北京市教委各直屬單位信息安全等級(jí)保護(hù)工作培訓(xùn)[001]

1、北京市教委各直屬單位 信息安全等級(jí)保護(hù)工作培訓(xùn),主講:市公安局網(wǎng)監(jiān)處信息安全等級(jí)保護(hù)辦公室 高媛,2007年10月24日,信息安全等級(jí)保護(hù)工作概述,信息安全保護(hù)等級(jí)的劃分,2,信息系統(tǒng)的定級(jí)工作,4,信息系統(tǒng)的備案工作,5,培訓(xùn)提綱,1,一、信息安全等級(jí)保護(hù)工作概述,信息安全等級(jí)保護(hù)工作的定位,信息安全等級(jí)保護(hù)是國(guó)家信息安全保障工作 的基本制度、基本策略、基本方法。開展信息安 全等級(jí)保護(hù)工作不僅是實(shí)現(xiàn)國(guó)家對(duì)重要信息系統(tǒng) 重點(diǎn)保護(hù)的重大措施，也是一項(xiàng)事關(guān)國(guó)家安全、 社會(huì)穩(wěn)定和北京奧運(yùn)會(huì)成功舉辦的政治任務(wù)。,信息安全等級(jí)保護(hù)工作法律法規(guī)標(biāo)準(zhǔn)依據(jù),國(guó)家層面：,中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例

2、（1994年，國(guó)務(wù)院147號(hào)令） 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（2003年，中辦27號(hào)文）,關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見（2004年9月，公通字200466號(hào)文件） 信息安全等級(jí)保護(hù)管理辦法（2007年6月，公通字200743號(hào)文件,北京市：,北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定（2005年11月,市政府第163號(hào)令） 關(guān)于開展信息安全等級(jí)保護(hù)工作的通知 （2006年3月） 北京市開展信息安全等級(jí)保護(hù)工作的實(shí)施方案（2007年8月） 北京市信息化促進(jìn)條例（2007年9月通過(guò)，12月1日施行）,信息安全等級(jí)保護(hù)工作法律法規(guī)標(biāo)準(zhǔn)依據(jù),二、信息安全保護(hù)等級(jí)的劃分,信息系

3、統(tǒng)安全保護(hù)等級(jí)的決定要素,信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)要素決定：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度。,受侵害的客體 ：,一是公民、法人和其他組織的合法權(quán)益；二是社會(huì)秩序、 公共利益；三是國(guó)家安全。,對(duì)客體的侵害程度：,一是造成損害；二是造成嚴(yán)重?fù)p害；三是造成特別 嚴(yán)重?fù)p害。,侵害國(guó)家安全的事項(xiàng)包括以下方面：影響國(guó)家政權(quán)穩(wěn)固和國(guó)防實(shí)力；影響國(guó)家統(tǒng)一、 民族團(tuán)結(jié)和社會(huì)安定；影響國(guó)家對(duì)外活動(dòng)中的政 治、經(jīng)濟(jì)利益等 侵害社會(huì)秩序的事項(xiàng)包括以下方面：影響國(guó)家機(jī)關(guān)社會(huì)管理和公共服務(wù)的工作秩序； 影響各種類型的經(jīng)濟(jì)活動(dòng)秩序等； 影響公共利益的事項(xiàng)包括以下方面：影響社會(huì)成員使用公共設(shè)施；

4、影響社會(huì)成員獲取 公開信息資源等； 影響公民、法人和其他組織的合法權(quán)益是指：由法律確認(rèn)的并受法律保護(hù)的公民、法 人和其他組織所享有的一定的社會(huì)權(quán)利和利益。,受侵害的客體的具體事項(xiàng)體現(xiàn),侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)，因此，應(yīng)首先根據(jù)不同的受侵害客體、不同危害后果分別確定其危害程度。對(duì)不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同。在針對(duì)不同的受侵害客體進(jìn)行侵害程度的判斷時(shí)，應(yīng)參照以下不同的判別基準(zhǔn)： 如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判斷侵害程度的基準(zhǔn)； 如果受侵害客體是社會(huì)秩序、公共利益或國(guó)家安全，則應(yīng)以整個(gè)行業(yè)或國(guó)家的總

5、體利益作為判斷侵害程度的基準(zhǔn)。,如何確定對(duì)客體的侵害程度,對(duì)客體的三種危害程度,損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的 執(zhí)行，出現(xiàn)較輕的法律問(wèn)題，較低的資產(chǎn)損失，有限的社會(huì)不良 影響，對(duì)其他組織和個(gè)人造成較低損害。 嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能 執(zhí)行，出現(xiàn)較嚴(yán)重的法律問(wèn)題，較高的資產(chǎn)損失，較大范圍的社 會(huì)不良影響，對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害。 特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重 下降且或功能無(wú)法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問(wèn)題，極高的資產(chǎn) 損失，大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成非常嚴(yán)重 損害

6、。,五個(gè)等級(jí)的劃分,第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。 第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。 第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。 第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。 第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。,五級(jí)保護(hù)和監(jiān)管,第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。

7、第二級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。 第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。 第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。 第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國(guó)家指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。

8、,信息系統(tǒng)等級(jí)對(duì)照表,三、信息系統(tǒng)安全保護(hù)工作流程,1、系統(tǒng)定級(jí)和審批 2、備案 3、評(píng)估與整改建設(shè) 4、等級(jí)測(cè)評(píng) 5、監(jiān)督檢查,3.信息系統(tǒng)安全評(píng)估與整改建設(shè),（一）信息系統(tǒng)安全建設(shè)整改（管理辦法第十一、十二、十三條）,第十一條:信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。 第十二條:在信息系統(tǒng)建設(shè)過(guò)程中，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）、信息系統(tǒng)安全等級(jí)保護(hù)基本要求等技術(shù)標(biāo)準(zhǔn)，參照信息安全技術(shù)

9、 信息系統(tǒng)通用安全技術(shù)要求（GB/T20271-2006）、信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270-2006）、信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求（GB/T20272-2006）、信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求（GB/T20273-2006）、信息安全技術(shù) 服務(wù)器技術(shù)要求、信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求（GA/T671-2006）等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。 第十三條:運(yùn)營(yíng)、使用單位應(yīng)當(dāng)參照信息安全技術(shù) 信息系統(tǒng)安全管理要求（GB/T20269-2006）、信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（GB/T20282-2006）、信息系

10、統(tǒng)安全等級(jí)保護(hù)基本要求等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。,（二）有關(guān)技術(shù)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)的簡(jiǎn)要說(shuō)明,計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則強(qiáng)制性基礎(chǔ)性標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南過(guò)程控制 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南管理規(guī)范 信息系統(tǒng)安全等級(jí)保護(hù)基本要求具體要求 安全技術(shù)服務(wù)器安全技術(shù)要求關(guān)鍵設(shè)備,3.信息系統(tǒng)安全評(píng)估與整改建設(shè),3.信息系統(tǒng)安全評(píng)估與整改建設(shè),（三）信息安全產(chǎn)品分等級(jí)使用管理 （管理辦法第二十一條） 第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品： （一）產(chǎn)品研制、生產(chǎn)單位是由中國(guó)公民、法人投資或者國(guó)家投資或者控股的，在中華人民共和國(guó)境

11、內(nèi)具有獨(dú)立的法人資格； （二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國(guó)自主知識(shí)產(chǎn)權(quán)； （三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄； （四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能； （五）對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成危害； （六）對(duì)已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)當(dāng)取得國(guó)家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。,4.信息系統(tǒng)安全等級(jí)測(cè)評(píng),第三級(jí)（含）以上信息系統(tǒng)運(yùn)營(yíng)使用單位信息系統(tǒng)整改建設(shè) 完成后，應(yīng)當(dāng)按照管理辦法要求選擇符合管理規(guī)范和相 關(guān)部門文件要求的測(cè)評(píng)機(jī)構(gòu)，依據(jù)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)安全 等級(jí)狀況開展技術(shù)測(cè)評(píng)，并出具測(cè)評(píng)報(bào)告。完成后上報(bào)等級(jí) 保護(hù)工

12、作主管部門。（管理辦法第十四條）,5.監(jiān)督檢查,在各階段工作中，相關(guān)職能部門和主管部門要加大對(duì)信息安全等級(jí)保護(hù)工作的監(jiān)督檢查力度，通過(guò)檢查督促其落實(shí)等級(jí)保護(hù)各項(xiàng)安全管理制度和技術(shù)保護(hù)措施。在檢查過(guò)程中，發(fā)現(xiàn)定級(jí)不準(zhǔn)確、未按要求開展系統(tǒng)整改、未及時(shí)申請(qǐng)測(cè)評(píng)備案等問(wèn)題要責(zé)令其限期整改，發(fā)現(xiàn)各類違法 違規(guī)情況，要依法嚴(yán)肅處理。,法律責(zé)任,信息系統(tǒng)的運(yùn)營(yíng)、使用單位，尤其是重要信息系統(tǒng)和涉及國(guó)家秘密的信息系統(tǒng)的主管部門和運(yùn)營(yíng)、使用單位違反信息安全等級(jí)保護(hù)相關(guān)法律法規(guī)和政策規(guī)定的，造成嚴(yán)重?fù)p害的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。,（一）未按本辦法規(guī)定備案、審批的； （二）未按本辦法規(guī)定落實(shí)安全管理制

13、度、措施的； （三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的； （四）未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測(cè)評(píng)的； （五）接到整改通知后，拒不整改的； （六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測(cè)評(píng)機(jī)構(gòu)的； （七）未按本辦法規(guī)定如實(shí)提供有關(guān)文件和證明材料的； （八）違反保密管理規(guī)定的； （九）違反密碼管理規(guī)定的； （十）違反本辦法其他規(guī)定的。,管理辦法中第四十條,具體罰則,信息化促進(jìn)條例第四十五條：,違反本條例規(guī)定，有下列行為之一的，由有關(guān)部門依照中華人民共和國(guó)政 府信息公開條例、中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例等有關(guān)規(guī) 定責(zé)令改正，給予警告或者責(zé)令停機(jī)整頓，并對(duì)直接負(fù)責(zé)的主管人員和其他直接 責(zé)

14、任人員依法處理： （一）違反第十九條規(guī)定，未按照國(guó)家和本市的規(guī)定公開政務(wù)信息的； （二）違反第三十二條規(guī)定，網(wǎng)絡(luò)與信息系統(tǒng)的建設(shè)單位和運(yùn)行維護(hù)單位未 依法進(jìn)行安全保護(hù)等級(jí)備案、審批的； （三）違反第三十三條規(guī)定，未進(jìn)行網(wǎng)絡(luò)與信息系統(tǒng)安全建設(shè)或者改建工作， 或者未進(jìn)行網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)技術(shù)測(cè)評(píng)的。,具體罰則,處罰方式,罰則,罰款,警告與 通報(bào)批評(píng),限期 整改,停機(jī) 整頓,信息系統(tǒng) 運(yùn)營(yíng)使用 單位,責(zé)任人,行政 處分,依法 處理,構(gòu)成犯罪的，依法追究法律責(zé)任,四、信息系統(tǒng)的定級(jí)工作,信息系統(tǒng)安全保護(hù)等級(jí)責(zé)任劃分,“自主定級(jí)、自主保護(hù)”與國(guó)家監(jiān)管,在等級(jí)保護(hù)工作中，信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門

15、按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則開展工作，并接受信息安全監(jiān)管部門對(duì)開展等級(jí)保護(hù)工作的監(jiān)管。運(yùn)營(yíng)使用單位和主管部門是信息系統(tǒng)安全的第一責(zé)任人，對(duì)所屬信息系統(tǒng)安全負(fù)有直接責(zé)任；公安、保密、密碼部門對(duì)運(yùn)營(yíng)使用單位和主管部門開展等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查、指導(dǎo)，對(duì)重要信息系統(tǒng)安全負(fù)監(jiān)管責(zé)任。,定級(jí)工作的指導(dǎo)思想,信息系統(tǒng)的安全保護(hù)等級(jí)是信息系統(tǒng)的客觀屬性，不以已采取或?qū)?采取什么安全保護(hù)措施為依據(jù)，也不以風(fēng)險(xiǎn)評(píng)估為依據(jù)，而是以信息系 統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)穩(wěn)定、人民群眾合 法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全等級(jí)。,定級(jí)工作的主要步驟,定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)

16、，是開展備案、信息系統(tǒng)建設(shè)、整改、測(cè)評(píng)、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。,第一步，摸底調(diào)查，掌握信息系統(tǒng)底數(shù) 第二步，確定定級(jí)對(duì)象 第三步，初步確定信息系統(tǒng)等級(jí) 第四步，信息系統(tǒng)等級(jí)評(píng)審 第五步，信息系統(tǒng)等級(jí)的最終確定與審批,作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下基本特征： （一）具有唯一確定的安全責(zé)任單位 作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。 如果一個(gè)單位的某個(gè)下級(jí)單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過(guò)程的全部安全責(zé)任，則這個(gè)下級(jí)單位可以成為信息系統(tǒng)的安全責(zé)任單位； 如果一個(gè)單位中的不同下級(jí)單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級(jí)單位共同所屬的

17、單位。,第二步，確定定級(jí)對(duì)象,（二）具有信息系統(tǒng)的基本要素 作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。 （三）承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用 定級(jí)對(duì)象承載“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨(dú)立，同時(shí)與其他業(yè)務(wù)應(yīng)用有一定的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。 特別注意的是:起傳輸作用的基礎(chǔ)網(wǎng)絡(luò)要單獨(dú)定級(jí),等級(jí)可以參照在其上運(yùn)行的信息系統(tǒng)的等級(jí)、網(wǎng)絡(luò)的服務(wù)范圍和自身的安全需求確定適當(dāng)?shù)谋Ｗo(hù)等級(jí)，不以在其上運(yùn)行的信息系統(tǒng)的最高等級(jí)或最低等級(jí)為標(biāo)

18、準(zhǔn)。 只有同時(shí)滿足上述三個(gè)條件，才可由本單位對(duì)其進(jìn)行定級(jí)。,第二步，確定定級(jí)對(duì)象,第三步，初步確定信息系統(tǒng)等級(jí),信息系統(tǒng)的安全保護(hù)等級(jí)以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全保護(hù)等級(jí)。既要防止個(gè)別單位片面追求絕對(duì)安全而定級(jí)過(guò)高，也要防止為了逃避監(jiān)管定級(jí)偏低。,確定信息系統(tǒng)安全等級(jí)的依據(jù),依據(jù)管理辦法直接確定信息系統(tǒng)等級(jí),依據(jù)信息安全等級(jí)保護(hù)定級(jí)指南要求進(jìn)行信息系統(tǒng)等級(jí)確定,等級(jí)決定要素與初定等級(jí)的關(guān)系,業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全,信息系統(tǒng)與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和

19、系統(tǒng)服務(wù)安全兩方面確定。對(duì)客體的侵害外在表現(xiàn)為對(duì)定級(jí)對(duì)象的破壞，其危害方式表現(xiàn)為對(duì)信息安全的破壞和對(duì)信息系統(tǒng)服務(wù)的破壞，其中： 信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等； 系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)；,由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同，在定級(jí)過(guò)程中，需要分別處理這兩種危害方式。,信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果： 影響行使工作職能；導(dǎo)致業(yè)務(wù)能力下降；引起法律糾紛；導(dǎo)致財(cái)產(chǎn)損失；造成社會(huì)不良影響；對(duì)其他組織和個(gè)人造成損失；其他影響。,業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全,

20、每個(gè)信息系統(tǒng)的定級(jí)流程,確定信息系統(tǒng)的安全保護(hù)等級(jí),1、確定業(yè)務(wù)信息安全等級(jí),2、確定系統(tǒng)服務(wù)安全等級(jí),3、信息系統(tǒng)安全保護(hù)等級(jí)由確定系統(tǒng)服務(wù)安全等級(jí)由上述兩個(gè)等級(jí)的較高者決定。 （取高的原則）,確定信息系統(tǒng)的安全保護(hù)等級(jí),系統(tǒng)等級(jí)的變更,在信息系統(tǒng)的運(yùn)行過(guò)程中，安全保護(hù)等級(jí)應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進(jìn)行適當(dāng)?shù)淖兏绕涫钱?dāng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害客體和對(duì)客體的侵害程度有較大的變化，可能影響到系統(tǒng)的安全保護(hù)等級(jí)時(shí)，應(yīng)根據(jù)以上定級(jí)方法重新定級(jí)。,第四步，信息系統(tǒng)等級(jí)評(píng)審,在信息系統(tǒng)安全保護(hù)等級(jí)確定過(guò)程中，可以聘請(qǐng)專家進(jìn)行咨詢?cè)u(píng)審，并出具定級(jí)評(píng)審意見

21、。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)使用單位或者主管部門應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審，出具評(píng)審意見。 當(dāng)專家意見與運(yùn)營(yíng)使用單位或者主管部門不一致時(shí)，以運(yùn)營(yíng)使用單位或者主管部門意見為準(zhǔn)。,第五步，等級(jí)的最終確定與審批,信息系統(tǒng)運(yùn)營(yíng)使用單位參考專家定級(jí)評(píng)審意見，最終確定信息系統(tǒng)等級(jí)，形成定級(jí)報(bào)告。信息系統(tǒng)運(yùn)營(yíng)使用單位有上級(jí)主管部門的，應(yīng)當(dāng)經(jīng)上級(jí)主管部門對(duì)安全保護(hù)等級(jí)進(jìn)行審核批準(zhǔn)。主管部門一般是指行業(yè)的上級(jí)主管部門或監(jiān)管部門。 如果是跨地域聯(lián)網(wǎng)運(yùn)營(yíng)使用的信息系統(tǒng)，則必須由其上級(jí)主管部門審批，確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級(jí)的一致性。,定級(jí)報(bào)告的編制,（一）定級(jí)報(bào)告的定義,定級(jí)

22、報(bào)告是為詳細(xì)了解和掌握定級(jí)過(guò)程情況由信息系統(tǒng)運(yùn)營(yíng)使用 單位負(fù)責(zé)填寫的文檔。定級(jí)報(bào)告要在信息系統(tǒng)備案時(shí)一并提交。 信息系統(tǒng)運(yùn)營(yíng)使用單位在起草定級(jí)報(bào)告時(shí)可以請(qǐng)技術(shù)支持單位 協(xié)助。,定級(jí)報(bào)告的編制,（二）定級(jí)報(bào)告的構(gòu)成和起草,1、信息系統(tǒng)描述 簡(jiǎn)述確定該信息系統(tǒng)為定級(jí)對(duì)象的理由。包括：該信息系統(tǒng)所承載業(yè)務(wù)的 主管單位和部門，該信息系統(tǒng)具有信息系統(tǒng)的基本要素（有主機(jī)、網(wǎng)絡(luò)及相關(guān)配 套設(shè)施構(gòu)成的人機(jī)系統(tǒng)），該信息系統(tǒng)承載著獨(dú)立或單一的業(yè)務(wù)應(yīng)用，業(yè)務(wù)應(yīng)用 主要包括哪些，各包含哪些功能等。,2、信息系統(tǒng)安全保護(hù)等級(jí)的確定 （1）業(yè)務(wù)信息安全保護(hù)等級(jí)的確定。 第一步：簡(jiǎn)要描述信息系統(tǒng)所處理的主要業(yè)務(wù)信息，包括

23、各項(xiàng)業(yè)務(wù)的主要數(shù)據(jù) 項(xiàng)有哪些等。 第二步：確定業(yè)務(wù)信息受到破壞后所侵害的客體 第三步：確定對(duì)客體的侵害程度 第四步：查表確定業(yè)務(wù)信息安全等級(jí),定級(jí)報(bào)告的編制,（二）定級(jí)報(bào)告的構(gòu)成和起草,2、信息系統(tǒng)安全保護(hù)等級(jí)的確定 （2）系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定 第一步：簡(jiǎn)要描述系統(tǒng)的服務(wù)范圍、服務(wù)對(duì)象、服務(wù)要求等等。 第二步：確定系統(tǒng)服務(wù)受到破壞后所侵害的客體 第三步：確定對(duì)客體的侵害程度 第四步：查表確定系統(tǒng)服務(wù)安全等級(jí) （3）信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)較高 者決定。,定級(jí)報(bào)告演示,五、信息系統(tǒng)的備案工作,管理辦法中對(duì)備案的規(guī)定,管理辦法第十四條中規(guī)定： 已運(yùn)營(yíng)（運(yùn)行）

24、的第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。 新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。,備案需要提交的文件材料,信息系統(tǒng)安全等級(jí)保護(hù)備案表 （紙制蓋章和電子版）,保護(hù)等級(jí)為二級(jí)的信息系統(tǒng)運(yùn)營(yíng)、使用單位到屬地、保衛(wèi)關(guān)系所屬公安機(jī)關(guān)備案需要提交以下材料：,信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告（紙制蓋章和電子版）,備案需要提交的文件材料,系統(tǒng)安全組織機(jī)構(gòu)和管理制度,系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案,系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明,主管

25、部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見,保護(hù)等級(jí)為三級(jí)(含)以上的信息系統(tǒng)運(yùn)營(yíng)、使用單位到屬地、保衛(wèi)關(guān)系所屬公安機(jī)關(guān) 備案需要提交以下材料：,系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明,測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告,信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見,信息系統(tǒng)安全等級(jí)保護(hù)備案表 （紙制蓋章和電子版）,信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告（紙制蓋章和電子版）,信息系統(tǒng)安全等級(jí)保護(hù)基本要求中對(duì)： 系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案 系統(tǒng)安全組織機(jī)構(gòu)和管理制度 有詳細(xì)的規(guī)定，同時(shí)考慮到運(yùn)營(yíng)單位對(duì)系統(tǒng)的設(shè)計(jì)、建設(shè)和整改時(shí)間花費(fèi)較大，所以統(tǒng)一要求： 三級(jí)（含）以上信息系統(tǒng)除備案表、定級(jí)報(bào)告及其電子版數(shù)據(jù)外，其它

26、的備案材料在系統(tǒng)完成整改和測(cè)評(píng)后30日內(nèi)提交,備案的審核,依據(jù)受理備案規(guī)定，受理備案的公安機(jī)關(guān)需對(duì)接收的備案材料進(jìn)行審核， 具體審核內(nèi)容是：,備案符合性審查。 是否按照備案要求填寫了相應(yīng)的表格和文檔并提供相應(yīng)的電子版文檔。 備案表完整性審查。 備案表中表一、表二、表三所列內(nèi)容是否填寫完整，表四中所要 求的附件內(nèi)容是否齊全。 定級(jí)準(zhǔn)確性審查。 提交備案的各個(gè)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)是否準(zhǔn)確。,備案表由四張表單構(gòu)成： 表一是單位信息，每個(gè)單位填寫一張； 表二是信息系統(tǒng)基本信息； 表三是信息系統(tǒng)定級(jí)信息；（表二、表三每個(gè)信息系統(tǒng)填寫一張） 表四為第三級(jí)以上信息系統(tǒng)需要在系統(tǒng)整改、測(cè)評(píng)等工作完成后再行

27、提交的信息。 表二、三、四可以復(fù)印使用，使用時(shí)要注意編號(hào)。如一個(gè)單位有6個(gè)信息系統(tǒng)，則只需 要填寫一張表一，分別填寫六個(gè)表二、三、四。,備案表的構(gòu)成,備案表的保存方式,備案表一式二份，由備案單位和受理備案的公安機(jī)關(guān)分別蓋章后，一份由備案單 位保存，一份交受理備案公安機(jī)關(guān)存檔。,備案表中有關(guān)數(shù)據(jù)項(xiàng)的說(shuō)明,備案表中有關(guān)數(shù)據(jù)項(xiàng)的說(shuō)明,二、填表范圍：本表由第二級(jí)（含）以上信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門（以下簡(jiǎn)稱“備案單位”）填寫； 如某單位共有6個(gè)信息系統(tǒng)進(jìn)行備案，則填寫過(guò)程中要遵循表二（1/6）、表二（2/6）表二（6/6）的編號(hào)和命名規(guī)則。如果6個(gè)信息系統(tǒng)中有3個(gè)是第三級(jí)以上信息系統(tǒng)，則表四的編號(hào)

28、要和同一信息系統(tǒng)的表二、三的編號(hào)保持一致。如，單位共有6個(gè)信息系統(tǒng)，其中有一個(gè)第三級(jí)以上信息系統(tǒng)A，則該單位需要填寫1張表一，6張表二和表三，1張表四。假設(shè)A系統(tǒng)表二的編號(hào)為表二（2/6），則相對(duì)應(yīng)的表四的編號(hào)也應(yīng)當(dāng)是表四（2/6）。,六、備案單位：本表封面中的“備案單位”填寫運(yùn)營(yíng)使用信息系統(tǒng)的法人單位全稱。 七、受理備案單位：本表封面中的“受理備案單位”填寫受理備案民警所在部門的名稱。此項(xiàng)由受理備案的公安機(jī)關(guān)負(fù)責(zé)填寫。 八、行政區(qū)劃代碼：表一中04項(xiàng)“行政區(qū)劃代碼”中6位代碼是指單位所在地縣(區(qū)、市、旗)的代碼，該代碼需與中華人民共和國(guó)行政區(qū)劃代碼（GB 2260-1995）一致。以北京市舉

29、例，標(biāo)準(zhǔn)6位地址碼的構(gòu)成如下：110000 北京市，110101 東城區(qū) 。,備案表中有關(guān)數(shù)據(jù)項(xiàng)的說(shuō)明,九、單位負(fù)責(zé)人：表一中的“單位負(fù)責(zé)人”是指負(fù)責(zé)本單位信息安全的領(lǐng)導(dǎo)。 十、責(zé)任部門：表一中的“責(zé)任部門”是指單位內(nèi)負(fù)責(zé)信息系統(tǒng)安全的部門。如果單位內(nèi)的信息系統(tǒng)分別由不同的責(zé)任部門管理，則可以分別填寫表一。 責(zé)任部門聯(lián)系人：表一中的“責(zé)任部門聯(lián)系人”是指本單位開展信息安全等級(jí)保護(hù)工作的聯(lián)系人。如果責(zé)任部門聯(lián)系人有多個(gè)，則可以分別填寫表一。,備案表中有關(guān)數(shù)據(jù)項(xiàng)的說(shuō)明,十一、隸屬關(guān)系：表一中第08項(xiàng)“隸屬關(guān)系”是指本單位隸屬于哪一級(jí)行政管理單位，按照國(guó)家標(biāo)準(zhǔn)單位隸屬關(guān)系代碼(GB/T12404-1

30、997)分為：中央、省、市(地區(qū))、縣、街道、鎮(zhèn)、鄉(xiāng)、社區(qū)(居委會(huì))、村民委員會(huì)和其他。 （1）各級(jí)政府(中央、省、地、縣、鄉(xiāng)、鎮(zhèn))、黨委、人大、政協(xié)等機(jī)關(guān)的隸屬關(guān)系填寫本級(jí)。如：省政府的隸屬關(guān)系填“省”。 （2）中央：包括人大常委會(huì)、政協(xié)常委會(huì)、中共中央、國(guó)務(wù)院直屬機(jī)構(gòu)和辦事機(jī)構(gòu)、各部委及其直屬機(jī)構(gòu)等。中央與地方雙重領(lǐng)導(dǎo)的單位，以領(lǐng)導(dǎo)為主的一方來(lái)劃分中央屬或地方屬。隸屬于“中央”的單位所屬的集體企業(yè)，隸屬關(guān)系選“其他”，并在其后填寫所隸屬的單位名稱；省屬以下的企業(yè)(單位)所屬的企業(yè)(單位)，其隸屬關(guān)系與企業(yè)(單位)本身的隸屬關(guān)系一致。 （3）?。喊ㄗ灾螀^(qū)、直轄市直屬的行政管理單位； （4）

31、地區(qū)：包括自治州、盟、省轄市和直轄區(qū)直屬的行政管理單位； （5）縣：包括地、州、盟轄市、省轄市轄區(qū)、自治縣、自治旗、縣級(jí)市直屬的行政管理單位； （6）街道：指經(jīng)國(guó)務(wù)院批準(zhǔn)設(shè)置的建制市的市區(qū)街道辦事處等管理單位； （7）鎮(zhèn)：指經(jīng)省、自治區(qū)、直轄市人民政府批準(zhǔn)設(shè)置的建制鎮(zhèn)政府所轄行政管理單位； （8）鄉(xiāng)：指鄉(xiāng)一級(jí)政府及直屬行政管理單位； （9）其他：不隸屬上述各級(jí)的企業(yè)（單位）選本欄。例如：無(wú)主管部門的單位、本省(自治區(qū)、直轄市)在外省(自治區(qū)、直轄市)的辦事機(jī)構(gòu)所開辦的第三產(chǎn)業(yè)等單位等。,備案表中有關(guān)數(shù)據(jù)項(xiàng)的說(shuō)明,單位類型：黨委機(jī)關(guān)是指隸屬于各級(jí)中國(guó)共產(chǎn)黨委員會(huì)及其所屬專門部門。政府機(jī)關(guān)是指隸屬

32、于各級(jí)人民政府的部門或單位。 行業(yè)類別：該項(xiàng)為單選項(xiàng)。以單位主要從事的業(yè)務(wù)為依據(jù)進(jìn)行選擇，如公安院校，則應(yīng)選擇教育而非公安。 信息系統(tǒng)總數(shù)：是指本單位內(nèi)所擁有的信息系統(tǒng)個(gè)數(shù)，包括第一級(jí)信息系統(tǒng)。 系統(tǒng)名稱：表二中“系統(tǒng)名稱”是指信息系統(tǒng)進(jìn)行立項(xiàng)建設(shè)或有明文規(guī)定的全稱。,備案表中有關(guān)數(shù)據(jù)項(xiàng)的說(shuō)明,十二、系統(tǒng)編號(hào)：由備案單位給出的本單位備案信息系統(tǒng)的編號(hào)。備案單位所屬信息系統(tǒng)編號(hào)不能重復(fù)； 系統(tǒng)承載業(yè)務(wù)情況：（1）業(yè)務(wù)類型：該項(xiàng)為單選項(xiàng)。是指信息系統(tǒng)所承載的主要業(yè)務(wù)。其中1生產(chǎn)作業(yè)是指：主要為完成本單位生產(chǎn)直接提供服務(wù)的。2指揮調(diào)度是指：主要用于本單位內(nèi)進(jìn)行指揮、調(diào)度等工作的。3管理控制是指：主要

33、進(jìn)行管理工作的。4內(nèi)部辦公是指：主要為單位內(nèi)部辦公提供服務(wù)的。5公眾服務(wù)是指：主要為社會(huì)公眾提供服務(wù)的。（2）業(yè)務(wù)描述：是指系統(tǒng)所承載業(yè)務(wù)的具體描述，主要包括系統(tǒng)所承載的業(yè)務(wù)信息包括哪些，信息系統(tǒng)的主要功能等。 系統(tǒng)服務(wù)情況：（1）服務(wù)范圍：該項(xiàng)為單選項(xiàng)。如果信息系統(tǒng)跨全國(guó)的所有省，則選擇10全國(guó)，如果沒有跨全國(guó)所有省，則選擇11跨省，同時(shí)填寫具體的跨省數(shù)。跨地（市、區(qū)）類似。（2）服務(wù)對(duì)象：該項(xiàng)為單選項(xiàng)。單位內(nèi)部人員：是指僅為本單位內(nèi)部人員服務(wù)。社會(huì)公眾人員：是指為社會(huì)大眾提供服務(wù)。兩者均包括：是指既包括單位內(nèi)部人員也包括社會(huì)公眾人員。如果僅為某些特定人群服務(wù)，請(qǐng)選擇其它，并填寫具體服務(wù)的對(duì)

34、象名稱。,備案表中有關(guān)數(shù)據(jù)項(xiàng)的說(shuō)明,十三、系統(tǒng)網(wǎng)絡(luò)平臺(tái)：（1）覆蓋范圍：該項(xiàng)為單選項(xiàng)。1局域網(wǎng)：信息系統(tǒng)所依托的網(wǎng)絡(luò)結(jié)構(gòu)是在某一區(qū)域內(nèi)由多臺(tái)計(jì)算機(jī)互聯(lián)成的計(jì)算機(jī)組?！澳骋粎^(qū)域”指的是同一辦公室、同一建筑物、同一公司和同一學(xué)校等；2城域網(wǎng)：是指該信息系統(tǒng)所依托的網(wǎng)絡(luò)是一種大型的局域網(wǎng)，通常使用與局域網(wǎng)相似的技術(shù)。它可以覆蓋一組鄰近的公司辦公室和一個(gè)城市，既可能是私有的也可能是公用的。比較常見的一個(gè)城市的政府公務(wù)網(wǎng)、教育城域網(wǎng)等；3廣域網(wǎng)：是指信息系統(tǒng)所依托的網(wǎng)絡(luò)是一種跨越大的、地域性的計(jì)算機(jī)網(wǎng)絡(luò)的集合。通?？缭绞?、市，甚至一個(gè)國(guó)家；如上述三個(gè)選項(xiàng)均不是，請(qǐng)選擇其他，并在其后的橫線中填寫具體的網(wǎng)絡(luò)

35、覆蓋范圍類型名稱。（2）網(wǎng)絡(luò)性質(zhì)：1業(yè)務(wù)專網(wǎng)：是指信息系統(tǒng)所依托的網(wǎng)絡(luò)是單位為開展某項(xiàng)業(yè)務(wù)專門架設(shè)或租用專門線路構(gòu)成的；2互聯(lián)網(wǎng)：是指承載信息系統(tǒng)的網(wǎng)絡(luò)是完全依托互聯(lián)網(wǎng)（Internet）的。,備案表中有關(guān)數(shù)據(jù)項(xiàng)的說(shuō)明,系統(tǒng)互聯(lián)情況：該項(xiàng)為多選項(xiàng)。1與其它行業(yè)系統(tǒng)連接：是指該信息系統(tǒng)與本行業(yè)以外的其他行業(yè)的信息系統(tǒng)進(jìn)行連接或共享數(shù)據(jù)。2與本行業(yè)其他單位系統(tǒng)連接：是指該信息系統(tǒng)與行業(yè)內(nèi)其他單位的信息系統(tǒng)進(jìn)行連接或共享數(shù)據(jù)。3與本單位其他系統(tǒng)連接：是指該信息系統(tǒng)與本單位內(nèi)的其他信息系統(tǒng)進(jìn)行連接。如果上述選項(xiàng)均不是，則選擇其它，并在其后的橫線中注明具體的互聯(lián)情況。,備案表中有關(guān)數(shù)據(jù)項(xiàng)的說(shuō)明,十四、關(guān)

36、鍵產(chǎn)品使用情況：（1）產(chǎn)品類型：是指信息系統(tǒng)（包括網(wǎng)絡(luò)）中使用的信息技術(shù)產(chǎn)品的類型，其中安全專用產(chǎn)品：是指根據(jù)計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法規(guī)定，用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品，主要包括：掃描類產(chǎn)品（包括入侵檢測(cè)、防御等產(chǎn)品），防雷產(chǎn)品，防火墻，數(shù)據(jù)完整類（包括身份認(rèn)證、訪問(wèn)控制、簽章、指紋識(shí)別等），網(wǎng)絡(luò)安全（包括網(wǎng)吧安全管理、審計(jì)產(chǎn)品等），病毒產(chǎn)品等。網(wǎng)絡(luò)產(chǎn)品：是指除上述安全產(chǎn)品外的其它網(wǎng)絡(luò)產(chǎn)品，主管包括：路由器、網(wǎng)關(guān)、網(wǎng)閘等。操作系統(tǒng)：是指管理計(jì)算機(jī)系統(tǒng)全部硬件、軟件資源及數(shù)據(jù)資源，控制程序運(yùn)行，改善人機(jī)界面，為其它應(yīng)用軟件提供支持等的，使計(jì)算機(jī)系統(tǒng)所有

37、資源最大限度地發(fā)揮作用，為用戶提供方便的、有效的、友善的服務(wù)界面的專用軟件，常見的操作系統(tǒng)有Windows系列，Linux系列，Unix系列等；數(shù)據(jù)庫(kù)：是指幫助用戶依照某種數(shù)據(jù)模型組織起來(lái)并存放數(shù)據(jù)的軟件，這里主要指數(shù)據(jù)庫(kù)軟件。常見的數(shù)據(jù)庫(kù)軟件有Oracle、Sybase、DB2、SQL server 、Access、MySQL、BD2等；服務(wù)器：又叫主機(jī)。主要是為信息系統(tǒng)集中提供各種類型服務(wù)的主機(jī)。,備案表中有關(guān)數(shù)據(jù)項(xiàng)的說(shuō)明,（2）數(shù)量：軟件產(chǎn)品的數(shù)量按購(gòu)買的套數(shù)算，不以實(shí)際安裝的臺(tái)數(shù)計(jì)算。硬件產(chǎn)品的數(shù)量以購(gòu)買的臺(tái)（件）數(shù)計(jì)算，如果沒有則數(shù)量填0。（3）使用國(guó)產(chǎn)品率：是指信息系統(tǒng)中使用國(guó)產(chǎn)的

38、某類信息技術(shù)產(chǎn)品數(shù)量占使用該類信息技術(shù)產(chǎn)品總數(shù)量的比例。全部使用，是指該信息系統(tǒng)中使用的該類信息技術(shù)產(chǎn)品全都是國(guó)產(chǎn)品（品牌、型號(hào)等可以不同）。全部未使用，是指該信息系統(tǒng)中使用的該類信息技術(shù)產(chǎn)品全都不是國(guó)產(chǎn)品。部分使用率，是指當(dāng)某類產(chǎn)品部分使用國(guó)產(chǎn)品時(shí)，國(guó)產(chǎn)品的使用率。以某類操作系統(tǒng)為例，如某信息系統(tǒng)的主機(jī)（服務(wù)器）上共使用了3套操作系統(tǒng)，其中微軟操作系統(tǒng)2套，紅旗操作系統(tǒng)1套，則該信息系統(tǒng)中使用操作系統(tǒng)的國(guó)產(chǎn)品率就是33%（1/3），再如某信息系統(tǒng)中共使用了20個(gè)路由器，其中10個(gè)國(guó)內(nèi)產(chǎn)品，10個(gè)國(guó)外產(chǎn)品，此外還使用了20個(gè)網(wǎng)關(guān)，其中15個(gè)國(guó)內(nèi)產(chǎn)品，5個(gè)國(guó)外產(chǎn)品，則該信息系統(tǒng)中使用網(wǎng)絡(luò)產(chǎn)品的國(guó)

39、產(chǎn)品率就是62.5%（10+15/20+20）。 國(guó)產(chǎn)品是指該類產(chǎn)品的研制、生產(chǎn)單位是由中國(guó)公民、法人投資或者國(guó)家投資或者控股，在中華人民共和國(guó)境內(nèi)具有獨(dú)立的法人資格，產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國(guó)自主知識(shí)產(chǎn)權(quán)。,備案表中有關(guān)數(shù)據(jù)項(xiàng)的說(shuō)明,十五、系統(tǒng)采用服務(wù)情況：是指信息系統(tǒng)在規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維、終止等生命周期的各個(gè)階段采用的由供應(yīng)商、組織機(jī)構(gòu)或人員所執(zhí)行的一系列的安全過(guò)程或任務(wù)。（1）服務(wù)類型。等級(jí)測(cè)評(píng)：是指依據(jù)等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)對(duì)相應(yīng)等級(jí)信息系統(tǒng)開展的標(biāo)準(zhǔn)符合性測(cè)評(píng)，測(cè)評(píng)完成后出具符合相應(yīng)等級(jí)要求（符合基本要求）的測(cè)評(píng)報(bào)告，報(bào)公安機(jī)關(guān)備案；風(fēng)險(xiǎn)評(píng)估：是指信息安全風(fēng)險(xiǎn)評(píng)估；災(zāi)難恢復(fù)：是指將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)，并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)的活動(dòng)和流程；應(yīng)急響應(yīng)：是指對(duì)影響計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的不當(dāng)行為（事件）進(jìn)行標(biāo)識(shí)、記錄、分類和處理，直到受影響的服務(wù)恢復(fù)正常運(yùn)行的過(guò)程；系統(tǒng)集成：是指系統(tǒng)集成商使用硬件和軟件資源來(lái)滿足用戶的特定需求的過(guò)程；安全咨詢：是指為開展信息系統(tǒng)安全工作，由信息系統(tǒng)運(yùn)營(yíng)使用或主管部門發(fā)起的咨詢工作；安全培訓(xùn)：是指為開展安全工作對(duì)相應(yīng)人員進(jìn)行的培訓(xùn)；如果在上述服務(wù)外還采用了其他服務(wù)，可以選其它，并在其后的橫線中標(biāo)明具體的內(nèi)容。,備案表中有