"정보 보안 수준 보호 관리 조치" 발행에 관한 통지
공조자 [2007]43 호
각 성, 자치구, 직할시 공안청 (국), 비밀국, 국가암호관리국 (국가암호관리국 위원회 사무실), 정보화지도팀 사무실, 신장 생산건설병단 공안국, 비밀국, 국가암호관리국, 정보화지도팀 사무실, 중앙 및 국가기관 부처 비밀위원회 사무실, 암호지도팀 사무실
정보 보안 수준 보호 가속화, 정보 보안 수준 보호 관리 표준화, 정보 보안 역량 및 수준 향상, 국가 안보, 사회 안정 및 공익 보호, 정보 건설 보장 및 촉진, 공안부, 국가비밀국, 국가암호관리국, 국무원 신문사에서' 정보 보안 수준 보호 관리 방법' 을 제정했습니다. 지금 발행해 드리니, 진지하게 집행하십시오.
2007 년 6 월 22 일
정보 보안 수준 보호 관리 방법
제 1 장 총칙
첫째, 정보 보안 수준 보호 관리를 규제하고, 정보 보안 능력과 수준을 향상시키고, 국가 안보, 사회 안정 및 공익을 보호하고, 정보화 건설을 보장하고 촉진하고,' 중화인민공화국 컴퓨터 정보 시스템 보안 보호 규정' 등 관련 법규에 따라 이 방법을 제정한다.
제 2 조 국가는 통일된 정보 보안 수준 보호 관리 규범과 기술 표준을 제정함으로써 시민, 법인 및 기타 조직을 조직하여 정보 시스템 수준 보안을 구현하고 등급 보호 구현을 감독하고 관리한다.
제 3 조 공안기관은 정보 안전 등급 보호의 감독, 검사 및 지도를 담당한다. 국가 기밀 부서는 등급 보호 업무에서 기밀 업무를 감독, 검사 및 지도할 책임이 있다. 국가 비밀번호 관리 부서는 등급 보호 업무에서 비밀번호 업무를 감독, 검사 및 지도할 책임이 있다. 기타 기능 부서의 관할과 관련된 사항은 관련 기능 부서가 국가 법규의 규정에 따라 관리한다. 국무원 정보화 업무실과 지방정보화 지도부 사무실이 등급 보호를 담당하는 부문 간 조율 작업.
제 4 조 정보 시스템 주관부는 본 방법 및 관련 표준 사양에 따라 본 업계, 본 부서, 지역 정보 시스템 운영자 및 사용자의 정보 보안 수준 보호 작업을 감독, 검사 및 지도해야 합니다.
제 5 조 정보 시스템 운영 사용 단위는 본 방법 및 관련 표준에 따라 정보 보안 수준 보호의 의무와 책임을 이행해야 합니다.
제 2 장 등급 보호
제 6 조 국가 정보 보안 등급 보호는 독립 등급과 독립 보호의 원칙을 고수한다. 정보 시스템의 보안 수준은 국가 안보, 경제 건설 및 사회 생활에서 정보 시스템의 중요성, 그리고 정보 시스템이 파괴된 후 국가 안보, 사회 질서, 공익 및 시민, 법인 및 기타 조직의 합법적 권익에 대한 피해 정도에 따라 결정되어야 합니다.
제 7 조 정보 시스템의 보안 수준은 다음 5 단계로 나뉜다.
첫째, 정보 시스템이 파괴되면 시민, 법인 및 기타 조직의 합법적 권익은 손상되지만 국가 안보, 사회 질서 및 공익은 손상되지 않습니다.
둘째, 정보 시스템이 파괴되면 시민, 법인 및 기타 조직의 합법적 권익이나 사회질서와 공익을 심각하게 손상시킬 수 있지만 국가 안보를 해치지 않는다.
3 단계, 정보시스템이 파괴된 후 사회질서와 공익에 심각한 피해를 입거나 국가 안보에 피해를 입힐 수 있다.
4 급, 정보시스템이 파괴된 후 사회질서와 공익, 또는 국가안보에 특히 심각한 피해를 입힐 수 있다.
다섯 번째 수준에서는 정보 시스템이 파괴된 후 국가 안보에 특히 심각한 피해를 입힐 수 있다.
제 8 조 정보 시스템 운영자와 사용자는 본 방법 및 관련 기술 표준에 따라 정보 시스템을 보호해야 하며, 국가 관련 정보 보안 감독 부서는 정보 보안 수준 보호에 대한 감독 관리를 실시해야 합니다.
1 급 정보 시스템의 운영 및 사용 단위는 국가 관련 관리 사양 및 기술 표준에 따라 보호해야 합니다.
2 차 정보 시스템의 운영 및 사용 단위는 국가 관련 관리 사양 및 기술 표준에 따라 보호되어야 합니다. 국가 정보 보안 감독 부서는 본급 정보 시스템의 정보 보안 수준 보호를 지도한다.
3 단계 정보 시스템을 운영 및 사용하는 단위는 국가 관련 관리 사양 및 기술 표준에 따라 보호되어야 합니다. 국가정보안전감독부는 본급 정보시스템의 정보안전등급 보호에 대해 감독검사를 해야 한다.
4 급 정보 시스템을 운영하는 단위는 국가 관련 관리 사양, 기술 표준 및 특수 업무 요구 사항에 따라 보호해야 합니다. 국가정보안전감독부는 본급 정보시스템의 정보안전등급 보호에 대해 강제감독검사를 실시해야 한다.
레벨 5 정보 시스템을 운영 및 사용하는 단위는 국가 관리 사양, 기술 표준 및 특수 비즈니스 보안 요구 사항에 따라 보호해야 합니다. 국가 지정 전문부는 본급 정보 시스템의 정보 보안 등급 보호에 대한 감독 검사를 실시한다.
제 3 장 등급 보호 구현 및 관리
제 9 조 정보 시스템 운영 사용 단위는 "정보 시스템 수준 보호 구현 가이드" 에 따라 등급 보호를 실시해야 합니다.
제 10 조 정보 시스템 운영자와 사용자는 본 방법 및 정보 시스템 보안 수준 보호 분류 가이드에 따라 정보 시스템의 보안 수준을 결정해야 합니다. 주관 부서가 있는 사람은 주관 부서에서 비준한다.
지방 간 또는 전국 통합 네트워크를 통해 운영되는 정보 시스템은 주관 부서에서 통일적으로 결정할 수 있습니다.
4 급 이상으로 확정된 정보 시스템의 경우, 운영 사용 단위 또는 주관 부서는 국가 정보 보안 등급 전문가 심사위원회에 심의를 요청해야 합니다.
제 11 조 정보 시스템 보안 등급 결정 후 운영 사용 단위는 국가 정보 보안 수준 보호 관리 규범 및 기술 표준에 따라 국가 관련 규정 준수, 정보 시스템 보안 수준 요구 사항을 충족하는 정보 기술 제품을 사용해야 합니다. 정보 시스템 보안 건설 또는 개조를 진행하다.
제 12 조 정보 시스템 건설 과정에서 운영 사용 단위는' 컴퓨터 정보 시스템 보안 등급 분류 기준' (GB 17859- 1999),' 정보 시스템 보안 수준 보호 기본 요구 사항' 등의 기술 표준에 따라 운영해야 합니다. 정보 시스템 일반 보안 기술 요구 사항 (GB/T2027 1-2006), "정보 보안 기술 네트워크 기본 보안 기술 요구 사항" (GB/T20270-2006), "운영 체제 보안 기술" 을 참조하십시오.
제 13 조 운영 사용 단위는 "정보 보안 기술 정보 시스템 보안 관리 요구 사항" (GB/T20269-2006), "정보 보안 기술 정보 시스템 보안 엔지니어링 관리 요구 사항" (GB/T20282-2006), "정보 시스템 보안 수준 보호 기본 요구 사항" 등을 참조해야 합니다.
제 14 조 정보 시스템 구축이 완료되면 운영 사용 단위 또는 해당 주관 부서는 본 조치의 규정 조건을 충족하는 평가 기관을 선택하고 정보 시스템 보안 수준 보호 평가 요구 사항 등 기술 표준에 따라 정기적으로 정보 시스템 보안 수준을 평가해야 합니다. 레벨 3 정보 시스템은 적어도 일 년에 한 번, 레벨 4 정보 시스템은 최소 6 개월마다, 레벨 5 정보 시스템은 특수 보안 요구 사항에 따라 등급을 매깁니다.
정보 시스템 운영 사용 단위 및 해당 주관 부서는 정기적으로 정보 시스템의 안전 상태, 보안 제도 및 조치 이행에 대한 자체 조사를 실시해야 합니다. 레벨 3 정보 시스템은 1 년에 한 번 이상 자체 테스트를 수행하고, 레벨 4 정보 시스템은 6 개월에 한 번 이상 자체 테스트를 수행하며, 레벨 5 정보 시스템은 특수 보안 요구 사항에 따라 자체 테스트를 수행합니다.
평가나 자체 조사를 통해 정보 시스템 보안 상태가 보안 수준 요구 사항을 충족하지 못하는 경우 운영 사용 단위는 시정 방안을 마련해야 합니다.
제 15 조는 이미 2 급 이상의 정보 시스템을 운영 (운영) 했으며, 안전등급 확정 후 30 일 이내에 운영 및 사용 부서에서 소재지 시급 이상 공안기관에 신고 수속을 밟아야 한다.
신설된 2 급 이상 정보 시스템은 가동 후 30 일 이내에 소재지의 시급 이상 공안기관에 신고 수속을 밟아야 한다.
지방 간 또는 전국 네트워크 운영, 주관 부서가 통일적으로 등급을 매기는 중앙 소속 베이징 단위 정보 시스템은 주관 부서에서 공안부에 등록한다. 통합 네트워크에서 지방 간 또는 전국적으로 응용 정보 시스템을 운영하는 서브시스템은 소재지 시급 이상 공안기관에 신고해야 한다.
제 16 조 정보 시스템 보안 수준 기록 절차를 처리할 때는' 정보 시스템 보안 수준 보호 기록 양식' 을 작성해야 하며, 3 급 이상 정보 시스템은 다음과 같은 자료를 동시에 제공해야 합니다.
(a) 시스템 토폴로지 및 설명
(b) 시스템 보안 조직 관리 시스템;
(3) 시스템 보안 보호 시설 설계 및 구현 계획 또는 개조 구현 계획
(4) 시스템에서 사용하는 정보 보안 제품 목록 및 인증 및 판매 라이센스 인증서
(5) 시스템 안전 보호 수준에 부합하는 기술 테스트 평가 보고서를 평가한다.
(6) 정보 시스템 보안 수준에 대한 전문가 평가 의견;
(7) 정보 시스템 보안 수준에 대한 관할 부서의 승인 의견.
제 17 조 정보시스템이 신고된 후 공안기관은 정보시스템 신고상황을 심사하고 등급보호요구 사항을 충족해야 하며, 서류자료를 받은 날로부터 10 일 (영업일 기준) 이내에 정보시스템 안전등급보호신고증명서를 발급해야 한다. 본 방법 및 관련 기준에 부합하지 않는 경우 서류자료를 받은 날로부터 10 일 (영업일 기준) 이내에 서류단위 보정을 통지해야 합니다. 등급이 허용되지 않는 것으로 밝혀진 경우, 서류자료를 받은 날로부터 10 일 (영업일 기준) 이내에 서류단위에게 재심사 확인을 통지해야 합니다.
운용기관이나 주관부서가 정보시스템 등급을 다시 결정한 후에는 본 방법에 따라 공안기관에 재등록해야 한다.
제 18 조 서류를 접수하는 공안기관은 3 급, 4 급 정보 시스템 운영 및 사용자 정보 보안 수준 보호 상황을 점검해야 한다. 1 년에 한 번 이상 3 급 정보 시스템을 검사하고 6 개월에 한 번 이상 4 급 정보 시스템을 점검한다. 지방 간 또는 전국 통합 네트워킹 정보 시스템의 검사는 주관 부서에서 책임진다.
제 5 급 정보 시스템은 국가가 지정한 전문 부서에서 검사한다.
공안기관과 국가가 지정한 전문부문은 다음과 같은 사항을 점검해야 한다.
(a) 정보 시스템 보안 요구 사항이 변경되었는지 여부, 원래 보호 수준이 정확한지 여부
(2) 운영 사용 단위 안전 관리 제도 및 조치의 이행
(3) 운영 사용 단위 및 해당 주관 부서에서 정보 시스템의 보안 상태를 점검합니다.
(4) 시스템 보안 수준 평가가 요구 사항을 충족하는지 여부;
(5) 정보 보안 제품의 사용이 요구 사항을 충족하는지 여부
(6) 정보 시스템 안전 정류;
(7) 서류와 운영, 사용 단위 및 정보 시스템의 준수
(8) 검사를 감독해야 할 기타 사항.
제 19 조 정보시스템 운영 및 사용 단위는 공안기관 및 국가가 지정한 전문부문의 안전감독, 검사 및 지도를 받아야 하며, 공안기관 및 국가가 지정한 전문부서에 다음과 같은 정보 보안 관련 정보 자료 및 데이터 파일을 진실하게 제공해야 합니다.
(a) 변경 사항을 기록하기위한 정보 시스템;
(2) 안전기구와 인원의 변화;
(3) 정보 보안 관리 시스템 및 조치의 변화;
(4) 정보 시스템 상태 기록;
(5) 운영 사용 단위 및 주관 부서의 정기 정보 시스템 안전 검사 기록
(6) 정보 시스템 수준 평가를위한 기술 평가 보고서;
(7) 정보 보안 제품의 사용 변경;
(8) 정보 보안 사고 비상 계획 및 정보 보안 사고 비상 처리 결과 보고서
(IX) 정보 시스템 안전 건설, 정류 결과 보고서.
제 20 조 공안기관은 정보시스템 안전보호 상황이 정보안전등급보호와 관련된 관리규범과 기술기준에 부합하지 않는 것으로 밝혀졌으니 운영사용 기관에 시정통지서를 보내야 한다. 운영 사용 단위는 정류 통지서의 요구에 따라 관리 규범과 기술 표준에 따라 정돈해야 한다. 정류가 완료된 후, 정류 보고서는 공안기관에 신고해야 한다. 필요한 경우 공안기관은 정류 상황에 대한 검사를 조직할 수 있다.
제 21 조 3 급 이상 정보 시스템은 다음 조건을 충족하는 정보 보안 제품을 사용하도록 선택해야 합니다.
(1) 제품 개발 및 생산 단위는 중국 시민, 법인 또는 국가가 투자하거나 통제하며 중화인민공화국 경내에서 독립 법인 자격을 가지고 있다.
(2) 제품의 핵심 기술 및 핵심 부품은 우리나라의 자주지적 재산권을 가지고 있다.
(3) 제품 개발 생산 단위 및 주요 업무 및 기술자에게는 범죄 기록이 없습니다.
(4) 제품 개발 생산 단위 성명은 의도적으로 허점, 뒷문, 목마 등의 절차와 기능을 남겨 두거나 설치하지 않았다.
(5) 국가 안보, 사회 질서 및 공익을 위태롭게하지 않는다.
(6) 정보 보안 제품 인증 카탈로그에 기재된 경우 국가 정보 보안 제품 인증 기관에서 발급한 인증 인증서를 받아야 합니다.
제 22 조 3 급 이상 정보 시스템은 다음 조건을 충족하는 등급 보호 평가 기관을 선택하여 평가해야 한다.
(a) 중화 인민 공화국 (홍콩, 호주, 대만 제외) 에 등록;
(2) 중국 시민, 중국 법인 또는 국가 (홍콩, 마카오 제외) 가 투자한 기업 사업 단위
(3) 관련 검사평가에 종사한 지 2 년 이상, 위법 기록이 없다.
(4) 직원은 중국 시민으로 제한된다.
(5) 법인 및 주요 업무 및 기술자는 범죄 기록이 없습니다.
(6) 사용 된 기술 장비 및 시설은이 접근법의 정보 보안 제품 요구 사항을 충족합니다.
(7) 완벽한 기밀 관리, 프로젝트 관리, 품질 관리, 인력 관리 및 교육 교육과 같은 안전 관리 시스템을 갖추고 있습니다.
(8) 국가 안보, 사회질서, 공익에 위협이 되지 않는다.
제 23 조 정보 시스템 보안 등급 평가에 종사하는 기관은 다음과 같은 의무를 이행해야 한다.
(1) 국가 관련 법규 및 기술 표준을 준수하고 안전하고 객관적이며 공정한 검사 평가 서비스를 제공하여 평가의 품질과 효과를 보장합니다.
(2) 평가 활동에서 알게 된 국가 비밀, 영업 비밀 및 개인 프라이버시를 유지하여 평가 위험을 예방한다.
(3) 평가자에 대한 안전비밀교육을 실시하고, 안전비밀책임서에 서명하는 대신 이행해야 할 안전비밀의무와 법적 책임을 약속하고, 검사 시행을 책임진다.
제 4 장은 국가 비밀 정보 시스템의 등급 보호와 관리에 관한 것이다.
제 24 조 기밀 정보 시스템은 국가 정보 보안 수준 보호의 기본 요구 사항, 국가 기밀 부서의 기밀 정보 시스템 수준 보호 관리 규정 및 기술 표준에 따라 시스템 실제 상황과 함께 보호해야 합니다.
비공개 정보 시스템은 국가 비밀 정보를 처리 할 수 없습니다.
제 25 조 기밀 정보 시스템은 정보 처리의 최고 등급에 따라 낮음에서 높음으로 비밀, 기밀, 극비의 세 등급으로 나뉜다.
기밀 정보 시스템 구축 및 사용 단위는 "기밀 정보 시스템 수준 보호 관리 방법" 및 국가 기밀 표준 BMB 17-2006 "국가 기밀을 포함하는 컴퓨터 정보 시스템 수준 보호 기술 요구 사항" 에 따라 시스템 등급을 결정해야 합니다. 여러 보안 도메인이 있는 기밀 정보 시스템의 경우 각 보안 도메인에 대해 보호 수준을 개별적으로 결정할 수 있습니다.
보안 부서와 기관은 기밀 정보 시스템의 건설과 사용을 감독하고 지도하여 시스템을 정확하고 합리적으로 등급을 매겨야 한다.
제 26 조 기밀 정보 시스템의 건설 및 사용 단위는 기밀 정보 시스템의 분류, 건설 및 사용을 업무 주관부의 기밀 업무 기관과 시스템 승인을 담당하는 기밀 업무 기관에 신고해야 합니다. 기밀 업무 기관의 감독, 검사 및 지도를 받다.
제 27 조 기밀 정보 시스템 구축 및 사용 단위는 자격 있는 단위를 선택하여 기밀 정보 시스템의 설계 및 구현에 참여하거나 참여해야 합니다.
기밀 정보 시스템 구축 및 사용 단위는 기밀 정보 시스템 수준 보호 관리 사양 및 기술 표준에 따라 기밀, 기밀, 극비 3 등급의 다양한 요구 사항에 따라 프로그램을 설계하고 시스템 실제 상황과 함께 등급 보호를 구현해야 합니다. 보호 등급은 일반적으로 국가 정보 보안 보호 3, 4, 5 급 이하가 아니다.
제 28 조 기밀 정보 시스템에 사용되는 정보 보안 제품은 원칙적으로 국산 제품이어야 하며, 국가기밀국이 허가한 검사 기관은 국가 관련 기밀 기준에 따라 검사해야 한다. 검사를 통과한 제품은 국가비밀국의 심사와 발표를 거쳐야 한다.
제 29 조 시스템 프로젝트가 시행된 후 기밀 정보 시스템 구축 및 사용 단위는 기밀 부서에 신청해야 하며, 국가기밀국이 승인한 시스템 평가기관은 국가기밀 기준 BMB22-2007' 국가기밀과 관련된 컴퓨터 정보 시스템 등급 보호 평가 가이드' 에 따라 기밀 정보 시스템을 안전하게 평가해야 한다.
시스템이 사용되기 전에 기밀 정보 시스템 구축 및 사용 단위는 "국가 비밀 정보 시스템 승인 관리 규정 관련" 에 따라 시급 이상 기밀 작업 부서에 시스템 승인을 신청해야 합니다. 승인을 받은 후 기밀 정보 시스템을 사용할 수 있습니다. 이미 사용 중인 기밀 정보 시스템의 경우, 건설 및 사용 단위는 기밀 보호 요구 사항에 따라 시스템 정비를 완료한 후 기밀 부서에 등록해야 합니다.
제 30 조 기밀 정보 시스템 건설 단위는 시스템 검수 또는 기록을 신청할 때 다음 자료를 제출해야 한다.
(a) 시스템 설계, 구현 계획 및 검토 의견;
(2) 시스템 계약자의 자격 증명 자료;
(3) 시스템 구축 및 프로젝트 감독 보고서;
(4) 시스템 안전 검사 평가 보고서;
(e) 시스템 보안 조직 관리 시스템;
(VI) 기타 관련 자료.
제 31 조 기밀 정보 시스템의 비밀 수준, 연결 범위, 환경 시설, 주요 응용 프로그램 및 보안 기밀 관리 책임 단위가 변경될 경우 건설 및 사용 단위는 승인을 담당하는 보안 부서에 적시에 보고해야 합니다. 기밀 부서는 실제 상황에 따라 비준을 재평가할지 여부를 결정해야 한다.
제 32 조 기밀 정보 시스템 구축 및 사용 단위는 국가 기밀 기준 BMB20-2007' 국가 기밀을 포함하는 정보 시스템 수준 보호 관리 기준' 에 따라 기밀 정보 시스템 운영시 기밀 관리를 강화하고 정기적으로 위험 평가를 실시하여 비밀 누설의 위험과 허점을 제거해야 한다.
제 33 조 국가 및 지방 각급 보안 부서는 법에 따라 각 지역, 각 부서의 기밀 정보 시스템의 등급 보호를 감독하고 관리하며 다음과 같은 일을 잘 한다.
(a) 등급 보호 업무를 지도, 감독 및 점검한다.
(b) 기밀 정보 시스템의 구축 및 사용을 안내하고, 정보 분류를 표준화하며, 시스템의 보호 수준을 합리적으로 결정합니다.
(3) 기밀 정보 시스템 등급 보호 방안에 대한 논증에 참여하여 건설 및 사용 단위를 안내하여 기밀 유지 시설의 동시 계획 및 설계를 잘 한다.
(4) 법에 따라 기밀 정보 시스템 통합 자격 단위를 감독하고 관리한다.
(5) 시스템 평가와 승인을 엄격히 집행하고, 기밀 정보 시스템 사용 단위의 등급 보호 관리 제도와 기술 조치의 시행을 감독하고 점검한다.
(6) 기밀 정보 시스템 운영에 대한 기밀 감독 검사를 강화하다. 비밀 및 기밀 정보 시스템은 적어도 2 년마다, 극비 정보 시스템은 적어도 일 년에 한 번은
(7) 각급 기밀 정보 시스템의 관리와 사용을 이해하고, 각종 위반 유출 행위를 제때에 발견하고 조사하여 처리하다.
제 5 장 정보 보안 수준 보호의 암호 관리
제 34 조 국가 암호 관리 부서는 정보 보안 수준에 의해 보호되는 암호에 대해 분류 관리를 실시한다. 국가 안보, 사회 안정 및 경제 건설에서의 보호 대상의 역할과 중요성, 보호 대상의 보안 요구 사항 및 기밀성, 보호 대상이 파괴된 후의 피해 정도, 암호 사용 부서의 성격에 따라 등급 보호 기준을 결정합니다.
정보 시스템 운영자나 사용자가 등급 보호 암호를 사용하는 경우' 정보 보안 수준 보호 암호 관리 방법',' 정보 보안 수준 보호 상용 암호 기술 요구 사항' 등 암호 관리 규정 및 관련 기준을 준수해야 합니다.
제 35 조 정보 시스템 보안 수준 보호에서 암호의 제공, 사용 및 관리는 국가 비밀번호 관리에 관한 규정을 엄격히 집행해야 한다.
제 36 조 정보 시스템 운영자와 사용자는 암호 기술을 최대한 활용하여 정보 시스템을 보호해야 한다. 암호를 사용하여 국가 기밀과 관련된 정보 및 정보 시스템을 보호하려면 국가 암호 관리국의 승인을 받아야 합니다. 암호의 설계, 구현, 사용, 운영 유지 관리 및 일상적인 관리는 국가 암호 관리국의 관련 규정 및 표준에 따라 수행되어야 합니다. 암호를 사용하여 국가 기밀을 포함하지 않는 정보 및 정보 시스템을 보호하는 경우' 상용 암호 관리 규정' 및 암호 분류 등급 보호에 관한 규정 및 기준을 준수해야 하며, 암호 사용은 국가 암호 관리 기관에 제출해야 합니다.
제 37 조 암호 기술을 이용하여 정보 시스템에 대한 시스템 수준 보호 건설 및 정류를 하는 경우, 반드시 국가 암호 관리 부서를 이용하여 판매를 인정하거나 승인하는 암호 제품을 사용하여 안전을 보장해야 하며, 외국에서 도입되거나 무단 개발된 암호 제품을 사용해서는 안 된다. 승인 없이는 암호화 기능이 있는 수입 정보 기술 제품을 사용할 수 없습니다.
제 38 조 정보 시스템 암호 및 암호 장비의 평가는 국가 암호 관리국이 승인한 평가 기관이 부담하며, 다른 부서, 단위 및 개인은 암호를 평가하고 모니터링할 수 없습니다.
제 39 조 모든 수준의 암호 관리 부서는 정보 시스템 수준 보호에서 암호 구성, 사용 및 관리를 정기적으로 또는 수시로 확인하고 평가할 수 있으며, 중요한 기밀 정보 시스템의 암호 구성, 사용 및 관리 상황은 최소 2 년마다 확인하고 평가할 수 있습니다. 감독 및 검사 과정에서 보안 위험이 있거나 암호 관리 관련 규정을 위반하거나 암호 관련 표준 요구 사항을 준수하지 않는 경우 국가 암호 관리 관련 규정에 따라 처리해야 합니다.
제 6 장 법적 책임
제 40 조 3 급 이상 정보 시스템 운영, 사용 단위는 본 조치 규정을 위반하며, 다음 행위 중 하나가 공안기관, 국가기밀부, 국가암호관리부서가 책임 분담에 따라 기한 내에 시정하도록 명령한다. 기한이 지나도 시정하지 않는 경우, 경고를 하고, 상급 주관 부서에 상황을 보고하고, 직접 책임지는 임원 및 기타 직접책임자에 대한 처리를 권장하며, 처리 결과를 적시에 피드백할 것을 제안합니다.
(a) 이 조치의 규정에 따라 제출 및 승인되지 않았다.
(2) 본 방법 규정에 따라 안전 관리 제도와 조치를 이행하지 않은 경우
(3) 이 조치의 규정에 따라 시스템 안전 검사를 실시하지 않았다.
(4) 이 조치의 규정에 따라 시스템 보안 기술 평가를 수행하지 않은 경우
(5) 정류 통지를받은 후 정류를 거부한다.
(6) 본 방법 규정에 따라 정보 보안 제품 및 평가 기관의 사용을 선택하지 않은 경우
(7) 본 방법 규정에 따라 관련 서류와 증명 자료를 진실하게 제공하지 않은 경우
(8) 기밀 유지 관리 규정 위반
(9) 비밀번호 관리 규정 위반
(10) 이 조치의 다른 규정을 위반한다.
전항의 규정을 위반하여 심각한 손해를 초래한 것은 관련 부서가 관련 법규에 따라 처리한다.
제 41 조 정보 안전 감독 부서와 그 직원들은 감독 관리 의무를 이행할 때 직무 태만, 직권 남용, 부정행위, 법에 따라 행정처분을 한다. 범죄를 구성하는 자는 법에 따라 형사책임을 추궁한다.
제 7 장 부칙
제 42 조 정보 시스템 운영 사용 단위는 본 방법 시행일로부터 180 일 이내에 정보 시스템 보안 수준을 결정합니다. 새로운 정보 시스템의 보안 수준은 설계 및 계획 단계에서 결정됩니다.
제 43 조이 조치에서 언급 된 "위" 는 본 수 (등급) 를 포함한다.
제 44 조 본 방법은 발행일로부터 시행되며,' 정보안전등급보호관리방법 (시행)' (규정 [2006]7 호) 은 동시에 폐지된다.