信息安全等级保护
武汉市信息安全等级保护协调小组办公室
二〇〇七年八月
前 言
当前~我国信息安全面临的形势仍然十分严峻~维护国家信息安全的任务非常艰巨、繁重。随着我国经济的持续发展和国际地位的不断提高~我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重~计算机病毒传播和网络非法入侵十分猖獗~网络违法犯罪持续大幅上升~犯罪分子利用一些安全漏洞~使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪~给用户造成严重损失。
党中央、国务院高度重视信息安全工作,中共中央办公厅转发的《国家网络与信息安全协调小组关于确保党的十七大信息安全的意见》,要求公安部会同有关部门~抓紧开展并完成重要信息系统安全等级保护定级工作~确保国家重要信息系统的信息网络安全~为党的十七大的胜利召开创造良好的信息网络环境。信息安全等级保护制度是国家信息安全保障工作的基本制度。开展信息安全等级保护工作不仅是加强国家信息安全保障工作的重要内容~也是一项事关国家安全、社会稳定、党的十七大胜利召开和北京奥运会成功举办的政治任务。为了加快推进信息安全等级保护工作~2007年6月22日~公安部与国家保密局、密码管理局、国务院信息办联合会签并印发了《信息安全等级保护管理办法》,公通字[2007]43号,~7月16日四部委联合会签并下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》,公
2
信安[2007]861号,~7月20日四部委联合组织召开了“全国重要信息系统安全等级保护定级工作电视电话会议”。为保证信息系统运营使用单位、主管部门能够及时、扎实地开展重要信息系统安全等级保护定级工作,以下简称“定级工作”,~配合公安、保密、密码部门履行职责~监督、检查、指导定级工作~结合近年来公安机关牵头组织开展信息安全等级保护工作的基础调查、试点等工作经验~我们编写了这本培训资料~供有关部门在开展信息安全等级保护工作中参考、借鉴。
3
目 录 一、信息安全等级保护工作概述
(一)开展信息安全等级保护工作的政策和法律依据
(二)近年来信息安全等级保护工作进展
(三)我国信息网络安全面临的严峻形势
(四)开展信息安全等级保护工作的重要意义
(五)开展等级保护工作的总体要求。 二、明确责任义务
三、信息系统安全保护等级的划分与保护
(一)“自主定级、自主保护”与国家监管
(二)信息系统安全保护等级
(三)信息系统安全保护等级的定级要素
(四)五级保护和监管
四、信息系统安全保护等级的确定
(一)定级范围
(二)定级工作步骤
(三)如何起草定级报告
五、备案和备案审核
(一)备案
(二)备案审核
(三)及时总结并提交总结报告 六、信息系统安全建设整改、等级测评
4
(一)信息系统安全建设整改
(二)有关技术
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
和管理标准的简要说明
(三)信息安全产品分等级使用管理
(四)等级测评和自查
七、监督检查
八、对违反有关等级保护规定的处罚
附件:1、信息安全等级保护管理办法
2、《信息系统安全等级保护定级报告》模版
3、信息系统安全等级保护备案表
4、涉及国家秘密的信息系统分级保护备案表
5
信息安全等级保护培训教材
一、信息安全等级保护工作概述
(一)开展信息安全等级保护工作的政策和法律依据
1、1994年~《中华人民共和国计算机信息系统安全保护条例 》,国务院147号令,规定~“计算机信息系统实行安全等级保护~安全等级的划分标准和安全等级保护的具体办法~由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度,二是出台配套的规章和技术标准,三是明确了公安部的牵头地位。
2、2003年~《国家信息化领导小组关于加强信息安全保障工作的意见》,中办发[2003]27号,明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统~抓紧建立信息安全等级保护制度~制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度 。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位~以及“谁主管谁负责~谁运营谁负责”的信息安全保障责任制。
3、2004年9月公安部会同国家保密局、国家密码管理
6
局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》,公通字[2004]66号,~明确了信息安全等级保护制度的原则和基本内容~以及信息安全等级保护工作的职责分工、工作实施的要求等。
4、2007年6月公安部会同国家保密局、国家密码管理局和国务院信息办联合《信息安全等级保护管理办法》,公通字[2007]43号~以下简称《管理办法》,~明确了信息安全等级保护制度的基本内容、流程及工作要求~进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务~为开展信息安全等级保护工作提供了规范保障。
(二)近年来信息安全等级保护工作进展
1、制定了包括《计算机信息系统安全保护等级划分准则》,GB17859-1999,、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等50多个国标和行标~初步形成了信息安全等级保护标准体系。
2、开展了等级保护基础调查工作。2005年底~公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》,公信安[2005]1431号,。2006年上半年~公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。调查对象共计65117家
7
单位~涉及115319个信息系统。通过基础调查~基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况~为制定信息安全等级保护政策奠定了坚实的基础。
3、开展了等级保护试点工作。2006年6月~公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》,公信安[2006]573号,。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试点~完善了开展等级保护工作的模式和思路~检验和完善了开展等级保护工作的方法、思路、规范标准~探索了开展等级保护工作领导、组织、协调的模式和办法~为全面开展等级保护工作奠定了坚实的基础。
4、2007年7月20日~公安部、国家保密局、国家密码管理局、国务院信息办在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”~部署在全国范围内开展重要信息系统安全等级保护定级工作。国家信息安全等级保护协调小组组长、公安部副部长张新枫同志和国务院信息化工作办公室副主任、国家网络与信息安全协调小组办公室主任杨学山同志作了重要讲话。国家信息安全职能部门、基础信息网络和重要信息系统主管部门、各省,区、市,公安厅,局,、保密局、国家密码管理局、信息化领导小组办公室和有关行业、部门的负责同志出席了会议。
8
5、为加强信息安全等级保护工作的领导~公安部、国家保密局、国家密码管理局联合成立了由公安部张新枫副部长任组长的“国家信息安全等级保护协调小组” ,见附件,~办公室设在公安部公共信息网络安全监察局。
(三)我国信息网络安全面临的严峻形势
当前~我国信息安全面临的形势仍然十分严峻~维护国家信息安全的任务十分艰巨、繁重。一是西方敌对势力对我网上渗透和颠覆活动不断升级~我们将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。二是境内外反动势力在西方敌对势力的支持下~对我重要网络和信息系统频繁进行攻击破坏。2006年就发生几十起攻击我卫星广播电视和插播事件~今年以来又发生多起卫星受干扰事件和光缆遭人为破坏事件。随着我国经济的持续发展和国际地位的不断提高~我国的基础信息网络和重要信息系统正成为敌对势力、敌对分子进行攻击、破坏和恐怖活动的重点目标。三是计算机病毒传播和网络非法入侵十分严重。据公安机关调查~今年1-6月~我国平均每月截获计算机病毒6.6万个~累计感染计算机达1.18亿台次。今年初在我国发生的“熊猫烧香”病毒案~短时间内就出现病毒变种700余个~感染了445万台计算机~大批网民的网上帐号、口令被窃取。四是网络违法犯罪持续大幅上升。仅2006年~公安机关就查处网上违法犯罪案件4万多起~查获违法犯罪嫌疑人3万多名~
9
同比大幅上升。犯罪分子利用一些重要信息系统的安全漏洞~使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪~给用户造成严重损失~引发诸多社会问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
。五是网上失、窃密情况严重。一些国家和地区间谍情报机关利用我一些单位、人员和信息系统防范不严、警惕性不高、安全措施不力的状况在网上大肆对我进行窃密活动~目标直指我党政军要害部门和重要信息系统。近年来~已发生多起危害严重的网上失、窃密案件。六是网络安全管理不善~安全措施不到位~信息系统运行事故时有发生。金融、民航等重要信息系统连续发生运行事故~不仅直接影响生产业务的正常运行~而且造成了严重社会影响。特别需要指出的是,“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点。北京奥组委日常工作、赛事活动、宣传报道及票务等工作大多在网上进行~网络与信息安全已经成为事关北京奥运安全的重大问题之一。同时~为北京奥运会提供保障服务的电信、广电、电力、铁路、民航、银行等基础信息网络与信息系统的安全稳定运行也是确保奥运会顺利召开的重要保障~我国的网络安全将面临又一次严峻考验。
面对复杂的信息安全形势~胡锦涛总书记等中央领导同志对信息安全工作始终高度重视~先后多次作出重要指示。在中央政治局第38次学习会上~胡锦涛总书记明确指出~
10
当前,国际上围绕信息获取、利用、控制的斗争日趋激烈,维护国家在网络空间的安全和利益成为信息时代的重大战略课题。要求我们必须敏锐地把握当今世界信息化发展的趋势~积极推进国民经济和社会信息化~确保我国在日趋激烈的国际竞争中掌握主动权。
(四)开展信息安全等级保护工作的重要意义
信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法~开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。实施信息安全等级保护制度~信息系统运营使用单位和主管部门能按照标准进行安全建设、整改~信息系统安全与否也有了一个衡量尺度。
信息安全等级保护是当今发达国家保护关键信息基础设施~保障信息安全的通行做法~也是我国多年来信息安全工作经验的总结。开展信息安全等级保护工作~就是要解决我国信息安全面临的威胁和存在的主要问题~实行国家对重要信息系统进行重点安全保障的重大措施~有效体现“适度安全、保护重点”的目的~将有限的财力、物力、人力投入到重要信息系统安全保护中~按标准建设安全保护措施~建立安全保护制度~落实安全责任~加强监督检查~有效保护重要信息系统安全~有效提高我国信息和信息系统安全建设的整体水平。
建立信息安全等级保护制度~开展信息安全等级保护工
11
作~有利于在信息化建设过程中同步建设信息安全设施~保障信息安全与信息化建设相协调,有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有利于优化信息安全资源的配臵~重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全,有利于明确国家、法人和其他组织、公民的信息安全责任~加强信息安全管理,有利于推动信息安全产业的发展~逐步探索出一条适应社会主义市场经济发展的信息安全模式。各地区、各行业、各部门要认真学习、深刻领会中央领导同志的重要指示精神~充分认识当前信息安全保障工作面临形势的严峻性~切实增强责任感、使命感、紧迫感~加强领导~落实责任~分工负责~密切配合~扎实工作~切实把信息安全等级保护工作抓紧、抓实、抓好。
(五)开展等级保护工作的总体要求。各基础信息网络和重要信息系统~按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查~严格审查信息系统所定级别~严格检查信息系统开展备案、整改、测评等工作。对故意将信息系统安全级别定低~逃避公安、保密、密码部门监管~造成信息系统出现重大安全事故的~要追究单位和人员的责任。
二、明确责任义务
12
《管理办法》中第二条至第五条明确了国家、信息安全监管部门、信息系统主管部门、信息系统运营使用单位的责任义务。
,一,第二条明确了国家的责任:国家通过制定统一的信息安全等级保护管理规范和技术标准~组织公民、法人和其他组织对信息系统分等级实行安全保护~对等级保护工作的实施进行监督、管理。
信息安全监管部门包括公安机关、保密部门、国家密码工作部门。信息安全监管部门代表国家制定等级保护管理规范和技术标准~组织公民、法人和其他组织对信息系统分等级实行安全保护~对等级保护工作的实施进行监督、管理。
,二,第三条明确了信息安全监管部门的职责:公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项~由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
在信息安全等级保护工作中~坚持“分工负责、密切配合”的原则。公安机关牵头~负责全面工作的监督、检查、指导~国家保密工作部门、国家密码管理部门配合~国务院
13
信息化工作办公室及地方信息化领导小组办事机构协调,涉及国家秘密的信息系统~主要由国家保密工作部门负责~其他部门参与、配合。因为涉及国家秘密信息系统中也会发生信息安全问题和密码问题,非涉及国家秘密的信息系统~主要由公安机关负责~其他部门参与、配合。因为非涉及国家秘密信息系统中也会发生保密问题和密码问题。一方为主负责某一领域工作~其他相关部门参与、配合。
,三,第四条、第五条分别明确了信息系统主管部门和运营使用单位的责任义务:信息系统主管部门应当依照《管理办法》及相关标准规范~督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。信息系统的运营、使用单位应当依照《管理办法》及其相关标准规范~履行信息安全等级保护的义务和责任。
,四,公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作~服从国家对信息安全等级保护工作的监督、指导~保障信息系统安全。信息安全产品的研制、生产单位~信息系统的集成、等级测评、风险评估等安全服务机构~依据国家有关管理规定和技术标准~开展相应工作~并接受国家信息安全职能部门的监督管理。
三、信息系统安全保护等级的划分与保护
(一)“自主定级、自主保护”与国家监管
14
《管理办法》第六条规定~国家信息安全等级保护工作坚持“自主定级、自主保护”的原则。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体~根据所属信息系统的重要程度和遭到破坏后的危害程度~自主确定信息系统的安全保护等级。同时~按照所定等级~依照相应等级的管理规范和技术标准~建设信息安全保护设施~建立安全制度~落实安全责任~自主对信息系统进行保护。
在等级保护工作~信息系统运营使用单位和主管部门按照“谁主管谁负责~谁运营谁负责”的原则开展工作~并接受信息安全监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统安全的第一责任人~对所属信息系统安全负有直接责任,公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导~对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序~也会影响国家安全、社会稳定、公共利益~因此~国家必然要对重要信息系统的安全进行监管。
(二)信息系统安全保护等级
《管理办法》第六条、第七条规定~信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度~遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素
15
确定。信息系统的安全保护等级分为以下五级:
第一级~信息系统受到破坏后~会对公民、法人和其他组织的合法权益造成损害~但不损害国家安全、社会秩序和公共利益。
第二级~信息系统受到破坏后~会对公民、法人和其他组织的合法权益产生严重损害~或者对社会秩序和公共利益造成损害~但不损害国家安全。
第三级~信息系统受到破坏后~会对社会秩序和公共利益造成严重损害~或者对国家安全造成损害。
第四级~信息系统受到破坏后~会对社会秩序和公共利益造成特别严重损害~或者对国家安全造成严重损害。
第五级~信息系统受到破坏后~会对国家安全造成特别严重损害。
(三)信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
1、受侵害的客体。等级保护对象受到破坏时所侵害的客体包括以下三个方面:一是公民、法人和其他组织的合法权益,二是社会秩序、公共利益,三是国家安全。
2、对客体的侵害程度。对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的~因此~对客体的侵害外在表现为对
16
等级保护对象的破坏~通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度为三种:一是造成一般损害,二是造成严重损害,三是造成特别严重损害。
(四)五级保护和监管
《管理办法》第八条规定~信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护~国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门
17
部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
定级要素与信息系统安全保护等级的关系如表1所示。
表1 定级要素与安全保护等级的关系 等级 对象 侵害客体 侵害程度 监管强度 第一级 合法权益 损害 自主保护
一般系合法权益 严重损害 统 第二级 指导
社会秩序和公共利益 损害
社会秩序和公共利益 严重损害
第三级 监督检查
国家安全 损害 重要系
统 社会秩序和公共利益 特别严重损害
第四级 强制监督检查
国家安全 严重损害
极端重第五级 国家安全 特别严重损害 专门监督检查 要系统
四、信息系统安全保护等级的确定
《管理办法》第十条规定~信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的~应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的~运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发《关于开展全国重要信息系统安全等级
18
保护定级工作的通知》,公信安[2007]861号,~定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作,以下简称“定级工作”,。电信、广电、铁路、银行、海关、税务、民航、电力、证券、保险等重要领域的基础信息网络和重要信息系统的定级工作于9月底前完成~其他行业、部门的基础信息网络和重要信息系统的定级工作于10底前完成。
(一)定级范围
1、电信、广电行业的公用通信网、广播电视传输网等基础信息网络~经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
2、铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
3、市,地,级以上党政机关的重要网站和办公信息系统。
4、涉及国家秘密的信息系统,以下简称涉密信息系统,。
(二)定级工作步骤
定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。
19
信息系统安全级别定不准~系统建设、整改、备案、等级测评等后续工作都失去了针对性。需要特别说明的是:信息系统的安全保护等级是信息系统的客观属性~不以已采取或将采取什么安全保护措施为依据~也不以风险评估为依据~而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据~确定信息系统的安全等级。即从国家、人民群众的根本利益出发~考虑了信息系统受到损害后的最大风险。因此~各部门、各单位要高度重视定级工作~切实加强对定级工作的组织领导~科学、准确地确定信息系统等级。
定级工作可以参照以下几个步骤进行:
第一步:摸底调查,掌握信息系统底数
按照《定级工作通知》确定的定级范围~各部委和各省,区、市,可以组织开展对所属信息系统进行摸底调查~摸清信息系统底数,掌握信息系统,包括信息网络,的业务类型、应用或服务范围、系统结构等基本情况。各部委和各省,区、市,要加强对等级保护工作的组织领导~明确责任部门~可以成立信息安全等级保护工作领导小组,以下简称领导小组,~并下设等级保护工作办公室。信息系统运营使用单位成立等级保护工作组。
相关部门工作职责:领导小组办公室组织信息系统运营使用单位开展摸底调查工作~汇总信息系统摸底调查情况~
20
报领导小组。等级保护工作组对本单位的信息系统开展摸底调查~并上报领导小组办公室。
第二步:确定定级对象
信息系统运营使用单位或主管部门按如下原则确定定级对象:
一是承载相对独立或单一业务应用的信息系统,二是信息系统的信息安全由本单位主管,三是具有信息系统的基本要素。只有同时满足上述三个条件~才可由本单位对其进行定级。起支撑作用的网络可以作为定级对象,应用类的信息系统以应用种类划分定级对象。
相关部门工作职责:等级保护工作组按照确定定级对象的原则确定本部门的定级对象~并上报领导小组办公室。专家组可以在确定定级对象过程中提供咨询指导。公安机关指导等级保护工作组确定定级对象。
为了确保定级准确~各行业、各部委要通盘考虑~提出定级意见~避免出现同类信息系统中下属系统比上级系统级别高的问题。
第三步:初步确定信息系统等级
1、定级的一般流程。信息系统安全包括业务信息安全和系统服务安全~与之相关的受侵害客体和对客体的侵害程度可能不同~因此~信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系
21
统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。
确定信息系统安全保护等级的一般流程如下:确定作为定级对象的信息系统,确定业务信息安全受到破坏时所侵害的客体,根据不同的受侵害客体~从多个方面综合评定业务信息安全被破坏对客体的侵害程度,依据表2~得到业务信息安全等级,确定系统服务安全受到破坏时所侵害的客体,根据不同的受侵害客体~从多个方面综合评定系统服务安全被破坏对客体的侵害程度,依据表3~得到系统服务安全等级,由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
上述步骤如图1确定等级一般流程所示。
1、确定定级对象
5、确定系统服务安全受到破坏时2、确定业务信息安全受到破坏时
所侵害的客体 所侵害的客体
3、综合评定对客体的侵害程度 6、综合评定对客体的侵害程度
依据表2 依据表3
4、业务信息安全等级 7、系统服务安全等级
8、定级对象的安全保护等级
图1 确定等级一般流程
22
2、确定受侵害的客体。定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面:影响国家政权稳固和国防实力,影响国家统一、民族团结和社会安定,影响国家对外活动中的政治、经济利益,影响国家重要的安全保卫工作,影响国家经济竞争力和科技实力,其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:影响国家机关社会管理和公共服务的工作秩序,影响各种类型的经济活动秩序,影响各行业的科研、生产秩序,影响公众在法律约束和道德规范下的正常生活秩序等,其他影响社会秩序的事项。
影响公共利益的事项包括以下方面:影响社会成员使用公共设施,影响社会成员获取公开信息资源,影响社会成员接受公共服务等方面,其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时~应首先判断是否侵害国家安全~然后判断是否侵害社会秩序或公众利益~最后判断是否侵害公民、法人和其他组织的合法权益。
23
各行业可根据本行业业务特点~分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系~从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
3、确定对客体的侵害程度。侵害的客观方面。在客观方面~对客体的侵害外在表现为对定级对象的破坏~其危害方式表现为对信息安全的破坏和对信息系统服务的破坏~其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等~系统服务安全是指确保信息系统可以及时、有效地提供服务~以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同~在定级过程中~需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后~可能产生以下危害后果:影响行使工作职能,导致业务能力下降,引起法律纠纷,导致财务损失,造成社会不良影响,对其他组织和个人造成损失,其他影响。
4、综合判定侵害程度。侵害程度是客观方面的不同外在表现的综合体现~因此~应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同~例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统
24
服务覆盖的区域范围、用户人数或业务量等不同方面确定~业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时~应参照以下不同的判别基准:
如果受侵害客体是公民、法人或其他组织的合法权益~则以本人或本单位的总体利益作为判断侵害程度的基准,
如果受侵害客体是社会秩序、公共利益或国家安全~则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下:
一般损害:工作职能受到局部影响~业务能力有所降低但不影响主要功能的执行~出现较轻的法律问题~较低的资产损失~有限的社会不良影响~对其他组织和个人造成较低损害。
严重损害:工作职能受到严重影响~业务能力显著下降且严重影响主要功能执行~出现较严重的法律问题~较高的资产损失~较大范围的社会不良影响~对其他组织和个人造成较严重损害。
特别严重损害:工作职能受到特别严重影响或丧失行使能力~业务能力严重下降且或功能无法执行~出现极其严重的法律问题~极高的资产损失~大范围的社会不良影响~对其他组织和个人造成非常严重损害。
25
信息安全和系统服务安全被破坏后对客体的侵害程度~由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同~信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同~各行业可根据本行业信息特点和系统服务特点~制定危害程度的综合评定方法~并给出侵害不同客体造成损害、严重损害、特别严重损害的具体定义。
5、确定信息系统安全保护等级。根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度~依据表2业务信息安全等级矩阵表~即可得到业务信息安全等级。
表2 业务信息安全等级矩阵表
对相应客体的侵害程度
业务信息安全被破坏时所侵害的客一般损害 严重损害 特别严重损害 体
公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度~依据表2系统服务安全等级矩阵表~即可得到系统服务安全等级。
表3 系统服务安全等级矩阵表
对相应客体的侵害程度
系统服务安全被破坏时所侵害的客一般损害 严重损害 特别严重损害 体
公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级
26
国家安全 第三级 第四级 第五级
作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。定级对象等级确定后~可参照附件中的《信息系统安全保护等级定级报告》模版,见附件,起草定级报告。
涉密信息系统按照国家保密局有关规定进行定级~并提交《涉密信息系统定级表》,见附件,。
相关部门工作职责:等级保护工作组负责指导本单位相关部门确定信息系统安全保护等级。专家组对信息系统定级提供咨询指导。主管部门对信息系统定级进行指导~也可以确定跨省或全国统一联网运行的信息系统安全保护等级。公安机关指导等级保护工作组初步确定定级对象等级。
第四步:信息系统等级评审
在信息系统安全保护等级确定过程中~可以聘请专家进行咨询评审~并出具定级评审意见。对拟确定为第四级以上信息系统的~运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会,名单见附件,评审~出具评审意见。评审意见及时反馈信息系统运营使用单位工作组。涉密信息系统按照国家保密局有关规定进行等级评审。
相关部门工作职责:等级保护工作组可以组织专家组对信息系统安全保护等级进行评审。专家组对信息系统安全保护等级的确定进行评审~国家专家评审委负责第四级以上信
27
息系统等级评审。公安机关参加定级对象安全保护等级的评审。
第五步:信息系统等级的最终确定与审批
信息系统运营使用单位参考专家定级评审意见~最终确定信息系统等级~形成《定级报告》。如果专家评审意见与运营使用单位意见不一致时~由运营使用单位自主决定系统等级~信息系统运营使用单位有上级主管部门的~应当经上级主管部门对安全保护等级进行审核批准。
相关部门工作职责:工作组负责组织本单位有关部门根据专家评审意见最终确定系统等级~形成《定级报告》并报领导小组办公室。领导小组办公室汇总《定级报告》~并报领导小组审批。
,三,如何起草定级报告
定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档。定级报告作为《备案表》表三的附件~要在信息系统备案时一并提交。
信息系统运营使用单位在起草定级报告时可以请技术支持单位协助。
定级报告的构成和起草:
1、信息系统描述
简述确定该信息系统为定级对象的理由。包括:该信息系统所承载业务的主管单位和部门~该信息系统具有信息系
28
统的基本要素,有主机、网络及相关配套设施构成的人机系统,~该信息系统承载着独立或单一的业务应用~业务应用主要包括哪些~各包含哪些功能等。
2、信息系统安全保护等级的确定
,1,业务信息安全保护等级的确定。
第一步:简要描述信息系统所处理的主要业务信息~包括各项业务的主要数据项有哪些等。
第二步:确定业务信息受到破坏后所侵害的客体
第三步:确定对客体的侵害程度
第四步:查表确定业务信息安全等级
,2,系统服务安全保护等级的确定
第一步:简要描述系统的服务范围、服务对象、服务要求等等。
第二步:确定系统服务受到破坏后所侵害的客体
第三步:确定对客体的侵害程度
第四步:查表确定系统服务安全等级
,3,信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。
五、备案和备案审核
(一)备案
《管理办法》第十五条规定~已运营,运行,的第二级以上信息系统~应当在安全保护等级确定后30日内~由其运
29
营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统~应当在投入运行后30日内~由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位~其跨省或者全国统一联网运行并由主管部门统一定级的信息系统~由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统~应当向当地设区的市级以上公安机关备案。
说明:信息系统安全保护等级确定后~第二级以上的信息系统运营使用单位或主管部门到武汉网络信息安全网站,www.netpolicewh.cn,下载《信息系统安全等级保护备案表》,见附件,和辅助备案工具~持填写的备案表和利用辅助备案工具生成的备案电子数据~到公安机关办理备案手续~提交有关备案材料及电子数据文件。其中~第二级信息系统的备案单位只需填写备案表中的表一、表二和表三,注:第二级信息系统备案单位可以先从互联网上提交备案表~公安机关公布备案网址。公安机关审核后再提交纸制材料~并领取备案证明,。第三级以上信息系统的备案单位除填写并先行提交表一、二、三外~还应当在系统建设、整改、测评等工作完成后~再行提交备案表表四所列各项内容的书面材
30
料。隶属于中央的在京单位~其跨省或者全国统一联网运行并由主管部门统一定级的信息系统~由主管部门向公安部公共信息网络安全监察局办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统~向当地设区的市级以上公安机关备案。
《管理办法》第十六条规定~办理信息系统安全保护等级备案手续时~应当填写《信息系统安全等级保护备案表》~第三级以上信息系统应当同时提供以下材料:
1、系统拓扑结构及说明。,说明可以是对系统结构的简要说明,
2、系统安全组织机构和管理制度。,安全组织机构包括机构名称、负责人、成员、职责分工等。管理制度包括安全管理规范、章程等,
3、系统安全保护设施设计实施
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
或者改建实施方案。,简要的安全建设、整改方案,
4、系统使用的信息安全产品清单及其认证、销售许可证明。,主要信息安全产品的清单~确认有认证、销售许可标记,
5、测评后符合系统安全保护等级的技术检测评估报告。,最近一次测评的简要的等级测评报告,
6、信息系统安全保护等级专家评审意见。,评审意见表~附专家名单,
31
7、主管部门审核批准信息系统安全保护等级的意见。,审批表~领导审批签字、盖章,
(二)备案审核
《管理办法》第十七条规定~信息系统备案后~公安机关应当对信息系统的备案情况进行审核~对符合等级保护要求的~应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明,发现不符合本办法及有关标准的~应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正,发现定级不准的~应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后~应当按照本办法向公安机关重新备案。
(三)及时总结并提交总结报告
各地区、各部门要结合本地区、本行业开展定级工作的实际~认真总结经验和不足~提出改进和完善定级方法的意见和建议~及时总结定级工作经验~形成定级
工作总结
关于社区教育工作总结关于年中工作总结关于校园安全工作总结关于校园安全工作总结关于意识形态工作总结
报告~并于10月中旬报送公安部。涉密信息系统定级工作总结报告向国家保密局报送。
六、信息系统安全建设整改、等级测评
(一)信息系统安全建设整改
《管理办法》第十一条规定~信息系统的安全保护等级确定后~运营、使用单位应当按照国家信息安全等级保护管
32
理规范和技术标准~使用符合国家有关规定~满足信息系统安全保护等级需求的信息技术产品~开展信息系统安全建设或者改建工作。
第十二条规定~在信息系统建设过程中~运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》,GB17859-1999,、《信息系统安全等级保护基本要求》等技术标准~参照《信息安全技术 信息系统通用安全技术要求》,GB/T20271-2006,、《信息安全技术 网络基础安全技术要求》,GB/T20270-2006,、《信息安全技术 操作系统安全技术要求》,GB/T20272-2006,、《信息安全技术 数据库管理系统安全技术要求》,GB/T20273-2006,、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》,GA/T671-2006,等技术标准同步建设符合该等级要求的信息安全设施。
第十三条规定~运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》,GB/T20269-2006,、《信息安全技术 信息系统安全工程管理要求》,GB/T20282-2006,、《信息系统安全等级保护基本要求》等管理规范~制定并落实符合本系统安全保护等级要求的安全管理制度。
(二)有关技术标准和管理标准的简要说明
信息安全等级保护工作涉及信息安全科学基础、系统建设、产品、测评、管理等多个方面工作。为保障全面实施信
33
息安全等级保护制度~必须建立信息安全等级保护标准体系。经过公安部、国信安标委、标准编制企事业单位、有关专家等多方努力~多年攻关~目前~已基本形成了由50多个国家标准和公共安全行业标准构成的比较完整的信息安全等级保护标准体系~基本能够满足国家信息安全等级保护制度全面实施的需求。
鉴于信息安全等级保护工作专业性、技术性较强~为此~《管理办法》第九条、第十二条、第十三条、第十四条规定了信息系统运营使用单位在等级保护工作中按照或参照国家、行业技术标准开展系统定级、建设、整改、测评等工作。鼓励重要行业根据行业特点制定等级保护行业标准。
1、《计算机信息系统安全保护等级划分准则》,GB17859-1999,是强制性国标~从技术法规角度对信息系统安全保护划分了五级。是开展等级保护工作的基础性标准~是信息安全等级保护系列标准编制、系统建设与管理、产品研发、监督检查的科学技术基础和依据。
2、《信息系统安全等级保护实施指南》是信息系统安全等级保护实施的过程控制标准~规范了信息系统安全等级保护的实施各阶段内容和过程控制问题。
3、《信息系统安全等级保护定级指南》是信息系统安全保护等级确定标准~属于管理规范~规范了信息系统安全保护等级的定级方法。
34
4、《信息系统安全等级保护基本要求》,国标报批稿试用~全国信息安全标准化技术委员会文件 信安字[2007]12号,。是以GB17859为基础的分等级信息系统的安全建设和管理系列标准之一~是现阶段五个级别的信息系统的基本安全保护技术和管理要求~提出了各级信息系统应当具备的基本安全保护能力和技术与管理措施~该标准需与《信息安全技术 系统安全等级保护通用安全技术要求》GB/T20271-2006
《信息安全技术 操作系统安全技术要求》GB/T20272-2006、《信息安全技术 操作系统安全评估准则》GB/T20009-2005、《信息安全技术 数据库管理系统安全技术要求》GB/T20273-2006、《信息安全技术 数据库管理系统安全评估准则》GB/T20009-2005、《信息安全技术 网络基础安全技术要求》GB/T20270-2006等安全等级保护系列标准配合使用~规范、指导信息系统安全等级保护整改建设工作。
5、《信息安全技术服务器安全技术要求》
GB/T20273-2006和《信息安全技术 终端计算机系统技术要求》GA/T672-2006是信息系统关键设备安全等级保护标准~规范和解决信息系统主机和终端安全等级保护问题。
6、《信息安全技术 系统安全等级防护工程管理要求》GB/T20282-2006是信息系统安全等级保护管理标准之一~规范信息系统安全等级保护方案技术集成和工程实施过程控
35
制问题。《信息安全技术 系统安全等级保护管理要求》GB/T20269-2006是信息系统安全等级保护管理标准~规范信息系统生命周期的安全等级保护技术和相关人员问题的管理工作。《信息安全技术 系统安全等级保护测评准则》和《信息安全技术 系统安全等级保护测评指南》即将出台~规范了信息系统安全等级保护测评工作。
(三)信息安全产品分等级使用管理
《管理办法》规定了第三级以上信息系统选择使用的信息安全产品条件~信息系统运营使用单位和主管部门按照所列条件~对安全产品的可信性、可靠性进行把关。公安机关对信息安全产品使用是否符合要求进行监督、检查。
《管理办法》第二十一条规定~第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
1、产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的~在中华人民共和国境内具有独立的法人资格,
2、产品的核心技术、关键部件具有我国自主知识产权,,具有专利证书或源代码,
3、产品研制、生产单位及其主要业务、技术人员无犯罪记录,,产品研制、生产单位的书面声明,
4、产品研制、生产单位声明没有故意留有或者设臵漏洞、后门、木马等程序和功能,,产品研制、生产单位的书
36
面声明,
5、对国家安全、社会秩序、公共利益不构成危害,,建议有关单位对产品进行专门技术检测,
6、对已列入信息安全产品认证目录的~应当取得国家信息安全产品认证机构颁发的认证证书。,中国信息安全认证中心会公布目录,
(四)等级测评和自查
1、等级测评和自查要求。《管理办法》第十四条规定~信息系统建设完成后~运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构~依据《信息系统安全等级保护测评要求》等技术标准~定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评~第四级信息系统应当每半年至少进行一次等级测评~第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查~第四级信息系统应当每半年至少进行一次自查~第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查~信息系统安全状况未达到安全保护等级要求的~运营、使用单位应当制定方案进行整改。
2、等级测评机构管理
37
《管理办法》规定了第三级以上信息系统选择使用的等级测评机构的条件~信息系统运营使用单位和主管部门按照所列条件~对等级测评机构的可信性、可靠性进行把关。公安机关对等级测评是否符合要求进行监督、检查。
《管理办法》第二十二条规定~第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
1、在中华人民共和国境内注册成立,港澳台地区除外,,,测评机构企业营业执照,
2、由中国公民投资、中国法人投资或者国家投资的企事业单位,港澳台地区除外,,
3、从事相关检测评估工作两年以上~无违法记录,,测评机构书面声明,
4、工作人员仅限于中国公民,,测评机构书面声明,
5、法人及主要业务、技术人员无犯罪记录,,测评机构书面声明,
6、使用的技术装备、设施应当符合本办法对信息安全产品的要求,,测评机构书面声明,
7、具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度,,测评机构书面材料,
8、对国家安全、社会秩序、公共利益不构成威胁。,测评机构书面声明,
《管理办法》第二十三条规定~从事信息系统安全等级
38
测评的机构~应当履行下列义务:
1、遵守国家有关法律法规和技术标准~提供安全、客观、公正的检测评估服务~保证测评的质量和效果,
2、保守在测评活动中知悉的国家秘密、商业秘密和个人隐私~防范测评风险,
3、对测评人员进行安全保密教育~与其签订安全保密责任书~规定应当履行的安全保密义务和承担的法律责任~并负责检查落实。
七、监督检查
(一)监督检查的主要内容。公安机关、国家指定的专门部门应当对下列事项进行检查:
1、信息系统安全需求是否发生变化~原定保护等级是否准确,
2、运营、使用单位安全管理制度、措施的落实情况,
3、运营、使用单位及其主管部门对信息系统安全状况的检查情况,
4、系统安全等级测评是否符合要求,
5、信息安全产品使用是否符合要求,
6、信息系统安全整改情况,
7、备案材料与运营、使用单位、信息系统的符合情况,
8、其他应当进行监督检查的事项。
(二)监督检查方式。《管理办法》第十八条规定~受
39
理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次~对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查~应当会同其主管部门进行。对第五级信息系统~应当由国家指定的专门部门进行检查。
《管理办法》第二十条规定~公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的~应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求~按照管理规范和技术标准进行整改。整改完成后~应当将整改报告向公安机关备案。必要时~公安机关可以对整改情况组织检查。
(三)信息系统运营使用单位的配合。《管理办法》第十九条规定~信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导~如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:
1、信息系统备案事项变更情况,
2、安全组织、人员的变动情况,
3、信息安全管理制度、措施变更情况,
4、信息系统运行状况记录,
5、运营、使用单位及主管部门定期对信息系统安全状
40
况的检查记录,
6、对信息系统开展等级测评的技术测评报告,
7、信息安全产品使用的变更情况,
8、信息安全事件应急预案~信息安全事件应急处臵结果报告,
9、信息系统安全建设、整改结果报告。
八、对违反有关等级保护规定的处罚
,一,违规行为
1、第三级以上信息系统运营使用单位:未按《管理办法》规定备案、审批的,未按《管理办法》规定落实安全管理制度、措施的,未按《管理办法》规定开展系统安全状况检查的,未按《管理办法》规定开展系统安全技术测评的,接到整改通知后~拒不整改的,未按《管理办法》规定选择使用信息安全产品和测评机构的,未按《管理办法》规定如实提供有关文件和证明材料的,违反保密管理规定的,违反密码管理规定的,违反《管理办法》其他规定的。
2、信息安全监管部门及其工作人员。信息安全监管部门及其工作人员在履行监督管理职责中~玩忽职守、滥用职权、徇私舞弊。
,二,处罚方式。公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令第三级以上信息系统运营使用单位限期改正,逾期不改正的~给予警告~并向其
41
上级主管部门通报情况~建议对其直接负责的主管人员和其他直接责任人员予以处理~并及时反馈处理结果。违反前述规定~造成严重损害的~由相关部门依照有关法律、法规予以处理。
对信息安全监管部门及其工作人员在履行监督管理职责中~玩忽职守、滥用职权、徇私舞弊的~依法给予行政处分,构成犯罪的~依法追究刑事责任。
42
附件1:
信息安全等级保护管理办法
第一章 总则
第一条 为规范信息安全等级保护管理~提高信息安全保障能力和水平~维护国家安全、社会稳定和公共利益~保障和促进信息化建设~根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规~制定本办法。
第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准~组织公民、法人和其他组织对信息系统分等级实行安全保护~对等级保护工作的实施进行监督、管理。
第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项~由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条 信息系统主管部门应当依照本办法及相关标准规范~督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范~履行信息安全等级保护的义务和责任。
43
第二章 等级划分与保护
第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度~信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条 信息系统的安全保护等级分为以下五级:
第一级~信息系统受到破坏后~会对公民、法人和其他组织的合法权益造成损害~但不损害国家安全、社会秩序和公共利益。
第二级~信息系统受到破坏后~会对公民、法人和其他组织的合法权益产生严重损害~或者对社会秩序和公共利益造成损害~但不损害国家安全。
第三级~信息系统受到破坏后~会对社会秩序和公共利益造成严重损害~或者对国家安全造成损害。
第四级~信息系统受到破坏后~会对社会秩序和公共利益造成特别严重损害~或者对国家安全造成严重损害。
第五级~信息系统受到破坏后~会对国家安全造成特别严重损害。
第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护~国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
44
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章 等级保护的实施与管理
第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的~应当经主管部门审核批准。
45
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的~运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条 信息系统的安全保护等级确定后~运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准~使用符合国家有关规定~满足信息系统安全保护等级需求的信息技术产品~开展信息系统安全建设或者改建工作。
第十二条 在信息系统建设过程中~运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》,GB17859-1999,、《信息系统安全等级保护基本要求》等技术标准~参照《信息安全技术 信息系统通用安全技术要求》,GB/T20271-2006,、《信息安全技术 网络基础安全技术要求》,GB/T20270-2006,、《信息安全技术 操作系统安全技术要求》,GB/T20272-2006,、《信息安全技术 数据库管理系统安全技术要求》,GB/T20273-2006,、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》,GA/T671-2006,等技术标准同步建设符合该等级要求的信息安全设施。
第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》,GB/T20269-2006,、《信息安全技术
46
信息系统安全工程管理要求》,GB/T20282-2006,、《信息系统安全等级保护基本要求》等管理规范~制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条 信息系统建设完成后~运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构~依据《信息系统安全等级保护测评要求》等技术标准~定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评~第四级信息系统应当每半年至少进行一次等级测评~第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查~第四级信息系统应当每半年至少进行一次自查~第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查~信息系统安全状况未达到安全保护等级要求的~运营、使用单位应当制定方案进行整改。
第十五条 已运营,运行,的第二级以上信息系统~应当在安全保护等级确定后30日内~由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统~应当在投入运行后30日内~由其运营、使用单位到所在地设区的市级以上公安机关办理
47
备案手续。
隶属于中央的在京单位~其跨省或者全国统一联网运行并由主管部门统一定级的信息系统~由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统~应当向当地设区的市级以上公安机关备案。
第十六条 办理信息系统安全保护等级备案手续时~应当填写《信息系统安全等级保护备案表》~第三级以上信息系统应当同时提供以下材料:
,一,系统拓扑结构及说明,
,二,系统安全组织机构和管理制度,
,三,系统安全保护设施设计实施方案或者改建实施方案,
,四,系统使用的信息安全产品清单及其认证、销售许可证明,
,五,测评后符合系统安全保护等级的技术检测评估报告,
,六,信息系统安全保护等级专家评审意见,
,七,主管部门审核批准信息系统安全保护等级的意见。
第十七条 信息系统备案后~公安机关应当对信息系统的备案情况进行审核~对符合等级保护要求的~应当在收到
48
备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明,发现不符合本办法及有关标准的~应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正,发现定级不准的~应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后~应当按照本办法向公安机关重新备案。
第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次~对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查~应当会同其主管部门进行。
对第五级信息系统~应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门应当对下列事项进行检查:
,一, 信息系统安全需求是否发生变化~原定保护等级是否准确,
,二, 运营、使用单位安全管理制度、措施的落实情况,
,三, 运营、使用单位及其主管部门对信息系统安全状况的检查情况,
,四, 系统安全等级测评是否符合要求,
49
,五, 信息安全产品使用是否符合要求,
,六, 信息系统安全整改情况,
,七, 备案材料与运营、使用单位、信息系统的符合情况,
,八, 其他应当进行监督检查的事项。
第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导~如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:
,一, 信息系统备案事项变更情况,
,二, 安全组织、人员的变动情况,
,三, 信息安全管理制度、措施变更情况,
,四, 信息系统运行状况记录,
,五, 运营、使用单位及主管部门定期对信息系统安全状况的检查记录,
,六, 对信息系统开展等级测评的技术测评报告,
,七, 信息安全产品使用的变更情况,
,八, 信息安全事件应急预案~信息安全事件应急处臵结果报告,
,九, 信息系统安全建设、整改结果报告。
第二十条 公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的~应当向
50
运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求~按照管理规范和技术标准进行整改。整改完成后~应当将整改报告向公安机关备案。必要时~公安机关可以对整改情况组织检查。
第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
,一,产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的~在中华人民共和国境内具有独立的法人资格,
,二,产品的核心技术、关键部件具有我国自主知识产权,
,三,产品研制、生产单位及其主要业务、技术人员无犯罪记录,
,四,产品研制、生产单位声明没有故意留有或者设臵漏洞、后门、木马等程序和功能,
,五,对国家安全、社会秩序、公共利益不构成危害,
,六,对已列入信息安全产品认证目录的~应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
,一, 在中华人民共和国境内注册成立,港澳台地区除
外,,
51
,二, 由中国公民投资、中国法人投资或者国家投资的企事业单位,港澳台地区除外,,
,三, 从事相关检测评估工作两年以上~无违法记录,
,四, 工作人员仅限于中国公民,
,五, 法人及主要业务、技术人员无犯罪记录,
,六, 使用的技术装备、设施应当符合本办法对信息安全产品的要求,
,七, 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度,
,八, 对国家安全、社会秩序、公共利益不构成威胁。
第二十三条 从事信息系统安全等级测评的机构~应当履行下列义务:
,一,遵守国家有关法律法规和技术标准~提供安全、客观、公正的检测评估服务~保证测评的质量和效果,
,二,保守在测评活动中知悉的国家秘密、商业秘密和个人隐私~防范测评风险,
,三,对测评人员进行安全保密教育~与其签订安全保密责任书~规定应当履行的安全保密义务和承担的法律责任~并负责检查落实。
第四章 涉及国家秘密信息系统的分级保护管理
第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求~按照国家保密工作部门有关涉密信息系统
52
分级保护的管理规定和技术标准~结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。
第二十五条 涉密信息系统按照所处理信息的最高密级~由低到高分为秘密、机密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上~依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统~各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况~及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案~并接受保密部门的监督、检查、指导。
第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准~按照秘密、机密、绝密三级的不同要求~结合系统实际进行方案设计~实施分级保护~其
53
保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产品~并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测~通过检测的产品由国家保密局审核发布目录。
第二十九条 涉密信息系统建设使用单位在系统工程实施结束后~应当向保密工作部门提出申请~由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》~对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前~应当按照《涉及国家秘密的信息系统审批管理规定》~向设区的市级以上保密工作部门申请进行系统审批~涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统~其建设使用单位在按照分级保护要求完成系统整改后~应当向保密工作部门备案。
第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时~应当提交以下材料:
,一,系统设计、实施方案及审查论证意见,
,二,系统承建单位资质证明材料,
,三,系统建设和工程监理情况报告,
54
,四,系统安全保密检测评估报告,
,五,系统安全保密组织机构和管理制度情况,
,六,其他有关材料。
第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时~其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况~决定是否对其重新进行测评和审批。
第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》~加强涉密信息系统运行中的保密管理~定期进行风险评估~消除泄密隐患和漏洞。
第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理~并做好以下工作:
,一,指导、监督和检查分级保护工作的开展,
,二,指导涉密信息系统建设使用单位规范信息定密~合理确定系统保护等级,
,三,参与涉密信息系统分级保护方案论证~指导建设使用单位做好保密设施的同步规划设计,
,四,依法对涉密信息系统集成资质单位进行监督管理,
55
,五,严格进行系统测评和审批工作~监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况,
,六,加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评~对绝密级信息系统每年至少进行一次保密检查或者系统测评,
,七,了解掌握各级各类涉密信息系统的管理使用情况~及时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级保护的密码管理
第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度~被保护对象的安全防护要求和涉密程度~被保护对象被破坏后的危害程度以及密码使用部门的性质等~确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的~应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条 信息系统安全等级保护中密码的配备、使用和管理等~应当严格执行国家密码管理的有关规定。
第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信
56
息和信息系统进行保护的~应报经国家密码管理局审批~密码的设计、实施、使用、运行维护和日常管理等~应当按照国家密码管理有关规定和相关标准执行,采用密码对不涉及国家秘密的信息和信息系统进行保护的~须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准~其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条 运用密码技术对信息系统进行系统等级保护建设和整改的~必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护~不得采用国外引进或者擅自研制的密码产品,未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担~其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评~对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中~发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的~应当按照国家密码管理的相关规定进行处臵。
第六章 法律责任
57
第四十条 第三级以上信息系统运营、使用单位违反本办法规定~有下列行为之一的~由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正,逾期不改正的~给予警告~并向其上级主管部门通报情况~建议对其直接负责的主管人员和其他直接责任人员予以处理~并及时反馈处理结果:
,一, 未按本办法规定备案、审批的,
,二, 未按本办法规定落实安全管理制度、措施的,
,三, 未按本办法规定开展系统安全状况检查的,
,四, 未按本办法规定开展系统安全技术测评的,
,五, 接到整改通知后~拒不整改的,
,六, 未按本办法规定选择使用信息安全产品和测评机构的,
,七, 未按本办法规定如实提供有关文件和证明材料的,
,八, 违反保密管理规定的,
,九, 违反密码管理规定的,
,十, 违反本办法其他规定的。
违反前款规定~造成严重损害的~由相关部门依照有关法律、法规予以处理。
第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中~玩忽职守、滥用职权、徇私舞弊的~依法给
58
予行政处分,构成犯罪的~依法追究刑事责任。
第七章 附则
第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级,新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条 本办法所称“以上”包含本数,级,。
第四十四条 本办法自发布之日起施行~《信息安全等级保护管理办法,试行,》,公通字[2006]7号,同时废止。
59
附件1:《信息系统安全等级保护定级报告》模版
《信息系统安全等级保护定级报告》
一、XXX信息系统描述
简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门~说明本单位或部门对信息系统具有信息安全保护责任~该信息系统为本单位或部门的定级对象,二是该定级对象是否具有信息系统的基本要素~描述基本要素、系统网络结构、系统边界和边界设备,三是该定级对象是否承载着单一或相对独立的业务~业务情况描述。
二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)
(一)业务信息安全保护等级的确定
1、业务信息描述
描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定
说明信息受到破坏时侵害的客体是什么~即对三个客体,国家安全,社会秩序和公众利益,公民、法人和其他组织的合法权益,中的哪些客体造成侵害。
60
3、信息受到破坏后对侵害客体的侵害程度的确定
说明信息受到破坏后~会对侵害客体造成什么程度的侵害~即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度~确定业务信息安全等级。
(二)系统服务安全保护等级的确定
1、系统服务描述
描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定
说明系统服务受到破坏时侵害的客体是什么~即对三个客体,国家安全,社会秩序和公众利益,公民、法人和其他组织的合法权益,中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定
说明系统服务受到破坏后~会对侵害客体造成什么程度的侵害~即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定
依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定~最终确定XXX系统安全保护等级
61
为第几级。
信息系统名称 安全保护等级 业务信息安全等级 系统服务安全等级 XXX信息系统 X X X
62
附件2:
备案表编号:
备 案 单 位: ,盖章,
备 案 日 期:
受理备案单位: ,盖章,
受 理 日 期:
中华人民共和国公安部监制
63
填 表 说 明
一、 制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作
本表;
二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案
单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表
二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写
一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系
统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理
备案公安机关提交;表二、表三、表四可以复印使用;
三、 保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、 本表中有选择的地方请在选项左侧“”划“?”,如选择“其他”,请在其后的横
线中注明详细内容;
五、 封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一
部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5
位,为受理备案的公安机关给出的备案单位的顺序编号;
六、 封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、 封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。
此项由受理备案的公安机关负责填写并盖章;
八、 表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、 表一05单位负责人:是指主管本单位信息安全工作的领导;
十、 表一06责任部门:是指单位内负责信息系统安全工作的部门;
十一、 表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照
单位隶属关系代码(GB/T12404―1997)填写;
十二、 表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号; 十三、 表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、 表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国
公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资
格,产品的核心技术、关键部件具有我国自主知识产权;
十五、 表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成
立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、 表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信
息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统
服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害
程度可多选;
十七、 表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部
门。部级单位此项可不填;
十八、 解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单
位和个人不得对本表进行改动。
64
表一 单位基本情况
01 单位名称
省(自治区、直辖市) 地(区、市、州、盟) 02 单位地址
县(区、市、旗)
03 邮政编码 04 行政区划代码
姓 名 职务/职称 05 单位
负责人 办公电话 电子邮件
06 责任部门
姓 名 职务/职称
07 责任部门 办公电话 联系人 电子邮件
移动电话
1中央 2省(自治区、直辖市) 3地(区、市、州、盟) 08 隶属关系
4县(区、市、旗) 9其他
09 单位类型 1党委机关 2政府机关 3事业单位 4企业 9其他
11电信 12广电 13经营性公众互联网
21铁路 22银行 23海关 24税务
25民航 26电力 27证券 28保险
31国防科技工业 32公安 33人事劳动和社会保障 34财政 10 行业类别 35审计 36商业贸易 37国土资源 38能源
39交通 40统计 41工商行政管理 42邮政
43教育 44文化 45卫生 46农业
47水利 48外交 49发展改革 50科技
51宣传 52质量监督检验检疫
99其他
12 第二级信息系统数 个 13 第三级信息系统数 个 11 信息系统 个 总数 14 第四级信息系统数 个 15 第五级信息系统数 个
65
表二( / )信息系统情况
01 系统名称 02 系统编号
1生产作业 2指挥调度 3管理控制 4内部办公 03 系统 业务类型 5公众服务 9其他 承载
业务 业务描述 情况
10全国 11跨省(区、市) 跨 个
20全省(区、市) 21跨地(市、区) 跨 个 04 系统 服务范围 30地(市、区)内 服务 99其它 情况 服务对象 1单位内部人员 2社会公众人员 3两者均包括 9其他
05 系统 覆盖范围 1局域网 2城域网 3广域网 9其他
网络 网络性质 1业务专网 2互联网 9其它 平台
1与其他行业系统连接 2与本行业其他单位系统连接 06 系统互联情况 3与本单位其他系统连接 9其它
使用国产品率 序产品类型 数量 号 全部使用 全部未使用 部分使用及使用率
安全专用产 % 1 品
% 2 网络产品 07 关键产品使用情况
% 3 操作系统
% 4 数据库
% 5 服务器
% 6 其他
服务责任方类型 序服务类型 号 本行业(单位) 国内其他服务商 国外服务商
有1 等级测评 无
有2 风险评估 无
有 3 灾难恢复 无
08 系统采用服务情况 有 4 应急响应 无
有 5 系统集成 无
有 6 安全咨询 无
有 7 安全培训 无
8 其它 66
09 等级测评单位名称
10 何时投入运行使用 年 月 日 11 系统是否是分系统 是 否(如选择是请填下两项) 12 上级系统名称
13 上级系统所属单位名 称
67
表三( / )信息系统定级情况
损害客体及损害程度 级别
仅对公民、法人和其他组织的合法权益造成损害 第一级 01 确定 对公民、法人和其他组织的合法权益造成严重损害 业务 第二级 对社会秩序和公共利益造成损害 信息
对社会秩序和公共利益造成严重损害 安全 第三级 对国家安全造成损害 保护
对社会秩序和公共利益造成特别严重损害 等级 第四级 对国家安全造成严重损害
对国家安全造成特别严重损害 第五级
仅对公民、法人和其他组织的合法权益造成损害 第一级02 确定
系统 对公民、法人和其他组织的合法权益造成严重损害 第二级 服务 对社会秩序和公共利益造成损害 安全 对社会秩序和公共利益造成严重损害 保护 第三级 对国家安全造成损害 等级
对社会秩序和公共利益造成特别严重损害 第四级 对国家安全造成严重损害
对国家安全造成特别严重损害 第五级 03 信息系统安全保护等级 第一级 第二级 第三级 第四级 第五级 04 定级时间 年 月 日
05 专家评审情况 已评审 未评审
06 是否有主管部门 有 无(如选择有请填下两项) 07 主管部门名称
08 主管部门审批定级情况 已审批 未审批
09 系统定级报告 有 无 附件名称 填表人: 填表日期: 年 月 日
备案审核民警: 审核日期: 年 月 日
68
表四( / )第三级以上信息系统提交材料情况 01 系统拓扑结构及说明 有 无 附件名称 02 系统安全组织机构及管理制度 有 无 附件名称 03 系统安全保护设施设计实施方有 无 附件名称 案或改建实施方案
04 系统使用的安全产品清及认单有 无 附件名称 证、销售许可证明
05 系统等级测评报告 有 无 附件名称 06 专家评审情况 有 无 附件名称 07 上级主管部门审批意见 有 无 附件名称
69
附件3:
涉及国家秘密的信息系统分级保护备案表 单位名称
涉密信息系统名称
系统密级(保护等级) ? 秘密 ? 机密 ? 绝密 系统联接范围 ?局域网 ?城域网 ?广域网(跨 个省或地)
?未划分安全域 系统安全域划分和安全域密?划分安全域(共有 个,其中绝密级 个, 级确定 机密级 个,秘密级 个,内部级 个) 系统主要承建单位
系统投入使用时间
系统运行管理部门
系统安全保密管理部门
系统分级保护实施情况 ?已经实施 ?正在实施 ?
计划
项目进度计划表范例计划下载计划下载计划下载课程教学计划下载
年实施 填报日期: 年 月 日 填报单位:,盖章, 填表说明:
1(“系统密级”依据《涉及国家秘密的信息系统分级保护管理办法》和国家保密标准BMB17-2006确定。
2(涉密信息系统一般应划分安全域~同一系统内的不同安全域根据所处理信息的重要程度~可分别确定密级。
3(表中“?”项~确认划“?”。
4(填报多个涉密信息系统~可复印此表。
国家保密局制
70
71
浙公网安备 33021202002483