¿Quién es responsable de la supervisión, inspección y orientación del nivel de protección de seguridad de la información?
Artículo 1 Con el fin de estandarizar la gestión de la protección del nivel de seguridad de la información, mejorar la capacidad y el nivel de garantía de la seguridad de la información, salvaguardar la seguridad nacional, la estabilidad social y los intereses públicos, y garantizar y promover la informatización. construcción, de acuerdo con "China". Estas medidas se formulan de acuerdo con las Regulaciones de la República Popular China sobre la Protección de la Seguridad de los Sistemas de Información Informática y otras leyes y regulaciones relevantes.
Artículo 2 El Estado organizará a los ciudadanos, personas jurídicas y otras organizaciones para implementar la protección de seguridad jerárquica de los sistemas de información mediante la formulación de especificaciones y estándares técnicos unificados de gestión de protección jerárquica de seguridad de la información, y supervisará y gestionará la implementación de la protección jerárquica. .
Artículo 3 Los órganos de seguridad pública son responsables de la supervisión, inspección y orientación del nivel de protección de seguridad de la información. El departamento nacional de confidencialidad es responsable de supervisar, inspeccionar y orientar el trabajo de confidencialidad en el trabajo de protección de grados. El departamento nacional de gestión de criptografía es responsable de supervisar, inspeccionar y orientar el trabajo de criptografía en el trabajo de protección de grado. Los asuntos que involucren la jurisdicción de otros departamentos funcionales serán gestionados por los departamentos funcionales pertinentes de conformidad con las leyes y reglamentos nacionales. La coordinación interdepartamental de la protección jerárquica es responsabilidad de la Oficina de Información del Consejo de Estado y de las oficinas del grupo líder de información local.
Artículo 4 El departamento competente en sistemas de información deberá, de acuerdo con estas Medidas y las normas y especificaciones pertinentes, supervisar, inspeccionar y orientar el trabajo de protección del nivel de seguridad de la información de los operadores y usuarios de sistemas de información en esta industria, este departamento y esta región.
Artículo 5 Las unidades operativas y usuarias del sistema de información deberán cumplir con sus obligaciones y responsabilidades para la protección del nivel de seguridad de la información de acuerdo con estas Medidas y las normas pertinentes.
Capítulo 2 Protección Jerárquica
Artículo 6 La protección jerárquica de la seguridad de la información nacional se adhiere a los principios de clasificación independiente y protección independiente. El nivel de protección de la seguridad de los sistemas de información debe basarse en la importancia del sistema de información en la seguridad nacional, la construcción económica y la vida social, así como en el daño a la seguridad nacional, el orden social, los intereses públicos y los derechos e intereses legítimos de los ciudadanos. personas jurídicas y otras organizaciones si se destruye el sistema de información. Se determina el grado.
Artículo 7 El nivel de protección de seguridad de los sistemas de información se divide en los siguientes cinco niveles:
En el primer nivel, una vez destruido el sistema de información, dañará los derechos e intereses de los ciudadanos, personas jurídicas y otras organizaciones derechos e intereses legítimos, pero no perjudicará la seguridad nacional, el orden social y los intereses públicos.
En el segundo nivel, una vez destruido el sistema de información, dañará gravemente los derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones, o dañará el orden social y los intereses públicos, pero no pondrá en peligro seguridad nacional.
En el tercer nivel, una vez destruido el sistema de información, causará graves daños al orden social y los intereses públicos, o causará daños a la seguridad nacional.
Nivel 4: Una vez destruido el sistema de información, causará daños especialmente graves al orden social y a los intereses públicos, o a la seguridad nacional.
En el quinto nivel, si se destruye el sistema de información, causará daños particularmente graves a la seguridad nacional.
Artículo 8 Los operadores y usuarios de sistemas de información protegerán los sistemas de información de acuerdo con estas Medidas y las normas técnicas pertinentes, y los departamentos nacionales de supervisión de seguridad de la información pertinentes supervisarán y gestionarán su nivel de protección de seguridad de la información.
Los operadores y usuarios de sistemas de información de primer nivel deberán protegerlos de acuerdo con los reglamentos y normas técnicas de gestión nacionales pertinentes.
Las unidades operativas y de uso de los sistemas de información secundaria deben protegerse de acuerdo con las normas técnicas y los reglamentos de gestión nacionales pertinentes. El departamento nacional de supervisión de seguridad de la información proporciona orientación sobre el nivel de protección de seguridad de la información de los sistemas de información en este nivel.
Las unidades que operan y utilizan sistemas de información de nivel tres deben protegerlos de acuerdo con las normas técnicas y los reglamentos de gestión nacionales pertinentes. El departamento regulador nacional de seguridad de la información supervisará e inspeccionará el nivel de protección de la seguridad de la información de los sistemas de información al mismo nivel.
Las unidades que operan y utilizan sistemas de información de nivel 4 deben protegerse de acuerdo con las regulaciones de gestión nacionales pertinentes, las normas técnicas y los requisitos comerciales especiales. El departamento nacional de supervisión de la seguridad de la información llevará a cabo una supervisión e inspección obligatorias del nivel de protección de la seguridad de la información de los sistemas de información del mismo nivel.
Las unidades que operen y utilicen sistemas de información de Nivel 5 deberán protegerlos de acuerdo con la normativa de gestión nacional, las normas técnicas y los requisitos especiales de seguridad empresarial. El estado designa departamentos especializados para supervisar e inspeccionar el nivel de seguridad de la información de los sistemas de información en este nivel.
Capítulo 3 Implementación y gestión del nivel de protección
Artículo 9 Las unidades operativas y de usuario del sistema de información deberán implementar el nivel de protección de acuerdo con las "Directrices de implementación para el nivel de protección de los sistemas de información".
Artículo 10 Los operadores y usuarios de sistemas de información determinarán el nivel de protección de seguridad de los sistemas de información de acuerdo con estas Medidas y las "Directrices para la clasificación del nivel de protección de seguridad de los sistemas de información". Si existe un departamento competente, será examinado y aprobado por el departamento competente.
Las autoridades competentes pueden determinar de manera uniforme los sistemas de información que operan en una red unificada en todas las provincias o en todo el país.
Para los sistemas de información determinados como Nivel 4 o superior, la unidad operativa o el departamento competente deberá presentarlo al Comité de Revisión de Expertos del Nivel Nacional de Protección de Seguridad de la Información para su revisión.
Artículo 11 Una vez determinado el nivel de protección de seguridad del sistema de información, la unidad operativa deberá seguir las especificaciones y estándares técnicos de gestión de protección del nivel de seguridad de la información nacional y utilizar información que cumpla con las regulaciones nacionales pertinentes y cumpla con los requisitos de seguridad del sistema de información. Requisitos de nivel de protección. Productos técnicos, construcción o transformación de seguridad de sistemas de información.
Artículo 12 Durante el proceso de construcción de sistemas de información, las unidades operativas deberán seguir los "Estándares para la clasificación de niveles de protección de seguridad de sistemas de información informática" (GB17859-1999), "Requisitos básicos para el nivel de seguridad de protección de la información". Systems" y otras tecnologías. Estándares, consulte "Requisitos técnicos de seguridad generales para sistemas de información" (GB/T20271-2006), "Requisitos técnicos de seguridad básicos para redes de tecnología de seguridad de la información" (GB/T20270-2006), "Seguridad del sistema operativo Tecnología" y "Requisitos técnicos del servidor de tecnología de seguridad de la información", "Requisitos técnicos del nivel de seguridad del sistema informático terminal de tecnología de seguridad de la información" (GA/T671-2006) y otros estándares técnicos, y simultáneamente construir instalaciones de seguridad de la información que cumplan con los requisitos de este nivel.
Artículo 13 La unidad operativa deberá consultar los "Requisitos de gestión de seguridad del sistema de información de tecnología de seguridad de la información" (GB/T20269-2006) y los "Requisitos de gestión de ingeniería de seguridad del sistema de información de tecnología de seguridad de la información" (GB/T20282- 2006), "Requisitos básicos para la protección del nivel de seguridad del sistema de información" y otras especificaciones de gestión, formulan e implementan un sistema de gestión de seguridad que cumple con los requisitos del nivel de protección de seguridad de este sistema.
Artículo 14 Una vez completada la construcción del sistema de información, la unidad operativa o su departamento competente seleccionará una agencia de evaluación que cumpla con las condiciones estipuladas en estas Medidas y realizará una evaluación periódica de la información de acuerdo con los requisitos técnicos. Estándares como los requisitos de evaluación de protección del nivel de seguridad del sistema de información. Se evalúa el nivel de seguridad del sistema. Los sistemas de información de nivel 3 se califican al menos una vez al año, los sistemas de información de nivel 4 se califican al menos una vez cada seis meses y los sistemas de información de nivel 5 se califican según requisitos de seguridad especiales.
Las unidades operativas de sistemas de información y sus departamentos competentes deben realizar periódicamente autoexámenes sobre el estado de seguridad de los sistemas de información y la implementación de sistemas y medidas de protección de seguridad. Los sistemas de información de nivel 3 deben realizar autoinspecciones al menos una vez al año, los sistemas de información de nivel 4 deben realizar autoinspecciones al menos una vez cada seis meses y los sistemas de información de nivel 5 deben realizar autoinspecciones de acuerdo con requisitos especiales de seguridad.
Si después de la evaluación o autoexamen, el estado de seguridad del sistema de información no cumple con los requisitos del nivel de protección de seguridad, la unidad operativa deberá formular un plan de rectificación.
Artículo 15 Para los sistemas de información que hayan sido operados (operados) en el Nivel 2 o superior, las unidades operativas y usuarias deberán completar los trámites de presentación ante los órganos locales de seguridad pública del nivel municipal o superior dentro de los 30 días. después de que se determina el nivel de protección de seguridad.
Los sistemas de información recién construidos de nivel 2 o superior deben pasar por los procedimientos de presentación ante los órganos locales de seguridad pública del nivel municipal o superior dentro de los 30 días posteriores a su puesta en funcionamiento.
El sistema de información de las unidades afiliadas centralmente en Beijing que opera a través de redes provinciales o nacionales y está unificado y clasificado por el departamento competente será archivado en el Ministerio de Seguridad Pública por el departamento competente. Los subsistemas que operan sistemas de información de aplicaciones en todas las provincias o a nivel nacional en una red unificada deben estar registrados ante los órganos de seguridad pública locales a nivel municipal o superior.
Artículo 16 Al realizar los procedimientos de registro para el nivel de protección de seguridad del sistema de información, se debe completar el formulario de registro de protección del nivel de seguridad del sistema de información. Los sistemas de información por encima del nivel 3 también deben proporcionar los siguientes materiales: (1) Topología y descripción del sistema; (2) Organización de seguridad del sistema y sistema de gestión; (3) Plan de implementación y diseño de instalaciones de protección de seguridad del sistema o plan de implementación de transformación; (4) Lista de productos de seguridad de la información utilizados por el sistema y sus licencias de certificación y venta; (5) Evaluación del cumplimiento del sistema Informe de inspección técnica y evaluación del nivel de protección de la seguridad; (6) Opiniones de evaluación de expertos sobre el nivel de protección de la seguridad del sistema de información; (7) Opiniones de aprobación del departamento competente sobre el nivel de protección de la seguridad; del sistema de información.
Artículo 17 Una vez presentado el sistema de información, el órgano de seguridad pública revisará el estado de presentación del sistema de información, si cumple con los requisitos para el grado de protección, emitirá un certificado del sistema de información dentro de los 10 días hábiles siguientes a su presentación. fecha de recepción del certificado de presentación de protección del nivel de seguridad, si se determina que no cumple con estas medidas y normas pertinentes, se notificará a la unidad de presentación para que haga las correcciones dentro de los 10 días hábiles a partir de la fecha de recepción del certificado de presentación de protección del nivel de seguridad; si se determina que la clasificación no está permitida, se le notificará a partir de la fecha de recepción de los materiales de presentación. Se notificará a la unidad de presentación dentro de los 10 días hábiles para su reexamen y confirmación.
Después de que la unidad operativa o el departamento competente vuelva a determinar el nivel del sistema de información, deberá volver a registrarlo ante el órgano de seguridad pública de conformidad con estas Medidas.
Artículo 18 El órgano de seguridad pública que acepte la presentación deberá inspeccionar el funcionamiento de los sistemas de información de tercer y cuarto nivel y el nivel de protección de la seguridad de la información de los usuarios. Los sistemas de información de nivel 3 deben inspeccionarse al menos una vez al año y los sistemas de información de nivel 4 deben inspeccionarse al menos una vez cada seis meses. La inspección de los sistemas de información unificados en red interprovinciales o nacionales será responsabilidad de los departamentos competentes.
Los sistemas de información de nivel 5 son inspeccionados por departamentos especializados designados por el estado.
Los órganos de seguridad pública y los departamentos especializados designados por el estado deben verificar los siguientes asuntos: (1) si los requisitos de seguridad del sistema de información han cambiado y si el nivel de protección original es exacto; (2) la seguridad; sistema de gestión y medidas de la unidad operativa Estado de implementación; (3) Inspección del estado de seguridad del sistema de información por parte de la unidad operativa y su departamento competente (4) Si la evaluación del nivel de seguridad del sistema cumple con los requisitos; el uso de productos de seguridad de la información cumple con los requisitos; (6) Rectificación de seguridad del sistema de información (7) Cumplimiento de los materiales de archivo con la operación, las unidades de usuario y los sistemas de información; (8) Otros asuntos que deben ser supervisados e inspeccionados;
Artículo 19 Las unidades operativas y usuarias del sistema de información deberán aceptar la supervisión, inspección y orientación de seguridad de los órganos de seguridad pública y los departamentos especializados designados por el estado, y proporcionar verazmente la siguiente información relacionada con la seguridad de la información a la seguridad pública. órganos y departamentos especializados designados por el estado. Proteger los materiales de información y archivos de datos relevantes: (1) Cambios en los elementos de registro del sistema de información; (2) Cambios en las organizaciones y el personal de seguridad; (3) Cambios en los sistemas y medidas de gestión de seguridad de la información; (4) Registros del estado operativo del sistema de información; (5) Registros regulares de inspección de seguridad del sistema de información de las unidades operativas y departamentos competentes; (6) Informes de evaluación técnica para evaluaciones a nivel del sistema de información; 8) Planes de emergencia para incidentes de seguridad de la información e incidentes de seguridad de la información Informe sobre los resultados de la respuesta a emergencias (9) Informe sobre los resultados de la construcción y rectificación de la seguridad del sistema de información;
Artículo 20: Si el órgano de seguridad pública descubre que el estado de protección de la seguridad del sistema de información no cumple con las especificaciones de gestión y normas técnicas pertinentes para la protección del nivel de seguridad de la información, emitirá un aviso de rectificación al unidad operativa. La unidad operativa deberá realizar las rectificaciones de acuerdo con los requisitos del aviso de rectificación y de acuerdo con las especificaciones de gestión y normas técnicas. Una vez completada la rectificación, el informe de rectificación se presentará ante el órgano de seguridad pública. Cuando sea necesario, el órgano de seguridad pública podrá organizar una inspección de la situación de rectificación.
Artículo 21 Los sistemas de información de nivel 3 o superior deberán optar por utilizar productos de seguridad de la información que cumplan las siguientes condiciones: (1) La unidad de desarrollo y producción del producto está invertida o controlada por ciudadanos chinos, personas jurídicas o el estado, y está ubicado en la República Popular de China. Tiene estatus de persona jurídica independiente en el país (2) la tecnología central y los componentes clave del producto tienen derechos de propiedad intelectual independientes de mi país (3) la unidad de producción y desarrollo del producto; y su personal comercial y técnico principal no tiene antecedentes penales (4) la unidad de producción y desarrollo de productos declara no dejar ni establecer deliberadamente lagunas jurídicas, puertas traseras, troyanos y otros programas y funciones (5) no poner en peligro la seguridad nacional, el orden social y; intereses públicos; (6) Si ha sido incluido en el catálogo de certificación de productos de seguridad de la información, debe obtener el certificado de Certificación de la Agencia Nacional de Certificación de Productos de Seguridad de la Información emitido.
Artículo 22 Los sistemas de información por encima del Nivel 3 serán evaluados por una Agencia de Evaluación de Protección de Nivel que cumpla con las siguientes condiciones: (1) Registrados y establecidos dentro del territorio de la República Popular China (excluidos Hong Kong, Macao y Taiwán); (2) Ciudadanos de China, personas jurídicas o empresas e instituciones chinas con inversión estatal (excepto Hong Kong, Macao y Taiwán; (3) Participados en trabajos de prueba y evaluación relevantes durante más de dos años, sin ningún tipo de ilegalidad; registro (4) Los miembros del personal se limitan a ciudadanos chinos; (5) Las personas jurídicas y su personal comercial y técnico principal no tienen antecedentes penales (6) El equipo técnico y las instalaciones utilizadas cumplen con los requisitos de estas Medidas para los productos de seguridad de la información; (7) Tener una gestión de seguridad completa, como gestión de confidencialidad, gestión de proyectos, gestión de calidad, gestión de personal, sistema de capacitación y educación (8) No representa una amenaza para la seguridad nacional, el orden social y los intereses públicos;
Artículo 23: Las instituciones dedicadas a la evaluación del nivel de seguridad de los sistemas de información deberán cumplir las siguientes obligaciones: (1) Cumplir con las leyes, reglamentos y normas técnicas nacionales pertinentes, proporcionar servicios de prueba y evaluación seguros, objetivos y justos, y garantizar la calidad y eficacia de la evaluación (2) Mantener los secretos de estado, los secretos comerciales y la privacidad personal adquiridos durante las actividades de evaluación para evitar riesgos de evaluación (3) Proporcionar educación sobre seguridad y confidencialidad al personal de evaluación, firmar una carta de responsabilidad de confidencialidad de seguridad con ellos; y acordar las obligaciones de seguridad y confidencialidad que deben cumplirse. Obligaciones de confidencialidad y responsabilidades legales, y responsables de la inspección e implementación.
El capítulo 4 trata sobre la protección y gestión jerárquica de los sistemas nacionales de información secreta.
Artículo 24: Los sistemas de información confidencial se protegerán de acuerdo con los requisitos básicos del nivel de protección de seguridad de la información nacional, los reglamentos de gestión del departamento nacional de confidencialidad y las normas técnicas para el nivel de protección de los sistemas de información confidencial, y en combinación con la situación real del sistema. Los sistemas de información no clasificados no manejarán información secreta de estado.
Artículo 25: Los sistemas de información confidencial se dividen en tres niveles: secreto, confidencial y ultrasecreto, en función del nivel más alto de procesamiento de la información, de menor a mayor.
Las unidades que construyen y utilizan sistemas de información confidencial deberán, sobre la base de especificaciones de información y niveles de confidencialidad, de acuerdo con las "Medidas para la Gestión del Nivel de Protección de los Sistemas de Información Confidencial" y la norma nacional de confidencialidad BMB17. -2006 "Información informática que involucra secretos de estado" "Requisitos técnicos para la protección a nivel del sistema" determina el nivel del sistema. Para sistemas de información confidencial con múltiples dominios de seguridad, el nivel de protección se puede determinar por separado para cada dominio de seguridad.
Los departamentos y agencias de seguridad deben supervisar y guiar la construcción y el uso de sistemas de información confidencial, y clasificar los sistemas de manera precisa y razonable.
Artículo 26 Las unidades que construyen y utilizan sistemas de información confidencial informarán la clasificación, construcción y uso de sistemas de información confidencial a la agencia de trabajo de confidencialidad del departamento competente del negocio y a la agencia de trabajo de confidencialidad responsable de la aprobación del sistema para su registro. y aceptar la supervisión, inspección y orientación de la agencia de trabajo de confidencialidad.
Artículo 27 Las unidades que construyan y utilicen sistemas de información confidencial seleccionarán unidades calificadas para emprender o participar en el diseño e implementación de sistemas de información confidencial.
Las unidades que construyen y utilizan sistemas de información confidencial deberán diseñar planes basados en las especificaciones de gestión jerárquica de protección y normas técnicas para sistemas de información confidencial, de acuerdo con los diferentes requisitos de los tres niveles de confidencialidad, confidencialidad y máxima secreto e implementar los niveles basados en la situación real del sistema Protect. El nivel de protección generalmente no es inferior a los niveles nacionales de protección de seguridad de la información tres, cuatro y cinco.
Artículo 28 Los productos de seguridad de la información utilizados en sistemas de información confidencial serán, en principio, productos nacionales y serán probados de acuerdo con las normas nacionales de confidencialidad pertinentes por instituciones de prueba autorizadas por la Administración Estatal del Secreto. Los productos que pasen la prueba deben ser revisados y publicados por la Oficina de Secretos de Estado.
Después de la implementación del proyecto del sistema, las unidades de construcción y uso de sistemas de información confidencial deberán presentar una solicitud al departamento de confidencialidad, y la agencia de evaluación del sistema autorizada por la Administración Estatal del Secreto deberá cumplir con las normas nacionales. estándar de confidencialidad BMB22-2007 " "Directrices para la evaluación y evaluación del nivel de protección de sistemas de información informática que involucran secretos de estado" lleva a cabo evaluaciones de seguridad en sistemas de información confidencial.
Antes de poner en uso el sistema, las unidades que construyen y utilizan sistemas de información confidencial deberán solicitar la aprobación del sistema del departamento de trabajo de confidencialidad en o por encima del nivel municipal distrital de acuerdo con el "Reglamento sobre la aprobación y Gestión de sistemas que involucran información secreta de estado". Sólo después de aprobar la calificación se podrá poner en funcionamiento el sistema de información confidencial. Para los sistemas de información confidencial que se han puesto en uso, las unidades de construcción y de usuario deberán archivar el sistema en el departamento de confidencialidad después de completar la rectificación del sistema de acuerdo con los requisitos de protección de confidencialidad.
Artículo 30 Las unidades de construcción y uso de sistemas de información confidencial deberán presentar los siguientes materiales al solicitar la aprobación o presentación del sistema: (1) Diseño del sistema, plan de implementación y opiniones de revisión y demostración (2) Certificación de calificación del contratista del sistema; materiales; (3) informe de supervisión del proyecto y construcción del sistema; (4) informe de inspección y evaluación de la seguridad del sistema; (6) otros materiales relevantes.
Artículo 31: Cuando existan cambios en el nivel de clasificación, rango de conexión, instalaciones ambientales, aplicaciones principales y la unidad responsable de la gestión de seguridad y confidencialidad de un sistema de información confidencial, sus unidades de construcción y usuarios deberán ser prontamente informar al departamento de seguridad responsable para su aprobación. El departamento de confidencialidad decidirá si reevaluar la aprobación en función de la situación real.
Artículo 32 Las unidades que construyan y utilicen sistemas de información confidencial fortalecerán la confidencialidad en la operación de los sistemas de información confidencial de acuerdo con las normas nacionales de confidencialidad BMB20-2007 “Normas para el Nivel de Protección y Gestión de los Sistemas de Información que Involucran al Estado”. Gestión de secretos, realizar evaluaciones periódicas de riesgos y eliminar peligros ocultos y lagunas.
Artículo 33 Los departamentos de seguridad nacionales y locales de todos los niveles supervisarán y gestionarán el nivel de protección de los sistemas de información confidencial en diversas regiones y departamentos de conformidad con la ley, y realizarán el siguiente trabajo: (1) Orientación, supervisión, inspeccionar el desarrollo del trabajo de protección jerárquica; (2) orientar la construcción y uso de sistemas de información confidencial, estandarizar la clasificación de la información y determinar razonablemente el nivel de protección del sistema; (3) participar en la demostración de planes de protección jerárquica para confidencial; sistemas de información y unidades de construcción y uso de guías. Hacer un buen trabajo en la planificación y el diseño sincrónicos de instalaciones de confidencialidad (4) Supervisar y administrar las unidades de calificación de integración de sistemas de información confidencial de acuerdo con la ley; supervisar e inspeccionar el sistema de gestión de protección jerárquica y las medidas técnicas de las unidades que utilizan la implementación de sistemas de información confidencial (6) Fortalecer la supervisión de la confidencialidad y la inspección del funcionamiento de los sistemas de información confidencial; Al menos una vez cada dos años para sistemas de información secretos y confidenciales, y al menos una vez al año para sistemas de información ultrasecretos (7) Comprender la gestión y el uso de diversos tipos de sistemas de información confidencial en todos los niveles, y descubrir e investigar con prontitud; diversas infracciones y filtraciones.
Capítulo 5 Gestión de contraseñas para la protección del nivel de seguridad de la información
Artículo 34: El departamento nacional de administración de contraseñas implementará una gestión clasificada de las contraseñas protegidas por el nivel de seguridad de la información. Basado en el papel y la importancia del objeto protegido en la seguridad nacional, la estabilidad social y la construcción económica, los requisitos de protección de seguridad y la confidencialidad del objeto protegido, el grado de daño si el objeto protegido se destruye y la naturaleza del uso de contraseña. departamento, se determinan los estándares jerárquicos de protección.
Si los operadores o usuarios de sistemas de información utilizan contraseñas de nivel de protección, deben cumplir con las regulaciones de administración de contraseñas y estándares relacionados como las "Medidas para la Gestión de Contraseñas de Protección de Nivel de Seguridad de la Información" y los "Requisitos Técnicos para Empresas Comerciales". Contraseñas para protección del nivel de seguridad de la información".
Artículo 35 La provisión, uso y gestión de contraseñas en el nivel de protección de seguridad de los sistemas de información deberá cumplir estrictamente con la normativa nacional sobre gestión de contraseñas.
Artículo 36 Los operadores y usuarios de sistemas de información deberán hacer pleno uso de la tecnología criptográfica para proteger los sistemas de información. El uso de contraseñas para proteger información y sistemas de información que involucren secretos de estado deberá informarse a la Administración de Criptografía del Estado para su aprobación. El diseño, implementación, uso, operación, mantenimiento y gestión diaria de las contraseñas se realizará de acuerdo con la normativa pertinente. estándares de la Administración Estatal de Criptografía; el uso de contraseñas para proteger la información no implica Para la información y los sistemas de información que son secretos de estado, deben cumplir con el "Reglamento sobre el Manejo de Criptografía Comercial" y las regulaciones y estándares pertinentes para clasificados y La protección jerárquica de la criptografía, y el uso de su criptografía deberán presentarse ante el organismo nacional de gestión de criptografía.
Artículo 37: Quienes utilicen tecnología criptográfica para llevar a cabo la construcción de protección a nivel de sistema y la rectificación de sistemas de información deberán utilizar productos criptográficos reconocidos o aprobados para su venta por el departamento nacional de gestión de criptografía para la protección de la seguridad, y no deben utilizar productos criptográficos importados del extranjero o aprobados para la venta. Los productos de tecnología de la información importados no autorizados con funciones de cifrado no se pueden utilizar sin aprobación.
Artículo 38 La evaluación de contraseñas de sistemas de información y equipos criptográficos será realizada por una agencia de evaluación reconocida por la Administración Estatal de Criptografía. Ningún otro departamento, unidad o individuo podrá evaluar y monitorear contraseñas.
Artículo 39: Los departamentos de administración de contraseñas en todos los niveles podrán inspeccionar y evaluar regular o irregularmente la configuración, el uso y la gestión de la protección a nivel del sistema de información, y evaluar la configuración, el uso y la contraseña de los sistemas de información confidencial importantes. La gestión será inspeccionada y evaluada al menos cada dos años. Durante el proceso de supervisión e inspección, si se descubre que existen posibles riesgos de seguridad o violaciones de las regulaciones pertinentes sobre gestión de contraseñas o el incumplimiento de los requisitos de las normas pertinentes para contraseñas, se tratarán de acuerdo con las regulaciones pertinentes sobre las normas nacionales. gestión de contraseñas.
Capítulo 6 Responsabilidades Legales
Artículo 40 Si un operador de sistema de información o unidad de usuario de nivel 3 o superior viola las disposiciones de estas Medidas y comete cualquiera de los siguientes actos, la seguridad pública los órganos y el estado mantendrán la confidencialidad. Los departamentos y los departamentos nacionales de gestión de criptografía ordenarán correcciones dentro de un plazo de acuerdo con la división de responsabilidades; si no se realizan las correcciones dentro del plazo, se dará una advertencia y se informará la situación; a la autoridad superior se recomienda que se trate al responsable directo y demás personal directamente responsable, y se retroalimenten oportunamente los resultados del manejo: (1) No presentar, revisar y aprobar en. de acuerdo con las disposiciones de estas Medidas; (2) No implementar sistemas y medidas de gestión de seguridad de acuerdo con las disposiciones de estas Medidas; (3) No realizar inspecciones de seguridad del sistema de acuerdo con las disposiciones de estas Medidas; realizar inspecciones de seguridad del sistema de acuerdo con las disposiciones de estas Medidas Se estipula llevar a cabo una evaluación de la tecnología de seguridad del sistema; (5) Negarse a realizar rectificaciones después de recibir el aviso de rectificación (6) No elegir y utilizar productos y evaluación de seguridad de la información; instituciones de acuerdo con las disposiciones de estas Medidas; (7) No proporcionar verazmente información relevante de acuerdo con las disposiciones de estas Medidas, documentos y materiales de respaldo; (8) Violación de las normas de gestión de confidencialidad; (9) Violación de las normas de gestión de contraseñas; (10) Violación de otras disposiciones de estas Medidas.
Cualquier violación de las disposiciones del párrafo anterior que cause daños graves será tratada por los departamentos correspondientes de acuerdo con las leyes y reglamentos pertinentes.
Artículo 41 Si el departamento de supervisión de la seguridad de la información y su personal descuidan sus deberes, abusan de su poder o cometen malas prácticas para beneficio personal en el desempeño de sus funciones de supervisión y gestión, se les impondrán sanciones administrativas de conformidad con la ley; si se constituye delito, serán penalmente responsables conforme a la ley.
Capítulo 7 Disposiciones complementarias
Artículo 42 La unidad operativa del sistema de información deberá determinar el nivel de protección de seguridad del sistema de información dentro de los 180 días siguientes a la fecha de implementación de estas medidas de protección de seguridad; de nuevos sistemas de información Los niveles se determinan durante las etapas de diseño y planificación.
Artículo 43 El término “arriba” mencionado en estas Medidas incluye el número (nivel) actual.
Artículo 44: Estas Medidas entrarán en vigor en la fecha de su promulgación, y las "Medidas de Gestión de Protección del Nivel de Seguridad de la Información (ensayo)" (Guitongzi [2006] No. 7) serán abolidas al mismo tiempo. tiempo.