外事信息安全要求

2024-05-10

外事信息安全要求（共3篇）

外事信息安全要求篇1

外事信息安全要求

一、外事接待工作中的保密

1、接待外宾参观，要明确划分参观范围，标明禁区，规定参观路线和参观项目，采取必要的保密措施，不要临时擅自扩大参观范围。

2、允许参观的项目一般应允许摄影。如有个别不允许摄影之处，应事先通知外宾，并在现场设置“请勿摄影”的中、外文说明。

3、在接待外藉人员考察实习时，应按中外双方协议和接待方案的要求，事先做好准备，写出对外介绍或提供实习范围的详细提纲，统一对外口径，做到既严守秘密，又适应涉外工作的需要。

4、不安排外藉人员去非开放单位。确因工作需要时，要由接待部门征得非开放单位和地方外办同意，确定保密措施，并报公司保密委员会审批。

二、因公出国工作中的保密

1、出国团组应设有专人负责保密工作。出国前应进行保密纪律教育，制定保密措施，列入出国活动方案，回国后应进行检查和总结。

2、出国人员不得擅自携带属于国家秘密的文件、资料和其他物品。确因工作需要，须按有关规定办理审批手续。

3、出国执行技术和设备采购签约任务的人员、执行合作研究项目的人员，不准将合同规定以外的内容泄露给无关人员。

4、出国人员应严格执行我驻外使馆制定的各项保密制度。在国外不准用信件、明码电报、电话向使馆或国内汇报、请示或询问秘密和不宜对外公开的问题。

5、在不宜场合，不得谈论内部事务和内部机密。

三、对外提供技术资料工作中的保密

1、凡属对外经济技术交流与合作项目必须对外提供的秘密和内部技术资料、样品等，原则上可以对外提供，但应搞清其目的和用途。提供资料的品种、数量和精度都严格限制在确实有关的范围之内，并应区别情况，进行必要的处理。有关资料、样品应由公司保密委员会审查签署意见后，报股份公司保密委员会审批。对外提供时，应要求对方不得将资料转交给第三方使用。

2、在商务谈判中，未经批准，严禁将机密材料提交给对方。双方签订的合同不得随意提交给第三方。

3、向外提供的技术资料应统一登记立卷归档。

四、对外提供论文和通信中的保密

1、送往国外的论文或讲稿，按有关规定办理手续。

2、科技人员可以与外藉科技人员进行通讯联系，但在通讯中涉及保密或不宜公开对外的问题时，须按有关规定办理审批手续。

五、智力引进工作中的保密

1、引进的专家，凡属在业务工作中必须接触和知道的非核心秘密，一般都可以适当放宽，但和工作无关的非核心秘密仍需注意保密。

2、引进智力。在聘请专家前，要根据应聘专家可承担的业务工作，认真研究和确定可以对他放宽的非核心秘密，并对与专业工作有关的和可以放宽的非核心秘密提出建议，报股份公司审批。

3、应聘专家有承担严格保守秘密的义务．在聘请时，应在合同条款中写明遵守我保密法规等内容。

六、对外宣传工作中的保密

1、有关输油气生产建设和技术进步成就的对外宣传，不应涉及不宜对外的内容。

2、宣传报道对外经济技术交流活动及其成果时，应采取慎重态度，禁止公开报道合同和协议中规定的我们承担保密义务的内容。发稿前涉及有关单位情况的，应由涉外专业保密领导小组审核，由公司保密办公室会同有关部门研究议定，报股份公司保密委员会或股份公司批准。

3、严禁在公开报刊、杂志上报道通过秘密渠道获得的技术资料及效仿外国专利技术、工艺、设备的情况。

外事信息安全要求篇2

一、基本环节

（一）组织开展调查摸底

（二）合理确定保护等级

（三）开展安全建设整改

（四）组织系统安全测评

（五）依法履行备案手续

（六）加强日常测评自查

（七）加强安全监督检查

二、主要环节

定级-安全建设-安全测评-备案

二、定级

一、等级划分

计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

二、定级程序

信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

三、定级注意事项

一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。

二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。

三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。四级信息系统：适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。

三、备案

一、总体要求

新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

二、备案管辖

（一）管辖原则。

备案管辖分工采取级别管辖和属地管辖相结合。

（二）中央在京单位。

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北京市公安局公共信息网络安全监察部门（简称网监部门，下同）受理备案。

（三）中央驻粤及省直国有单位。

隶属中央或省的驻穗国有单位的信息系统，由省公安厅网警总队受理备案。上述单位在各地运行、维护的分支系统由其在各地的分支机构报所在地地级以上市公安机关网监部门备案。

（四）其他单位。

其他单位的信息系统由所在地地级以上市公安机关网监部门备案。

三、备案流程

（一）备案时限。

信息系统运营、使用单位或者其主管部门（以下简称“备案单位”）应当在信息系统设计阶段确定信息系统安全保护等级，并在安全保护等级确定后30日内，到公安机关网监部门办理备案手续。

（二）备案申请。

办理备案手续，应当到公安机关指定网址下载信息安全等级保护备案软件，利用该软件填写生成《信息系统安全等级保护备案表》（简称《备案表》，下同）表

一、表

二、表三纸质WORD格式文档一式两份和电子数据（RAR格式），并准备好相关附件（一式两份），向公安机关网监部门提出备案申请。第三级以上信息系统应当同时提供以下材料：

1．系统拓扑结构及说明； 2．系统安全组织机构和管理制度；

3．系统安全保护设施设计实施方案或者改建实施方案； 4．系统使用的信息安全产品清单及其认证、销售许可证明； 5．测评后符合系统安全保护等级的技术检测评估报告； 6．信息系统安全保护等级专家评审意见；

7．主管部门审核批准信息系统安全保护等级的意见。

四、备案审核

公安机关网监部门收到申请材料后，应当在10个工作日内进行审查。对符合要求的，公安机关网监部门应当在《备案表》加盖公共信息网络安全监察专用章并将其中一份反馈备案单位，并出具《信息系统安全等级保护备案证明》（以下简称《备案证明》）。《备案证明》由公安部统一监制。对不符合要求的，公安网监部门应当出具《信息系统安全等级保护备案审核结果通知》，通知备案单位进行整改。其中，对定级不准的备案单位，在通知整改的同时，应当建议备案单位重新定级。

五、变更备案

《备案表》所载事项发生变更，备案单位应当自变更之日起30日内重新填写《备案表》报公安机关网监部门备案。其中，变更事项涉及《备案证明》的，公机关网监部门应当重新颁布《备案证明》。

六、重新备案

运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。

四、安全建设和整改

计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施。运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。

在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。

运营、使用单位应当参照《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。

五、信息安全等级测评

信息系统建设完成后，二级以上的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。已投入运行信息系统在完成系统整改后也应当进行测评。经测评，信息系统安全状况未达到安全保护等级要求的，运营使用单位应当制定方案进行整改。

一、测评程序

计算机信息系统运营、使用单位委托安全测评机构测评，应当提交下列资料：

（一）安全测评委托书；

（二）计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。安全测评机构在收到委托材料后，应当与委托方协商制订安全测评计划，开展安全测评工作，并出具安全测评报告。

经测评，计算机信息系统安全状况未达到国家有关规定和标准的要求的，委托单位应当根据测评报告的建议，完善计算机信息系统安全建设，并重新提出安全测评委托。

二、测评监督

测评机构对计算机信息系统进行使用前安全测评，应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。

三、日常测评

计算机信息系统投入使用后，存在下列情形之一的，应当进行安全自查，同时委托安全测评机构进行安全测评：

（一）变更关键部件；

（二）安全测评时间满一年；

（三）发生危害计算机信系统安全的案件或安全事故；

（四）公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评；

（五）其他应当进行安全自查和安全测评的情形。

第三级计算机信息系统应当每年至少进行一次安全自查和安全测评，第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评，第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评。自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。

四、测评争议解决

外事信息安全要求篇3

编制说明

（送审稿）

证券期货业信息系统安全等级保护基本要求》编写组

二〇一〇年五月

I《

一、背景及意义..............1

二、编制目的与原则.................1

三、编制内容................1

四、主要编制过程............2

五、适用范围................2

六、总体框架................2

七、重大分歧意见的处理和依据..............2

八、行业标准属性的建议.............2

九、废止现行有关标准的建议................3

十、其他应予说明的事项.............3一、背景及意义

国家标准《信息系统安全等级保护基本要求》（以下简称《国标》）是证券期货行业各机构开展安全建设整改、测评机构进行安全测评、公安机关开展检查的重要依据。证券期货业具有信息化程度高、业务持续性要求高、对信息系统的容量和处理能力要求高的特点。但由于《国标》是通用性标准，适用范围大，有些规定不够完全适应证券期货行业的实际情况，为了增强标准的可操作性，需要根据行业特点进行明确、细化和调整。公安部文件《关于印送<关于开展信息安全等级保护安全建设整改工作的指导意见>的函》（公信安[2009]1429号）明确要求：“重点行业信息系统主管部门可以按照《信息系统安全等级保护基本要求》等国家标准，结合行业特点，确定《信息系统安全等级保护基本要求》的具体指标；在不低于等级保护基本要求的情况下，结合系统安全保护的特殊需求，在有关部门指导下制定行业标准或细则，指导本行业信息系统安全建设整改工作。”因此，制定《证券期货业信息系统安全等级保护基本要求》（以下简称《行标》）对于全行业开展好信息安全等级保护工作是必要和迫切的。

二、编制目的与原则

（一）编制目的《行标》主要用于指导和规范证券期货行业信息安全等级保护安全建设整改、测评和监督管理工作。

（二）编制原则

本标准的编制遵循以下原则：

1、《行标》严格按照《国标》开展规范的编制工作，在体例、条款上保持一致，不对《国标》条款进行增、删、改。

2、结合行业实际情况，对《国标》安全要求进一步明确、细化和调整，且不低于《国标》要求。

3、根据《国标》附录B的要求，对不同信息系统提出明确的安全要求。

三、编制内容

对《国标》262项安全要求中的195项安全要求进行了细化、明确和调整，其中细化了82项，明确了66项，调整了47项。

细化的内容，主要是对部分安全要求进行分解细化，以便于操作。如，《国标》要求“机房出入应安排专人负责，控制、鉴别和记录进入的人员。”《行标》细化要求为“机房出入应当安排专人负责管理。没有电子门禁系统的机房应当安排专人在机房出入口控制、鉴别和记录人员的进入；有电子门禁系统的机房，应当保存门禁系统的日志记录，应当采用监控设备将机房人员进入情况传输到值班点。”

明确的内容，主要是对定性的词语，给出了明确定义。如，《国标》要求“机房应设置必要的温、湿度控制设施，使机房温、湿度的变化在设备运行所允许的范围之内”，《行标》明确要求“开机时机房温度应控制在18℃-28℃；开机时机房相对湿度应控制在35%-75%；停机时机房温度应控制在5℃-35℃；停机时机房相对湿度应控制在20%-80%。”

调整的内容，主要是针对行业系统特点，对安全要求进行了使用范围的调整。如，《国标》要求“操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并保持系统补丁及时得到更新。”，《行标》调整要求“持续跟踪厂商提供的系统升级更新情况，在经过充分的评估后对必要补丁进行及时更新。”

四、主要编制过程

第一阶段：研究阶段

2008年，中国证监会开始研究《行标》的编制工作，在充分征求行业各类机构意见的基础上，形成了《行标》的最终编写思路，并对标准条款的修改做了大量调研工作。

第二阶段：编写阶段

中国证监会组织10名行业专家（分别来自监管部门、交易所等单位、证券公司、期货公司、基金公司）和5名国家有关安全机构专家（来自于公安部信息安全等级保护评估中心、中国信息安全测评中心和上海市信息安全测评中心）成立了起草小组，集中工作，形成了《行标》初稿。

第三阶段：征求意见阶段

中国证监会2次向市场核心机构和部分经营机构征求意见，共收集了近300条反馈意见，对各单位反馈的意见进行了认真研究，采纳了绝大多数的意见，对未采纳的意见进行了充分讨论。

第四阶段：完善阶段

《行标》起草工作小组根据专家意见，对《行标》的内容进行了2次较大的修改编写形成了《行标》征求意见稿。

第五阶段：证标委征求意见阶段

2010年3月17日，《行标》起草小组将征求意见稿报送给证标委征求专家委员意见，并且同时向中国证监会会内相关业务部门、12家证监局，中国证券业、期货业协会征求意见。返回意见共计242条，其中专家委员意见152条，会内相关部门、证监局和行业协会意见共计90条。经充分吸纳和与各证标委专家委员、各单位充分沟通后，修订形成了《行标》（送审稿）。

第六阶段：国家信息安全等级保护专家评审

2010年5月6日，证监会信息中心邀请了国家信息安全等级保护安全建设指导专家会部分专家对《行标》（送审稿）进行评估，并邀请公安部十一局相关负责同志进行了现场指导。与会专家一致同意《行标》（送审稿）通过评审。

五、适用范围

《行标》适用于适用于指导证券期货行业按照等级保护要求进行安全建设、测评和监督管理。

六、总体框架

《行标》包括前言、引言、9个章节、2个附录，每章包括的具体内容如下：

第1-9章以国际《信息系统安全等级保护基本要求》为基础，针对部分安全要求进行了明确、细化和调整。

附录A为规范性附录，结合证券期货行业特点修订了《信息系统安全等级保护基本要求》附录A。

附录B为规范性附录，根据证券期货行业不同机构、不同系统特点，明确安全要求的选择和使用的原则。

七、重大分歧意见的处理和依据

无。

八、行业标准属性的建议