信息安全等級保護制度信息安全等級保護定級和備案廣東省公安廳網(wǎng)警總隊林雁飛2007年9月提綱

一、主要工作措施二、信息安全保護等級的劃分和標準三、信息系統(tǒng)安全保護等級的確定四、備案一、主要工作措施

開展信息系統(tǒng)基本情況的摸底調(diào)查初步確定安全保護等級評審與審批備案二、信息安全保護等級的劃分和標準

信息系統(tǒng)的安全保護等級應(yīng)當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

二、信息安全保護等級的劃分和標準

第一級，信息系統(tǒng)受到破壞后會對公民、法人和其他組織的合法權(quán)益造成損害但不損害國家安全、社會秩序和公共利益

二、信息安全保護等級的劃分和標準

第二級，信息系統(tǒng)受到破壞后會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害或者對社會秩序和公共利益造成損害，但不損害國家安全二、信息安全保護等級的劃分和標準

第三級，信息系統(tǒng)受到破壞后會對社會秩序和公共利益造成嚴重損害或者對國家安全造成損害二、信息安全保護等級的劃分和標準

第四級，信息系統(tǒng)受到破壞后會對社會秩序和公共利益造成特別嚴重損害或者對國家安全造成嚴重損害

二、信息安全保護等級的劃分和標準

第五級，信息系統(tǒng)受到破壞后會對國家安全造成特別嚴重損害

二、信息安全保護等級的劃分和標準

信息系統(tǒng)分為所處理的業(yè)務(wù)信息和作為整體的系統(tǒng)服務(wù)兩個層次信息系統(tǒng)安全保護等級由業(yè)務(wù)信息和系統(tǒng)服務(wù)兩個層次的安全等級之中的較高中決定二、信息安全保護等級的劃分和標準

決定信息系統(tǒng)的安全保護等級由兩個定級要素決定受到破壞時侵害了什么（客體）侵害的程度如何（對客體造成侵害的程度）二、信息安全保護等級的劃分和標準

等級保護對象受到破壞時所侵害的客體公民、法人和其他組織的合法權(quán)益社會秩序、公共利益國家安全二、信息安全保護等級的劃分和標準

對客體造成侵害的程度造成一般損害造成嚴重損害造成特別嚴重損害三、信息系統(tǒng)安全保護等級的確定

定級范圍電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。市（地）級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。涉及國家秘密的信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）

三、信息系統(tǒng)安全保護等級的確定

定級工作步驟

第一步：確定定級對象

作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征：

1.具有唯一確定的安全責(zé)任單位。

2.具有信息系統(tǒng)的基本要素。

3.承載單一或相對獨立的業(yè)務(wù)應(yīng)用。

不是涉密信息系統(tǒng)（按照保密等級相關(guān)要求定級）三、信息系統(tǒng)安全保護等級的確定

定級工作步驟

第二步：初步確定信息系統(tǒng)等級1．定級的一般流程三、信息系統(tǒng)安全保護等級的確定

3、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體7、系統(tǒng)服務(wù)安全等級4、業(yè)務(wù)信息安全等級8、定級對象的安全保護等級依據(jù)表2依據(jù)表31、確定定級對象三、信息系統(tǒng)安全保護等級的確定

2．確定受侵害的客體——侵害了何種權(quán)益定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。三、信息系統(tǒng)安全保護等級的確定

侵害國家安全的事項包括以下方面影響國家政權(quán)穩(wěn)固和國防實力影響國家統(tǒng)一、民族團結(jié)和社會安定影響國家對外活動中的政治、經(jīng)濟利益影響國家重要的安全保衛(wèi)工作影響國家經(jīng)濟競爭力和科技實力其他影響國家安全的事項。三、信息系統(tǒng)安全保護等級的確定

侵害社會秩序的事項包括以下方面影響國家機關(guān)社會管理和公共服務(wù)的工作秩序影響各種類型的經(jīng)濟活動秩序影響各行業(yè)的科研、生產(chǎn)秩序影響公眾在法律約束和道德規(guī)范下的正常生活秩序等其他影響社會秩序的事項三、信息系統(tǒng)安全保護等級的確定

影響公共利益的事項包括以下方面影響社會成員使用公共設(shè)施影響社會成員獲取公開信息資源影響社會成員接受公共服務(wù)等方面其他影響公共利益的事項

影響公民、法人和其他組織的合法權(quán)益是指由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益三、信息系統(tǒng)安全保護等級的確定

確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時，應(yīng)首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益。三、信息系統(tǒng)安全保護等級的確定

3．確定侵害的客觀方面——造成何種損失

在客觀方面，對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害方式表現(xiàn)為對信息安全的破壞和對信息系統(tǒng)服務(wù)的破壞。三、信息系統(tǒng)安全保護等級的確定

信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果：影響行使工作職能導(dǎo)致業(yè)務(wù)能力下降引起法律糾紛導(dǎo)致財務(wù)損失造成社會不良影響對其他組織和個人造成損失其他影響

三、信息系統(tǒng)安全保護等級的確定

4．綜合判定侵害程度系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量、業(yè)務(wù)性質(zhì)等不同方面確定。業(yè)務(wù)信息安全被破壞導(dǎo)致的財物損失可以從直接的資金損失大小、間接的信息恢復(fù)費用等方面進行確定。三、信息系統(tǒng)安全保護等級的確定

不同危害后果的三種危害程度描述如下：一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。

三、信息系統(tǒng)安全保護等級的確定

嚴重損害：工作職能受到嚴重影響，業(yè)務(wù)能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的資產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。

三、信息系統(tǒng)安全保護等級的確定

特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業(yè)務(wù)能力嚴重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴重的法律問題，極高的資產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。三、信息系統(tǒng)安全保護等級的確定

5．確定信息系統(tǒng)安全保護等級

業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級三、信息系統(tǒng)安全保護等級的確定

系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級三、信息系統(tǒng)安全保護等級的確定

作為定級對象的信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者決定。定級對象等級確定后，起草《信息系統(tǒng)安全保護等級定級報告》。三、信息系統(tǒng)安全保護等級的確定

定級工作步驟

第三步：信息系統(tǒng)等級評審在信息系統(tǒng)安全保護等級確定過程中，可以聘請專家進行咨詢評審，并出具定級評審意見對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應(yīng)當邀請國家信息安全保護等級專家評審委員會評審，出具評審意見。

三、信息系統(tǒng)安全保護等級的確定

定級工作步驟第四步：信息系統(tǒng)等級的最終確定與審批信息系統(tǒng)運營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成《定級報告》。如果專家評審意見與運營使用單位意見不一致時，由運營使用單位自主決定系統(tǒng)等級。信息系統(tǒng)運營使用單位有上級主管部門的，應(yīng)當經(jīng)上級主管部門對安全保護等級進行審核批準。定級實例1

系統(tǒng)簡述：某省政府網(wǎng)站系統(tǒng)ZFWZ，用于發(fā)布政務(wù)公開信息、地方行政法規(guī)和管理措施、領(lǐng)導(dǎo)講話、政府辦事流程、新聞發(fā)布、政府公告、舉報投訴、省內(nèi)經(jīng)濟形勢介紹、電子表單下載等信息，服務(wù)對象主要是省內(nèi)企業(yè)和市民。

定級實例1

ZFWZ系統(tǒng)等級確定過程：ZFWZ系統(tǒng)是省政府對社會辦公的窗口，其中發(fā)布的信息內(nèi)容代表政府形象和體現(xiàn)政府的社會管理和社會服務(wù)職能，因此該信息安全被破壞可能對社會秩序造成一定影響由于省政府網(wǎng)站的訪問量并不很大，信息被篡改可能造成的不良社會影響不會很大，因此對社會秩序的侵害程度為一般損害；查表知ZFWZ系統(tǒng)的業(yè)務(wù)信息安全保護等級為第二級，如下表所示。

定級實例1

業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級實例1

ZFWZ系統(tǒng)為省內(nèi)企業(yè)和市民提供政府信息查詢和下載服務(wù)，其系統(tǒng)服務(wù)如果不可用侵害的不是省政府本身的利益，而是公眾獲取公開信息的公眾利益；但由于沒有必須通過網(wǎng)絡(luò)才能夠執(zhí)行的辦事流程，ZFWZ系統(tǒng)對服務(wù)實時性和服務(wù)質(zhì)量要求不高，政務(wù)服務(wù)工作主要通過網(wǎng)絡(luò)之外完成，網(wǎng)絡(luò)僅提供相關(guān)信息和表單下載，網(wǎng)站不能提供服務(wù)對市民辦事影響不大；查表知ZFWZ系統(tǒng)的業(yè)務(wù)服務(wù)安全保護等級為第二級，如下表所示。

定級實例1

系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級實例1

ZFWZ系統(tǒng)的安全保護等級為第二級。定級實例2

系統(tǒng)簡述：某省電力集團公司的省級電力實時監(jiān)控系統(tǒng)，主要運行調(diào)度自動化控制系統(tǒng)和能量管理系統(tǒng)（SCADA/EMS）DDZDH，負責(zé)省級超高壓輸電變電站的調(diào)度控制和數(shù)據(jù)采集。系統(tǒng)實時性要求極高，達到秒級。定級實例2

系統(tǒng)等級確定過程：電力系統(tǒng)是國家重要基礎(chǔ)設(shè)施，省級DDZDH系統(tǒng)負責(zé)全省范圍內(nèi)的電力調(diào)度，調(diào)度控制指令或調(diào)度程序被修改，可能造成的停電事故會影響幾乎所有行業(yè)的正常生產(chǎn)和工作，其所侵害的客體為社會秩序和公共利益；調(diào)度控制指令或調(diào)度程序被修改可能造成全省范圍大面積停電、人員傷亡和巨額財產(chǎn)損失，同時對其它行業(yè)的生產(chǎn)和工作造成非常嚴重的影響，因此對社會秩序和公共利益的侵害程度為特別嚴重損害；查表知DDZDH系統(tǒng)的業(yè)務(wù)信息安全保護等級為第四級，如下表所示。定級實例2

業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級實例2

DDZDH系統(tǒng)負責(zé)省級超高壓輸電變電站的調(diào)度控制和數(shù)據(jù)采集，該系統(tǒng)無法提供服務(wù)可能造成全省范圍供電異常，可能造成大面積停電、人員傷亡和巨額財產(chǎn)損失,同時對其它行業(yè)的生產(chǎn)和工作造成非常嚴重的影響，因此對社會秩序和公共利益的侵害程度為特別嚴重損害；查表知DDZDH系統(tǒng)的系統(tǒng)服務(wù)安全保護等級取值為4，如下表所示。定級實例2

系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級實例2

DDZDH系統(tǒng)的安全保護等級為第四級。

四、備案

備案（以下兩種形式都要做）書面填寫《信息系統(tǒng)安全等級保護備案表》一式兩份?？商頦ORD文檔，再打印輸出，附上附件。

10月10日前交換到省公安廳網(wǎng)絡(luò)警察總隊管理監(jiān)察科。利用備案工具填寫，10月10日前生成電子數(shù)據(jù)發(fā)到電子郵箱kinn10290704@126.com。涉密系統(tǒng)填寫《涉及國家秘密的信息系統(tǒng)分級保護備案