信息系统定级与备案工作介绍.doc

信息系统定级与备案工作介绍 本文主要介绍信息系统安全保护等级的确定，定级工作的流程和要求，备案工作的流程和要求等。 一、 （一）? 信息系统定级工作原则 在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，因此，国家必然要对重要信息系统的安全进行监管。 （二）? 信息系统安全保护等级 （三）? 信息系统安全保护等级的定级要素 1. 受侵害的客体 。 2.? 对客体的侵害程度 （四）? 五级保护和监管 表1-1 定级要素与安全保护等级的关系 等级 对象 侵害客体 侵害程度 监管强度 第一级 ? 一般系统 合法权益 损害 自主保护 第二级 合法权益 严重损害 指导 社会秩序和公共利益 损害 第三级 ? 重要系统 社会秩序和公共利益 严重损害 监督检查 国家安全 损害 第四级 社会秩序和公共利益 特别严重损害 强制监督检查 国家安全 严重损害 第五级 极端重要系统 国家安全 特别严重损害 专门监督检查 二、 定级工作的主要步骤 信息系统定级是等级保护工作的首要环节和关键环节，是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。这里先明确一个概念，信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。信息系统安全级别定级不准，系统备案、建设整改、等级测评等后续工作都会失去基础，信息系统安全就没有保证。定级工作可以按照下列步骤进行。 （一）? 开展摸底调查 （二）? 确定定级对象 一是起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）要作为定级对象。但不是将整个网络作为一个定级对象，而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。 二是用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统，要按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级。 三是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安全级别高，也要作为独立的定级对象。网站上运行的信息系统（例如对社会服务的报名考试系统）也要作为独立的定级对象。 四是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说，业务部门应主导对业务信息系统定级，运维部门（例如信息中心、托管方）可以协助定级并按照业务部门的要求开展后续安全保护工作。 五是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件（如服务器、终端、网络设备等）作为定级对象。 例如，奥运网络主要包括，“奥组委办公外网”（承载自动化办公、场馆管理、电子邮件、物流、员工之家等16项业务）、“奥组委内部办公局域网”（承载着财务管理、人事管理等3项业务）、“奥运票务网”（票务网站和票务管理系统）、“奥运官方网站”（门户网站和后台数据处理系统）、“奥运互联网接入”、“竞赛网”等六个奥运信息系统。确定奥组委办公外网、奥组委内部办公局域网、票务网站、票务管理系统、奥运官方网站和竞赛网为定级对象。 （三）? 初步确定信息系统等级 1.? 定级责任主体。各信息系统运营使用单位和主管部门是信息系统定级的责任主体。 2.? 定级要素。信息系统的安全保护等级由两个定级的要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 信息系统的安全保护等级是信息系统本身的客观自然属性，不以已采取或将采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法公益的危害程度为依据，确定信息系统的安全保护等级。定级时应主要考虑信息系统破坏后对国家安全、社会稳定的影响，考虑境内外各种敌对势力、敌对分子针对重要信息系统入侵攻击破坏和窃取秘密等因素。既要防止个别单位版面追求绝对安全而定级过高，也要防止为了逃避监管定级偏低。 3.对各类系统定级的处理方法。一是单位自建的信息系统（与上级单位无关），单位自主定级。二是跨省或者全国统一联网运行的信息系统，可以由主管部门统一确定安全保护等级。其中：由各行业统一规划、统一建设、统一安全保护策略的全国联网系统，应由行业主管部门统一对下各级系统分别确