信息安全等级保护管理办法培训教材

信息安全等级保护培训教材（第二版）公安部二00七年八月、八 前言当前，我国信息安全面临的形势仍然十分严峻，维护国家信息安全的任务非常艰巨、繁重。随着我国经济的持续发 展和国际地位的不断提高，我国的基础信息网络和重要信息 系统面临的安全威胁和安全隐患比较严重，计算机病毒传播 和网络非法入侵十分猖獗，网络违法犯罪持续大幅上升，犯 罪分子利用一些安全漏洞，使用黑客病毒技术、网络钓鱼技 术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络 赌博等违法犯罪， 给用户造成严重损失。 特别是 “科技奥运” 和“数字奥运”是 2008 年北京奥运会的一大亮点，网络与 信息安全已经成为事关北京奥运安全的重大问题之一。党中央、国务院高度重视信息安全工作，中共中央办公 厅转发的国家网络与信息安全协调小组关于确保党的十七 大信息安全的意见 ， 要求公安部会同有关部门，抓紧开展 并完成重要信息系统安全等级保护定级工作，确保国家重要 信息系统的信息网络安全，为党的十七大的胜利召开创造良 好的信息网络环境。信息安全等级保护制度是国家信息安全2007 年保障工作的基本制度。开展信息安全等级保护工作不仅是加 强国家信息安全保障工作的重要内容，也是一项事关国家安 全、社会稳定、党的十七大胜利召开和北京奥运会成功举办 的政治任务。 为了加快推进信息安全等级保护工作，6 月 22 日，公安部与国家保密局、密码管理局、国务院信息 办联合会签并印发了信息安全等级保护管理办法 （公通 字200743 号），7月 16 日四部委联合会签并下发了关于 开展全国重要信息系统安全等级保护定级工作的通知 （公 信安2007861 号），7 月 20 日四部委联合组织召开了“全 国重要信息系统安全等级保护定级工作电视电话会议” 。为 保证信息系统运营使用单位、主管部门能够及时、扎实地开 展重要信息系统安全等级保护定级工作（以下简称“定级工 作”），配合公安、保密、密码部门履行职责，监督、检查、 指导定级工作，结合近年来公安机关牵头组织开展信息安全 等级保护工作的基础调查、试点等工作经验，我们编写了这 本培训教材，供有关部门在开展信息安全等级保护工作中参 考、借鉴。57目录一、信息安全等级保护工作概述（一）开展信息安全等级保护工作的政策和法律依据（二）近几年来公安部牵头实施信息安全等级保护制度，开展了 哪些具体工作（三）我国信息信息网络安全面临的严峻形势（四）实行信息安全等级保护制度能够解决哪些主要问题（五）信息安全等级保护工作的主要流程包括哪些（六）开展等级保护工作的总体要求二、明确各方责任义务三、信息系统安全保护等级的划分与保护（一）坚持“自主定级、自主保护”与国家监管相统一原则（二）信息系统安全保护等级（三）信息系统安全保护等级的定级要素（四）五级保护和监管四、信息系统安全保护等级的确定（一）定级范围（二）定级工作步骤五、备案和备案审核（一）备案（二）备案审核六、信息系统安全建设整改、等级测评信息系统安全建设整改（二）有关技术标准和管理标准的简要说明（三）信息安全产品分等级使用管理（四）等级测评和自查七、监督检查（一）监督检查的主要内容（二）监督检查方式（三）信息系统运营使用单位的配合八、对违反有关等级保护规定的处罚（一）违规行为（二）处罚方式附件： 1、国家信息安全等级保护工作协调小组2、国家信息安全保护等级专家评审委员会人员名单3 、信息系统安全等级保护备案表4 、信息系统安全等级保护定级报告模版信息安全等级保护培训教材一、信息安全等级保护工作概述（一）开展信息安全等级保护工作的政策和法律依据 1、1994 年，中华人民共和国计算机信息系统安全保护 条例 （国务院 147 号令）规定， “ 计算机信息系统实行安 全等级保护，安全等级的划分标准和安全等级保护的具体办 法，由公安部会同有关部门制定 ”。该条明确了三个内容： 一是确立了等级保护是计算机信息系统安全保护的一项制 度；二是出台配套的规章和技术标准；三是明确了公安部的 牵头地位。2、1995 年 2 月 18 日人大 12 次会议通过并实施的中 华人民共和国警察法第二章第六条第十二款规定，公安机 关人民警察依法履行“监督管理计算机信息系统的安全保护 工作”。3 、2003 年，国家信息化领导小组关于加强信息安全保 障工作的意见 （中办发 200327 号）明确指出“实行信息 安全等级保护” 。“要重点保护基础信息网络和关系国家安 全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立 信息安全等级保护制度，制定信息安全等级保护的管理办法 和技术指南” 。标志着等级保护从计算机信息系统安全保护 的一项制度提升到国家信息安全保障一项基本制度 。同时 中央 27 号文明确了各级党委和政府在信息安全保障工作中 的领导地位，以及“谁主管谁负责，谁运营谁负责”的信息 安全保障责任制。（二）近几年来公安部牵头实施信息安全等级保护制度， 开展了哪些具体工作按照中华人民共和国计算机信息系统安全保护条例 （国务院 147 号令）规定和国家信息化领导小组关于加强 信息安全保障工作的意见 （中办发 200327 号）文件精神， 公安部会同国家保密局、国家密码管理局和国务院信息办开 展了如下工作。1、出台了等级保护规范标准。 2004 年 9 月联合出台了 关 于 信息 安 全 等级 保 护工 作 的实 施 意 见（ 公 通字 200466 号），2007 年 6 月联合出台了信息安全等级保护 管理办法（公通字 200743 号，以下简称管理办法 ）， 明确了信息安全等级保护制度的基本内容、流程及工作要 求，明确了信息系统运营使用单位和主管部门、监管部门在 信息安全等级保护工作中的职责、任务，为开展信息安全等 级保护工作提供了规范保障。制定了包括计算机信息系统 安全保护等级划分准则（GB17859-1999）、信息系统安全等级保护定级指南 、信息系统安全等级保护基本要求 、信息系统安全等级保护实施指南 、信息系统安全等级保 护测评要求等 50 多个国标和行标，初步形成了信息安全等级保护标准体系。2、开展了等级保护基础调查工作。 2005 年底，公安部 和国务院信息化工作办公室联合印发了关于开展信息系统 安全等级保护基础调查工作的通知 （公信安 20051431 号）。 2006 年上半年，公安部会同国信办在全国范围内开展 了信息系统安全等级保护基础调查。调查对象共计 65117 家 单位，涉及 115319 个信息系统。通过基础调查，基本摸清 和掌握了全国信息系统特别是重要信息系统的基本情况，为 制定信息安全等级保护政策奠定了坚实的基础。3、开展了等级保护试点工作。 2006 年 6 月，公安部、 国家保密局、 国家密码管理局、 国务院信息办联合下发了 关 于 开 展 信息 安 全 等级 保 护试 点 工作 的 通 知（ 公 信安 2006573 号）。在 13 个省区市和 3 个部委联合开展了信息 安全等级保护试点工作。通过试点，完善了开展等级保护工 作的模式和思路，检验和完善了开展等级保护工作的方法、 思路、规范标准，探索了开展等级保护工作领导、组织、协 调的模式和办法，为全面开展等级保护工作奠定了坚实的基 础。4、部署开展定级工作。 2007 年 7 月 20 日，公安部、国 家保密局、国家密码管理局、国务院信息办在北京联合召开 了“全国重要信息系统安全等级保护定级工作电视电话会 议”，部署在全国范围内开展重要信息系统安全等级保护定 级工作。国家信息安全等级保护协调小组组长、公安部副部 长张新枫同志和国务院信息化工作办公室副主任、国家网络 与信息安全协调小组办公室主任杨学山同志作了重要讲话。 国家信息安全职能部门、基础信息网络和重要信息系统主管 部门、各省（区、市）公安厅（局） 、保密局、国家密码管 理局、信息化领导小组办公室和有关行业、部门的负责同志 出席了会议。为加强信息安全等级保护工作的领导，公安部、国家保 密局、国家密码管理局联合成立了由公安部张新枫副部长任 组长的“国家信息安全等级保护协调小组” （见附件），办公 室设在公安部公共信息网络安全监察局。（三）我国信息信息网络安全面临的严峻形势 随着我国国民经济和社会发展信息化进程的全面加快， 我国信息化的程度越来越高，关系国计民生的重要领域信息 系统已经成为国家的关键基础设施。这些基础信息网络和重 要信息系统安全，已经严重关系国家安全和社会稳定，关系 广大人民群众切身利益。当前，我国基础信息网络和重要信 息系统安全面临的形势十分严峻，既有外部威胁，又有自身 脆弱性和薄弱环节，维护国家信息安全的任务十分艰巨、繁 重。随着我国国民经济和社会发展信息化进程的全面加快， 我国信息化的程度越来越高，关系国计民生的重要领域信息 系统已经成为国家的关键基础设施。这些基础信息网络和重 要信息系统安全，已经严重关系国家安全和社会稳定，关系 广大人民群众切身利益。当前，我国基础信息网络和重要信 息系统安全面临的形势十分严峻，既有外部威胁，又有自身 脆弱性和薄弱环节，维护国家信息安全的任务十分艰巨、繁 重。一是针对基础信息网络和重要信息系统的违法犯罪持续 上升。 不法分子利用一些安全漏洞，使用病毒、木马、网络 钓鱼等技术进行网络盗窃、 网络诈骗、 网络赌博等违法犯罪， 对我国的经济秩序、社会管理秩序和公民的合法权益造成严 重侵害。 二是基础信息网络和重要信息系统安全隐患严重。 由于各基础信息网络和重要信息系统的核心设备、技术和高 端服务主要依赖国外进口，在操作系统、专用芯片和大型应 用软件等方面不能自主可控，给我国的信息安全带来了深层 的技术隐患。 三是我国的信息安全保障工作基础还很薄弱。 信息安全意识和安全防范能力薄弱，信息系统安全建设、监 管缺乏依据和标准，安全保护措施和安全制度不落实，监管 措施不到位。 特别需要指出的是， “科技奥运”和“数字奥 运”是 2008 年北京奥运会的一大亮点。北京奥组委日常工 作、赛事活动、宣传报道及票务等工作大多在网上进行，网 络与信息安全已经成为事关北京奥运安全的重大问题之一。 同时，为北京奥运会提供保障服务的电信、广电、电力、铁 路、民航、银行等基础信息网络与信息系统的安全稳定运行 也是确保奥运会顺利召开的重要保障，我国的网络安全将面临又一次严峻考验面对当前信息安全面临的复杂、严峻形势，基础信息网 络和重要信息系统一旦出现大的信息安全问题，不仅仅影响 本单位、本行业，而是直接威胁国家安全、社会稳定、经济 发展，影响党的“十七大”和北京奥运会的胜利召开。胡锦 涛总书记等中央领导同志对信息安全工作始终高度重视，先 后多次作出重要指示。胡锦涛总书记明确指出， 当前，国际 上围绕信息获取、利用、控制的斗争日趋激烈，维护国家在 网络空间的安全和利益成为信息时代的重大战略课题。 要求 我们必须敏锐地把握当今世界信息化发展的趋势，积极推进 国民经济和社会信息化，确保我国在日趋激烈的国际竞争中 掌握主动权。（四）实行信息安全等级保护制度能够解决哪些主要问题信息安全等级保护是国家信息安全保障工作的 基本制 度、基本策略 、基本方法 。开展信息安全等级保护工作不仅 是实现国家对重要信息系统重点保护的重大措施，也是一项 事关国家安全、社会稳定、党的“十七大”胜利召开和北京 奥运会成功举办的政治任务。通过开展信息安全等级保护工 作，可以有效解决我国信息安全面临的威胁和存在的主要问 题，充分体现“适度安全、保护重点”的目的，将有限的财 力、物力、人力投入到重要信息系统安全保护中，按标准建 设安全保护措施，建立安全保护制度，落实安全责任，有效 保护基础信息网络和关系国家安全、经济命脉、社会稳定的 重要信息系统的安全，有效提高我国信息安全保障工作的整 体水平。信息安全等级保护是当今发达国家保护关键信息基础 设施，保障信息安全的通行做法，也是我国多年来信息安全 工作经验的总结。实施信息安全等级保护， 有利于 在信息化 建设过程中同步建设信息安全设施，保障信息安全与信息化 建设相协调； 有利于 为信息系统安全建设和管理提供系统 性、针对性、可行性的指导和服务； 有利于 优化信息安全资 源的配臵，对信息系统分级实施保护，重点保障基础信息网 络和关系国家安全、经济命脉、社会稳定等方面的重要信息 系统的安全； 有利于 明确国家、法人和其他组织、公民的信 息安全责任，加强信息安全管理； 有利于 推动信息安全产业 的发展，逐步探索出一条适应社会主义市场经济发展的信息 安全模式。各地区、各行业、各部门要认真学习、深刻领会 中央领导同志的重要指示精神，充分认识当前信息安全保障 工作面临形势的严峻性， 切实增强责任感、 使命感、 紧迫感， 加强领导，落实责任，分工负责，密切配合，扎实工作，切 实把信息安全等级保护工作抓紧、抓实、抓好。（五）信息安全等级保护工作的主要流程包括哪些 等级保护的主要流程包括六项内容：一是自主定级与审 批。信息系统运营使用单位按照等级保护管理办法和定级指 南，自主确定信息系统的安全保护等级。 有上级主管部门的， 应当经上级主管部门审批。跨省或全国统一联网运行的信息 系统可以由其主管部门统一确定安全保护等级。 二是评审。 在信息系统确定安全保护等级过程中，可以组织专家进行评 审。对拟确定为第四级以上信息系统的，运营使用单位或主 管部门应当邀请国家信息安全保护等级专家评审委员会评 审。 三是备案。 第二级以上信息系统定级单位到所在地所在 地设区的市级以上公安机关办理备案手续。 四是系统安全建 设。 信息系统安全保护等级确定后，运营使用单位按照管理 规范和技术标准，选择管理办法要求的信息安全产品，建设 符合等级要求的信息安全设施，建立安全组织，制定并落实 安全管理制度。 五是等级测评。 信息系统建设完成后，运营 使用单位选择符合管理办法要求的检测机构，对信息系统安 全等级状况开展等级测评。 六是监督检查。 公安机关依据信 息安全等级保护管理规范，监督检查运营使用单位开展等级 保护工作，定期对第三级以上的信息系统进行安全检查。运 营使用单位应当接受公安机关的安全监督、检查、指导，如 实向公安机关提供有关材料。（六）开展等级保护工作的总体要求 各基础信息网络和重要信息系统，按照 “准确定级、严 格审批、及时备案、认真整改、科学测评” 的要求完成等级 保护的定级、备案、整改、测评等工作。公安机关和保密、 密码工作部门要及时开展监督检查，严格审查信息系统所定 级别，严格检查信息系统开展备案、整改、测评等工作。对 故意将信息系统安全级别定低，逃避公安、保密、密码部门 监管，造成信息系统出现重大安全事故的，要追究单位和人 员的责任。二、明确各方责任义务管理办法中第二条至第五条明确了国家、信息安全 监管部门、信息系统主管部门、信息系统运营使用单位的责 任义务。（一）第二条明确了 国家的责任 ：国家通过制定统一的 信息安全等级保护管理规范和技术标准，组织公民、法人和 其他组织对信息系统分等级实行安全保护，对等级保护工作 的实施进行监督、管理。（二）第三条明确了信息安全监管部门的职责： 信息安 全监管部门 （包括公安机关、 保密部门、 国家密码工作部门） 组织制定等级保护管理规范和技术标准，组织公民、法人和 其他组织对信息系统实行分等级安全保护，对等级保护工作 的实施进行监督、管理。公安机关负责信息安全等级保护工 作的监督、检查、指导。国家保密工作部门负责等级保护工 作中有关保密工作的监督、检查、指导。国家密码管理部门 负责等级保护工作中有关密码工作的监督、检查、指导。涉 及其他职能部门管辖范围的事项，由有关职能部门依照国家 法律法规的规定进行管理。国务院信息化工作办公室及地方 信息化领导小组办事机构负责等级保护工作的部门间协调。在信息安全等级保护工作中，坚持“分工负责、密切配 合”的原则。公安机关牵头，负责全面工作的监督、检查、 指导，国家保密工作部门、国家密码管理部门配合，国务院 信息化工作办公室及地方信息化领导小组办事机构协调；涉 及国家秘密的信息系统，主要由国家保密工作部门负责，其 他部门参与、配合。因为涉及国家秘密信息系统中也会发生 信息安全问题和密码问题；非涉及国家秘密的信息系统，主 要由公安机关负责，其他部门参与、配合。因为非涉及国家 秘密信息系统中也会发生保密问题和密码问题。一方为主负 责某一领域工作， 其他相关部门参与、 配合。 需要强调的是， 涉及工作秘密的信息系统不属于涉密信息系统，不能将涉密 信息系统扩大化。 当信息系统难以认定是否属于涉密信息系 统时，可以由信息系统运营使用单位、公安机关、国家保密 工作部门共同认定。（三）第四条明确了信息系统主管部门的责任义务： 信 息系统主管部门 依照信息安全等级保护管理办法及相关 标准规范，督促、检查、指导本行业、本部门或者本地区信 息系统运营、使用单位的信息安全等级保护工作。（四）第五条明确了运营使用单位的责任义务： 信息系 统运营使用单位 按照国家有关等级保护的管理规范和技术 标准开展等级保护工作，建设安全设施、建立安全制度、落 实安全责任，接受公安机关、保密部门、国家密码工作部门 对信息安全等级保护工作的监督、 指导，保障信息系统安全。（五）公民、法人和其他组织应当按照国家有关等级保 护的管理规范和技术标准开展等级保护工作，服从国家对信 息安全等级保护工作的监督、指导，保障信息系统安全。 信 息安全产品的研制、 生产单位， 信息系统的集成、 等级测评、 风险评估等安全服务机构， 依据国家有关管理规定和技术标 准，开展技术服务、技术支持等工作，并接受信息安全监管 部门的监督管理。三、信息系统安全保护等级的划分与保护（一）坚持“自主定级、自主保护”与国家监管相统一 原则管理办法第六条规定，国家信息安全等级保护工作 坚持“自主定级、自主保护”的原则，但“自主定级”是在 公安机关指导下的定级。各信息系统运营使用单位和主管部 门是信息安全等级保护的责任主体，根据所属信息系统的重 要程度和遭到破坏后的危害程度，自主确定信息系统的安全 保护等级。同时，按照所定等级，依照相应等级的管理规范 和技术标准，建设信息安全保护设施，建立安全制度，落实 安全责任，自主对信息系统进行保护。在等级保护工作，信息系统运营使用单位和主管部门按 照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接 受信息安全监管部门对开展等级保护工作的监管。运营使用 单位和主管部门是信息系统安全的第一责任人，对所属信息 系统安全负有直接责任；公安、保密、密码部门对运营使用 单位和主管部门开展等级保护工作进行监督、检查、指导， 对重要信息系统安全负监管责任。由于重要信息系统的安全 运行不仅影响本行业、本单位的生产和工作秩序，也会影响 国家安全、社会稳定、公共利益，因此，国家必然要对重要 信息系统的安全进行监管。（二）信息系统安全保护等级管理办法第六条、第七条规定，信息系统的安全保 护等级应当根据信息系统在国家安全、经济建设、社会生活 中的重要程度，遭到破坏后对国家安全、社会秩序、公共利 益以及公民、法人和其他组织的合法权益的危害程度等因素 确定。信息系统的安全保护等级分为五级。（三）信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保 护对象受到破坏时所侵害的客体和对客体造成侵害的程度。1、受侵害的客体。等级保护对象受到破坏时所侵害的 客体包括以下三个方面：一是公民、法人和其他组织的合法 权益；二是社会秩序、公共利益；三是国家安全。2、对客体的侵害程度。对客体的侵害程度由客观方面 的不同外在表现综合决定。由于对客体的侵害是通过对等级 保护对象的破坏实现的，因此，对客体的侵害外在表现为对 等级保护对象的破坏，通过危害方式、危害后果和危害程度 加以描述。等级保护对象受到破坏后对客体造成侵害的程度 为三种：一是造成一般损害；二是造成严重损害；三是造成 特别严重损害。（四）五级保护和监管管理办法第八条规定，信息系统运营、使用单位依 据本办法和相关技术标准对信息系统进行保护，国家有关信 息安全监管部门对其信息安全等级保护工作进行监督管理。定级要素与信息系统安全保护等级的关系如表1所示表1定级要素与安全保护等级的关系等级对象侵害客体侵害程度监管强度第一级般系 统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系 统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查四、信息系统安全保护等级的确定管理办法第十条规定，信息系统运营、使用单位应 当依据本办法和信息系统安全等级保护定级指南确定信 息系统的安全保护等级。有主管部门的，应当经主管部门审 核批准。跨省或者全国统一联网运行的信息系统可以由主管 部门统一确定安全保护等级。对拟确定为第四级以上信息系 统的，运营、使用单位或者主管部门应当请国家信息安全保 护等级专家评审委员会评审。公安部、国家保密局、国家密码管理局、国务院信息化 工作办公室联合下发关于开展全国重要信息系统安全等级 保护定级工作的通知 （公信安 2007861 号），定于 2007 年 7 月至 10 月在全国范围内组织开展重要信息系统安全等级保 护定级工作（以下简称“定级工作” ）。电信、广电、铁路、 银行、海关、税务、民航、电力、证券、保险等重要领域的 基础信息网络和重要信息系统的定级工作于 9 月底前完成， 其他行业、部门的基础信息网络和重要信息系统的定级工作 于 10 底前完成。（一）定级范围1、电信、广电行业的公用通信网、广播电视传输网等 基础信息网络，经营性公众互联网信息服务单位、互联网接 入服务单位、数据中心等单位的重要信息系统。2、铁路、银行、海关、税务、民航、电力、证券、保 险、外交、科技、发展改革、国防科技、公安、人事劳动和 社会保障、财政、审计、商务、水利、国土资源、能源、交 通、文化、教育、统计、工商行政管理、邮政等行业、部门 的生产、调度、管理、办公等重要信息系统。3、市（地）级以上党政机关的重要网站和办公信息系 统。4、涉及国家秘密的信息系统 （以下简称涉密信息系统）（二）定级工作步骤 定级是等级保护工作的首要环节，是开展信息系统建 设、整改、测评、备案、监督检查等后续工作的重要基础。 信息系统安全级别定不准，系统建设、整改、备案、等级测 评等后续工作都失去了针对性。 需要特别说明的是： 信息系 统的安全保护等级是信息系统的客观属性，不以已采取或将 采取什么安全保护措施为依据，也不以风险评估为依据，而 是以信息系统的重要性和信息系统遭到破坏后对国家安全、 社会稳定、人民群众合法权益的危害程度为依据，确定信息 系统的安全等级。即从国家、人民群众的根本利益出发，考 虑了信息系统受到损害后的最大风险。因此，各部门、各单 位要高度重视定级工作，切实加强对定级工作的组织领导， 科学、准确地确定信息系统等级。信息系统运营使用单位在 定级时，公安网监部门可以对信息系统运营使用单位在定级 工作中给予指导和帮助，保障信息系统运营使用单位科学、 合理地确定定级对象和准确定级。定级工作可以参照以下几个步骤进行：第一步：摸底调查，掌握信息系统底数 按照定级工作通知确定的定级范围，各部委和各省 （区、市）可以组织开展对所属信息系统进行摸底调查，摸 清信息系统底数；掌握信息系统（包括信息网络）的业务类 型、应用或服务范围、系统结构等基本情况。各部委和各省 （区、市）要加强对等级保护工作的组织领导，明确责任部 门，可以成立信息安全等级保护工作领导小组（以下简称领 导小组），并下设等级保护工作办公室。信息系统运营使用 单位成立等级保护工作组。相关部门工作职责： 领导小组办公室组织信息系统运营 使用单位开展摸底调查工作，汇总信息系统摸底调查情况， 报领导小组。等级保护工作组对本单位的信息系统开展摸底 调查，并上报领导小组办公室。第二步：确定定级对象在信息系统安全等级保护定级工作（以下简称“定级工 作”）中，如何科学、合理地确定定级对象是最关键、最复 杂的问题。信息系统运营使用单位或主管部门按如下原则确 定定级对象： 一是 应用系统应按照不同业务类别单独确定为 定级对象，不以系统是否进行数据交换、是否独享设备为确 定定级对象条件。起传输作用的基础网络要作为单独的定级 对象。 二是 确认负责定级的单位是否对所定级系统具有安全 管理责任。 三是 具有信息系统的基本要素。作为定级对象的 信息系统应该是由相关的和配套的设备、设施按照一定的应 用目标和规则组合而成的有形实体。应避免将某个单一的系 统组件（如服务器、终端、网络设备等）作为定级对象。例如，奥运网络主要包括， “奥组委办公外网” （承载自 动化办公、场馆管理、电子邮件、物流、员工之家等16项业务）、“奥组委内部办公局域网” （承载着财务管理、人事管 理等 3项业务）、“奥运票务网” （票务网站和票务管理系统） 、 “奥运官方网站” （门户网站和后台数据处理系统） 、“奥运 互联网接入” 等五个奥运网络和信息系统。确定 奥组委办公 外网、奥组委内部办公局域网、票务网站、票务管理系统和 奥运官方网站 为定级对象。相关部门工作职责： 等级保护工作组按照确定定级对象 的原则确定本部门的定级对象，并上报领导小组办公室。专 家组可以在确定定级对象过程中提供咨询指导。公安机关指 导等级保护工作组确定定级对象。第三步：初步确定信息系统等级 信息系统的安全保护等级是信息系统的客观属性，不以 已采取或将采取什么安全保护措施为依据，而是以信息系统 的重要性和信息系统遭到破坏后对国家安全、社会稳定、人 民群众合法权益的危害程度为依据，确定信息系统的安全保 护等级。 既要防止个别单位片面追求绝对安全而定级过高，也要防止为了逃避监管定级偏低。信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身 的安全需求确定适当的保护等级，不以在其上运行的信息系 统的最高等级或最低等级为标准，即不就高、不就低。跨省或者全国统一联网运行的信息系统，可以由主管部 门统一确定安全保护等级。由各行业统一规划、统一建设、 统一安全保护策略的信息系统，应由各部委统一确定一个级 别；由各部委统一规划、分级建设、运行的信息系统，应由 部、省、地市分别确定系统等级，但各行业应对该类系统提 出定级意见，避免出现同类系统定级出现较大偏差问题。1、定级的一般流程。信息系统安全包括业务信息安全 和系统服务安全，与之相关的受侵害客体和对客体的侵害程 度可能不同，因此，信息系统定级也应由业务信息安全和系 统服务安全两方面确定。从业务信息安全角度反映的信息系 统安全保护等级称业务信息安全等级。从系统服务安全角度 反映的信息系统安全保护等级称系统服务安全等级。确定信息系统安全保护等级的一般流程如下：确定作为 定级对象的信息系统；确定业务信息安全受到破坏时所侵害 的客体；根据不同的受侵害客体，从多个方面综合评定业务 信息安全被破坏对客体的侵害程度；依据表2，得到业务信息安全等级；确定系统服务安全受到破坏时所侵害的客体； 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度；依据表3,得到系统服务安全等级；由业务信息安全等级和系统服务安全等级的较高者确定 定级对象的安全保护等级。上述步骤如图1确定等级一般流程所示。图1确定等级一般流程2、确定受侵害的客体。定级对象受到破坏时所侵害的 客体包括国家安全、社会秩序、公众利益以及公民、法人和 其他组织的合法权益。侵害国家安全的事项包括以下方面：影响国家政权稳固 和国防实力；影响国家统一、民族团结和社会安定；影响国 家对外活动中的政治、经济利益；影响国家重要的安全保卫 工作；影响国家经济竞争力和科技实力；其他影响国家安全 的事项。侵害社会秩序的事项包括以下方面：影响国家机关社会 管理和公共服务的工作秩序；影响各种类型的经济活动秩 序；影响各行业的科研、生产秩序；影响公众在法律约束和 道德规范下的正常生活秩序等；其他影响社会秩序的事项。影响公共利益的事项包括以下方面：影响社会成员使用 公共设施；影响社会成员获取公开信息资源；影响社会成员 接受公共服务等方面；其他影响公共利益的事项。影响公民、法人和其他组织的合法权益是指由法律确认 的并受法律保护的公民、法人和其他组织所享有的一定的社 会权利和利益。确定作为定级对象的信息系统受到破坏后所侵害的客 体时，应首先判断是否侵害国家安全，然后判断是否侵害社 会秩序或公众利益，最后判断是否侵害公民、法人和其他组 织的合法权益。各行业可根据本行业业务特点，分析各类信息和各类信 息系统与国家安全、社会秩序、公共利益以及公民、法人和 其他组织的合法权益的关系，从而确定本行业各类信息和各 类信息系统受到破坏时所侵害的客体。3、确定对客体的侵害程度。侵害的客观方面。在客观 方面，对客体的侵害外在表现为对定级对象的破坏，其危害 方式表现为对信息安全的破坏和对信息系统服务的破坏，其 中信息安全是指确保信息系统内信息的保密性、完整性和可 用性等，系统服务安全是指确保信息系统可以及时、有效地 提供服务，以完成预定的业务目标。由于业务信息安全和系 统服务安全受到破坏所侵害的客体和对客体的侵害程度可 能会有所不同，在定级过程中，需要分别处理这两种危害方 式。信息安全和系统服务安全受到破坏后，可能产生以下危 害后果：影响行使工作职能；导致业务能力下降；引起法律 纠纷；导致财务损失；造成社会不良影响；对其他组织和个 人造成损失；其他影响。4、综合判定侵害程度。侵害程度是客观方面的不同外 在表现的综合体现，因此，应首先根据不同的受侵害客体、 不同危害后果分别确定其危害程度。对不同危害后果确定其 危害程度所采取的方法和所考虑的角度可能不同，例如系统 服务安全被破坏导致业务能力下降的程度可以从信息系统 服务覆盖的区域范围、用户人数或业务量等不同方面确定， 业务信息安全被破坏导致的财物损失可以从直接的资金损 失大小、间接的信息恢复费用等方面进行确定。在针对不同的受侵害客体进行侵害程度的判断时，应参 照以下不同的判别基准：如果受侵害客体是公民、法人或其他组织的合法权益， 则以本人或本单位的总体利益作为判断侵害程度的基准；如果受侵害客体是社会秩序、公共利益或国家安全，则 应以整个行业或国家的总体利益作为判断侵害程度的基准。不同危害后果的三种危害程度描述如下：一般损害： 工作职能受到局部影响，业务能力有所降低 但不影响主要功能的执行，出现较轻的法律问题，较低的资 产损失，有限的社会不良影响，对其他组织和个人造成较低 损害。严重损害： 工作职能受到严重影响，业务能力显著下降 且严重影响主要功能执行，出现较严重的法律问题，较高的 资产损失，较大范围的社会不良影响，对其他组织和个人造 成较严重损害。特别严重损害： 工作职能受到特别严重影响或丧失行使 能力，业务能力严重下降且或功能无法执行，出现极其严重 的法律问题，极高的资产损失，大范围的社会不良影响，对 其他组织和个人造成非常严重损害。信息安全和系统服务安全被破坏后对客体的侵害程度， 由对不同危害结果的危害程度进行综合评定得出。由于各行 业信息系统所处理的信息种类和系统服务特点各不相同，信 息安全和系统服务安全受到破坏后关注的危害结果、危害程 度的计算方式均可能不同，各行业可根据本行业信息特点和 系统服务特点，制定危害程度的综合评定方法，并给出侵害 不同客体造成损害、严重损害、特别严重损害的具体定义。5、确定信息系统安全保护等级。根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表 业务信息安全等级矩阵表，即可得到业务信息安全等级表2业务信息安全等级矩阵表业务信息安全被破坏时所侵害的客 体对相应客体的侵害程度般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表 2系统服务安全等级矩阵表，即可 得到系统服务安全等级。表3系统服务安全等级矩阵表系统服务安全被破坏时所侵害的客 体对相应客体的侵害程度般损害严重损害特别严重损害公民、法人和其他组织的合法权益1第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。定级对象等级 确定后，可参照附件中的信息系统安全保护等级定级报告 模版（见附件）起草定级报告。例如，“奥组委办公内网”承载奥组委内部的人事、财 务等业务，仅在奥组委少数部门内应用，不传输秘密信息和 敏感信息。其受到破坏后，仅会影响内部办公，会对社会秩 序、公共利益造成损害，定为 二级 ；“奥组委办公外网”通 过唯一出口与互联网相连，承载奥组委内部的电子邮件、物 流、短信平台、场馆管理等业务，在奥组委总部范围应用， 其受到破坏后，会对社会秩序、公共利益造成损害，定为 二 级。“票务网站”负责提供票务申请、信息填写等业务，采 集购票者信息和定票信息， 不与“票务管理系统” 直接相连， 其受到破坏后，会对社会秩序、公共利益造成损害，定为 二 级。“票务管理系统”存储处理通过各种方式申请、购买奥 运票务的个人数据 , 是“票务网站”的核心，其受到破坏后， 会对社会秩序、公共利益造成严重损害，定为 三级 。“奥运 官方网站”承担在互联网上对外宣传、报道奥运重大事项， 是北京奥运通过互联网对外宣传的门户，其服务保障性要求 很高， 受到破坏后， 会对社会秩序、 公共利益造成严重损害， 定为 三级。相关部门工作职责： 等级保护工作组负责指导本单位相 关部门确定信息系统安全保护等级。专家组对信息系统定级 提供咨询指导。主管部门对信息系统定级进行指导，也可以 确定跨省或全国统一联网运行的信息系统安全保护等级。公 安机关指导等级保护工作组初步确定定级对象等级。第四步：信息系统等级评审 在信息系统安全保护等级确定过程中，可以聘请专家进 行咨询评审，并出具定级评审意见。对拟确定为第四级以上 信息系统的，运营、使用单位或者主管部门应当邀请国家信 息安全保护等级专家评审委员会（名单见附件）评审，出具 评审意见。评审意见及时反馈信息系统运营使用单位工作 组。相关部门工作职责： 等级保护工作组可以组织专家组对 信息系统安全保护等级进行评审。专家组对信息系统安全保 护等级的确定进行评审，国家专家评审委负责第四级以上信 息系统等级评审。公安机关参加定级对象安全保护等级的评 审。第五步：信息系统等级的最终确定与审批 信息系统运营使用单位参考专家定级评审意见，最终确 定信息系统等级，形成定级报告 。如果专家评审意见与 运营使用单位意见不一致时，由运营使用单位自主决定系统 等级，信息系统运营使用单位有上级主管部门的，应当经上 级主管部门对安全保护等级进行审核批准。主管部门一般是 指行业的上级主管部门或监管部门。如果是跨地域联网运营 使用的信息系统，则必须由其上级主管部门审批，确保同类 系统或分支系统在各地域分别定级的一致性。相关部门工作职责： 工作组负责组织本单位有关部门根 据专家评审意见最终确定系统等级，形成定级报告并报 领导小组办公室。领导小组办公室汇总定级报告 ，并报 领导小组审批。第六步： 备案 。 第二级以上信息系统，在安全保护等级 确定后 30日内，由其运营、使用单位到所在地设区的市级以 上公安机关办理备案手续。运营使用单位或主管部门在备案 时应填写信息系统安全等级保护备案表 （以下简称备 案表）提交有关备案材料及电子数据文件。定级工作的结 果是以备案完成为标志。基础信息网络和重要信息系统的定 级、备案工作 9月底前完成。第七步： 备案审核 。受理备案的公安机关要公布备案受 理地点、备案联系方式等。在受理备案时，应对提交的备案 材料进行完整性审核和定级准确性审核。对符合等级保护要 求的，应颁发信息系统安全等级保护备案证明。发现定级不 准的，通知备案单位重新审核确定。第八步：及时总结并提交总结报告。 各地区、各部门要 结合本地区、本行业开展定级工作的实际，认真总结经验和 不足，提出改进和完善定级方法的意见和建议，及时总结定 级工作经验，形成定级工作总结报告，并于 10月中旬报送公 安部。五、备案和备案审核（一）备案管理办法第十五条规定，已运营（运行）的第二级 以上信息系统，应当在安全保护等级确定后30日内，由其运 营、使用单位到所在地设区的市级以上公安机关办理备案手 续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理 备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行 并由主管部门统一定级的信息系统，由主管部门向公安部办 理备案手续。跨省或者全国统一联网运行的信息系统在各地 运行、应用的分支系统，应当向当地设区的市级以上公安机 关备案。说明： 根据定级工作通知要求，信息系统安全保护 等级确定后，第二级以上的信息系统运营使用单位或主管部 门到公安部网站( )下载信息系统安全等 级保护备案表 (见附件)和辅助备案工具，持填写的备案 表和利用辅助备案工具生成的备案电子数据，到公安机关办 理备案手续，提交有关备案材料及电子数据文件。第二级信 息系统需填写备案表中表一、表二、表三的内容，第三 级以上信息系统还需在完成系统建设、整改、测评等工作， 投入运行后三十日内提交表四所列的附件内容。管理办法第十六条规定，办理信息系统安全保护等 级备案手续时，应当填写信息系统安全等级保护备案表 第三级以上信息系统应当同时提供以下材料：1、系统拓扑结构及说明。 （说明可以是对系统结构的简 要说明）2、系统安全组织机构和管理制度。 （安全组织机构包括 机构名称、负责人、成员、职责分工等。管理制度包括安全 管理规范、章程等）3、系统安全保护设施设计实施方案或者改建实施方案。 （简要的安全建设、整改方案）4、系统使用的信息安全产品清单及其认证、销售许可 证明。（主要信息安全产品的清单，确认有认证、销售许可 标记）5、测评后符合系统安全保护等级的技术检测评估报告。 （最近一次测评的简要的等级测评报告）6、信息系统安全保护等级专家评审意见。 （评审意见表， 附专家名单）7、主管部门审核批准信息系统安全保护等级的意见。 （审批表，领导审批签字、盖章）（二）备案审核1、依据受理备案规定，公安网监部门首先确认是否应 当受理备案单位的备案。如果不属于本部门受理范围，应告 知备案单位须到何处备案；如果属于本部门受理范围，则需 要对接收的备案材料进行审核，具体审核内容是： 一是备案符合性审查。 是否按照备案要求填写了相应的表格和文档并提供相应的电子数据文档。二是备案表完整性审查。 备案表中表一、表二、表三所 列内容是否填写完整，表四中所要求的附件内容是否齐全。三是定级准确性审查。 提交备案的各个信息系统安全保 护等级定级是否准确。2、经审查，符合等级保护要求的第二级以上信息系统， 应当在收到备案材料起的 10个工作日内向备案单位颁发信息 系统安全保护等级备案证明（备案证明由公安部统一监制） 不符合等级保护要求的应当在 10个工作日内通知备案单位进 行整改，同时发放信息系统安全等级保护备案审核结果回 执及其附件，详细告知不符合的理由。超过 10个工作日仍不能审查完结的，经上级公安网监部 门批准，最多可以再延长 10个工作日，并要书面通知备案单 位。3、定级单位对公安机关审核其定级不准、 提出整改意见 后不服的， 公安机关应建议定级单位重新组织专家进行评审， 有主管部门的报其主管部门审批同意。如果专家意见与主管 部门（运营使用单位）意见不一致时，由主管部门（运营使 用单位）自行裁定。如果裁定结果与公安机关整改要求仍不 一致时，可以按主管部门的意见定级，但受理备案的公安网 监部门必须明确其责任，告知运营使用单位和主管部门，由 于定级不准而引发的一切后果由其自行承担。4、受理备案的公安网监部门要加强备案管理。对于拒 不备案的，要向运营使用单位发限期备案通知，逾期不备案 的，要给予书面警告，并向其上级主管部门发情况通报，建 议其对有关责任单位和责任人进行处理。向中央各部委通报 情况的，要商公安部十一局。六、信息系统安全建设整改、等级测评(一) 信息系统安全建设整改管理办法第十一条规定，信息系统的安全保护等级 确定后，运营、使用单位应当按照国家信息安全等级保护管 理规范和技术标准，使用符合国家有关规定，满足信息系统 安全保护等级需求的信息技术产品，开展信息系统安全建设 或者改建工作。运营使用单位在开展安全建设整改工作时， 公安机关可以提供必要的支持和咨询。第十二条规定，在信息系统建设过程中，运营、使用单位 应 当按 照 计 算 机信 息系 统 安全 保 护等 级划 分 准则 (GB17859-1999 )、信息系统安全等级保护基本要求等技 术标准，参照信息安全技术 信息系统通用安全技术要求 ( GB/T20271-2006 )、信息安全技术 网络基础安全技术要 求(GB/T20270-2006 )、信息安全技术 操作系统安全技术 要求 (GB/T20272-2006 )、信息安全技术 数据库管理系统 安全技术要求 (GB/T20273-2006 )、信息安全技术 服务器 技术要求 、信息安全技术 终端计算机系统安全等级技术 要求( GA/T671-2006 )等技术标准同步建设符合该等级要 求的信息安全设施。第十三条规定，运营、使用单位应当参照信息安全技 术 信息系统安全管理要求 ( GB/T20269-2006 )、信息安全 技术 信息系统安全工程管理要求 ( GB/T20282-2006 )、信 息系统安全等级保护基本要求等管理规范，制定并落实符 合本系统安全保护等级要求的安全管理制度。(二) 有关技术标准和管理标准的简要说明 信息安全等级保护工作涉及信息安全科学基础、系统建 设、产品、测评、管理等多个方面工作。为保障全面实施信 息安全等级保护制度，必须建立信息安全等级保护标准体 系。经过公安部、国信安标委、标准编制企事业单位、有关 专家等多方努力，多年攻关，目前，已基本形成了由50多个国家标准和公共安全行业标准构成的比较完整的信息安全 等级保护标准体系，基本能够满足国家信息安全等级保护制 度全面实施的需求。鉴于信息安全等级保护工作专业性、 技术性较强， 为此， 管理办法第九条、第十二条、第十三条、第十四条规定 了信息系统运营使用单位在等级保护工作中按照或参照国 家、 行业技术标准开展系统定级、建设、整改、 测评等工作。 鼓励重要行业根据行业特点制定等级保护行业标准。1 、 计 算 机 信 息 系 统 安 全 保 护 等 级 划 分 准 则 (GB17859-1999)是强制性国标，从技术法规角度对信息系 统安全保护划分了五级。是开展等级保护工作的基础性标 准，是信息安全等级保护系列标准编制、系统建设与管理、 产品研发、监督检查的科学技术基础和依据。2、信息系统安全等级保护实施指南是信息系统安全 等级保护实施的过程控制标准，规范了信息系统安全等级保 护的实施各阶段内容和过程控制问题。3、信息系统安全等级保护定级指南是信息系统安全 保护等级确定标准，属于管理规范，规范了信息系统安全保 护等级的定级方法。4、 信息系统安全等级保护基本要求(国标报批稿试 用，全国信息安全标准化技术委员会文件 信安字 200712 号)。是以GB1785为基础的分等级信息系统的安全建设和管 理系列标准之一，是现阶段五个级别的信息系统的基本安全 保护技术和管理要求，提出了各级信息系统应当具备的基本 安全保护能力和技术与管理措施，该标准需与信息安全技术 系统安全等级保护通用安全技术要求 GB/T20271-2006 信 息 安 全 技 术 操 作 系 统 安 全 技 术 要 求 GB/T20272-2006 、信息安全技术 操作系统安全评估准则 GB/T20009-2005 、信息安全技术 数据库管理系统安全技 术要求 GB/T20273-2006 、信息安全技术 数据库管理系 统安全评估准则 GB/T20009-2005 、信息安全技术 网络 基础安全技术要求 GB/T20270-2006 等安全等级保护系列标 准配合使用，规范、指导信息系统安全等级保护整改建设工 作。5 、 信 息 安 全 技 术 服 务 器 安 全 技 术 要 求 GB/T20273-2006 和信息安全技术 终端计算机系统技术要 求GA/T672-2006是信息系统关键设备安全等级保护标准， 规范和解决信息系统主机和终端安全等级保护问题。6、信息安全技术 系统安全等级防护工程管理要求 GB/T20282-2006 是信息系统安全等级保护管理标准之一，规 范信息系统安全等级保护方案技术集成和工程实施过程控 制问题。 信息安全技术 系统安全等级保护管理要求 GB/T20269-2006 是信息系统安全等级保护管理标准，规范信 息系统生命周期的安全等级保护技术和相关人员问题的管 理工作。信息安全技术 系统安全等级保护测评准则和 信息安全技术 系统安全等级保护测评指南即将出台， 规范了信息系统安全等级保护测评工作。（三）信息安全产品分等级使用管理 管理办法规定了第三级以上信息系统选择使用的信 息安全产品条件，信息系统运营使用单位和主管部门按照所 列条件，对安全产品的可信性、可靠性进行把关。公安机关 对信息安全产品使用是否符合要求进行监督、检查。管理办法第二十一条规定，第三级以上信息系统应 当选择使用符合以下条件的信息安全产品：1、产品研制、生产单位是由中国公民、法人投资或者 国家投资或者控股的，在中华人民共和国境内具有独立的法 人资格；2、产品的核心技术、关键部件具有我国自主知识产权； （具有专利证书或源代码）3、产品研制、生产单位及其主要业务、技术人员无犯 罪记录；（产品研制、生产单位的书面声明）4、产品研制、生产单位声明没有故意留有或者设臵漏 洞、后门、木马等程序和功能； （产品研制、生产单位的书 面声明）5、对国家安全、社会秩序、公共利益不构成危害； （建 议有关单位对产品进行专门技术检测）6、对已列入信息安全产品认证目录的，应当取得国家 信息安全产品认证机构颁发的认证