中国科学院信息系统安全等级保护定级指南

（中科院发）

一、定级责任主体的确定

基本原则：谁运营谁定级、谁使用谁定级、谁主管谁定级

1.谁运营谁负责：运行在局域网的信息系统，其定级责任主体就是局域网管理单位；跨不同地域运营的信息系统，如果分属不同单位运营管理，可由不同单位各自定级（科技网骨干网部分由院网络信息中心定级，城域网节点以下部分由接入单位定级，分院管理的网络由分院定级）。

2.谁使用谁定级：信息系统由谁直接使用，就应由谁定级。采用服务器托管（仅指远程登录独享服务器方式）的信息系统，应由委托单位负责定级。

3.谁主管谁定级：跨不同地域运行的信息系统均由上级单位直接负责运行和管理，应由上级单位定级；跨不同地域运行的信息系统由上下级各自运行和管理，可由上下级各自定级，但确有需要也可协商后由上级单位直接定级；信息系统无法确定定级主体时，应由上级单位定级。信息系统有隶属关系的，照此执行。

二、定级对象的确定

只有完全具备下列三个条件才能作为定级对象：

1.承载相对独立或单一业务应用的信息系统。相对独立的业务应用是指主要业务流程及功能独立，仅与其它信息系统的业务应用有少量的数据交换。使用虚拟主机服务的系统，不应作为定级对象。

2.信息系统的信息安全由本单位主管，且本单位是唯一的安全责任单位。

3.具有计算机信息系统的基本要素：

（1） 信息系统必须包含计算机硬件、网络设备、系统软件及应用系统。单一的系统组件，如单台的服务器、终端或网络设备不能作为信息系统。

（2）起支撑作用的网络应该作为定级对象，应用类的信息系统可以应用种类划分定级对象。

三、系统边界的确定

1. 涉及不同客体的系统应予以区分。如一般科研应用系统与尖端科研应用系统应分别划分。对内服务的办公系统与对外服务的业务系统原则上应分别划分，若均定为一级，可不予区分。

2.受损后对同一客体造成不同损害程度的系统应予以区分。如单位内部集中数据中心的数据量和服务范围要高于普通数据中心，若具有不同的安全等级，则不能作为一个信息系统对待。

3.信息系统的划分没有绝对的对和错，只有合理与否的问题。系统边界划分可大可小，除坚持基本划分原则外，还要利于工作，便于操作。局域网内除拟定安全等级不同的信息系统需分别划分外，原拟定为一级的信息系统，如局域网内的邮件服务器、域名解析系统、承载普通数据的ftp系统、普通网站等，也可以从路由器或核心交换机开始进行划分系统物理边界，作为一个信息系统看待，其保护等级定为一级。

四、定级方法

根据业务信息安全受到破坏时对客体的侵害程度确定业务信息安全等级，根据系统服务安全受到破坏时对客体的侵害程度确定系统服务安全等级，两者取其高者定为系统安全保护等级（具体办法见《信息安全等级保护管理办法》相关章节）。

五、定级要求

1.坚持以信息系统安全本质为定级依据。应以信息系统的重要性和信息系统遭到破坏后的危害程度为依据，不应以采取或将采取什么安全保护措施为依据。对于因突发事件而导致的系统保护客体或客体损害程度可能改变的情况（如违反规定在普通信息系统中发布涉密信息导致国家安全受损），与系统本质属性无关，不应在定级时考虑。

2.定级要实事求是，客观准确。定级过高，将导致本单位资源浪费，增加管理负担；定级过低，将导致客体得不到必要安全保护，容易引发系统安全问题。

3.定级应以信息系统承载业务信息及提供系统服务的现状为准，亦可适度考虑未来发展方向。对于在半年内系统等级即将调整的系统，建议以调整后的级别报审和备案。

4.自主定级，自主保护。要深入领会《信息安全等级保护管理办法》及相关文件精神，认真研究信息系统各定级要素，自主定级，自主实施保护。在审查和备案过程中，要服从公安机关的部署和指导。

六、具体意见

1.支撑网络：

(1)科技网骨干网：主要对全国范围内的用户提供系统服务，受到破坏时将对社会秩序、公共利益造成严重损害，保护等级建议定为三级。

(2)院属单位城域网：主要对院属单位提供系统服务，受到破坏时将对法人合法权益造成严重损害，保护等级建议定为二级。

2.科研应用系统：

(1)一般科研应用系统：承载普通科研信息和数据，主要服务于内部或外部用户，受损后仅对公民、法人和其它组织的合法权益造成一般损害，保护等级建议定为一级。

(2)较重要科研应用系统：承载较为重要的科研信息和数据，内部或外部用户依赖性强（访问量大），一旦受损将对公共利益造成一般损害，或对公民、法人和其它组织的合法权益造成严重损害，保护等级建议定为二级。

(3)尖端科研应用系统：承载尖端科研信息和数据，主要服务于内部或外部特殊用户，受损后至国家安全（国家竞争力）构成威胁，应定为重要信息系统。

3.办公管理系统：

(1)ARP院级管理系统：承载重要科研数据，为全院科研活动提供管理平台，受损后将对公共利益造成严重损害，保护等级应定为三级。

(2)ARP所级管理系统：保护等级建议定为二级。

(3)其它办公管理系统，保护等级建议定为一级。

4．宣传性网站：主要承载宣传信息，根据受损后对不同客体造成不同性质的影响进行划分，院网站保护等级定为二级；院属单位网站可和其它拟定为一级的信息系统合并。

5.涉密信息系统：依据《管理办法》及国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测试指南》定级，秘密、机密、绝密三个等级的保护水平不低于信息安全等级保护第三级、第四级、第五级的标准。按照有关规定，涉密信息系统应与其它网络进行物理隔离。

6．其它信息系统：应根据承载业务信息或系统服务受损后对不同客体造成不同性质的影响进行划分，定级时要严格把握一般信息系统与重要信息系统之间的界限。