|
关于开展全国重要信息系统安全等级保护定级工作的通知
扬州市公安局
2007年8月29日
根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)有关工作部署,全市在2007年9月底前开展和完成信息系统安全等级保护定级工作。有关事项通知如下:
一、定级范围
(一)县(区)级以上党政机关的重要网站和办公信息系统。
(二)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(三)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政以及市、县(市)、区重点企业等行业、部门的生产、调度、管理、办公等重要信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
二、定级对象、等级保护划分及定级方法
各地各部门和信息系统运营使用单位及其主管部门应当依据《管理办法》、《定级通知》和《信息安全技术信息系统安全等级保护定级指南》(以下简称《定级指南》),确定定级对象,开展信息安全等级保护定级工作。
(一)定级对象
根据重要信息系统重点保护,有效控制信息安全建设成本,优化信息安全资源配置等原则,重要信息系统运营使用单位按照以下原则和基本特征确定定级对象:
1、信息系统具有唯一确定的安全责任单位;
2、信息系统是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体;
3、信息系统承载单一或相对独立的业务应用,业务流程独立,信息处理设备独享。
(二)信息安全等级保护划分
第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。该级信息系统运营、使用单位依据国家有关管理规范和技术标准进行自我保护。
第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。该级信息系统信息安全等级保护工作,由国家信息安全监管部门进行指导。
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。该级信息系统信息安全等级保护工作,由国家信息安全监管部门进行监督、检查。
第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。该级信息系统信息安全等级保护工作,由国家信息安全监管部门进行强制监督、检查。
第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。该级信息系统信息安全等级保护工作,由国家指定专门部门进行专门监督、检查。
(三)定级要素
信息系统的安全等级由等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度两个要素决定。等级保护对象受到破坏时所侵害的客体包括公民、法人和其他组织的合法权益,社会秩序、公共利益及国家安全等三个方面,并随着重要性的递增其安全等级依次提高;同时,等级保护对象受到破坏后对客体造成侵害的程度分为一般损害、严重损害和特别严重损害,损害程度愈深,安全等级越高。
(四)定级方法
根据《定级指南》定级规则,信息系统的安全等级由该系统的业务信息安全等级和系统服务安全等级确定。其定级流程和方法是:
1、确定作为定级对象的信息系统;
2、确定业务信息安全受到破坏时所侵害的客体,并根据不同的受侵害客体,综合评定业务信息安全被破坏对客体的侵害程度,确定业务信息安全保护等级;
3、确定系统服务安全受到破坏时所侵害的客体,并根据不同的受侵害客体,综合评定系统服务安全被破坏对客体的侵害程,确定系统服务安全保护等级;
4、根据所确定的业务信息安全等级、系统服务安全等级,最终确定信息系统安全等级,等级最高者为定级对象的安全保护等级。
三、具体工作步骤
(一)开展调查摸底工作。根据单位相关业务、办公、服务、网络结构等因素确定需要定级的所有信息系统,同一单位不同类的信息系统都要分别定级。
(二)根据定级标准自行对各个信息系统定级,所定等次要接受当地公安网监部门的审核。
(三)需要聘请等级评审机构进行定级的,报请地市级公安网监部门安排。
(四)本单位所有信息系统定级完成后,填写公安部统一监制的《信息系统安全等级保护备案表》表一、表二、表三、表四(表四仅三级以上信息系统提交),出具《信息系统安全等级保护定级报告》。
(五)将《信息系统安全等级保护定级报告》和《信息系统安全等级保护备案表》表一、表二、表三、表四(表四仅三级以上信息系统提交)的电子档文件和打印的书面纸质文件一并提交到当地公安网监部门进行备案和审核。
(六)公安机关审核后,统一发放相关备案证书。
附:《信息系统安全等级保护定级报告》模版和《信息系统安全等级保护备案表》表一、表二、表三、表四
信息系统安全等级保护定级报告模版及附件下载
|
