赣州虾枚电子商务有限公司

中國保險監(jiān)督管理委員會|保監(jiān)廳發(fā)〔2007〕45號|2007-09-06發(fā)布|2007-09-06實施|現(xiàn)行有效
保監(jiān)廳發(fā)〔2007〕45號

為貫徹落實國家信息安全等級保護制度，按照《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安〔2007〕861號）要求，中國保監(jiān)會將在保險行業(yè)內(nèi)開展信息系統(tǒng)安全等級保護定級工作。現(xiàn)將有關(guān)事項通知如下：
一、等級保護定級工作的要求及組織方式
各單位應(yīng)按照“準(zhǔn)確定級、嚴(yán)格審批、及時備案、認(rèn)真整改、科學(xué)測評”的要求和“自主定級、自主保護”的工作原則，成立相應(yīng)的領(lǐng)導(dǎo)及實施機構(gòu)，結(jié)合本單位的實際情況，準(zhǔn)確開展信息系統(tǒng)等級保護定級工作。
保監(jiān)會成立等級保護定級工作領(lǐng)導(dǎo)小組，統(tǒng)一領(lǐng)導(dǎo)、解決保險行業(yè)信息安全等級保護定級工作中的重大問題；保監(jiān)會等級保護定級工作領(lǐng)導(dǎo)小組下設(shè)辦公室，具體負(fù)責(zé)保監(jiān)會機關(guān)信息系統(tǒng)等級保護定級的具體實施工作和行業(yè)定級工作的指導(dǎo)審核。
各保監(jiān)局負(fù)責(zé)本局內(nèi)獨立運行的信息系統(tǒng)等級保護定級工作，并對各自轄區(qū)內(nèi)的保險公司分支機構(gòu)的等級保護定級工作進行指導(dǎo)審核。
各保險集團公司、保險控股公司負(fù)責(zé)本公司信息系統(tǒng)等級保護定級工作以及其下屬子公司信息系統(tǒng)等級保護定級工作的組織協(xié)調(diào)和指導(dǎo)。各保險總公司統(tǒng)一部署本公司和分公司的信息系統(tǒng)等級保護定級工作。
二、定級工作安排及定級范圍
（一）定級工作安排
為穩(wěn)妥做好等級保護定級工作，擬在保險行業(yè)內(nèi)分步分批實施。
保險行業(yè)第一批定級單位包括：保監(jiān)會及各保監(jiān)局，中國保險行業(yè)協(xié)會，中國人民保險集團公司、中國人壽保險（集團）公司、中國再保險（集團）公司、中國出口信用保險公司、民生人壽保險股份有限公司、陽光保險控股股份有限公司、中國平安保險（集團）股份有限公司、中國太平洋（集團）股份有限公司及其下屬各子公司和分公司。
其余公司作為第二批定級單位（具體時間安排另行通知）。
（二）定級范圍
1、保險監(jiān)管部門監(jiān)管、辦公及網(wǎng)站等重要信息系統(tǒng)；保險公司和中國保險行業(yè)協(xié)會經(jīng)營、管理、辦公等重要信息系統(tǒng)。（以下簡稱“重要信息系統(tǒng)”）
2、涉及國家秘密的信息系統(tǒng)（以下簡稱“涉密信息系統(tǒng)”）。
三、主要工作步驟
第一階段：自主定級（9月20日前完成）
各單位按要求成立相關(guān)定級實施機構(gòu)，對本系統(tǒng)內(nèi)的重要信息系統(tǒng)和涉密信息系統(tǒng)展開摸底調(diào)查，全面掌握信息網(wǎng)絡(luò)和信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、系統(tǒng)結(jié)構(gòu)、應(yīng)用或服務(wù)范圍等基本情況，按照《信息安全等級保護管理辦法》（以下簡稱“《管理辦法》”，附件1）和《信息系統(tǒng)安全等級保護定級指南》（附件2）的要求，確定定級對象并初步確定保護等級，形成定級報告（報告模板見附件3）。
涉密信息系統(tǒng)的等級確定按照國家保密局的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。
第二階段：審核（9月25日前完成）
各保監(jiān)局將各自獨立運行的重要信息系統(tǒng)和涉密信息系統(tǒng)的定級報告報保監(jiān)會審核。
各公司對本公司內(nèi)的重要信息系統(tǒng)和涉密信息系統(tǒng)定級進行統(tǒng)一審核，對跨省聯(lián)網(wǎng)運行且由公司總部統(tǒng)一確定等級的，由總公司將重要信息系統(tǒng)和涉密信息系統(tǒng)的定級報告報保監(jiān)會審核
（有集團或控股公司的，由集團或控股公司將定級報告統(tǒng)一報保監(jiān)會審核）；保險公司分公司將經(jīng)過總公司審核的，且在分公司獨立運行的重要信息系統(tǒng)和涉密系統(tǒng)定級報告報當(dāng)?shù)乇１O(jiān)局審核。
保險行業(yè)協(xié)會將所確定的重要信息系統(tǒng)和涉密信息系統(tǒng)的定級報告報保監(jiān)會審核。
保監(jiān)會及各保監(jiān)局在接到定級報告審核文件后，對不符合要求的于5個工作日內(nèi)要求其改正，審核通過者不再單獨答復(fù)。
第三階段：備案（9月30日前完成）
根據(jù)《管理辦法》，各單位定級報告通過保監(jiān)會或保監(jiān)局審核后，對重要信息系統(tǒng)安全等級確定為二級以上的信息系統(tǒng)應(yīng)到公安部網(wǎng)站下載《信息系統(tǒng)安全等級保護備案表》（見附件4）和輔助備案工具，并持填寫的備案表和利用輔助備案工具生成的備案電子數(shù)據(jù)文件，到公安機關(guān)辦理備案手續(xù)（保險行業(yè)協(xié)會確定的信息系統(tǒng)、保險總公司統(tǒng)一定級的跨省聯(lián)網(wǎng)運營的信息系統(tǒng)，向公安部備案；保險公司分公司將總公司定級的跨省聯(lián)網(wǎng)在當(dāng)?shù)剡\行、應(yīng)用的分支系統(tǒng)以及在當(dāng)?shù)胤止惊毩⑦\行的信息系統(tǒng)，向當(dāng)?shù)厥〖壒矙C關(guān)備案）。備案完成后，各級單位將備案證明復(fù)印件報相對應(yīng)的保險監(jiān)管機構(gòu)存檔。
涉密信息系統(tǒng)建設(shè)使用單位依據(jù)《管理辦法》和國家保密局的有關(guān)規(guī)定，填寫《涉及國家秘密的信息系統(tǒng)分級保護備案表》（見附件5），按照屬地化管理原則，將所確定的涉密信息系統(tǒng)，報送相對應(yīng)的保密部門備案。備案完成后，各級單位將備案證明復(fù)印件報相對應(yīng)的保險監(jiān)管機構(gòu)存檔。
第四階段：總結(jié)工作（10月15日前完成）
各單位應(yīng)對等級保護定級工作進行總結(jié)，并報保監(jiān)會等級保護定級工作領(lǐng)導(dǎo)小組。保監(jiān)會根據(jù)定級工作開展的情況和定級工作報告，總結(jié)工作經(jīng)驗，研究并啟動第二批等級保護定級工作。
聯(lián)系
人：李春亮、王曉鵬
聯(lián)系電話：010
附件：1、信息安全等級保護管理辦法（略）
2、信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南
3、信息系統(tǒng)安全等級保護定級報告
4、信息系統(tǒng)安全等級保護備案表
5、涉及國家秘密的信息系統(tǒng)分級保護備案表
二○○七年九月六日
附件2：信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南（報批稿）
全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會
前言
本標(biāo)準(zhǔn)由公安部和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出。
本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口。
本標(biāo)準(zhǔn)起草單位：
本標(biāo)準(zhǔn)主要起草人：
引言
依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院147號令）、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）、《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號）和《信息安全等級保護管理辦法》（公通字[2007]43號），制定本標(biāo)準(zhǔn)。
本標(biāo)準(zhǔn)是信息安全等級保護相關(guān)系列標(biāo)準(zhǔn)之一。
與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括：
BBBBB-BBBB信息系統(tǒng)安全等級保護基本要求；
CCCCC-CCCC信息系統(tǒng)安全等級保護實施指南；
DDDDD-DDDD信息系統(tǒng)安全等級保護測評準(zhǔn)則。
本標(biāo)準(zhǔn)依據(jù)等級保護相關(guān)管理文件，從信息系統(tǒng)所承載的業(yè)務(wù)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要作用和業(yè)務(wù)對信息系統(tǒng)的依賴程度這兩方面，提出確定信息系統(tǒng)安全保護等級的方法。
信息系統(tǒng)安全等級保護定級指南
1范圍
本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級保護的定級方法，適用于為信息系統(tǒng)安全等級保護的定級工作提供指導(dǎo)。
2規(guī)范性引用文件
下列文件中的條款通過在本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達成協(xié)議的各方研究是否使用這些文件的最新版本。凡是不注明日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。
5271.8信息技術(shù)
詞匯
第8部分：安全
計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則
3術(shù)語和定義
5271.8和GB17859-1999確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。
3.1等級保護對象targetofclassifiedsecurity
信息安全等級保護工作直接作用的具體的信息和信息系統(tǒng)。
3.2客體object
受法律保護的、等級保護對象受到破壞時所侵害的社會關(guān)系，如國家安全、社會秩序、公共利益以及公民、法人或其他組織的合法權(quán)益。
3.3客觀方面objective
對客體造成侵害的客觀外在表現(xiàn)，包括侵害方式和侵害結(jié)果等。
系統(tǒng)服務(wù)
信息系統(tǒng)為支撐其所承載業(yè)務(wù)而提供的程序化過程。
4定級原理
4.1信息系統(tǒng)安全保護等級
根據(jù)等級保護相關(guān)管理文件，信息系統(tǒng)的安全保護等級分為以下五級：
第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。
第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。
第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。
第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。
第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。
4.2信息系統(tǒng)安全保護等級的定級要素
信息系統(tǒng)的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。
受侵害的客體
等級保護對象受到破壞時所侵害的客體包括以下三個方面：
a）公民、法人和其他組織的合法權(quán)益；
b）社會秩序、公共利益；
c）國家安全。
對客體的侵害程度
對客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現(xiàn)的，因此，對客體的侵害外在表現(xiàn)為對等級保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。
等級保護對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種：
a）造成一般損害；
b）造成嚴(yán)重?fù)p害；
c）造成特別嚴(yán)重?fù)p害。
4.3定級要素與等級的關(guān)系
定級要素與信息系統(tǒng)安全保護等級的關(guān)系如表1所示。
表1
定級要素與安全保護等級的關(guān)系
對客體的侵害程度
受侵害的客體
一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害
公民、法人和其他組織的合法權(quán)益第一級第二級第二級
社會秩序、公共利益第二級第三級第四級
國家安全第三級第四級第五級
5定級方法
5.1定級的一般流程
信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。
從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護等級稱業(yè)務(wù)信息安全保護等級。
從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護等級稱系統(tǒng)服務(wù)安全保護等級。
確定信息系統(tǒng)安全保護等級的一般流程如下：
確定作為定級對象的信息系統(tǒng)；
確定業(yè)務(wù)信息安全受到破壞時所侵害的客體；
根據(jù)不同的受侵害客體，從多個方面綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度；
依據(jù)表2，得到業(yè)務(wù)信息安全保護等級；
確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體；
根據(jù)不同的受侵害客體，從多個方面綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度；
依據(jù)表3，得到系統(tǒng)服務(wù)安全保護等級；
將業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較高者確定為定級對象的安全保護等級。
上述步驟如圖1確定等級一般流程所示。
圖1
確定等級一般流程（略）
5.2確定定級對象
一個單位內(nèi)運行的信息系統(tǒng)可能比較龐大，為了體現(xiàn)重要部分重點保護，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護原則，可將較大的信息系統(tǒng)劃分為若干個較小的、可能具有不同安全保護等級的定級對象。
作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征：
具有唯一確定的安全責(zé)任單位
作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。如果一個單位的某個下級單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運行維護等過程的全部安全責(zé)任，則這個下級單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個單位中的不同下級單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級單位共同所屬的單位。
具有信息系統(tǒng)的基本要素
作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實體。應(yīng)避免將某個單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級對象。
承載單一或相對獨立的業(yè)務(wù)應(yīng)用
定級對象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨立，且與其他業(yè)務(wù)應(yīng)用沒有數(shù)據(jù)交換，且獨享所有信息處理設(shè)備。定級對象承載“相對獨立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨立，同時與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。
5.3確定受侵害的客體
定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。
侵害國家安全的事項包括以下方面：
影響國家政權(quán)穩(wěn)固和國防實力；
影響國家統(tǒng)一、民族團結(jié)和社會安定；
影響國家對外活動中的政治、經(jīng)濟利益；
影響國家重要的安全保衛(wèi)工作；
影響國家經(jīng)濟競爭力和科技實力；
其他影響國家安全的事項。
侵害社會秩序的事項包括以下方面：
影響國家機關(guān)社會管理和公共服務(wù)的工作秩序；
影響各種類型的經(jīng)濟活動秩序；
影響各行業(yè)的科研、生產(chǎn)秩序；
影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；
其他影響社會秩序的事項。
影響公共利益的事項包括以下方面：
影響社會成員使用公共設(shè)施；
影響社會成員獲取公開信息資源；
影響社會成員接受公共服務(wù)等方面；
其他影響公共利益的事項。
影響公民、法人和其他組織的合法權(quán)益是指由法律確認(rèn)的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益。
確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時，應(yīng)首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益。
各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)特點，分析各類信息和各類信息系統(tǒng)與國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的關(guān)系，從而確定本行業(yè)各類信息和各類信息系統(tǒng)受到破壞時所侵害的客體。
5.4確定對客體的侵害程度
侵害的客觀方面
在客觀方面，對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害方式表現(xiàn)為對信息安全的破壞和對信息系統(tǒng)服務(wù)的破壞，其中信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。
信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果：
影響行使工作職能；
導(dǎo)致業(yè)務(wù)能力下降；
引起法律糾紛；
導(dǎo)致財產(chǎn)損失；
造成社會不良影響；
對其他組織和個人造成損失；
其他影響。
綜合判定侵害程度
侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)，因此，應(yīng)首先根據(jù)不同的受侵害客體、不同危害后果分別確定其危害程度。對不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同，例如系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定，業(yè)務(wù)信息安全被破壞導(dǎo)致的財物損失可以從直接的資金損失大小、間接的信息恢復(fù)費用等方面進行確定。
在針對不同的受侵害客體進行侵害程度的判斷時，應(yīng)參照以下不同的判別基準(zhǔn)：
如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判斷侵害程度的基準(zhǔn)；
如果受侵害客體是社會秩序、公共利益或國家安全，則應(yīng)以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準(zhǔn)。
不同危害后果的三種危害程度描述如下：
一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。
嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴(yán)重?fù)p害。
特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴(yán)重?fù)p害。
信息安全和系統(tǒng)服務(wù)安全被破壞后對客體的侵害程度，由對不同危害結(jié)果的危害程度進行綜合評定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種類和系統(tǒng)服務(wù)特點各不相同，信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的危害結(jié)果、危害程度的計算方式均可能不同，各行業(yè)可根據(jù)本行業(yè)信息特點和系統(tǒng)服務(wù)特點，制定危害程度的綜合評定方法，并給出侵害不同客體造成一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害的具體定義。
5.5確定定級對象的安全保護等級
根據(jù)業(yè)務(wù)信息安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表2業(yè)務(wù)信息安全保護等級矩陣表，即可得到業(yè)務(wù)信息安全保護等級。
表2
業(yè)務(wù)信息安全保護等級矩陣表
對相應(yīng)客體的侵害程度
業(yè)務(wù)信息安全被破壞時所侵害的客
體一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害
公民、法人和其他組織的合法權(quán)益第一級第二級第二級
社會秩序、公共利益第二級第三級第四級
國家安全第三級第四級第五級
根據(jù)系統(tǒng)服務(wù)安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表2系統(tǒng)服務(wù)安全保護等級矩陣表，即可得到系統(tǒng)服務(wù)安全保護等級。
表3
系統(tǒng)服務(wù)安全保護等級矩陣表
對相應(yīng)客體的侵害程度
系統(tǒng)服務(wù)安全被破壞時所侵害的客
體一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害
公民、法人和其他組織的合法權(quán)益第一級第二級第二級
社會秩序、公共利益第二級第三級第四級
國家安全第三級第四級第五級
作為定級對象的信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較高者決定。
6等級變更在信息系統(tǒng)的運行過程中，安全保護等級應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進行適當(dāng)?shù)淖兏?，尤其是?dāng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害客體和對客體的侵害程度有較大的變化，可能影響到系統(tǒng)的安全保護等級時，應(yīng)根據(jù)本標(biāo)準(zhǔn)第5章給出的定級方法重新定級。
附件3：
信息系統(tǒng)安全等級保護定級報告
一、×××信息系統(tǒng)描述
簡述確定該系統(tǒng)為定級對象的理由。從三方面進行說明：一是描述承擔(dān)信息系統(tǒng)安全責(zé)任的相關(guān)單位或部門，說明本單位或部門對信息系統(tǒng)具有信息安全保護責(zé)任，該信息系統(tǒng)為本單位或部門的定級對象；二是該定級對象是否具有信息系統(tǒng)的基本要素，描述基本要素、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)邊界和邊界設(shè)備；三是該定級對象是否承載著單一或相對獨立的業(yè)務(wù)，業(yè)務(wù)情況描述。
二、×××信息系統(tǒng)安全保護等級確定
（定級方法參見國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護定級指南》）
（一）業(yè)務(wù)信息安全保護等級的確定
1、業(yè)務(wù)信息描述
描述信息系統(tǒng)處理的主要業(yè)務(wù)信息等。
2、業(yè)務(wù)信息受到破壞時所侵害客體的確定
說明信息受到破壞時侵害的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權(quán)益）中的哪些客體造成侵害。
3、信息受到破壞后對侵害客體的侵害程度的確定
說明信息受到破壞后，會對侵害客體造成什么程度的侵害，即說明是一般損害、嚴(yán)重?fù)p害還是特別嚴(yán)重?fù)p害。
4、業(yè)務(wù)信息安全等級的確定
依據(jù)信息受到破壞時所侵害的客體以及侵害程度，確定業(yè)務(wù)信息安全等級。
（二）系統(tǒng)服務(wù)安全保護等級的確定
1、系統(tǒng)服務(wù)描述
描述信息系統(tǒng)的服務(wù)范圍、服務(wù)對象等。
2、系統(tǒng)服務(wù)受到破壞時所侵害客體的確定
說明系統(tǒng)服務(wù)受到破壞時侵害的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權(quán)益）中的哪些客體造成侵害。
3、系統(tǒng)服務(wù)受到破壞后對侵害客體的侵害程度的確定
說明系統(tǒng)服務(wù)受到破壞后，會對侵害客體造成什么程度的侵害，即說明是一般損害、嚴(yán)重?fù)p害還是特別嚴(yán)重?fù)p害。
4、系統(tǒng)服務(wù)安全等級的確定
依據(jù)系統(tǒng)服務(wù)受到破壞時所侵害的客體以及侵害程度確定系統(tǒng)服務(wù)安全等級。
（三）安全保護等級的確定
信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定，最終確定×××系統(tǒng)安全保護等級為第幾級。
信息系統(tǒng)名稱
安全保護等級
業(yè)務(wù)信息安全等級
系統(tǒng)服務(wù)安全等級
×××信息系統(tǒng)
附件4：
備案表編號：□□□□□□--□□□□□
信息系統(tǒng)安全等級保護備案表備案單
位：
（蓋章）
備案日
期：
受理備案單位：
（蓋章）
受理日
期：
中華人民共和國公安部監(jiān)制
填表說明
一、
制表依據(jù)。根據(jù)《信息安全等級保護管理辦法》（公通字[2007]43號）之規(guī)定，制作本表；
二、
填表范圍。本表由第二級以上信息系統(tǒng)運營使用單位或主管部門（以下簡稱“備案單位”）填寫；本表由四張表單構(gòu)成，表一為單位信息，每個填表單位填寫一張；表二為信息系統(tǒng)基本信息，表三為信息系統(tǒng)定級信息，表二、表三每個信息系統(tǒng)填寫一張；表四為第三級以上信息系統(tǒng)需要同時提交的內(nèi)容，由每個第三級以上信息系統(tǒng)填寫一張，并在完成系統(tǒng)建設(shè)、整改、測評等工作，投入運行后三十日內(nèi)向受理備案公安機關(guān)提交；表二、表三、表四可以復(fù)印使用；
三、
保存方式。本表一式二份，一份由備案單位保存，一份由受理備案公安機關(guān)存檔；
四、
本表中有選擇的地方請在選項左側(cè)“”劃“√”，如選擇“其他”，請在其后的橫線中注明詳細內(nèi)容；
五、
封面中備案表編號（由受理備案的公安機關(guān)填寫并校驗）：分兩部分共11位，第一部分6位，為受理備案公安機關(guān)代碼前六位（可參照行標(biāo)GA380-2002）。第二部分5位，為受理備案的公安機關(guān)給出的備案單位的順序編號；
六、
封面中備案單位：是指負(fù)責(zé)運營使用信息系統(tǒng)的法人單位全稱；
七、
封面中受理備案單位：是指受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門名稱。此項由受理備案的公安機關(guān)負(fù)責(zé)填寫并蓋章；
八、
表一04行政區(qū)劃代碼：是指備案單位所在的地（區(qū)、市、州、盟）行政區(qū)劃代碼；
九、
表一05單位負(fù)責(zé)人：是指主管本單位信息安全工作的領(lǐng)導(dǎo)；
十、
表一06責(zé)任部門：是指單位內(nèi)負(fù)責(zé)信息系統(tǒng)安全工作的部門；
十一、
表一08隸屬關(guān)系：是指信息系統(tǒng)運營使用單位與上級行政機構(gòu)的從屬關(guān)系，須按照單位隸屬關(guān)系代碼（GB/T12404―1997）填寫；
十二、
表二02系統(tǒng)編號：是由運營使用單位給出的本單位備案信息系統(tǒng)的編號；
十三、
表二05系統(tǒng)網(wǎng)絡(luò)平臺：是指系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)構(gòu)架情況；
十四、
表二07關(guān)鍵產(chǎn)品使用情況：國產(chǎn)品是指系統(tǒng)中該類產(chǎn)品的研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股，在中華人民共和國境內(nèi)具有獨立的法人資格，產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；
十五、
表二08系統(tǒng)采用服務(wù)情況：國內(nèi)服務(wù)商是指服務(wù)機構(gòu)在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外），由中國公民、法人或國家投資的企事業(yè)單位；
十六、
表三01、02、03項：填寫上述三項內(nèi)容，確定信息系統(tǒng)安全保護等級時可參考《信息系統(tǒng)安全等級保護定級指南》，信息系統(tǒng)安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定。01、02項中每一個確定的級別所對應(yīng)的損害客體及損害程度可多選；
十七、
表三06主管部門：是指對備案單位信息系統(tǒng)負(fù)領(lǐng)導(dǎo)責(zé)任的行政或業(yè)務(wù)主管單位或部門。部級單位此項可不填；
十八、
解釋：本表由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局監(jiān)制并負(fù)責(zé)解釋，未經(jīng)允許，任何單位和個人不得對本表進行改動。
表一單位基本情況
01單位名稱
02單位地址
省(自治區(qū)、直轄市)地(區(qū)、市、州、盟)
縣(區(qū)、市、旗)
03郵政編碼04行政區(qū)劃代碼
05姓名職務(wù)/職稱
單位負(fù)責(zé)人
辦公電話電子郵件
06責(zé)任部門
07責(zé)任部門姓名職務(wù)/職稱
聯(lián)系人
辦公電話電子郵件
移動電話
08隸屬關(guān)系□
1中央□
2省(自治區(qū)、直轄市)
3地(區(qū)、市、州、盟)
4縣（區(qū)、市、旗）□
9其他
09單位類型□
1黨委機關(guān)
2政府機關(guān)
3事業(yè)單位
4企業(yè)□
9其他
10行業(yè)類別□
11電信
12廣電□
13經(jīng)營性公眾互聯(lián)網(wǎng)
21鐵路
22銀行□
23海關(guān)
24稅務(wù)
25民航
26電力□
27證券
28保險
31國防科技工業(yè)
32公安□
33人事勞動和社會保障
34財政
35審計
36商業(yè)貿(mào)易□
37國土資源
38能源
39交通
統(tǒng)計□
41工商行政管理
42郵政
43教育
44文化□
45衛(wèi)生
46農(nóng)業(yè)
47水利
48外交□9發(fā)展改革
科技
51宣傳
52質(zhì)量監(jiān)督檢驗檢疫
99其他
11信息系統(tǒng)個
12第二級信息系統(tǒng)數(shù)個13第三級信息系統(tǒng)數(shù)個
14第四級信息系統(tǒng)數(shù)個15第五級信息系統(tǒng)數(shù)個
表二（
）信息系統(tǒng)情況
系統(tǒng)名稱
系統(tǒng)編號
03業(yè)□1生產(chǎn)作業(yè)□2指揮調(diào)度□3管理控制□4內(nèi)部辦公
務(wù)□5公眾服務(wù)□9其他載
業(yè)業(yè)
務(wù)務(wù)
情描
況述
04服□1□全國
□11跨?。▍^(qū)、市）
系務(wù)跨個
統(tǒng)范□2□全?。▍^(qū)、市）
□21跨地（市、區(qū)）
服圍跨個
務(wù)□3□地（市、區(qū)）內(nèi)
情□99其它況
服□1單位內(nèi)部人員
□2社會公眾人員□3兩者均包括
□9其他務(wù)對象
05覆□1局域網(wǎng)
□2城域網(wǎng)□3廣域網(wǎng)
□9其他蓋
系范
統(tǒng)圍網(wǎng)
絡(luò)網(wǎng)□1業(yè)務(wù)專網(wǎng)
□2互聯(lián)網(wǎng)□9其它
平絡(luò)
臺性質(zhì)系
□1與其他行業(yè)系統(tǒng)連接□2與本行業(yè)其他單位系統(tǒng)連接
統(tǒng)互聯(lián)□3與本單位其他系統(tǒng)連接□9其它
情況關(guān)
序產(chǎn)
數(shù)量
使用國產(chǎn)品率
鍵產(chǎn)品號品
使用情類全全部未使用部分使用及使用率
況型部使用
安□□□%
全專用產(chǎn)品
網(wǎng)□□□%
絡(luò)產(chǎn)品
操□□□%
作系統(tǒng)
數(shù)□□□%
據(jù)庫
服□□
務(wù)器
其□□□%
他系序
服務(wù)類型
服務(wù)責(zé)任方類型
統(tǒng)采用號
服務(wù)情本行業(yè)（單位）國內(nèi)其他服務(wù)商國外服務(wù)商況
等級測評□□□□
有無
風(fēng)險評估□□□□
有無
災(zāi)難恢復(fù)□□
有無
應(yīng)急響應(yīng)□□
有無
系統(tǒng)集成□□□□
有無
安全咨詢□□□□
有無
安全培訓(xùn)□□□□
有無
其它□□□
等
級測評
單位名稱何年月日
時投入
運行使用系
□是□否（如選擇是請?zhí)钕聝身棧?br>統(tǒng)是否
是分系統(tǒng)上
級系統(tǒng)
名稱上
級系統(tǒng)
所屬單
位名稱
表三（
）信息系統(tǒng)定級情況
損害客體及損害程度級
確別定
業(yè)□僅對公民、法人和其他組織的合法權(quán)益造成損害□第一級安
全□對公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害□第二級
?！鯇ι鐣刃蚝凸怖嬖斐蓳p害級
□對社會秩序和公共利益造成嚴(yán)重?fù)p害□第三級
□對國家安全造成損害
□對社會秩序和公共利益造成特別嚴(yán)重?fù)p害□第四級
□對國家安全造成嚴(yán)重?fù)p害
□對國家安全造成特別嚴(yán)重?fù)p害□第五級
02□僅對公民、法人和其他組織的合法權(quán)益造成損害□第一級統(tǒng)
服□對公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害□第二級
務(wù)□對社會秩序和公共利益造成損害保
護□對社會秩序和公共利益造成嚴(yán)重?fù)p害□第三級
等□對國家安全造成損害
□對社會秩序和公共利益造成特別嚴(yán)重?fù)p害□第四級
□對國家安全造成嚴(yán)重?fù)p害
□對國家安全造成特別嚴(yán)重?fù)p害□第五級
03信息系統(tǒng)安全保護等級□第一級
□第二級□第三級□第四級□第五級
04定級時間年月日
05專家評審情況□已評審
□未評審
06是否有主管部門□有
□無（如選擇有請?zhí)钕聝身棧?br>07主管部門名稱
08主管部門審批定級情況□已審批
□未審批
09系統(tǒng)定級報告□有
□無
附件名稱
填表人：填表日期：年月日
備案審核民警：審核日期：
年月日
表四（
）第三級以上信息系統(tǒng)提交材料情況
01系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明□有□無
附件名稱
02統(tǒng)安全組織機構(gòu)及管理制
□有□無
附件名稱度
統(tǒng)安全保護設(shè)施設(shè)計實施
□有□無
附件名稱
方案或改建實施方案
04系統(tǒng)使用的安全產(chǎn)品清單及
□有□無
附件名稱
認(rèn)證、銷售許可證明
05系統(tǒng)等級測評報告
□有□無附件名稱
06專家評審情況
□有□無
附件名稱
07上級主管部門審批意見
□有□無
附件名稱
附件5：
涉及國家秘密的信息系統(tǒng)分級保護備案表
單位名稱
涉密信息系統(tǒng)名稱
系統(tǒng)密級（保護等級）□
秘密
機密
絕密
系統(tǒng)聯(lián)接范圍□局域網(wǎng)
□城域網(wǎng)
□廣域網(wǎng)（跨
個省或地）
系統(tǒng)安全域劃分和安全域密級□未劃分安全域
確定□劃分安全域（共有
個，其中絕密級
個，
機密級
個，秘密級
個，內(nèi)部級
個）
系統(tǒng)主要承建單位
系統(tǒng)投入使用時間
系統(tǒng)運行管理部門
系統(tǒng)安全保密管理部門
系統(tǒng)分級保護實施情況□已經(jīng)實施□正在實施□計劃
年實施
填報日期：年月日填報單位：（蓋章）
填表說明：
1．“系統(tǒng)密級”依據(jù)《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》和國家保密標(biāo)準(zhǔn)BMB17-2006確定。
2．涉密信息系統(tǒng)一般應(yīng)劃分安全域，同一系統(tǒng)內(nèi)的不同安全域根據(jù)所處理信息的重要程度，可分別確定密級。
3．表中“□”項，確認(rèn)劃“√”。
4．填報多個涉密信息系統(tǒng)，可復(fù)印此表。
國家保密局制