信息系統(tǒng)定級(jí)與備案工作介紹

1、信息系統(tǒng)定級(jí)與備案工作介紹本文主要介紹信息系統(tǒng)安全保護(hù)等級(jí)的確定，定級(jí)工作的流程和要求，備案工作的流程和要求等。一、信息系統(tǒng)安全保護(hù)等級(jí)的劃分與保護(hù)（一）信息系統(tǒng)定級(jí)工作原則信息系統(tǒng)定級(jí)工作應(yīng)按照“自主定級(jí)、專(zhuān)家評(píng)審、主管部門(mén)審批、公安機(jī)關(guān)審核”的原則進(jìn)行。定級(jí)工作的主要內(nèi)容包括：確定定級(jí)對(duì)象、確定信息系統(tǒng)安全保護(hù)等 級(jí)、組織專(zhuān)家評(píng)審、主管部門(mén)審批、公安機(jī)關(guān)審核。各信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)是信息安全等級(jí)保護(hù)的責(zé)任主體，根據(jù)所屬信息系統(tǒng)的重要程度和遭到破壞后的危害程度，確定信息系統(tǒng)的安全保護(hù) 等級(jí)。同時(shí)，按照所定等級(jí)，依照相應(yīng)等級(jí)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，建設(shè)信息安全保護(hù)設(shè)施，建立安全制度，落

2、實(shí)安全責(zé)任，對(duì)信息系統(tǒng)進(jìn)行保護(hù)。在等級(jí)保護(hù)工作中，信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則開(kāi)展工作，并接受信息安全監(jiān)管部門(mén)對(duì)開(kāi)展等級(jí)保護(hù)工作的監(jiān)管。 運(yùn)營(yíng)使用單位和主管部門(mén)是信息系統(tǒng)安全的第一責(zé)任人，對(duì)所屬信息系統(tǒng)安全負(fù)有直接責(zé)任；公安、保密、密碼部門(mén)對(duì)運(yùn)營(yíng)使用單位和主管部門(mén)開(kāi)展等級(jí)保護(hù)工作進(jìn) 行監(jiān)督、檢查、指導(dǎo)，對(duì)重要信息系統(tǒng)安全負(fù)監(jiān)管責(zé)任。由于重要信息系統(tǒng)的安全運(yùn)行不僅影響本行業(yè)、本單位的生產(chǎn)和工作秩序，也會(huì)影響國(guó)家安全、社會(huì)穩(wěn)定、 公共利益，因此，國(guó)家必然要對(duì)重要信息系統(tǒng)的安全進(jìn)行監(jiān)管。（二）信息系統(tǒng)安全保護(hù)等級(jí)信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安

3、全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)，從第一級(jí)到第五級(jí)逐級(jí)增高。 （三）信息系統(tǒng)安全保護(hù)等級(jí)的定級(jí)要素信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度。1.受侵害的客體等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面：一是公民、法人和其他組織的合法權(quán)益；二是社會(huì)秩序、公共利益；三是國(guó)家安全。2.對(duì)客體的侵害程度對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對(duì)客體的侵害是通過(guò)對(duì)等級(jí)保護(hù)對(duì)象的破壞實(shí)現(xiàn)的，因此，對(duì)客

4、體的侵害外在表現(xiàn)為對(duì)等級(jí)保護(hù)對(duì)象的破 壞，通過(guò)危害方式、危害后果和危害程度加以描述。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度有三種：一是造成一般損害；二是造成嚴(yán)重?fù)p害；三是造成特別 嚴(yán)重?fù)p害。（四）五級(jí)保護(hù)和監(jiān)管信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)國(guó)家信息安全等級(jí)保護(hù)政策和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)，國(guó)家信息安全監(jiān)管部門(mén)對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。定級(jí)要素與信息系統(tǒng)安全保護(hù)等級(jí)的關(guān)系如表1-1所示。表1-1 定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系等級(jí)對(duì)象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級(jí)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會(huì)秩序和公共利益損害第三級(jí)重要系統(tǒng)社會(huì)秩序和公共利益嚴(yán)重?fù)p害

5、監(jiān)督檢查國(guó)家安全損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國(guó)家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國(guó)家安全特別嚴(yán)重?fù)p害專(zhuān)門(mén)監(jiān)督檢查二、定級(jí)工作的主要步驟信息系統(tǒng)定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)和關(guān)鍵環(huán)節(jié)，是開(kāi)展信息系統(tǒng)備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查等工作的重要基礎(chǔ)。這里先明確一個(gè)概念，信息系統(tǒng)包括 起支撐、傳輸作用的基礎(chǔ)信息網(wǎng)絡(luò)和各類(lèi)應(yīng)用系統(tǒng)。信息系統(tǒng)安全級(jí)別定級(jí)不準(zhǔn)，系統(tǒng)備案、建設(shè)整改、等級(jí)測(cè)評(píng)等后續(xù)工作都會(huì)失去基礎(chǔ)，信息系統(tǒng)安全就沒(méi)有保 證。定級(jí)工作可以按照下列步驟進(jìn)行。（一）開(kāi)展摸底調(diào)查按照定級(jí)工作通知確定的定級(jí)范圍，各單位、各部門(mén)可以組織開(kāi)展對(duì)所屬信息系統(tǒng)進(jìn)行摸底調(diào)查，摸清信息系統(tǒng)

6、底數(shù)，掌握信息系統(tǒng)（包括信息網(wǎng)絡(luò)）的業(yè)務(wù)類(lèi)型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，為下一步明確要求、落實(shí)責(zé)任奠定基礎(chǔ)。（二）確定定級(jí)對(duì)象在全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作（以下簡(jiǎn)稱(chēng)“定級(jí)工作”）中，如何科學(xué)、合理地確定定級(jí)對(duì)象是最關(guān)鍵的問(wèn)題。信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門(mén)按如下原則確定定級(jí)對(duì)象。一是起支撐、傳輸作用的信息網(wǎng)絡(luò)（包括專(zhuān)網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)）要作為定級(jí)對(duì)象。但不是將整個(gè)網(wǎng)絡(luò)作為一個(gè)定級(jí)對(duì)象，而是要從安全管理和安全責(zé)任的角度將基礎(chǔ)信息網(wǎng)絡(luò)劃分成若干個(gè)最小安全域或最小單元去定級(jí)。二是用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮、辦公等目的的各類(lèi)業(yè)務(wù)系統(tǒng)，要按照不同業(yè)務(wù)類(lèi)別單獨(dú)確定為定級(jí)對(duì)象

7、，不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換、是否獨(dú)享設(shè)備為確定定級(jí)對(duì)象條件。不能將某一類(lèi)信息系統(tǒng)作為一個(gè)定級(jí)對(duì)象去定級(jí)。三是各單位網(wǎng)站要作為獨(dú)立的定級(jí)對(duì)象。如果網(wǎng)站的后臺(tái)數(shù)據(jù)庫(kù)管理系統(tǒng)安全級(jí)別高，也要作為獨(dú)立的定級(jí)對(duì)象。網(wǎng)站上運(yùn)行的信息系統(tǒng)（例如對(duì)社會(huì)服務(wù)的報(bào)名考試系統(tǒng)）也要作為獨(dú)立的定級(jí)對(duì)象。四是確認(rèn)負(fù)責(zé)定級(jí)的單位是否對(duì)所定級(jí)系統(tǒng)負(fù)有業(yè)務(wù)主管責(zé)任。也就是說(shuō)，業(yè)務(wù)部門(mén)應(yīng)主導(dǎo)對(duì)業(yè)務(wù)信息系統(tǒng)定級(jí)，運(yùn)維部門(mén)（例如信息中心、托管方）可以協(xié)助定級(jí)并按照業(yè)務(wù)部門(mén)的要求開(kāi)展后續(xù)安全保護(hù)工作。五是具有信息系統(tǒng)的基本要素。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將

8、某個(gè)單一的系統(tǒng)組件（如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等）作為定級(jí)對(duì)象。例如，奧運(yùn)網(wǎng)絡(luò)主要包括，“奧組委辦公外網(wǎng)”（承載自動(dòng)化辦公、場(chǎng)館管理、電子郵件、物流、員工之家等16項(xiàng)業(yè)務(wù)）、“奧組委內(nèi)部辦公局域網(wǎng)”（承載著財(cái)務(wù)管理、人事管理等3項(xiàng)業(yè)務(wù)）、“奧運(yùn)票務(wù)網(wǎng)”（票務(wù)網(wǎng)站和票務(wù)管理系統(tǒng)）、“奧運(yùn)官方網(wǎng)站”（門(mén)戶(hù)網(wǎng)站和后臺(tái)數(shù)據(jù)處理系統(tǒng)）、“奧運(yùn)互聯(lián)網(wǎng)接入”、“競(jìng)賽網(wǎng)”等六個(gè)奧運(yùn)信息系統(tǒng)。確定奧組委辦公外網(wǎng)、奧組委內(nèi)部辦公局域網(wǎng)、票務(wù)網(wǎng)站、票務(wù)管理系統(tǒng)、奧運(yùn)官方網(wǎng)站和競(jìng)賽網(wǎng)為定級(jí)對(duì)象。（三）初步確定信息系統(tǒng)等級(jí)可以按照下列要求確定信息系統(tǒng)等級(jí)：1.定級(jí)責(zé)任主體。各信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)是信息系統(tǒng)定級(jí)的

9、責(zé)任主體。2.定級(jí)要素。信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)的要素決定：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度。信息系統(tǒng)的安全保護(hù)等級(jí)是信息系統(tǒng)本身的客觀自然屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù)措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對(duì)國(guó)家安 全、社會(huì)穩(wěn)定、人民群眾合法公益的危害程度為依據(jù)，確定信息系統(tǒng)的安全保護(hù)等級(jí)。定級(jí)時(shí)應(yīng)主要考慮信息系統(tǒng)破壞后對(duì)國(guó)家安全、社會(huì)穩(wěn)定的影響，考慮境內(nèi)外 各種敵對(duì)勢(shì)力、敵對(duì)分子針對(duì)重要信息系統(tǒng)入侵攻擊破壞和竊取秘密等因素。既要防止個(gè)別單位版面追求絕對(duì)安全而定級(jí)過(guò)高，也要防止為了逃避監(jiān)管定級(jí)偏低。3.對(duì)各類(lèi)系統(tǒng)定級(jí)的處理方法。一是單位自

10、建的信息系統(tǒng)（與上級(jí)單位無(wú)關(guān)），單位自主定級(jí)。二是跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)，可以由主管部門(mén)統(tǒng)一確定安 全保護(hù)等級(jí)。其中：由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一安全保護(hù)策略的全國(guó)聯(lián)網(wǎng)系統(tǒng)，應(yīng)由行業(yè)主管部門(mén)統(tǒng)一對(duì)下各級(jí)系統(tǒng)分別確定等級(jí)；由各行業(yè)統(tǒng)一規(guī)劃、分 級(jí)建設(shè)、全國(guó)聯(lián)網(wǎng)的信息系統(tǒng)，應(yīng)由部、省、地市分別確定系統(tǒng)等級(jí)，但各行業(yè)主管部門(mén)應(yīng)對(duì)該系統(tǒng)提出定級(jí)意見(jiàn)，避免出現(xiàn)同類(lèi)系統(tǒng)下級(jí)定級(jí)比上級(jí)高的現(xiàn)象。對(duì) 于該類(lèi)系統(tǒng)的等級(jí)，下級(jí)確定后需報(bào)上級(jí)主管部門(mén)審批。需特別注意的是：同類(lèi)信息系統(tǒng)的安全保護(hù)等級(jí)不能隨著部、省、市行政級(jí)別的降低而降低，例如地市級(jí)的重要行業(yè)的重要系統(tǒng)不能定為一、二級(jí)。4.新建系統(tǒng)的定

11、級(jí)工作對(duì)于新建系統(tǒng)，信息系統(tǒng)運(yùn)營(yíng)使用單位在規(guī)劃設(shè)計(jì)時(shí)應(yīng)確定信息系統(tǒng)安全保護(hù)等級(jí)，按照信息系統(tǒng)等級(jí)，同步規(guī)劃、同步設(shè)計(jì)、同步實(shí)施安全保護(hù)技術(shù)措施和管理措施。有關(guān)信息系統(tǒng)安全保護(hù)等級(jí)確定的具體辦法和要求見(jiàn)1.3節(jié)。（四）信息系統(tǒng)等級(jí)評(píng)審信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門(mén)在初步確定信息系統(tǒng)安全保護(hù)等級(jí)后，為了保證定級(jí)合理、準(zhǔn)確，可以聘請(qǐng)專(zhuān)家進(jìn)行評(píng)審，并出具專(zhuān)家評(píng)審意見(jiàn)。（五）信息系統(tǒng)等級(jí)的審批單位自建的信息系統(tǒng)（與上級(jí)單位無(wú)關(guān)），等級(jí)確定后，是否報(bào)上級(jí)主管部門(mén)審批，由各行業(yè)自行決定。信息系統(tǒng)運(yùn)營(yíng)使用單位參考專(zhuān)家定級(jí)評(píng)審意見(jiàn)，最終確定信息 系統(tǒng)等級(jí)，形成定級(jí)報(bào)告。如果專(zhuān)家評(píng)審意見(jiàn)與運(yùn)營(yíng)使用單位意見(jiàn)不一致時(shí)

12、，由運(yùn)營(yíng)使用單位自主決定系統(tǒng)等級(jí)，信息系統(tǒng)運(yùn)營(yíng)使用單位有上級(jí)主管部門(mén)的，應(yīng) 當(dāng)經(jīng)上級(jí)主管部門(mén)對(duì)安全保護(hù)等級(jí)進(jìn)行審核批準(zhǔn)。主管部門(mén)一般是指行業(yè)的上級(jí)主管部門(mén)或監(jiān)管部門(mén)。如果是跨地域聯(lián)網(wǎng)運(yùn)營(yíng)使用的信息系統(tǒng)，則必須由其上級(jí)主管 部門(mén)審批，確保同類(lèi)系統(tǒng)或分支系統(tǒng)在各地域分別定級(jí)的一致性。（六）公安機(jī)關(guān)審核公安機(jī)關(guān)收到信息系統(tǒng)運(yùn)營(yíng)使用單位備案材料后，應(yīng)對(duì)信息系統(tǒng)定級(jí)的準(zhǔn)確性進(jìn)行審核。公安機(jī)關(guān)的審核是定級(jí)工作的最后一道防線，應(yīng)予以高度重視，嚴(yán)格把關(guān)。信 息系統(tǒng)定級(jí)基本準(zhǔn)確的，公安機(jī)關(guān)頒發(fā)由公安部統(tǒng)一監(jiān)制的信息系統(tǒng)安全等級(jí)保護(hù)備案證明（以下簡(jiǎn)稱(chēng)備案證明）。對(duì)于定級(jí)不準(zhǔn)的，公安機(jī)關(guān)應(yīng)向備案單 位發(fā)整改通知，并

13、建議備案單位組織專(zhuān)家進(jìn)行重新定級(jí)評(píng)審，并報(bào)上級(jí)主管部門(mén)審批。備案單位仍然堅(jiān)持原定等級(jí)的，公安機(jī)關(guān)可以受理其備案，但應(yīng)當(dāng)書(shū)面告知其 承擔(dān)由此引發(fā)的責(zé)任和后果，經(jīng)上級(jí)公安機(jī)關(guān)同意后，同時(shí)通報(bào)備案單位上級(jí)主管部門(mén)。三、如何確定信息系統(tǒng)安全保護(hù)等級(jí)（一）如何理解信息系統(tǒng)的五個(gè)安全保護(hù)等級(jí)信息系統(tǒng)的安全保護(hù)等級(jí)是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù)措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)穩(wěn) 定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全保護(hù)等級(jí)。既要防止個(gè)別單位片面追求絕對(duì)安全而定級(jí)過(guò)高，也要防止為了逃避監(jiān)管定級(jí)偏低。信息 網(wǎng)絡(luò)的安全等級(jí)可以參照在其

14、上運(yùn)行的信息系統(tǒng)的等級(jí)、網(wǎng)絡(luò)的服務(wù)范圍和自身的安全需求確定適當(dāng)?shù)谋Ｗo(hù)等級(jí)，不以在其上運(yùn)行的信息系統(tǒng)的最高等級(jí)或最低等級(jí) 為標(biāo)準(zhǔn)，既不就高、不就低。為了幫助信息系統(tǒng)運(yùn)營(yíng)使用單位準(zhǔn)確確定信息系統(tǒng)安全保護(hù)等級(jí)，可以參考下列對(duì)五級(jí)的說(shuō)明確定系統(tǒng)等級(jí)。第一級(jí)信息系統(tǒng)：一般適用于小型私營(yíng)、個(gè)體企業(yè)、中小學(xué)，鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級(jí)單位中一般的信息統(tǒng)。第二級(jí)信息系統(tǒng)：一般適用于縣級(jí)其些單位中的重要信息系統(tǒng)；地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。第三級(jí)信息系統(tǒng)：一般適用于地市級(jí)以上國(guó)家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作秘

15、密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全 國(guó)聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類(lèi)系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門(mén)戶(hù)網(wǎng)站和重要網(wǎng) 站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等。第四級(jí)信息系統(tǒng)：一般適用于國(guó)家重要領(lǐng)域、重要部門(mén)中的特別重要系統(tǒng)以及核心系統(tǒng)。例如電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要、部門(mén)的生產(chǎn)、調(diào)度、指揮等涉及國(guó)家安全、國(guó)計(jì)民生的核心系統(tǒng)。第五級(jí)信息系統(tǒng)：一般適用于國(guó)家重要領(lǐng)域、重要部門(mén)中的極端重要系統(tǒng)。（二）定級(jí)的一般流程信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信

16、息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方 面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱(chēng)為業(yè)務(wù)信息安全等級(jí)。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱(chēng)系統(tǒng)服務(wù)安全等級(jí)。確定信息系統(tǒng)安全保護(hù)等級(jí)的一般流程如下：確定作為定級(jí)對(duì)象的信息系統(tǒng)；確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體；根據(jù)不同的受侵害客體，從多個(gè)方面綜合評(píng) 定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度，根據(jù)業(yè)務(wù)信息的重要性和受到破壞后的危害性確定業(yè)務(wù)信息安全等級(jí)；確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體；根據(jù) 不同的受侵害客體，從多個(gè)方面綜合評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度，根據(jù)系統(tǒng)服務(wù)的重要性和受到破壞后的危害性確定系統(tǒng)

17、服務(wù)安全等級(jí)；由業(yè)務(wù)信息 安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)的較高者確定定級(jí)對(duì)象的安全保護(hù)等級(jí)。上述步驟如圖1-1所示。圖1-1 確定等級(jí)一般流程1.確定受侵害的客體定級(jí)對(duì)象受到破壞時(shí)所侵害的客體包括國(guó)家安全、社會(huì)秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。侵害國(guó)家安全的事項(xiàng)包括以下方面：影響國(guó)家政權(quán)穩(wěn)固和國(guó)防實(shí)力；影響國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定；影響國(guó)家對(duì)外活動(dòng)中的政治、經(jīng)濟(jì)利益；影響國(guó)家重要的安全保衛(wèi)工作；影響國(guó)家經(jīng)濟(jì)競(jìng)爭(zhēng)力和科技實(shí)力；其他影響國(guó)家安全的事項(xiàng)。侵害社會(huì)秩序的事項(xiàng)包括以下方面：影響國(guó)家機(jī)關(guān)社會(huì)管理和公共服務(wù)的工作秩序；影響各種類(lèi)型的經(jīng)濟(jì)活動(dòng)秩序；影響各行業(yè)的科研、生產(chǎn)秩序；影

18、響公眾在法律約束和道德規(guī)范下的正常生活秩序等；其他影響社會(huì)秩序的事項(xiàng)。影響公共利益的事項(xiàng)包括以下方面：影響社會(huì)成員使用公共設(shè)施；影響社會(huì)成員獲取公開(kāi)信息資源；影響社會(huì)成員接受公共服務(wù)等方面；其他影響公共利益的事項(xiàng)。影響公民、法人和其他組織的合法權(quán)益是指由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益。確定作為定級(jí)對(duì)象的信息系統(tǒng)受到破壞后所侵害的客體時(shí)，應(yīng)首先判斷是否侵害國(guó)家安全，然后判斷是否侵害社會(huì)秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益。各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)特點(diǎn)，分析各類(lèi)信息和各類(lèi)信息系統(tǒng)與國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織

19、的合法權(quán)益的關(guān)系，從而確定本行業(yè)各類(lèi)信息和各類(lèi)信息系統(tǒng)受到破壞時(shí)所侵害的客體。2.確定對(duì)客體的侵害程度侵害的客觀方面。在客觀方面，對(duì)客體的侵害外在表現(xiàn)為對(duì)定級(jí)對(duì)象的破壞，其危害方式表現(xiàn)為對(duì)信息安全的破壞和對(duì)信息系統(tǒng)服務(wù)的破壞，其中信息安全是指確保信 息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安 全受到破壞所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同，在定級(jí)過(guò)程中，需要分別處理這兩種危害方式。信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果：影響行使工作職能；導(dǎo)致業(yè)務(wù)能力下降；引起法律糾紛；

20、導(dǎo)致財(cái)產(chǎn)損失；造成社會(huì)不良影響；對(duì)其他組織和個(gè)人造成損失；其他影響。3.綜合判定侵害程度侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)，因此，應(yīng)首先根據(jù)不同的受侵害客體、不同危害后果分別確定其危害程度。對(duì)不同危害后果確定其危害程度所采取的 方法和所考慮的角度可能不同，例如系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶(hù)人數(shù)或業(yè)務(wù)量等不同方面確定，業(yè)務(wù)信 息安全被破壞導(dǎo)致的財(cái)物損失可以從直接的資金損失大小、間接的信息恢復(fù)費(fèi)用等方面進(jìn)行確定。在針對(duì)不同的受侵害客體進(jìn)行侵害程度的判斷時(shí)，應(yīng)參照以下不同的判別基準(zhǔn)：如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單

21、位的總體利益作為判斷侵害程度的基準(zhǔn)；如果受侵害客體是社會(huì)秩序、公共利益或國(guó)家安全，則應(yīng)以整個(gè)行業(yè)或國(guó)家的總體利益作為判斷侵害程度的基準(zhǔn)。不同危害后果的三種危害程度描述如下：一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問(wèn)題，較低的財(cái)產(chǎn)損失，有限的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較低損害。嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問(wèn)題，較高的財(cái)產(chǎn)損失，較大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害。特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無(wú)法執(zhí)行，出現(xiàn)極其嚴(yán)重的法

22、律問(wèn)題，極高的財(cái)產(chǎn)損失，大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。信息安全和系統(tǒng)服務(wù)安全被破壞后對(duì)客體的侵害程度，由對(duì)不同危害結(jié)果的危害程度進(jìn)行綜合評(píng)定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種類(lèi)和系統(tǒng)服務(wù)特點(diǎn)各不相 同，信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的危害結(jié)果、危害程度的計(jì)算方式均可能不同，各行業(yè)可根據(jù)本行業(yè)信息特點(diǎn)和系統(tǒng)服務(wù)特點(diǎn)，制定危害程度的綜合評(píng) 定方法，并給出侵害不同客體造成一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害的具體定義。4.確定信息系統(tǒng)安全保護(hù)等級(jí)根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)表1-2業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表，即可得到業(yè)務(wù)信息安全保

23、護(hù)等級(jí)。表1-2 業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)表1-3系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表，即可得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)。表1-3 系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)作為定級(jí)

24、對(duì)象的信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者決定。定級(jí)對(duì)象等級(jí)確定后，可參照附錄1中的信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告模版起草定級(jí)報(bào)告。例如，“奧組委辦公內(nèi)網(wǎng)”承載奧組委內(nèi)部的人事、財(cái)務(wù)等業(yè)務(wù)，僅在奧組委少數(shù)部門(mén)內(nèi)應(yīng)用，不傳輸秘密信息和敏感信息。其受到破壞后，會(huì)影響內(nèi)部辦公，會(huì)對(duì)社 會(huì)秩序、公共利益造成損害，定為二級(jí)；“奧組委辦公外網(wǎng)”通過(guò)唯一出口與互聯(lián)網(wǎng)相連，承載奧組委內(nèi)部的電子郵件、物流、短信平臺(tái)、場(chǎng)館管理等業(yè)務(wù)，在奧組 委總部范圍應(yīng)用，其受到破壞后，會(huì)對(duì)社會(huì)秩序、公共利益造成損害，定為二級(jí)。“票務(wù)網(wǎng)站”負(fù)責(zé)提供票務(wù)申請(qǐng)、信息填寫(xiě)等業(yè)務(wù)，采集購(gòu)票者信息和訂票

25、信息， 不與“票備管理系統(tǒng)”直接相連，其受到破壞后，會(huì)對(duì)社會(huì)秩序、公共利益造成損害，定為二級(jí)。“票務(wù)管理系統(tǒng)”存儲(chǔ)處理通過(guò)各種方式申請(qǐng)、購(gòu)買(mǎi)奧運(yùn)票務(wù)的個(gè) 人數(shù)據(jù)，是“票備網(wǎng)站”的核心，其受到破壞后，會(huì)對(duì)社會(huì)秩序、公共利益造成嚴(yán)重?fù)p害，定為三級(jí)。“奧運(yùn)官方網(wǎng)站”承擔(dān)在互聯(lián)網(wǎng)上對(duì)外宣傳、報(bào)道奧運(yùn)重大事 項(xiàng)，是北京奧運(yùn)通過(guò)互聯(lián)網(wǎng)對(duì)外宣傳的門(mén)戶(hù)，其服務(wù)器保障性要求很高，受到破壞后，會(huì)對(duì)社會(huì)秩序、公共利益造成嚴(yán)重?fù)p害，定為三級(jí)。“競(jìng)賽網(wǎng)”承擔(dān)賽事安 排、計(jì)時(shí)、成績(jī)統(tǒng)計(jì)等重大事項(xiàng)，其數(shù)據(jù)安全和服務(wù)保障性要求很高，受到破壞洉，會(huì)對(duì)社會(huì)秩序、公共利益造成嚴(yán)重?fù)p害，定為三級(jí)。四、信息系統(tǒng)備案工作的內(nèi)容和要求（一

26、）信息系統(tǒng)備案與受理信息安全等級(jí)保護(hù)備案工作包括信息系統(tǒng)備案、受理、審核和備案信息管理等工作。信息系統(tǒng)運(yùn)營(yíng)使用單位和受理備案的公安機(jī)關(guān)應(yīng)按照信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則（公信安20071360號(hào)）的要求辦理信息系統(tǒng)備案工作。1.備案第二級(jí)以上信息系統(tǒng)，在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營(yíng)、使用單位或者其主管部門(mén)（以下簡(jiǎn)稱(chēng)“備案單位”）到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。辦理備案手續(xù)時(shí)，應(yīng)當(dāng)首先到公安機(jī)關(guān)指定的網(wǎng)址下載并填寫(xiě)備案表，準(zhǔn)備好備案文件，然后到指定的地點(diǎn)備案。備案時(shí)應(yīng)當(dāng)提交信息系統(tǒng)安全等級(jí)保護(hù)備案表（以下簡(jiǎn)稱(chēng)備案表，參見(jiàn)附錄2）（一式兩份）及其電子文檔。第二級(jí)以上信息系統(tǒng)備案

27、時(shí)需提交備案表中的表一、二、三；第三級(jí)以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、測(cè)評(píng)完成后30日內(nèi)提交備案表表四及其有關(guān)資料。隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門(mén)統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門(mén)向公安部辦理備案手續(xù)；其他信息系統(tǒng)向北京市公安局備案。跨 省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。各部委統(tǒng)一定級(jí)信息系統(tǒng)在各地的分支系統(tǒng)（包括終 端連接、安裝上級(jí)系統(tǒng)運(yùn)行的沒(méi)有數(shù)據(jù)庫(kù)的分系統(tǒng)），即使是上級(jí)主管部門(mén)定級(jí)的，也要到當(dāng)?shù)?備案。2.受理備案地市級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)受理本轄區(qū)內(nèi)備案單位的備案。隸屬于省級(jí)的備案單

28、位，其跨地（市）聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)，由省級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)受理備案。隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門(mén)統(tǒng)一定級(jí)的信息系統(tǒng)，由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)受理備案。隸屬于中央的非在京單位的信息系統(tǒng)，由當(dāng)?shù)厥〖?jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)（或其指定的地市級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)）受理備案。跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門(mén)統(tǒng)一定級(jí)的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)（包括由上級(jí)主管部門(mén)定級(jí)，在當(dāng)?shù)赜袘?yīng)用的信息系統(tǒng)），由所在地地市級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)受理備案。3.備案信息管理公安部組織開(kāi)發(fā)了重要信息系統(tǒng)安全監(jiān)察管理系統(tǒng)，配發(fā)給各地，搭建一個(gè)部、省、市三級(jí)公安機(jī)關(guān)等級(jí)保護(hù)綜合管理平臺(tái)。該系統(tǒng)部、省兩級(jí)公安機(jī)關(guān)部署，部、 省、市三級(jí)公安機(jī)關(guān)應(yīng)用，為全國(guó)信息系統(tǒng)定級(jí)、備案和監(jiān)督檢查工作提供支持，為重要信息系統(tǒng)安全監(jiān)察業(yè)務(wù)服務(wù)。各地公安機(jī)關(guān)要按照關(guān)于部署開(kāi)展等級(jí)保護(hù) 安全