重要信息系統(tǒng)安全安全等級保護定級工作實施方案

1、PAGE21關(guān)于印發(fā)大連市重要信息系統(tǒng)安全等級保護定級工作實施方案的通知各有關(guān)單位： 現(xiàn)將大連市重要信息系統(tǒng)安全等級保護定級工作實施方案印發(fā)給你們，請認真遵照執(zhí)行。二OO七年八月二十日大連市重要信息系統(tǒng)安全等級保護定級工作實施方案為進一步貫徹落實國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見和公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室關(guān)于信息安全等級保護工作的實施意見、信息安全等級保護管理辦法（以下簡稱管理辦法）、關(guān)于開展全國信息系統(tǒng)安全等級保護定級工作的通知精神，提高我市基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護能力和水平，做好我市重要信息系統(tǒng)安全等級保護定級工作，制定本方案

2、。工作目標以科學(xué)發(fā)展觀為指導(dǎo)，按照“準確定級、嚴格審批、及時備案、認真整改、科學(xué)測評”的要求完成各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)等級保護的定級、備案、整改、測評等工作 。建立安全保護制度，落實安全責(zé)任，有效保護我市基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)的安全，提高信息安全保障工作的整體水平 。二、定級范圍（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。（二）鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水

3、利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。（三）市級黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。（四）涉及國家秘密的信息系統(tǒng)（以下簡稱“涉密信息系統(tǒng)”）。三、工作步驟（一）動員部署，開展培訓(xùn)。認真組織相關(guān)部門、單位及人員學(xué)習(xí)和掌握等級保護有關(guān)政策、規(guī)范和相關(guān)標準。市信息安全等級保護領(lǐng)導(dǎo)小組辦公室負責(zé)市直屬部門、全市各行業(yè)主管部門的定級工作，組織召開定級工作會議，分階段組織相關(guān)培訓(xùn)。培訓(xùn)內(nèi)容主要包括信息安全等級保護管理辦法、信息系統(tǒng)安全等級保護定級指南、等級保護實施主要技術(shù)環(huán)節(jié)、信息系統(tǒng)等級保護基本要求，各行業(yè)主管部門負責(zé)本行業(yè)的培訓(xùn)

4、工作。同時，充分利用廣播電視、報刊雜志、互聯(lián)網(wǎng)等媒體，加大對信息安全等級保護制度的宣傳力度，為順利實施等級保護工作奠定堅實的基礎(chǔ)。（二）開展信息系統(tǒng)基本情況的摸底調(diào)查。各行業(yè)主管部門、運營使用單位要組織開展對所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照管理辦法和信息系統(tǒng)安全等級保護定級指南的要求，確定級對象。（三）初步確定安全保護等級。各信息系統(tǒng)主管部門和運營使用單位要按照管理辦法和信息系統(tǒng)安全等級保護定級指南，初步確定定級對象的安全保護等級，起草定級報告（報告模版見附件1）?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安

5、全保護等級。涉密信息系統(tǒng)的等級確定按照國家保密局的有關(guān)規(guī)定和標準執(zhí)行。（四）評審與審批。初步確定信息系統(tǒng)安全保護等級后，可以聘請專家組進行評審。對擬確定為第四級以上信息系統(tǒng)的，由運營使用單位或主管部門請國家信息安全保護等級專家評審委員會評審。運營使用單位或主管部門參照評審意見最后確定信息系統(tǒng)安全保護等級，形成定級報告。當(dāng)專家評審意見與信息系統(tǒng)運營使用單位或其主管部門意見不一致時，由運營使用單位或主管部門自主決定信息系統(tǒng)安全保護等級。信息系統(tǒng)運營使用單位有上級行業(yè)主管部門的，所確定的信息系統(tǒng)安全保護等級應(yīng)當(dāng)報經(jīng)上級行業(yè)主管部門審批同意 。（五）備案。根據(jù)管理辦法，信息系統(tǒng)安全保護等級為第二級以上

6、的信息系統(tǒng)運營使用單位或主管部門到公安部市政府或市公安局網(wǎng)站下載信息系統(tǒng)安全等級保護備案表（見附件2）和輔助備案工具，持填寫的備案表和利用輔助備案工具生成的備案電子數(shù)據(jù)，于9月20日前到市公安局網(wǎng)絡(luò)警察支隊辦理備案手續(xù)，提交有關(guān)備案材料及電子數(shù)據(jù)文件。其中，第二級信息系統(tǒng)的備案單位只需填寫備案表中的表一 、表二和表三，第三級以上信息系統(tǒng)的備案單位還應(yīng)當(dāng)同時提交備案表表四所列各項內(nèi)容的書面材料。涉密信息系統(tǒng)建設(shè)使用單位依據(jù)管理辦法和國家保密局的有關(guān)規(guī)定，填寫涉及國家秘密的信息系統(tǒng)分級保護備案表（見附件3），向市保密局備案。（六）備案管理。市公安局和市保密局負責(zé)受理備案并進行備案管理。信息系統(tǒng)備案

7、后，市公安局應(yīng)當(dāng)對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，頒發(fā)信息系統(tǒng)安全保護等級備案證明。發(fā)現(xiàn)不符合管理辦法及有關(guān)標準的，應(yīng)當(dāng)通知備案單位予以糾正。發(fā)現(xiàn)定級不準的，應(yīng)當(dāng)通知運營使用單位或其主管部門重新審核確定。市保密局加強對涉密信息系統(tǒng)定級工作的指導(dǎo)、監(jiān)督和檢查。四、工作要求（一）加強領(lǐng)導(dǎo)，落實保障。各行業(yè)主管部門要加強對本部門、本行業(yè)信息安全等級保護工作的組織領(lǐng)導(dǎo)，及時掌握工作進展情況。信息系統(tǒng)運營使用單位要成立信息安全領(lǐng)導(dǎo)小組（此組織作為本單位信息安全領(lǐng)導(dǎo)機構(gòu)，應(yīng)長期存在），負責(zé)定級工作，落實責(zé)任部門、責(zé)任人員和經(jīng)費，保障定級工作順利進行 。（二）明確責(zé)任，密切配合。定級工作由

8、市公安局牽頭，會同市信息安全等級保護領(lǐng)導(dǎo)小組其他成員單位組織實施。市公安局、市保密局、市密碼管理局負責(zé)定級工作的監(jiān)督、檢查、指導(dǎo)。各信息系統(tǒng)主管部門組織本行業(yè)、本部門信息系統(tǒng)運營使用單位開展定級工作，督促其落實定級工作各項任務(wù)。各信息系統(tǒng)運營使用單位依據(jù)管理辦法和本通知要求，具體實施定級工作。定級工作完成后，由信息系統(tǒng)運營使用單位或其主管部門及時到市公安局或市保密局備案。（三）及時總結(jié)，提出建議。各部門要結(jié)合本行業(yè)開展定級工作的實際，認真總結(jié)經(jīng)驗和不足，提出改進和完善定級方法的意見和建議，對在定級工作中發(fā)現(xiàn)的問題，需要上報的要及時向上報。各部門負責(zé)等級保護的領(lǐng)導(dǎo)機構(gòu)要及時總結(jié)定級工作經(jīng)驗，形成

9、定級工作總結(jié)報告，并及時報送市公安局。涉密信息系統(tǒng)定級工作總結(jié)報告向市保密局報送。此次定級工作完成后，請各主管部門、運營使用單位按照管理辦法和有關(guān)技術(shù)標準，繼續(xù)開展信息系統(tǒng)安全等級保護的系統(tǒng)建設(shè)或整改、等級測評、自查自糾等后續(xù)工作，市公安局、市保密局、市密碼管理局要開展等級保護工作的監(jiān)督、檢查和指導(dǎo)。市公安局聯(lián)系人 于紹輝，聯(lián)系電話：市保密局聯(lián)系人 馬愛國，聯(lián)系電話：市密碼管理局聯(lián)系人 魯巖，聯(lián)系電話：市信息辦聯(lián)系人 馮宇軍，聯(lián)系電話：附件：1、信息系統(tǒng)安全等級保護定級報告模版2、信息系統(tǒng)安全等級保護備案表3、涉及國家秘密的信息系統(tǒng)分級保護備案表附件1：信息系統(tǒng)安全等級保護定級報告模版信息系統(tǒng)

10、安全等級保護定級報告一、XXX信息系統(tǒng)描述簡述確定該系統(tǒng)為定級對象的理由。從三方面進行說明：一是描述承擔(dān)信息系統(tǒng)安全責(zé)任的相關(guān)單位或部門，說明本單位或部門對信息系統(tǒng)具有信息安全保護責(zé)任，該信息系統(tǒng)為本單位或部門的定級對象；二是該定級對象是否具有信息系統(tǒng)的基本要素，描述基本要素、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)邊界和邊界設(shè)備；三是該定級對象是否承載著單一或相對獨立的業(yè)務(wù)，業(yè)務(wù)情況描述。二、XXX信息系統(tǒng)安全保護等級確定（定級方法參見國家標準信息系統(tǒng)安全等級保護定級指南）（一）業(yè)務(wù)信息安全保護等級的確定1、業(yè)務(wù)信息描述描述信息系統(tǒng)處理的主要業(yè)務(wù)信息等。2、業(yè)務(wù)信息受到破壞時所侵害客體的確定說明信息受到破壞時侵害

11、的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權(quán)益）中的哪些客體造成侵害。3、信息受到破壞后對侵害客體的侵害程度的確定說明信息受到破壞后，會對侵害客體造成什么程度的侵害，即說明是一般損害、嚴重損害還是特別嚴重損害。4、業(yè)務(wù)信息安全等級的確定依據(jù)信息受到破壞時所侵害的客體以及侵害程度，確定業(yè)務(wù)信息安全等級。（二）系統(tǒng)服務(wù)安全保護等級的確定1、系統(tǒng)服務(wù)描述描述信息系統(tǒng)的服務(wù)范圍、服務(wù)對象等。2、系統(tǒng)服務(wù)受到破壞時所侵害客體的確定說明系統(tǒng)服務(wù)受到破壞時侵害的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權(quán)益）中的哪些客體造成侵

12、害。3、系統(tǒng)服務(wù)受到破壞后對侵害客體的侵害程度的確定說明系統(tǒng)服務(wù)受到破壞后，會對侵害客體造成什么程度的侵害，即說明是一般損害、嚴重損害還是特別嚴重損害。4、系統(tǒng)服務(wù)安全等級的確定依據(jù)系統(tǒng)服務(wù)受到破壞時所侵害的客體以及侵害程度確定系統(tǒng)服務(wù)安全等級。（三）安全保護等級的確定信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定，最終確定XXX系統(tǒng)安全保護等級為第幾級。信息系統(tǒng)名稱安全保護等級業(yè)務(wù)信息安全等級系統(tǒng)服務(wù)安全等級XXX信息系統(tǒng)XXX附件2：備案表編號：信息系統(tǒng)安全等級保護備案表備 案 單 位： （蓋章） 備 案 日 期： 受理備案單位： （蓋章） 受 理 日 期： 中華人民

13、共和國公安部監(jiān)制填表說明制表依據(jù)。根據(jù)信息安全等級保護管理辦法（公通字200743號）之規(guī)定，制作本表；填表范圍。本表由第二級以上信息系統(tǒng)運營使用單位或主管部門（以下簡稱“備案單位”）填寫；本表由四張表單構(gòu)成，表一為單位信息，每個填表單位填寫一張；表二為信息系統(tǒng)基本信息，表三為信息系統(tǒng)定級信息，表二、表三每個信息系統(tǒng)填寫一張；表四為第三級以上信息系統(tǒng)需要同時提交的內(nèi)容，由每個第三級以上信息系統(tǒng)填寫一張，并在完成系統(tǒng)建設(shè)、整改、測評等工作，投入運行后三十日內(nèi)向受理備案公安機關(guān)提交；表二、表三、表四可以復(fù)印使用；保存方式。本表一式二份，一份由備案單位保存，一份由受理備案公安機關(guān)存檔；本表中有選擇的

14、地方請在選項左側(cè)“”劃“”，如選擇“其他”，請在其后的橫線中注明詳細內(nèi)容；封面中備案表編號（由受理備案的公安機關(guān)填寫并校驗）：分兩部分共11位，第一部分6位，為受理備案公安機關(guān)代碼前六位（可參照行標GA380-2002）。第二部分5位，為受理備案的公安機關(guān)給出的備案單位的順序編號；封面中備案單位：是指負責(zé)運營使用信息系統(tǒng)的法人單位全稱；封面中受理備案單位：是指受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門名稱。此項由受理備案的公安機關(guān)負責(zé)填寫并蓋章；表一04行政區(qū)劃代碼：是指備案單位所在的地(區(qū)、市、州、盟)行政區(qū)劃代碼； 表一05單位負責(zé)人：是指主管本單位信息安全工作的領(lǐng)導(dǎo)；表一06責(zé)任部門：是

15、指單位內(nèi)負責(zé)信息系統(tǒng)安全工作的部門；表一08隸屬關(guān)系：是指信息系統(tǒng)運營使用單位與上級行政機構(gòu)的從屬關(guān)系，須按照單位隸屬關(guān)系代碼（GB/T124041997）填寫； 表二02系統(tǒng)編號：是由運營使用單位給出的本單位備案信息系統(tǒng)的編號；表二05系統(tǒng)網(wǎng)絡(luò)平臺：是指系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)構(gòu)架情況；表二07關(guān)鍵產(chǎn)品使用情況：國產(chǎn)品是指系統(tǒng)中該類產(chǎn)品的研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股，在中華人民共和國境內(nèi)具有獨立的法人資格，產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；表二08系統(tǒng)采用服務(wù)情況：國內(nèi)服務(wù)商是指服務(wù)機構(gòu)在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外），由中國公民、法人或

16、國家投資的企事業(yè)單位；表三01、02、03項：填寫上述三項內(nèi)容，確定信息系統(tǒng)安全保護等級時可參考信息系統(tǒng)安全等級保護定級指南，信息系統(tǒng)安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定。01、02項中每一個確定的級別所對應(yīng)的損害客體及損害程度可多選；表三06主管部門：是指對備案單位信息系統(tǒng)負領(lǐng)導(dǎo)責(zé)任的行政或業(yè)務(wù)主管單位或部門。部級單位此項可不填；解釋：本表由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局監(jiān)制并負責(zé)解釋，未經(jīng)允許，任何單位和個人不得對本表進行改動。表一 單位基本情況單位名稱 單位地址 省(自治區(qū)、直轄市) 地(區(qū)、市、州、盟) 縣(區(qū)、市、旗)郵政編碼行政區(qū)劃代碼單位負責(zé)人姓 名職務(wù)/職稱

17、辦公電話電子郵件責(zé)任部門責(zé)任部門聯(lián)系人姓 名職務(wù)/職稱辦公電話電子郵件移動電話隸屬關(guān)系1中央 2省(自治區(qū)、直轄市) 3地(區(qū)、市、州、盟)4縣（區(qū)、市、旗） 9其他 單位類型1黨委機關(guān) 2政府機關(guān) 3事業(yè)單位 4企業(yè) 9其他 行業(yè)類別11電信 12廣電 13經(jīng)營性公眾互聯(lián)網(wǎng)21鐵路 22銀行 23海關(guān) 24稅務(wù) 25民航 26電力 27證券 28保險31國防科技工業(yè) 32公安 33人事勞動和社會保障 34財政35審計 36商業(yè)貿(mào)易 37國土資源 38能源39交通 40統(tǒng)計 41工商行政管理 42郵政43教育 44文化 45衛(wèi)生 46農(nóng)業(yè) 47水利 48外交 49發(fā)展改革 50科技 51宣傳

18、52質(zhì)量監(jiān)督檢驗檢疫99其他 信息系統(tǒng)總數(shù) 個第二級信息系統(tǒng)數(shù)個第三級信息系統(tǒng)數(shù)個第四級信息系統(tǒng)數(shù)個第五級信息系統(tǒng)數(shù)個表二（ / ）信息系統(tǒng)情況系統(tǒng)名稱系統(tǒng)編號系統(tǒng)承載業(yè)務(wù)情況業(yè)務(wù)類型1生產(chǎn)作業(yè) 2指揮調(diào)度 3管理控制 4內(nèi)部辦公 5公眾服務(wù) 9其他 業(yè)務(wù)描述系統(tǒng)服務(wù)情況服務(wù)范圍10全國 11跨?。▍^(qū)、市） 跨 個 20全?。▍^(qū)、市） 21跨地（市、區(qū)） 跨 個30地（市、區(qū)）內(nèi) 99其它 服務(wù)對象1單位內(nèi)部人員 2社會公眾人員 3兩者均包括 9其他 系統(tǒng)網(wǎng)絡(luò)平臺覆蓋范圍1局域網(wǎng) 2城域網(wǎng) 3廣域網(wǎng) 9其他 網(wǎng)絡(luò)性質(zhì)1業(yè)務(wù)專網(wǎng) 2互聯(lián)網(wǎng) 9其它 系統(tǒng)互聯(lián)情況1與其他行業(yè)系統(tǒng)連接 2與本行業(yè)其他

19、單位系統(tǒng)連接3與本單位其他系統(tǒng)連接 9其它 關(guān)鍵產(chǎn)品使用情況序號產(chǎn)品類型數(shù)量使用國產(chǎn)品率全部使用 全部未使用部分使用及使用率 1安全專用產(chǎn)品 %2網(wǎng)絡(luò)產(chǎn)品 %3操作系統(tǒng) %4數(shù)據(jù)庫 %5服務(wù)器 %6其他 %系統(tǒng)采用服務(wù)情況序號服務(wù)類型服務(wù)責(zé)任方類型本行業(yè)（單位）國內(nèi)其他服務(wù)商國外服務(wù)商1等級測評有無2風(fēng)險評估有無3災(zāi)難恢復(fù)有無4應(yīng)急響應(yīng)有無5系統(tǒng)集成有無6安全咨詢有無7安全培訓(xùn)有無8其它 等級測評單位名稱何時投入運行使用 年 月 日系統(tǒng)是否是分系統(tǒng)是 否（如選擇是請?zhí)钕聝身棧┥霞壪到y(tǒng)名稱上級系統(tǒng)所屬單位名稱表三（ / ）信息系統(tǒng)定級情況確定業(yè)務(wù)信息安全保護等級損害客體及損害程度級別僅對公民、法人和其他組織的合法權(quán)益造成損害第一級對公民、法人和其他組織的合法權(quán)益造成嚴重損害對社會秩序和公共利益造成損害第二級對社會秩序和公共利益造成嚴重損害對國家安全造成損害第三級對社會秩序和公共利益造成特別嚴重損害對國家安全造成嚴重損害第四級對國家安全造成特別嚴重損害第五級確定系統(tǒng)服務(wù)安全保護等級僅對公民、法人和其他組織的合法權(quán)益造成損害第一級對公民、法人和其他組織的合法權(quán)益造成嚴重損害對社會秩序和公共利益造成損害第二級對社會秩序和公共利益造成嚴重損害對國家安全造成損害第三級對社會秩序和公共利益造成特別嚴重損害對國家安全造成嚴重損害第四級對國家安全造成特別嚴重損害第五級信息系統(tǒng)安全保護等級第