根据公安部、国家保密局、国家密码管理委员会、国务院信息化工作办公室《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）要求，我省须于今年7月至10月在全省范围内组织开展重要信息系统安全等级保护定级和备案工作。

    一、主要工作措施

    （一）开展信息系统基本情况的摸底调查。公安机关组织各行业主管部门、运营使用单位开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构以及系统建设规划等基本情况，按照《管理办法》和《信息系统安全等级保护定级指南》的要求，确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。

    （二）初步确定安全保护等级。各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告（报告模版见附件1）。跨省、跨地区或者全国、全省统一联网运行的信息系统可以由中央和省级主管部门统一确定安全保护等级。没有主管部门的，由运营使用单位的全国或省的总部自行确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

    （三）评审与审批。初步确定信息系统安全保护等级后，可以由信息系统运营使用单位或主管部门聘请专家进行评审。对拟确定为第四级以上信息系统的，由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级，形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。

    （四）备案。根据《管理办法》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》（见附件2）和辅助备案工具，持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。其中，第二级信息系统的备案单位只需填写备案表中的表一和表二，第三级以上信息系统的备案单位还应当提交备案表附件所列各项内容的书面材料。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。省直或省级单位信息系统向省公安厅备案。跨地区、跨省或者全省、全国统一联网运行的信息系统在各地运行、应用的分支系统，向地级以上市公安局备案。

    涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定，填写《涉及国家秘密的信息系统分级保护备案表》（见附件3），按照属地化管理原则，中央和国家机关单位的涉密信息系统向国家保密局备案；地方单位的涉密信息系统向所在地的市（地）级以上保密工作部门备案；中央和国家机关地方所属单位的涉密信息系统，向所在地的省级保密工作部门备案。

    （五）备案管理。公安机关和国家保密工作部门负责受理备案并进行备案管理。信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的，应当通知备案单位予以纠正。发现定级不准的，应当通知运营使用单位或其主管部门重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。

    二、信息安全保护等级的划分和标准 
   
    《管理办法》第六条、第七条规定，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

    第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

    第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

    第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
    
    第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

    第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

    可见，信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

    1．受侵害的客体。等级保护对象受到破坏时所侵害的客体包括以下三个方面：一是公民、法人和其他组织的合法权益；二是社会秩序、公共利益；三是国家安全。

    2．对客体的侵害程度。对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度为三种：一是造成一般损害；二是造成严重损害；三是造成特别严重损害。

    三、信息系统安全保护等级的确定

    （一）定级范围    

    1．电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

    2．铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

    3．市（地）级以上党政机关的重要网站和办公信息系统。

    4．涉及国家秘密的信息系统（以下简称涉密信息系统）。

    （二）定级工作步骤

    第一步：确定定级对象

    一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。

    作为定级对象的信息系统应具有如下基本特征：

    1.具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。

    2．具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。

    3．承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。

    第二步：初步确定信息系统等级

    1.定级的一般流程。信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。

    确定信息系统安全保护等级的一般流程如下：确定作为定级对象的信息系统；确定业务信息安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度；依据表2，得到业务信息安全等级；确定系统服务安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度；依

    据表3，得到系统服务安全等级；由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。

    上述步骤如图1确定等级一般流程所示。

 
                                                            图1 确定等级一般流程

    2.定级对象受到破坏时所侵害的客体。包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。

    侵害国家安全的事项包括以下方面：影响国家政权稳固和国防实力；影响国家统一、民族团结和社会安定；影响国家对外活动中的政治、经济利益；影响国家重要的安全保卫工作；影响国家经济竞争力和科技实力；其他影响国家安全的事项。

    侵害社会秩序的事项包括以下方面：影响国家机关社会管理和公共服务的工作秩序；影响各种类型的经济活动秩序；影响各行业的科研、生产秩序；影响公众在法律约束和道德规范下的正常生活秩序等；其他影响社会秩序的事项。

    影响公共利益的事项包括以下方面：影响社会成员使用公共设施；影响社会成员获取公开信息资源；影响社会成员接受公共服务等方面；其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。

    确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。

    各行业可根据本行业业务特点，分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系，从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。

    3．确定侵害的客观方面。在客观方面，对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏，其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。

    信息安全和系统服务安全受到破坏后，可能产生以下危害后果：影响行使工作职能；导致业务能力下降；引起法律纠纷；导致财务损失；造成社会不良影响；对其他组织和个人造成损失；其他影响。

    4．综合判定侵害程度。侵害程度是客观方面的不同外在表现的综合体现，因此，应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同，例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定，业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。

    在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同的判别基准：

    如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准；
    
    如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准。

    不同危害后果的三种危害程度描述如下：

    一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。

    严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。

    特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。

    信息安全和系统服务安全被破坏后对客体的侵害程度，由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同，信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同，各行业可根据本行业信息特点和系统服务特点，制定危害程度的综合评定方法，并给出侵害不同客体造成损害、严重损害、特别严重损害的具体定义。

    5．确定信息系统安全保护等级。根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2业务信息安全等级矩阵表，即可得到业务信息安全等级。

    表2 业务信息安全等级矩阵表

    根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表3系统服务安全等级矩阵表，即可得到系统服务安全等级。

    表3 系统服务安全等级矩阵表

    作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。定级对象等级确定后，可参照附件中的《信息系统安全保护等级定级报告》模版（见附件）起草定级报告。

    涉密信息系统按照国家保密局有关规定进行定级，并提交《涉密信息系统定级表》（见附件）。

    第三步：信息系统等级评审

    在信息系统安全保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审，出具评审意见。评审意见及时反馈信息系统运营使用单位工作组。涉密信息系统按照国家保密局有关规定进行等级评审。

    第四步：信息系统等级的最终确定与审批

     信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成《定级报告》。如果专家评审意见与运营使用单位意见不一致时，由运营使用单位自主决定系统等级，信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准。

    4.ZFWZ系统为省内企业和市民提供政府信息查询和下载服务，其系统服务如果不可用侵害的不是省政府本身的利益，而是公众获取公开信息的公众利益；

    5.但由于没有必须通过网络才能够执行的办事流程，ZFWZ系统对服务实时性和服务质量要求不高，政务服务工作主要通过网络之外完成，网络仅提供相关信息和表单下载，网站不能提供服务对市民办事影响不大；

    6.查表知ZFWZ系统的业务服务安全保护等级为第二级，如下表所示。

    7.ZFWZ系统的安全保护等级为第二级。

   
    实例2

    系统简述：某省电力集团公司的省级电力实时监控系统，主要运行调度自动化控制系统和能量管理系统（SCADA/EMS）DDZDH，负责省级超高压输电变电站的调度控制和数据采集。系统实时性要求极高，达到秒级。

    系统等级确定过程：

    1.电力系统是国家重要基础设施，省级DDZDH系统负责全省范围内的电力调度，调度控制指令或调度程序被修改，可能造成的停电事故会影响几乎所有行业的正常生产和工作，其所侵害的客体为社会秩序和公共利益；

    2.调度控制指令或调度程序被修改可能造成全省范围大面积停电、人员伤亡和巨额财产损失，同时对其它行业的生产和工作造成非常严重的影响，因此对社会秩序和公共利益的侵害程度为特别严重损害；

    3.查表知DDZDH系统的业务信息安全保护等级为第四级，如下表所示。

    4.DDZDH系统负责省级超高压输电变电站的调度控制和数据采集，该系统无法提供服务可能造成全省范围供电异常，可能造成大面积停电、人员伤亡和巨额财产损失, 同时对其它行业的生产和工作造成非常严重的影响，因此对社会秩序和公共利益的侵害程度为特别严重损害；；

    5. 查表知DDZDH系统的系统服务安全保护等级取值为4，如下表所示。

    6.DDZDH系统的安全保护等级为第四级。

    四、备案和备案审核

    （一）备案

    《管理办法》第十五条规定，已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
    新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

    隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

    省直或省级单位信息系统向省公安厅备案。跨地区、跨省或者全省、全国统一联网运行的信息系统在各地运行、应用的分支系统，向地级以上市公安局备案。
说明：根据《定级工作通知》要求，信息系统安全保护等级确定后，第二级以上的信息系统运营使用单位或主管部门到公安部网站（www.mps.gov.cn）下载《信息系统安全等级保护备案表》（见附件）和辅助备案工具（预计8月中旬可开发完毕），持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。其中，第二级信息系统的备案单位只需填写备案表中的表一、表二和表三（注：第二级信息系统备案单位可以先从互联网上提交备案表，公安机关公布备案网址。公安机关审核后再提交纸制材料，并领取备案证明）。第三级以上信息系统的备案单位还应当在建设、整改、测评等工作完成后，再行提交备案表表四所列各项内容的书面材料。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部公共信息网络安全监察局办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，向当地设区的市级以上公安机关备案。

    说明：根据《定级工作通知》要求，信息系统安全保护等级确定后，第二级以上的信息系统运营使用单位或主管部门到公安部网站（www.mps.gov.cn）下载《信息系统安全等级保护备案表》（见附件）和辅助备案工具（预计8月中旬可开发完毕），持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。其中，第二级信息系统的备案单位只需填写备案表中的表一、表二和表三（注：第二级信息系统备案单位可以先从互联网上提交备案表，公安机关公布备案网址。公安机关审核后再提交纸制材料，并领取备案证明）。第三级以上信息系统的备案单位还应当在建设、整改、测评等工作完成后，再行提交备案表表四所列各项内容的书面材料。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部公共信息网络安全监察局办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，向当地设区的市级以上公安机关备案。

    《管理办法》第十六条规定，办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：

    1．系统拓扑结构及说明。（说明可以是对系统结构的简要说明）

    2．系统安全组织机构和管理制度。（安全组织机构包括机构名称、负责人、成员、职责分工等。管理制度包括安全管理规范、章程等）

    3．系统安全保护设施设计实施方案或者改建实施方案。（简要的安全建设、整改方案）
    
    4．系统使用的信息安全产品清单及其认证、销售许可证明。（主要信息安全产品的清单，确认有认证、销售许可标记）

    5．测评后符合系统安全保护等级的技术检测评估报告。（最近一次测评的简要的等级测评报告）

    6．信息系统安全保护等级专家评审意见。（评审意见表，附专家名单）

    7．主管部门审核批准信息系统安全保护等级的意见。（审批表，领导审批签字、盖章）

     （二）备案审核

    《管理办法》第十七条规定，信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。

    五、时间要求

     （一）组织部署阶段。（7月25日至8月30日）

    1．召集我省重要信息系统运营使用单位、主管部门召开全省重要信息系统等级保护定级工作电视电话会议，部署信息系统安全等级保护等级工作。

    2．各级信息安全等级保护工作职能部门成立信息安全等级保护工作协调小组并制订工作方案，重要信息网络主管部门成立信息安全等级保护工作小组。8月20日前，各市将信息安全等级保护工作协调小组名单和联络方式以及工作方案上报省信息安全等级保护工作协调小组办公室，各主管部门信息安全等级保护工作小组名单、联系方式和工作方案送同级信息安全等级保护工作协调小组办公室。

    3．省公安厅会同省国家保密局、省国家密码管理局、省信息化领导小组办公室对省直有关部门和各市国家保密局、国家密码管理局、信息化领导小组办公室进行信息安全等级保护定级工作培训。省直主管部门对重要信息系统运营使用单位进行培训。各市在此基础上参照组织培训。

    4．各重要信息网络主管部门组织对重要信息网络开展调查，指导各重要信息网络运营使用单位建立信息安全等级保护工作组。

    5．各主管部门于8月25日前将本阶段工作情况送同级信息安全等级保护工作协调小组办公室。各市于8月30日前将本阶段工作情况上报省信息安全等级保护工作协调小组办公室。

    （二）定级备案阶段。（8月31日至10月20日）

    1．各信息系统主管部门和运营使用单位开展信息系统定级工作，并到公安机关和保密部门办理备案手续。

    2．公安机关会同国家保密、密码管理、信息化工作部门对定级工作进行监督、检查和指导，对不符合信息安全等级保护有关规定和标准的，通知备案单位纠正。督促未开展定级和备案工作的重要信息系统运营使用单位和主管部门开展相关工作。

    3．9月，省公安厅会同省国家保密局、省国家密码管理局、省信息化领导小组办公室组成联合检查组到重点地市检查指导定级工作。

    4．10月15日前，各主管部门将本阶段工作情况送同级信息安全等级保护工作协调小组办公室。10月20日前各市将本阶段工作情况上报省信息安全等级保护工作协调小组办公室。

    （三）总结评估阶段。（10月21日至10月31日）

    1．各市和省有关部门总结定级工作的经验和不足，提出改进建议，形成定级工作总结报告，于10月25日前报送省信息安全等级保护工作协调小组办公室，涉密系统定级工作总结报告向国家保密局报送。

    2．省信息安全等级保护工作协调小组办公室对各市和各部门定级工作情况进行评估并予以通报。

    3．各重要信息系统主管部门组织本行业、本部门信息系统运营使用单位着手按照信息安全等级保护相关标准开展系统整改和测评工作。

    附件：
             1．信息系统安全等级保护定级报告模版 
             2．信息系统安全等级保护备案表 
             3．涉及国家秘密的信息系统分级保护备案表