关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)

发布时间: 2010-02-02 丨 阅读次数: 43881

 

                                   中华人民共和国公安部

                                   国 家 保 密 局              文件

                                   国 家 密 码 管 理 局

                                   国务院信息化工作办公室

 

关于开展全国重要信息系统安全等级保护

定级工作的通知

 公信安[2007]861号 

 

  各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:

  为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)精神,提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,根据国家网络与信息安全协调小组2007年的工作部署,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作(以下简称“定级工作”)。现就有关事项通知如下:

一、定级范围

(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等

单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、

商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称涉密信息系统)。
二、定级工作的主要内容

(一)开展信息系统基本情况的摸底调查。各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量

、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。

(二)初步确定安全保护等级。各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告(报告模版见附件1)。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

(三)评审与审批。初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。

当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。

(四)备案。根据《管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》(见附件2)和辅助备案工具,持填写的备案表和利用辅助备案工具生成的备案电子数据,到公安机关办理备案手续,提交有关备案材料及电子数据文件。其中,第二级信息系统的备案单位只需填写备案表中的表一和表二,第三级以上信息系统的备案单位还应当提交备案表附件所列各项内容的书面材料。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,向当地设区的市级以上公安机关备案。
涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(见附件3),按照属地化管理原则,中央和国家机关单位的涉密信息系统向国家保密局备案;地方单位的涉密信息系统向所在地的市(地)级以上保密工作部门备案;中央和国家机关地方所属单位的涉密信息系统,向所在地的省级保密工作部门备案。
(五)备案管理。公安机关和国家保密工作部门负责受理备案并进行备案管理。信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的,应当通知备案单位予以纠正。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。

三、定级工作的要求
(一)加强领导,落实保障。各地区、各部门要加强对本地区、本行业信息安全等级保护工作的组织领导,及时掌握工作进展情况,并可组织成立专家组,明确技术支持力量。信息系统运营使用单位要成立等级保护工作组,落实责任部门、责任人员和经费,保障定级工作顺利进行。

(二)明确责任,密切配合。定级工作由各级公安机关牵头,会同国家保密工作部门、国家密码管理部门和信息化领导小组办事机构共同组织实施。公安机关负责定级工作的监督、检查、指导;国家保密工作部门负责涉密系统定级工作的监督、检查、指导;国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导;信息化领导小组办事机构负责定级工作的部门间协调。
各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作,督促其落实定级工作各项任务。各信息系统运营使用单位依据《管理办法》和本通知要求,具体实施定级工作。

(三)动员部署,开展培训。各地区、各部门要按照统一部署广泛进行宣传动员,举办形式多样的培训班、研讨班等,层层培训。公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室对国家有关部委、各省级公安、保密、密码和信息化领导小组办事机构就《管理办法》和《信息系统安全等级保护定级指南》等内容进行培训。信息系统主管部门对所管辖的信息系统运营使用单位进行培训。各地参照上述培训模式开展培训工作。

(四)及时总结,提出建议。各地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议。各地区、各部门负责等级保护的领导机构要及时总结定级工作经验,形成定级工作总结报告,并及时报送公安部。涉密系统定级工作总结报告向国家保密局报送。
此次定级工作完成后,请各主管部门、运营使用单位按照《管理办法》和有关技术标准,继续开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作,各级公安、保密、密码部门要开展等级保护工作的监督、检查和指导。 执行中有何问题,请及时报告。

公安部联系人郭启全,联系电话:010-66261745
国家保密局联系人魏力,联系电话:010-83086085
国家密码管理局联系人王家玮,联系电话:010-83084734
国务院信息办联系人李强,联系电话:010-83083664
公安部网址:www.mps.gov.cn(互联网);
ftp://10.1.185.68(公安网)。
技术咨询电话:010—88530013、88530015。


附件:1、《信息系统安全等级保护定级报告》模版

   2、《信息系统安全等级保护备案表》

   3、《涉及国家秘密的信息系统分级保护备案表》

 

 公安部     国家保密局

 

 

国家密码管理局    国务院信息化工作办公室

                (印)           

 

二〇〇七年七月十六日

 

 

 

 

 


 抄送:中央办公厅、国务院办公厅。
    中央和国家机关各部委,国务院各直属机构、办事机构、事业单位,国务院部委
    管理的各国家局。
    国家保密局、国家密码管理局、国务院信息化工作办公室有关部门。
    公安部党委,部属有关局级单位。


 

附件1:《信息系统安全等级保护定级报告》模版

 

《信息系统安全等级保护定级报告》

 

一、XXX信息系统描述

简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具

有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构

、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。

二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)

(一)业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全保护等级的确定

1、系统服务描述
描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定
依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全保护等级的确定

信息系统的安全保护等级由业务信息安全等级和系统

服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。

 


附件2:

备案表编号:

  
信息系统安全等级保护

备案表

 


 

 



填 表 说 明

 

一、 制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表;
二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;
三、 保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;
四、 本表中有选择的地方请在选项左侧“.”划“√”,如选择“其他”,请在其后的横线中注明详细内容;
五、 封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;
六、 封面中备案单位:是指负责运营使用信息系统的法人单位全称;
七、 封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章;
八、 表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码;
九、 表一05单位负责人:是指主管本单位信息安全工作的领导;
十、 表一06责任部门:是指单位内负责信息系统安全工作的部门;
十一、 表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写;
十二、 表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号;
十三、 表二05系统网络平台:是指系统所处的网络环境和网络构架情况;
十四、 表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民

共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;
十五、 表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;
十六、 表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选;
十七、 表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填;
十八、 解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。