各保監(jiān)局，各保險公司、保險資產(chǎn)管理公司，中國保險行業(yè)協(xié)會： 　　為貫徹落實國家信息安全等級保護制度，按照《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安〔2007〕861號）要求，中國保監(jiān)會將在保險行業(yè)內(nèi)開展信息系統(tǒng)安全等級保護定級工作。現(xiàn)將有關(guān)事項通知如下： 　　一、等級保護定級工作的要求及組織方式 　　各單位應(yīng)按照“準(zhǔn)確定級、嚴(yán)格審批、及時備案、認(rèn)真整改、科學(xué)測評”的要求和“自主定級、自主保護”的工作原則，成立相應(yīng)的領(lǐng)導(dǎo)及實施機構(gòu)，結(jié)合本單位的實際情況，準(zhǔn)確開展信息系統(tǒng)等級保護定級工作。 　　保監(jiān)會成立等級保護定級工作領(lǐng)導(dǎo)小組，統(tǒng)一領(lǐng)導(dǎo)、解決保險行業(yè)信息安全等級保護定級工作中的重大問題；保監(jiān)會等級保護定級工作領(lǐng)導(dǎo)小組下設(shè)辦公室,具體負(fù)責(zé)保監(jiān)會機關(guān)信息系統(tǒng)等級保護定級的具體實施工作和行業(yè)定級工作的指導(dǎo)審核。 　　各保監(jiān)局負(fù)責(zé)本局內(nèi)獨立運行的信息系統(tǒng)等級保護定級工作，并對各自轄區(qū)內(nèi)的保險公司分支機構(gòu)的等級保護定級工作進行指導(dǎo)審核。 　　各保險集團公司、保險控股公司負(fù)責(zé)本公司信息系統(tǒng)等級保護定級工作以及其下屬子公司信息系統(tǒng)等級保護定級工作的組織協(xié)調(diào)和指導(dǎo)。各保險總公司統(tǒng)一部署本公司和分公司的信息系統(tǒng)等級保護定級工作。 　　二、定級工作安排及定級范圍 　　（一）定級工作安排 　　為穩(wěn)妥做好等級保護定級工作，擬在保險行業(yè)內(nèi)分步分批實施。 　　保險行業(yè)第一批定級單位包括：保監(jiān)會及各保監(jiān)局，中國保險行業(yè)協(xié)會，中國人民保險集團公司、中國人壽保險（集團）公司、中國再保險（集團）公司、中國出口信用保險公司、民生人壽保險股份有限公司、陽光保險控股股份有限公司、中國平安保險（集團）股份有限公司、中國太平洋（集團）股份有限公司及其下屬各子公司和分公司。 　　其余公司作為第二批定級單位（具體時間安排另行通知）。 　　（二）定級范圍 　　1、保險監(jiān)管部門監(jiān)管、辦公及網(wǎng)站等重要信息系統(tǒng)；保險公司和中國保險行業(yè)協(xié)會經(jīng)營、管理、辦公等重要信息系統(tǒng)。（以下簡稱“重要信息系統(tǒng)”） 　　2、涉及國家秘密的信息系統(tǒng)（以下簡稱“涉密信息系統(tǒng)”）。 　　三、主要工作步驟 　　第一階段：自主定級（9月20日前完成） 　　各單位按要求成立相關(guān)定級實施機構(gòu)，對本系統(tǒng)內(nèi)的重要信息系統(tǒng)和涉密信息系統(tǒng)展開摸底調(diào)查，全面掌握信息網(wǎng)絡(luò)和信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、系統(tǒng)結(jié)構(gòu)、應(yīng)用或服務(wù)范圍等基本情況，按照《信息安全等級保護管理辦法》（以下簡稱“《管理辦法》”，附件1）和《信息系統(tǒng)安全等級保護定級指南》（附件2）的要求，確定定級對象并初步確定保護等級，形成定級報告（報告模板見附件3）。 　　涉密信息系統(tǒng)的等級確定按照國家保密局的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。 　　第二階段：審核（9月25日前完成） 　　各保監(jiān)局將各自獨立運行的重要信息系統(tǒng)和涉密信息系統(tǒng)的定級報告報保監(jiān)會審核。 　　各公司對本公司內(nèi)的重要信息系統(tǒng)和涉密信息系統(tǒng)定級進行統(tǒng)一審核，對跨省聯(lián)網(wǎng)運行且由公司總部統(tǒng)一確定等級的，由總公司將重要信息系統(tǒng)和涉密信息系統(tǒng)的定級報告報保監(jiān)會審核 (有集團或控股公司的，由集團或控股公司將定級報告統(tǒng)一報保監(jiān)會審核)；保險公司分公司將經(jīng)過總公司審核的，且在分公司獨立運行的重要信息系統(tǒng)和涉密系統(tǒng)定級報告報當(dāng)?shù)乇１O(jiān)局審核。 　　保險行業(yè)協(xié)會將所確定的重要信息系統(tǒng)和涉密信息系統(tǒng)的定級報告報保監(jiān)會審核。 　　保監(jiān)會及各保監(jiān)局在接到定級報告審核文件后，對不符合要求的于5個工作日內(nèi)要求其改正，審核通過者不再單獨答復(fù)。 　　第三階段：備案（9月30日前完成） 　　根據(jù)《管理辦法》，各單位定級報告通過保監(jiān)會或保監(jiān)局審核后，對重要信息系統(tǒng)安全等級確定為二級以上的信息系統(tǒng)應(yīng)到公安部網(wǎng)站下載《信息系統(tǒng)安全等級保護備案表》（見附件4）和輔助備案工具，并持填寫的備案表和利用輔助備案工具生成的備案電子數(shù)據(jù)文件，到公安機關(guān)辦理備案手續(xù)（保險行業(yè)協(xié)會確定的信息系統(tǒng)、保險總公司統(tǒng)一定級的跨省聯(lián)網(wǎng)運營的信息系統(tǒng)，向公安部備案；保險公司分公司將總公司定級的跨省聯(lián)網(wǎng)在當(dāng)?shù)剡\行、應(yīng)用的分支系統(tǒng)以及在當(dāng)?shù)胤止惊毩⑦\行的信息系統(tǒng)，向當(dāng)?shù)厥〖壒矙C關(guān)備案）。備案完成后，各級單位將備案證明復(fù)印件報相對應(yīng)的保險監(jiān)管機構(gòu)存檔。 　　涉密信息系統(tǒng)建設(shè)使用單位依據(jù)《管理辦法》和國家保密局的有關(guān)規(guī)定，填寫《涉及國家秘密的信息系統(tǒng)分級保護備案表》（見附件5），按照屬地化管理原則，將所確定的涉密信息系統(tǒng)，報送相對應(yīng)的保密部門備案。備案完成后，各級單位將備案證明復(fù)印件報相對應(yīng)的保險監(jiān)管機構(gòu)存檔。 　　第四階段：總結(jié)工作（10月15日前完成） 　　各單位應(yīng)對等級保護定級工作進行總結(jié)，并報保監(jiān)會等級保護定級工作領(lǐng)導(dǎo)小組。保監(jiān)會根據(jù)定級工作開展的情況和定級工作報告，總結(jié)工作經(jīng)驗，研究并啟動第二批等級保護定級工作。 　　 　　聯(lián) 系 人：李春亮、王曉鵬 　　聯(lián)系電話：010－66286602 　　 　　附件：1、信息安全等級保護管理辦法 　　2、信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南 　　3、信息系統(tǒng)安全等級保護定級報告 　　4、信息系統(tǒng)安全等級保護備案表 　　5、涉及國家秘密的信息系統(tǒng)分級保護備案表 　　　　　　　　　　　　　　　　　　　　　　　　二○○七年九月六日 附件1： 信息安全等級保護管理辦法 （公通字[2007]43號） 第一章 總則 第一條 為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī)，制定本辦法。 第二條 國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。 第三條 公安機關(guān)負(fù)責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負(fù)責(zé)等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負(fù)責(zé)等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負(fù)責(zé)等級保護工作的部門間協(xié)調(diào)。 第四條 信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。 第五條 信息系統(tǒng)的運營、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范，履行信息安全等級保護的義務(wù)和責(zé)任。 第二章 等級劃分與保護 第六條 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。 第七條 信息系統(tǒng)的安全保護等級分為以下五級： 第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。 第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。 第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。 第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。 第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。 第八條 信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進行保護，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。 第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。 第二級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導(dǎo)。 第三級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。 第四級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。 第五級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。 第三章 等級保護的實施與管理 第九條 信息系統(tǒng)運營、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。 第十條 信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。 跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。 對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護等級專家評審委員會評審。 第十一條 信息系統(tǒng)的安全保護等級確定后，運營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。 第十二條 在信息系統(tǒng)建設(shè)過程中，運營、使用單位應(yīng)當(dāng)按照《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù) 服務(wù)器技術(shù)要求》、《信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T671 -2006）等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。 第十三條 運營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。 第十四條 信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行等級測評。 信息系統(tǒng)運營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次自查，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行自查。 經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護等級要求的，運營、使用單位應(yīng)當(dāng)制定方案進行整改。 第十五條 已運營（運行）的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。 新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運行后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。 第十六條 辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料： （一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明； （二）系統(tǒng)安全組織機構(gòu)和管理制度； （三）系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案； （四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明； （五）測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告； （六）信息系統(tǒng)安全保護等級專家評審意見； （七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護等級的意見。 第十七條 信息系統(tǒng)備案后，公安機關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。 運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按照本辦法向公安機關(guān)重新備案。 第十八條 受理備案的公安機關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會同其主管部門進行。 對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進行檢查。 公安機關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項進行檢查： （一）信息系統(tǒng)安全需求是否發(fā)生變化，原定保護等級是否準(zhǔn)確； （二）運營、使用單位安全管理制度、措施的落實情況； （三）運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況； （四）系統(tǒng)安全等級測評是否符合要求； （五）信息安全產(chǎn)品使用是否符合要求； （六）信息系統(tǒng)安全整改情況； （七）備案材料與運營、使用單位、信息系統(tǒng)的符合情況； （八）其他應(yīng)當(dāng)進行監(jiān)督檢查的事項。 第十九條 信息系統(tǒng)運營、使用單位應(yīng)當(dāng)接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實向公安機關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護的信息資料及數(shù)據(jù)文件： （一）信息系統(tǒng)備案事項變更情況； （二）安全組織、人員的變動情況； （三）信息安全管理制度、措施變更情況； （四）信息系統(tǒng)運行狀況記錄； （五）運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄； （六）對信息系統(tǒng)開展等級測評的技術(shù)測評報告； （七）信息安全產(chǎn)品使用的變更情況； （八）信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報告； （九）信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。 第二十條 公安機關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運營、使用單位發(fā)出整改通知。運營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行整改。整改完成后，應(yīng)當(dāng)將整改報告向公安機關(guān)備案。必要時，公安機關(guān)可以對整改情況組織檢查。 第二十一條 第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品： （一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨立的法人資格； （二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)； （三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄； （四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能； （五）對國家安全、社會秩序、公共利益不構(gòu)成危害； （六）對已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機構(gòu)頒發(fā)的認(rèn)證證書。 第二十二條 第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級保護測評機構(gòu)進行測評： （一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）； （二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）； （三）從事相關(guān)檢測評估工作兩年以上，無違法記錄； （四）工作人員僅限于中國公民； （五）法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄； （六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求； （七）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度； （八）對國家安全、社會秩序、公共利益不構(gòu)成威脅。 第二十三條 從事信息系統(tǒng)安全等級測評的機構(gòu)，應(yīng)當(dāng)履行下列義務(wù)： （一）遵守國家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公正的檢測評估服務(wù)，保證測評的質(zhì)量和效果； （二）保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私，防范測評風(fēng)險； （三）對測評人員進行安全保密教育，與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實。 第四章 涉及國家秘密信息系統(tǒng)的分級保護管理 第二十四條 涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護的基本要求，按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實際情況進行保護。 非涉密信息系統(tǒng)不得處理國家秘密信息。 第二十五條 涉密信息系統(tǒng)按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級。 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上，依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標(biāo)準(zhǔn)BMB17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護等級。 保密工作部門和機構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進行系統(tǒng)定級。 第二十六條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級和建設(shè)使用情況，及時上報業(yè)務(wù)主管部門的保密工作機構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導(dǎo)。 第二十七條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計與實施。 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，按照秘密、機密、絕密三級的不同要求，結(jié)合系統(tǒng)實際進行方案設(shè)計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。 第二十八條 涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品，并應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機構(gòu)依據(jù)有關(guān)國家保密標(biāo)準(zhǔn)進行的檢測，通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。 第二十九條 涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后，應(yīng)當(dāng)向保密工作部門提出申請，由國家保密局授權(quán)的系統(tǒng)測評機構(gòu)依據(jù)國家保密標(biāo)準(zhǔn)BMB22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》，對涉密信息系統(tǒng)進行安全保密測評。 涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)當(dāng)按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》，向設(shè)區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在按照分級保護要求完成系統(tǒng)整改后，應(yīng)當(dāng)向保密工作部門備案。 第三十條 涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時，應(yīng)當(dāng)提交以下材料： （一）系統(tǒng)設(shè)計、實施方案及審查論證意見； （二）系統(tǒng)承建單位資質(zhì)證明材料； （三）系統(tǒng)建設(shè)和工程監(jiān)理情況報告； （四）系統(tǒng)安全保密檢測評估報告； （五）系統(tǒng)安全保密組織機構(gòu)和管理制度情況； （六）其他有關(guān)材料。 第三十一條 涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時，其建設(shè)使用單位應(yīng)當(dāng)及時向負(fù)責(zé)審批的保密工作部門報告。保密工作部門應(yīng)當(dāng)根據(jù)實際情況，決定是否對其重新進行測評和審批。 第三十二條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》，加強涉密信息系統(tǒng)運行中的保密管理，定期進行風(fēng)險評估，消除泄密隱患和漏洞。 第三十三條 國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理，并做好以下工作： （一）指導(dǎo)、監(jiān)督和檢查分級保護工作的開展； （二）指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密，合理確定系統(tǒng)保護等級； （三）參與涉密信息系統(tǒng)分級保護方案論證，指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計； （四）依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理； （五）嚴(yán)格進行系統(tǒng)測評和審批工作，監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級保護管理制度和技術(shù)措施的落實情況； （六）加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評，對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評； （七）了解掌握各級各類涉密信息系統(tǒng)的管理使用情況，及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第五章 信息安全等級保護的密碼管理 第三十四條 國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等，確定密碼的等級保護準(zhǔn)則。 信息系統(tǒng)運營、使用單位采用密碼進行等級保護的，應(yīng)當(dāng)遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。 第三十五條 信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等，應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定。 第三十六條 信息系統(tǒng)運營、使用單位應(yīng)當(dāng)充分運用密碼技術(shù)對信息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的，應(yīng)報經(jīng)國家密碼管理局審批，密碼的設(shè)計、實施、使用、運行維護和日常管理等，應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機構(gòu)備案。 第三十七條 運用密碼技術(shù)對信息系統(tǒng)進行系統(tǒng)等級保護建設(shè)和整改的，必須采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進行安全保護，不得采用國外引進或者擅自研制的密碼產(chǎn)品；未經(jīng)批準(zhǔn)不得采用含有加密功能的進口信息技術(shù)產(chǎn)品。 第三十八條 信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認(rèn)可的測評機構(gòu)承擔(dān)，其他任何部門、單位和個人不得對密碼進行評測和監(jiān)控。 第三十九條 各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá)到密碼相關(guān)標(biāo)準(zhǔn)要求的，應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定進行處置。 第六章 法律責(zé)任 第四十條 第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定，有下列行為之一的，由公安機關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理，并及時反饋處理結(jié)果： （一）未按本辦法規(guī)定備案、審批的； （二）未按本辦法規(guī)定落實安全管理制度、措施的； （三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的； （四）未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的； （五）接到整改通知后，拒不整改的； （六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的； （七）未按本辦法規(guī)定如實提供有關(guān)文件和證明材料的； （八）違反保密管理規(guī)定的； （九）違反密碼管理規(guī)定的； （十）違反本辦法其他規(guī)定的。 違反前款規(guī)定，造成嚴(yán)重?fù)p害的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。 第四十一條 信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中，玩忽職守、濫用職權(quán)、徇私舞弊的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。 第七章 附則 第四十二條 已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級；新建信息系統(tǒng)在設(shè)計、規(guī)劃階段確定安全保護等級。 第四十三條 本辦法所稱“以上”包含本數(shù)（級）。 第四十四條 本辦法自發(fā)布之日起施行，《信息安全等級保護管理辦法（試行）》（公通字[2006]7號）同時廢止。 附件2： 信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南 （報批稿） 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會 前　言 本標(biāo)準(zhǔn)由公安部和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出。 本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口。 本標(biāo)準(zhǔn)起草單位： 本標(biāo)準(zhǔn)主要起草人： 引 言 依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院147號令）、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）、《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號）和《信息安全等級保護管理辦法》（公通字[2007]43號），制定本標(biāo)準(zhǔn)。 本標(biāo)準(zhǔn)是信息安全等級保護相關(guān)系列標(biāo)準(zhǔn)之一。 與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括： ——GB/T BBBBB-BBBB信息系統(tǒng)安全等級保護基本要求； ——GB/T CCCCC-CCCC信息系統(tǒng)安全等級保護實施指南； ——GB/T DDDDD-DDDD信息系統(tǒng)安全等級保護測評準(zhǔn)則。 本標(biāo)準(zhǔn)依據(jù)等級保護相關(guān)管理文件，從信息系統(tǒng)所承載的業(yè)務(wù)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要作用和業(yè)務(wù)對信息系統(tǒng)的依賴程度這兩方面，提出確定信息系統(tǒng)安全保護等級的方法。 信息系統(tǒng)安全等級保護定級指南 1 范圍 本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級保護的定級方法，適用于為信息系統(tǒng)安全等級保護的定級工作提供指導(dǎo)。 2 規(guī)范性引用文件 下列文件中的條款通過在本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否使用這些文件的最新版本。凡是不注明日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。 GB/T 5271.8 信息技術(shù) 詞匯 第8部分：安全 GB17859-1999 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 3 術(shù)語和定義 GB/T 5271.8和GB17859-1999確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。 3.1 等級保護對象 target of classified security 信息安全等級保護工作直接作用的具體的信息和信息系統(tǒng)。 3.2 客體object 受法律保護的、等級保護對象受到破壞時所侵害的社會關(guān)系，如國家安全、社會秩序、公共利益以及公民、法人或其他組織的合法權(quán)益。 3.3 客觀方面objective 對客體造成侵害的客觀外在表現(xiàn)，包括侵害方式和侵害結(jié)果等。 3.4 系統(tǒng)服務(wù) system service 信息系統(tǒng)為支撐其所承載業(yè)務(wù)而提供的程序化過程。 4 定級原理 4.1 信息系統(tǒng)安全保護等級 根據(jù)等級保護相關(guān)管理文件，信息系統(tǒng)的安全保護等級分為以下五級： 第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。 第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。 第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。 第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。 第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。 4.2 信息系統(tǒng)安全保護等級的定級要素 信息系統(tǒng)的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。 4.2.1 受侵害的客體 等級保護對象受到破壞時所侵害的客體包括以下三個方面： a) 公民、法人和其他組織的合法權(quán)益； b) 社會秩序、公共利益； c) 國家安全。 4.2.2 對客體的侵害程度 對客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現(xiàn)的，因此，對客體的侵害外在表現(xiàn)為對等級保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。 等級保護對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種： a) 造成一般損害； b) 造成嚴(yán)重?fù)p害； c) 造成特別嚴(yán)重?fù)p害。 4.3 定級要素與等級的關(guān)系 定級要素與信息系統(tǒng)安全保護等級的關(guān)系如表1所示。 表1 定級要素與安全保護等級的關(guān)系 受侵害的客體 對客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 5 定級方法 5.1 定級的一般流程 信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。 從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護等級稱業(yè)務(wù)信息安全保護等級。 從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護等級稱系統(tǒng)服務(wù)安全保護等級。 確定信息系統(tǒng)安全保護等級的一般流程如下： a) 確定作為定級對象的信息系統(tǒng)； b) 確定業(yè)務(wù)信息安全受到破壞時所侵害的客體； c) 根據(jù)不同的受侵害客體，從多個方面綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度； d) 依據(jù)表2，得到業(yè)務(wù)信息安全保護等級； e) 確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體； f) 根據(jù)不同的受侵害客體，從多個方面綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度； g) 依據(jù)表3，得到系統(tǒng)服務(wù)安全保護等級； h) 將業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較高者確定為定級對象的安全保護等級。 上述步驟如圖1確定等級一般流程所示。 圖1 確定等級一般流程 5.2 確定定級對象 一個單位內(nèi)運行的信息系統(tǒng)可能比較龐大，為了體現(xiàn)重要部分重點保護，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護原則，可將較大的信息系統(tǒng)劃分為若干個較小的、可能具有不同安全保護等級的定級對象。 作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征： a) 具有唯一確定的安全責(zé)任單位 作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。如果一個單位的某個下級單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運行維護等過程的全部安全責(zé)任，則這個下級單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個單位中的不同下級單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級單位共同所屬的單位。 b) 具有信息系統(tǒng)的基本要素 作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實體。應(yīng)避免將某個單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級對象。 c) 承載單一或相對獨立的業(yè)務(wù)應(yīng)用 定級對象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨立，且與其他業(yè)務(wù)應(yīng)用沒有數(shù)據(jù)交換，且獨享所有信息處理設(shè)備。定級對象承載“相對獨立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨立，同時與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。 5.3 確定受侵害的客體 定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。 侵害國家安全的事項包括以下方面： - 影響國家政權(quán)穩(wěn)固和國防實力； - 影響國家統(tǒng)一、民族團結(jié)和社會安定； - 影響國家對外活動中的政治、經(jīng)濟利益； - 影響國家重要的安全保衛(wèi)工作； - 影響國家經(jīng)濟競爭力和科技實力； - 其他影響國家安全的事項。 侵害社會秩序的事項包括以下方面： - 影響國家機關(guān)社會管理和公共服務(wù)的工作秩序； - 影響各種類型的經(jīng)濟活動秩序； - 影響各行業(yè)的科研、生產(chǎn)秩序； - 影響公眾在法律約束和道德規(guī)范下的正常生活秩序等； - 其他影響社會秩序的事項。 影響公共利益的事項包括以下方面： - 影響社會成員使用公共設(shè)施； - 影響社會成員獲取公開信息資源； - 影響社會成員接受公共服務(wù)等方面； - 其他影響公共利益的事項。 影響公民、法人和其他組織的合法權(quán)益是指由法律確認(rèn)的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益。 確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時，應(yīng)首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益。 各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)特點，分析各類信息和各類信息系統(tǒng)與國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的關(guān)系，從而確定本行業(yè)各類信息和各類信息系統(tǒng)受到破壞時所侵害的客體。 5.4 確定對客體的侵害程度 5.4.1 侵害的客觀方面 在客觀方面，對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害方式表現(xiàn)為對信息安全的破壞和對信息系統(tǒng)服務(wù)的破壞，其中信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。 信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果： - 影響行使工作職能； - 導(dǎo)致業(yè)務(wù)能力下降； - 引起法律糾紛； - 導(dǎo)致財產(chǎn)損失；- 造成社會不良影響； - 對其他組織和個人造成損失； - 其他影響。 5.4.2 綜合判定侵害程度 侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)，因此，應(yīng)首先根據(jù)不同的受侵害客體、不同危害后果分別確定其危害程度。對不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同，例如系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定，業(yè)務(wù)信息安全被破壞導(dǎo)致的財物損失可以從直接的資金損失大小、間接的信息恢復(fù)費用等方面進行確定。 在針對不同的受侵害客體進行侵害程度的判斷時，應(yīng)參照以下不同的判別基準(zhǔn)： - 如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判斷侵害程度的基準(zhǔn)； - 如果受侵害客體是社會秩序、公共利益或國家安全，則應(yīng)以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準(zhǔn)。 不同危害后果的三種危害程度描述如下： 一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。 嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴(yán)重?fù)p害。 特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴(yán)重?fù)p害。 信息安全和系統(tǒng)服務(wù)安全被破壞后對客體的侵害程度，由對不同危害結(jié)果的危害程度進行綜合評定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種類和系統(tǒng)服務(wù)特點各不相同，信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的危害結(jié)果、危害程度的計算方式均可能不同，各行業(yè)可根據(jù)本行業(yè)信息特點和系統(tǒng)服務(wù)特點，制定危害程度的綜合評定方法，并給出侵害不同客體造成一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害的具體定義。 5.5 確定定級對象的安全保護等級 根據(jù)業(yè)務(wù)信息安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表2業(yè)務(wù)信息安全保護等級矩陣表，即可得到業(yè)務(wù)信息安全保護等級。 表2 業(yè)務(wù)信息安全保護等級矩陣表 業(yè)務(wù)信息安全被破壞時所侵害的客體 對相應(yīng)客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 根據(jù)系統(tǒng)服務(wù)安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表2系統(tǒng)服務(wù)安全保護等級矩陣表，即可得到系統(tǒng)服務(wù)安全保護等級。 表3 系統(tǒng)服務(wù)安全保護等級矩陣表 系統(tǒng)服務(wù)安全被破壞時所侵害的客體 對相應(yīng)客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 作為定級對象的信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較高者決定。 6 等級變更 在信息系統(tǒng)的運行過程中，安全保護等級應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進行適當(dāng)?shù)淖兏绕涫钱?dāng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害客體和對客體的侵害程度有較大的變化，可能影響到系統(tǒng)的安全保護等級時，應(yīng)根據(jù)本標(biāo)準(zhǔn)第5章給出的定級方法重新定級。 附件3： 信息系統(tǒng)安全等級保護定級報告 一、XXX信息系統(tǒng)描述 簡述確定該系統(tǒng)為定級對象的理由。從三方面進行說明：一是描述承擔(dān)信息系統(tǒng)安全責(zé)任的相關(guān)單位或部門，說明本單位或部門對信息系統(tǒng)具有信息安全保護責(zé)任，該信息系統(tǒng)為本單位或部門的定級對象；二是該定級對象是否具有信息系統(tǒng)的基本要素，描述基本要素、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)邊界和邊界設(shè)備；三是該定級對象是否承載著單一或相對獨立的業(yè)務(wù)，業(yè)務(wù)情況描述。 二、XXX信息系統(tǒng)安全保護等級確定 （定級方法參見國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護定級指南》） （一）業(yè)務(wù)信息安全保護等級的確定 1、業(yè)務(wù)信息描述 描述信息系統(tǒng)處理的主要業(yè)務(wù)信息等。 2、業(yè)務(wù)信息受到破壞時所侵害客體的確定 說明信息受到破壞時侵害的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權(quán)益）中的哪些客體造成侵害。 3、信息受到破壞后對侵害客體的侵害程度的確定 說明信息受到破壞后，會對侵害客體造成什么程度的侵害，即說明是一般損害、嚴(yán)重?fù)p害還是特別嚴(yán)重?fù)p害。 4、業(yè)務(wù)信息安全等級的確定 依據(jù)信息受到破壞時所侵害的客體以及侵害程度，確定業(yè)務(wù)信息安全等級。 （二）系統(tǒng)服務(wù)安全保護等級的確定 1、系統(tǒng)服務(wù)描述 描述信息系統(tǒng)的服務(wù)范圍、服務(wù)對象等。 2、系統(tǒng)服務(wù)受到破壞時所侵害客體的確定 說明系統(tǒng)服務(wù)受到破壞時侵害的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權(quán)益）中的哪些客體造成侵害。 3、系統(tǒng)服務(wù)受到破壞后對侵害客體的侵害程度的確定 說明系統(tǒng)服務(wù)受到破壞后，會對侵害客體造成什么程度的侵害，即說明是一般損害、嚴(yán)重?fù)p害還是特別嚴(yán)重?fù)p害。 4、系統(tǒng)服務(wù)安全等級的確定 依據(jù)系統(tǒng)服務(wù)受到破壞時所侵害的客體以及侵害程度確定系統(tǒng)服務(wù)安全等級。 （三）安全保護等級的確定 信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定，最終確定XXX系統(tǒng)安全保護等級為第幾級。 信息系統(tǒng)名稱 安全保護等級 業(yè)務(wù)信息安全等級 系統(tǒng)服務(wù)安全等級 XXX信息系統(tǒng) X X X 附件4： 備案表編號： 信息系統(tǒng)安全等級保護 備案表 備 案 單 位： （蓋章） 備 案 日 期： 受理備案單位： （蓋章） 受 理 日 期： 中華人民共和國公安部監(jiān)制 填　表　說　明 一、 制表依據(jù)。根據(jù)《信息安全等級保護管理辦法》（公通字[2007]43號）之規(guī)定，制作本表； 二、 填表范圍。本表由第二級以上信息系統(tǒng)運營使用單位或主管部門（以下簡稱“備案單位”）填寫；本表由四張表單構(gòu)成，表一為單位信息，每個填表單位填寫一張；表二為信息系統(tǒng)基本信息，表三為信息系統(tǒng)定級信息，表二、表三每個信息系統(tǒng)填寫一張；表四為第三級以上信息系統(tǒng)需要同時提交的內(nèi)容，由每個第三級以上信息系統(tǒng)填寫一張，并在完成系統(tǒng)建設(shè)、整改、測評等工作，投入運行后三十日內(nèi)向受理備案公安機關(guān)提交；表二、表三、表四可以復(fù)印使用； 三、 保存方式。本表一式二份，一份由備案單位保存，一份由受理備案公安機關(guān)存檔； 四、 本表中有選擇的地方請在選項左側(cè)“0”劃“√”，如選擇“其他”，請在其后的橫線中注明詳細(xì)內(nèi)容； 五、 封面中備案表編號（由受理備案的公安機關(guān)填寫并校驗）：分兩部分共11位，第一部分6位，為受理備案公安機關(guān)代碼前六位（可參照行標(biāo)GA380-2002）。第二部分5位，為受理備案的公安機關(guān)給出的備案單位的順序編號； 六、 封面中備案單位：是指負(fù)責(zé)運營使用信息系統(tǒng)的法人單位全稱； 七、 封面中受理備案單位：是指受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門名稱。此項由受理備案的公安機關(guān)負(fù)責(zé)填寫并蓋章； 八、 表一04行政區(qū)劃代碼：是指備案單位所在的地(區(qū)、市、州、盟)行政區(qū)劃代碼； 九、 表一05單位負(fù)責(zé)人：是指主管本單位信息安全工作的領(lǐng)導(dǎo)； 十、 表一06責(zé)任部門：是指單位內(nèi)負(fù)責(zé)信息系統(tǒng)安全工作的部門； 十一、 表一08隸屬關(guān)系：是指信息系統(tǒng)運營使用單位與上級行政機構(gòu)的從屬關(guān)系，須按照單位隸屬關(guān)系代碼（GB/T12404―1997）填寫； 十二、 表二02系統(tǒng)編號：是由運營使用單位給出的本單位備案信息系統(tǒng)的編號； 十三、 表二05系統(tǒng)網(wǎng)絡(luò)平臺：是指系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)構(gòu)架情況； 十四、 表二07關(guān)鍵產(chǎn)品使用情況：國產(chǎn)品是指系統(tǒng)中該類產(chǎn)品的研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股，在中華人民共和國境內(nèi)具有獨立的法人資格，產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)； 十五、 表二08系統(tǒng)采用服務(wù)情況：國內(nèi)服務(wù)商是指服務(wù)機構(gòu)在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外），由中國公民、法人或國家投資的企事業(yè)單位； 十六、 表三01、02、03項：填寫上述三項內(nèi)容，確定信息系統(tǒng)安全保護等級時可參考《信息系統(tǒng)安全等級保護定級指南》，信息系統(tǒng)安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定。01、02項中每一個確定的級別所對應(yīng)的損害客體及損害程度可多選； 十七、 表三06主管部門：是指對備案單位信息系統(tǒng)負(fù)領(lǐng)導(dǎo)責(zé)任的行政或業(yè)務(wù)主管單位或部門。部級單位此項可不填； 十八、 解釋：本表由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局監(jiān)制并負(fù)責(zé)解釋，未經(jīng)允許，任何單位和個人不得對本表進行改動。 表一 單位基本情況 01 單位名稱 02 單位地址 省(自治區(qū)、直轄市) 地(區(qū)、市、州、盟) 縣(區(qū)、市、旗) 03 郵政編碼 04 行政區(qū)劃代碼 05 單位負(fù)責(zé)人 姓 名 職務(wù)/職稱 辦公電話 電子郵件 06 責(zé)任部門 07 責(zé)任部門聯(lián)系人 姓 名 職務(wù)/職稱 辦公電話 電子郵件 移動電話 08 隸屬關(guān)系 01中央 02省(自治區(qū)、直轄市) 03地(區(qū)、市、州、盟)04縣（區(qū)、市、旗） 09其他 09 單位類型 01黨委機關(guān) 02政府機關(guān) 03事業(yè)單位 04企業(yè) 09其他 10 行業(yè)類別 011電信 012廣電 013經(jīng)營性公眾互聯(lián)網(wǎng)021鐵路 022銀行 023海關(guān) 024稅務(wù) 025民航 026電力 027證券 028保險031國防科技工業(yè) 032公安 033人事勞動和社會保障 034財政035審計 036商業(yè)貿(mào)易 037國土資源 038能源039交通 040統(tǒng)計 041工商行政管理 042郵政043教育 044文化 045衛(wèi)生 046農(nóng)業(yè) 047水利 048外交 049發(fā)展改革 050科技 051宣傳 052質(zhì)量監(jiān)督檢驗檢疫099其他 11 信息系統(tǒng)總數(shù) 個 12 第二級信息系統(tǒng)數(shù) 個 13 第三級信息系統(tǒng)數(shù) 個 14 第四級信息系統(tǒng)數(shù) 個 15 第五級信息系統(tǒng)數(shù) 個 表二（ / ）信息系統(tǒng)情況 01 系統(tǒng)名稱 02 系統(tǒng)編號 03 統(tǒng)承載業(yè)務(wù)情況 業(yè)務(wù)類型 01生產(chǎn)作業(yè) 02指揮調(diào)度 03管理控制 04內(nèi)部辦公 05公眾服務(wù) 09其他 業(yè)務(wù)描述 04 系統(tǒng)服務(wù)情況 服務(wù)范圍 010全國 011跨省（區(qū)、市） 跨 個 020全省（區(qū)、市） 021跨地（市、區(qū)） 跨 個030地（市、區(qū)）內(nèi) 099其它 服務(wù)對象 01單位內(nèi)部人員 02社會公眾人員 03兩者均包括 09其他 05 系統(tǒng)網(wǎng)絡(luò)平臺 覆蓋范圍 01局域網(wǎng) 02城域網(wǎng) 03廣域網(wǎng) 09其他 網(wǎng)絡(luò)性質(zhì) 01業(yè)務(wù)專網(wǎng) 02互聯(lián)網(wǎng) 09其它 06 系統(tǒng)互聯(lián)情況 01與其他行業(yè)系統(tǒng)連接 02與本行業(yè)其他單位系統(tǒng)連接03與本單位其他系統(tǒng)連接 09其它 07 關(guān)鍵產(chǎn)品使用情況 序號 產(chǎn)品類型 數(shù)量 使用國產(chǎn)品率 全部使用 全部未使用 部分使用及使用率 1 安全專用產(chǎn)品 0 0 0 % 2 網(wǎng)絡(luò)產(chǎn)品 0 0 0 % 3 操作系統(tǒng) 0 0 0 % 4 數(shù)據(jù)庫 0 0 0 % 5 服務(wù)器 0 0 0 % 6 其他 0 0 0 % 08 系統(tǒng)采用服務(wù)情況 序號 服務(wù)類型 服務(wù)責(zé)任方類型 本行業(yè)（單位） 國內(nèi)其他服務(wù)商 國外服務(wù)商 1 等級測評 0有0無 0 0 0 2 風(fēng)險評估 0有0無 0 0 0 3 災(zāi)難恢復(fù) 0有0無 0 0 0 4 應(yīng)急響應(yīng) 0有0無 0 0 0 5 系統(tǒng)集成 0有0無 0 0 0 6 安全咨詢 0有0無 0 0 0 7 安全培訓(xùn) 0有0無 0 0 0 8 其它 0 0 0 09 等級測評單位名稱 10 何時投入運行使用 年 月 日 11 系統(tǒng)是否是分系統(tǒng) 0是 0否（如選擇是請?zhí)钕聝身棧? 12 上級系統(tǒng)名稱 13 上級系統(tǒng)所屬單位名稱 表三（ / ）信息系統(tǒng)定級情況 01 確定業(yè)務(wù)信息安全保護等級 損害客體及損害程度 級別 0僅對公民、法人和其他組織的合法權(quán)益造成損害 0第一級 0對公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害0對社會秩序和公共利益造成損害 0第二級 0對社會秩序和公共利益造成嚴(yán)重?fù)p害0對國家安全造成損害 0第三級 0對社會秩序和公共利益造成特別嚴(yán)重?fù)p害0對國家安全造成嚴(yán)重?fù)p害 0第四級 0對國家安全造成特別嚴(yán)重?fù)p害 0第五級 02 確定系統(tǒng)服務(wù)安全保護等級 0僅對公民、法人和其他組織的合法權(quán)益造成損害 0第一級 0對公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害0對社會秩序和公共利益造成損害 0第二級 0對社會秩序和公共利益造成嚴(yán)重?fù)p害0對國家安全造成損害 0第三級 0對社會秩序和公共利益造成特別嚴(yán)重?fù)p害0對國家安全造成嚴(yán)重?fù)p害 0第四級 0對國家安全造成特別嚴(yán)重?fù)p害 0第五級 03 信息系統(tǒng)安全保護等級 0第一級 0第二級 0第三級 0第四級 0第五級 04 定級時間 年 月 日 05 專家評審情況 0已評審 0未評審 06 是否有主管部門 0有 0無（如選擇有請?zhí)钕聝身棧? 07 主管部門名稱 08 主管部門審批定級情況 0已審批 0未審批 09 系統(tǒng)定級報告 0有 0無 附件名稱 填表人： 填表日期： 年 月 日 備案審核民警： 審核日期： 年 月 日 表四（ / ）第三級以上信息系統(tǒng)提交材料情況 01 系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明 0有 0無 附件名稱 02 系統(tǒng)安全組織機構(gòu)及管理制度 0有 0無 附件名稱 03 系統(tǒng)安全保護設(shè)施設(shè)計實施方案或改建實施方案 0有 0無 附件名稱 04 系統(tǒng)使用的安全產(chǎn)品清單及認(rèn)證、銷售許可證明 0有 0無 附件名稱 05 系統(tǒng)等級測評報告 0有 0無 附件名稱 06 專家評審情況 0有 0無 附件名稱 07 上級主管部門審批意見 0有 0無 附件名稱 附件5： 單位名稱 涉密信息系統(tǒng)名稱 系統(tǒng)密級（保護等級） □ 秘密 □ 機密 □ 絕密 系統(tǒng)聯(lián)接范圍 □局域網(wǎng) □城域網(wǎng) □廣域網(wǎng)（跨 個省或地） 系統(tǒng)安全域劃分和安全域密級確定 □未劃分安全域□劃分安全域（共有 個，其中絕密級 個， 機密級 個，秘密級 個，內(nèi)部級 個）系統(tǒng)主要承建單位 系統(tǒng)投入使用時間 系統(tǒng)運行管理部門 系統(tǒng)安全保密管理部門 系統(tǒng)分級保護實施情況 □已經(jīng)實施 □正在實施 □計劃 年實施 涉及國家秘密的信息系統(tǒng)分級保護備案表 填報日期： 年 月 日 填報單位：（蓋章） 填表說明： 1．“系統(tǒng)密級”依據(jù)《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》和國家保密標(biāo)準(zhǔn)BMB17-2006確定。 2．涉密信息系統(tǒng)一般應(yīng)劃分安全域，同一系統(tǒng)內(nèi)的不同安全域根據(jù)所處理信息的重要程度，可分別確定密級。 3．表中“□”項，確認(rèn)劃“√”。 4．填報多個涉密信息系統(tǒng)，可復(fù)印此表。 國家保密局制