信息系统定级和备案工作介绍

《信息系统定级和备案工作介绍》由会员分享，可在线阅读，更多相关《信息系统定级和备案工作介绍（11页珍藏版）》请在金锄头文库上搜索。

1、信息系统定级与备案工作介绍本文主要介绍信息系统安全保护等级的确定，定级工作的流程和要求，备案 工作的流程和要求等。一、 信息系统安全保护等级的划分与保护（一）信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关 审核”的原则进行。定级工作的主要内容包括：确定定级对象、确定信息系统安 全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照关于 开展全国重要信息系统安全等级保护定级工作的通知（公通字2007861 号） 要求执行。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主 体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统

2、的安 全保护等级。同时，按照所定等级，依照相应等级的管理规范和技术标准，建设 信息安全保护设施，建立安全制度，落实安全责任，对信息系统进行保护。在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责， 谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作 的监管。运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系 统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等 级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。由于重要 信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家 安全、社会稳定、公共利益，

3、因此，国家必然要对重要信息系统的安全进行监管。（二）信息系统安全保护等级 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生 活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人 和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五 级，从第一级到第五级逐级增高。（三）信息系统安全保护等级的定级要素 信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所 侵害的客体和对客体造成侵害的程度。1. 受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面：一是公民、法人 和其他组织的合法权益；二是社会秩序、公共利益；三是国家安

4、全。2. 对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害 是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保 护对象的破坏，通过危害方式、危害后果和危害程度加以描述。等级保护对象受 到破坏后对客体造成侵害的程度有三种：一是造成一般损害；二是造成严重损害； 三是造成特别严重损害。（四）五级保护和监管信息系统运营、使用单位依据国家信息安全等级保护政策和相关技术标准对 信息系统进行保护，国家信息安全监管部门对其信息安全等级保护工作进行监督 管理。定级要素与信息系统安全保护等级的关系如表 1-1 所示。表 1-1 定级要素与安全保护等级的关系等级

5、对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查二、 定级工作的主要步骤信息系统定级是等级保护工作的首要环节和关键环节，是开展信息系统备 案、建设整改、等级测评、监督检查等工作的重要基础。这里先明确一个概念， 信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。信息系统安全 级别定级不准，系统备案、建设整改、等级测评等后续工作都会失去基础，信息 系统安全就

6、没有保证。定级工作可以按照下列步骤进行。（一）开展摸底调查按照定级工作通知确定的定级范围，各单位、各部门可以组织开展对所 属信息系统进行摸底调查，摸清信息系统底数，掌握信息系统（包括信息网络） 的业务类型、应用或服务范围、系统结构等基本情况，为下一步明确要求、落实 责任奠定基础。（二）确定定级对象在全国重要信息系统安全等级保护定级工作（以下简称“定级工作”）中， 如何科学、合理地确定定级对象是最关键的问题。信息系统运营使用单位或主管 部门按如下原则确定定级对象。一是起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）要 作为定级对象。但不是将整个网络作为一个定级对象，而是要从安全管理和

7、安全 责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。二是用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统，要 按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享 设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级。三是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安 全级别高，也要作为独立的定级对象。网站上运行的信息系统（例如对社会服务 的报名考试系统）也要作为独立的定级对象。四是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说， 业务部门应主导对业务信息系统定级，运维部门（例如信息中心、托管方）可以 协

8、助定级并按照业务部门的要求开展后续安全保护工作。五是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和 配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某 个单一的系统组件（如服务器、终端、网络设备等）作为定级对象。例如，奥运网络主要包括，“奥组委办公外网”（承载自动化办公、场馆管 理、电子邮件、物流、员工之家等16 项业务）、“奥组委内部办公局域网”（承 载着财务管理、人事管理等3 项业务）、“奥运票务网”（票务网站和票务管理 系统）、“奥运官方网站”（门户网站和后台数据处理系统）、“奥运互联网接 入”、“竞赛网”等六个奥运信息系统。确定奥组委办公外网、奥组委

9、内部办公 局域网、票务网站、票务管理系统、奥运官方网站和竞赛网为定级对象。（三）初步确定信息系统等级可以按照下列要求确定信息系统等级：1. 定级责任主体。各信息系统运营使用单位和主管部门是信息系统定级的 责任主体。2. 定级要素。信息系统的安全保护等级由两个定级的要素决定：等级保护 对象受到破坏时所侵害的客体和对客体造成侵害的程度。信息系统的安全保护等级是信息系统本身的客观自然属性，不以已采取或将 采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后 对国家安全、社会稳定、人民群众合法公益的危害程度为依据，确定信息系统的 安全保护等级。定级时应主要考虑信息系统破坏后对国家安全

10、、社会稳定的影响， 考虑境内外各种敌对势力、敌对分子针对重要信息系统入侵攻击破坏和窃取秘密 等因素。既要防止个别单位版面追求绝对安全而定级过高，也要防止为了逃避监 管定级偏低。3. 对各类系统定级的处理方法。一是单位自建的信息系统（与上级单位无 关），单位自主定级。二是跨省或者全国统一联网运行的信息系统，可以由主 管部门统一确定安全保护等级。其中：由各行业统一规划、统一建设、统一安 全保护策略的全国联网系统，应由行业主管部门统一对下各级系统分别确定等 级；由各行业统一规划、分级建设、全国联网的信息系统，应由部、省、地市 分别确定系统等级，但各行业主管部门应对该系统提出定级意见，避免出现同 类系

11、统下级定级比上级高的现象。对于该类系统的等级，下级确定后需报上级 主管部门审批。需特别注意的是：同类信息系统的安全保护等级不能随着部、省、市行政级 别的降低而降低，例如地市级的重要行业的重要系统不能定为一、二级。4. 新建系统的定级工作 对于新建系统，信息系统运营使用单位在规划设计时应确定信息系统安全保 护等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施 和管理措施。有关信息系统安全保护等级确定的具体办法和要求见 1.3 节。（四）信息系统等级评审 信息系统运营使用单位或主管部门在初步确定信息系统安全保护等级后，为 了保证定级合理、准确，可以聘请专家进行评审，并出具专家评审

12、意见。（五）信息系统等级的审批 单位自建的信息系统（与上级单位无关），等级确定后，是否报上级主管部 门审批，由各行业自行决定。信息系统运营使用单位参考专家定级评审意见，最 终确定信息系统等级，形成定级报告。如果专家评审意见与运营使用单位意 见不一致时，由运营使用单位自主决定系统等级，信息系统运营使用单位有上级 主管部门的，应当经上级主管部门对安全保护等级进行审核批准。主管部门一般 是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统， 则必须由其上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一 致性。（六）公安机关审核 公安机关收到信息系统运营使用单位备案材料后，应

13、对信息系统定级的准确 性进行审核。公安机关的审核是定级工作的最后一道防线，应予以高度重视，严 格把关。信息系统定级基本准确的，公安机关颁发由公安部统一监制的信息系 统安全等级保护备案证明（以下简称备案证明）。对于定级不准的，公安 机关应向备案单位发整改通知，并建议备案单位组织专家进行重新定级评审，并 报上级主管部门审批。备案单位仍然坚持原定等级的，公安机关可以受理其备案， 但应当书面告知其承担由此引发的责任和后果，经上级公安机关同意后，同时通 报备案单位上级主管部门。三、 如何确定信息系统安全保护等级（一）如何理解信息系统的五个安全保护等级信息系统的安全保护等级是信息系统的客观属性，不以已采取

14、或将采取什么 安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安 全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全保护 等级。既要防止个别单位片面追求绝对安全而定级过高，也要防止为了逃避监管 定级偏低。信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的 服务范围和自身的安全需求确定适当的保护等级，不以在其上运行的信息系统的 最高等级或最低等级为标准，既不就高、不就低。为了帮助信息系统运营使用单位准确确定信息系统安全保护等级，可以参考 下列对五级的说明确定系统等级。第一级信息系统：一般适用于小型私营、个体企业、中小学，乡镇所属信息 系统、县级单位中

15、一般的信息统。第二级信息系统：一般适用于县级其些单位中的重要信息系统；地市级以上 国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、 敏感信息的办公系统和管理系统等。第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重 要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统； 跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要 信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户 网站和重要网站；跨省连接的网络系统等。第四级信息系统：一般适用于国家重要领域、重要部门中的特别重要系统以 及核心系统。例如电力、

16、电信、广电、铁路、民航、银行、税务等重要、部门的 生产、调度、指挥等涉及国家安全、国计民生的核心系统。第五级信息系统：一般适用于国家重要领域、重要部门中的极端重要系统。（二）定级的一般流程 信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和 对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服 务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称为业务 信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安 全等级。确定信息系统安全保护等级的一般流程如下：确定作为定级对象的信息系 统；确定业务信息安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多 个方