福州厦门信息安全等级保护二级备案指南申请中心

一、信息系统安全保护等级的划分与保护

（一）信息系统定级工作原则

信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号）要求执行。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统的安全保护等级。按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，对信息系统进行保护。

在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，国家必然要对重要信息系统的安全进行监管。

（二）信息系统安全保护等级

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级，从第一级到第五级逐级增高。

（三）信息系统安全保护等级的定级要素

信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

1.受侵害的客体

等级保护对象受到破坏时所侵害的客体包括以下三个方面：一是公民、法人和其他组织的合法权益；二是社会秩序、公共利益；三是国家安全。

2.对客体的侵害程度

对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度有三种：一是造成一般损害；二是造成严重损害；三是造成特别严重损害。

（四）五级保护和监管

信息系统运营、使用单位依据国家信息安全等级保护政策和相关技术标准对信息系统进行保护，国家信息安全监管部门对其信息安全等级保护工作进行监督管理。定级要素与信息系统安全保护等级的关系如表1-1所示。

二、定级工作的主要步骤

信息系统定级是等级保护工作的首要环节和关键环节，是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。这里先明确一个概念，信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。信息系统安全级别定级不准，系统备案、建设整改、等级测评等后续工作都会失去基础，信息系统安全就没有保证。定级工作可以按照下列步骤进行。

（一）开展摸底调查

按照《定级工作通知》确定的定级范围，各单位、各部门可以组织开展对所属信息系统进行摸底调查，摸清信息系统底数，掌握信息系统（包括信息网络）的业务类型、应用或服务范围、系统结构等基本情况，为下一步明确要求、落实责任奠定基础。

（二）确定定级对象

在全国重要信息系统安全等级保护定级工作（以下简称“定级工作”）中，如何科学、合理地确定定级对象是Zui关键的问题。信息系统运营使用单位或主管部门按如下原则确定定级对象。

一是起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）要作为定级对象。但不是将整个网络作为一个定级对象，而是要从安全管理和安全责任的角度将基础信息网络划分成若干个Zui小安全域或Zui小单元去定级。

二是用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统，要按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级。

三是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安全级别高，也要作为独立的定级对象。网站上运行的信息系统（例如对社会服务的报名考试系统）也要作为独立的定级对象。

四是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说，业务部门应主导对业务信息系统定级，运维部门（例如信息中心、托管方）可以协助定级并按照业务部门的要求开展后续安全保护工作。

五是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件（如服务器、终端、网络设备等）作为定级对象。

例如，奥运网络主要包括，“奥组委办公外网”（承载自动化办公、场馆管理、电子邮件、物流、员工之家等16项业务）、“奥组委内部办公局域网”（承载着财务管理、人事管理等3项业务）、“奥运票务网”（票务网站和票务管理系统）、“奥运guanfangwangzhan”（门户网站和后台数据处理系统）、“奥运互联网接入”、“竞赛网”等六个奥运信息系统。确定奥组委办公外网、奥组委内部办公局域网、票务网站、票务管理系统、奥运guanfangwangzhan和竞赛网为定级对象。

（三）初步确定信息系统等级

可以按照下列要求确定信息系统等级：

1.定级责任主体。各信息系统运营使用单位和主管部门是信息系统定级的责任主体。

2.定级要素。信息系统的安全保护等级由两个定级的要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

信息系统的安全保护等级是信息系统本身的客观自然属性，不以已采取或将采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法公益的危害程度为依据，确定信息系统的安全保护等级。定级时应主要考虑信息系统破坏后对国家安全、社会稳定的影响，考虑境内外各种敌对势力、敌对分子针对重要信息系统入侵攻击破坏和窃取秘密等因素。既要防止个别单位版面追求juedui安全而定级过高，也要防止为了逃避监管定级偏低。

3.对各类系统定级的处理方法。一是单位自建的信息系统（与上级单位无关），单位自主定级。二是跨省或者全国统一联网运行的信息系统，可以由主管部门统一确定安全保护等级。其中：由各行业统一规划、统一建设、统一安全保护策略的全国联网系统，应由行业主管部门统一对下各级系统分别确定等级；由各行业统一规划、分级建设、全国联网的信息系统，应由部、省、地市分别确定系统等级，但各行业主管部门应对该系统提出定级意见，避免出现同类系统下级定级比上级高的现象。对于该类系统的等级，下级确定后需报上级主管部门审批。

需特别注意的是：同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低，例如地市级的重要行业的重要系统不能定为一、二级。

4.新建系统的定级工作

对于新建系统，信息系统运营使用单位在规划设计时应确定信息系统安全保护等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。有关信息系统安全保护等级确定的具体办法和要求见1.3节。

（四）信息系统等级评审

信息系统运营使用单位或主管部门在初步确定信息系统安全保护等级后，为了保证定级合理、准确，可以聘请专家进行评审，并出具专家评审意见。

（五）信息系统等级的审批

单位自建的信息系统（与上级单位无关），等级确定后，是否报上级主管部门审批，由各行业自行决定。信息系统运营使用单位参考专家定级评审意见，Zui终确定信息系统等级，形成《定级报告》。如果专家评审意见与运营使用单位意见不一致时，由运营使用单位自主决定系统等级，信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统，则必须由其上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。

（六）公安机关审核

公安机关收到信息系统运营使用单位备案材料后，应对信息系统定级的准确性进行审核。公安机关的审核是定级工作的Zui后一道防线，应予以高度重视，严格把关。信息系统定级基本准确的，公安机关颁发由公安部统一监制的《信息系统安全等级保护备案证明》（以下简称《备案证明》）。对于定级不准的，公安机关应向备案单位发整改通知，并建议备案单位组织专家进行重新定级评审，并报上级主管部门审批。备案单位仍然坚持原定等级的，公安机关可以受理其备案，但应当书面告知其承担由此引发的责任和后果，经上级公安机关同意后，通报备案单位上级主管部门。

三、如何确定信息系统安全保护等级

（一）如何理解信息系统的五个安全保护等级

信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全保护等级。既要防止个别单位片面追求juedui安全而定级过高，也要防止为了逃避监管定级偏低。信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级，不以在其上运行的信息系统的Zui高等级或Zui低等级为标准，既不就高、不就低。

为了帮助信息系统运营使用单位准确确定信息系统安全保护等级，可以参考下列对五级的说明确定系统等级。

第一级信息系统：一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中一般的信息统。

第二级信息系统：一般适用于县级其些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。

第四级信息系统：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。

第五级信息系统：一般适用于国家重要领域、重要部门中的极端重要系统。

（二）定级的一般流程

信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。

确定信息系统安全保护等级的一般流程如下：确定作为定级对象的信息系统；确定业务信息安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度，根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级；确定系统服务安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度，根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级；由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。