信息安全等級保護制度是國家在國民經濟和社會信息化的發展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩 定和公共利益，保障和促進信息化建設健康發展的一項基本制度。 實行信息安全等級保護制度，能夠充分調動國家、法人和其他組織 及公民的積極性，發揮各方面的作用，達到有效保護的目的，增強 安全保護的整體性、針對性和實效性，使信息系統安全建設更加突 出重點、統一規范、科學合理，對促進我國信息安全的發展將起到 重要推動作用。

為了進一步提高信息安全的保障能力和防護水平，維護國家安 全、 公共利益和社會穩定， 保障和促進信息化建設的健康發展， 1994 年國務院頒布的《中華人民共和國計算機信息系統安全保護條例》 規定， “計算機信息系統實行安全等級保護，安全等級的劃分標準和 安全等級保護的具體辦法，由公安部會同有關部門制定” 。 2003 年 中央辦公廳、國務院辦公廳轉發的《國家信息化領導小組關于加強 信息安全保障工作的意見》 （中辦發[2003]27 號）明確指出， “要重 點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面 的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全 等級保護的管理辦法和技術指南” 。

一、開展信息安全等級保護工作的重要意義 近年來，黨中央、國務院高度重視，各有關方面協調配合、共 同努力， 我國信息安全保障工作取得了很大進展。 但是從總體上看，我國的信息安全保障工作尚處于起步階段，基礎薄弱，水平不高， 存在以下突出問題：信息安全意識和安全防范能力薄弱，信息安全 滯后于信息化發展；信息系統安全建設和管理的目標不明確；信息 安全保障工作的重點不突出；信息安全監督管理缺乏依據和標準， 監管措施有待到位，監管體系尚待完善。隨著信息技術的高速發展 和網絡應用的迅速普及，我國國民經濟和社會信息化進程全面加 快，信息系統的基礎性、全局性作用日益增強，信息資源已經成為 國家經濟建設和社會發展的重要戰略資源之一。保障信息安全，維 護國家安全、公共利益和社會穩定，是當前信息化發展中迫切需要 解決的重大問題。 實施信息安全等級保護， 能夠有效地提高我國信息和信息系統 安全建設的整體水平，有利于在信息化建設過程中同步建設信息安 全設施，保障信息安全與信息化建設相協調；有利于為信息系統安 全建設和管理提供系統性、針對性、可行性的指導和服務，有效控 制信息安全建設成本；有利于優化信息安全資源的配置，對信息系 統分級實施保護，重點保障基礎信息網絡和關系國家安全、經濟命 脈、社會穩定等方面的重要信息系統的安全；有利于明確國家、法 人和其他組織、公民的信息安全責任，加強信息安全管理；有利于 推動信息安全產業的發展，逐步探索出一條適應社會主義市場經濟 發展的信息安全模式。

二、信息安全等級保護制度的原則 信息安全等級保護的核心是對信息安全分等級、按標準進行建 設、管理和監督。信息安全等級保護制度遵循以下基本原則：

（一）明確責任，共同保護 。 通過等級保護，組織和動員國家、法人和其他組織、公民共同參與信息安全保護工作；各方 主體按照規范和標準分別承擔相應的、明確具體的信息安全保護責 任。

（二）依照標準，自行保護。 國家運用強制性的規范及 標準， 要求信息和信息系統按照相應的建設和管理要求， 自行定級、 自行保護。

（三）同步建設，動態調整。 信息系統在新建、改建、 擴建時應當同步建設信息安全設施，保障信息安全與信息化建設相 適應。因信息和信息系統的應用類型、范圍等條件的變化及其他原 因，安全保護等級需要變更的，應當根據等級保護的管理規范和技 術標準的要求，重新確定信息系統的安全保護等級。等級保護的管 理規范和技術標準應按照等級保護工作開展的實際情況適時修訂。

（四）指導監督，重點保護。 國家指定信息安全監管職 能部門通過備案、指導、檢查、督促整改等方式，對重要信息和信 息系統的信息安全保護工作進行指導監督。國家重點保護涉及國家 安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統，主要 包括：國家事務處理信息系統（黨政機關辦公系統） ；財政、金融、 稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業 等關系到國計民生的信息系統； 教育、 國家科研等單位的信息系統； 公用通信、廣播電視傳輸等基礎信息網絡中的信息系統；網絡管理 中心、重要網站中的重要信息系統和其他領域的重要信息系統。

三、信息安全等級保護制度的基本內容 信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系 統分等級實行安全保護，對信息系統中使用的信息安全產品實行按 等級管理，對信息系統中發生的信息安全事件分等級響應、處置。 信息系統是指由計算機及其相關和配套的設備、設施構成的， 按照一定的應用目標和規則對信息進行存儲、傳輸、處理的系統或 者網絡；信息是指在信息系統中存儲、傳輸、處理的數字化信息。 根據信息和信息系統在國家安全、經濟建設、社會生活中的重 要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、 法人和其他組織的合法權益的危害程度；針對信息的保密性、完整 性和可用性要求及信息系統必須要達到的基本的安全保護水平等 因素，信息和信息系統的安全保護等級共分五級：

1. 第一級為自主保護級，適用于一般的信息和信息系統，其 受到破壞后，會對公民、法人和其他組織的權益有一定影響，但不 危害國家安全、社會秩序、經濟建設和公共利益。

2. 第二級為指導保護級，適用于一定程度上涉及國家安全、 社會秩序、經濟建設和公共利益的一般信息和信息系統，其受到破 壞后，會對國家安全、社會秩序、經濟建設和公共利益造成一定損 害。

3. 第三級為監督保護級，適用于涉及國家安全、社會秩序、 經濟建設和公共利益的信息和信息系統，其受到破壞后，會對國家 安全、社會秩序、經濟建設和公共利益造成較大損害。

4. 第四級為強制保護級，適用于涉及國家安全、社會秩序、 經濟建設和公共利益的重要信息和信息系統，其受到破壞后，會對 國家安全、社會秩序、經濟建設和公共利益造成嚴重損害。

5. 第五級為?？乇Ｗo級，適用于涉及國家安全、社會秩序、 經濟建設和公共利益的重要信息和信息系統的核心子系統，其受到 破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成特別 嚴重損害。 國家通過制定統一的管理規范和技術標準，組織行政機關、公 民、法人和其他組織根據信息和信息系統的不同重要程度開展有針 對性的保護工作。國家對不同安全保護級別的信息和信息系統實行 不同強度的監管政策。

第一級依照國家管理規范和技術標準進行自 主保護；第二級在信息安全監管職能部門指導下依照國家管理規范 和技術標準進行自主保護；第三級依照國家管理規范和技術標準進 行自主保護，信息安全監管職能部門對其進行監督、檢查；第四級 依照國家管理規范和技術標準進行自主保護，信息安全監管職能部 門對其進行強制監督、檢查；第五級依照國家管理規范和技術標準 進行自主保護，國家指定專門部門、專門機構進行專門監督。 國家對信息安全產品的使用實行分等級管理。 信息安全事件實行分等級響應、處置的制度。依據信息安全事 件對信息和信息系統的破壞程度、所造成的社會影響以及涉及的范 圍，確定事件等級。根據不同安全保護等級的信息系統中發生的不 同等級事件制定相應的預案，確定事件響應和處置的范圍、程度以 及適用的管理制度等。信息安全事件發生后，分等級按照預案響應 和處置。

四、信息安全等級保護工作職責分工 公安機關負責信息安全等級保護工作的監督、檢查、指導。國 家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監 督、檢查、指導。 在信息安全等級保護工作中，涉及其他職能部門管轄范圍的事 項，由有關職能部門依照國家法律法規的規定進行管理。 信息和信息系統的主管部門及運營、使用單位按照等級保護的 管理規范和技術標準進行信息安全建設和管理。 國務院信息化工作辦公室負責信息安全等級保護工作中部門 間的協調。

五、實施信息安全等級保護工作的要求 信息安全等級保護工作要突出重點、分級負責、分類指導、分 步實施，按照誰主管誰負責、誰運營誰負責的要求，明確主管部門 以及信息系統建設、運行、維護、使用單位和個人的安全責任，分 別落實等級保護措施。實施信息安全等級保護應當做好以下六個方 面工作：

（一）完善標準，分類指導。 制定系統完整的信息安全 等級保護管理規范和技術標準，并根據工作開展的實際情況不斷補 充完善。信息安全監管職能部門對不同重要程度的信息和信息系統 的安全等級保護工作給予相應的指導，確保等級保護工作順利開 展。

（二）科學定級，嚴格備案。 信息和信息系統的運營、 使用單位按照等級保護的管理規范和技術標準，確定其信息和信息 系統的安全保護等級，并報其主管部門審批同意。 對于包含多個子系統的信息系統，在保障信息系統安全互聯和 有效信息共享的前提下，應當根據等級保護的管理規定、技術標準和信息系統內各子系統的重要程度，分別確定安全保護等級?？绲?域的大系統實行縱向保護和屬地保護相結合的方式。 國務院信息化工作辦公室組織國內有關信息安全專家成立信 息安全保護等級專家評審委員會。重要的信息和信息系統的運營、 使用單位及其主管部門在確定信息和信息系統的安全保護等級時， 應請信息安全保護等級專家評審委員會給予咨詢評審。 安全保護等級在三級以上的信息系統，由運營、使用單位報送 本地區地市級公安機關備案?？绲赜虻男畔⑾到y由其主管部門向其 所在地的同級公安機關進行總備案，分系統分別由當地運營、使用 單位向本地地市級公安機關備案。 信息安全產品使用的分等級管理以及信息安全事件分等級響 應、處置的管理辦法由公安部會同保密局、國密辦、信息產業部和 認監委等部門制定。

（三）建設整改，落實措施。 對已有的信息系統，其運 營、使用單位根據已經確定的信息安全保護等級，按照等級保護的 管理規范和技術標準，采購和使用相應等級的信息安全產品，建設 安全設施，落實安全技術措施，完成系統整改。對新建、改建、擴 建的信息系統應當按照等級保護的管理規范和技術標準進行信息 系統的規劃設計、建設施工。

（四）自查自糾，落實要求。 信息和信息系統的運營、 使用單位及其主管部門按照等級保護的管理規范和技術標準，對已 經完成安全等級保護建設的信息系統進行檢查評估，發現問題及時 整改，加強和完善自身信息安全等級保護制度的建設，加強自我保護。

（五）建立制度，加強管理。 信息和信息系統的運營、 使用單位按照與本系統安全保護等級相對應的管理規范和技術標 準的要求， 定期進行安全狀況檢測評估， 及時消除安全隱患和漏洞， 建立安全制度，制定不同等級信息安全事件的響應、處置預案，加 強信息系統的安全管理。信息和信息系統的主管部門應當按照等級 保護的管理規范和技術標準的要求做好監督管理工作，發現問題， 及時督促整改。

（六）監督檢查，完善保護。 公安機關按照等級保護的 管理規范和技術標準的要求，重點對第三、第四級信息和信息系統 的安全等級保護狀況進行監督檢查。發現確定的安全保護等級不符 合等級保護的管理規范和技術標準的，要通知信息和信息系統的主 管部門及運營、使用單位進行整改；發現存在安全隱患或未達到等 級保護的管理規范和技術標準要求的，要限期整改，使信息和信息 系統的安全保護措施更加完善。對信息系統中使用的信息安全產品 的等級進行監督檢查。 對第五級信息和信息系統的監督檢查，由國家指定的專門部 門、專門機構按照有關規定進行。 國家保密工作部門、密碼管理部門以及其他職能部門按照職責 分工指導、監督、檢查。

六、信息安全等級保護工作實施計劃 計劃用三年左右的時間在全國范圍內分三個階段實施信息安 全等級保護制度。

（一）準備階段。 為了保障信息安全等級保護制度的順利實施，在全面實施等級保護制度之前，用一年左右的時間做好下列 準備工作： 1.加強領導，落實責任。在國家網絡與信息安全協調小組的領 導下，地方各級人民政府、信息安全監管職能部門、信息系統的主 管部門和運營、使用單位要明確各自的安全責任，建立協調配合機 制，分別制定詳細的實施方案，積極推進信息安全等級保護制度的 建立，推動信息安全管理運行機制的建立和完善。 2.加快完善法律法規和標準體系。法律規范和技術標準是推廣 和實施信息安全等級保護工作的法律依據和技術保障。為此， 《信 息安全等級保護管理辦法》和《信息安全等級保護實施指南》 《信 息安全等級保護評估指南》等法規、規范要加緊制定，盡快出臺。 加快信息安全等級保護管理與技術標準的制定和完善，其他現 行的相關標準規范中與等級保護管理規范和技術標準不相適應的， 應當進行調整。 3.建設信息安全等級保護監督管理隊伍和技術支撐體系。信息 安全監管職能部門要建立專門的信息安全等級保護監督檢查機構， 充實力量，加強建設，抓緊培訓，使監督檢查人員能夠全面掌握信 息安全等級保護相關法律規范和管理規范及技術標準，熟練運用技 術工具，切實承擔信息安全等級保護的指導、監督、檢查職責。同 時，還要建立信息安全等級保護監督、檢查工作的技術支撐體系， 組織研制、開發科學、實用的檢查、評估工具。 4.進一步做好等級保護試點工作。選擇電子政務、電子商務以 及其他方面的重點單位開展等級保護試點工作，并在試點工作的基 礎上進一步完善等級保護實施指南等相關的配套規范、標準和工具，積累信息安全等級保護工作實施的方法和經驗。 5.加強宣傳、培訓工作。地方各級人民政府、信息安全監管職 能部門和信息系統的主管部門要積極宣傳信息安全等級保護的相 關法規、標準和政策，組織開展相關培訓，提高對信息安全等級保 護工作的認識和重視，積極推動各有關部門、單位做好開展信息安 全等級保護工作的前期準備。

（二）重點實行階段。 在做好前期準備工作的基礎上， 用一年左右的時間，在國家重點保護的涉及國家安全、經濟命脈、 社會穩定的基礎信息網絡和重要信息系統中實行等級保護制度。經 過一年的建設，使基礎信息網絡和重要信息系統的核心要害部位得 到有效保護，涉及國家安全、經濟命脈、社會穩定的基礎信息網絡 和重要信息系統的保護狀況得到較大改善，結束目前基本沒有保護 措施或保護措施不到位的狀況。 在工作中，如發現等級保護的管理規范和技術標準以及檢查評 估工具等存在問題，及時組織有關部門進行調整和修訂。

（三）全面實行階段。 在試行工作的基礎上，用一年左 右的時間，在全國全面推行信息安全等級保護制度。已經實施等級 保護制度的信息和信息系統的運營、使用單位及其主管部門，要進 一步完善信息安全保護措施。沒有實施等級保護制度的，要按照等 級保護的管理規范和技術標準認真組織落實。 經過三年的努力，逐步將信息安全等級保護制度落實到信息安 全規劃、建設、評估、運行維護等各個環節，使我國信息安全保障 狀況得到基本改善。