정보 시스템 운영자와 사용자는 "정보 시스템 보안 수준 보호 구현 가이드" 에 따라 등급 보호 작업을 수행해야 합니다.
제 10 조
정보 시스템 운영자와 사용자는 본 방법 및 정보 시스템 보안 수준 보호 분류 가이드에 따라 정보 시스템의 보안 수준을 결정해야 합니다. 주관 부서가 있는 사람은 주관 부서에서 비준한다.
지방 간 또는 전국 통합 네트워크를 통해 운영되는 정보 시스템은 주관 부서에서 통일적으로 결정할 수 있습니다.
4 급 이상으로 확정된 정보 시스템의 경우, 운영 사용 단위 또는 주관 부서는 국가 정보 보안 등급 전문가 심사위원회에 심의를 요청해야 합니다.
제 11 조
정보 시스템 보안 수준이 결정되면 운영 사용 단위는 국가 정보 보안 수준 보호 관리 사양 및 기술 표준에 따라 국가 관련 규정 준수, 정보 시스템 보안 수준 요구 사항을 충족하는 정보 기술 제품을 사용하여 정보 시스템 보안 구축 또는 개조해야 합니다.
제 12 조
정보 시스템 구축 과정에서 운영 사용 단위는' 컴퓨터 정보 시스템 보안 등급 기준' (GB 17859- 1999),' 정보 시스템 보안 기본 요구 사항' 등의 기술 표준에 따라 운영해야 합니다. 정보 시스템 일반 보안 기술 요구 사항 (GB/T2027 1-2006), 정보 보안 기술 네트워크 기본 보안 기술 요구 사항 (GB/T20270-2006), 정보 보안 기술 운영 체제 보안 기술 참조
제 13 조
운영 사용 단위는 정보 보안 기술 정보 시스템 보안 관리 요구 사항 (GB/T20269-2006), 정보 보안 기술 정보 시스템 보안 엔지니어링 관리 요구 사항 (GB/T20282-2006), 정보 시스템 보안 수준 보호 기본 요구 사항 등의 관리 기준을 참조해야 합니다.
제 14 조
정보 시스템 구축이 완료되면 운영 사용 단위 또는 해당 주관부는 본 조치의 규정 조건을 충족하는 평가 기관을 선택하고 정보 시스템 보안 수준 보호 평가 요구 사항 등 기술 표준에 따라 정기적으로 정보 시스템 보안 수준을 평가해야 합니다. 레벨 3 정보 시스템은 적어도 일 년에 한 번, 레벨 4 정보 시스템은 최소 6 개월마다, 레벨 5 정보 시스템은 특수 보안 요구 사항에 따라 등급을 매깁니다.
정보 시스템 운영 사용 단위 및 해당 주관 부서는 정기적으로 정보 시스템의 안전 상태, 보안 제도 및 조치 이행에 대한 자체 조사를 실시해야 합니다. 레벨 3 정보 시스템은 1 년에 한 번 이상 자체 테스트를 수행하고, 레벨 4 정보 시스템은 6 개월에 한 번 이상 자체 테스트를 수행하며, 레벨 5 정보 시스템은 특수 보안 요구 사항에 따라 자체 테스트를 수행합니다.
평가나 자체 조사를 통해 정보 시스템 보안 상태가 보안 수준 요구 사항을 충족하지 못하는 경우 운영 사용 단위는 시정 방안을 마련해야 합니다.
제 15 조
이미 운영 (운영) 하거나 2 급 이상의 정보 시스템을 새로 건설한 경우, 안전등급 확정 후 30 일 이내에 소재지 시급 이상 공안기관에 신고 수속을 밟아야 한다.
지방 간 또는 전국 네트워크 운영, 주관 부서가 통일적으로 등급을 매기는 중앙 소속 베이징 단위 정보 시스템은 주관 부서에서 공안부에 등록한다. 통합 네트워크에서 지방 간 또는 전국적으로 응용 정보 시스템을 운영하는 서브시스템은 소재지 시급 이상 공안기관에 신고해야 한다.
제 16 조
정보 시스템 보안 등급 기록 절차를 처리할 때는' 정보 시스템 보안 등급 보호 기록표' 를 작성해야 하며, 3 급 이상 정보 시스템은 다음 자료도 제공해야 합니다.
(a) 시스템 토폴로지 및 설명
(b) 시스템 보안 조직 관리 시스템;
(3) 시스템 보안 보호 시설 설계 및 구현 계획 또는 개조 구현 계획
(4) 시스템에서 사용하는 정보 보안 제품 목록 및 인증 및 판매 라이센스 인증서
(5) 시스템 안전 보호 수준에 부합하는 기술 테스트 평가 보고서를 평가한다.
(6) 정보 시스템 보안 수준에 대한 전문가 평가 의견;
(7) 정보 시스템 보안 수준에 대한 관할 부서의 승인 의견.
제 17 조
정보 시스템 기록 후 공안기관은 정보 시스템 기록을 심사하고 등급 보호 요구 사항을 충족해야 하며, 기록 자료를 받은 날로부터 10 일 (영업일 기준) 이내에 정보 시스템 보안 수준 보호 기록 증명서를 제출해야 합니다. 본 방법 및 관련 기준에 부합하지 않는 경우 서류자료를 받은 날로부터 10 일 (영업일 기준) 이내에 서류단위 보정을 통지해야 합니다. 등급이 허용되지 않는 것으로 밝혀진 경우, 서류자료를 받은 날로부터 10 일 (영업일 기준) 이내에 서류단위에게 재심사 확인을 통지해야 합니다.
운용기관이나 주관부서가 정보시스템 등급을 다시 결정한 후에는 본 방법에 따라 공안기관에 재등록해야 한다.
제 18 조
서류를 접수하는 공안기관은 3 급, 4 급 정보 시스템 운영 및 사용자 정보 보안 수준 보호 상황을 점검해야 한다. 1 년에 한 번 이상 3 급 정보 시스템을 검사하고 6 개월에 한 번 이상 4 급 정보 시스템을 점검한다. 지방 간 또는 전국 통합 네트워킹 정보 시스템의 검사는 주관 부서에서 책임진다.
제 5 급 정보 시스템은 국가가 지정한 전문 부서에서 검사한다.
공안기관과 국가가 지정한 전문부문은 다음과 같은 사항을 점검해야 한다.
(a) 정보 시스템 보안 요구 사항이 변경되었는지 여부, 원래 보호 수준이 정확한지 여부
(2) 운영 사용 단위 안전 관리 제도 및 조치의 이행
(3) 운영 사용 단위 및 해당 주관 부서에서 정보 시스템의 보안 상태를 점검합니다.
(4) 시스템 보안 수준 평가가 요구 사항을 충족하는지 여부;
(5) 정보 보안 제품의 사용이 요구 사항을 충족하는지 여부
(6) 정보 시스템 안전 정류;
(7) 서류와 운영, 사용 단위 및 정보 시스템의 준수
(8) 검사를 감독해야 할 기타 사항.
제 19 조
정보 시스템 운영 및 사용 단위는 공안기관 및 국가가 지정한 전문부문의 안전감독, 검사 및 지도를 받아야 하며, 공안기관 및 국가가 지정한 전문부서에 다음과 같은 정보 보안 관련 정보 자료 및 데이터 파일을 진실하게 제공해야 합니다.
(a) 변경 사항을 기록하기위한 정보 시스템;
(2) 안전기구와 인원의 변화;
(3) 정보 보안 관리 시스템 및 조치의 변화;
(4) 정보 시스템 상태 기록;
(5) 운영 사용 단위 및 주관 부서의 정기 정보 시스템 안전 검사 기록
(6) 정보 시스템 수준 평가를위한 기술 평가 보고서;
(7) 정보 보안 제품의 사용 변경;
(8) 정보 보안 사고 비상 계획 및 정보 보안 사고 비상 처리 결과 보고서
(IX) 정보 시스템 안전 건설, 정류 결과 보고서.
제 20 조
공안기관은 정보시스템 안전보호 상황이 정보안전등급보호와 관련된 관리규범과 기술기준에 부합하지 않는 것으로 밝혀졌으니 운영사용 기관에 시정통지서를 보내야 한다. 운영 사용 단위는 정류 통지서의 요구에 따라 관리 규범과 기술 표준에 따라 정돈해야 한다. 정류가 완료된 후, 정류 보고서는 공안기관에 신고해야 한다. 필요한 경우 공안기관은 정류 상황에 대한 검사를 조직할 수 있다.
제 21 조
레벨 3 이상의 정보 시스템은 다음 조건을 충족하는 정보 보안 제품을 사용하도록 선택해야 합니다.
(1) 제품 개발 및 생산 단위는 중국 시민, 법인 또는 국가가 투자하거나 통제하며 중화인민공화국 경내에서 독립 법인 자격을 가지고 있다.
(2) 제품의 핵심 기술 및 핵심 부품은 우리나라의 자주지적 재산권을 가지고 있다.
(3) 제품 개발 생산 단위 및 주요 업무 및 기술자에게는 범죄 기록이 없습니다.
(4) 제품 개발 생산 단위 성명은 의도적으로 허점, 뒷문, 목마 등의 절차와 기능을 남겨 두거나 설치하지 않았다.
(5) 국가 안보, 사회 질서 및 공익을 위태롭게하지 않는다.
(6) 정보 보안 제품 인증 카탈로그에 기재된 경우 국가 정보 보안 제품 인증 기관에서 발급한 인증 인증서를 받아야 합니다.
제 22 조
3 급 이상 정보 시스템은 다음 조건을 충족하는 등급 보호 평가 기관에서 평가해야 합니다.
(a) 중화 인민 공화국 (홍콩, 호주, 대만 제외) 에 등록;
(2) 중국 시민, 중국 법인 또는 국가 (홍콩, 마카오 제외) 가 투자한 기업 사업 단위
(3) 관련 검사평가에 종사한 지 2 년 이상, 위법 기록이 없다.
(4) 직원은 중국 시민으로 제한된다.
(5) 법인 및 주요 업무 및 기술자는 범죄 기록이 없습니다.
(6) 사용 된 기술 장비 및 시설은이 접근법의 정보 보안 제품 요구 사항을 충족합니다.
(7) 완벽한 기밀 관리, 프로젝트 관리, 품질 관리, 인력 관리 및 교육 교육과 같은 안전 관리 시스템을 갖추고 있습니다.
(8) 국가 안보, 사회질서, 공익에 위협이 되지 않는다.
제 23 조
정보 시스템 보안 수준 평가에 종사하는 기관은 다음과 같은 의무를 이행해야 합니다.
(1) 국가 관련 법규 및 기술 표준을 준수하고 안전하고 객관적이며 공정한 검사 평가 서비스를 제공하여 평가의 품질과 효과를 보장합니다.
(2) 평가 활동에서 알게 된 국가 비밀, 영업 비밀 및 개인 프라이버시를 유지하여 평가 위험을 예방한다.
(3) 평가자에 대한 안전비밀교육을 실시하고, 안전비밀책임서에 서명하는 대신 이행해야 할 안전비밀의무와 법적 책임을 약속하고, 검사 시행을 책임진다.