網(wǎng)絡(luò)安全等級保護(hù)之信息系統(tǒng)定級備案工作方案

1、網(wǎng)絡(luò)安全等級保護(hù)之信息系統(tǒng)定級備案工作方案一、信息系統(tǒng)安全保護(hù)等級的劃分與保護(hù)（一）信息系統(tǒng)定級工作原則信息系統(tǒng)定級工作應(yīng)按照“自主定級、專家評審、主管部門審批、公安機(jī)關(guān)審核”的 原則進(jìn)行。定級工作的主要內(nèi)容包括：確定定級對象、確定信息系統(tǒng)安全保護(hù)等級、 組織專家評審、主管部門審批、公安機(jī)關(guān)審核，具體可按照關(guān)于開展全國重要信息 系統(tǒng)安全等級保護(hù)定級工作的通知（公通字2007861號）要求執(zhí)行。各信息 系統(tǒng)運(yùn)營使用單位和主管部門是信息安全等級保護(hù)的責(zé)任主體，根據(jù)所屬信息系統(tǒng)的 重要程度和遭到破壞后的危害程度，確定信息系統(tǒng)的安全保護(hù)等級。同時，按照所定 等級，依照相應(yīng)等級的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，建設(shè)

2、信息安全保護(hù)設(shè)施，建立安全制度， 落實(shí)安全責(zé)任，對信息系統(tǒng)進(jìn)行保護(hù)。在等級保護(hù)工作中，信息系統(tǒng)運(yùn)營使用單位和主管部門按照“誰主管誰負(fù)責(zé)，誰運(yùn)營 誰負(fù)責(zé)”的原則開展工作，并接受信息安全監(jiān)管部門對開展等級保護(hù)工作的監(jiān)管。運(yùn) 營使用單位和主管部門是信息系統(tǒng)安全的第一責(zé)任人，對所屬信息系統(tǒng)安全負(fù)有直接 責(zé)任；公安、保密、密碼部門對運(yùn)營使用單位和主管部門開展等級保護(hù)工作進(jìn)行監(jiān)督、 檢查、指導(dǎo)，對重要信息系統(tǒng)安全負(fù)監(jiān)管責(zé)任。由于重要信息系統(tǒng)的安全運(yùn)行不僅影 響本行業(yè)、本單位的生產(chǎn)和工作秩序，也會影響國家安全、社會穩(wěn)定、公共利益，因 此，國家必然要對重要信息系統(tǒng)的安全進(jìn)行監(jiān)管。（二）信息系統(tǒng)安全保護(hù)等級信息

3、系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重 要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護(hù)等級分為五級，從第一級到第五級逐級增高。（三）信息系統(tǒng)安全保護(hù)等級的定級要素信息系統(tǒng)的安全保護(hù)等級由兩個定級要素決定：等級保護(hù)對象受到破壞時所侵害的客 體和對客體造成侵害的程度。.受侵害的客體等級保護(hù)對象受到破壞時所侵害的客體包括以下三個方面：一是公民、法人和其他組織的合法權(quán)益；二是社會秩序、公共利益；三是國家安全。.對客體的侵害程度對客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對客體的侵害是通

4、過對 等級保護(hù)對象的破壞實(shí)現(xiàn)的，因此，對客體的侵害外在表現(xiàn)為對等級保護(hù)對象的破壞， 通過危害方式、危害后果和危害程度加以描述。等級保護(hù)對象受到破壞后對客體造成 侵害的程度有三種：一是造成一般損害；二是造成嚴(yán)重?fù)p害；三是造成特別嚴(yán)重?fù)p害。（四）五級保護(hù)和監(jiān)管信息系統(tǒng)運(yùn)營、使用單位依據(jù)國家信息安全等級保護(hù)政策和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng) 進(jìn)行保護(hù)，國家信息安全監(jiān)管部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。定級要 素與信息系統(tǒng)安全保護(hù)等級的關(guān)系如表 1-1所示。表1-1定級要素與安全保護(hù)等級的關(guān)系等級對象侵害客體侵害程度監(jiān)管強(qiáng)度第一級一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會秩序和公共利

5、益損害第三級重要系統(tǒng)社會秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國家安全損害第四級社會秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國家安全嚴(yán)重?fù)p害第五級極端重要系國家安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查統(tǒng) I二、定級工作的主要步驟信息系統(tǒng)定級是等級保護(hù)工作的首要環(huán)節(jié)和關(guān)鍵環(huán)節(jié)，是開展信息系統(tǒng)備案、建設(shè)整 改、等級測評、監(jiān)督檢查等工作的重要基礎(chǔ)。這里先明確一個概念，信息系統(tǒng)包括起 支撐、傳輸作用的基礎(chǔ)信息網(wǎng)絡(luò)和各類應(yīng)用系統(tǒng)。信息系統(tǒng)安全級別定級不準(zhǔn)，系統(tǒng) 備案、建設(shè)整改、等級測評等后續(xù)工作都會失去基礎(chǔ)，信息系統(tǒng)安全就沒有保證。定 級工作可以按照下列步驟進(jìn)行。（一）開展摸底調(diào)查按照定級工作通知確定的定級范圍，各單位、各部

6、門可以組織開展對所屬信息系 統(tǒng)進(jìn)行摸底調(diào)查，摸清信息系統(tǒng)底數(shù)，掌握信息系統(tǒng)（包括信息網(wǎng)絡(luò)）的業(yè)務(wù)類型、 應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，為下一步明確要求、落實(shí)責(zé)任奠定基礎(chǔ)。（二）確定定級對象在全國重要信息系統(tǒng)安全等級保護(hù)定級工作（以下簡稱“定級工作”）中，如何科學(xué)、 合理地確定定級對象是最關(guān)鍵的問題。信息系統(tǒng)運(yùn)營使用單位或主管部門按如下原則 確定定級對象。一是起支撐、傳輸作用的信息網(wǎng)絡(luò)（包括專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)）要作為定級 對象。但不是將整個網(wǎng)絡(luò)作為一個定級對象，而是要從安全管理和安全責(zé)任的角度將 基礎(chǔ)信息網(wǎng)絡(luò)劃分成若干個最小安全域或最小單元去定級。二是用于生產(chǎn)、調(diào)度、管理、作業(yè)、指

7、揮、辦公等目的的各類業(yè)務(wù)系統(tǒng)，要按照不同 業(yè)務(wù)類別單獨(dú)確定為定級對象，不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換、是否獨(dú)享設(shè)備為確定定 級對象條件。不能將某一類信息系統(tǒng)作為一個定級對象去定級。三是各單位網(wǎng)站要作為獨(dú)立的定級對象。如果網(wǎng)站的后臺數(shù)據(jù)庫管理系統(tǒng)安全級別 高，也要作為獨(dú)立的定級對象。網(wǎng)站上運(yùn)行的信息系統(tǒng)（例如對社會服務(wù)的報(bào)名考試 系統(tǒng)）也要作為獨(dú)立的定級對象。四是確認(rèn)負(fù)責(zé)定級的單位是否對所定級系統(tǒng)負(fù)有業(yè)務(wù)主管責(zé)任。也就是說，業(yè)務(wù)部門 應(yīng)主導(dǎo)對業(yè)務(wù)信息系統(tǒng)定級，運(yùn)維部門（例如信息中心、托管方）可以協(xié)助定級并按 照業(yè)務(wù)部門的要求開展后續(xù)安全保護(hù)工作。五是具有信息系統(tǒng)的基本要素。作為定級對象的信息系統(tǒng)應(yīng)該是

8、由相關(guān)的和配套的設(shè) 備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個單一的系統(tǒng) 組件（如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等）作為定級對象。例如，奧運(yùn)網(wǎng)絡(luò)主要包括，“奧組委辦公外網(wǎng)”（承載自動化辦公、場館管理、電子 郵件、物流、員工之家等16項(xiàng)業(yè)務(wù)）、“奧組委內(nèi)部辦公局域網(wǎng)”（承載著財(cái)務(wù)管 理、人事管理等3項(xiàng)業(yè)務(wù)）、“奧運(yùn)票務(wù)網(wǎng)”（票務(wù)網(wǎng)站和票務(wù)管理系統(tǒng)）、“奧運(yùn) 官方網(wǎng)站”（門戶網(wǎng)站和后臺數(shù)據(jù)處理系統(tǒng)）、“奧運(yùn)互聯(lián)網(wǎng)接入”、“競賽網(wǎng)”等 六個奧運(yùn)信息系統(tǒng)。確定奧組委辦公外網(wǎng)、奧組委內(nèi)部辦公局域網(wǎng)、票務(wù)網(wǎng)站、票務(wù) 管理系統(tǒng)、奧運(yùn)官方網(wǎng)站和競賽網(wǎng)為定級對象。（三）初步確定信息系統(tǒng)等級可以按照

9、下列要求確定信息系統(tǒng)等級：.定級責(zé)任主體。各信息系統(tǒng)運(yùn)營使用單位和主管部門是信息系統(tǒng)定級的責(zé)任主體。.定級要素。信息系統(tǒng)的安全保護(hù)等級由兩個定級的要素決定： 等級保護(hù)對象受到破 壞時所侵害的客體和對客體造成侵害的程度。信息系統(tǒng)的安全保護(hù)等級是信息系統(tǒng)本身的客觀自然屬性，不以已采取或?qū)⒉扇∈裁?安全保護(hù)措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、 社會穩(wěn)定、人民群眾合法公益的危害程度為依據(jù)，確定信息系統(tǒng)的安全保護(hù)等級。定 級時應(yīng)主要考慮信息系統(tǒng)破壞后對國家安全、社會穩(wěn)定的影響，考慮境內(nèi)外各種敵對 勢力、敵對分子針對重要信息系統(tǒng)入侵攻擊破壞和竊取秘密等因素。既要防止個別單 位

10、版面追求絕對安全而定級過高，也要防止為了逃避監(jiān)管定級偏低。.對各類系統(tǒng)定級的處理方法。一是單位自建的信息系統(tǒng)（與上級單位無關(guān)），單位 自主定級。二是跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)，可以由主管部門統(tǒng)一確定安 全保護(hù)等級。其中：由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一安全保護(hù)策略的全國聯(lián)網(wǎng)系 統(tǒng)，應(yīng)由行業(yè)主管部門統(tǒng)一對下各級系統(tǒng)分別確定等級；由各行業(yè)統(tǒng)一規(guī)劃、分級建 設(shè)、全國聯(lián)網(wǎng)的信息系統(tǒng)，應(yīng)由部、省、地市分別確定系統(tǒng)等級，但各行業(yè)主管部門 應(yīng)對該系統(tǒng)提出定級意見，避免出現(xiàn)同類系統(tǒng)下級定級比上級高的現(xiàn)象。對于該類系 統(tǒng)的等級，下級確定后需報(bào)上級主管部門審批。需特別注意的是：同類信息系統(tǒng)的安全保護(hù)等級不

11、能隨著部、省、市行政級別的降低 而降低，例如地市級的重要行業(yè)的重要系統(tǒng)不能定為一、二級。.新建系統(tǒng)的定級工作對于新建系統(tǒng)，信息系統(tǒng)運(yùn)營使用單位在規(guī)劃設(shè)計(jì)時應(yīng)確定信息系統(tǒng)安全保護(hù)等級， 按照信息系統(tǒng)等級，同步規(guī)劃、同步設(shè)計(jì)、同步實(shí)施安全保護(hù)技術(shù)措施和管理措施。有關(guān)信息系統(tǒng)安全保護(hù)等級確定的具體辦法和要求見1.3節(jié)。（四）信息系統(tǒng)等級評審信息系統(tǒng)運(yùn)營使用單位或主管部門在初步確定信息系統(tǒng)安全保護(hù)等級后，為了保證定級合理、準(zhǔn)確，可以聘請專家進(jìn)行評審，并出具專家評審意見。（五）信息系統(tǒng)等級的審批 單位自建的信息系統(tǒng)（與上級單位無關(guān)），等級確定后，是否報(bào)上級主管部門審批， 由各行業(yè)自行決定。信息系統(tǒng)運(yùn)營使

12、用單位參考專家定級評審意見，最終確定信息系 統(tǒng)等級，形成定級報(bào)告。如果專家評審意見與運(yùn)營使用單位意見不一致時，由運(yùn) 營使用單位自主決定系統(tǒng)等級，信息系統(tǒng)運(yùn)營使用單位有上級主管部門的，應(yīng)當(dāng)經(jīng)上 級主管部門對安全保護(hù)等級進(jìn)行審核批準(zhǔn)。 主管部門一般是指行業(yè)的上級主管部門或 監(jiān)管部門。如果是跨地域聯(lián)網(wǎng)運(yùn)營使用的信息系統(tǒng)，則必須由其上級主管部門審批， 確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性。（六）公安機(jī)關(guān)審核公安機(jī)關(guān)收到信息系統(tǒng)運(yùn)營使用單位備案材料后，應(yīng)對信息系統(tǒng)定級的準(zhǔn)確性進(jìn)行審 核。公安機(jī)關(guān)的審核是定級工作的最后一道防線，應(yīng)予以高度重視，嚴(yán)格把關(guān)。信息 系統(tǒng)定級基本準(zhǔn)確的，公安機(jī)關(guān)頒發(fā)由公

13、安部統(tǒng)一監(jiān)制的信息系統(tǒng)安全等級保護(hù)備 案證明（以下簡稱備案證明）。對于定級不準(zhǔn)的，公安機(jī)關(guān)應(yīng)向備案單位發(fā)整 改通知，并建議備案單位組織專家進(jìn)行重新定級評審，并報(bào)上級主管部門審批。備案 單位仍然堅(jiān)持原定等級的，公安機(jī)關(guān)可以受理其備案，但應(yīng)當(dāng)書面告知其承擔(dān)由此引 發(fā)的責(zé)任和后果，經(jīng)上級公安機(jī)關(guān)同意后，同時通報(bào)備案單位上級主管部門。三、如何確定信息系統(tǒng)安全保護(hù)等級（一）如何理解信息系統(tǒng)的五個安全保護(hù)等級信息系統(tǒng)的安全保護(hù)等級是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù) 措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、 人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)

14、的安全保護(hù)等級。既要防止個別 單位片面追求絕對安全而定級過高，也要防止為了逃避監(jiān)管定級偏低。信息網(wǎng)絡(luò)的安全等級可以參照在其上運(yùn)行的信息系統(tǒng)的等級、網(wǎng)絡(luò)的服務(wù)范圍和自身的安全需求確 定適當(dāng)?shù)谋Ｗo(hù)等級，不以在其上運(yùn)行的信息系統(tǒng)的最高等級或最低等級為標(biāo)準(zhǔn)，既不 就高、不就低。為了幫助信息系統(tǒng)運(yùn)營使用單位準(zhǔn)確確定信息系統(tǒng)安全保護(hù)等級，可以參考下列對五 級的說明確定系統(tǒng)等級。第一級信息系統(tǒng)：一般適用于小型私營、個體企業(yè)、中小學(xué)，鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣 級單位中一般的信息統(tǒng)。第二級信息系統(tǒng)：一般適用于縣級其些單位中的重要信息系統(tǒng)；地市級以上國家機(jī)關(guān)、 企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘

15、密、敏感信息的辦公 系統(tǒng)和管理系統(tǒng)等。第三級信息系統(tǒng)：一般適用于地市級以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息 系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國 聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這 類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門戶網(wǎng)站和重要網(wǎng)站；跨 省連接的網(wǎng)絡(luò)系統(tǒng)等。第四級信息系統(tǒng)：一般適用于國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系 統(tǒng)。例如電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要、部門的生產(chǎn)、調(diào)度、 指揮等涉及國家安全、國計(jì)民生的核心系統(tǒng)。第五級信息系統(tǒng)：一般適用于國家重要領(lǐng)域、重要部

16、門中的極端重要系統(tǒng)。（二）定級的一般流程信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的 侵害程度可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級稱為業(yè)務(wù)信息安全等級。從 系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級稱系統(tǒng)服務(wù)安全等級。確定信息系統(tǒng)安全保護(hù)等級的一般流程如下：確定作為定級對象的信息系統(tǒng)；確定業(yè) 務(wù)信息安全受到破壞時所侵害的客體；根據(jù)不同的受侵害客體，從多個方面綜合評定 業(yè)務(wù)信息安全被破壞對客體的侵害程度，根據(jù)業(yè)務(wù)信息的重要性和受到破壞后的危害 性確定業(yè)務(wù)信息安全等級；確定系統(tǒng)服務(wù)安全受到

17、破壞時所侵害的客體；根據(jù)不同的 受侵害客體，從多個方面綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度，根據(jù)系統(tǒng) 服務(wù)的重要性和受到破壞后的危害性確定系統(tǒng)服務(wù)安全等級；由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者確定定級對象的安全保護(hù)等級。上述步驟如圖1-1所示。圖1-1確定等級一般流程E、扇定系統(tǒng)服為安全螃U破壞時 所層害的客體2、碇止再信息安全匿到破壞時所侵國據(jù)曲”1、臉定級對象25、綜自評烹對客體的侵害程度前繞臺評盅對客體出侵寶程度p工系就服警安金程輾,:土身安全等莪尸.確定受侵害的客體定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法 人和其他組織的合法權(quán)益。侵害國家

18、安全的事項(xiàng)包括以下方面：影響國家政權(quán)穩(wěn)固和國防實(shí)力；影響國家統(tǒng)一、民族團(tuán)結(jié)和社會安定；影響國家對外活動中的政治、經(jīng)濟(jì)利益；影響國家重要的安全 保衛(wèi)工作；影響國家經(jīng)濟(jì)競爭力和科技實(shí)力；其他影響國家安全的事項(xiàng)。侵害社會秩序的事項(xiàng)包括以下方面：影響國家機(jī)關(guān)社會管理和公共服務(wù)的工作秩序；影響各種類型的經(jīng)濟(jì)活動秩序；影響各行業(yè)的科研、生產(chǎn)秩序；影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；其他影響社會秩序的事項(xiàng)。影響公共利益的事項(xiàng)包括以下方面：影響社會成員使用公共設(shè)施；影響社會成員獲取公開信息資源；影響社會成員接受公共服務(wù)等方面；其他影響公共利益的事項(xiàng)。影響公民、法人和其他組織的合法權(quán)益是指由法律確認(rèn)

19、的并受法律保護(hù)的公民、法人 和其他組織所享有的一定的社會權(quán)利和利益。確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時，應(yīng)首先判斷是否侵害國家 安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他 組織的合法權(quán)益。各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)特點(diǎn)，分析各類信息和各類信息系統(tǒng)與國家安全、社會秩序、 公共利益以及公民、法人和其他組織的合法權(quán)益的關(guān)系，從而確定本行業(yè)各類信息和 各類信息系統(tǒng)受到破壞時所侵害的客體。.確定對客體的侵害程度侵害的客觀方面。在客觀方面，對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害方式表現(xiàn)為對信息安全的破壞和對信息系統(tǒng)服務(wù)的破壞，其中信息安全是指確保信息 系

20、統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時、 有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理 這兩種危害方式。信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果：影響行使工作職能； 導(dǎo)致業(yè)務(wù)能力下降；引起法律糾紛；導(dǎo)致財(cái)產(chǎn)損失；造成社會不良影響；對其他組織 和個人造成損失；其他影響。.綜合判定侵害程度侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)，因此，應(yīng)首先根據(jù)不同的受侵害客 體、不同危害后果分別確定其危害程度。對不同危害后果確定其危害程度所采取的方 法和所考慮

21、的角度可能不同，例如系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以 從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定，業(yè)務(wù)信息安全 被破壞導(dǎo)致的財(cái)物損失可以從直接的資金損失大小、間接的信息恢復(fù)費(fèi)用等方面進(jìn)行 確定。在針對不同的受侵害客體進(jìn)行侵害程度的判斷時，應(yīng)參照以下不同的判別基準(zhǔn)：如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益 作為判斷侵害程度的基準(zhǔn)；如果受侵害客體是社會秩序、公共利益或國家安全，則應(yīng)以整個行業(yè)或國家的總體利 益作為判斷侵害程度的基準(zhǔn)。不同危害后果的三種危害程度描述如下：一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)

22、行，出 現(xiàn)較輕的法律問題，較低的財(cái)產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成 較低損害。嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出 現(xiàn)較嚴(yán)重的法律問題，較高的財(cái)產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個 人造成較嚴(yán)重?fù)p害。特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財(cái)產(chǎn)損失，大范圍的社會不良影響， 對其他組織和個人造成非常嚴(yán)重?fù)p害。信息安全和系統(tǒng)服務(wù)安全被破壞后對客體的侵害程度，由對不同危害結(jié)果的危害程度 進(jìn)行綜合評定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種類和系統(tǒng)服務(wù)特點(diǎn)各不相

23、同，信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的危害結(jié)果、危害程度的計(jì)算方式均可 能不同，各行業(yè)可根據(jù)本行業(yè)信息特點(diǎn)和系統(tǒng)服務(wù)特點(diǎn)，制定危害程度的綜合評定方 法，并給出侵害不同客體造成一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害的具體定義。.確定信息系統(tǒng)安全保護(hù)等級根據(jù)業(yè)務(wù)信息安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表1-2業(yè)務(wù)信息安全保護(hù)等級矩陣表，即可得到業(yè)務(wù)信息安全保護(hù)等級。表1-2業(yè)務(wù)信息安全保護(hù)等級矩陣表業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第

24、五級根據(jù)系統(tǒng)服務(wù)安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表1-3系統(tǒng)服務(wù)安全保護(hù)等級矩陣表，即可得到系統(tǒng)服務(wù)安全保護(hù)等級。表1-3系統(tǒng)服務(wù)安全保護(hù)等級矩陣表系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級作為定級對象的信息系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級的較高者決定。定級對象等級確定后，可參照附錄 1中的信息系統(tǒng)安全保 護(hù)等級定級報(bào)告模版起草定級報(bào)告。例如，“奧組委辦公內(nèi)網(wǎng)”承載奧組委內(nèi)部的人事、財(cái)務(wù)等業(yè)務(wù)，僅

25、在奧組委少數(shù)部 門內(nèi)應(yīng)用，不傳輸秘密信息和敏感信息。其受到破壞后，會影響內(nèi)部辦公，會對社會 秩序、公共利益造成損害，定為二級；“奧組委辦公外網(wǎng)”通過唯一出口與互聯(lián)網(wǎng)相 連，承載奧組委內(nèi)部的電子郵件、物流、短信平臺、場館管理等業(yè)務(wù)，在奧組委總部 范圍應(yīng)用，其受到破壞后，會對社會秩序、公共利益造成損害，定為二級?！捌眲?wù)網(wǎng) 站”負(fù)責(zé)提供票務(wù)申請、信息填寫等業(yè)務(wù)，采集購票者信息和訂票信息，不與“票備 管理系統(tǒng)”直接相連，其受到破壞后，會對社會秩序、公共利益造成損害，定為二級?！捌眲?wù)管理系統(tǒng)”存儲處理通過各種方式申請、購買奧運(yùn)票務(wù)的個人數(shù)據(jù)，是“票備 網(wǎng)站”的核心，其受到破壞后，會對社會秩序、公共利益造

26、成嚴(yán)重?fù)p害，定為三級?！皧W運(yùn)官方網(wǎng)站”承擔(dān)在互聯(lián)網(wǎng)上對外宣傳、報(bào)道奧運(yùn)重大事項(xiàng)，是北京奧運(yùn)通過互 聯(lián)網(wǎng)對外宣傳的門戶，其服務(wù)器保障性要求很高，受到破壞后，會對社會秩序、公共 利益造成嚴(yán)重?fù)p害，定為三級。“競賽網(wǎng)”承擔(dān)賽事安排、計(jì)時、成績統(tǒng)計(jì)等重大事 項(xiàng)，其數(shù)據(jù)安全和服務(wù)保障性要求很高，受到破壞;后，會對社會秩序、公共利益造成 嚴(yán)重?fù)p害，定為三級。四、信息系統(tǒng)備案工作的內(nèi)容和要求（一）信息系統(tǒng)備案與受理信息安全等級保護(hù)備案工作包括信息系統(tǒng)備案、受理、審核和備案信息管理等工作。信息系統(tǒng)運(yùn)營使用單位和受理備案的公安機(jī)關(guān)應(yīng)按照信息安全等級保護(hù)備案實(shí)施細(xì) 則（公信安20071360號）的要求辦理信息系統(tǒng)

27、備案工作。.備案第二級以上信息系統(tǒng)，在安全保護(hù)等級確定后 30日內(nèi)，由其運(yùn)營、使用單位或者其 主管部門（以下簡稱“備案單位”）到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。 辦理備案手續(xù)時，應(yīng)當(dāng)首先到公安機(jī)關(guān)指定的網(wǎng)址下載并填寫備案表，準(zhǔn)備好備案文 件，然后到指定的地點(diǎn)備案。備案時應(yīng)當(dāng)提交信息系統(tǒng)安全等級保護(hù)備案表（以下簡稱備案表，參見附錄2）（一式兩份）及其電子文檔。第二級以上信息系統(tǒng)備案時需提交備案表中的表一、二、三；第三級以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、 測評完成后30日內(nèi)提交備 案表表四及其有關(guān)資料。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息 系統(tǒng)，由主管部

28、門向公安部辦理備案手續(xù)；其他信息系統(tǒng)向北京市公安局備案。跨省 或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的 市級以上公安機(jī)關(guān)備案。各部委統(tǒng)一定級信息系統(tǒng)在各地的分支系統(tǒng)（包括終端連接、 安裝上級系統(tǒng)運(yùn)行的沒有數(shù)據(jù)庫的分系統(tǒng)），即使是上級主管部門定級的，也要到當(dāng) 地公安網(wǎng)監(jiān)備案。.受理備案地市級以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理本轄區(qū)內(nèi)備案單位的備案。隸屬于省級的備案單位，其跨地（市）聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)，由省級公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息 系統(tǒng)，由公安部公共信息網(wǎng)絡(luò)安全監(jiān)

29、察局受理備案，其他信息系統(tǒng)由北京市公安局公 共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。隸屬于中央的非在京單位的信息系統(tǒng)，由當(dāng)?shù)厥〖壒矙C(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門（或其指定的地市級公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門）受理備案?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)（包括由上級主管部門定級，在當(dāng)?shù)赜袘?yīng)用的信息系統(tǒng)），由所在地地市級以 上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。.備案信息管理公安部組織開發(fā)了重要信息系統(tǒng)安全監(jiān)察管理系統(tǒng)，配發(fā)給各地，搭建一個部、省、 市三級公安機(jī)關(guān)等級保護(hù)綜合管理平臺。該系統(tǒng)部、省兩級公安機(jī)關(guān)部署，部、省、 市三級公安機(jī)關(guān)應(yīng)用，為全國信息系統(tǒng)