各保監局，各保險公司、保險資產管理公司，中國保險行業協會： 　　為貫徹落實國家信息安全等級保護制度，按照《關于開展全國重要信息系統安全等級保護定級工作的通知》（公信安〔2007〕861號）要求，中國保監會將在保險行業內開展信息系統安全等級保護定級工作。現將有關事項通知如下： 　　一、等級保護定級工作的要求及組織方式 　　各單位應按照“準確定級、嚴格審批、及時備案、認真整改、科學測評”的要求和“自主定級、自主保護”的工作原則，成立相應的領導及實施機構，結合本單位的實際情況，準確開展信息系統等級保護定級工作。 　　保監會成立等級保護定級工作領導小組，統一領導、解決保險行業信息安全等級保護定級工作中的重大問題；保監會等級保護定級工作領導小組下設辦公室,具體負責保監會機關信息系統等級保護定級的具體實施工作和行業定級工作的指導審核。 　　各保監局負責本局內獨立運行的信息系統等級保護定級工作，并對各自轄區內的保險公司分支機構的等級保護定級工作進行指導審核。 　　各保險集團公司、保險控股公司負責本公司信息系統等級保護定級工作以及其下屬子公司信息系統等級保護定級工作的組織協調和指導。各保險總公司統一部署本公司和分公司的信息系統等級保護定級工作。 　　二、定級工作安排及定級范圍 　　（一）定級工作安排 　　為穩妥做好等級保護定級工作，擬在保險行業內分步分批實施。 　　保險行業第一批定級單位包括：保監會及各保監局，中國保險行業協會，中國人民保險集團公司、中國人壽保險（集團）公司、中國再保險（集團）公司、中國出口信用保險公司、民生人壽保險股份有限公司、陽光保險控股股份有限公司、中國平安保險（集團）股份有限公司、中國太平洋（集團）股份有限公司及其下屬各子公司和分公司。 　　其余公司作為第二批定級單位（具體時間安排另行通知）。 　　（二）定級范圍 　　1、保險監管部門監管、辦公及網站等重要信息系統；保險公司和中國保險行業協會經營、管理、辦公等重要信息系統。（以下簡稱“重要信息系統”） 　　2、涉及國家秘密的信息系統（以下簡稱“涉密信息系統”）。 　　三、主要工作步驟 　　第一階段：自主定級（9月20日前完成） 　　各單位按要求成立相關定級實施機構，對本系統內的重要信息系統和涉密信息系統展開摸底調查，全面掌握信息網絡和信息系統的數量、分布、業務類型、系統結構、應用或服務范圍等基本情況，按照《信息安全等級保護管理辦法》（以下簡稱“《管理辦法》”，附件1）和《信息系統安全等級保護定級指南》（附件2）的要求，確定定級對象并初步確定保護等級，形成定級報告（報告模板見附件3）。 　　涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。 　　第二階段：審核（9月25日前完成） 　　各保監局將各自獨立運行的重要信息系統和涉密信息系統的定級報告報保監會審核。 　　各公司對本公司內的重要信息系統和涉密信息系統定級進行統一審核，對跨省聯網運行且由公司總部統一確定等級的，由總公司將重要信息系統和涉密信息系統的定級報告報保監會審核 (有集團或控股公司的，由集團或控股公司將定級報告統一報保監會審核)；保險公司分公司將經過總公司審核的，且在分公司獨立運行的重要信息系統和涉密系統定級報告報當地保監局審核。 　　保險行業協會將所確定的重要信息系統和涉密信息系統的定級報告報保監會審核。 　　保監會及各保監局在接到定級報告審核文件后，對不符合要求的于5個工作日內要求其改正，審核通過者不再單獨答復。 　　第三階段：備案（9月30日前完成） 　　根據《管理辦法》，各單位定級報告通過保監會或保監局審核后，對重要信息系統安全等級確定為二級以上的信息系統應到公安部網站下載《信息系統安全等級保護備案表》（見附件4）和輔助備案工具，并持填寫的備案表和利用輔助備案工具生成的備案電子數據文件，到公安機關辦理備案手續（保險行業協會確定的信息系統、保險總公司統一定級的跨省聯網運營的信息系統，向公安部備案；保險公司分公司將總公司定級的跨省聯網在當地運行、應用的分支系統以及在當地分公司獨立運行的信息系統，向當地省級公安機關備案）。備案完成后，各級單位將備案證明復印件報相對應的保險監管機構存檔。 　　涉密信息系統建設使用單位依據《管理辦法》和國家保密局的有關規定，填寫《涉及國家秘密的信息系統分級保護備案表》（見附件5），按照屬地化管理原則，將所確定的涉密信息系統，報送相對應的保密部門備案。備案完成后，各級單位將備案證明復印件報相對應的保險監管機構存檔。 　　第四階段：總結工作（10月15日前完成） 　　各單位應對等級保護定級工作進行總結，并報保監會等級保護定級工作領導小組。保監會根據定級工作開展的情況和定級工作報告，總結工作經驗，研究并啟動第二批等級保護定級工作。 　　 　　聯 系 人：李春亮、王曉鵬 　　聯系電話：010－66286602 　　 　　附件：1、信息安全等級保護管理辦法 　　2、信息安全技術信息系統安全等級保護定級指南 　　3、信息系統安全等級保護定級報告 　　4、信息系統安全等級保護備案表 　　5、涉及國家秘密的信息系統分級保護備案表 　　　　　　　　　　　　　　　　　　　　　　　　二○○七年九月六日 附件1： 信息安全等級保護管理辦法 （公通字[2007]43號） 第一章 總則 第一條 為規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規，制定本辦法。 第二條 國家通過制定統一的信息安全等級保護管理規范和技術標準，組織公民、法人和其他組織對信息系統分等級實行安全保護，對等級保護工作的實施進行監督、管理。 第三條 公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規的規定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。 第四條 信息系統主管部門應當依照本辦法及相關標準規范，督促、檢查、指導本行業、本部門或者本地區信息系統運營、使用單位的信息安全等級保護工作。 第五條 信息系統的運營、使用單位應當依照本辦法及其相關標準規范，履行信息安全等級保護的義務和責任。 第二章 等級劃分與保護 第六條 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。 第七條 信息系統的安全保護等級分為以下五級： 第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。 第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。 第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。 第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。 第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。 第八條 信息系統運營、使用單位依據本辦法和相關技術標準對信息系統進行保護，國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。 第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。 第二級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。 第三級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。 第四級信息系統運營、使用單位應當依據國家有關管理規范、技術標準和業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。 第五級信息系統運營、使用單位應當依據國家管理規范、技術標準和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。 第三章 等級保護的實施與管理 第九條 信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》具體實施等級保護工作。 第十條 信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的，應當經主管部門審核批準。 跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。 對擬確定為第四級以上信息系統的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。 第十一條 信息系統的安全保護等級確定后，運營、使用單位應當按照國家信息安全等級保護管理規范和技術標準，使用符合國家有關規定，滿足信息系統安全保護等級需求的信息技術產品，開展信息系統安全建設或者改建工作。 第十二條 在信息系統建設過程中，運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》（GB17859-1999）、《信息系統安全等級保護基本要求》等技術標準，參照《信息安全技術 信息系統通用安全技術要求》（GB/T20271-2006）、《信息安全技術 網絡基礎安全技術要求》（GB/T20270-2006）、《信息安全技術 操作系統安全技術要求》（GB/T20272-2006）、《信息安全技術 數據庫管理系統安全技術要求》（GB/T20273-2006）、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》（GA/T671 -2006）等技術標準同步建設符合該等級要求的信息安全設施。 第十三條 運營、使用單位應當參照《信息安全技術 信息系統安全管理要求》（GB/T20269-2006）、《信息安全技術 信息系統安全工程管理要求》（GB/T20282-2006）、《信息系統安全等級保護基本要求》等管理規范，制定并落實符合本系統安全保護等級要求的安全管理制度。 第十四條 信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評。 信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查，第四級信息系統應當每半年至少進行一次自查，第五級信息系統應當依據特殊安全需求進行自查。 經測評或者自查，信息系統安全狀況未達到安全保護等級要求的，運營、使用單位應當制定方案進行整改。 第十五條 已運營（運行）的第二級以上信息系統，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。 新建第二級以上信息系統，應當在投入運行后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。 隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統，應當向當地設區的市級以上公安機關備案。 第十六條 辦理信息系統安全保護等級備案手續時，應當填寫《信息系統安全等級保護備案表》，第三級以上信息系統應當同時提供以下材料： （一）系統拓撲結構及說明； （二）系統安全組織機構和管理制度； （三）系統安全保護設施設計實施方案或者改建實施方案； （四）系統使用的信息安全產品清單及其認證、銷售許可證明； （五）測評后符合系統安全保護等級的技術檢測評估報告； （六）信息系統安全保護等級專家評審意見； （七）主管部門審核批準信息系統安全保護等級的意見。 第十七條 信息系統備案后，公安機關應當對信息系統的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工作日內頒發信息系統安全等級保護備案證明；發現不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正；發現定級不準的，應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。 運營、使用單位或者主管部門重新確定信息系統等級后，應當按照本辦法向公安機關重新備案。 第十八條 受理備案的公安機關應當對第三級、第四級信息系統的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統每年至少檢查一次，對第四級信息系統每半年至少檢查一次。對跨省或者全國統一聯網運行的信息系統的檢查，應當會同其主管部門進行。 對第五級信息系統，應當由國家指定的專門部門進行檢查。 公安機關、國家指定的專門部門應當對下列事項進行檢查： （一）信息系統安全需求是否發生變化，原定保護等級是否準確； （二）運營、使用單位安全管理制度、措施的落實情況； （三）運營、使用單位及其主管部門對信息系統安全狀況的檢查情況； （四）系統安全等級測評是否符合要求； （五）信息安全產品使用是否符合要求； （六）信息系統安全整改情況； （七）備案材料與運營、使用單位、信息系統的符合情況； （八）其他應當進行監督檢查的事項。 第十九條 信息系統運營、使用單位應當接受公安機關、國家指定的專門部門的安全監督、檢查、指導，如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信息資料及數據文件： （一）信息系統備案事項變更情況； （二）安全組織、人員的變動情況； （三）信息安全管理制度、措施變更情況； （四）信息系統運行狀況記錄； （五）運營、使用單位及主管部門定期對信息系統安全狀況的檢查記錄； （六）對信息系統開展等級測評的技術測評報告； （七）信息安全產品使用的變更情況； （八）信息安全事件應急預案，信息安全事件應急處置結果報告； （九）信息系統安全建設、整改結果報告。 第二十條 公安機關檢查發現信息系統安全保護狀況不符合信息安全等級保護有關管理規范和技術標準的，應當向運營、使用單位發出整改通知。運營、使用單位應當根據整改通知要求，按照管理規范和技術標準進行整改。整改完成后，應當將整改報告向公安機關備案。必要時，公安機關可以對整改情況組織檢查。 第二十一條 第三級以上信息系統應當選擇使用符合以下條件的信息安全產品： （一）產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內具有獨立的法人資格； （二）產品的核心技術、關鍵部件具有我國自主知識產權； （三）產品研制、生產單位及其主要業務、技術人員無犯罪記錄； （四）產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能； （五）對國家安全、社會秩序、公共利益不構成危害； （六）對已列入信息安全產品認證目錄的，應當取得國家信息安全產品認證機構頒發的認證證書。 第二十二條 第三級以上信息系統應當選擇符合下列條件的等級保護測評機構進行測評： （一）在中華人民共和國境內注冊成立（港澳臺地區除外）； （二）由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除外）； （三）從事相關檢測評估工作兩年以上，無違法記錄； （四）工作人員僅限于中國公民； （五）法人及主要業務、技術人員無犯罪記錄； （六）使用的技術裝備、設施應當符合本辦法對信息安全產品的要求； （七）具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度； （八）對國家安全、社會秩序、公共利益不構成威脅。 第二十三條 從事信息系統安全等級測評的機構，應當履行下列義務： （一）遵守國家有關法律法規和技術標準，提供安全、客觀、公正的檢測評估服務，保證測評的質量和效果； （二）保守在測評活動中知悉的國家秘密、商業秘密和個人隱私，防范測評風險； （三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。 第四章 涉及國家秘密信息系統的分級保護管理 第二十四條 涉密信息系統應當依據國家信息安全等級保護的基本要求，按照國家保密工作部門有關涉密信息系統分級保護的管理規定和技術標準，結合系統實際情況進行保護。 非涉密信息系統不得處理國家秘密信息。 第二十五條 涉密信息系統按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級。 涉密信息系統建設使用單位應當在信息規范定密的基礎上，依據涉密信息系統分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統分級保護技術要求》確定系統等級。對于包含多個安全域的涉密信息系統，各安全域可以分別確定保護等級。 保密工作部門和機構應當監督指導涉密信息系統建設使用單位準確、合理地進行系統定級。 第二十六條 涉密信息系統建設使用單位應當將涉密信息系統定級和建設使用情況，及時上報業務主管部門的保密工作機構和負責系統審批的保密工作部門備案，并接受保密部門的監督、檢查、指導。 第二十七條 涉密信息系統建設使用單位應當選擇具有涉密集成資質的單位承擔或者參與涉密信息系統的設計與實施。 涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規范和技術標準，按照秘密、機密、絕密三級的不同要求，結合系統實際進行方案設計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。 第二十八條 涉密信息系統使用的信息安全保密產品原則上應當選用國產品，并應當通過國家保密局授權的檢測機構依據有關國家保密標準進行的檢測，通過檢測的產品由國家保密局審核發布目錄。 第二十九條 涉密信息系統建設使用單位在系統工程實施結束后，應當向保密工作部門提出申請，由國家保密局授權的系統測評機構依據國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統分級保護測評指南》，對涉密信息系統進行安全保密測評。 涉密信息系統建設使用單位在系統投入使用前，應當按照《涉及國家秘密的信息系統審批管理規定》，向設區的市級以上保密工作部門申請進行系統審批，涉密信息系統通過審批后方可投入使用。已投入使用的涉密信息系統，其建設使用單位在按照分級保護要求完成系統整改后，應當向保密工作部門備案。 第三十條 涉密信息系統建設使用單位在申請系統審批或者備案時，應當提交以下材料： （一）系統設計、實施方案及審查論證意見； （二）系統承建單位資質證明材料； （三）系統建設和工程監理情況報告； （四）系統安全保密檢測評估報告； （五）系統安全保密組織機構和管理制度情況； （六）其他有關材料。 第三十一條 涉密信息系統發生涉密等級、連接范圍、環境設施、主要應用、安全保密管理責任單位變更時，其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據實際情況，決定是否對其重新進行測評和審批。 第三十二條 涉密信息系統建設使用單位應當依據國家保密標準BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》，加強涉密信息系統運行中的保密管理，定期進行風險評估，消除泄密隱患和漏洞。 第三十三條 國家和地方各級保密工作部門依法對各地區、各部門涉密信息系統分級保護工作實施監督管理，并做好以下工作： （一）指導、監督和檢查分級保護工作的開展； （二）指導涉密信息系統建設使用單位規范信息定密，合理確定系統保護等級； （三）參與涉密信息系統分級保護方案論證，指導建設使用單位做好保密設施的同步規劃設計； （四）依法對涉密信息系統集成資質單位進行監督管理； （五）嚴格進行系統測評和審批工作，監督檢查涉密信息系統建設使用單位分級保護管理制度和技術措施的落實情況； （六）加強涉密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每兩年至少進行一次保密檢查或者系統測評，對絕密級信息系統每年至少進行一次保密檢查或者系統測評； （七）了解掌握各級各類涉密信息系統的管理使用情況，及時發現和查處各種違規違法行為和泄密事件。第五章 信息安全等級保護的密碼管理 第三十四條 國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據被保護對象在國家安全、社會穩定、經濟建設中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門的性質等，確定密碼的等級保護準則。 信息系統運營、使用單位采用密碼進行等級保護的，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關標準。 第三十五條 信息系統安全等級保護中密碼的配備、使用和管理等，應當嚴格執行國家密碼管理的有關規定。 第三十六條 信息系統運營、使用單位應當充分運用密碼技術對信息系統進行保護。采用密碼對涉及國家秘密的信息和信息系統進行保護的，應報經國家密碼管理局審批，密碼的設計、實施、使用、運行維護和日常管理等，應當按照國家密碼管理有關規定和相關標準執行；采用密碼對不涉及國家秘密的信息和信息系統進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關規定與相關標準，其密碼的配備使用情況應當向國家密碼管理機構備案。 第三十七條 運用密碼技術對信息系統進行系統等級保護建設和整改的，必須采用經國家密碼管理部門批準使用或者準于銷售的密碼產品進行安全保護，不得采用國外引進或者擅自研制的密碼產品；未經批準不得采用含有加密功能的進口信息技術產品。 第三十八條 信息系統中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔，其他任何部門、單位和個人不得對密碼進行評測和監控。 第三十九條 各級密碼管理部門可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監督檢查過程中，發現存在安全隱患或者違反密碼管理相關規定或者未達到密碼相關標準要求的，應當按照國家密碼管理的相關規定進行處置。 第六章 法律責任 第四十條 第三級以上信息系統運營、使用單位違反本辦法規定，有下列行為之一的，由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負責的主管人員和其他直接責任人員予以處理，并及時反饋處理結果： （一）未按本辦法規定備案、審批的； （二）未按本辦法規定落實安全管理制度、措施的； （三）未按本辦法規定開展系統安全狀況檢查的； （四）未按本辦法規定開展系統安全技術測評的； （五）接到整改通知后，拒不整改的； （六）未按本辦法規定選擇使用信息安全產品和測評機構的； （七）未按本辦法規定如實提供有關文件和證明材料的； （八）違反保密管理規定的； （九）違反密碼管理規定的； （十）違反本辦法其他規定的。 違反前款規定，造成嚴重損害的，由相關部門依照有關法律、法規予以處理。 第四十一條 信息安全監管部門及其工作人員在履行監督管理職責中，玩忽職守、濫用職權、徇私舞弊的，依法給予行政處分；構成犯罪的，依法追究刑事責任。 第七章 附則 第四十二條 已運行信息系統的運營、使用單位自本辦法施行之日起180日內確定信息系統的安全保護等級；新建信息系統在設計、規劃階段確定安全保護等級。 第四十三條 本辦法所稱“以上”包含本數（級）。 第四十四條 本辦法自發布之日起施行，《信息安全等級保護管理辦法（試行）》（公通字[2006]7號）同時廢止。 附件2： 信息安全技術 信息系統安全等級保護定級指南 （報批稿） 全國信息安全標準化技術委員會 前　言 本標準由公安部和全國信息安全標準化技術委員會提出。 本標準由全國信息安全標準化技術委員會歸口。 本標準起草單位： 本標準主要起草人： 引 言 依據《中華人民共和國計算機信息系統安全保護條例》（國務院147號令）、《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號）、《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）和《信息安全等級保護管理辦法》（公通字[2007]43號），制定本標準。 本標準是信息安全等級保護相關系列標準之一。 與本標準相關的系列標準包括： ——GB/T BBBBB-BBBB信息系統安全等級保護基本要求； ——GB/T CCCCC-CCCC信息系統安全等級保護實施指南； ——GB/T DDDDD-DDDD信息系統安全等級保護測評準則。 本標準依據等級保護相關管理文件，從信息系統所承載的業務在國家安全、經濟建設、社會生活中的重要作用和業務對信息系統的依賴程度這兩方面，提出確定信息系統安全保護等級的方法。 信息系統安全等級保護定級指南 1 范圍 本標準規定了信息系統安全等級保護的定級方法，適用于為信息系統安全等級保護的定級工作提供指導。 2 規范性引用文件 下列文件中的條款通過在本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵根據本標準達成協議的各方研究是否使用這些文件的最新版本。凡是不注明日期的引用文件，其最新版本適用于本標準。 GB/T 5271.8 信息技術 詞匯 第8部分：安全 GB17859-1999 計算機信息系統安全保護等級劃分準則 3 術語和定義 GB/T 5271.8和GB17859-1999確立的以及下列術語和定義適用于本標準。 3.1 等級保護對象 target of classified security 信息安全等級保護工作直接作用的具體的信息和信息系統。 3.2 客體object 受法律保護的、等級保護對象受到破壞時所侵害的社會關系，如國家安全、社會秩序、公共利益以及公民、法人或其他組織的合法權益。 3.3 客觀方面objective 對客體造成侵害的客觀外在表現，包括侵害方式和侵害結果等。 3.4 系統服務 system service 信息系統為支撐其所承載業務而提供的程序化過程。 4 定級原理 4.1 信息系統安全保護等級 根據等級保護相關管理文件，信息系統的安全保護等級分為以下五級： 第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。 第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。 第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。 第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。 第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。 4.2 信息系統安全保護等級的定級要素 信息系統的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。 4.2.1 受侵害的客體 等級保護對象受到破壞時所侵害的客體包括以下三個方面： a) 公民、法人和其他組織的合法權益； b) 社會秩序、公共利益； c) 國家安全。 4.2.2 對客體的侵害程度 對客體的侵害程度由客觀方面的不同外在表現綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現的，因此，對客體的侵害外在表現為對等級保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。 等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種： a) 造成一般損害； b) 造成嚴重損害； c) 造成特別嚴重損害。 4.3 定級要素與等級的關系 定級要素與信息系統安全保護等級的關系如表1所示。 表1 定級要素與安全保護等級的關系 受侵害的客體 對客體的侵害程度 一般損害 嚴重損害 特別嚴重損害 公民、法人和其他組織的合法權益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 5 定級方法 5.1 定級的一般流程 信息系統安全包括業務信息安全和系統服務安全，與之相關的受侵害客體和對客體的侵害程度可能不同，因此，信息系統定級也應由業務信息安全和系統服務安全兩方面確定。 從業務信息安全角度反映的信息系統安全保護等級稱業務信息安全保護等級。 從系統服務安全角度反映的信息系統安全保護等級稱系統服務安全保護等級。 確定信息系統安全保護等級的一般流程如下： a) 確定作為定級對象的信息系統； b) 確定業務信息安全受到破壞時所侵害的客體； c) 根據不同的受侵害客體，從多個方面綜合評定業務信息安全被破壞對客體的侵害程度； d) 依據表2，得到業務信息安全保護等級； e) 確定系統服務安全受到破壞時所侵害的客體； f) 根據不同的受侵害客體，從多個方面綜合評定系統服務安全被破壞對客體的侵害程度； g) 依據表3，得到系統服務安全保護等級； h) 將業務信息安全保護等級和系統服務安全保護等級的較高者確定為定級對象的安全保護等級。 上述步驟如圖1確定等級一般流程所示。 圖1 確定等級一般流程 5.2 確定定級對象 一個單位內運行的信息系統可能比較龐大，為了體現重要部分重點保護，有效控制信息安全建設成本，優化信息安全資源配置的等級保護原則，可將較大的信息系統劃分為若干個較小的、可能具有不同安全保護等級的定級對象。 作為定級對象的信息系統應具有如下基本特征： a) 具有唯一確定的安全責任單位 作為定級對象的信息系統應能夠唯一地確定其安全責任單位。如果一個單位的某個下級單位負責信息系統安全建設、運行維護等過程的全部安全責任，則這個下級單位可以成為信息系統的安全責任單位；如果一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任，則該信息系統的安全責任單位應是這些下級單位共同所屬的單位。 b) 具有信息系統的基本要素 作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件，如服務器、終端、網絡設備等作為定級對象。 c) 承載單一或相對獨立的業務應用 定級對象承載“單一”的業務應用是指該業務應用的業務流程獨立，且與其他業務應用沒有數據交換，且獨享所有信息處理設備。定級對象承載“相對獨立”的業務應用是指其業務應用的主要業務流程獨立，同時與其他業務應用有少量的數據交換，定級對象可能會與其他業務應用共享一些設備，尤其是網絡傳輸設備。 5.3 確定受侵害的客體 定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權益。 侵害國家安全的事項包括以下方面： - 影響國家政權穩固和國防實力； - 影響國家統一、民族團結和社會安定； - 影響國家對外活動中的政治、經濟利益； - 影響國家重要的安全保衛工作； - 影響國家經濟競爭力和科技實力； - 其他影響國家安全的事項。 侵害社會秩序的事項包括以下方面： - 影響國家機關社會管理和公共服務的工作秩序； - 影響各種類型的經濟活動秩序； - 影響各行業的科研、生產秩序； - 影響公眾在法律約束和道德規范下的正常生活秩序等； - 其他影響社會秩序的事項。 影響公共利益的事項包括以下方面： - 影響社會成員使用公共設施； - 影響社會成員獲取公開信息資源； - 影響社會成員接受公共服務等方面； - 其他影響公共利益的事項。 影響公民、法人和其他組織的合法權益是指由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。 確定作為定級對象的信息系統受到破壞后所侵害的客體時，應首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權益。 各行業可根據本行業業務特點，分析各類信息和各類信息系統與國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的關系，從而確定本行業各類信息和各類信息系統受到破壞時所侵害的客體。 5.4 確定對客體的侵害程度 5.4.1 侵害的客觀方面 在客觀方面，對客體的侵害外在表現為對定級對象的破壞，其危害方式表現為對信息安全的破壞和對信息系統服務的破壞，其中信息安全是指確保信息系統內信息的保密性、完整性和可用性等，系統服務安全是指確保信息系統可以及時、有效地提供服務，以完成預定的業務目標。由于業務信息安全和系統服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。 信息安全和系統服務安全受到破壞后，可能產生以下危害后果： - 影響行使工作職能； - 導致業務能力下降； - 引起法律糾紛； - 導致財產損失；- 造成社會不良影響； - 對其他組織和個人造成損失； - 其他影響。 5.4.2 綜合判定侵害程度 侵害程度是客觀方面的不同外在表現的綜合體現，因此，應首先根據不同的受侵害客體、不同危害后果分別確定其危害程度。對不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同，例如系統服務安全被破壞導致業務能力下降的程度可以從信息系統服務覆蓋的區域范圍、用戶人數或業務量等不同方面確定，業務信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢復費用等方面進行確定。 在針對不同的受侵害客體進行侵害程度的判斷時，應參照以下不同的判別基準： - 如果受侵害客體是公民、法人或其他組織的合法權益，則以本人或本單位的總體利益作為判斷侵害程度的基準； - 如果受侵害客體是社會秩序、公共利益或國家安全，則應以整個行業或國家的總體利益作為判斷侵害程度的基準。 不同危害后果的三種危害程度描述如下： 一般損害：工作職能受到局部影響，業務能力有所降低但不影響主要功能的執行，出現較輕的法律問題，較低的財產損失，有限的社會不良影響，對其他組織和個人造成較低損害。 嚴重損害：工作職能受到嚴重影響，業務能力顯著下降且嚴重影響主要功能執行，出現較嚴重的法律問題，較高的財產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。 特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業務能力嚴重下降且或功能無法執行，出現極其嚴重的法律問題，極高的財產損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。 信息安全和系統服務安全被破壞后對客體的侵害程度，由對不同危害結果的危害程度進行綜合評定得出。由于各行業信息系統所處理的信息種類和系統服務特點各不相同，信息安全和系統服務安全受到破壞后關注的危害結果、危害程度的計算方式均可能不同，各行業可根據本行業信息特點和系統服務特點，制定危害程度的綜合評定方法，并給出侵害不同客體造成一般損害、嚴重損害、特別嚴重損害的具體定義。 5.5 確定定級對象的安全保護等級 根據業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據表2業務信息安全保護等級矩陣表，即可得到業務信息安全保護等級。 表2 業務信息安全保護等級矩陣表 業務信息安全被破壞時所侵害的客體 對相應客體的侵害程度 一般損害 嚴重損害 特別嚴重損害 公民、法人和其他組織的合法權益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 根據系統服務安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據表2系統服務安全保護等級矩陣表，即可得到系統服務安全保護等級。 表3 系統服務安全保護等級矩陣表 系統服務安全被破壞時所侵害的客體 對相應客體的侵害程度 一般損害 嚴重損害 特別嚴重損害 公民、法人和其他組織的合法權益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 作為定級對象的信息系統的安全保護等級由業務信息安全保護等級和系統服務安全保護等級的較高者決定。 6 等級變更 在信息系統的運行過程中，安全保護等級應隨著信息系統所處理的信息和業務狀態的變化進行適當的變更，尤其是當狀態變化可能導致業務信息安全或系統服務受到破壞后的受侵害客體和對客體的侵害程度有較大的變化，可能影響到系統的安全保護等級時，應根據本標準第5章給出的定級方法重新定級。 附件3： 信息系統安全等級保護定級報告 一、XXX信息系統描述 簡述確定該系統為定級對象的理由。從三方面進行說明：一是描述承擔信息系統安全責任的相關單位或部門，說明本單位或部門對信息系統具有信息安全保護責任，該信息系統為本單位或部門的定級對象；二是該定級對象是否具有信息系統的基本要素，描述基本要素、系統網絡結構、系統邊界和邊界設備；三是該定級對象是否承載著單一或相對獨立的業務，業務情況描述。 二、XXX信息系統安全保護等級確定 （定級方法參見國家標準《信息系統安全等級保護定級指南》） （一）業務信息安全保護等級的確定 1、業務信息描述 描述信息系統處理的主要業務信息等。 2、業務信息受到破壞時所侵害客體的確定 說明信息受到破壞時侵害的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權益）中的哪些客體造成侵害。 3、信息受到破壞后對侵害客體的侵害程度的確定 說明信息受到破壞后，會對侵害客體造成什么程度的侵害，即說明是一般損害、嚴重損害還是特別嚴重損害。 4、業務信息安全等級的確定 依據信息受到破壞時所侵害的客體以及侵害程度，確定業務信息安全等級。 （二）系統服務安全保護等級的確定 1、系統服務描述 描述信息系統的服務范圍、服務對象等。 2、系統服務受到破壞時所侵害客體的確定 說明系統服務受到破壞時侵害的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權益）中的哪些客體造成侵害。 3、系統服務受到破壞后對侵害客體的侵害程度的確定 說明系統服務受到破壞后，會對侵害客體造成什么程度的侵害，即說明是一般損害、嚴重損害還是特別嚴重損害。 4、系統服務安全等級的確定 依據系統服務受到破壞時所侵害的客體以及侵害程度確定系統服務安全等級。 （三）安全保護等級的確定 信息系統的安全保護等級由業務信息安全等級和系統服務安全等級較高者決定，最終確定XXX系統安全保護等級為第幾級。 信息系統名稱 安全保護等級 業務信息安全等級 系統服務安全等級 XXX信息系統 X X X 附件4： 備案表編號： 信息系統安全等級保護 備案表 備 案 單 位： （蓋章） 備 案 日 期： 受理備案單位： （蓋章） 受 理 日 期： 中華人民共和國公安部監制 填　表　說　明 一、 制表依據。根據《信息安全等級保護管理辦法》（公通字[2007]43號）之規定，制作本表； 二、 填表范圍。本表由第二級以上信息系統運營使用單位或主管部門（以下簡稱“備案單位”）填寫；本表由四張表單構成，表一為單位信息，每個填表單位填寫一張；表二為信息系統基本信息，表三為信息系統定級信息，表二、表三每個信息系統填寫一張；表四為第三級以上信息系統需要同時提交的內容，由每個第三級以上信息系統填寫一張，并在完成系統建設、整改、測評等工作，投入運行后三十日內向受理備案公安機關提交；表二、表三、表四可以復印使用； 三、 保存方式。本表一式二份，一份由備案單位保存，一份由受理備案公安機關存檔； 四、 本表中有選擇的地方請在選項左側“0”劃“√”，如選擇“其他”，請在其后的橫線中注明詳細內容； 五、 封面中備案表編號（由受理備案的公安機關填寫并校驗）：分兩部分共11位，第一部分6位，為受理備案公安機關代碼前六位（可參照行標GA380-2002）。第二部分5位，為受理備案的公安機關給出的備案單位的順序編號； 六、 封面中備案單位：是指負責運營使用信息系統的法人單位全稱； 七、 封面中受理備案單位：是指受理備案的公安機關公共信息網絡安全監察部門名稱。此項由受理備案的公安機關負責填寫并蓋章； 八、 表一04行政區劃代碼：是指備案單位所在的地(區、市、州、盟)行政區劃代碼； 九、 表一05單位負責人：是指主管本單位信息安全工作的領導； 十、 表一06責任部門：是指單位內負責信息系統安全工作的部門； 十一、 表一08隸屬關系：是指信息系統運營使用單位與上級行政機構的從屬關系，須按照單位隸屬關系代碼（GB/T12404―1997）填寫； 十二、 表二02系統編號：是由運營使用單位給出的本單位備案信息系統的編號； 十三、 表二05系統網絡平臺：是指系統所處的網絡環境和網絡構架情況； 十四、 表二07關鍵產品使用情況：國產品是指系統中該類產品的研制、生產單位是由中國公民、法人投資或者國家投資或者控股，在中華人民共和國境內具有獨立的法人資格，產品的核心技術、關鍵部件具有我國自主知識產權； 十五、 表二08系統采用服務情況：國內服務商是指服務機構在中華人民共和國境內注冊成立（港澳臺地區除外），由中國公民、法人或國家投資的企事業單位； 十六、 表三01、02、03項：填寫上述三項內容，確定信息系統安全保護等級時可參考《信息系統安全等級保護定級指南》，信息系統安全保護等級由業務信息安全等級和系統服務安全等級較高者決定。01、02項中每一個確定的級別所對應的損害客體及損害程度可多選； 十七、 表三06主管部門：是指對備案單位信息系統負領導責任的行政或業務主管單位或部門。部級單位此項可不填； 十八、 解釋：本表由公安部公共信息網絡安全監察局監制并負責解釋，未經允許，任何單位和個人不得對本表進行改動。 表一 單位基本情況 01 單位名稱 02 單位地址 省(自治區、直轄市) 地(區、市、州、盟) 縣(區、市、旗) 03 郵政編碼 04 行政區劃代碼 05 單位負責人 姓 名 職務/職稱 辦公電話 電子郵件 06 責任部門 07 責任部門聯系人 姓 名 職務/職稱 辦公電話 電子郵件 移動電話 08 隸屬關系 01中央 02省(自治區、直轄市) 03地(區、市、州、盟)04縣（區、市、旗） 09其他 09 單位類型 01黨委機關 02政府機關 03事業單位 04企業 09其他 10 行業類別 011電信 012廣電 013經營性公眾互聯網021鐵路 022銀行 023海關 024稅務 025民航 026電力 027證券 028保險031國防科技工業 032公安 033人事勞動和社會保障 034財政035審計 036商業貿易 037國土資源 038能源039交通 040統計 041工商行政管理 042郵政043教育 044文化 045衛生 046農業 047水利 048外交 049發展改革 050科技 051宣傳 052質量監督檢驗檢疫099其他 11 信息系統總數 個 12 第二級信息系統數 個 13 第三級信息系統數 個 14 第四級信息系統數 個 15 第五級信息系統數 個 表二（ / ）信息系統情況 01 系統名稱 02 系統編號 03 統承載業務情況 業務類型 01生產作業 02指揮調度 03管理控制 04內部辦公 05公眾服務 09其他 業務描述 04 系統服務情況 服務范圍 010全國 011跨省（區、市） 跨 個 020全省（區、市） 021跨地（市、區） 跨 個030地（市、區）內 099其它 服務對象 01單位內部人員 02社會公眾人員 03兩者均包括 09其他 05 系統網絡平臺 覆蓋范圍 01局域網 02城域網 03廣域網 09其他 網絡性質 01業務專網 02互聯網 09其它 06 系統互聯情況 01與其他行業系統連接 02與本行業其他單位系統連接03與本單位其他系統連接 09其它 07 關鍵產品使用情況 序號 產品類型 數量 使用國產品率 全部使用 全部未使用 部分使用及使用率 1 安全專用產品 0 0 0 % 2 網絡產品 0 0 0 % 3 操作系統 0 0 0 % 4 數據庫 0 0 0 % 5 服務器 0 0 0 % 6 其他 0 0 0 % 08 系統采用服務情況 序號 服務類型 服務責任方類型 本行業（單位） 國內其他服務商 國外服務商 1 等級測評 0有0無 0 0 0 2 風險評估 0有0無 0 0 0 3 災難恢復 0有0無 0 0 0 4 應急響應 0有0無 0 0 0 5 系統集成 0有0無 0 0 0 6 安全咨詢 0有0無 0 0 0 7 安全培訓 0有0無 0 0 0 8 其它 0 0 0 09 等級測評單位名稱 10 何時投入運行使用 年 月 日 11 系統是否是分系統 0是 0否（如選擇是請填下兩項） 12 上級系統名稱 13 上級系統所屬單位名稱 表三（ / ）信息系統定級情況 01 確定業務信息安全保護等級 損害客體及損害程度 級別 0僅對公民、法人和其他組織的合法權益造成損害 0第一級 0對公民、法人和其他組織的合法權益造成嚴重損害0對社會秩序和公共利益造成損害 0第二級 0對社會秩序和公共利益造成嚴重損害0對國家安全造成損害 0第三級 0對社會秩序和公共利益造成特別嚴重損害0對國家安全造成嚴重損害 0第四級 0對國家安全造成特別嚴重損害 0第五級 02 確定系統服務安全保護等級 0僅對公民、法人和其他組織的合法權益造成損害 0第一級 0對公民、法人和其他組織的合法權益造成嚴重損害0對社會秩序和公共利益造成損害 0第二級 0對社會秩序和公共利益造成嚴重損害0對國家安全造成損害 0第三級 0對社會秩序和公共利益造成特別嚴重損害0對國家安全造成嚴重損害 0第四級 0對國家安全造成特別嚴重損害 0第五級 03 信息系統安全保護等級 0第一級 0第二級 0第三級 0第四級 0第五級 04 定級時間 年 月 日 05 專家評審情況 0已評審 0未評審 06 是否有主管部門 0有 0無（如選擇有請填下兩項） 07 主管部門名稱 08 主管部門審批定級情況 0已審批 0未審批 09 系統定級報告 0有 0無 附件名稱 填表人： 填表日期： 年 月 日 備案審核民警： 審核日期： 年 月 日 表四（ / ）第三級以上信息系統提交材料情況 01 系統拓撲結構及說明 0有 0無 附件名稱 02 系統安全組織機構及管理制度 0有 0無 附件名稱 03 系統安全保護設施設計實施方案或改建實施方案 0有 0無 附件名稱 04 系統使用的安全產品清單及認證、銷售許可證明 0有 0無 附件名稱 05 系統等級測評報告 0有 0無 附件名稱 06 專家評審情況 0有 0無 附件名稱 07 上級主管部門審批意見 0有 0無 附件名稱 附件5： 單位名稱 涉密信息系統名稱 系統密級（保護等級） □ 秘密 □ 機密 □ 絕密 系統聯接范圍 □局域網 □城域網 □廣域網（跨 個省或地） 系統安全域劃分和安全域密級確定 □未劃分安全域□劃分安全域（共有 個，其中絕密級 個， 機密級 個，秘密級 個，內部級 個）系統主要承建單位 系統投入使用時間 系統運行管理部門 系統安全保密管理部門 系統分級保護實施情況 □已經實施 □正在實施 □計劃 年實施 涉及國家秘密的信息系統分級保護備案表 填報日期： 年 月 日 填報單位：（蓋章） 填表說明： 1．“系統密級”依據《涉及國家秘密的信息系統分級保護管理辦法》和國家保密標準BMB17-2006確定。 2．涉密信息系統一般應劃分安全域，同一系統內的不同安全域根據所處理信息的重要程度，可分別確定密級。 3．表中“□”項，確認劃“√”。 4．填報多個涉密信息系統，可復印此表。 國家保密局制