中国石化信息系统安全g等级保护定级工作指导意见.docVIP

附件四： 中国石化信息安全等级保护 总则为。“谁主管谁负责，谁运行谁负责”、“自主定级，自主保护”、“属地化”与“总部管理”相结合的原则，各企事业单位应在总部和当地公安机关指导下，深入分析信息系统情况准确定级。 本次定级的范围为已投入运行并正在使用的信息系统。新建信息系统应在项目规划、设计的同期确定安全等级。 组织与根据等级保护相关文件，信息系统的安全保护等级分为以下五级： 　　第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 　　第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 　　第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 　　第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 　　第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 信息系统的安全保护等级由两个定级要素决定等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。等级保护对象受到破坏时所侵害的客体包括以下三个方面：　　(1)公民、法人和其他组织的合法权益； 　　(2)社会秩序、公共利益； 　　(3)国家安全。 等级保护对象受到破坏时对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。对客体造成侵害的程度归结为以下三种： 　　(1)造成一般损害； 　　(2)造成严重损害； 　　(3)造成特别严重损害。 定级要素与等级的关系如表1所示。 表1 定级要素与安全保护等级的关系受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 信息安全指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 确定信息系统安全保护等级的一般流程如下：(1)确定作为定级对象的信息系统；(2)确定业务信息安全受到破坏时所侵害的客体； (3)根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度； (4)依据表，得到业务信息安全保护等级； (5)确定系统服务安全受到破坏时所侵害的客体； (6)根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度； (7)依据表，得到系统服务安全保护等级； (8)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。在针对不同的受侵害客体进行侵害程度的判断时，应参照不同的判别基准如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准；如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准。一般损害工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。 严重损害工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。特别严重损害工作职能受到特别严重影响或丧失行使能力，业务能力严重下降功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。 拟定为二级及以上的信息系统应按照“属地化”原则向当地市级以上公安机关备案。 跨省或者全国统一联网运行并由总部统一定级的信息系统，由总部统一向公安部备案。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，由所属单位向当地市级以上公安机关备案。 参照《信息系统安全等级保护定级报告》模板及《信息系统安全等级保护备案表》填表说明，完成备案材料的整理和填写，及时向总部和公安机关进行备案，两级备案材料应一致。 定级工作以备案完成为标志。 附 则 本指导意见