国家电网公司，南方电网公司，华能、大唐、华电、国电、中电投集团公司，各有关电力公司：
　　为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发<信息安全等级保护管理办法>的通知》(公通字(2007)43号)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安(2007)861号)要求，提高电力行业网络和信息系统的信息安全保护能力和水平，定于2007年8月至10月在电力行业组织开展信息系统安全等级保护定级工作。现就有关事项通知如下：

　　一、工作组织
　　电力行业网络与信息安全领导小组：统一协调领导电力行业信息系统安全等级保护定级工作。
　　电力行业网络与信息安全领导小组办公室(以下简称领导小组办公室)：具体负责组织开展电力行业信息系统安全等级保护定级工作，监督指导信息系统运营使用单位的定级工作。
　　电力行业信息系统安全等级保护定级工作专家组(以下简称专家组)：对电力行业信息系统安全定级工作进行指导、咨询，对定级结果进行评审。
　　各有关电力公司(名单附后)等级保护责任部门(以下简称公司责任部门)：负责组织开展本单位(系统)信息系统安全等级保护定级工作。
　　信息系统运营使用单位(以下简称运营使用单位)：具体负责所运营、使用的信息系统的安全定级工作。
　　技术支持单位：中国电力科学研究院信息安全研究所等单位为本次信息系统安全定级工作的技术支持单位，负责提供技术支持。

　　二、主要工作内容
　　1、摸底调查
　　各公司责任部门要组织本系统的信息系统运营使用单位，开展对所属网络和信息系统的摸底调查工作，全面掌握信息网络和信息系统的数量、分布、业务类型、系统结构、应用或服务范围等基本情况。
　　2、初步定级
　　各单位在摸底调查的基础上，要按照《信息安全等级保护管理办法》(以下简称《管理办法》，附件1)和《信息系统安全等级保护定级指南》(附件2)的要求，确定各定级对象。并初步确定定级对象的安全保护等级，起草定级报告(报告模板见附件3)。各公司责任部门将本单位(系统)运营使用单位的定级报告汇总后统一报送领导小组办公室。
　　涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
　　3、评审
　　领导小组办公室组织专家对上报的定级报告进行分类评审。评审后领导小组办公室印发《电力行业信息系统安全等级保护定级实施指南》，指导各电力公司和信息系统运营使用单位的定级工作。
　　对于跨电力公司联网运行的信息系统，由领导小组办公室统一确定安全保护等级。
　　对于属同一电力公司，但跨省联网运行的信息系统，由公司责任部门统一确定安全保护等级。
　　对于通用信息系统，由领导小组办公室提出安全保护等级建议，运营使用单位自主确定安全保护等级。
　　对于运营使用单位所特有的信息系统，各运营使用单位自行确定安全保护等级。
　　对拟确定为第四级以上信息系统的，由领导小组办公室邀请国家信息安全保护等级专家评审委员会评审。
　　4、审批与备案
　　根据《管理办法》，信息系统安全等级确定为二级以上的信息系统运营使用单位到公安部网站下载《信息系统安全等级保护备案表》(见附件4)和辅助备案工具，持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。其中，第二级信息系统的备案单位只需填写备案表中的表一、表二和表三，第三级以上信息系统的备案单位还应当同时提交备案表表四所列各项内容的书面材料。
　　各运营使用单位要参照《电力行业信息系统安全等级保护定级实施指南》，结合本单位实际，填写备案表，由集团公司责任部门审定后，统一汇总报送领导小组办公室审批。
　　备案表经领导小组办公室审查批准后，各有关单位应根据下列要求到公安机关办理备案手续。
　　(1)跨电力公司联网运行，且由领导小组办公室统一确定安全等级的信息系统，领导小组办公室负责统一向公安部办理备案手续。
　　(2)电力公司内部跨省联网运行，且由公司责任部门统一确定安全等级的信息系统，由公司责任部门负责统一向公安部办理备案手续。
　　(3)其它信息系统的由运营使用单位直接向当地设区的市级以上公安机关备案。
　　(4)跨省联网运行的信息系统，在各地运行、应用的分支系统，向当地设区的市级以上公安机关备案。
　　涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定，填写《涉及国家秘密的信息系统分级 保护备案表》(见附件5)，按照属地化管理原则，中央和国家机关单位的涉密信息系统向国家保密局备案；地方单位的涉密信息系统向所在地的市(地)级以上保密工作部门备案；中央和国家机关地方所属单位的涉密信息系统，向所在地的省级保密工作部门备案。
　　5、备案管理
　　公安机关和国家保密工作部门负责受理电力行业信息系统等级保护定级备案，并进行备案管理。信息系统备案后，公安机关对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的，将通知备案单位予以纠正。发现定级不准的，通知运营使用单位或者领导小组办公室重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。

　　三、进度安排
　　动员部署阶段，8月15日前印发通知，对定级工作进行动员部署。
　　摸底调查及初步定级阶段，8月31日前完成。开展信息系统基本摸底调查，初步确定定级对象的安全保护等级，起草定级报告。
　　评审阶段，9月24日前完成。领导小组办公室对上报的初步定级报告进行分类评审，并编制印发《电力行业信息系统安全等级保护定级实施指南》。
　　 审批与备案阶段，10月15日前完成。各运营使用单位按照《电力行业信息系统安全等级保护定级实施指南》，填写备案表并上报领导小组办公室审核，审核批准后按要求向公安机关备案。

 总结阶段，10月20日前完成。各公司责任部门对本单位（系统）信息系统安全定级工作进行总结，并向领导小组办公室报送总结报告。领导小组办公室对行业信息系统安全定级工作进行总结，并报送公安部。
 四、工作要求

 1、加强领导，落实保障

  各电力公司要按照领导小组办公室的统一部署，明确等级保护责任部门，加强组织领导，及时掌握工作进展情况。信息系统运营使用单位要落实责任部门、责任人员和经费，保障定级工作顺利进行。

 2、明确责任，密切配合

  信息系统的运营使用单位是安全等级保护工作的责任主体，要切实落实运营使用单位的责任。电力公司对所属单位信息系统的安全等级保护工作负总责，各单位要承担起本单位（本系统）信息系统安全等级保护工作的组织管理职责。各电力公司、各运营使用单位要按照领导小组办公室的部署，积极协调做好本系统、本单位信息系统的安全等级保护工作。

  3、动员部署，开展培训
  各单位要按照统一部署，广泛进行宣传动员，举办形式多样的培训班、研讨班等，层层培训。领导小组办公室将根据电力行业特点，按照国家要求，会同有关专业培训单位，组织开展电力行业等级保护培训工作。

  4、及时总结，提出建议

  各电力公司、运营使用单位要结合本单位、本系统开展定级工作的实际，认真总结经验和不足，提出改进和完善定级方法的意见和建议。各公司责任部门要及时总结定级工作经验，形成定级工作总结报告，及时报送领导小组办公室。

  此次定级工作完成后，领导小组办公室将按照《管理办法》和有关技术标准，继续组织开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作。

  联系方式：电力行业网络与信息安全领导小组办公室

  联系人：胡红升 010-58681816
  温红子 010-58681815
  电子邮件：xxtb@serc.gov.cn
  传真：010-58681835
  技术支持电话：010-82812516

二○○七年八月十三日

 

 

 

第一章 总则 

第一条
　　为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。
第二条
　　国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。
第三条
　　公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条
　　信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条
　　信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章 等级划分与保护

第六条
　　国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条
　　信息系统的安全保护等级分为以下五级：
　　第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
　　第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
　　第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
　　第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
　　第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
第八条
　　信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 　　第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 　　第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。 　　第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。 　　第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。 　　第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

第三章 等级保护的实施与管理

第九条
　　信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
第十条
　　信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。 　　跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 　　对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条
　　信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。
第十二条
　　在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术 网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。
第十三条
　　运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条
　　信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。 　　信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。 　　经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。
第十五条
　　已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 　　新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 　　隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。
第十六条
　　办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料： 　　（一）系统拓扑结构及说明； 　　（二）系统安全组织机构和管理制度； 　　（三）系统安全保护设施设计实施方案或者改建实施方案； 　　（四）系统使用的信息安全产品清单及其认证、销售许可证明； 　　（五）测评后符合系统安全保护等级的技术检测评估报告； 　　（六）信息系统安全保护等级专家评审意见； 　　（七）主管部门审核批准信息系统安全保护等级的意见。
第十七条
　　信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。 　　运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。
第十八条
　　受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。 　　

对第五级信息系统，应当由国家指定的专门部门进行检查。 　　

公安机关、国家指定的专门部门应当对下列事项进行检查： 　　

（一） 信息系统安全需求是否发生变化，原定保护等级是否准确； 　

　（二） 运营、使用单位安全管理制度、措施的落实情况； 　

　（三） 运营、使用单位及其主管部门对信息系统安全状况的检查情况； 　

　（四） 系统安全等级测评是否符合要求； 　

　（五） 信息安全产品使用是否符合要求； 　

　（六） 信息系统安全整改情况； 　

　（七） 备案材料与运营、使用单位、信息系统的符合情况； 　

　（八） 其他应当进行监督检查的事项。
第十九条
　　信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件：

　　（一） 信息系统备案事项变更情况； 　

　（二） 安全组织、人员的变动情况； 　

　（三） 信息安全管理制度、措施变更情况；

　　（四） 信息系统运行状况记录； 　

　（五） 运营、使用单位及主管部门定期对信息系统安全状况的检查记录； 　

　（六） 对信息系统开展等级测评的技术测评报告； 　

　（七） 信息安全产品使用的变更情况； 　

　（八） 信息安全事件应急预案，信息安全事件应急处置结果报告； 　　

  （九） 信息系统安全建设、整改结果报告。
第二十条
　　公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求，按照管理规范和技术标准进行整改。整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改情况组织检查。
第二十一条
　　第三级以上信息系统应当选择使用符合以下条件的信息安全产品：

　　（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格； 　

　（二）产品的核心技术、关键部件具有我国自主知识产权；

　　（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录； 　

　（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；

　　（五）对国家安全、社会秩序、公共利益不构成危害；

　　（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条
　　第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评： 　

　（一） 在中华人民共和国境内注册成立（港澳台地区除外）；

　　（二） 由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；

　　（三） 从事相关检测评估工作两年以上，无违法记录；

　　（四） 工作人员仅限于中国公民； 　

　（五） 法人及主要业务、技术人员无犯罪记录； 　

　（六） 使用的技术装备、设施应当符合本办法对信息安全产品的要求； 　

　（七） 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

　　（八） 对国家安全、社会秩序、公共利益不构成威胁。
第二十三条
　　从事信息系统安全等级测评的机构，应当履行下列义务： 　

　（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果； 　

　（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；

 　（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。

第二十四条
　　涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。 　

　非涉密信息系统不得处理国家秘密信息。
第二十五条
　　涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。 　

　涉密信息系统建设使用单位应当在信息规范定密的基础上，依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统，各安全域可以分别确定保护等级。 　

　保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条
　　涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况，及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案，并接受保密部门的监督、检查、指导。
第二十七条
　　涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。 　　涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准，按照秘密、机密、绝密三级的不同要求，结合系统实际进行方案设计，实施分级保护，其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条
　　涉密信息系统使用的信息安全保密产品原则上应当选用国产品，并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测，通过检测的产品由国家保密局审核发布目录。
第二十九条
　　涉密信息系统建设使用单位在系统工程实施结束后，应当向保密工作部门提出申请，由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》，对涉密信息系统进行安全保密测评。 　　涉密信息系统建设使用单位在系统投入使用前，应当按照《涉及国家秘密的信息系统审批管理规定》，向设区的市级以上保密工作部门申请进行系统审批，涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统，其建设使用单位在按照分级保护要求完成系统整改后，应当向保密工作部门备案。
第三十条

　　涉密信息系统建设使用单位在申请系统审批或者备案时，应当提交以下材料：

　　（一）系统设计、实施方案及审查论证意见； 　

　（二）系统承建单位资质证明材料； 　

　（三）系统建设和工程监理情况报告；

　（四）系统安全保密检测评估报告；

 　（五）系统安全保密组织机构和管理制度情况；

　（六）其他有关材料。
第三十一条
　　涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时，其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况，决定是否对其重新进行测评和审批。
第三十二条
　　涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》，加强涉密信息系统运行中的保密管理，定期进行风险评估，消除泄密隐患和漏洞。
第三十三条
　　国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理，并做好以下工作：

 　（一）指导、监督和检查分级保护工作的开展； 　

　（二）指导涉密信息系统建设使用单位规范信息定密，合理确定系统保护等级；

　（三）参与涉密信息系统分级保护方案论证，指导建设使用单位做好保密设施的同步规划设计； 　　 （四）依法对涉密信息系统集成资质单位进行监督管理； 　

  （五）严格进行系统测评和审批工作，监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况； 　

　（六）加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评，对绝密级信息系统每年至少进行一次保密检查或者系统测评； 　

　（七）了解掌握各级各类涉密信息系统的管理使用情况，及时发现和查处各种违规违法行为和泄密事件。

 
第三十四条
　　国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度，被保护对象的安全防护要求和涉密程度，被保护对象被破坏后的危害程度以及密码使用部门的性质等，确定密码的等级保护准则。

　　信息系统运营、使用单位采用密码进行等级保护的，应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条
　　信息系统安全等级保护中密码的配备、使用和管理等，应当严格执行国家密码管理的有关规定。
第三十六条
　　信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的，应报经国家密码管理局审批，密码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和相关标准执行；采用密码对不涉及国家秘密的信息和信息系统进行保护的，须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准，其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条
　　运用密码技术对信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得采用国外引进或者擅自研制的密码产品；未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条
　　信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条
　　各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。

第六章 法律责任

第四十条
　　第三级以上信息系统运营、使用单位违反本办法规定，有下列行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果： 　　（一） 未按本办法规定备案、审批的； 　

　（二） 未按本办法规定落实安全管理制度、措施的；

 　　（三） 未按本办法规定开展系统安全状况检查的；

 　　（四） 未按本办法规定开展系统安全技术测评的；

 　　（五） 接到整改通知后，拒不整改的；

 　　（六） 未按本办法规定选择使用信息安全产品和测评机构的；

 　　（七） 未按本办法规定如实提供有关文件和证明材料的；

 　　（八） 违反保密管理规定的；

 　　（九） 违反密码管理规定的；

 　　（十） 违反本办法其他规定的。

 　　违反前款规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。
第四十一条
　　信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分；构成犯罪的，依法追究刑事责任。

第七章 附则

第四十二条
　　已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级；新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条
　　本办法所称“以上”包含本数（级）。
第四十四条
　　本办法自发布之日起施行，《信息安全等级保护管理办法（试行）》（公通字[2006]7号）同时废止。

 

  附件2

  1 范围

本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2 规范性引用文件

下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术 词汇 第8部分：安全

GB17859-1999 计算机信息系统安全保护等级划分准则

3 术语和定义

GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

3.1

等级保护对象 target of classified security

信息安全等级保护工作直接作用的具体的信息和信息系统。

3.2

客体object

受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。

3.3

客观方面objective

对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。

3.4

系统服务 system service

信息系统为支撑其所承载业务而提供的程序化过程。

4 定级原理

4.1 信息系统安全保护等级

根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

4.2 信息系统安全保护等级的定级要素

信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

4.2.1 受侵害的客体

等级保护对象受到破坏时所侵害的客体包括以下三个方面：

a) 公民、法人和其他组织的合法权益；

b) 社会秩序、公共利益；

c) 国家安全。

4.2.2 对客体的侵害程度

对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：

a) 造成一般损害；

b) 造成严重损害；

c) 造成特别严重损害。

4.3 定级要素与等级的关系

定级要素与信息系统安全保护等级的关系如表1所示。

表1 定级要素与安全保护等级的关系

受侵害的客体 对客体的侵害程度

一般损害 严重损害 特别严重损害

公民、法人和其他组织的合法权益 第一级 第二级 第二级

社会秩序、公共利益 第二级 第三级 第四级

国家安全 第三级 第四级 第五级

5 定级方法

5.1 定级的一般流程

信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。

从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。

从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。

确定信息系统安全保护等级的一般流程如下：

a) 确定作为定级对象的信息系统；

b) 确定业务信息安全受到破坏时所侵害的客体；

c) 根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度；

d) 依据表2，得到业务信息安全保护等级；

e) 确定系统服务安全受到破坏时所侵害的客体；

f) 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度；

g) 依据表3，得到系统服务安全保护等级；

h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

上述步骤如图1确定等级一般流程所示。

图1 确定等级一般流程

5.2 确定定级对象

一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。

作为定级对象的信息系统应具有如下基本特征：

a) 具有唯一确定的安全责任单位

作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。

b) 具有信息系统的基本要素

作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。

c) 承载单一或相对独立的业务应用

定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。

5.3 确定受侵害的客体

定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。

侵害国家安全的事项包括以下方面：

- 影响国家政权稳固和国防实力；

- 影响国家统一、民族团结和社会安定；

- 影响国家对外活动中的政治、经济利益；

- 影响国家重要的安全保卫工作；

- 影响国家经济竞争力和科技实力；

- 其他影响国家安全的事项。

侵害社会秩序的事项包括以下方面：

- 影响国家机关社会管理和公共服务的工作秩序；

- 影响各种类型的经济活动秩序；

- 影响各行业的科研、生产秩序；

- 影响公众在法律约束和道德规范下的正常生活秩序等；

- 其他影响社会秩序的事项。

影响公共利益的事项包括以下方面：

- 影响社会成员使用公共设施；

- 影响社会成员获取公开信息资源；

- 影响社会成员接受公共服务等方面；

- 其他影响公共利益的事项。

影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。

确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。

各行业可根据本行业业务特点，分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系，从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。

5.4 确定对客体的侵害程度

5.4.1 侵害的客观方面

在客观方面，对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏，其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。

信息安全和系统服务安全受到破坏后，可能产生以下危害后果：

- 影响行使工作职能；

- 导致业务能力下降；

- 引起法律纠纷；

- 导致财产损失；

- 造成社会不良影响；

- 对其他组织和个人造成损失；

- 其他影响。

5.4.2 综合判定侵害程度

侵害程度是客观方面的不同外在表现的综合体现，因此，应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同，例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定，业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。

在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同的判别基准：

- 如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准；

- 如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准。

不同危害后果的三种危害程度描述如下：

一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。

严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。

特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。

信息安全和系统服务安全被破坏后对客体的侵害程度，由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同，信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同，各行业可根据本行业信息特点和系统服务特点，制定危害程度的综合评定方法，并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。

5.5 确定定级对象的安全保护等级

根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2业务信息安全保护等级矩阵表，即可得到业务信息安全保护等级。

表2 业务信息安全保护等级矩阵表

业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度

一般损害 严重损害 特别严重损害

公民、法人和其他组织的合法权益 第一级 第二级 第二级

社会秩序、公共利益 第二级 第三级 第四级

国家安全 第三级 第四级 第五级

根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2系统服务安全保护等级矩阵表，即可得到系统服务安全保护等级。

表3 系统服务安全保护等级矩阵表

系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度

一般损害 严重损害 特别严重损害

公民、法人和其他组织的合法权益 第一级 第二级 第二级

社会秩序、公共利益 第二级 第三级 第四级

国家安全 第三级 第四级 第五级

作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。

6 等级变更

在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应根据本标准第5章给出的定级方法重新定级。

 

附件3

《信息系统安全等级保护定级报告》模版

 

《信息系统安全等级保护定级报告》

一、XXX信息系统描述

简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）

（一）业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定

说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定

1、系统服务描述

描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定

说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定

说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定

依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定

信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

信息系统名称 安全保护等级 业务信息安全等级 系统服务安全等级

XXX信息系统 X X X

 

附件4  

信息系统安全等级保护备案表

 

《信息系统安全等级保护备案表》数据项说明

1. 填表范围：本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单位”）填写；本表由四张表单构成，表一为单位信息，每个备案单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写，并在完成系统建设、整改、测评等工作，投入运行后30日内向受理备案公安机关提交；表二、表三、表四可以复印使用，在使用过程中注意信息系统编号，如某单位共有6个信息系统，则填写过程中要遵循表二（1/6）、表二（2/6）……表二（6/6）的编号和命名规则。如果6个信息系统中有3个是第三级以上信息系统，则表四的编号要和同一信息系统的表二、三的编号保持一致。如，单位共有6个信息系统，其中有一个第三级以上信息系统A，则该单位需要填写1张表一，6张表二和表三，1张表四。假设A系统表二的编号为表二（2/6），则相对应的表四的编号也应当是表四（2/6）。

2. 保存方式：本表一式二份，由备案单位和受理备案的公安机关分别盖章后，一份由备案单位保存，一份交受理备案公安机关存档。

3. 《备案表》中有选择的地方请在选项左侧划“√”，如选择“其他”，请在其后的横线中注明详细内容,需要填写数字代码的地方，请在“?”中直接填写。

4. 备案表编号：封面中的“备案表编号”由两组共11位数字组成，第一组6位，代表受理备案的公安机关代码前六位（可参照行标GA380-2002）；第二组5位，为受理备案的公安机关给出的备案单位的受理顺序号。此项内容统一由受理备案的公安机关填写。

5. 备案单位：本表封面中的“备案单位”填写运营使用信息系统的法人单位全称。

6. 受理备案单位：本表封面中的“受理备案单位”填写受理备案的公安机关网监部门名称。此项由受理备案的公安机关负责填写。

7. 行政区划代码：表一中04项“行政区划代码”中6位代码是指单位所在地县(区、市、旗)的代码，该代码需与《中华人民共和国行政区划代码》（GB 2260-1995）一致。以北京市举例，标准6位地址码的构成如下： 110000 北京市，110101 东城区 ……。

8. 单位负责人：表一中的“单位负责人”是指负责本单位信息安全的领导。

9. 责任部门：表一中的“责任部门”是指单位内负责信息系统安全的部门。如果单位内的信息系统分别由不同的责任部门管理，则可以统一填写在表一的责任部门一栏中，或分别填写表一。

10. 责任部门联系人：表一中的“责任部门联系人”是指本单位开展信息安全等级保护工作的联系人。如果责任部门联系人有多个，则可以分别填写表一或均填写在表一责任部门联系人一栏中。

11. 隶属关系：表一中第08项“隶属关系”是指本单位隶属于哪一级行政管理单位，按照国家标准《单位隶属关系代码》(GB/T12404-1997)分为：中央、省、市(地区)、县、街道、镇、乡、社区(居委会)、村民委员会和其他。

（1）各级政府(中央、省、地、县、乡、镇)、党委、人大、政协等机关的隶属关系填写本级。如：省政府的隶属关系填“省”。

（2）中央：包括人大常委会、政协常委会、中共中央、国务院直属机构和办事机构、各部委及其直属机构等。中央与地方双重领导的单位，以领导为主的一方来划分中央属或地方属。隶属于“中央”的单位所属的集体企业，隶属关系选“其他”，并在其后填写所隶属的单位名称；省属以下的企业(单位)所属的企业(单位)，其隶属关系与企业(单位)本身的隶属关系一致。

（3）省：包括自治区、直辖市直属的行政管理单位；

（4）地区：包括自治州、盟、省辖市和直辖区直属的行政管理单位；

（5）县：包括地、州、盟辖市、省辖市辖区、自治县、自治旗、县级市直属的行政管理单位；

（6）街道：指经国务院批准设置的建制市的市区街道办事处等管理单位；

（7）镇：指经省、自治区、直辖市人民政府批准设置的建制镇政府所辖行政管理单位； 　　

（8）乡：指乡一级政府及直属行政管理单位；

（9）其他：不隶属上述各级的企业（单位）选本栏。例如：无主管部门的单位、本省(自治区、直辖市)在外省(自治区、直辖市)的办事机构所开办的第三产业等单位等。

12. 单位类型：党委机关是指隶属于各级中国共产党委员会及其所属专门部门。政府机关是指隶属于各级人民政府的部门或单位。

13. 行业类别：该项为单选项。以单位主要从事的业务为依据进行选择，如公安院校，则应选择教育而非公安。

14. 信息系统总数：是指本单位内所拥有的信息系统个数，包括第一级信息系统。

15. 系统名称：表二中“系统名称”是指信息系统进行立项建设或有明文规定的全称。

16. 系统编号：由备案单位给出的本单位备案信息系统的编号。备案单位所属信息系统编号不能重复；

17. 系统承载业务情况：（1）业务类型：该项为单选项。是指信息系统所承载的主要业务。其中1生产作业是指：主要为完成本单位生产直接提供服务的。2指挥调度是指：主要用于本单位内进行指挥、调度等工作的。3管理控制是指：主要进行管理工作的。4内部办公是指：主要为单位内部办公提供服务的。5公众服务是指：主要为社会公众提供服务的。（2）业务描述：是指系统所承载业务的具体描述，主要包括系统所承载的业务信息包括哪些，信息系统的主要功能等。

18. 系统服务情况：（1）服务范围：该项为单选项。如果信息系统跨全国的所有省，则选择10全国，如果没有跨全国所有省，则选择11跨省，同时填写具体的跨省数。跨地（市、区）类似。（2）服务对象：该项为单选项。单位内部人员：是指仅为本单位内部人员服务。社会公众人员：是指为社会大众提供服务。两者均包括：是指既包括单位内部人员也包括社会公众人员。如果仅为某些特定人群服务，请选择其它，并填写具体服务的对象名称。

19. 系统网络平台：（1）覆盖范围：该项为单选项。1局域网：信息系统所依托的网络结构是在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等；2城域网：是指该信息系统所依托的网络是一种大型的局域网，通常使用与局域网相似的技术。它可以覆盖一组邻近的公司办公室和一个城市，既可能是私有的也可能是公用的。比较常见的一个城市的政府公务网、教育城域网等；3广域网：是指信息系统所依托的网络是一种跨越大的、地域性的计算机网络的集合。通常跨越省、市，甚至一个国家；如上述三个选项均不是，请选择其他，并在其后的横线中填写具体的网络覆盖范围类型名称。（2）网络性质：1业务专网：是指信息系统所依托的网络是单位为开展某项业务专门架设或租用专门线路构成的；2互联网：是指承载信息系统的网络是完全依托互联网（Internet）的。

20. 系统互联情况：该项为多选项。1与其它行业系统连接：是指该信息系统与本行业以外的其他行业的信息系统进行连接或共享数据。2与本行业其他单位系统连接：是指该信息系统与行业内其他单位的信息系统进行连接或共享数据。3与本单位其他系统连接：是指该信息系统与本单位内的其他信息系统进行连接。如果上述选项均不是，则选择其它，并在其后的横线中注明具体的互联情况。

21. 关键产品使用情况：（1）产品类型：是指信息系统（包括网络）中使用的信息技术产品的类型，其中安全专用产品：是指根据《计算机信息系统安全专用产品检测和销售许可证管理办法》规定，用于保护计算机信息系统安全的专用硬件和软件产品，主要包括：扫描类产品（包括入侵检测、防御等产品），防雷产品，防火墙，数据完整类（包括身份认证、访问控制、签章、指纹识别等），网络安全（包括网吧安全管理、审计产品等），病毒产品等。网络产品：是指除上述安全产品外的其它网络产品，主管包括：路由器、网关、网闸等。操作系统：是指管理计算机系统全部硬件、软件资源及数据资源，控制程序运行，改善人机界面，为其它应用软件提供支持等的，使计算机系统所有资源最大限度地发挥作用，为用户提供方便的、有效的、友善的服务界面的专用软件，常见的操作系统有Windows系列，Linux系列，Unix系列等；数据库：是指帮助用户依照某种数据模型组织起来并存放数据的软件，这里主要指数据库软件。常见的数据库软件有Oracle、Sybase、DB2、SQL server 、Access、MySQL、BD2等；服务器：又叫主机。主要是为信息系统集中提供各种类型服务的主机。（2）数量：软件产品的数量按购买的套数算，不以实际安装的台数计算。硬件产品的数量以购买的台（件）数计算，如果没有则数量填0。（3）使用国产品率：是指信息系统中使用国产的某类信息技术产品数量占使用该类信息技术产品总数量的比例。全部使用，是指该信息系统中使用的该类信息技术产品全都是国产品（品牌、型号等可以不同）。全部未使用，是指该信息系统中使用的该类信息技术产品全都不是国产品。部分使用率，是指当某类产品部分使用国产品时，国产品的使用率。以某类操作系统为例，如某信息系统的主机（服务器）上共使用了3套操作系统，其中微软操作系统2套，红旗操作系统1套，则该信息系统中使用操作系统的国产品率就是33%（1/3），再如某信息系统中共使用了20个路由器，其中10个国内产品，10个国外产品，此外还使用了20个网关，其中15个国内产品，5个国外产品，则该信息系统中使用网络产品的国产品率就是62.5%（10+15/20+20）。国产品是指该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股，在中华人民共和国境内具有独立的法人资格，产品的核心技术、关键部件具有我国自主知识产权。

22. 系统采用服务情况：是指信息系统在规划、设计、建设、运维、终止等生命周期的各个阶段采用的由供应商、组织机构或人员所执行的一系列的安全过程或任务。（1）服务类型。等级测评：是指依据等级保护测评标准对相应等级信息系统开展的标准符合性测评，测评完成后出具符合相应等级要求（符合《基本要求》）的测评报告，报公安机关备案；风险评估：是指信息安全风险评估；灾难恢复：是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动和流程；应急响应：是指对影响计算机系统和网络安全的不当行为（事件）进行标识、记录、分类和处理，直到受影响的服务恢复正常运行的过程；系统集成：是指系统集成商使用硬件和软件资源来满足用户的特定需求的过程；安全咨询：是指为开展信息系统安全工作，由信息系统运营使用或主管部门发起的咨询工作；安全培训：是指为开展安全工作对相应人员进行的培训；如果在上述服务外还采用了其他服务，可以选其它，并在其后的横线中标明具体的内容。（2）服务责任方类型：是指提供服务的服务单位是属于本行业的，还是属于国内其他行业（单位），还是国外服务商。国内服务商是指服务机构在我国境内注册成立，由中国公民、法人或国家投资的企事业单位。

23. 等级测评单位名称：是指开展等级测评工作的测评单位的全称。

24. 何时投入运行使用：是指信息系统正式投入运行使用的时间。试运行时间不算在内。

25. 系统是否是分系统：分系统是指大系统分支应用的信息系统或完成大系统部分功能的信息系统。

26. 上级系统名称：如果该信息系统是分系统，则需要填写该项。上级系统是指分系统所隶属或归属的信息系统。

27. 确定业务信息安全保护等级：是指根据《定级指南》确定信息系统业务信息安全等级。

28. 确定系统服务安全保护等级：是指根据《定级指南》确定信息系统服务安全等级。

29. 信息系统安全保护等级：是指根据《定级指南》，信息系统最终的安全保护等级由业务信息安全等级和系统服务安全等级两个较高者确定。

30. 专家评审情况：是指请专家对信息系统定级情况进行评审的情况。其中第四级以上信息系统须由国家信息安全保护等级专家评审委进行评审。

31. 主管部门：是指本单位信息系统所承载业务的上级主管部门。只有该类主管部门对信息系统定级的准确与否具有发言权。如果业务主管部门不明确，也可以将本单位的上级行政主管部门作为其主管部门。如果业务主管部门和行政主管部门均不明确，则可以不填。一般而言，部委的主管部门就是其自身，省厅的主管部门也是其自身。

32. 系统定级报告：是指依据《定级报告模版》编写的定级报告。所有信息系统均应该填写。

33. 系统拓扑结构及说明：是指信息系统中的服务器、工作站的网络配置和相互间的连接方式图及其说明。

34. 系统安全组织机构及管理制度：是指根据《基本要求》进行系统整改后建立的信息安全组织机构及管理制度。

35. 系统安全保护设施设计实施方案或改建实施方案：是指根据信息系统所定安全保护等级与《基本要求》对相应等级的要求，制定的系统设计实施方案（新建系统）或改建实施方案（已有系统）。

36. 系统使用的安全产品清单及认证、销售许可证明：是指该信息系统具体使用的信息安全产品名称、型号、数量、购置日期、生产单位、销售单位、是否取得计算机安全专用产品销售许可证、销售许可证号、在同类型（功能）产品中该产品的使用率等信息。

37. 系统等级测评报告：是指由符合条件的等级测评单位根据信息系统确定的安全保护等级，依据《基本要求》、《测评准则》等标准对信息系统开展测评后出具的报告，提交公安机关备案的测评报告必须是测评合格的报告。

38. 上级主管部门审批意见：是指上级主管部门对信息系统定级情况的审批意见。

39. 解释：本表由公安部公共信息网络安全监察局负责解释，非经允许任何单位和个人不得对本表进行改动。

 

附件5

涉及国家秘密的信息系统分级保护备案表

 

单位名称

涉密信息系统名称

系统密级（保护等级） □秘密 □机密 □绝密

系统联接范围 □局域网 □城域网 □广域网（跨 个省或地）

系统安全域划分

和安全域密级确定 □未划分安全域

□划分安全域（共有 个，其中绝密级 个，

机密级 个，秘密级 个，内部级 个）

系统主要承建单位

系统投入使用时间

系统运行管理部门

系统安全保密管理部门

系统分级保护实施情况 □已经实施 □正在实施 □计划 年实施

填报日期： 年 月 日 填报单位：（盖章）

填表说明：

1、“系统密级”依据《涉及国家秘密的信息系统分级保护管理办法》和国家保密标准BMB17—2006确定。

2、涉密信息系统一般应划分安全域，同一系统内的不同安全域根据所处理信息的重要程度，可分别确定密级。

3、表中“□”项，确认划“√”。

4、填报多个涉密信息系统，可复印此表。

国家保密局制

附件二

涉密单机（含笔记本电脑）分级保护核定登记表

序号 使用部门 设备

名称 品牌 保护

等级 放置地点 编号 备注

填表人： 联系电话：

注：1、本表可根据需要自行复制；2、备注一栏填写变动情况；3、本表一式两份，保密部门和填表单位各一份作为档案长期保存。