信息安全等级保护操作指南和操作流程.pdfVIP

信息平安等级爱护操作流程

1信息系统定级

1.1定级工作实施范围

“关于开展全国重要信息系统平安等级爱护定级工作的通知对

于重要信息系统的范围规定如下：

（一）电信、广电行业的公用通信网、广播电视传输网等基础信

息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数

据中心等单位的重要信息系统。

（二）铁路、银行、海关、税务、民航、电力、证券、保险、外

交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、

审计、商务、水利、国土资源、能源、交通、文化、教化、统计、工

商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信

息系统。

三（）市地（）级以上党政机关的重要网站和办公信息系统。

（四）涉及国家隐私的信息系统（以下简称“涉密信息系统）。

注：跨省或者全国统一联网运行的信息系统可以由主管部门统一

确定平安爱护等级。涉密信息系统的等级确定依据国家保密局的有关

规定和标准执行。

1.2定级依据标准

《国家信息化领导小组关于加强信息平安保障工作的看法》（中办

发[2019]27号文件）

《关于信息平安等级爱护工作的实施看法》（公通字【2019】66

号文件）

《电子政务信息系统平安等级爱护实施指南（试行）》（国信办

[2019]25号文件）

《信息平安等级爱护管理方法》（公通字【2019】43号文件）

《计算机信息系统平安爱护等级划分准则》

《电子政务信息平安等级爱护实施指南》

《信息系统平安等级爱护定级指南》

《信息系统平安等级爱护基本要求》

《信息系统平安等级爱护实施指南》

《信息系统平安等级爱护测评指南》

1.3定级工作流程

图1T信息系统定级工作流程

1.3.1信息系统调查

信息系统调查是通过一系列的信息系统状况调查表对信息系统基

本状况进行摸底调查，全面驾驭信息系统的数量、分布、业务类型、

应用、服务范围、系统结构、管理组织和管理方式等基本状况。同时,

通过信息系统调查还可以明确信息系统存在的资产价值、威逼等级、

风险等级以及可能造成的影响客体、影响范围等基本状况。

信息系统调查结果将作为信息系统平安等级爱护定级工作的主要

依据，保证定级结果的客观、合理和精确。

1.3.1.1调查工具表

通常，信息系统调查工具表包括系统资产调查表、系统应用调查

表、和管理信息调查表等。

•系统资产调查表

用于调查信息系统的基本状况，主要包括主机、网络设备、人员、

人员、服务等信息。在调杳过程中，可以得到系统资产的基本信息、

主要用途、重要程度、服务对象等相关信息。

•系统应用调查表

用于明确系统应用的基本状况。明确各个系统应用的拓扑信息、

边界信息、应用架构、数据流等基本状况，为确定和分析定级对象供

应具体信息。

•理信息调查表

用于明确信息系统的组织结构、隶属关系等理信息。

级，信息系统的平安爱护等级由各业务子系统的最高等级确定。信息

系统是进行等级确定和等级爱护理的最终对象。主要划分原则有：

一、具有唯一确定的平安责任单位

作为定级对象的信息系统应能够唯一地确定其平安责任单位。假

如一个单位的某个下级单位负责信息系统平安建设、运行维护等过程

的全部平安责任，则这个下级单位可以成为信息系统的平安责任单

位；假如一个单位中的不同下级单位分别担当信息系统不同方面的平

安责任，则该信息系统的平安责任单位应是这些下级单位共同所属的

单位。

二、具有信息系统的基本要素

作为定级对象的信息系统应当是由相关的和配套的设备、设施依

据肯定的应用目标和规则组合而成的有形实体。应避开将某个单一的

系统组件，如服务器、终端、网络设备等作为定级对象。

三、承载单一或相对独立的业务应用

定级对象承载“单一”的业务应用是指该业务应