信息系統(tǒng)定級與備案工作介紹

本文主要介紹信息系統(tǒng)安全保護等級的確定，定級工作的流程和要求，備案工作的流程和要求等。

一、信息系統(tǒng)安全保護等級的劃分與保護

（一） 信息系統(tǒng)定級工作原則

信息系統(tǒng)定級工作應(yīng)按照“自主定級、專家評審、主管部門審批、公安機關(guān)審核”的原則進行。定級工作的主要內(nèi)容包括：確定定級對象、確定信息系統(tǒng)安全保護等級、組織專家評審、主管部門審批、公安機關(guān)審核，具體可按照《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公通字〔2007〕861號）要求執(zhí)行。各信息系統(tǒng)運營使用單位和主管部門是信息安全等級保護的責任主體，根據(jù)所屬信息系統(tǒng)的重要程度和遭到破壞后的危害程度，確定信息系統(tǒng)的安全保護等級。同時，按照所定等級，依照相應(yīng)等級的管理規(guī)范和技術(shù)標準，建設(shè)信息安全保護設(shè)施，建立安全制度，落實安全責任，對信息系統(tǒng)進行保護。

在等級保護工作中，信息系統(tǒng)運營使用單位和主管部門按照“誰主管誰負責，誰運營誰負責”的原則開展工作，并接受信息安全監(jiān)管部門對開展等級保護工作的監(jiān)管。運營使用單位和主管部門是信息系統(tǒng)安全的第一責任人，對所屬信息系統(tǒng)安全負有直接責任；公安、保密、密碼部門對運營使用單位和主管部門開展等級保護工作進行監(jiān)督、檢查、指導，對重要信息系統(tǒng)安全負監(jiān)管責任。由于重要信息系統(tǒng)的安全運行不僅影響本行業(yè)、本單位的生產(chǎn)和工作秩序，也會影響國家安全、社會穩(wěn)定、公共利益，因此，國家必然要對重要信息系統(tǒng)的安全進行監(jiān)管。

（二） 信息系統(tǒng)安全保護等級

信息系統(tǒng)的安全保護等級應(yīng)當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護等級分為五級，從第一級到第五級逐級增高。

（三） 信息系統(tǒng)安全保護等級的定級要素

信息系統(tǒng)的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。

1.受侵害的客體

等級保護對象受到破壞時所侵害的客體包括以下三個方面：一是公民、法人和其他組織的合法權(quán)益；二是社會秩序、公共利益；三是國家安全。

2. 對客體的侵害程度

對客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現(xiàn)的，因此，對客體的侵害外在表現(xiàn)為對等級保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。等級保護對象受到破壞后對客體造成侵害的程度有三種：一是造成一般損害；二是造成嚴重損害；三是造成特別嚴重損害。

（四） 五級保護和監(jiān)管

信息系統(tǒng)運營、使用單位依據(jù)國家信息安全等級保護政策和相關(guān)技術(shù)標準對信息系統(tǒng)進行保護，國家信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。定級要素與信息系統(tǒng)安全保護等級的關(guān)系如表1-1所示。

表1-1 定級要素與安全保護等級的關(guān)系

等級	對象	侵害客體	侵害程度	監(jiān)管強度
第一級	一般系統(tǒng)	合法權(quán)益	損害	自主保護
第二級		合法權(quán)益	嚴重損害	指導
		社會秩序和公共利益	損害
第三級	重要系統(tǒng)	社會秩序和公共利益	嚴重損害	監(jiān)督檢查
		國家安全	損害
第四級		社會秩序和公共利益	特別嚴重損害	強制監(jiān)督檢查
		國家安全	嚴重損害
第五級	極端重要系統(tǒng)	國家安全	特別嚴重損害	專門監(jiān)督檢查

二、定級工作的主要步驟

信息系統(tǒng)定級是等級保護工作的首要環(huán)節(jié)和關(guān)鍵環(huán)節(jié)，是開展信息系統(tǒng)備案、建設(shè)整改、等級測評、監(jiān)督檢查等工作的重要基礎(chǔ)。這里先明確一個概念，信息系統(tǒng)包括起支撐、傳輸作用的基礎(chǔ)信息網(wǎng)絡(luò)和各類應(yīng)用系統(tǒng)。信息系統(tǒng)安全級別定級不準，系統(tǒng)備案、建設(shè)整改、等級測評等后續(xù)工作都會失去基礎(chǔ)，信息系統(tǒng)安全就沒有保證。定級工作可以按照下列步驟進行。

（一） 開展摸底調(diào)查

按照《定級工作通知》確定的定級范圍，各單位、各部門可以組織開展對所屬信息系統(tǒng)進行摸底調(diào)查，摸清信息系統(tǒng)底數(shù)，掌握信息系統(tǒng)（包括信息網(wǎng)絡(luò)）的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，為下一步明確要求、落實責任奠定基礎(chǔ)。

（二） 確定定級對象

在全國重要信息系統(tǒng)安全等級保護定級工作（以下簡稱“定級工作”）中，如何科學、合理地確定定級對象是最關(guān)鍵的問題。信息系統(tǒng)運營使用單位或主管部門按如下原則確定定級對象。

一是起支撐、傳輸作用的信息網(wǎng)絡(luò)（包括專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)）要作為定級對象。但不是將整個網(wǎng)絡(luò)作為一個定級對象，而是要從安全管理和安全責任的角度將基礎(chǔ)信息網(wǎng)絡(luò)劃分成若干個最小安全域或最小單元去定級。

二是用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮、辦公等目的的各類業(yè)務(wù)系統(tǒng)，要按照不同業(yè)務(wù)類別單獨確定為定級對象，不以系統(tǒng)是否進行數(shù)據(jù)交換、是否獨享設(shè)備為確定定級對象條件。不能將某一類信息系統(tǒng)作為一個定級對象去定級。

三是各單位網(wǎng)站要作為獨立的定級對象。如果網(wǎng)站的后臺數(shù)據(jù)庫管理系統(tǒng)安全級別高，也要作為獨立的定級對象。網(wǎng)站上運行的信息系統(tǒng)（例如對社會服務(wù)的報名考試系統(tǒng)）也要作為獨立的定級對象。

四是確認負責定級的單位是否對所定級系統(tǒng)負有業(yè)務(wù)主管責任。也就是說，業(yè)務(wù)部門應(yīng)主導對業(yè)務(wù)信息系統(tǒng)定級，運維部門（例如信息中心、托管方）可以協(xié)助定級并按照業(yè)務(wù)部門的要求開展后續(xù)安全保護工作。

五是具有信息系統(tǒng)的基本要素。作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標和規(guī)則組合而成的有形實體。應(yīng)避免將某個單一的系統(tǒng)組件（如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等）作為定級對象。

例如，奧運網(wǎng)絡(luò)主要包括，“奧組委辦公外網(wǎng)”（承載自動化辦公、場館管理、電子郵件、物流、員工之家等16項業(yè)務(wù)）、“奧組委內(nèi)部辦公局域網(wǎng)”（承載著財務(wù)管理、人事管理等3項業(yè)務(wù)）、“奧運票務(wù)網(wǎng)”（票務(wù)網(wǎng)站和票務(wù)管理系統(tǒng)）、“奧運官方網(wǎng)站”（門戶網(wǎng)站和后臺數(shù)據(jù)處理系統(tǒng)）、“奧運互聯(lián)網(wǎng)接入”、“競賽網(wǎng)”等六個奧運信息系統(tǒng)。確定奧組委辦公外網(wǎng)、奧組委內(nèi)部辦公局域網(wǎng)、票務(wù)網(wǎng)站、票務(wù)管理系統(tǒng)、奧運官方網(wǎng)站和競賽網(wǎng)為定級對象。

（三） 初步確定信息系統(tǒng)等級

可以按照下列要求確定信息系統(tǒng)等級：

1. 定級責任主體。各信息系統(tǒng)運營使用單位和主管部門是信息系統(tǒng)定級的責任主體。

2. 定級要素。信息系統(tǒng)的安全保護等級由兩個定級的要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。

信息系統(tǒng)的安全保護等級是信息系統(tǒng)本身的客觀自然屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、人民群眾合法公益的危害程度為依據(jù)，確定信息系統(tǒng)的安全保護等級。定級時應(yīng)主要考慮信息系統(tǒng)破壞后對國家安全、社會穩(wěn)定的影響，考慮境內(nèi)外各種敵對勢力、敵對分子針對重要信息系統(tǒng)入侵攻擊破壞和竊取秘密等因素。既要防止個別單位版面追求絕對安全而定級過高，也要防止為了逃避監(jiān)管定級偏低。

3.對各類系統(tǒng)定級的處理方法。一是單位自建的信息系統(tǒng)（與上級單位無關(guān)），單位自主定級。二是跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)，可以由主管部門統(tǒng)一確定安全保護等級。其中：由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一安全保護策略的全國聯(lián)網(wǎng)系統(tǒng)，應(yīng)由行業(yè)主管部門統(tǒng)一對下各級系統(tǒng)分別確定等級；由各行業(yè)統(tǒng)一規(guī)劃、分級建設(shè)、全國聯(lián)網(wǎng)的信息系統(tǒng)，應(yīng)由部、省、地市分別確定系統(tǒng)等級，但各行業(yè)主管部門應(yīng)對該系統(tǒng)提出定級意見，避免出現(xiàn)同類系統(tǒng)下級定級比上級高的現(xiàn)象。對于該類系統(tǒng)的等級，下級確定后需報上級主管部門審批。

需特別注意的是：同類信息系統(tǒng)的安全保護等級不能隨著部、省、市行政級別的降低而降低，例如地市級的重要行業(yè)的重要系統(tǒng)不能定為一、二級。

4.新建系統(tǒng)的定級工作

對于新建系統(tǒng)，信息系統(tǒng)運營使用單位在規(guī)劃設(shè)計時應(yīng)確定信息系統(tǒng)安全保護等級，按照信息系統(tǒng)等級，同步規(guī)劃、同步設(shè)計、同步實施安全保護技術(shù)措施和管理措施。有關(guān)信息系統(tǒng)安全保護等級確定的具體辦法和要求見1.3節(jié)。

（四） 信息系統(tǒng)等級評審

信息系統(tǒng)運營使用單位或主管部門在初步確定信息系統(tǒng)安全保護等級后，為了保證定級合理、準確，可以聘請專家進行評審，并出具專家評審意見。

（五） 信息系統(tǒng)等級的審批

單位自建的信息系統(tǒng)（與上級單位無關(guān)），等級確定后，是否報上級主管部門審批，由各行業(yè)自行決定。信息系統(tǒng)運營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成《定級報告》。如果專家評審意見與運營使用單位意見不一致時，由運營使用單位自主決定系統(tǒng)等級，信息系統(tǒng)運營使用單位有上級主管部門的，應(yīng)當經(jīng)上級主管部門對安全保護等級進行審核批準。主管部門一般是指行業(yè)的上級主管部門或監(jiān)管部門。如果是跨地域聯(lián)網(wǎng)運營使用的信息系統(tǒng)，則必須由其上級主管部門審批，確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性。

（六） 公安機關(guān)審核

公安機關(guān)收到信息系統(tǒng)運營使用單位備案材料后，應(yīng)對信息系統(tǒng)定級的準確性進行審核。公安機關(guān)的審核是定級工作的最后一道防線，應(yīng)予以高度重視，嚴格把關(guān)。信息系統(tǒng)定級基本準確的，公安機關(guān)頒發(fā)由公安部統(tǒng)一監(jiān)制的《信息系統(tǒng)安全等級保護備案證明》（以下簡稱《備案證明》）。對于定級不準的，公安機關(guān)應(yīng)向備案單位發(fā)整改通知，并建議備案單位組織專家進行重新定級評審，并報上級主管部門審批。備案單位仍然堅持原定等級的，公安機關(guān)可以受理其備案，但應(yīng)當書面告知其承擔由此引發(fā)的責任和后果，經(jīng)上級公安機關(guān)同意后，同時通報備案單位上級主管部門。

三、如何確定信息系統(tǒng)安全保護等級

（一）如何理解信息系統(tǒng)的五個安全保護等級

信息系統(tǒng)的安全保護等級是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全保護等級。既要防止個別單位片面追求絕對安全而定級過高，也要防止為了逃避監(jiān)管定級偏低。信息網(wǎng)絡(luò)的安全等級可以參照在其上運行的信息系統(tǒng)的等級、網(wǎng)絡(luò)的服務(wù)范圍和自身的安全需求確定適當?shù)谋Ｗo等級，不以在其上運行的信息系統(tǒng)的最高等級或最低等級為標準，既不就高、不就低。

為了幫助信息系統(tǒng)運營使用單位準確確定信息系統(tǒng)安全保護等級，可以參考下列對五級的說明確定系統(tǒng)等級。

第一級信息系統(tǒng)：一般適用于小型私營、個體企業(yè)、中小學，鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息統(tǒng)。

第二級信息系統(tǒng)：一般適用于縣級其些單位中的重要信息系統(tǒng)；地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。

第三級信息系統(tǒng)：一般適用于地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等。

第四級信息系統(tǒng)：一般適用于國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。例如電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要、部門的生產(chǎn)、調(diào)度、指揮等涉及國家安全、國計民生的核心系統(tǒng)。

第五級信息系統(tǒng)：一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。

（二）定級的一般流程

信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護等級稱為業(yè)務(wù)信息安全等級。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護等級稱系統(tǒng)服務(wù)安全等級。

確定信息系統(tǒng)安全保護等級的一般流程如下：確定作為定級對象的信息系統(tǒng)；確定業(yè)務(wù)信息安全受到破壞時所侵害的客體；根據(jù)不同的受侵害客體，從多個方面綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度，根據(jù)業(yè)務(wù)信息的重要性和受到破壞后的危害性確定業(yè)務(wù)信息安全等級；確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體；根據(jù)不同的受侵害客體，從多個方面綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度，根據(jù)系統(tǒng)服務(wù)的重要性和受到破壞后的危害性確定系統(tǒng)服務(wù)安全等級；由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者確定定級對象的安全保護等級。上述步驟如圖1-1所示。

圖1-1 確定等級一般流程

1. 確定受侵害的客體

定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。

侵害國家安全的事項包括以下方面：影響國家政權(quán)穩(wěn)固和國防實力；影響國家統(tǒng)一、民族團結(jié)和社會安定；影響國家對外活動中的政治、經(jīng)濟利益；影響國家重要的安全保衛(wèi)工作；影響國家經(jīng)濟競爭力和科技實力；其他影響國家安全的事項。

侵害社會秩序的事項包括以下方面：影響國家機關(guān)社會管理和公共服務(wù)的工作秩序；影響各種類型的經(jīng)濟活動秩序；影響各行業(yè)的科研、生產(chǎn)秩序；影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；其他影響社會秩序的事項。

影響公共利益的事項包括以下方面：影響社會成員使用公共設(shè)施；影響社會成員獲取公開信息資源；影響社會成員接受公共服務(wù)等方面；其他影響公共利益的事項。

影響公民、法人和其他組織的合法權(quán)益是指由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益。

確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時，應(yīng)首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益。

各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)特點，分析各類信息和各類信息系統(tǒng)與國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的關(guān)系，從而確定本行業(yè)各類信息和各類信息系統(tǒng)受到破壞時所侵害的客體。

2. 確定對客體的侵害程度

侵害的客觀方面。在客觀方面，對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害方式表現(xiàn)為對信息安全的破壞和對信息系統(tǒng)服務(wù)的破壞，其中信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。

信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果：影響行使工作職能；導致業(yè)務(wù)能力下降；引起法律糾紛；導致財產(chǎn)損失；造成社會不良影響；對其他組織和個人造成損失；其他影響。

3. 綜合判定侵害程度

侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)，因此，應(yīng)首先根據(jù)不同的受侵害客體、不同危害后果分別確定其危害程度。對不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同，例如系統(tǒng)服務(wù)安全被破壞導致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定，業(yè)務(wù)信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢復(fù)費用等方面進行確定。

在針對不同的受侵害客體進行侵害程度的判斷時，應(yīng)參照以下不同的判別基準：

如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判斷侵害程度的基準；

如果受侵害客體是社會秩序、公共利益或國家安全，則應(yīng)以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準。

不同危害后果的三種危害程度描述如下：

一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。

嚴重損害：工作職能受到嚴重影響，業(yè)務(wù)能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。

特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業(yè)務(wù)能力嚴重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴重的法律問題，極高的財產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。

信息安全和系統(tǒng)服務(wù)安全被破壞后對客體的侵害程度，由對不同危害結(jié)果的危害程度進行綜合評定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種類和系統(tǒng)服務(wù)特點各不相同，信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的危害結(jié)果、危害程度的計算方式均可能不同，各行業(yè)可根據(jù)本行業(yè)信息特點和系統(tǒng)服務(wù)特點，制定危害程度的綜合評定方法，并給出侵害不同客體造成一般損害、嚴重損害、特別嚴重損害的具體定義。

4. 確定信息系統(tǒng)安全保護等級

根據(jù)業(yè)務(wù)信息安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表1-2業(yè)務(wù)信息安全保護等級矩陣表，即可得到業(yè)務(wù)信息安全保護等級。

表1-2 業(yè)務(wù)信息安全保護等級矩陣表

業(yè)務(wù)信息安全被破壞時所侵害的客體	對相應(yīng)客體的侵害程度
	一般損害	嚴重損害	特別嚴重損害
公民、法人和其他組織的合法權(quán)益	第一級	第二級	第二級
社會秩序、公共利益	第二級	第三級	第四級
國家安全	第三級	第四級	第五級

根據(jù)系統(tǒng)服務(wù)安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表1-3系統(tǒng)服務(wù)安全保護等級矩陣表，即可得到系統(tǒng)服務(wù)安全保護等級。

表1-3 系統(tǒng)服務(wù)安全保護等級矩陣表

系統(tǒng)服務(wù)安全被破壞時所侵害的客體	對相應(yīng)客體的侵害程度
	一般損害	嚴重損害	特別嚴重損害
公民、法人和其他組織的合法權(quán)益	第一級	第二級	第二級
社會秩序、公共利益	第二級	第三級	第四級
國家安全	第三級	第四級	第五級

作為定級對象的信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較高者決定。定級對象等級確定后，可參照附錄1中的《信息系統(tǒng)安全保護等級定級報告》模版起草定級報告。

例如，“奧組委辦公內(nèi)網(wǎng)”承載奧組委內(nèi)部的人事、財務(wù)等業(yè)務(wù)，僅在奧組委少數(shù)部門內(nèi)應(yīng)用，不傳輸秘密信息和敏感信息。其受到破壞后，會影響內(nèi)部辦公，會對社會秩序、公共利益造成損害，定為二級；“奧組委辦公外網(wǎng)”通過唯一出口與互聯(lián)網(wǎng)相連，承載奧組委內(nèi)部的電子郵件、物流、短信平臺、場館管理等業(yè)務(wù)，在奧組委總部范圍應(yīng)用，其受到破壞后，會對社會秩序、公共利益造成損害，定為二級?！捌眲?wù)網(wǎng)站”負責提供票務(wù)申請、信息填寫等業(yè)務(wù)，采集購票者信息和訂票信息，不與“票備管理系統(tǒng)”直接相連，其受到破壞后，會對社會秩序、公共利益造成損害，定為二級?！捌眲?wù)管理系統(tǒng)”存儲處理通過各種方式申請、購買奧運票務(wù)的個人數(shù)據(jù)，是“票備網(wǎng)站”的核心，其受到破壞后，會對社會秩序、公共利益造成嚴重損害，定為三級?！皧W運官方網(wǎng)站”承擔在互聯(lián)網(wǎng)上對外宣傳、報道奧運重大事項，是北京奧運通過互聯(lián)網(wǎng)對外宣傳的門戶，其服務(wù)器保障性要求很高，受到破壞后，會對社會秩序、公共利益造成嚴重損害，定為三級?！案傎惥W(wǎng)”承擔賽事安排、計時、成績統(tǒng)計等重大事項，其數(shù)據(jù)安全和服務(wù)保障性要求很高，受到破壞洉，會對社會秩序、公共利益造成嚴重損害，定為三級。

四、信息系統(tǒng)備案工作的內(nèi)容和要求

（一）信息系統(tǒng)備案與受理

信息安全等級保護備案工作包括信息系統(tǒng)備案、受理、審核和備案信息管理等工作。信息系統(tǒng)運營使用單位和受理備案的公安機關(guān)應(yīng)按照《信息安全等級保護備案實施細則》（公信安〔2007〕1360號）的要求辦理信息系統(tǒng)備案工作。

1.備案

第二級以上信息系統(tǒng)，在安全保護等級確定后30日內(nèi)，由其運營、使用單位或者其主管部門（以下簡稱“備案單位”）到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。辦理備案手續(xù)時，應(yīng)當首先到公安機關(guān)指定的網(wǎng)址下載并填寫備案表，準備好備案文件，然后到指定的地點備案。

備案時應(yīng)當提交《信息系統(tǒng)安全等級保護備案表》（以下簡稱《備案表》，參見附錄2）（一式兩份）及其電子文檔。第二級以上信息系統(tǒng)備案時需提交《備案表》中的表一、二、三；第三級以上信息系統(tǒng)還應(yīng)當在系統(tǒng)整改、測評完成后30日內(nèi)提交《備案表》表四及其有關(guān)資料。

隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)；其他信息系統(tǒng)向北京市公安局備案?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當向當?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。各部委統(tǒng)一定級信息系統(tǒng)在各地的分支系統(tǒng)（包括終端連接、安裝上級系統(tǒng)運行的沒有數(shù)據(jù)庫的分系統(tǒng)），即使是上級主管部門定級的，也要到當?shù)毓簿W(wǎng)監(jiān)備案。

2.受理備案

地市級以上公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理本轄區(qū)內(nèi)備案單位的備案。隸屬于省級的備案單位，其跨地（市）聯(lián)網(wǎng)運行的信息系統(tǒng)，由省級公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。

隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。

隸屬于中央的非在京單位的信息系統(tǒng)，由當?shù)厥〖壒矙C關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門（或其指定的地市級公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門）受理備案。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)（包括由上級主管部門定級，在當?shù)赜袘?yīng)用的信息系統(tǒng)），由所在地地市級以上公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。

3. 備案信息管理

公安部組織開發(fā)了重要信息系統(tǒng)安全監(jiān)察管理系統(tǒng)，配發(fā)給各地，搭建一個部、省、市三級公安機關(guān)等級保護綜合管理平臺。該系統(tǒng)部、省兩級公安機關(guān)部署，部、省、市三級公安機關(guān)應(yīng)用，為全國信息系統(tǒng)定級、備案和監(jiān)督檢查工作提供支持，為重要信息系統(tǒng)安全監(jiān)察業(yè)務(wù)服務(wù)。各地公安機關(guān)要按照《關(guān)于部署開展等級保護安全監(jiān)察管理系統(tǒng)建設(shè)的通知》要求，組織本地開展系統(tǒng)建設(shè)，及時將定級備安和相關(guān)數(shù)據(jù)錄入系統(tǒng)，利用該系統(tǒng)開展等級保護工作。

（二）公安機關(guān)受理備案要求

1. 受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)該設(shè)立專門的備案窗口，配備必要的設(shè)備和警力，專門負責受理備案工作，受理備案地點、時間、聯(lián)系人和聯(lián)系方式等應(yīng)向社會公布。

2. 接收備案材料后，公安機關(guān)應(yīng)當對下列內(nèi)容進行審核：備案材料填寫是否完整，是否符合要求，其紙質(zhì)材料和電子文檔是否一致；信息系統(tǒng)所定安全保護等級是否準確。

3. 公安機關(guān)收到備案單位提交的備案材料后，對屬于本級公安機關(guān)受理范圍且備案材料齊全的，應(yīng)當向備案單位出具《信息系統(tǒng)安全等級保護備案材料接收回執(zhí)》；備案材料不齊全的，應(yīng)當當場或者在五日內(nèi)一次性告知其補正內(nèi)容；對不屬于本級公安機關(guān)受理范圍的，應(yīng)當書面告知備案單位到有管轄權(quán)的公安機關(guān)辦理。

4. 經(jīng)審核符合等級保護要求的，公安機關(guān)應(yīng)當自收到備安材料之日起的十個工作日內(nèi)，將加蓋本級公安機關(guān)印章（或等級保護專用章）的《備案表》一份反饋備案單位，一份存檔；對不符合等級保護要求的，公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當在十個工作日內(nèi)通知備安單位進行整改，并出具《信息系統(tǒng)安全等級保護備案審核結(jié)果通知》。

5. 《備案表》中表一、表二、表三內(nèi)容經(jīng)審核合格的，公安機關(guān)出具《信息系統(tǒng)安全等級保護備案證明》（以下簡稱《備案證明》）?！秱浒缸C明》由公安部統(tǒng)一監(jiān)制。

6. 受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當建立管理制度，對備案材料按照等級進行嚴格管理，嚴格遵守保密制度，未經(jīng)批準不得對外提供查詢。

（三）對定級不準以及不備案情況的處理

1. 公安機關(guān)對定級不準的備案單位，在通知整改的同時，應(yīng)當建議備案單位組織專家進行重新定級評審，并報上級主管部門審批。

2. 備案單位仍然堅持原定等級的，公安機關(guān)可以受理其備案，但應(yīng)當書面告知其承擔由此引發(fā)的責任和后果，經(jīng)上級公安機關(guān)同意后，同時通報備案單位上級主管部門。

3. 對拒不備案的，公安機關(guān)應(yīng)當根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等其他有關(guān)法律、法規(guī)規(guī)定，責令限期整改。逾期仍不備案的，予以警告，并向其上級主管部門通報。向中央和國家機關(guān)通報的，應(yīng)當報經(jīng)公安部同意。 

信息系統(tǒng)定級與備案工作介紹  ****;id=8a8182565deefd0d015e6e9b37630067