DB43-T 2846-2023重要信息系統(tǒng)具體范圍和識別規(guī)則

ICS01.140.20CCSL70 43湖 南 省 地 方 標(biāo) 準(zhǔn)DB43/T2845—2023重要信息系統(tǒng)具體范圍和識別規(guī)則Specificscopeandidentificationrulesofimportantinformationsystemsimportantinformationsystems2023110920240209湖南省市場監(jiān)督管理局發(fā)布目 次前言Ⅲ112規(guī)范性引用文件13············142535.1承載重要數(shù)據(jù)35.2承載重要業(yè)務(wù)35.3承載個人信息35.4等級保護級別36別認(rèn)定············36.1工流程·········36.246.346.4報結(jié)果·········47定更5A（）6B（）8C（）··································10D（）··································13E（）··································14參考獻15前 言GB/T1.1—20201請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中共湖南省委網(wǎng)絡(luò)安全和信息化委員會辦公室提出并歸口。重要信息系統(tǒng)具體范圍和識別規(guī)則本文件規(guī)定了重要信息系統(tǒng)識別的具體范圍、識別因素、識別認(rèn)定流程和認(rèn)定變更等內(nèi)容。本文件適用于開展重要信息系統(tǒng)的識別和認(rèn)定。（GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范GB/T39204—2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求下列術(shù)語和定義適用于本文件。3.1信息系統(tǒng)運營者Operatorsofinformationsystem信息系統(tǒng)的所有者、管理者。3.2關(guān)鍵信息基礎(chǔ)設(shè)施Criticalinformationinfrastructure公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)[來源：GB/T39204—2022，3.1]3.3重要數(shù)據(jù)Importantdata一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)。3.4重要業(yè)務(wù)Importantbusiness3.5個人信息Personalinformation以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。[來源：GB/T35273—2020，3.1]注1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。注2：個人信息控制者通過個人信息或其他信息加工處理后形成的信息，例如，用戶畫像或特征標(biāo)簽，能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的，屬于個人信息。注3：關(guān)于個人信息的判定方法和類型參見GB/T35273附錄A。3.6個人敏感信息Personalsensitiveinformation一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。[來源：GB/T35273—2020，3.2]注1：個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬戶、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個人信息等。注2：個人信息控制者通過個人信息或其他信息加工處理后形成的信息，如一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的，屬于個人敏感信息。注3：關(guān)于個人敏感信息的判定方法和類型參見GB/T35273附錄B。3.7重要信息系統(tǒng)Importantinformationsystem公共通信和信息服務(wù)、電子政務(wù)、市政、金融、能源、交通、水利、醫(yī)療衛(wèi)生、教育、廣電、工業(yè)3.8重要信息系統(tǒng)運營者Operatorsofimportantinformationsystem重要信息系統(tǒng)的所有者、管理者。重要信息系統(tǒng)的行業(yè)和領(lǐng)域范圍如下：d）金融，包括銀行、證券、期貨、保險和信托等；e）能源，包括煤炭、石油石化、天然氣、電力等；f）交通，包括鐵路、民航、公路運輸、水運等；承載重要數(shù)據(jù)，重要數(shù)據(jù)識別應(yīng)按照國家和行業(yè)相關(guān)法規(guī)標(biāo)準(zhǔn)執(zhí)行。注：重要數(shù)據(jù)參照表見附錄A。承載重要業(yè)務(wù)，一旦遭到破壞、喪失功能，可能造成以下影響之一的：a）影響單個地市級行政區(qū)20％及以上人口的工作、生活及政務(wù)服務(wù)；b）5500注：重要業(yè)務(wù)參照表見附錄B。承載個人信息，符合以下條件之一的：a）10010網(wǎng)絡(luò)安全保護等級確定為第三級及以上的。6識別與認(rèn)定6.1工作流程1是否認(rèn)定為重要信息系統(tǒng)否是是否認(rèn)定為重要信息系統(tǒng)否是報送結(jié)果結(jié)束開始開始運營者報送初步識別結(jié)果運營者報送初步識別結(jié)果運營者開展重要信息系統(tǒng)識別行業(yè)主管或監(jiān)督管理部門認(rèn)定行業(yè)主管或監(jiān)督管理部門認(rèn)定圖1重要信息系統(tǒng)識別認(rèn)定流程圖圖1重要信息系統(tǒng)識別認(rèn)定流程圖見附錄（D6.4報送結(jié)果E附錄A（）重要數(shù)據(jù)參照表見表A.1。表A.1重要數(shù)據(jù)參照表序號識別重要數(shù)據(jù)因素舉例1直接影響國家主權(quán)、政權(quán)安全、政治制度、意識形態(tài)安全如用以實施社會動員的數(shù)據(jù)2直接影響領(lǐng)土安全和國家統(tǒng)一，或反映國家自然資源基礎(chǔ)情況如未公開的領(lǐng)陸、領(lǐng)水、領(lǐng)空數(shù)據(jù)3可被其他國家或組織利用發(fā)起對我國的軍事打擊，或反映我國戰(zhàn)略儲備、應(yīng)急動員、作戰(zhàn)等能力如滿足一定精度指標(biāo)的地理信息或戰(zhàn)略物資產(chǎn)能、儲備量信息4直接影響市場秩序或國家經(jīng)濟命脈安全如支撐關(guān)鍵基礎(chǔ)設(shè)施所在行業(yè)、領(lǐng)域核心業(yè)務(wù)運行或重要經(jīng)濟領(lǐng)域生產(chǎn)的數(shù)據(jù)5反映我國語言文字、歷史、風(fēng)俗習(xí)慣、民族價值觀念等特質(zhì)如歷史文化遺產(chǎn)信息6反映重點目標(biāo)、重要場所物理安全保護情況或未公開地理目標(biāo)的位置，可被恐怖分子、犯罪分子利用實施破壞（道用公路、機場信息7關(guān)系國家科技實力、影響國際競爭力，或關(guān)系出口管制物項據(jù)、檢測報告8反映關(guān)鍵信息基礎(chǔ)設(shè)施總體運行、發(fā)展和安全保護情況，可被利用實施對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊的數(shù)據(jù)9可被利用實施對關(guān)鍵設(shè)備、系統(tǒng)組件供應(yīng)鏈的破壞，以發(fā)起高級持續(xù)性威脅等網(wǎng)絡(luò)攻擊如政府或軍工單位客戶清單、未公開的產(chǎn)品和服務(wù)采購情況、未公開的重大漏洞10反映自然環(huán)境、生產(chǎn)生活環(huán)境基礎(chǔ)情況，或可被利用造成環(huán)境安全事件如未公開的土壤數(shù)據(jù)、氣象觀測數(shù)據(jù)、環(huán)保監(jiān)測數(shù)據(jù)11反映水資源、能源資源、土地資源、礦產(chǎn)資源等資源儲備和開發(fā)、供給情況如未公開的水文觀測數(shù)據(jù)、未公開的耕地面積或質(zhì)量變化情況12反映核材料、核設(shè)施、核活動情況，或可被利用造成核破壞或其他核安全事件如核電站設(shè)計圖、核電站運行數(shù)據(jù)表A.1重要數(shù)據(jù)參照表（續(xù)）序號識別重要數(shù)據(jù)因素舉例13關(guān)系海外能源資源安全、海上戰(zhàn)略通道安全、海外公民和法人安全，或可被利用實施對我國參與國際經(jīng)貿(mào)、文化交流活動的破壞或?qū)ξ覈鴮嵤┢缫曅越?、限制或其他類似措施如國際貿(mào)易中特殊物項生產(chǎn)交易以及特殊裝備配備、使用情況14關(guān)系我國在太空、深海、極地等戰(zhàn)略新疆域的現(xiàn)實或潛在利益如未公開的科學(xué)考察、開發(fā)利用數(shù)據(jù)和影響人員安全進出的數(shù)據(jù)15反映生物技術(shù)研究、開發(fā)和應(yīng)用情況，反映族群特征、遺傳信息，關(guān)系重大突發(fā)傳染病、動植物疫情，關(guān)系生物實驗室安全，或可能被利用制造生物武器、實施生物恐怖襲擊，關(guān)系外來物種入侵和生物多樣性如重要生物資源數(shù)據(jù)、微生物耐藥基礎(chǔ)研究數(shù)據(jù)16未公開的政務(wù)數(shù)據(jù)、工作秘密、情報數(shù)據(jù)和執(zhí)法司法數(shù)據(jù)如未公開且可能造成重大社會影響的統(tǒng)計數(shù)據(jù)17反映全局性或重點領(lǐng)域經(jīng)濟運行、金融活動狀況，關(guān)系產(chǎn)業(yè)競爭力，可造成公共安全事故或影響公民生命安全，可引發(fā)群體性活動或影響群體情感與認(rèn)知及?；分谱鞴に?、?；穬涞攸c18反映國家或地區(qū)群體健康生理狀況，關(guān)系疾病傳播與防治，關(guān)系食品藥品安全如健康醫(yī)療資源數(shù)據(jù)、批量人口的診療與健康管理數(shù)據(jù)、食品安全溯源標(biāo)識信息19其他可能影響國家政治、國土、軍事、經(jīng)濟、海外利益、太空、極地、深海、生物等安全的數(shù)據(jù)/附錄B（）重要業(yè)務(wù)參照表見表B.1。表B.1重要業(yè)務(wù)參照表序號行業(yè)舉例1公共通信和信息服務(wù)域名解析服務(wù)、業(yè)務(wù)運行支撐、數(shù)據(jù)中心、云平臺等2電子政務(wù)地市級及以上發(fā)展改革、教育、科技、工業(yè)和信息化、民宗、公安、民政、司法、財政、稅務(wù)、海關(guān)、統(tǒng)計、工商、郵政、人力資源和社會保障、自然資源、生態(tài)環(huán)境、住3市政水、暖、氣供應(yīng)管理、污水處理、城市軌道交通、智慧城市運行及管理等4金融證券、期貨、銀行、保險和信托等金融單位的運營、交易、支付清算、網(wǎng)上銀行等5能源電力（或甲級資質(zhì)及以上設(shè)計單位電力設(shè)計管理等；發(fā)電廠及變電站自動化、電力負(fù)荷控制管理、機組控制、調(diào)度和監(jiān)控等；電力監(jiān)管單位電力生產(chǎn)、電力傳輸、電力配送、電力管理等6石油石化油氣開采、煉化加工、油氣輸送、油氣存儲等7煤炭煤炭開采（生產(chǎn)監(jiān)控、礦井地下監(jiān)控）、煤化工等8交通鐵路列車調(diào)度指揮、列車調(diào)度集中、列車運行監(jiān)控、運輸調(diào)度管理、客票發(fā)售與預(yù)定、牽引供電等9民航空運交通管控、機場安檢、航班信息集成、訂票、離港及飛行調(diào)度檢查安排、航空公司運營、空管生產(chǎn)控制、指揮調(diào)度、航班運行控制等10公路運輸公路交通管控、智能交通、公路聯(lián)網(wǎng)收費管理等11水運水運公司運營（含客運、貨運）、港口管理運營、航運交通管控等12水利防汛抗旱指揮等表B.1重要業(yè)務(wù)參照表（續(xù)）序號行業(yè)舉例13醫(yī)療衛(wèi)生14教育省級教育管理部門考試考務(wù)管理與服務(wù)、學(xué)生學(xué)籍管理、學(xué)位授予管理等；地市級及以上教育管理部門招生錄取管理等；普通高校招生錄取管理、科研管理、科研情報、門戶網(wǎng)站、論壇/社區(qū)類網(wǎng)站、校園一卡通等；重點中學(xué)招生錄取管理等15廣電地市級及以上廣播/電視中心、有線電視平臺、網(wǎng)絡(luò)廣播電視臺、互聯(lián)網(wǎng)視聽節(jié)目服務(wù)機構(gòu)等的制作、播出、發(fā)布、播控、互動點播、寬帶、調(diào)度控制、運營支撐、網(wǎng)站等16工業(yè)生產(chǎn)企業(yè)運營管理、智能制造（工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、智能裝備等）、危化品生產(chǎn)加工和存儲管控（化學(xué)、核等）、高風(fēng)險工業(yè)設(shè)施運行管控、裝備化工制造、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)等17互聯(lián)網(wǎng)101000直播等18上述情形以外的其他重要業(yè)務(wù)附錄C（規(guī)范性）重要信息系統(tǒng)識別登記表重要信息系統(tǒng)識別登記表見表C.1。表C.1重要信息系統(tǒng)識別登記表信息系統(tǒng)運營者單位名稱單位地址 ?。ㄗ灾螀^(qū)、直轄市） 地（區(qū)、市、州、盟） 縣（區(qū)、市） 號隸屬關(guān)系□中央 □?。ㄗ灾螀^(qū)、直市） □地（區(qū)、市、州、）□縣（區(qū)、市、旗）□其他 單位類型□黨政機關(guān)□事業(yè)單位企業(yè)□其他 行業(yè)領(lǐng)域□公共通信和信息服務(wù)□電子政務(wù)□市政□金融□能源□交通□水利□醫(yī)療衛(wèi)生□教育□廣電□工業(yè)生產(chǎn)□互聯(lián)網(wǎng)□其他 網(wǎng)絡(luò)安全責(zé)任人手機號碼座機號碼網(wǎng)絡(luò)安全聯(lián)系人手機號碼座機號碼信息系統(tǒng)名稱信息系統(tǒng)描述1.系統(tǒng)類別為（可多選）：□傳統(tǒng)信息系統(tǒng)（不含APP）□傳統(tǒng)信息系統(tǒng)（含APP）信息系統(tǒng)情況介紹基本情況云計算□移動互聯(lián)□聯(lián)網(wǎng)□工業(yè)控制□大數(shù)據(jù)□其它 2.系統(tǒng)主要用戶有 系用戶數(shù)量有 用戶分布范圍：□全球□國□全省□本地區(qū)□單位□其它 系統(tǒng)部署方式本地部署□政務(wù)云部署□公有云部署托管部署混合模式署□其他 專網(wǎng)訪問□其 外聯(lián)邊界，外聯(lián)單位有 系統(tǒng)邊界，對接系統(tǒng)有 6.軟件開發(fā)形式：□自主軟件開發(fā)□外包軟件開發(fā)□基于成熟產(chǎn)品定制開發(fā)□上級統(tǒng)一下發(fā)購買成熟產(chǎn)品7.運行維護情況：□自行維護□外包單位維護□開發(fā)單位駐場維護□開發(fā)單位遠程維護表C.1重要信息系統(tǒng)識別登記表（續(xù)）數(shù)據(jù)內(nèi)容：系統(tǒng)承載有哪數(shù)據(jù) 數(shù)據(jù)載體：□結(jié)構(gòu)化數(shù)據(jù)庫□大數(shù)據(jù)平臺□數(shù)據(jù)湖□他 4.業(yè)務(wù)數(shù)據(jù)產(chǎn)生途徑：□業(yè)務(wù)采集□互聯(lián)網(wǎng)抓取□搜集分析□外購□APP收集數(shù)據(jù)情況網(wǎng)站收集□人工導(dǎo)入□內(nèi)共享□其他 5.數(shù)據(jù)備份：無備份地備份異地備份6.數(shù)據(jù)加密：數(shù)據(jù)存儲與傳輸均加密數(shù)據(jù)存儲與傳輸均未加密僅數(shù)據(jù)存儲加密僅數(shù)據(jù)傳輸加密7.是否已進行數(shù)據(jù)分類分級：□是□否8.外部數(shù)據(jù)交換：是否存在與境內(nèi)單位數(shù)據(jù)共享：□是□否共享單位及主要共享數(shù)據(jù)類型： 9.是否存在數(shù)據(jù)出境：□是□否出境對象主體及主要出境數(shù)據(jù)類型： 承載的主要業(yè)務(wù)是： 系統(tǒng)是否需24小時運行：□是□否 系統(tǒng)中斷會造成么影響： 可容忍系統(tǒng)中斷的時間為： 信息系統(tǒng)情況介紹業(yè)務(wù)情況影響單個地市級行政區(qū) ％及以上人口的工作、生及政務(wù)服務(wù)影響 萬人及以上用、用電、用氣、用油、取暖、就醫(yī)或交通出行等造成人員死亡：是否造成 萬元及以上直經(jīng)濟損失造成其他行業(yè)、領(lǐng)域的重大關(guān)聯(lián)性安全風(fēng)險：是否危害國家安全、國計民生、經(jīng)濟命脈、社會穩(wěn)定、公共利益：是否1.是否處理個人信息：□是否個人信息數(shù)據(jù)量（概數(shù)）： 萬條處理何種個人信息：□姓名□出生日期□身份證件號碼□個人生物識別信息□住址□通信通訊聯(lián)系方式□通信記錄和內(nèi)容□賬號密碼□財產(chǎn)信息□征信信息□行蹤軌個人信息情況跡□住宿信息□健康生理息□交易信息其他 個人信息處理方式：存儲傳輸公開刪除銷毀是否處理個人敏感信息：□是□否個人敏感信息數(shù)據(jù)（概數(shù)）： 萬條處理何種個人敏感信息：□身份證件號碼□個人生物識別信息□銀行賬戶□通信記錄和內(nèi)容□財產(chǎn)信息□征信信息□行蹤軌跡□住宿信息□健康生理信息□交易信息□14歲以下（含）兒童的個信息其他 4.敏感個人信息處理方式：采集存儲傳輸使用提供公開刪除銷毀1.系統(tǒng)是否已明確網(wǎng)絡(luò)安全等級保護級別：□未確定□已確定網(wǎng)絡(luò)安全等級保護情況二級：□S1A2G2□S2A1G2□S2A2G2三級：□S1A3G3□S2A3G3□S3A1G3□S3A2G3□S3A3G3四級：□S1A4G4S2A4G4S3A4G4S4A4G4S4A3G4S4A2G4S4A1G42.□專家評審會判定注：如該系統(tǒng)被識別為重要信息系統(tǒng)且等級保護級別是唯一識別因素，請?zhí)峤恍畔⑾到y(tǒng)安全等級保護備案證明文件作為該表附件。注：如該系統(tǒng)被識別為重要信息系統(tǒng)且等級保護級別是唯一識別因素，請?zhí)峤恍畔⑾到y(tǒng)安全等級保護備案證明文件作為該表附件。表C.1重要信息系統(tǒng)識別等級表（續(xù)）初步識別情況1.是否承載重要數(shù)據(jù)：□是，系統(tǒng)承載重要數(shù)據(jù)有哪些： 2.是否承載重要業(yè)務(wù)：□是，系統(tǒng)承載的重要業(yè)務(wù)有哪些： □3.個人信息承載數(shù)量是否達到100萬條：□是□否個人敏感信息承載數(shù)量是否達到10萬條：□是□否4.信息系統(tǒng)等級是否達到等級保護三級及以上：□是□否初步識別結(jié)果是否屬于重要信息系統(tǒng)：承載重要數(shù)據(jù)承載重要業(yè)務(wù)及以上信息系統(tǒng)（可多選）否信息系統(tǒng)運營者簽章年 月 日注：認(rèn)定依據(jù)填寫示例：注：認(rèn)定依據(jù)填寫示例：示例1 系統(tǒng)運營單位屬 行業(yè)屬于重要信息系統(tǒng)的行業(yè)和領(lǐng)域范圍內(nèi)該系統(tǒng)承載 數(shù)據(jù)依據(jù)28455.1，該數(shù)據(jù)為重要數(shù)，應(yīng)認(rèn)定為重要信息系統(tǒng)。示例2 系統(tǒng)運營單位屬 行業(yè)屬于重要信息系統(tǒng)的行業(yè)和領(lǐng)域范圍內(nèi)該系統(tǒng)承載 業(yè)務(wù)依據(jù)28455.2，該業(yè)務(wù)為重要業(yè)，應(yīng)認(rèn)定為重要信息系統(tǒng)。示例系統(tǒng)運營單位于 行業(yè)屬于重要信息統(tǒng)的行業(yè)和領(lǐng)域范圍內(nèi)該系統(tǒng)承載 萬條個人信息依據(jù)DB43/T28455.3，應(yīng)定為重要信息系統(tǒng)。示例4： 系統(tǒng)運營單位于 行業(yè)，屬于重要信息統(tǒng)的行業(yè)和領(lǐng)域范圍內(nèi)，該系統(tǒng)屬于等級保護三級及上信息系統(tǒng)，依據(jù)DB43/T28455.4，應(yīng)認(rèn)定為重要信息系。附錄