各保監(jiān)局，各保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司，中國(guó)保險(xiǎn)行業(yè)協(xié)會(huì)： 　　為貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，按照《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安〔2007〕861號(hào)）要求，中國(guó)保監(jiān)會(huì)將在保險(xiǎn)行業(yè)內(nèi)開展信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作?，F(xiàn)將有關(guān)事項(xiàng)通知如下： 　　一、等級(jí)保護(hù)定級(jí)工作的要求及組織方式 　　各單位應(yīng)按照“準(zhǔn)確定級(jí)、嚴(yán)格審批、及時(shí)備案、認(rèn)真整改、科學(xué)測(cè)評(píng)”的要求和“自主定級(jí)、自主保護(hù)”的工作原則，成立相應(yīng)的領(lǐng)導(dǎo)及實(shí)施機(jī)構(gòu)，結(jié)合本單位的實(shí)際情況，準(zhǔn)確開展信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作。 　　保監(jiān)會(huì)成立等級(jí)保護(hù)定級(jí)工作領(lǐng)導(dǎo)小組，統(tǒng)一領(lǐng)導(dǎo)、解決保險(xiǎn)行業(yè)信息安全等級(jí)保護(hù)定級(jí)工作中的重大問題；保監(jiān)會(huì)等級(jí)保護(hù)定級(jí)工作領(lǐng)導(dǎo)小組下設(shè)辦公室,具體負(fù)責(zé)保監(jiān)會(huì)機(jī)關(guān)信息系統(tǒng)等級(jí)保護(hù)定級(jí)的具體實(shí)施工作和行業(yè)定級(jí)工作的指導(dǎo)審核。 　　各保監(jiān)局負(fù)責(zé)本局內(nèi)獨(dú)立運(yùn)行的信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作，并對(duì)各自轄區(qū)內(nèi)的保險(xiǎn)公司分支機(jī)構(gòu)的等級(jí)保護(hù)定級(jí)工作進(jìn)行指導(dǎo)審核。 　　各保險(xiǎn)集團(tuán)公司、保險(xiǎn)控股公司負(fù)責(zé)本公司信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作以及其下屬子公司信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作的組織協(xié)調(diào)和指導(dǎo)。各保險(xiǎn)總公司統(tǒng)一部署本公司和分公司的信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作。 　　二、定級(jí)工作安排及定級(jí)范圍 　?。ㄒ唬┒?jí)工作安排 　　為穩(wěn)妥做好等級(jí)保護(hù)定級(jí)工作，擬在保險(xiǎn)行業(yè)內(nèi)分步分批實(shí)施。 　　保險(xiǎn)行業(yè)第一批定級(jí)單位包括：保監(jiān)會(huì)及各保監(jiān)局，中國(guó)保險(xiǎn)行業(yè)協(xié)會(huì)，中國(guó)人民保險(xiǎn)集團(tuán)公司、中國(guó)人壽保險(xiǎn)（集團(tuán)）公司、中國(guó)再保險(xiǎn)（集團(tuán)）公司、中國(guó)出口信用保險(xiǎn)公司、民生人壽保險(xiǎn)股份有限公司、陽(yáng)光保險(xiǎn)控股股份有限公司、中國(guó)平安保險(xiǎn)（集團(tuán)）股份有限公司、中國(guó)太平洋（集團(tuán)）股份有限公司及其下屬各子公司和分公司。 　　其余公司作為第二批定級(jí)單位（具體時(shí)間安排另行通知）。 　?。ǘ┒?jí)范圍 　　1、保險(xiǎn)監(jiān)管部門監(jiān)管、辦公及網(wǎng)站等重要信息系統(tǒng)；保險(xiǎn)公司和中國(guó)保險(xiǎn)行業(yè)協(xié)會(huì)經(jīng)營(yíng)、管理、辦公等重要信息系統(tǒng)。（以下簡(jiǎn)稱“重要信息系統(tǒng)”） 　　2、涉及國(guó)家秘密的信息系統(tǒng)（以下簡(jiǎn)稱“涉密信息系統(tǒng)”）。 　　三、主要工作步驟 　　第一階段：自主定級(jí)（9月20日前完成） 　　各單位按要求成立相關(guān)定級(jí)實(shí)施機(jī)構(gòu)，對(duì)本系統(tǒng)內(nèi)的重要信息系統(tǒng)和涉密信息系統(tǒng)展開摸底調(diào)查，全面掌握信息網(wǎng)絡(luò)和信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、系統(tǒng)結(jié)構(gòu)、應(yīng)用或服務(wù)范圍等基本情況，按照《信息安全等級(jí)保護(hù)管理辦法》（以下簡(jiǎn)稱“《管理辦法》”，附件1）和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（附件2）的要求，確定定級(jí)對(duì)象并初步確定保護(hù)等級(jí)，形成定級(jí)報(bào)告（報(bào)告模板見附件3）。 　　涉密信息系統(tǒng)的等級(jí)確定按照國(guó)家保密局的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。 　　第二階段：審核（9月25日前完成） 　　各保監(jiān)局將各自獨(dú)立運(yùn)行的重要信息系統(tǒng)和涉密信息系統(tǒng)的定級(jí)報(bào)告報(bào)保監(jiān)會(huì)審核。 　　各公司對(duì)本公司內(nèi)的重要信息系統(tǒng)和涉密信息系統(tǒng)定級(jí)進(jìn)行統(tǒng)一審核，對(duì)跨省聯(lián)網(wǎng)運(yùn)行且由公司總部統(tǒng)一確定等級(jí)的，由總公司將重要信息系統(tǒng)和涉密信息系統(tǒng)的定級(jí)報(bào)告報(bào)保監(jiān)會(huì)審核 (有集團(tuán)或控股公司的，由集團(tuán)或控股公司將定級(jí)報(bào)告統(tǒng)一報(bào)保監(jiān)會(huì)審核)；保險(xiǎn)公司分公司將經(jīng)過總公司審核的，且在分公司獨(dú)立運(yùn)行的重要信息系統(tǒng)和涉密系統(tǒng)定級(jí)報(bào)告報(bào)當(dāng)?shù)乇１O(jiān)局審核。 　　保險(xiǎn)行業(yè)協(xié)會(huì)將所確定的重要信息系統(tǒng)和涉密信息系統(tǒng)的定級(jí)報(bào)告報(bào)保監(jiān)會(huì)審核。 　　保監(jiān)會(huì)及各保監(jiān)局在接到定級(jí)報(bào)告審核文件后，對(duì)不符合要求的于5個(gè)工作日內(nèi)要求其改正，審核通過者不再單獨(dú)答復(fù)。 　　第三階段：備案（9月30日前完成） 　　根據(jù)《管理辦法》，各單位定級(jí)報(bào)告通過保監(jiān)會(huì)或保監(jiān)局審核后，對(duì)重要信息系統(tǒng)安全等級(jí)確定為二級(jí)以上的信息系統(tǒng)應(yīng)到公安部網(wǎng)站下載《信息系統(tǒng)安全等級(jí)保護(hù)備案表》（見附件4）和輔助備案工具，并持填寫的備案表和利用輔助備案工具生成的備案電子數(shù)據(jù)文件，到公安機(jī)關(guān)辦理備案手續(xù)（保險(xiǎn)行業(yè)協(xié)會(huì)確定的信息系統(tǒng)、保險(xiǎn)總公司統(tǒng)一定級(jí)的跨省聯(lián)網(wǎng)運(yùn)營(yíng)的信息系統(tǒng)，向公安部備案；保險(xiǎn)公司分公司將總公司定級(jí)的跨省聯(lián)網(wǎng)在當(dāng)?shù)剡\(yùn)行、應(yīng)用的分支系統(tǒng)以及在當(dāng)?shù)胤止惊?dú)立運(yùn)行的信息系統(tǒng)，向當(dāng)?shù)厥〖?jí)公安機(jī)關(guān)備案）。備案完成后，各級(jí)單位將備案證明復(fù)印件報(bào)相對(duì)應(yīng)的保險(xiǎn)監(jiān)管機(jī)構(gòu)存檔。 　　涉密信息系統(tǒng)建設(shè)使用單位依據(jù)《管理辦法》和國(guó)家保密局的有關(guān)規(guī)定，填寫《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)備案表》（見附件5），按照屬地化管理原則，將所確定的涉密信息系統(tǒng)，報(bào)送相對(duì)應(yīng)的保密部門備案。備案完成后，各級(jí)單位將備案證明復(fù)印件報(bào)相對(duì)應(yīng)的保險(xiǎn)監(jiān)管機(jī)構(gòu)存檔。 　　第四階段：總結(jié)工作（10月15日前完成） 　　各單位應(yīng)對(duì)等級(jí)保護(hù)定級(jí)工作進(jìn)行總結(jié)，并報(bào)保監(jiān)會(huì)等級(jí)保護(hù)定級(jí)工作領(lǐng)導(dǎo)小組。保監(jiān)會(huì)根據(jù)定級(jí)工作開展的情況和定級(jí)工作報(bào)告，總結(jié)工作經(jīng)驗(yàn)，研究并啟動(dòng)第二批等級(jí)保護(hù)定級(jí)工作。 　　 　　聯(lián) 系 人：李春亮、王曉鵬 　　聯(lián)系電話：010－66286602 　　 　　附件：1、信息安全等級(jí)保護(hù)管理辦法 　　2、信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 　　3、信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告 　　4、信息系統(tǒng)安全等級(jí)保護(hù)備案表 　　5、涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)備案表 　　　　　　　　　　　　　　　　　　　　　　　　二○○七年九月六日 附件1： 信息安全等級(jí)保護(hù)管理辦法 （公通字[2007]43號(hào)） 第一章 總則 第一條 為規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)，制定本辦法。 第二條 國(guó)家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。 第三條 公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理。國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門間協(xié)調(diào)。 第四條 信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作。 第五條 信息系統(tǒng)的運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范，履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任。 第二章 等級(jí)劃分與保護(hù) 第六條 國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。 第七條 信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)： 第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。 第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。 第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。 第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。 第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。 第八條 信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)，國(guó)家有關(guān)信息安全監(jiān)管部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。 第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。 第二級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。 第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。 第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。 第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國(guó)家指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。 第三章 等級(jí)保護(hù)的實(shí)施與管理 第九條 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》具體實(shí)施等級(jí)保護(hù)工作。 第十條 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。 跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。 對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)、使用單位或者主管部門應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審。 第十一條 信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。 第十二條 在信息系統(tǒng)建設(shè)過程中，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù) 服務(wù)器技術(shù)要求》、《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671 -2006）等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。 第十三條 運(yùn)營(yíng)、使用單位應(yīng)當(dāng)參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。 第十四條 信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。 信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。 經(jīng)測(cè)評(píng)或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。 第十五條 已運(yùn)營(yíng)（運(yùn)行）的第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。 新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。 隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。 第十六條 辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí)，應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料： （一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明； （二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度； （三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案； （四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明； （五）測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告； （六）信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見； （七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見。 第十七條 信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核，對(duì)符合等級(jí)保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級(jí)不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。 運(yùn)營(yíng)、使用單位或者主管部門重新確定信息系統(tǒng)等級(jí)后，應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。 第十八條 受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)的運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作情況進(jìn)行檢查。對(duì)第三級(jí)信息系統(tǒng)每年至少檢查一次，對(duì)第四級(jí)信息系統(tǒng)每半年至少檢查一次。對(duì)跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會(huì)同其主管部門進(jìn)行。 對(duì)第五級(jí)信息系統(tǒng)，應(yīng)當(dāng)由國(guó)家指定的專門部門進(jìn)行檢查。 公安機(jī)關(guān)、國(guó)家指定的專門部門應(yīng)當(dāng)對(duì)下列事項(xiàng)進(jìn)行檢查： （一）信息系統(tǒng)安全需求是否發(fā)生變化，原定保護(hù)等級(jí)是否準(zhǔn)確； （二）運(yùn)營(yíng)、使用單位安全管理制度、措施的落實(shí)情況； （三）運(yùn)營(yíng)、使用單位及其主管部門對(duì)信息系統(tǒng)安全狀況的檢查情況； （四）系統(tǒng)安全等級(jí)測(cè)評(píng)是否符合要求； （五）信息安全產(chǎn)品使用是否符合要求； （六）信息系統(tǒng)安全整改情況； （七）備案材料與運(yùn)營(yíng)、使用單位、信息系統(tǒng)的符合情況； （八）其他應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項(xiàng)。 第十九條 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)、國(guó)家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)、國(guó)家指定的專門部門提供下列有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件： （一）信息系統(tǒng)備案事項(xiàng)變更情況； （二）安全組織、人員的變動(dòng)情況； （三）信息安全管理制度、措施變更情況； （四）信息系統(tǒng)運(yùn)行狀況記錄； （五）運(yùn)營(yíng)、使用單位及主管部門定期對(duì)信息系統(tǒng)安全狀況的檢查記錄； （六）對(duì)信息系統(tǒng)開展等級(jí)測(cè)評(píng)的技術(shù)測(cè)評(píng)報(bào)告； （七）信息安全產(chǎn)品使用的變更情況； （八）信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報(bào)告； （九）信息系統(tǒng)安全建設(shè)、整改結(jié)果報(bào)告。 第二十條 公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級(jí)保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運(yùn)營(yíng)、使用單位發(fā)出整改通知。運(yùn)營(yíng)、使用單位應(yīng)當(dāng)根據(jù)整改通知要求，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。整改完成后，應(yīng)當(dāng)將整改報(bào)告向公安機(jī)關(guān)備案。必要時(shí)，公安機(jī)關(guān)可以對(duì)整改情況組織檢查。 第二十一條 第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品： （一）產(chǎn)品研制、生產(chǎn)單位是由中國(guó)公民、法人投資或者國(guó)家投資或者控股的，在中華人民共和國(guó)境內(nèi)具有獨(dú)立的法人資格； （二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國(guó)自主知識(shí)產(chǎn)權(quán)； （三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄； （四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能； （五）對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成危害； （六）對(duì)已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)當(dāng)取得國(guó)家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。 第二十二條 第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)： （一）在中華人民共和國(guó)境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外）； （二）由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資的企事業(yè)單位（港澳臺(tái)地區(qū)除外）； （三）從事相關(guān)檢測(cè)評(píng)估工作兩年以上，無(wú)違法記錄； （四）工作人員僅限于中國(guó)公民； （五）法人及主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄； （六）使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對(duì)信息安全產(chǎn)品的要求； （七）具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度； （八）對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。 第二十三條 從事信息系統(tǒng)安全等級(jí)測(cè)評(píng)的機(jī)構(gòu)，應(yīng)當(dāng)履行下列義務(wù)： （一）遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全、客觀、公正的檢測(cè)評(píng)估服務(wù)，保證測(cè)評(píng)的質(zhì)量和效果； （二）保守在測(cè)評(píng)活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人隱私，防范測(cè)評(píng)風(fēng)險(xiǎn)； （三）對(duì)測(cè)評(píng)人員進(jìn)行安全保密教育，與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實(shí)。 第四章 涉及國(guó)家秘密信息系統(tǒng)的分級(jí)保護(hù)管理 第二十四條 涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的基本要求，按照國(guó)家保密工作部門有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。 非涉密信息系統(tǒng)不得處理國(guó)家秘密信息。 第二十五條 涉密信息系統(tǒng)按照所處理信息的最高密級(jí)，由低到高分為秘密、機(jī)密、絕密三個(gè)等級(jí)。 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上，依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法和國(guó)家保密標(biāo)準(zhǔn)BMB17-2006《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》確定系統(tǒng)等級(jí)。對(duì)于包含多個(gè)安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護(hù)等級(jí)。 保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進(jìn)行系統(tǒng)定級(jí)。 第二十六條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級(jí)和建設(shè)使用情況，及時(shí)上報(bào)業(yè)務(wù)主管部門的保密工作機(jī)構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門備案，并接受保密部門的監(jiān)督、檢查、指導(dǎo)。 第二十七條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計(jì)與實(shí)施。 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，按照秘密、機(jī)密、絕密三級(jí)的不同要求，結(jié)合系統(tǒng)實(shí)際進(jìn)行方案設(shè)計(jì)，實(shí)施分級(jí)保護(hù)，其保護(hù)水平總體上不低于國(guó)家信息安全等級(jí)保護(hù)第三級(jí)、第四級(jí)、第五級(jí)的水平。 第二十八條 涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國(guó)產(chǎn)品，并應(yīng)當(dāng)通過國(guó)家保密局授權(quán)的檢測(cè)機(jī)構(gòu)依據(jù)有關(guān)國(guó)家保密標(biāo)準(zhǔn)進(jìn)行的檢測(cè)，通過檢測(cè)的產(chǎn)品由國(guó)家保密局審核發(fā)布目錄。 第二十九條 涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實(shí)施結(jié)束后，應(yīng)當(dāng)向保密工作部門提出申請(qǐng)，由國(guó)家保密局授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家保密標(biāo)準(zhǔn)BMB22-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》，對(duì)涉密信息系統(tǒng)進(jìn)行安全保密測(cè)評(píng)。 涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前，應(yīng)當(dāng)按照《涉及國(guó)家秘密的信息系統(tǒng)審批管理規(guī)定》，向設(shè)區(qū)的市級(jí)以上保密工作部門申請(qǐng)進(jìn)行系統(tǒng)審批，涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng)，其建設(shè)使用單位在按照分級(jí)保護(hù)要求完成系統(tǒng)整改后，應(yīng)當(dāng)向保密工作部門備案。 第三十條 涉密信息系統(tǒng)建設(shè)使用單位在申請(qǐng)系統(tǒng)審批或者備案時(shí)，應(yīng)當(dāng)提交以下材料： （一）系統(tǒng)設(shè)計(jì)、實(shí)施方案及審查論證意見； （二）系統(tǒng)承建單位資質(zhì)證明材料； （三）系統(tǒng)建設(shè)和工程監(jiān)理情況報(bào)告； （四）系統(tǒng)安全保密檢測(cè)評(píng)估報(bào)告； （五）系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況； （六）其他有關(guān)材料。 第三十一條 涉密信息系統(tǒng)發(fā)生涉密等級(jí)、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時(shí)，其建設(shè)使用單位應(yīng)當(dāng)及時(shí)向負(fù)責(zé)審批的保密工作部門報(bào)告。保密工作部門應(yīng)當(dāng)根據(jù)實(shí)際情況，決定是否對(duì)其重新進(jìn)行測(cè)評(píng)和審批。 第三十二條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國(guó)家保密標(biāo)準(zhǔn)BMB20-2007《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》，加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密管理，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，消除泄密隱患和漏洞。 第三十三條 國(guó)家和地方各級(jí)保密工作部門依法對(duì)各地區(qū)、各部門涉密信息系統(tǒng)分級(jí)保護(hù)工作實(shí)施監(jiān)督管理，并做好以下工作： （一）指導(dǎo)、監(jiān)督和檢查分級(jí)保護(hù)工作的開展； （二）指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密，合理確定系統(tǒng)保護(hù)等級(jí)； （三）參與涉密信息系統(tǒng)分級(jí)保護(hù)方案論證，指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計(jì)； （四）依法對(duì)涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行監(jiān)督管理； （五）嚴(yán)格進(jìn)行系統(tǒng)測(cè)評(píng)和審批工作，監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級(jí)保護(hù)管理制度和技術(shù)措施的落實(shí)情況； （六）加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每?jī)赡曛辽龠M(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng)，對(duì)絕密級(jí)信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng)； （七）了解掌握各級(jí)各類涉密信息系統(tǒng)的管理使用情況，及時(shí)發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第五章 信息安全等級(jí)保護(hù)的密碼管理 第三十四條 國(guó)家密碼管理部門對(duì)信息安全等級(jí)保護(hù)的密碼實(shí)行分類分級(jí)管理。根據(jù)被保護(hù)對(duì)象在國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)建設(shè)中的作用和重要程度，被保護(hù)對(duì)象的安全防護(hù)要求和涉密程度，被保護(hù)對(duì)象被破壞后的危害程度以及密碼使用部門的性質(zhì)等，確定密碼的等級(jí)保護(hù)準(zhǔn)則。 信息系統(tǒng)運(yùn)營(yíng)、使用單位采用密碼進(jìn)行等級(jí)保護(hù)的，應(yīng)當(dāng)遵照《信息安全等級(jí)保護(hù)密碼管理辦法》、《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。 第三十五條 信息系統(tǒng)安全等級(jí)保護(hù)中密碼的配備、使用和管理等，應(yīng)當(dāng)嚴(yán)格執(zhí)行國(guó)家密碼管理的有關(guān)規(guī)定。 第三十六條 信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)充分運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行保護(hù)。采用密碼對(duì)涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，應(yīng)報(bào)經(jīng)國(guó)家密碼管理局審批，密碼的設(shè)計(jì)、實(shí)施、使用、運(yùn)行維護(hù)和日常管理等，應(yīng)當(dāng)按照國(guó)家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對(duì)不涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，須遵守《商用密碼管理?xiàng)l例》和密碼分類分級(jí)保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用情況應(yīng)當(dāng)向國(guó)家密碼管理機(jī)構(gòu)備案。 第三十七條 運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行系統(tǒng)等級(jí)保護(hù)建設(shè)和整改的，必須采用經(jīng)國(guó)家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進(jìn)行安全保護(hù)，不得采用國(guó)外引進(jìn)或者擅自研制的密碼產(chǎn)品；未經(jīng)批準(zhǔn)不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。 第三十八條 信息系統(tǒng)中的密碼及密碼設(shè)備的測(cè)評(píng)工作由國(guó)家密碼管理局認(rèn)可的測(cè)評(píng)機(jī)構(gòu)承擔(dān)，其他任何部門、單位和個(gè)人不得對(duì)密碼進(jìn)行評(píng)測(cè)和監(jiān)控。 第三十九條 各級(jí)密碼管理部門可以定期或者不定期對(duì)信息系統(tǒng)等級(jí)保護(hù)工作中密碼配備、使用和管理的情況進(jìn)行檢查和測(cè)評(píng)，對(duì)重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每?jī)赡曛辽龠M(jìn)行一次檢查和測(cè)評(píng)。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá)到密碼相關(guān)標(biāo)準(zhǔn)要求的，應(yīng)當(dāng)按照國(guó)家密碼管理的相關(guān)規(guī)定進(jìn)行處置。 第六章 法律責(zé)任 第四十條 第三級(jí)以上信息系統(tǒng)運(yùn)營(yíng)、使用單位違反本辦法規(guī)定，有下列行為之一的，由公安機(jī)關(guān)、國(guó)家保密工作部門和國(guó)家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正；逾期不改正的，給予警告，并向其上級(jí)主管部門通報(bào)情況，建議對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理，并及時(shí)反饋處理結(jié)果： （一）未按本辦法規(guī)定備案、審批的； （二）未按本辦法規(guī)定落實(shí)安全管理制度、措施的； （三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的； （四）未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測(cè)評(píng)的； （五）接到整改通知后，拒不整改的； （六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測(cè)評(píng)機(jī)構(gòu)的； （七）未按本辦法規(guī)定如實(shí)提供有關(guān)文件和證明材料的； （八）違反保密管理規(guī)定的； （九）違反密碼管理規(guī)定的； （十）違反本辦法其他規(guī)定的。 違反前款規(guī)定，造成嚴(yán)重?fù)p害的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。 第四十一條 信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中，玩忽職守、濫用職權(quán)、徇私舞弊的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。 第七章 附則 第四十二條 已運(yùn)行信息系統(tǒng)的運(yùn)營(yíng)、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護(hù)等級(jí)；新建信息系統(tǒng)在設(shè)計(jì)、規(guī)劃階段確定安全保護(hù)等級(jí)。 第四十三條 本辦法所稱“以上”包含本數(shù)（級(jí)）。 第四十四條 本辦法自發(fā)布之日起施行，《信息安全等級(jí)保護(hù)管理辦法（試行）》（公通字[2006]7號(hào)）同時(shí)廢止。 附件2： 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 （報(bào)批稿） 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì) 前　言 本標(biāo)準(zhǔn)由公安部和全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出。 本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。 本標(biāo)準(zhǔn)起草單位： 本標(biāo)準(zhǔn)主要起草人： 引 言 依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）和《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)），制定本標(biāo)準(zhǔn)。 本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。 與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括： ——GB/T BBBBB-BBBB信息系統(tǒng)安全等級(jí)保護(hù)基本要求； ——GB/T CCCCC-CCCC信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南； ——GB/T DDDDD-DDDD信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則。 本標(biāo)準(zhǔn)依據(jù)等級(jí)保護(hù)相關(guān)管理文件，從信息系統(tǒng)所承載的業(yè)務(wù)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要作用和業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度這兩方面，提出確定信息系統(tǒng)安全保護(hù)等級(jí)的方法。 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 1 范圍 本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)方法，適用于為信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)工作提供指導(dǎo)。 2 規(guī)范性引用文件 下列文件中的條款通過在本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否使用這些文件的最新版本。凡是不注明日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。 GB/T 5271.8 信息技術(shù) 詞匯 第8部分：安全 GB17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 3 術(shù)語(yǔ)和定義 GB/T 5271.8和GB17859-1999確立的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。 3.1 等級(jí)保護(hù)對(duì)象 target of classified security 信息安全等級(jí)保護(hù)工作直接作用的具體的信息和信息系統(tǒng)。 3.2 客體object 受法律保護(hù)的、等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的社會(huì)關(guān)系，如國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人或其他組織的合法權(quán)益。 3.3 客觀方面objective 對(duì)客體造成侵害的客觀外在表現(xiàn)，包括侵害方式和侵害結(jié)果等。 3.4 系統(tǒng)服務(wù) system service 信息系統(tǒng)為支撐其所承載業(yè)務(wù)而提供的程序化過程。 4 定級(jí)原理 4.1 信息系統(tǒng)安全保護(hù)等級(jí) 根據(jù)等級(jí)保護(hù)相關(guān)管理文件，信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)： 第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。 第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。 第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。 第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。 第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。 4.2 信息系統(tǒng)安全保護(hù)等級(jí)的定級(jí)要素 信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度。 4.2.1 受侵害的客體 等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面： a) 公民、法人和其他組織的合法權(quán)益； b) 社會(huì)秩序、公共利益； c) 國(guó)家安全。 4.2.2 對(duì)客體的侵害程度 對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對(duì)客體的侵害是通過對(duì)等級(jí)保護(hù)對(duì)象的破壞實(shí)現(xiàn)的，因此，對(duì)客體的侵害外在表現(xiàn)為對(duì)等級(jí)保護(hù)對(duì)象的破壞，通過危害方式、危害后果和危害程度加以描述。 等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種： a) 造成一般損害； b) 造成嚴(yán)重?fù)p害； c) 造成特別嚴(yán)重?fù)p害。 4.3 定級(jí)要素與等級(jí)的關(guān)系 定級(jí)要素與信息系統(tǒng)安全保護(hù)等級(jí)的關(guān)系如表1所示。 表1 定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系 受侵害的客體 對(duì)客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益 第一級(jí) 第二級(jí) 第二級(jí) 社會(huì)秩序、公共利益 第二級(jí) 第三級(jí) 第四級(jí) 國(guó)家安全 第三級(jí) 第四級(jí) 第五級(jí) 5 定級(jí)方法 5.1 定級(jí)的一般流程 信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。 從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱業(yè)務(wù)信息安全保護(hù)等級(jí)。 從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱系統(tǒng)服務(wù)安全保護(hù)等級(jí)。 確定信息系統(tǒng)安全保護(hù)等級(jí)的一般流程如下： a) 確定作為定級(jí)對(duì)象的信息系統(tǒng)； b) 確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體； c) 根據(jù)不同的受侵害客體，從多個(gè)方面綜合評(píng)定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度； d) 依據(jù)表2，得到業(yè)務(wù)信息安全保護(hù)等級(jí)； e) 確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體； f) 根據(jù)不同的受侵害客體，從多個(gè)方面綜合評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度； g) 依據(jù)表3，得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)； h) 將業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者確定為定級(jí)對(duì)象的安全保護(hù)等級(jí)。 上述步驟如圖1確定等級(jí)一般流程所示。 圖1 確定等級(jí)一般流程 5.2 確定定級(jí)對(duì)象 一個(gè)單位內(nèi)運(yùn)行的信息系統(tǒng)可能比較龐大，為了體現(xiàn)重要部分重點(diǎn)保護(hù)，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級(jí)保護(hù)原則，可將較大的信息系統(tǒng)劃分為若干個(gè)較小的、可能具有不同安全保護(hù)等級(jí)的定級(jí)對(duì)象。 作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下基本特征： a) 具有唯一確定的安全責(zé)任單位 作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。如果一個(gè)單位的某個(gè)下級(jí)單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過程的全部安全責(zé)任，則這個(gè)下級(jí)單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個(gè)單位中的不同下級(jí)單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級(jí)單位共同所屬的單位。 b) 具有信息系統(tǒng)的基本要素 作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。 c) 承載單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用 定級(jí)對(duì)象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨(dú)立，且與其他業(yè)務(wù)應(yīng)用沒有數(shù)據(jù)交換，且獨(dú)享所有信息處理設(shè)備。定級(jí)對(duì)象承載“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨(dú)立，同時(shí)與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。 5.3 確定受侵害的客體 定級(jí)對(duì)象受到破壞時(shí)所侵害的客體包括國(guó)家安全、社會(huì)秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。 侵害國(guó)家安全的事項(xiàng)包括以下方面： - 影響國(guó)家政權(quán)穩(wěn)固和國(guó)防實(shí)力； - 影響國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定； - 影響國(guó)家對(duì)外活動(dòng)中的政治、經(jīng)濟(jì)利益； - 影響國(guó)家重要的安全保衛(wèi)工作； - 影響國(guó)家經(jīng)濟(jì)競(jìng)爭(zhēng)力和科技實(shí)力； - 其他影響國(guó)家安全的事項(xiàng)。 侵害社會(huì)秩序的事項(xiàng)包括以下方面： - 影響國(guó)家機(jī)關(guān)社會(huì)管理和公共服務(wù)的工作秩序； - 影響各種類型的經(jīng)濟(jì)活動(dòng)秩序； - 影響各行業(yè)的科研、生產(chǎn)秩序； - 影響公眾在法律約束和道德規(guī)范下的正常生活秩序等； - 其他影響社會(huì)秩序的事項(xiàng)。 影響公共利益的事項(xiàng)包括以下方面： - 影響社會(huì)成員使用公共設(shè)施； - 影響社會(huì)成員獲取公開信息資源； - 影響社會(huì)成員接受公共服務(wù)等方面； - 其他影響公共利益的事項(xiàng)。 影響公民、法人和其他組織的合法權(quán)益是指由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益。 確定作為定級(jí)對(duì)象的信息系統(tǒng)受到破壞后所侵害的客體時(shí)，應(yīng)首先判斷是否侵害國(guó)家安全，然后判斷是否侵害社會(huì)秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益。 各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)特點(diǎn)，分析各類信息和各類信息系統(tǒng)與國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的關(guān)系，從而確定本行業(yè)各類信息和各類信息系統(tǒng)受到破壞時(shí)所侵害的客體。 5.4 確定對(duì)客體的侵害程度 5.4.1 侵害的客觀方面 在客觀方面，對(duì)客體的侵害外在表現(xiàn)為對(duì)定級(jí)對(duì)象的破壞，其危害方式表現(xiàn)為對(duì)信息安全的破壞和對(duì)信息系統(tǒng)服務(wù)的破壞，其中信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同，在定級(jí)過程中，需要分別處理這兩種危害方式。 信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果： - 影響行使工作職能； - 導(dǎo)致業(yè)務(wù)能力下降； - 引起法律糾紛； - 導(dǎo)致財(cái)產(chǎn)損失；- 造成社會(huì)不良影響； - 對(duì)其他組織和個(gè)人造成損失； - 其他影響。 5.4.2 綜合判定侵害程度 侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)，因此，應(yīng)首先根據(jù)不同的受侵害客體、不同危害后果分別確定其危害程度。對(duì)不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同，例如系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定，業(yè)務(wù)信息安全被破壞導(dǎo)致的財(cái)物損失可以從直接的資金損失大小、間接的信息恢復(fù)費(fèi)用等方面進(jìn)行確定。 在針對(duì)不同的受侵害客體進(jìn)行侵害程度的判斷時(shí)，應(yīng)參照以下不同的判別基準(zhǔn)： - 如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判斷侵害程度的基準(zhǔn)； - 如果受侵害客體是社會(huì)秩序、公共利益或國(guó)家安全，則應(yīng)以整個(gè)行業(yè)或國(guó)家的總體利益作為判斷侵害程度的基準(zhǔn)。 不同危害后果的三種危害程度描述如下： 一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財(cái)產(chǎn)損失，有限的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較低損害。 嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財(cái)產(chǎn)損失，較大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害。 特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無(wú)法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財(cái)產(chǎn)損失，大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。 信息安全和系統(tǒng)服務(wù)安全被破壞后對(duì)客體的侵害程度，由對(duì)不同危害結(jié)果的危害程度進(jìn)行綜合評(píng)定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種類和系統(tǒng)服務(wù)特點(diǎn)各不相同，信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的危害結(jié)果、危害程度的計(jì)算方式均可能不同，各行業(yè)可根據(jù)本行業(yè)信息特點(diǎn)和系統(tǒng)服務(wù)特點(diǎn)，制定危害程度的綜合評(píng)定方法，并給出侵害不同客體造成一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害的具體定義。 5.5 確定定級(jí)對(duì)象的安全保護(hù)等級(jí) 根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)表2業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表，即可得到業(yè)務(wù)信息安全保護(hù)等級(jí)。 表2 業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表 業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體 對(duì)相應(yīng)客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益 第一級(jí) 第二級(jí) 第二級(jí) 社會(huì)秩序、公共利益 第二級(jí) 第三級(jí) 第四級(jí) 國(guó)家安全 第三級(jí) 第四級(jí) 第五級(jí) 根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)表2系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表，即可得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)。 表3 系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表 系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體 對(duì)相應(yīng)客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益 第一級(jí) 第二級(jí) 第二級(jí) 社會(huì)秩序、公共利益 第二級(jí) 第三級(jí) 第四級(jí) 國(guó)家安全 第三級(jí) 第四級(jí) 第五級(jí) 作為定級(jí)對(duì)象的信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者決定。 6 等級(jí)變更 在信息系統(tǒng)的運(yùn)行過程中，安全保護(hù)等級(jí)應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進(jìn)行適當(dāng)?shù)淖兏?，尤其是?dāng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害客體和對(duì)客體的侵害程度有較大的變化，可能影響到系統(tǒng)的安全保護(hù)等級(jí)時(shí)，應(yīng)根據(jù)本標(biāo)準(zhǔn)第5章給出的定級(jí)方法重新定級(jí)。 附件3： 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告 一、XXX信息系統(tǒng)描述 簡(jiǎn)述確定該系統(tǒng)為定級(jí)對(duì)象的理由。從三方面進(jìn)行說明：一是描述承擔(dān)信息系統(tǒng)安全責(zé)任的相關(guān)單位或部門，說明本單位或部門對(duì)信息系統(tǒng)具有信息安全保護(hù)責(zé)任，該信息系統(tǒng)為本單位或部門的定級(jí)對(duì)象；二是該定級(jí)對(duì)象是否具有信息系統(tǒng)的基本要素，描述基本要素、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)邊界和邊界設(shè)備；三是該定級(jí)對(duì)象是否承載著單一或相對(duì)獨(dú)立的業(yè)務(wù)，業(yè)務(wù)情況描述。 二、XXX信息系統(tǒng)安全保護(hù)等級(jí)確定 （定級(jí)方法參見國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》） （一）業(yè)務(wù)信息安全保護(hù)等級(jí)的確定 1、業(yè)務(wù)信息描述 描述信息系統(tǒng)處理的主要業(yè)務(wù)信息等。 2、業(yè)務(wù)信息受到破壞時(shí)所侵害客體的確定 說明信息受到破壞時(shí)侵害的客體是什么，即對(duì)三個(gè)客體（國(guó)家安全；社會(huì)秩序和公眾利益；公民、法人和其他組織的合法權(quán)益）中的哪些客體造成侵害。 3、信息受到破壞后對(duì)侵害客體的侵害程度的確定 說明信息受到破壞后，會(huì)對(duì)侵害客體造成什么程度的侵害，即說明是一般損害、嚴(yán)重?fù)p害還是特別嚴(yán)重?fù)p害。 4、業(yè)務(wù)信息安全等級(jí)的確定 依據(jù)信息受到破壞時(shí)所侵害的客體以及侵害程度，確定業(yè)務(wù)信息安全等級(jí)。 （二）系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定 1、系統(tǒng)服務(wù)描述 描述信息系統(tǒng)的服務(wù)范圍、服務(wù)對(duì)象等。 2、系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定 說明系統(tǒng)服務(wù)受到破壞時(shí)侵害的客體是什么，即對(duì)三個(gè)客體（國(guó)家安全；社會(huì)秩序和公眾利益；公民、法人和其他組織的合法權(quán)益）中的哪些客體造成侵害。 3、系統(tǒng)服務(wù)受到破壞后對(duì)侵害客體的侵害程度的確定 說明系統(tǒng)服務(wù)受到破壞后，會(huì)對(duì)侵害客體造成什么程度的侵害，即說明是一般損害、嚴(yán)重?fù)p害還是特別嚴(yán)重?fù)p害。 4、系統(tǒng)服務(wù)安全等級(jí)的確定 依據(jù)系統(tǒng)服務(wù)受到破壞時(shí)所侵害的客體以及侵害程度確定系統(tǒng)服務(wù)安全等級(jí)。 （三）安全保護(hù)等級(jí)的確定 信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)較高者決定，最終確定XXX系統(tǒng)安全保護(hù)等級(jí)為第幾級(jí)。 信息系統(tǒng)名稱 安全保護(hù)等級(jí) 業(yè)務(wù)信息安全等級(jí) 系統(tǒng)服務(wù)安全等級(jí) XXX信息系統(tǒng) X X X 附件4： 備案表編號(hào)： 信息系統(tǒng)安全等級(jí)保護(hù) 備案表 備 案 單 位： （蓋章） 備 案 日 期： 受理備案單位： （蓋章） 受 理 日 期： 中華人民共和國(guó)公安部監(jiān)制 填　表　說　明 一、 制表依據(jù)。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）之規(guī)定，制作本表； 二、 填表范圍。本表由第二級(jí)以上信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門（以下簡(jiǎn)稱“備案單位”）填寫；本表由四張表單構(gòu)成，表一為單位信息，每個(gè)填表單位填寫一張；表二為信息系統(tǒng)基本信息，表三為信息系統(tǒng)定級(jí)信息，表二、表三每個(gè)信息系統(tǒng)填寫一張；表四為第三級(jí)以上信息系統(tǒng)需要同時(shí)提交的內(nèi)容，由每個(gè)第三級(jí)以上信息系統(tǒng)填寫一張，并在完成系統(tǒng)建設(shè)、整改、測(cè)評(píng)等工作，投入運(yùn)行后三十日內(nèi)向受理備案公安機(jī)關(guān)提交；表二、表三、表四可以復(fù)印使用； 三、 保存方式。本表一式二份，一份由備案單位保存，一份由受理備案公安機(jī)關(guān)存檔； 四、 本表中有選擇的地方請(qǐng)?jiān)谶x項(xiàng)左側(cè)“0”劃“√”，如選擇“其他”，請(qǐng)?jiān)谄浜蟮臋M線中注明詳細(xì)內(nèi)容； 五、 封面中備案表編號(hào)（由受理備案的公安機(jī)關(guān)填寫并校驗(yàn)）：分兩部分共11位，第一部分6位，為受理備案公安機(jī)關(guān)代碼前六位（可參照行標(biāo)GA380-2002）。第二部分5位，為受理備案的公安機(jī)關(guān)給出的備案單位的順序編號(hào)； 六、 封面中備案單位：是指負(fù)責(zé)運(yùn)營(yíng)使用信息系統(tǒng)的法人單位全稱； 七、 封面中受理備案單位：是指受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門名稱。此項(xiàng)由受理備案的公安機(jī)關(guān)負(fù)責(zé)填寫并蓋章； 八、 表一04行政區(qū)劃代碼：是指?jìng)浒竼挝凰诘牡?區(qū)、市、州、盟)行政區(qū)劃代碼； 九、 表一05單位負(fù)責(zé)人：是指主管本單位信息安全工作的領(lǐng)導(dǎo)； 十、 表一06責(zé)任部門：是指單位內(nèi)負(fù)責(zé)信息系統(tǒng)安全工作的部門； 十一、 表一08隸屬關(guān)系：是指信息系統(tǒng)運(yùn)營(yíng)使用單位與上級(jí)行政機(jī)構(gòu)的從屬關(guān)系，須按照單位隸屬關(guān)系代碼（GB/T12404―1997）填寫； 十二、 表二02系統(tǒng)編號(hào)：是由運(yùn)營(yíng)使用單位給出的本單位備案信息系統(tǒng)的編號(hào)； 十三、 表二05系統(tǒng)網(wǎng)絡(luò)平臺(tái)：是指系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)構(gòu)架情況； 十四、 表二07關(guān)鍵產(chǎn)品使用情況：國(guó)產(chǎn)品是指系統(tǒng)中該類產(chǎn)品的研制、生產(chǎn)單位是由中國(guó)公民、法人投資或者國(guó)家投資或者控股，在中華人民共和國(guó)境內(nèi)具有獨(dú)立的法人資格，產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國(guó)自主知識(shí)產(chǎn)權(quán)； 十五、 表二08系統(tǒng)采用服務(wù)情況：國(guó)內(nèi)服務(wù)商是指服務(wù)機(jī)構(gòu)在中華人民共和國(guó)境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外），由中國(guó)公民、法人或國(guó)家投資的企事業(yè)單位； 十六、 表三01、02、03項(xiàng)：填寫上述三項(xiàng)內(nèi)容，確定信息系統(tǒng)安全保護(hù)等級(jí)時(shí)可參考《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，信息系統(tǒng)安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)較高者決定。01、02項(xiàng)中每一個(gè)確定的級(jí)別所對(duì)應(yīng)的損害客體及損害程度可多選； 十七、 表三06主管部門：是指對(duì)備案單位信息系統(tǒng)負(fù)領(lǐng)導(dǎo)責(zé)任的行政或業(yè)務(wù)主管單位或部門。部級(jí)單位此項(xiàng)可不填； 十八、 解釋：本表由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局監(jiān)制并負(fù)責(zé)解釋，未經(jīng)允許，任何單位和個(gè)人不得對(duì)本表進(jìn)行改動(dòng)。 表一 單位基本情況 01 單位名稱 02 單位地址 省(自治區(qū)、直轄市) 地(區(qū)、市、州、盟) 縣(區(qū)、市、旗) 03 郵政編碼 04 行政區(qū)劃代碼 05 單位負(fù)責(zé)人 姓 名 職務(wù)/職稱 辦公電話 電子郵件 06 責(zé)任部門 07 責(zé)任部門聯(lián)系人 姓 名 職務(wù)/職稱 辦公電話 電子郵件 移動(dòng)電話 08 隸屬關(guān)系 01中央 02省(自治區(qū)、直轄市) 03地(區(qū)、市、州、盟)04縣（區(qū)、市、旗） 09其他 09 單位類型 01黨委機(jī)關(guān) 02政府機(jī)關(guān) 03事業(yè)單位 04企業(yè) 09其他 10 行業(yè)類別 011電信 012廣電 013經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)021鐵路 022銀行 023海關(guān) 024稅務(wù) 025民航 026電力 027證券 028保險(xiǎn)031國(guó)防科技工業(yè) 032公安 033人事勞動(dòng)和社會(huì)保障 034財(cái)政035審計(jì) 036商業(yè)貿(mào)易 037國(guó)土資源 038能源039交通 040統(tǒng)計(jì) 041工商行政管理 042郵政043教育 044文化 045衛(wèi)生 046農(nóng)業(yè) 047水利 048外交 049發(fā)展改革 050科技 051宣傳 052質(zhì)量監(jiān)督檢驗(yàn)檢疫099其他 11 信息系統(tǒng)總數(shù) 個(gè) 12 第二級(jí)信息系統(tǒng)數(shù) 個(gè) 13 第三級(jí)信息系統(tǒng)數(shù) 個(gè) 14 第四級(jí)信息系統(tǒng)數(shù) 個(gè) 15 第五級(jí)信息系統(tǒng)數(shù) 個(gè) 表二（ / ）信息系統(tǒng)情況 01 系統(tǒng)名稱 02 系統(tǒng)編號(hào) 03 統(tǒng)承載業(yè)務(wù)情況 業(yè)務(wù)類型 01生產(chǎn)作業(yè) 02指揮調(diào)度 03管理控制 04內(nèi)部辦公 05公眾服務(wù) 09其他 業(yè)務(wù)描述 04 系統(tǒng)服務(wù)情況 服務(wù)范圍 010全國(guó) 011跨?。▍^(qū)、市） 跨 個(gè) 020全?。▍^(qū)、市） 021跨地（市、區(qū)） 跨 個(gè)030地（市、區(qū)）內(nèi) 099其它 服務(wù)對(duì)象 01單位內(nèi)部人員 02社會(huì)公眾人員 03兩者均包括 09其他 05 系統(tǒng)網(wǎng)絡(luò)平臺(tái) 覆蓋范圍 01局域網(wǎng) 02城域網(wǎng) 03廣域網(wǎng) 09其他 網(wǎng)絡(luò)性質(zhì) 01業(yè)務(wù)專網(wǎng) 02互聯(lián)網(wǎng) 09其它 06 系統(tǒng)互聯(lián)情況 01與其他行業(yè)系統(tǒng)連接 02與本行業(yè)其他單位系統(tǒng)連接03與本單位其他系統(tǒng)連接 09其它 07 關(guān)鍵產(chǎn)品使用情況 序號(hào) 產(chǎn)品類型 數(shù)量 使用國(guó)產(chǎn)品率 全部使用 全部未使用 部分使用及使用率 1 安全專用產(chǎn)品 0 0 0 % 2 網(wǎng)絡(luò)產(chǎn)品 0 0 0 % 3 操作系統(tǒng) 0 0 0 % 4 數(shù)據(jù)庫(kù) 0 0 0 % 5 服務(wù)器 0 0 0 % 6 其他 0 0 0 % 08 系統(tǒng)采用服務(wù)情況 序號(hào) 服務(wù)類型 服務(wù)責(zé)任方類型 本行業(yè)（單位） 國(guó)內(nèi)其他服務(wù)商 國(guó)外服務(wù)商 1 等級(jí)測(cè)評(píng) 0有0無(wú) 0 0 0 2 風(fēng)險(xiǎn)評(píng)估 0有0無(wú) 0 0 0 3 災(zāi)難恢復(fù) 0有0無(wú) 0 0 0 4 應(yīng)急響應(yīng) 0有0無(wú) 0 0 0 5 系統(tǒng)集成 0有0無(wú) 0 0 0 6 安全咨詢 0有0無(wú) 0 0 0 7 安全培訓(xùn) 0有0無(wú) 0 0 0 8 其它 0 0 0 09 等級(jí)測(cè)評(píng)單位名稱 10 何時(shí)投入運(yùn)行使用 年 月 日 11 系統(tǒng)是否是分系統(tǒng) 0是 0否（如選擇是請(qǐng)?zhí)钕聝身?xiàng)） 12 上級(jí)系統(tǒng)名稱 13 上級(jí)系統(tǒng)所屬單位名稱 表三（ / ）信息系統(tǒng)定級(jí)情況 01 確定業(yè)務(wù)信息安全保護(hù)等級(jí) 損害客體及損害程度 級(jí)別 0僅對(duì)公民、法人和其他組織的合法權(quán)益造成損害 0第一級(jí) 0對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害0對(duì)社會(huì)秩序和公共利益造成損害 0第二級(jí) 0對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害0對(duì)國(guó)家安全造成損害 0第三級(jí) 0對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害0對(duì)國(guó)家安全造成嚴(yán)重?fù)p害 0第四級(jí) 0對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害 0第五級(jí) 02 確定系統(tǒng)服務(wù)安全保護(hù)等級(jí) 0僅對(duì)公民、法人和其他組織的合法權(quán)益造成損害 0第一級(jí) 0對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害0對(duì)社會(huì)秩序和公共利益造成損害 0第二級(jí) 0對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害0對(duì)國(guó)家安全造成損害 0第三級(jí) 0對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害0對(duì)國(guó)家安全造成嚴(yán)重?fù)p害 0第四級(jí) 0對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害 0第五級(jí) 03 信息系統(tǒng)安全保護(hù)等級(jí) 0第一級(jí) 0第二級(jí) 0第三級(jí) 0第四級(jí) 0第五級(jí) 04 定級(jí)時(shí)間 年 月 日 05 專家評(píng)審情況 0已評(píng)審 0未評(píng)審 06 是否有主管部門 0有 0無(wú)（如選擇有請(qǐng)?zhí)钕聝身?xiàng)） 07 主管部門名稱 08 主管部門審批定級(jí)情況 0已審批 0未審批 09 系統(tǒng)定級(jí)報(bào)告 0有 0無(wú) 附件名稱 填表人： 填表日期： 年 月 日 備案審核民警： 審核日期： 年 月 日 表四（ / ）第三級(jí)以上信息系統(tǒng)提交材料情況 01 系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明 0有 0無(wú) 附件名稱 02 系統(tǒng)安全組織機(jī)構(gòu)及管理制度 0有 0無(wú) 附件名稱 03 系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或改建實(shí)施方案 0有 0無(wú) 附件名稱 04 系統(tǒng)使用的安全產(chǎn)品清單及認(rèn)證、銷售許可證明 0有 0無(wú) 附件名稱 05 系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告 0有 0無(wú) 附件名稱 06 專家評(píng)審情況 0有 0無(wú) 附件名稱 07 上級(jí)主管部門審批意見 0有 0無(wú) 附件名稱 附件5： 單位名稱 涉密信息系統(tǒng)名稱 系統(tǒng)密級(jí)（保護(hù)等級(jí)） □ 秘密 □ 機(jī)密 □ 絕密 系統(tǒng)聯(lián)接范圍 □局域網(wǎng) □城域網(wǎng) □廣域網(wǎng)（跨 個(gè)省或地） 系統(tǒng)安全域劃分和安全域密級(jí)確定 □未劃分安全域□劃分安全域（共有 個(gè)，其中絕密級(jí) 個(gè)， 機(jī)密級(jí) 個(gè)，秘密級(jí) 個(gè)，內(nèi)部級(jí) 個(gè)）系統(tǒng)主要承建單位 系統(tǒng)投入使用時(shí)間 系統(tǒng)運(yùn)行管理部門 系統(tǒng)安全保密管理部門 系統(tǒng)分級(jí)保護(hù)實(shí)施情況 □已經(jīng)實(shí)施 □正在實(shí)施 □計(jì)劃 年實(shí)施 涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)備案表 填報(bào)日期： 年 月 日 填報(bào)單位：（蓋章） 填表說明： 1．“系統(tǒng)密級(jí)”依據(jù)《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》和國(guó)家保密標(biāo)準(zhǔn)BMB17-2006確定。 2．涉密信息系統(tǒng)一般應(yīng)劃分安全域，同一系統(tǒng)內(nèi)的不同安全域根據(jù)所處理信息的重要程度，可分別確定密級(jí)。 3．表中“□”項(xiàng)，確認(rèn)劃“√”。 4．填報(bào)多個(gè)涉密信息系統(tǒng)，可復(fù)印此表。 國(guó)家保密局制