关于开展全国重要信息系统安全等级保护定级工作的通知

附件二：中华人民共和国公安部国家保密局国家密码管理局国务院信息化工作办公室关于开展全国重要信息系统安全等级保护定级工作的通知公信安[2007]861号各省、自治区、直辖市公安厅（局）、保密局、国家密码管理局（国家密码管理委员会办公室）、信息化领导小组办公室，新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室，中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室，各人民团体保密委员会办公室：为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》（以下简称《管理办法》）精神，提高我国基础信息网络和重要信息系统的信息安全保护能力和水平，根据国家网络与信息安全协调小组2007年的工作部署，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作（以下简称“定级工作”）。现就有关事项通知如下：一、定级范围（一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。（二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。（三）市（地）级以上党政机关的重要网站和办公信息系统。（四）涉及国家秘密的信息系统（以下简称“涉密信息系统”）。二、定级工作的主要内容（一）开展信息系统基本情况的摸底调查。各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《管理办法》和《信息系统安全等级保护定级指南》的要求，确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。（二）初步确定安全保护等级。各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告（报告模版见附件1）。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。（三）评审与审批。初步确定信息系统安全保护等级后，可以聘请专家进行评审。对拟确定为第四级以上信息系统的，由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级，形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。（四）备案。根据《管理办法》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》（见附件2）和辅助备案工具，持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。其中，第二级信息系统的备案单位只需填写备案表中的表一、表二和表三，第三级以上信息系统的备案单位还应当同时提交备案表表四所列各项内容的书面材料。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，向当地设区的市级以上公安机关备案。涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定，填写《涉及国家秘密的信息系统分级保护备案表》（见附件3），按照属地化管理原则，中央和国家机关单位的涉密信息系统向国家保密局备案；地方单位的涉密信息系统向所在地的市（地）级以上保密工作部门备案；中央和国家机关地方所属单位的涉密信息系统，向所在地的省级保密工作部门备案。（五）备案管理。公安机关和国家保密工作部门负责受理备案并进行备案管理。信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的，应当通知备案单位予以纠正。发现定级不准的，应当通知运营使用单位或其主管部门重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。三、定级工作的要求（一）加强领导，落实保障。各地区、各部门要加强对本地区、本行业信息安全等级保护工作的组织领导，及时掌握工作进展情况，并可组织成立专家组，明确技术支持力量。信息系统运营使用单位要成立等级保护工作组，落实责任部门、责任人员和经费，保障定级工作顺利进行。（二）明确责任，密切配合。定级工作由各级公安机关牵头，会同国家保密工作部门、国家密码管理部门和信息化领导小组办事机构共同组织实施。公安机关负责定级工作的监督、检查、指导；国家保密工作部门负责涉密系统定级工作的监督、检查、指导；国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导；信息化领导小组办事机构负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作，督促其落实定级工作各项任务。各信息系统运营使用单位依据《管理办法》和本通知要求，具体实施定级工作。（三）动员部署，开展培训。各地区、各部门要按照统一部署广泛进行宣传动员，举办形式多样的培训班、研讨班等，层层培训。公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室对国家有关部委、各省级公安、保密、密码和信息化领导小组办事机构就《管理办法》和《信息系统安全等级保护定级指南》等内容进行培训。信息系统主管部门对所管辖的信息系统运营使用单位进行培训。各地参照上述培训模式开展培训工作。（四）及时总结，提出建议。各地区、各部门要结合本地区、本行业开展定级工作的实际，认真总结经验和不足，提出改进和完善定级方法的意见和建议。各地区、各部门负责等级保护的领导机构要及时总结定级工作经验，形成定级工作总结报告，并及时报送公安部。涉密信息系统定级工作总结报告向国家保密局报送。此次定级工作完成后，请各主管部门、运营使用单位按照《管理办法》和有关技术标准，继续开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作，各级公安、保密、密码管理部门要开展等级保护工作的监督、检查和指导。执行中有何问题，请及时报告。公安部联系人郭启全，联系电话：010-66261745国家保密局联系人魏力，联系电话：010-83086085国家密码管理局联系人王家玮，联系电话：010-83084734国务院信息办联系人李强，联系电话：010-83083664公安部网址：(互联网)；（公安网）。技术咨询电话：010—88530013、88530015。附件：1、《信息系统安全等级保护定级报告》模版2、《信息系统安全等级保护备案表》3、《涉及国家秘密的信息系统分级保护备案表》公安部国家保密局国家密码管理局国务院信息化工作办公室二〇〇七年七月十六日附件一：《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。（三）安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。信息系统名称安全保护等级业务信息安全等级系统服务安全等级XXX信息系统XXX