信息安全等级保护定级培训

1、 信息安全等级保护定级与备案信息安全等级保护定级与备案 徐徐 政政 内蒙古信息安全等级保护测评中心内蒙古信息安全等级保护测评中心2信息系统安全等级保护定级备案的依据信息系统安全等级保护定级备案的依据信息系统安全等级保护定级的确定信息系统安全等级保护定级的确定信息系统安全等级保护的定级报告信息系统安全等级保护的定级报告信息系统安全等级保护备案信息系统安全等级保护备案信息系统信息系统安全等级保护定级安全等级保护定级案例案例3定级 等级保护定级工作政策和法律依据定级 信息系统定级原则定级 定级工作流程定级 定级工作的要求4u国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信

2、息安全保障工作的意见（中办发（中办发200327200327号）号）u关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见（公通字（公通字200466200466号）号）u信息安全等级保护管理办法信息安全等级保护管理办法（公通字（公通字200743200743号）号）u信息系统安全等级保护定级指南信息系统安全等级保护定级指南（GB/T22240-2008GB/T22240-2008）u信息安全等级保护备案实施细则信息安全等级保护备案实施细则（公信安（公信安2007136020071360号）号）u关于开展全国重要信息系统安全等级保护定级工作的通关于开展全国重要信息系统安全等级保

3、护定级工作的通知知（公信安（公信安20078612007861号）号）5信息系统定级原则：信息系统定级原则：“自主定级、专家评审、主管部自主定级、专家评审、主管部门审批、公安机关审核门审批、公安机关审核”。具体可按照。具体可按照关于开展全关于开展全国重要信息系统安全等级保护定级工作的通知国重要信息系统安全等级保护定级工作的通知（公（公通字通字20078612007861号）要求执行。号）要求执行。6定级工作流程：确定定级对象、确定信息系统安全保定级工作流程：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审护等级、组织专家评审、主管部门审批、公安机关审核。核。7定级

4、工作的要求：定级工作的要求：加强领导，落实保障加强领导，落实保障明确责任，密切配合明确责任，密切配合动员部署，开展培训动员部署，开展培训及时总结，提出建议及时总结，提出建议8信息系统安全等级保护定级备案的依据信息系统安全等级保护定级备案的依据信息系统安全等级保护定级的确定信息系统安全等级保护定级的确定信息系统安全等级保护的定级报告信息系统安全等级保护的定级报告信息系统安全等级保护备案信息系统安全等级保护备案信息系统信息系统安全等级保护定级安全等级保护定级案例案例信息安全保护等级的划分和标准信息安全保护等级的划分和标准 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要

5、程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第一级，信息系统受到破坏后，会对公民、法人第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家对社会秩序和公共利益造成损害，但不损害国家安全。安全。 第三级，信息系统

6、受到破坏后，会对社会秩序第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重公共利益造成特别严重损害，或者对国家安全造成严重损害。损害。 第五级，信息系统受到破坏后，会对国家安全造第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。成特别严重损害。 151.1.定级工作的主要步骤定级工作的主要步骤第一步，摸底调查，掌握信息系统底数第一步，摸底调查，掌握信息系统底数第二步，确

7、定定级对象第二步，确定定级对象第三步，初步确定信息系统等级第三步，初步确定信息系统等级第四步，信息系统等级评审第四步，信息系统等级评审第五步，信息系统等级的最终确定与审批第五步，信息系统等级的最终确定与审批16 第一步，摸底调查，掌握信息系统底数第一步，摸底调查，掌握信息系统底数按照按照定级工作通知定级工作通知确定的定级范围确定的定级范围各单位、各部门可以组织开展对所属信息系统进行摸底调查，各单位、各部门可以组织开展对所属信息系统进行摸底调查，摸清信息系统底数摸清信息系统底数掌握信息系统（包括信息网络）的业务类型、应用或服务范掌握信息系统（包括信息网络）的业务类型、应用或服务范围、系统结构等基

8、本情况围、系统结构等基本情况为下一步明确要求、落实责任奠定基础。为下一步明确要求、落实责任奠定基础。17摸底调查，掌握信息系统底数摸底调查，掌握信息系统底数识别单位基本信息识别单位基本信息识别管理框架识别管理框架识别业务种类、流程和服务识别业务种类、流程和服务识别信息识别信息识别网络结构和边界识别网络结构和边界识别主要的软硬件设备识别主要的软硬件设备识别用户类型和分布识别用户类型和分布18 摸底调查摸底调查1 1）识别单位基本信息识别单位基本信息调查了解对目标系统负有安全责任的单位的单位性质、隶属调查了解对目标系统负有安全责任的单位的单位性质、隶属关系、所属行业、业务范围、地理位置等基本情况关

9、系、所属行业、业务范围、地理位置等基本情况具有上级主管机构（如果有）的信息具有上级主管机构（如果有）的信息作用：有助于判断单位的职能特点，单位所在行业及单位在作用：有助于判断单位的职能特点，单位所在行业及单位在行业所处的地位和所用，由此判断单位主要信息系统的宏观定行业所处的地位和所用，由此判断单位主要信息系统的宏观定位位19摸底调查摸底调查2 2）识别管理框架识别管理框架 调查了解定级对象信息系统所在单位的组织管理结构、调查了解定级对象信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位管理策略、部门设置和部门在业务运行中的作用、岗位职责职责了解信息系统的管理、使用

10、、运维的责任部门了解信息系统的管理、使用、运维的责任部门当单位的信息系统存在分布于不同的物理区域的情况时，当单位的信息系统存在分布于不同的物理区域的情况时，应了解不同区域系统运行的安全管理责任应了解不同区域系统运行的安全管理责任安全管理的责任单位就是等级保护备案工作的责任单位安全管理的责任单位就是等级保护备案工作的责任单位作用作用：有利于将来对整个单位制定等级保护管理框架及：有利于将来对整个单位制定等级保护管理框架及单个定级对象等级管理策略。单个定级对象等级管理策略。20摸底调查摸底调查3 3）识别业务种类、流程和服务识别业务种类、流程和服务 调查了解定级对象信息系统内部处理多少种业务，各项业

11、务具体调查了解定级对象信息系统内部处理多少种业务，各项业务具体要完成的工作内容、服务目标和业务流程等，不同信息系统之间要完成的工作内容、服务目标和业务流程等，不同信息系统之间的业务关系的业务关系 了解这些业务与单位职能的关联，单位对定级对象信息系统完成了解这些业务与单位职能的关联，单位对定级对象信息系统完成业务使命的期待和依赖程度，由此判断该信息系统在单位的作用业务使命的期待和依赖程度，由此判断该信息系统在单位的作用和影响程度。和影响程度。 应重点了解定级对象信息系统中不同业务系统提供的服务在影响应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度，影响的区域

12、范围、用户人数、履行单位职能方面具体方式和程度，影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面业务量的具体数据以及对本单位以外机构或个人的影响等方面 作用作用：这些具体数据即可以为主管部门制定定级指导意见提供参：这些具体数据即可以为主管部门制定定级指导意见提供参照，也可以作为主管部门审批定级结果的重要依据照，也可以作为主管部门审批定级结果的重要依据21摸底调查摸底调查4 4）识别信息识别信息 调查了解定级对象信息系统所处理的信息，及对信息的三个安全调查了解定级对象信息系统所处理的信息，及对信息的三个安全属性的需求属性的需求 了解不同业务数据在其保密性、完整性和

13、可用性被破坏后在单位了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响，对影响程度的描述应尽可能量化本单位造成的影响，对影响程度的描述应尽可能量化 根据系统不同业务数据可能是用户数据、业务处理数据、业务过根据系统不同业务数据可能是用户数据、业务处理数据、业务过程记录（流水）数据、系统控制数据或文件等程记录（流水）数据、系统控制数据或文件等 了解数据信息还应关注信息系统的数据流，以及不同信息系统之了解数据信息还应关注信息系统的数据流，以及不同信息系统之间的数据

14、交换或共享关系间的数据交换或共享关系22摸底调查摸底调查5 5）识别网络结构和边界识别网络结构和边界 调查了解定级对象信息系统所在单位的整体网络状况和安全防护调查了解定级对象信息系统所在单位的整体网络状况和安全防护情况，包括情况，包括 网络覆盖范围（全国、全省或本地区）网络覆盖范围（全国、全省或本地区） 网络的构成（广域网、城域网或局域网等）网络的构成（广域网、城域网或局域网等） 内部网段内部网段/VLAN/VLAN划分，网段划分，网段/VLAN/VLAN划分与系统的关系划分与系统的关系 与上级单位、下级单位、外部用户、合作单位等的网络连接方式与上级单位、下级单位、外部用户、合作单位等的网络连

15、接方式与互联网的连接方式与互联网的连接方式 作用作用：了解定级对象信息系统自身网络在单位整个网络中的位置，：了解定级对象信息系统自身网络在单位整个网络中的位置，该信息系统所处的单位内部网络环境和外部环境特点，以及该信该信息系统所处的单位内部网络环境和外部环境特点，以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系息系统的网络安全保护与单位内部网络环境的安全保护的关系23摸底调查摸底调查6 6）识别主要的软硬件设备识别主要的软硬件设备 调查了解与定级对象信息系统相关的服务器、网络、终端、调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等存储设备以及安全设备等

16、设备所在网段，在系统中的功能和作用设备所在网段，在系统中的功能和作用 信息系统定级本应仅与信息系统有关，但由于在划分信息系信息系统定级本应仅与信息系统有关，但由于在划分信息系统时，不可避免地会涉及到设备共用问题统时，不可避免地会涉及到设备共用问题 调查设备的位置和作用主要就是发现不同信息系统在设备使调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度用方面的共用程度24摸底调查摸底调查7 7）识别用户类型和分布识别用户类型和分布调查了解各系统的管理用户和一般用户，内部用户和调查了解各系统的管理用户和一般用户，内部用户和外部用户，本地用户和远程用户等类型外部用户，本地用户和远程用

17、户等类型了解用户或用户群的数量分布，各类用户可访问的数了解用户或用户群的数量分布，各类用户可访问的数据信息类型和操作权限据信息类型和操作权限作用作用：了解用户类型和数量，有助于判断系统服务中：了解用户类型和数量，有助于判断系统服务中断或系统信息被破坏可能影响的范围和程度断或系统信息被破坏可能影响的范围和程度25定级范围定级范围 电信、广电行业的公用通信网、广播电视传输网等基础信息网络，电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。心等单位的重要信息

18、系统。铁路、银行、海关、税务、民航、电力、证券、保险、外交、科铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。重要信息系统。市（地）级以上党政机关的重要网站和办公信息系统。市（地）级以上党政机关的重要网站和办公信息系统。涉及国家秘密的信息

19、系统（以下简称涉密信息系统）涉及国家秘密的信息系统（以下简称涉密信息系统） 26第二步，确定定级对象第二步，确定定级对象应用系统应按照不同业务类别单独确定为定级对象，应用系统应按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定不以系统是否进行数据交换、是否独享设备为确定定级对象条件级对象条件起传输作用的基础网络要作为单独的定级对象起传输作用的基础网络要作为单独的定级对象确认负责定级的单位是否对所定级系统具有控制、管确认负责定级的单位是否对所定级系统具有控制、管理等责任，对信息系统所承载的业务有主管责任理等责任，对信息系统所承载的业务有主管责任具有信息系统的基本要

20、素具有信息系统的基本要素27第二步，确定定级对象第二步，确定定级对象定级对象的三个条件定级对象的三个条件 承载相对独立或单一业务应用的信息系统承载相对独立或单一业务应用的信息系统 信息系统的信息安全由本单位主管信息系统的信息安全由本单位主管 具有信息系统的基本要素（计算机及其相关配套设备、具有信息系统的基本要素（计算机及其相关配套设备、实施构成的人机系统）实施构成的人机系统） 只有同时满足上述三个条件，才可由本单位对其进行只有同时满足上述三个条件，才可由本单位对其进行定级定级 起支撑作用的网络可以作为定级对象起支撑作用的网络可以作为定级对象 应用类的信息系统以应用种类划分定级对象应用类的信息系

21、统以应用种类划分定级对象28第二步，确定定级对象第二步，确定定级对象定级对象识别定级对象识别安全责任单位：依据安全责任单位的不同，划分信安全责任单位：依据安全责任单位的不同，划分信息系统息系统业务类型和业务重要性：根据业务的类型、功能、业务类型和业务重要性：根据业务的类型、功能、阶段的不同，对信息系统进行划分阶段的不同，对信息系统进行划分分析物理位置的差异：根据物理位置的不同，对信分析物理位置的差异：根据物理位置的不同，对信息系统进行划分息系统进行划分29第二步，确定定级对象第二步，确定定级对象确定定级对象信息系统边界和边界设备确定定级对象信息系统边界和边界设备确定定级对象信息系统的边界和边界

22、设备确定定级对象信息系统的边界和边界设备服务器共用的系统一般归入同一个信息系统服务器共用的系统一般归入同一个信息系统不同信息系统的共用设备一般是网络不同信息系统的共用设备一般是网络/ /边界设备或终端设备边界设备或终端设备两个信息系统边界存在共用设备时，共用设备的安全保护两个信息系统边界存在共用设备时，共用设备的安全保护等级按两个信息系统安全保护等级较高者确定等级按两个信息系统安全保护等级较高者确定信息系统的管理终端与相应被管理的服务器、网络设备及信息系统的管理终端与相应被管理的服务器、网络设备及安全设备等同属于一个系统安全设备等同属于一个系统处理涉密信息的终端必须划分到相应的信息系统中，且不

23、处理涉密信息的终端必须划分到相应的信息系统中，且不能与非涉密系统共用终端能与非涉密系统共用终端30第三步，初步确定信息系统等级第三步，初步确定信息系统等级 信息系统的安全保护等级是信息系统的客观属性，不以已采取或信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，而是以信息系统的重要性和信将采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全保护等级危害程度为依据，确定信息系统的安全保护等级 既要防止个别单位片面追

24、求绝对安全而定级过高，也要防止为了既要防止个别单位片面追求绝对安全而定级过高，也要防止为了逃避监管定级偏低逃避监管定级偏低 信息信息网络的安全等级可以参照在其上运行的信息系统的等级、网网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级，不以在其络的服务范围和自身的安全需求确定适当的保护等级，不以在其上运行的信息系统的最高等级或最低等级为标准上运行的信息系统的最高等级或最低等级为标准31第三步，初步确定信息系统等级第三步，初步确定信息系统等级信息系统跨省或者全国统一联网运行的信息系统，可以由主管部门信息系统跨省或者全国统一联网运行的信息系统，可以由

25、主管部门统一确定安全保护等级统一确定安全保护等级由各行业统一规划、统一建设、统一安全保护策略的信息系统，应由各行业统一规划、统一建设、统一安全保护策略的信息系统，应由各部委统一确定一个级别由各部委统一确定一个级别由各部委统一规划、分级建设、运行的信息系统，应由部、省、地由各部委统一规划、分级建设、运行的信息系统，应由部、省、地市分别确定系统等级，但各行业应对该类系统提出定级意见，避免出市分别确定系统等级，但各行业应对该类系统提出定级意见，避免出现同类系统定级出现较大偏差问题现同类系统定级出现较大偏差问题第三步，初步确定信息系统等级第三步，初步确定信息系统等级1 1、确定定级对象、确定定级对象3

26、 3、综合评定对客体的侵、综合评定对客体的侵害程度害程度2 2、确定业务信息安全受、确定业务信息安全受到破坏时所侵害的客体到破坏时所侵害的客体4 4、业务信息安全等级、业务信息安全等级6 6、综合评定对客体的侵、综合评定对客体的侵害程度害程度5 5、确定系统服务安全受、确定系统服务安全受到破坏时所侵害的客体到破坏时所侵害的客体7 7、系统服务安全等级、系统服务安全等级8 8、定级对象的安全保护等级、定级对象的安全保护等级第三步，初步确定信息系统等级第三步，初步确定信息系统等级确定受侵害客体确定受侵害客体定级对象受到破坏时所侵害的客体包括：定级对象受到破坏时所侵害的客体包括： 国家安全国家安全

27、社会秩序、公众利益社会秩序、公众利益 公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益确定侵害客体时从定级对象的两方面进行考虑：确定侵害客体时从定级对象的两方面进行考虑： 业务信息安全被破坏时所侵害的客体业务信息安全被破坏时所侵害的客体 系统服务安全被破坏时所侵害的客体系统服务安全被破坏时所侵害的客体确定受侵害客体确定受侵害客体1 1）国家安全国家安全重要的国家事务处理系统、国防工业生产系统和国防设施的控制重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统；系统等属于影响国家政权稳固和国防实力的信息系统；广播、电视、网络等重要新闻

28、媒体的发布或播出系统，其受到非广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；法控制可能引发影响国家统一、民族团结和社会安定的重大事件；处理国家对外活动信息的信息系统；处理国家对外活动信息的信息系统；处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统；查系统；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统；力的信息系统；电力、通信、能源、交通运输、金融等国家重要基础设施的生产、电力、通

29、信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。控制、管理系统等。 确定受侵害客体确定受侵害客体1 1）国家安全国家安全侵害国家安全的事项包括以下方面：侵害国家安全的事项包括以下方面：u影响国家政权稳固和国防实力；影响国家政权稳固和国防实力；u影响国家统一、民族团结和社会安定；影响国家统一、民族团结和社会安定；u影响国家对外活动中的政治、经济利益；影响国家对外活动中的政治、经济利益；u影响国家重要的安全保卫工作；影响国家重要的安全保卫工作；u影响国家经济竞争力和科技实力；影响国家经济竞争力和科技实力；u其他影响国家安全的事项。其他影响国家安全的事项。确定受侵害客体确定受侵害

30、客体2 2）社会秩序社会秩序财政、金融、工商、税务、公检法、海关、社保等的信息系统；财政、金融、工商、税务、公检法、海关、社保等的信息系统；教育、科研机构的工作系统；教育、科研机构的工作系统；所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统系统或管理系统侵害社会秩序的事项包括以下方面：侵害社会秩序的事项包括以下方面：u 影响国家机关社会管理和公共服务的工作秩序；影响国家机关社会管理和公共服务的工作秩序；u 影响各种类型的经济活动秩序；影响各种类型的经济活动秩序；u 影响各行业的科研、生产秩序；影响

31、各行业的科研、生产秩序；u 影响公众在法律约束和道德规范下的正常生活秩序等；影响公众在法律约束和道德规范下的正常生活秩序等；u 其他影响社会秩序的事项。其他影响社会秩序的事项。确定受侵害客体确定受侵害客体3 3）公共利益公共利益借助信息化手段为社会成员提供使用的公共设施和通过信息借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面系统对公共设施进行进行管理控制都应当是要考虑的方面如公共通信设施、公共卫生设施、公共休闲娱乐设施、公共如公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等管理设施、公共服务设施等影响公共利益的事

32、项包括以下方面：影响公共利益的事项包括以下方面：影响社会成员使用公共设施；影响社会成员使用公共设施；影响社会成员获取公开信息资源；影响社会成员获取公开信息资源；影响社会成员接受公共服务等方面；影响社会成员接受公共服务等方面；其他影响公共利益的事项。其他影响公共利益的事项。确定受侵害客体确定受侵害客体-4-4）公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益受侵害的对象是明确的，即拥有信息系统的个体或某个单位受侵害的对象是明确的，即拥有信息系统的个体或某个单位影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的

33、公民、法人和其他组织所享有的一定的社会权利和利益的公民、法人和其他组织所享有的一定的社会权利和利益 提示：提示：确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害是否侵害国家安全国家安全，然后判断是否侵害，然后判断是否侵害社会秩序或公众利益社会秩序或公众利益，最后判断，最后判断是否侵害公民、法人和其他组织的是否侵害公民、法人和其他组织的合法权益合法权益第三步，初步确定信息系统等级第三步，初步确定信息系统等级确定对客体的侵害程度确定对客体的侵害程度在针对不同的受侵害客体进行侵害程度的判断时，应在针对不同的受侵害客体

34、进行侵害程度的判断时，应参照以下不同的判别基准：参照以下不同的判别基准： 如果受侵害客体是公民、法人或其他组织的合法权如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程益，则以本人或本单位的总体利益作为判断侵害程度的基准度的基准 如果受侵害客体是社会秩序、公共利益或国家安全，如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程则应以整个行业或国家的总体利益作为判断侵害程度的基准度的基准第三步，初步确定信息系统等级第三步，初步确定信息系统等级确定对客体的侵害程度确定对客体的侵害程度一般损害一般损害： 工作职能受到局部影响

35、工作职能受到局部影响 业务能力有所降低但不影响主要功能的执行业务能力有所降低但不影响主要功能的执行 出现较轻的法律问题出现较轻的法律问题 较低的资产损失较低的资产损失 有限的社会不良影响有限的社会不良影响 对其他组织和个人造成较低损害对其他组织和个人造成较低损害第三步，初步确定信息系统等级第三步，初步确定信息系统等级确定对客体的侵害程度确定对客体的侵害程度严重损害严重损害： 工作职能受到严重影响工作职能受到严重影响 业务能力显著下降且严重影响主要功能执行业务能力显著下降且严重影响主要功能执行 出现较严重的法律问题出现较严重的法律问题 较高的资产损失较高的资产损失 较大范围的社会不良影响较大范围

36、的社会不良影响 对其他组织和个人造成较严重损害对其他组织和个人造成较严重损害第三步，初步确定信息系统等级第三步，初步确定信息系统等级确定对客体的侵害程度确定对客体的侵害程度特别严重损害特别严重损害： 工作职能受到特别严重影响或丧失行使能力工作职能受到特别严重影响或丧失行使能力 业务能力严重下降且或功能无法执行业务能力严重下降且或功能无法执行 出现极其严重的法律问题出现极其严重的法律问题 极高的资产损失极高的资产损失 大范围的社会不良影响大范围的社会不良影响 对其他组织和个人造成非常严重损害对其他组织和个人造成非常严重损害第三步，初步确定信息系统等级第三步，初步确定信息系统等级 业务信息业务信息

37、安全被破坏时所侵害的客体安全被破坏时所侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级系统服务系统服务安全被破坏时所侵害的客体安全被破坏时所侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益第一级第一级第二

38、级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级第三步，初步确定信息系统等级第三步，初步确定信息系统等级定级人员需要将定级对象信息系统中的不同类重要信息分定级人员需要将定级对象信息系统中的不同类重要信息分别分析其安全性受到破坏后所侵害的客体及对客体的侵害别分析其安全性受到破坏后所侵害的客体及对客体的侵害程度，取其中最高结果作为业务信息安全保护等级程度，取其中最高结果作为业务信息安全保护等级再将定级对象信息系统中的不同类重要系统服务分别分析再将定级对象信息系统中的不同类重要系统服务分别分析其受到破坏后

39、所侵害的客体及对客体的侵害程度，取其中其受到破坏后所侵害的客体及对客体的侵害程度，取其中最高结果作为业务服务安全保护等级最高结果作为业务服务安全保护等级第四步，信息系统等级评审第四步，信息系统等级评审在信息系统安全保护等级确定过程中，可以聘请专家进在信息系统安全保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见行咨询评审，并出具定级评审意见对拟确定为第四级以上信息系统的，运营使用单位或者对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会主管部门应当请国家信息安全保护等级专家评审委员会评审，出具评审意见信息系统等级评审，出具评审意见信息

40、系统等级当专家意见与运营使用单位或者主管部门不一致时，以当专家意见与运营使用单位或者主管部门不一致时，以运营使用单位或者主管部门意见为准运营使用单位或者主管部门意见为准第五步，信息系统等级的最终确定与审批第五步，信息系统等级的最终确定与审批 信息系统运营使用单位参考专家定级评审意见，最信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成终确定信息系统等级，形成定级报告定级报告 信息系统运营使用单位有上级主管部门的，应当经信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准上级主管部门对安全保护等级进行审核批准 主管部门一般是指行业的上级主管部门或监

41、管部门主管部门一般是指行业的上级主管部门或监管部门 如果是跨地域联网运营使用的信息系统，则必须由如果是跨地域联网运营使用的信息系统，则必须由其上级主管部门审批，确保同类系统或分支系统在其上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性各地域分别定级的一致性471 1、一级信息系统：适用于乡镇所属信息系统、县级某些一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。系统。中小学中的信息系统。2 2、二级信息系统：适用于地市级以上国家机关、企业、二级信息系统：适用

42、于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉密、事业单位内部一般的信息系统。例如小的局域网，非涉密、非敏感信息系统的办公系统、管理系统等。非敏感信息系统的办公系统、管理系统等。48二级举例：二级举例：县级、地市级电信、广电、银行、铁道、海关、税务、县级、地市级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、工商、民航、证券、电力、保险、公安、财政、金融、工商、社保、审计、能源、化工、社会服务保障、卫生、交通社保、审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独运输、国土资源、邮政、应急抢险、

43、农业等行业所属独立的信息系统；立的信息系统；中型集体、民营企业、小型国有企业所属的信息系统；中型集体、民营企业、小型国有企业所属的信息系统；县级党政机关、事业单位的信息系统；县级党政机关、事业单位的信息系统；普普通高等院校和科研机构的信息系统；通高等院校和科研机构的信息系统；其他中型组织的信息系统。其他中型组织的信息系统。信息系统安全等级保护定级的确定信息系统安全等级保护定级的确定49信息系统安全等级保护定级的确定信息系统安全等级保护定级的确定 三级信息系统：适用于地市级以上国家机关、企业、三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统。事业单位内部重要的信息系统。

44、重要领域、重要部门跨重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委、联网运行重要信息系统在省、地市的分支系统；各部委、省（自治区、直辖市）官方网站；跨省（市）连接的信息省（自治区、直辖市）官方网站；跨省（市）连接的信息网络等。网络等。50举例：举例：省级和副省级电信、广电、银行、铁道、海关、税务、民省级和副省级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、工商、社保、航、证券、电力、保险、公安、财政、金融、工商、社保、审计、能源、化工、社会服

45、务保障、卫生、交通运输、国审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立的信息系土资源、邮政、应急抢险、农业等行业所属独立的信息系统；统；大型集体、民营企业、大中型国有企业所属的信息系统；大型集体、民营企业、大中型国有企业所属的信息系统；地市级党政机关、事业单位的信息系统；地市级党政机关、事业单位的信息系统；重点高等院校和科研机构的重要信息系统；重点高等院校和科研机构的重要信息系统；其他大中型组织的信息系统。其他大中型组织的信息系统。信息系统安全等级保护定级的确定信息系统安全等级保护定级的确定51信息系统安全等级保护定级的确定信息系统安全等级保护定

46、级的确定 四级信息系统：适用于重要领域、重要部门三级信息四级信息系统：适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心度系统，银行、证券、保险、税务、海关等部门中的核心系统。例如：电力生产控制系统、银行核心业务系统、铁系统。例如：电力生产控制系统、银行核心业务系统、铁路客票系统、列车调度系统等。路客票系统、列车调度系统等。 作为定级对象的信息系统的安全保护等级由业务信作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的息安全等级和系统服务安

47、全等级的较高者决定较高者决定。定级对。定级对象等级确定后，起草象等级确定后，起草信息系统安全保护等级定级报信息系统安全保护等级定级报告告。52 定级报告是什么定级报告是什么公安部定级报告是为详细了解和掌握定级过程情况由信息公安部定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档系统运营使用单位负责填写的文档定级报告作为定级报告作为备案表备案表表三的附件，要在信息系统备案表三的附件，要在信息系统备案时一并提交时一并提交信息系统运营使用单位在起草定级报告时可以请技术支持信息系统运营使用单位在起草定级报告时可以请技术支持单位协助单位协助54信息系统安全等级保护定级备案的依据信

48、息系统安全等级保护定级备案的依据信息系统安全等级保护定级的确定信息系统安全等级保护定级的确定信息系统安全等级保护的定级报告信息系统安全等级保护的定级报告信息系统安全等级保护备案信息系统安全等级保护备案信息系统信息系统安全等级保护定级安全等级保护定级案例案例 定级报告的构成和起草定级报告的构成和起草1 1 信息系统描述信息系统描述 简述确定该信息系统为定级对象的理由简述确定该信息系统为定级对象的理由 该信息系统所承载业务的主管单位和部门，该信息系统所承载业务的主管单位和部门， 该信息系统具有信息系统的基本要素（有主机、该信息系统具有信息系统的基本要素（有主机、网络及相关配套设施构成的人机系统）网

49、络及相关配套设施构成的人机系统） 该信息系统承载着独立或单一的业务应用，业务该信息系统承载着独立或单一的业务应用，业务应用主要包括哪些，各包含哪些功能等应用主要包括哪些，各包含哪些功能等 定级报告的构成和起草定级报告的构成和起草2 2信息系统安全保护等级的确定信息系统安全保护等级的确定业务信息安全保护等级的确定业务信息安全保护等级的确定 第一步：简要描述信息系统所处理的主要业务信息，第一步：简要描述信息系统所处理的主要业务信息，包括各项业务的主要数据项有哪些等包括各项业务的主要数据项有哪些等 第二步：确定业务信息受到破坏后所侵害的客体第二步：确定业务信息受到破坏后所侵害的客体 第三步：确定对客

50、体的侵害程度第三步：确定对客体的侵害程度 第四步：查表确定业务信息安全等级第四步：查表确定业务信息安全等级 定级报告的构成和起草定级报告的构成和起草3 3信息系统安全保护等级的确定信息系统安全保护等级的确定系统服务安全保护等级的确定系统服务安全保护等级的确定 第一步：简要描述系统的服务范围、服务对象、服务第一步：简要描述系统的服务范围、服务对象、服务要求等等要求等等 第二步：确定系统服务受到破坏后所侵害的客体第二步：确定系统服务受到破坏后所侵害的客体 第三步：确定对客体的侵害程度第三步：确定对客体的侵害程度 第四步：查表确定系统服务安全等级第四步：查表确定系统服务安全等级 定级报告的构成和起草

51、定级报告的构成和起草4 4信息系统安全保护等级的确定信息系统安全保护等级的确定信息系统安全保护等级的确定信息系统安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定服务安全等级较高者决定备案表的作用和构成备案表的作用和构成1 1备案表的作用备案表的作用备案表是信息系统运营使用单位实施信息安全等级保护工作的备案表是信息系统运营使用单位实施信息安全等级保护工作的重要记录，也是公安机关履行监督检查职责进行重要信息系统重要记录，也是公安机关履行监督检查职责进行重要信息系统管理的重要凭证管理的重要凭证公安机关只有通过备案表

52、才能及时了解和掌握信息系统及其运公安机关只有通过备案表才能及时了解和掌握信息系统及其运营使用单位的基本情况，进行汇总、分析、统计等工作，并实营使用单位的基本情况，进行汇总、分析、统计等工作，并实施有针对性地监督、管理措施。施有针对性地监督、管理措施。备案表的作用和构成备案表的作用和构成2 2备案表由四张表单构成备案表由四张表单构成表一表一是单位信息，每个单位填写一张是单位信息，每个单位填写一张表二表二是信息系统基本信息是信息系统基本信息表三表三是信息系统定级信息，表二、表三每个信息系统填写一张是信息系统定级信息，表二、表三每个信息系统填写一张表四表四为第三级以上信息系统需要在系统整改、测评等工

53、作完成后再行提为第三级以上信息系统需要在系统整改、测评等工作完成后再行提交的信息。表二、三、四可以复印使用，使用时要注意编号交的信息。表二、三、四可以复印使用，使用时要注意编号如一个单位有如一个单位有6 6个信息系统，则只需要填写一张表一，分别填写六个表二、个信息系统，则只需要填写一张表一，分别填写六个表二、三（四），此时，表二、三（四）遵循三（四），此时，表二、三（四）遵循1/61/6、2/62/6、3/66/63/66/6的编号规的编号规则。则。61信息系统安全等级保护定级备案的依据信息系统安全等级保护定级备案的依据信息系统安全等级保护定级的确定信息系统安全等级保护定级的确定信息系统安全等

54、级保护的定级报告信息系统安全等级保护的定级报告信息系统安全等级保护备案信息系统安全等级保护备案信息系统信息系统安全等级保护定级安全等级保护定级案例案例备案流程及所需材料备案流程及所需材料保护等级为二级的信息系统运营、使用单位到属地、保护等级为二级的信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料。保卫关系所属公安机关备案需要提交以下材料。n信息系统安全等级保护定级报告信息系统安全等级保护定级报告（纸制盖章和电子版）（纸制盖章和电子版）n信息系统安全等级保护备案表信息系统安全等级保护备案表 （纸制盖章和电子版）（纸制盖章和电子版）保护保护等级为三级等级为三级( (含含) )

55、以上的信息系统运营、使用单位到属地、保以上的信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料：卫关系所属公安机关备案需要提交以下材料：n系统拓扑结构及说明系统拓扑结构及说明n系统安全组织机构和管理制度系统安全组织机构和管理制度n系统安全保护设施设计实施方案或者改建实施方案系统安全保护设施设计实施方案或者改建实施方案n使用的信息安全产品清单及其认证、销售许可证明使用的信息安全产品清单及其认证、销售许可证明n测评后符合系统安全保护等级的技术检测评估报告测评后符合系统安全保护等级的技术检测评估报告n信息系统安全保护等级专家评审意见信息系统安全保护等级专家评审意见n信息系统安全等

56、级保护备案表信息系统安全等级保护备案表（纸制盖章和电子版）（纸制盖章和电子版）n信息系统安全等级保护定级报告信息系统安全等级保护定级报告（纸制盖章和电子版（纸制盖章和电子版）备案审核备案审核信息系统备案后，公安机关应当对信息系统的备案情况信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全进行审核，对符合等级保护要求的，颁发信息系统安全等级保护备案证明。等级保护备案证明。发现不符合本办法及有关标准的，将通知备案单位予以发现不符合本办法及有关标准的，将通知备案单位予以纠正。纠正。65信息系统安全等级保护定级备案的依据信息系统安全等级保护定级备案的依据信

57、息系统安全等级保护定级的确定信息系统安全等级保护定级的确定信息系统安全等级保护的定级报告信息系统安全等级保护的定级报告信息系统安全等级保护备案信息系统安全等级保护备案信息系统信息系统安全等级保护定级安全等级保护定级案例案例信息系统定级案例某局政府网站系统信息系统定级案例某局政府网站系统-1-1：某局政府网站系统描述某局政府网站系统描述某局政府网站系统，由局办公室负责运行维护，并为责任单位某局政府网站系统，由局办公室负责运行维护，并为责任单位 按照政务公开原则，对主管业务工作动态及业务信息进行采集、加按照政务公开原则，对主管业务工作动态及业务信息进行采集、加工、发布工、发布属于属于“市政府市政府

58、”下链网站，为互联网上的独立服务器，下链网站，为互联网上的独立服务器，WebWeb结构结构服务对象主要是本局管理的企业和本市市民服务对象主要是本局管理的企业和本市市民某局政府网站系统安全保护等级的确定某局政府网站系统安全保护等级的确定业务信息安全保护等级的确定业务信息安全保护等级的确定系统服务安全保护等级的确定系统服务安全保护等级的确定安全保护等级的确定安全保护等级的确定信息系统定级案例某局政府网站系统信息系统定级案例某局政府网站系统-2 -2 ：某局政府网站系统安全保护等级的确定某局政府网站系统安全保护等级的确定业务信息安全保护等级的确定业务信息安全保护等级的确定业务信息描述业务信息描述业务

59、信息受到破坏时所侵害客体的确定业务信息受到破坏时所侵害客体的确定信息受到破坏后对侵害客体的侵害程度信息受到破坏后对侵害客体的侵害程度确定业务信息安全等级确定业务信息安全等级业务信息业务信息安全被破坏时所侵害的客体安全被破坏时所侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级业务信息包括发布的政务公开信息、地方行业务信息包

60、括发布的政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、本市程、新闻发布、政府公告、举报投诉、本市经济形势介绍、电子表单下载等信息经济形势介绍、电子表单下载等信息公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益社会秩序、公共利益社会秩序、公共利益表现：一旦信息系统的业务信息遭到入侵、表现：一旦信息系统的业务信息遭到入侵、修改、增加、删除等侵害，将影响公众接受修改、增加、删除等侵害，将影响公众接受政务公开的信息资料，部分工作职能到受影政务公开的信息资料，部分工作职能到受影响，业务能力下降，出现一般范围的