，对安全事件进行及时处理。

（3）加强安全日志管理，对信息系统操作进行审计。

4. 应急响应（1）建立信息安全事件应急预案，明确事件响应流程。

（2）定期组织应急演练，提高应急响应能力。

（3）对信息安全事件进行及时、有效的处理。

五、安全责任1. 信息系统安全等级保护工作领导小组负责组织、协调、指导信息系统的安全等级保护工作。

2. 信息系统运维部门负责信息系统的日常安全管理、安全运维和技术支持。

信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导.国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级，信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

信息安全技术信息系统安全等级保护基本要求 Information security technology—Baseline for classified protection of information systemICS35.040 L80GB/T 22239—2008中华人民共和国国家标准 GB/T 22239—2008 I目次前言 ............................................................................ .. III引言 ............................................................................ (IV)信息系统安全等级保护基本要求 (1)1 范围 ............................................................................ . (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 ........................................................................... .. (1)4 信息系统安全等级保护概述 (1)4.1 信息系统安全保护等级 (1)4.2 不同等级的安全保护能力 (1)4.3 基本技术要求和基本管理要求 (2)4.4 基本技术要求的三种类型 (2)5 第一级基本要求 (2)5.1 技术要求 (2)5.1.1 物理安全 ........................................................................25.1.2 网络安全 ........................................................................35.1.3 主机安全 ........................................................................35.1.4 应用安45.1.5 数据安全及备份恢复 (4)5.2 管理要求 (4)5.2.1 安全管理制度 (4)5.2.2 安全管理机构 (4)5.2.3 人员安全管理 (5)5.2.4 系统建设管理 (5)5.2.5 系统运维管理 (6)6 第二级基本要求 (7)6.1 技术要求 (7)6.1.1 物理安全 ........................................................................76.1.2 网络安全 ........................................................................86.1.3 主机安全 ........................................................................96.1.4 应用安全 .......................................................................106.1.5 数据安全及备份恢复 (11)6.2 管理要求 .........................................................................116.2.1 安全管理制度 (11)6.2.2 安全管理机构 (11)6.2.3 人员安全管6.2.4 系统建设管理 (12)6.2.5 系统运维管理 (14)7 第三级基本要求 (16)7.1 技术要求 .........................................................................167.1.1 物理安全 .......................................................................167.1.2 网络安全 ....................................................................... 17GB/T 22239—2008 IIGB/T22239—20087.1.3主机安全 (19)7.1.4应用安全 (20)7.1.5数据安全及备份恢复 (22)7.2管理要求 (22)7.2.1安全管理制度 (22)7.2.2安全管理机构 (23)7.2.3人员安全管理 (24)7.2.4系统建设管理 (25)7.2.5系统运维管理...................................................................278第四级基本要求 (30)8.1技术要求 (30)8.1.1物理安全 (30)8.1.2网络安全 (32)8.1.3主机安全 (33)8.1.4应用安全 (35)8.1.5数据安全及备份恢复 (37)8.2管理要求 (37)8.2.1安全管理制度 (37)8.2.2安全管理机构 (38)8.2.3人员安全管理 (39)8.2.4系统建设管理 (40)8.2.5系统运维管理...................................................................429第五级基本要求 (46)附录A.............................................................................. ..47关于信息系统整体安全保护能力的要求...................................................47附录B.............................................................................. ..49基本安全要求的选择和使用.............................................................49参考文献............................................................................. 51GB/T 22239—2008 III（略）GB/T 22239—2008 IV依据国家信息安全等级保护管理规定制定本标准。

信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

信息平安等级保护制度第一条为标准信息平安等级保护管理，提高信息平安保障能力和水平，维护国家平安、社会稳定和公共利益，保障和促进信息化建设，根据?中华人民共和国计算机信息系统平安保护条例?等有关法律法规，制定本方法。

第二条国家通过制定统一的信息平安等级保护管理标准和技术标准，组织公民、法人和其他组织对信息系统分等级实行平安保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息平安等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本方法及相关标准标准，催促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息平安等级保护工作。

第五条信息系统的运营、使用单位应当依照本方法及其相关标准标准，履行信息平安等级保护的义务和责任。

第二章等级划分与保护第六条国家信息平安等级保护坚持自主定级、自主保护的原那么。

信息系统的平安保护等级应当根据信息系统在国家平安、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家平安、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的平安保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家平安、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家平安。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家平安造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家平安造成严重损害。

信息系统安全等级保护基本要求(doc 44页)b) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；c) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

5.1.3主机安全5.1.3.1身份鉴别（S1）应对登录操作系统和数据库系统的用户进行身份标识和鉴别。

5.1.3.2访问控制（S1）本项要求包括：a) 应启用访问控制功能，依据安全策略控制用户对资源的访问；b) 应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；c) 应及时删除多余的、过期的帐户，避免共享帐户的存在。

5.1.3.3入侵防范（G1）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并保持系统补丁及时得到更新。

5.1.3.4恶意代码防范（G1）应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。

5.1.4应用安全5.1.4.1身份鉴别（S1）本项要求包括：a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别；b) 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；c) 应启用身份鉴别和登录失败处理功能，并根据安全策略配置相关参数。

5.1.4.2访问控制（S1）本项要求包括：a) 应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问；b) 应由授权主体配置访问控制策略，并严格限制默认用户的访问权限。

5.1.4.3通信完整性（S1）应采用约定通信会话方式的方法保证通信过程中数据的完整性。

5.1.4.4软件容错（A1）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。

5.1.5数据安全及备份恢复5.1.5.1数据完整性（S1）应能够检测到重要用户数据在传输过程中完整性受到破坏。

5.1.5.2备份和恢复（A1）应能够对重要信息进行备份和恢复。

5.2管理要求5.2.1安全管理制度5.2.1.1管理制度（G1）应建立日常管理活动中常用的安全管理制度。

编号：SY-AQ-06946( 安全管理)单位：_____________________审批：_____________________日期：_____________________WORD文档/ A4打印/ 可编辑信息安全等级保护制度Information security classified protection system信息安全等级保护制度导语：进行安全管理的目的是预防、消灭事故，防止或消除事故伤害，保护劳动者的安全与健康。

在安全管理的四项主要内容中，虽然都是为了达到安全管理的目的，但是对生产因素状态的控制，与安全管理目的关系更直接，显得更为突出。

第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

网络信息安全等级保护制度1网络信息安全等级保护制度信息网络的全球化使得信息网络的安全问题也全球化起来，任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。

发达国家普遍发生的有关利用计算机进行犯罪的案件，绝大部分已经在我国出现。

目前，我国进口的计算机系统产品，其安全功能基本上是最低层次的，我国尚没有自己的配套安全技术产品，使用的微机和网络产品从硬件、固件到软件，基本没有安全保障功能，在建的一些重要信息系统，也缺乏安全技术防范措施。

这些问题若不加紧解决，会影响国家主权和安全、信息化社会的政治安定和社会稳定、经济和现代化建设顺利发展。

但是，当前计算机信息系统的建设者、管理者和使用者都面临着一个共同的问题，就是他们建设、管理或使用的信息系统是否是安全的？如何评价系统的安全性？这就需要有一整套用于规范计算机信息系统安全建设和使用的标准和管理办法。

一、等级保护制度的意义1994年，国务院发布了《中华人民共和国计算机信息系统安全保护条例》（以下简称《条例》），该条例是计算机信息系统安全保护的法律基础。

其中第九条规定计算机信息系统实行安全等级保护。

安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

公安部在《条例》发布实施后便着手开始了计算机信息系统安全等级保护的研究和准备工作。

等级管理的思想和方法具有科学、合理、规范、便于理解、掌握和运用等优点，因此，对计算机信息系统实行安全等级保护制度，是我国计算机信息系统安全保护工作的重要发展思路，对于正在发展中的信息系统安全保护工作更有着十分重要的意义。

为切实加强重要领域信息系统安全的规范化建设和管理，全面提高国家信息系统安全保护的整体水平，使公安机关公共信息网络安全监察工作更加科学、规范，指导工作更具体、明确，公安部组织制订了《计算机信息系统安全保护等级划分准则》（以下简称《准则》）国家标准，并于1999年9月13日由国家质量技术监督局审查通过并正式批准发布，已于2001年1月1日执行。

信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法.第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作.第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定.第七条信息系统的安全保护等级分为以下五级：第一级,信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后，会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

信息分类分级管理制度第一章总则第一条为切实加强XXXX有限公司（以下简称“公司”）的信息安全工作，防范和杜绝各种泄密事件的发生，保护和合理利用公司秘密，确保公司信息披露的公平、公正，保障公司及其他利益相关者的合法权益不受侵犯，根据有关法律、法规并结合公司实际，制定本管理办法。

第二条保密信息是指不为公众所知悉，关系公司利益，具有实用性并经公司采取保密措施保护的技术信息、经营信息、客户信息和管理信息等，在一定时间内只限一定范围人员知悉的信息。

第三条公司各部门以及全体职员都有保守公司秘密的义务，都应做好信息保密工作。

第四条信息保密工作，实行积极防范、突出重点、既确保秘密又便于工作，并充分履行信息披露义务的方针。

第二章保密信息范围和密级确定第五条保密信息包括但不限于以下事项和行为：（一）涉及公司经营管理、运作和决策，或对公司利益有重大影响，一旦泄密将给公司带来损失或失去潜在收益的信息；（二）包括以书面和电子等方式存在的各种信息；（三）其他与公司相关的需要保密的信息。

第六条保密信息的密级分为“1级”、“2级”、“3级”三个等级。

（一）3级是最重要的公司秘密，泄露会使公司的利益遭受特别严重的损害，主要包括：公司的发展规划、经营战略、客户信息资料及相关内容、交易系统信息数据、商务谈判内容及载体，正式合同和协议文书、未开标的投标文件、未公开的重大投资决策、尚未确定的公司重要人事调整及安排等，以及按《档案法》规定属于绝密级别的各种档案；（二）2级是重要的公司秘密，泄露会使公司利益遭受到严重的损害，如、财务报表、统计资料、重要会议记录、公司经营情况等，以及按《档案法》规定属于机密级别的各种档案；（三）1级是一般的公司秘密，泄露会使公司的利益遭受损害，如公司人事档案、合同、协议、薪金制度，人力资源对管理人员的考评材料等，以及按《档案法》规定属于秘密级别的各种档案。

第七条定级方法所有信息用户，都应该遵守公司策略，基于信息密级来进行恰当的使用和处理。

等级保护信息安全管理制度汇编完整篇.doc
等级保护信息安全管理制度汇编1
信息安全等级保护第三级要求
1 第三级基本要求
1.1技术要求
1.1.1 物理安全
1.1.1.1 物理位置的选择(G3)
本项要求包括:
a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。

1.1.1.2 物理访问控制(G3)
本项要求包括:
a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安
装等过渡区域;
d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3)
本项要求包括:
a) 应将主要设备放置在机房内;
b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;
c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
d) 应对介质分类标识,存储在介质库或档案室中;
e) 应利用光、电等技术设置机房防盗报警系统;
f) 应对机房设置监控报警系统。

1.1.1.4 防雷击(G3)
本项要求包括:
a) 机房建筑应设置避雷装置;
b) 应设置防雷保安器,防止感应雷;
c) 机房应设置交流电源地线。

7.1.1.5 防火(G3)。