信息系统安全等级分级保护工作的责任书.docxVIP

信息系统安全等级分级保护工作的责任书

为落实国家信息系统安全等级保护制度（以下简称“等保制度”），强化信息系统安全主体责任，规范安全管理行为，保障信息系统安全稳定运行，防范网络安全风险，根据《中华人民共和国网络安全法》《信息安全等级保护管理办法》《信息系统安全等级保护定级指南》（GB/T22240）、《信息系统安全等级保护基本要求》（GB/T22239）等法律法规及标准规范，甲方（[甲方单位全称]）与乙方（[乙方单位/部门全称]，责任人为[责任人姓名]，职务[责任人职务]）就[信息系统名称]（以下简称“本系统”）安全等级保护工作（以下简称“等保工作”）签订本责任书，明确双方责任如下：

一、责任目标

通过落实等保制度要求，确保本系统达到与其安全保护等级（经公安机关备案确认的第[X]级）相适应的安全保护能力，具体目标包括：

1.系统定级准确，备案材料完整规范，符合《信息系统安全等级保护定级指南》（GB/T22240）要求；

2.安全技术措施与安全管理措施同步规划、同步建设、同步使用（以下简称“三同步”），技术防护水平满足《信息系统安全等级保护基本要求》（GB/T22239）中第[X]级标准；

3.年度安全等级测评（以下简称“等保测评”）结果符合要求，测评结论为“符合”或“基本符合”，不存在影响系统安全的重大安全隐患；

4.全年无因管理疏漏或技术防护缺失导致的重大网络安全事件（指造成系统大面积瘫痪、重要数据泄露或篡改、社会影响恶劣的安全事件）；

5.安全管理制度健全，人员安全意识与技能满足岗位要求，安全运维流程规范，应急响应机制有效。

二、乙方责任内容

乙方作为本系统的运营使用单位，全面负责本系统等保工作的组织实施与具体落实，需履行以下责任：

（一）定级与备案管理责任

1.按照“自主定级、专家评审、主管部门审核、公安机关备案”的流程，严格依据系统的社会影响力、业务重要性、数据敏感性等要素，结合《信息系统安全等级保护定级指南》（GB/T22240），科学确定系统安全保护等级。定级过程需形成《信息系统安全等级保护定级报告》，组织3名以上（含）具有相关专业背景的专家进行评审，专家意见需明确、具体，结论需经专家签字确认。

2.自定级评审通过之日起30个工作日内，完成向所在地设区的市级以上公安机关网安部门的备案手续，提交《信息系统安全等级保护备案表》及定级报告、专家评审意见、主管部门审核意见等材料。备案信息发生变更（如系统功能调整、服务范围扩大、数据类型增加等）时，需在变更发生后15个工作日内重新定级并更新备案。

3.对定级准确性负直接责任。若因定级错误导致安全防护措施与实际风险不匹配，引发安全事件或被公安机关责令整改的，乙方需承担相应责任。

（二）安全建设与整改责任

1.按照“三同步”原则，将等保要求纳入系统规划、设计、实施全过程。新建、改建、扩建系统时，需在项目可行性研究报告中明确等保需求，在设计方案中细化安全技术措施（包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等）和安全管理措施（包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等），相关内容需经甲方或第三方专家评审通过后方可实施。

2.针对已运行系统，需对照《信息系统安全等级保护基本要求》（GB/T22239）中第[X]级标准，开展安全现状评估，制定《安全建设整改方案》，明确整改目标、技术路线、实施步骤、时间节点及责任人员。整改方案需经甲方审核同意后实施，整改完成后需组织验收，形成验收报告。

3.具体技术措施需达到以下要求：

-物理安全：机房选址需避开强电磁场、强振动源等危险区域，配备防火、防水、防雷击、防盗窃、防破坏等设施；机房环境温湿度需符合设备运行要求（温度建议18℃-28℃，湿度建议30%-70%），配备精密空调及温湿度监控系统；重要设备需采用双路供电或不间断电源（UPS），备用电源续航时间不低于2小时；机房实行分区管理（如主机区、监控区、存储区），设置电子门禁系统，访问人员需登记并经审批，记录保存至少6个月。

-网络安全：在网络边界部署防火墙、入侵检测/防御系统（IDS/IPS）、安全审计系统等设备，实现边界访问控制（基于五元组的细粒度策略）、入侵检测与阻断、网络行为审计（记录网络访问源地址、目的地址、时间、流量、应用类型等信息，保存至少6个月）；核心网络设备（如路由器、交换机）需启用访问控制列表（ACL），配置端口安全、链路聚合、冗余备份等功能，避免单点故障；无线网络需采用WPA2/WPA3协议加密，设置强密码（长度≥12位，包含字母、数字、符号），禁止开放匿名访问。

-主机安全：服务器操作系统（包括Windows、Linux等）需关闭不必要的服务和端口，启用自动更新