国家信息安全等级保护系列法律政策汇总.ppt

（六）信息安全等级保护工作具体内容和要求 1、信息安全等级保护定级工作 （1）信息系统定级原则：“自主定级、专家评审、主管部门审批、公安机关审核”。具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）要求执行。 （2）定级工作流程：摸底调查、确定定级对象、对信息系统进行重要性分析、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。 （3）确定定级对象 起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）。 用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统 。 各类网站。 （4）确定信息系统安全保护等级： 根据信息系统重要性分析结论，按照《管理办法》要求确定等级。 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 信息系统五个安全保护等级： 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 实际定级中可参考下面操作： 第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。 第二级信息系统：适用于县级单位中的信息系统；地市以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。 第三级信息系统：适用于地市以上机关、企事业单位内部重要信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网的用于生产、调度、管理、指挥、作业、控制等方面的信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。 第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信骨干传输网、铁路客票系统、列车指挥调度系统等。 定级工作需注意的问题： 同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 （5）组织专家评审 在初步确定信息系统安全保护等级后，为了保证定级合理、准确，可以聘请公安部和各地公安机关组织成立的专家组进行评审，并出具专家评审意见。 （6）主管部门审批 有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准。跨地域联网运营使用的信息系统，则必须由其上级主管部门审批，确保定级的一致性。 2、信息系统备案工作 备案工作包括：信息系统备案、受理、审核和备案信息管理。具体按照《关于开展全国重要信息系统安全等级保护定级工作的通知》要求开展。 （1）备案流程 第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，填写《信息系统安全等级保护备案表》。 隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部备案；其他信息系统向北京市公安局备案。 跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。 各部委统一定级信息系统在各地的分支系统，即使是上级主管部门定级的，也要到当地公安网络安全保卫部门备案。 3、信息安全等级保护测评工作 （1）测评工作性质：测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。是信息安全等级保护工作的重要环节。 （2）测评的目的：查找重要信息系统安全隐患、漏洞、薄弱环节和安全问题，对照国家标准查找信息系统安全保护情况与基本要求的差距，为开展安全建设提供依据。 （3）等级测评工作的组织：备案单位选择《全国信息安全等级保护测评机构推荐目录》 中推荐的测评机构，对第三级以上信息系统每年开展一次等级测评。 （4）测评机构的选择：凡列入《全国信息安全等级保护测评机构推荐目录》中测评机构，开展测评活动不受行业、地区限制，各地、各行业不得以各种理由排斥。 （5）关于测评费用问题。由于测评工作属于信息化服务和信息安全服务，所以，备案单位可按照有关部门出台的服务收费标准合理支付测评费用。