信息安全等级测评实施细则(稿)

信息安全等级合规测评

合规，简而言之就是要符合法律、法规、政策及相关规则、标准的约定。在信息安全领域内，等级保护、分级保护、塞班斯法案、计算机安全产品销售许可、密码管理等，是典型的合规性要求。

信息安全合规测评是国家强制要求的，信息系统运营、使用单位或者其主管部门，必须在系统建设、改造完成后，选择具备资质测评机构，依据信息安全合规性要求，对信息系统是否合规进行检测和评估的活动。信息安全合规测评具有强制性和周期性（定期检测），是国家信息安全部门督促合规性要求落地实施，保障信息安全的重要手段。

一、信息安全合规性要求

1、等级保护

等级保护将信息系统按照价值系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别划分五个等级进行保护。其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。等级保护依据公安部、国家保密局、国家密码管理局和国信办先后联合下发《关于信息安全等级保护工作的实施意见》、《信息安全等级保护信息安全等级保护管理办法》开展。

2、分级保护

分级保护针对的是涉密信息系统，根据涉密信息的涉密等级，涉密信息系统的重要性，遭到破坏后对国计民生造成的危害性，以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准，目前，正在执行的两个分级保护的国家保密标准是bmb17《涉及国家秘密的信息系统分级保护技术要求》和bmb20《涉及国家秘密的信息系统分级保护管理规范》。

国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构，山东省软件评测中心是国家保密科技测评中心在山东省设立的分中心。

3、塞班斯法案针对安然、世通等财务欺诈事件，美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席塞班斯联合提出，又被称作《2002年塞班斯-奥克斯利法案》（简称塞班斯法案），法案对美国《1933年证券法》、《1934年证券交易法》做了不少修订，在会计职业监管、公司治理、证券市场监管等方面做出了许多新规定。

塞班斯法案成为在美上市企业躲不过去的坎。它规定，上市公司的财务报告必须包括一份内控报告，并明确规定公司管理层对建立和维护财务报告的内部控制体系及相应控制流程负有完全责任；此外，财务报告中必须附有其内控体系和相应流程有效性的年度评估。它的出台意味着在美国上市的公司不仅要保证其财务报表数据的准确，还要保证内控系统能通过相关审计。

4、计算机信息系统安全专用产品销售许可

计算机信息系统安全专用产品销售许可证是为了加强计算机信息系统安全专用产品的管理，保证安全专用产品的安全功能，由公安部公共信息网络安全监察局颁发的许可证书。

办理依据：

（1）《中华人民共和国计算机信息系统安全保护条例》、（1994年2月18日，国务院令147号发布）。

（2）、《计算机信息系统安全专用产品检测和销售许可证管理办法》（1997年12月1日，公安部令第32号）。

（3）、《计算机病毒防治管理办法》（2000年4月26日，公安部令第51号）。审批办理流程：

（1）、产品检测。申请单位须将样品送指定检测机构进行检测。

（2）、申请办证。检测合格后，申请单位按规定提交证书申请的相关材料。（3）、审批发证。公安部公共信息网络安全监察局。

5、信息系统密码安全管理