关于开展保险业信息系统安全等级保护定级工作的通知
各保监局,各保险公司、保险资产管理公司,中国保险行业协会: 为贯彻落实国家信息安全等级保护制度,按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安(2007)861号)要求,中国保监会将在保险行业内开展信息系统安全等级保护定级工作。现将有关事项通知如下: 一、等级保护定级工作的要求及组织方式 各单位应按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求和“自主定级、自主保护”的工作原则,成立相应的领导及实施机构,结合本单位的实际情况,准确开展信息系统等级保护定级工作。 保监会成立等级保护定级工作领导小组,统一领导、解决保险行业信息安全等级保护定级工作中的重大问题;保监会等级保护定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。 各保监局负责本局内独立运行的信息系统等级保护定级工作,并对各自辖区内的保险公司分支机构的等级保护定级工作进行指导审核。 各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。 二、定级工作安排及定级范围 (一)定级工作安排 为稳妥做好等级保护定级工作,拟在保险行业内分步分批实施。 保险行业第一批定级单位包括:保监会及各保监局,中国保险行业协会,中国人民保险集团公司、中国人寿保险(集团)公司、中国再保险(集团)公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险(集团)股份有限公司、中国太平洋(集团)股份有限公司及其下属各子公司和分公司。 其余公司作为第二批定级单位(具体时间安排另行通知)。 (二)定级范围 1、保险监管部门监管、办公及网站等重要信息系统;保险公司和中国保险行业协会经营、管理、办公等重要信息系统。(以下简称“重要信息系统”) 2、涉及国家秘密的信息系统(以下简称“涉密信息系统”)。 三、主要工作步骤 第一阶段:自主定级(9月20日前完成) 各单位按要求成立相关定级实施机构,对本系统内的重要信息系统和涉密信息系统展开摸底调查,全面掌握信息网络和信息系统的数量、分布、业务类型、系统结构、应用或服务范围等基本情况,按照《信息安全等级保护管理办法》(以下简称“《管理办法》”,附件1)和《信息系统安全等级保护定级指南》(附件2)的要求,确定定级对象并初步确定保护等级,形成定级报告(报告模板见附件3)。 涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。 第二阶段:审核(9月25日前完成) 各保监局将各自独立运行的重要信息系统和涉密信息系统的定级报告报保监会审核。 各公司对本公司内的重要信息系统和涉密信息系统定级进行统一审核,对跨省联网运行且由公司总部统一确定等级的,由总公司将重要信息系统和涉密信息系统的定级报告报保监会审核 (有集团或控股公司的,由集团或控股公司将定级报告统一报保监会审核);保险公司分公司将经过总公司审核的,且在分公司独立运行的重要信息系统和涉密系统定级报告报当地保监局审核。 保险行业协会将所确定的重要信息系统和涉密信息系统的定级报告报保监会审核。 保监会及各保监局在接到定级报告审核文件后,对不符合要求的于5个工作日内要求其改正,审核通过者不再单独答复。 第三阶段:备案(9月30日前完成) 根据《管理办法》,各单位定级报告通过保监会或保监局审核后,对重要信息系统安全等级确定为二级以上的信息系统应到公安部网站下载《信息系统安全等级保护备案表》(见附件4)和辅助备案工具,并持填写的备案表和利用辅助备案工具生成的备案电子数据文件,到公安机关办理备案手续(保险行业协会确定的信息系统、保险总公司统一定级的跨省联网运营的信息系统,向公安部备案;保险公司分公司将总公司定级的跨省联网在当地运行、应用的分支系统以及在当地分公司独立运行的信息系统,向当地省级公安机关备案)。备案完成后,各级单位将备案证明复印件报相对应的保险监管机构存档。 涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(见附件5),按照属地化管理原则,将所确定的涉密信息系统,报送相对应的保密部门备案。备案完成后,各级单位将备案证明复印件报相对应的保险监管机构存档。 第四阶段:总结工作(10月15日前完成) 各单位应对等级保护定级工作进行总结,并报保监会等级保护定级工作领导小组。保监会根据定级工作开展的情况和定级工作报告,总结工作经验,研究并启动第二批等级保护定级工作。 联 系 人:李春亮、王晓鹏 联系电话:010-66286602
附件:1、信息安全等级保护管理办法(略) 2、信息安全技术信息系统安全等级保护定级指南 3、信息系统安全等级保护定级报告 4、信息系统安全等级保护备案表 5、涉及国家秘密的信息系统分级保护备案表
二○○七年九月六日
附件2: 信息安全技术信息系统安全等级保护定级指南(报批稿)
全国信息安全标准化技术委员会
前 言 本标准由公安部和全国信息安全标准化技术委员会提出。 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位: 本标准主要起草人: 引 言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: --GB/T BBBBB-BBBB信息系统安全等级保护基本要求; --GB/T CCCCC-CCCC信息系统安全等级保护实施指南; --GB/T DDDDD-DDDD信息系统安全等级保护测评准则。 本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
信息系统安全等级保护定级指南
1 范围 本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。 2 规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术 词汇 第8部分:安全 GB17859-1999 计算机信息系统安全保护等级划分准则 3 术语和定义 GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。 3.1 等级保护对象targetofclassifiedsecurity 信息安全等级保护工作直接作用的具体的信息和信息系统。 3.2 客体object 受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。 3.3 客观方面objective 对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。 3.4 系统服务 system service 信息系统为支撑其所承载业务而提供的程序化过程。 4 定级原理 4.1 信息系统安全保护等级 根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 4.2 信息系统安全保护等级的定级要素 信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 4.2.1 受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面: a)公民、法人和其他组织的合法权益; b)社会秩序、公共利益; c)国家安全。 4.2.2 对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种: a)造成一般损害; b)造成严重损害; c)造成特别严重损害。 4.3 定级要素与等级的关系 定级要素与信息系统安全保护等级的关系如表1所示。
表1 定级要素与安全保护等级的关系
┌───────────────┬────────────────────────┐ │ │对客体的侵害程度 │ │受侵害的客体 ├────────┬───────┬───────┤ │ │一般损害 │严重损害 │特别严重损害 │ ├───────────────┼────────┼───────┼───────┤ │公民、法人和其他组织的合法权益│第一级 │第二级 │第二级 │ ├───────────────┼────────┼───────┼───────┤ │社会秩序、公共利益 │第二级 │第三级 │第四级 │ ├───────────────┼────────┼───────┼───────┤ │国家安全 │第三级 │第四级 │第五级 │ └───────────────┴────────┴───────┴───────┘ 5 定级方法 5.1 定级的一般流程 信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。 确定信息系统安全保护等级的一般流程如下: a) 确定作为定级对象的信息系统; b) 确定业务信息安全受到破坏时所侵害的客体; c) 根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度; d) 依据表2,得到业务信息安全保护等级; e) 确定系统服务安全受到破坏时所侵害的客体; f) 根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度; g) 依据表3,得到系统服务安全保护等级; h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。 上述步骤如图1确定等级一般流程所示。 图1 确定等级一般流程(略) 5.2 确定定级对象 一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。 作为定级对象的信息系统应具有如下基本特征: a) 具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。 b) 具有信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。 c) 承载单一或相对独立的业务应用 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。 5.3 确定受侵害的客体 定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。 侵害国家安全的事项包括以下方面: - 影响国家政权稳固和国防实力; - 影响国家统一、民族团结和社会安定; - 影响国家对外活动中的政治、经济利益; - 影响国家重要的安全保卫工作; - 影响国家经济竞争力和科技实力; - 其他影响国家安全的事项。 侵害社会秩序的事项包括以下方面: - 影响国家机关社会管理和公共服务的工作秩序; - 影响各种类型的经济活动秩序; - 影响各行业的科研、生产秩序; - 影响公众在法律约束和道德规范下的正常生活秩序等; - 其他影响社会秩序的事项。 影响公共利益的事项包括以下方面: - 影响社会成员使用公共设施; - 影响社会成员获取公开信息资源; - 影响社会成员接受公共服务等方面; - 其他影响公共利益的事项。 影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。 确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。 各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。 5.4 确定对客体的侵害程度 5.4.1 侵害的客观方面 在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。 信息安全和系统服务安全受到破坏后,可能产生以下危害后果: - 影响行使工作职能; - 导致业务能力下降; - 引起法律纠纷; - 导致财产损失; - 造成社会不良影响; - 对其他组织和个人造成损失; - 其他影响。 5.4.2 综合判定侵害程度 侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。 在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准: - 如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准; - 如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。 不同危害后果的三种危害程度描述如下: 一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。 特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。 信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。 5.5 确定定级对象的安全保护等级 根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。
表2 业务信息安全保护等级矩阵表
┌───────────────┬────────────────────────┐ │ │对相应客体的侵害程度 │ │业务信息安全被破坏时所侵害的客├────────┬───────┬───────┤ │体 │一般损害 │严重损害 │特别严重损害 │ ├───────────────┼────────┼───────┼───────┤ │公民、法人和其他组织的合法权益│第一级 │第二级 │第二级 │ ├───────────────┼────────┼───────┼───────┤ │社会秩序、公共利益 │第二级 │第三级 │第四级 │ ├───────────────┼────────┼───────┼───────┤ │国家安全 │第三级 │第四级 │第五级 │ └───────────────┴────────┴───────┴───────┘ 根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。
表3 系统服务安全保护等级矩阵表
┌───────────────┬────────────────────────┐ │ │对相应客体的侵害程度 │ │系统服务安全被破坏时所侵害的客├────────┬───────┬───────┤ │体 │一般损害 │严重损害 │特别严重损害 │ ├───────────────┼────────┼───────┼───────┤ │公民、法人和其他组织的合法权益│第一级 │第二级 │第二级 │ ├───────────────┼────────┼───────┼───────┤ │社会秩序、公共利益 │第二级 │第三级 │第四级 │ ├───────────────┼────────┼───────┼───────┤ │国家安全 │第三级 │第四级 │第五级 │ └───────────────┴────────┴───────┴───────┘ 作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。 6 等级变更 在信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应根据本标准第5章给出的定级方法重新定级。
附件3: 信息系统安全等级保护定级报告
一、×××信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。 二、×××信息系统安全保护等级确定 (定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。 (二)系统服务安全保护等级的确定 1、系统服务描述 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。 (三)安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定×××系统安全保护等级为第几级。 ┌─────────┬───────┬───────────┬───────────┐ │ 信息系统名称 │ 安全保护等级 │ 业务信息安全等级 │ 系统服务安全等级 │ ├─────────┼───────┼───────────┼───────────┤ │ ×××信息系统 │ × │ × │ × │ └─────────┴───────┴───────────┴───────────┘
附件4: 备案表编号:□□□□□□--□□□□□
信息系统安全等级保护备案表
备 案 单 位: (盖章) 备 案 日 期: 受理备案单位: (盖章) 受 理 日 期: 中华人民共和国公安部监制 填 表 说 明 一、 制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表; 二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、 保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、 本表中有选择的地方请在选项左侧“?”划“√”,如选择“其他”,请在其后的横线中注明详细内容; 五、 封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号; 六、 封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、 封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章; 八、 表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、 表一05单位负责人:是指主管本单位信息安全工作的领导; 十、 表一06责任部门:是指单位内负责信息系统安全工作的部门; 十一、 表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写; 十二、 表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号; 十三、 表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、 表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权; 十五、 表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、 表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选; 十七、 表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填; 十八、 解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。
表一 单位基本情况
┌─────┬───────────────────────────────────────────────────┐ │01单位名称│ │ │ │ │ ├─────┼───────────────────────────────────────────────────┤ │02单位地址│ 省(自治区、直辖市) 地(区、市、州、盟) │ │ │ 县(区、市、旗) │ ├─────┼─┬─┬─┬───────┬─┬─┬──┬──────────┬─┬─┬─┬─┬─┬───────┬─┤ │03邮政编码│ │ │ │ │ │ │ │04行政区划代码 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────┼─┴─┴─┴───┬───┴─┴─┴──┼──────────┼─┴─┴─┴─┴─┴───────┴─┤ │05 │姓 名 │ │职务/职称 │ │ │单位负责人├─────────┼──────────┼──────────┼───────────────────┤ │ │办公电话 │ │电子邮件 │ │ ├─────┼─────────┴──────────┴──────────┴───────────────────┤ │06责任部门│ │ ├─────┼─────────┬──────────┬──────────┬───────────────────┤ │07责任部门│姓 名 │ │职务/职称 │ │ │联系人 ├─────────┼──────────┼──────────┼───────────────────┤ │ │办公电话 │ │电子邮件 │ │ │ ├─────────┼──────────┤ │ │ │ │移动电话 │ │ │ │ ├─────┼─────────┴──────────┴──────────┴───────────────────┤ │08隶属关系│□ 1中央 □ 2省(自治区、直辖市) □ 3地(区、市、州、盟) │ │ │□ 4县(区、市、旗)□ 9其他 │ │ │ │ ├─────┼───────────────────────────────────────────────────┤ │09单位类型│□ 1党委机关 □ 2政府机关 □ 3事业单位 □ 4企业 □ 9其他 │ ├─────┼───────────────────────────────────────────────────┤ │10行业类别│□ 11电信 □ 12广电 □ 13经营性公众互联网 │ │ │ │ │ │□ 21铁路 □ 22银行 □ 23海关 □ 24税务 │ │ │□ 25民航 □ 26电力 □ 27证券 □ 28保险 │ │ │ │ │ │□ 31国防科技工业 □ 32公安 □ 33人事劳动和社会保障 □ 34财政 │ │ │□ 35审计 □ 36商业贸易 □ 37国土资源 □ 38能源 │ │ │□ 39交通 □ 4 统计 □ 41工商行政管理 □ 42邮政 │ │ │□ 43教育 □ 44文化 □ 45卫生 □ 46农业 │ │ │□ 47水利 □ 48外交 □9发展改革 □ 5 科技 │ │ │□ 51宣传 □ 52质量监督检验检疫 │ │ │ │ │ │□ 99其他 │ ├─────┼─────────┬──────────────┬──┬─────────────────┬─────┤ │11信息系统│ 个 │12 第二级信息系统数 │个 │13 第三级信息系统数 │个 │ │ │ ├──────────────┼──┼─────────────────┼─────┤ │ │ │14 第四级信息系统数 │个 │15 第五级信息系统数 │个 │ └─────┴─────────┴──────────────┴──┴─────────────────┴─────┘
表二 ( / )信息系统情况
┌──────┬─────────────────────────┬─────────────────┬─┬─┬─┬─┐ │01 系统名称 │ │□2 系统编号 │ │ │ │ │ │ │ │ │ │ │ │ │ ├────┬─┼─────────────────────────┴─────────────────┴─┴─┴─┴─┤ │03 │业│□1生产作业 □2指挥调度 □3管理控制 □4内部办公 │ │ │务│□5公众服务 □9其他 │ │载 ├─┼───────────────────────────────────────────────────┤ │业 │业│ │ │务 │务│ │ │情 │描│ │ │况 │述│ │ ├────┼─┼───────────────────────────────────────────────────┤ │04 │服│□1□全国 □11跨省(区、市) │ │系 │务│ 跨 个 │ │统 │范│□2□全省(区、市) □21跨地(市、区) │ │服 │围│ 跨 个 │ │务 │ │□3□地(市、区)内 │ │情 │ │□99其它 │ │况 ├─┼───────────────────────────────────────────────────┤ │ │服│□1单位内部人员 □2社会公众人员□3两者均包括 □9其他 │ │ │务│ │ │ │对│ │ │ │象│ │ ├────┼─┼───────────────────────────────────────────────────┤ │05 │覆│□1局域网 □2城域网 □3广域网 □9其他 │ │ │盖│ │ │系 │范│ │ │统 │围│ │ │网 ├─┼───────────────────────────────────────────────────┤ │络 │网│□1业务专网 □2互联网 □9其它 │ │平 │络│ │ │台 │性│ │ │ │质│ │ ├────┴─┼───────────────────────────────────────────────────┤ │06 系 │□1与其他行业系统连接 □2与本行业其他单位系统连接 │ │统互联 │□3与本单位其他系统连接 □9其它 │ │情况 │ │ ├──────┼─┬─┬───────┬───────────────────────────────────────┤ │07 关 │序│产│ 数量 │ 使用国产品率 │ │键产品 │号│品│ ├─┬─────────────────┬───────────────────┤ │使用情 │ │类│ │全│全部未使用 │部分使用及使用率 │ │况 │ │型│ │部│ │ │ │ │ │ │ │使│ │ │ │ │ │ │ │用│ │ │ │ ├─┼─┼───────┼─┼─────────────────┼───────────────────┤ │ │1 │安│ │□│ □ │□ % │ │ │ │全│ │ │ │ │ │ │ │专│ │ │ │ │ │ │ │用│ │ │ │ │ │ │ │产│ │ │ │ │ │ │ │品│ │ │ │ │ │ ├─┼─┼───────┼─┼─────────────────┼───────────────────┤ │ │2 │网│ │□│ □ │□ % │ │ │ │络│ │ │ │ │ │ │ │产│ │ │ │ │ │ │ │品│ │ │ │ │ │ ├─┼─┼───────┼─┼─────────────────┼───────────────────┤ │ │3 │操│ │□│ □ │□ % │ │ │ │作│ │ │ │ │ │ │ │系│ │ │ │ │ │ │ │统│ │ │ │ │ │ ├─┼─┼───────┼─┼─────────────────┼───────────────────┤ │ │4 │数│ │□│ □ │□ % │ │ │ │据│ │ │ │ │ │ │ │库│ │ │ │ │ │ ├─┼─┼───────┼─┼─────────────────┼───────────────────┤ │ │5 │服│ │□│ □ □ % │ │ │ │务│ │ │ │ │ │ │ │器│ │ │ │ │ │ ├─┼─┼───────┼─┼─────────────────┼───────────────────┤ │ │6 │其│ │□│ □ │□ % │ │ │ │他│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├──────┼─┼─┴───────┼─┴─────────────────┴───────────────────┤ │08 系 │序│ 服务类型 │ 服务责任方类型 │ │统采用 │号│ ├───────┬─────────────────┬─────────────┤ │服务情 │ │ │本行业(单位)│国内其他服务商 │国外服务商 │ │况 ├─┼───────┬─┼───────┼─────────────────┼─────────────┤ │ │1 │等级测评 │□│ □ │ □ │ □ │ │ │ │ │有│ │ │ │ │ │ │ │□│ │ │ │ │ │ │ │无│ │ │ │ │ ├─┼───────┼─┼───────┼─────────────────┼─────────────┤ │ │2 │风险评估 │□│ □ │ □ │ □ │ │ │ │ │有│ │ │ │ │ │ │ │□│ │ │ │ │ │ │ │无│ │ │ │ │ ├─┼───────┼─┼───────┼─────────────────┼─────────────┤ │ │3 │灾难恢复 │□│ □ │ □ │ □ │ │ │ │ │有│ │ │ │ │ │ │ │□│ │ │ │ │ │ │ │无│ │ │ │ │ ├─┼───────┼─┼───────┼─────────────────┼─────────────┤ │ │4 │应急响应 │□│ □ │ □ │ □ │ │ │ │ │有│ │ │ │ │ │ │ │□│ │ │ │ │ │ │ │无│ │ │ │ │ ├─┼───────┼─┼───────┼─────────────────┼─────────────┤ │ │5 │系统集成 │□│ □ │ □ │ □ │ │ │ │ │有│ │ │ │ │ │ │ │□│ │ │ │ │ │ │ │无│ │ │ │ │ ├─┼───────┼─┼───────┼─────────────────┼─────────────┤ │ │6 │安全咨询 │□│ □ │ □ │ □ │ │ │ │ │有│ │ │ │ │ │ │ │□│ │ │ │ │ │ │ │无│ │ │ │ │ ├─┼───────┼─┼───────┼─────────────────┼─────────────┤ │ │7 │安全培训 │□│ □ │ □ │ □ │ │ │ │ │有│ │ │ │ │ │ │ │□│ │ │ │ │ │ │ │无│ │ │ │ │ ├─┼───────┴─┼───────┼─────────────────┼─────────────┤ │ │8 │其它 │ □ │ □ │ □ │ ├──────┼─┴─────────┴───────┴─────────────────┴─────────────┤ │09 等 │ │ │级测评 │ │ │单位名 │ │ │称 │ │ ├──────┼───────────────────────────────────────────────────┤ │10 何 │ 年 月 日 │ │时投入 │ │ │运行使 │ │ │用 │ │ ├──────┼───────────────────────────────────────────────────┤ │11 系 │□是 □否(如选择是请填下两项) │ │统是否 │ │ │是分系 │ │ │统 │ │ ├──────┼───────────────────────────────────────────────────┤ │12 上 │ │ │级系统 │ │ │名称 │ │ ├──────┼───────────────────────────────────────────────────┤ │13 上 │ │ │级系统 │ │ │所属单 │ │ │位名称 │ │ └──────┴───────────────────────────────────────────────────┘
表三 ( / )信息系统定级情况
┌─┬──────────────────────────────────────┬────┐ │01│ 损害客体及损害程度 │级 │ │确│ │别 │ │定├──────────────────────────────────────┼────┤ │业│□仅对公民、法人和其他组织的合法权益造成损害 │□第一级│ │安├──────────────────────────────────────┼────┤ │全│□对公民、法人和其他组织的合法权益造成严重损害 │□第二级│ │保│□对社会秩序和公共利益造成损害 │ │ │级├──────────────────────────────────────┼────┤ │ │□对社会秩序和公共利益造成严重损害 │□第三级│ │ │□对国家安全造成损害 │ │ │ ├──────────────────────────────────────┼────┤ │ │□对社会秩序和公共利益造成特别严重损害 │□第四级│ │ │□对国家安全造成严重损害 │ │ │ ├──────────────────────────────────────┼────┤ │ │□对国家安全造成特别严重损害 │□第五级│ ├─┼──────────────────────────────────────┼────┤ │02│□仅对公民、法人和其他组织的合法权益造成损害 │□第一级│ │统├──────────────────────────────────────┼────┤ │服│□对公民、法人和其他组织的合法权益造成严重损害 │□第二级│ │务│□对社会秩序和公共利益造成损害 │ │ │保├──────────────────────────────────────┼────┤ │护│□对社会秩序和公共利益造成严重损害 │□第三级│ │等│□对国家安全造成损害 │ │ │ ├──────────────────────────────────────┼────┤ │ │□对社会秩序和公共利益造成特别严重损害 │□第四级│ │ │□对国家安全造成严重损害 │ │ │ ├──────────────────────────────────────┼────┤ │ │□对国家安全造成特别严重损害 │□第五级│ ├─┴────────────┬─────────────────────────┴────┤ │03信息系统安全保护等级 │□第一级 □第二级□第三级□第四级□第五级 │ ├──────────────┼──────────────────────────────┤ │04定级时间 │ 年 月 日 │ ├──────────────┼──────────────────────────────┤ │05专家评审情况 │□已评审 □未评审 │ ├──────────────┼──────────────────────────────┤ │06是否有主管部门 │□有 □无(如选择有请填下两项) │ │ │ │ ├──────────────┼──────────────────────────────┤ │07主管部门名称 │ │ ├──────────────┼──────────────────────────────┤ │08主管部门审批定级情况 │□已审批 □未审批 │ ├──────────────┼──────────────────────────────┤ │09系统定级报告 │□有 □无 附件名称 │ ├──────────────┴────────────┬─────────────────┤ │填表人: │填表日期: 年 月 日 │ └───────────────────────────┴─────────────────┘ 备案审核民警: 审核日期: 年 月 日
表四 ( / )第三级以上信息系统提交材料情况
┌──────────────┬──────────────────────────┐ │01系统拓扑结构及说明 │□有 □无 附件名称 │ ├──────────────┼──────────────────────────┤ │02 统安全组织机构及管理制 │ □有 □无 附件名称 │ │度 │ │ ├──────────────┼──────────────────────────┤ │03 统安全保护设施设计实施 │ □有 □无 附件名称 │ │方案或改建实施方案 │ │ ├──────────────┼──────────────────────────┤ │04系统使用的安全产品清单及 │ □有 □无 附件名称 │ │认证、销售许可证明 │ │ ├──────────────┼──────────────────────────┤ │05系统等级测评报告 │ □有 □无 附件名称 │ ├──────────────┼──────────────────────────┤ │06专家评审情况 │ □有 □无 附件名称 │ ├──────────────┼──────────────────────────┤ │07上级主管部门审批意见 │ □有 □无 附件名称 │ └──────────────┴──────────────────────────┘
附件5: 涉及国家秘密的信息系统分级保护备案表
┌─────────────┬──────────────────────────┐ │单位名称 │ │ ├─────────────┼──────────────────────────┤ │涉密信息系统名称 │ │ ├─────────────┼──────────────────────────┤ │系统密级(保护等级) │□ │ │ │ 秘密 □ 机密 □ 绝密 │ ├─────────────┼──────────────────────────┤ │系统联接范围 │□局域网 □城域网 □广域网(跨 个省或地) │ ├─────────────┼──────────────────────────┤ │系统安全域划分和安全域密级│□未划分安全域 │ │确定 │□划分安全域(共有 个,其中绝密级 个, │ │ │ 机密级 个,秘密级 个,内部级 个) │ ├─────────────┼──────────────────────────┤ │系统主要承建单位 │ │ ├─────────────┼──────────────────────────┤ │系统投入使用时间 │ │ ├─────────────┼──────────────────────────┤ │系统运行管理部门 │ │ ├─────────────┼──────────────────────────┤ │系统安全保密管理部门 │ │ ├─────────────┼──────────────────────────┤ │系统分级保护实施情况 │□已经实施 □正在实施 □计划 │ │ │ 年实施 │ └─────────────┴──────────────────────────┘ 填报日期: 年 月 日 填报单位:(盖章) 填表说明: 1.“系统密级”依据《涉及国家秘密的信息系统分级保护管理办法》和国家保密标准BMB17-2006确定。 2.涉密信息系统一般应划分安全域,同一系统内的不同安全域根据所处理信息的重要程度,可分别确定密级。 3.表中“□”项,确认划“√”。 4.填报多个涉密信息系统,可复印此表。 国家保密局制 |
