重要信息系统具体范围和识别指南.pdfVIP

重要信息系统具体范围和识别指南 1 范围 本文件规定了重要信息系统识别的术语和定义、具体范围、识别原则、识别因素、识别基本流程和 认定变更等内容。 本文件适用于信息系统运营者和有关行业主管、监督管理部门开展重要信息系统的识别和认定。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本 文件。 GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南 GB/T 35273-2020 信息安全技术 个人信息安全规范 GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求 T/SZBA 001-2023 数据安全合规评估方法 3 术语和定义 下列术语和定义适用于本文件。 3.1 信息系统 Information system 由应用、服务、信息技术资产或其他信息处理组件等构成的，对信息进行采集、传输、存储、使用、 共享、销毁等处理的系统。 3.2 信息系统运营者 Operatorsof information systems 对信息系统的建设、运营具有实际控制权、管理权的单位或个人。 3.3 关键信息基础设施 Criticalinformationinfrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业 和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共 利益的重要网络设施、信息系统等。 [来源：GB/T 39204-2022，3.1] 3.4 重要数据 Important data 一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能影响国家安全、公共安全、经济安全和 社会稳定的数据。 1 3.5 重要业务 Important business 依据重要信息系统行业和领域范围，由行业主管或监督管理部门认定的，涉及国家安全、国计民生、 经济命脉、社会稳定、公共利益的业务。 3.6 个人信息 Personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 [来源：GB/T 35273—2020，3.1] 注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和 内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或 者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。 注3：关于个人信息的判定方法和类型参见GB/T35273附录A。 3.7 个人敏感信息 Personal sensitiveinformation 一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧 视性待遇等的个人信息。 [来源：GB/T 35273—2020，3.2] 注1：个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、 行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下 （含）儿童的个人信息等。 注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，如一旦泄露、非法提供或滥用可能危害人 身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的，属于个人敏感信息。 注3：关于个人敏感信息的判定方法和类型参见GB/T35273附录B。 3.8 重要信息系统 Important information system 公共通信和信息服务、电子政务、市政、金融、能源、交通、水利、医疗卫生、教育、广电、工业 生产、互联网等重要行业和领域中，承载重要数据、重要业务、一定量级个人信息或等级保护级别三级 及以上，且未列入关键信息基础设施的信息系统。 3.9 重要信息系统运营者 Oper