信息系统定年级与备案工作介绍
信息系统备案与审批流程
信息系统备案与审批流程信息系统是现代社会中不可或缺的一部分,它在政府、企事业单位、学校等各个领域都扮演着重要的角色。
为了保护信息系统的稳定、安全和可信度,我国实施了严格的信息系统备案与审批流程。
本文将介绍信息系统备案的意义、备案的流程以及审批的过程,以帮助读者更好地理解和遵守相关规定。
一、信息系统备案的意义信息系统备案是指政府、企事业单位、学校等组织部门对其所拥有或使用的信息系统进行登记备案的过程。
它的意义主要体现在以下几个方面:1.保护国家安全:信息系统备案可以确保政府部门和相关机构对所涉及的信息系统有所掌控,防止非法侵入、恶意攻击和泄露敏感信息等安全问题的发生,维护国家的信息安全和社会稳定。
2.规范信息系统建设:备案要求组织部门在信息系统建设之前进行备案申请,需提供相关信息和文件,这就迫使组织部门在建设之前进行充分的思考和准备工作,有助于避免过度投入、低效建设等问题。
3.提升信息系统管理水平:备案要求组织部门在备案申请过程中对信息系统的功能、数据源、漏洞修复等方面进行详细描述,这有助于组织部门加强对信息系统的管理和维护,提升工作效率和信息处理能力。
二、信息系统备案流程信息系统备案的流程包含申请备案、提交材料、初审、现场核查和备案登记等环节。
具体如下:1.申请备案:组织部门需要向相关管理机构提出备案申请,并提交备案表格和所需的材料。
备案表格通常包括系统名称、功能描述、系统规模、所属部门等基本信息。
2.提交材料:组织部门需要准备相关材料,如系统设计文档、安全评估报告、数据流程图等,以证明信息系统的安全性和可操作性。
3.初审:管理机构对提交的备案申请和材料进行初步审查,确认申请是否符合相关规定和要求。
如发现问题,会及时向组织部门提出补正意见。
4.现场核查:管理机构会对组织部门的信息系统进行实地核查,主要检查系统的配置、安全措施、数据保护措施等情况,以保证系统的安全性和可用性。
5.备案登记:经过初审和现场核查合格后,管理机构会为组织部门颁发备案证书,并将相关信息录入备案系统中,供其他部门查询和参考。
网络安全等级保护之信息系统定级备案工作方案
网络安全等级保护之信息系统定级备案工作方案一、项目背景二、目标1.确保信息系统按照国家标准进行等级核定,并备案报送;2.确保信息系统经过定级备案后,按照相应的等级要求进行安全防护;3.确保信息系统运维人员了解并遵守相关标准和法律法规,提高信息系统的安全防护能力。
三、工作内容和流程1.初步准备阶段1.1研究和了解相关标准和规定,形成备案工作方案;1.2确定备案工作的责任部门和责任人;1.3建立备案工作的组织架构和工作流程。
2.信息收集阶段2.1定期向各部门和单位征集信息系统的基本情况、系统架构、业务功能等信息;2.2对收集到的信息进行初步分类和筛选;2.3与各部门和单位进行沟通和协商,明确信息系统的等级需求。
3.系统定级阶段3.1根据收集到的信息,确定信息系统的安全等级;3.2编制信息系统的安全等级评估和定级报告;3.3将评估和定级报告提交相关部门进行审核。
4.备案报送阶段4.1编制信息系统备案申请表;4.2部门负责人审核备案申请表;4.3将备案申请表和评估报告报送至上级部门进行审批;4.4上级部门审核通过后,将备案信息编入国家信息系统备案库。
5.安全防护阶段5.1依据信息系统的安全等级要求,对系统进行相应的安全防护措施布置;5.2组织相关人员进行安全培训,提高其安全防护意识和能力;5.3定期对信息系统进行安全漏洞扫描和漏洞修复;5.4对重要信息系统进行安全监控和事件响应。
6.定期评估和改进阶段6.1根据相关要求,定期对已备案的信息系统进行安全评估;6.2针对评估结果进行安全改进;6.3定期进行网络安全演练和应急演练;6.4根据运行情况和演练结果,不断完善和提高信息系统的安全性。
四、人员要求和资源保障1.确保备案工作的顺利进行,需要具备以下人员:1.1项目经理:负责制定备案工作方案、筹备备案工作、协调相关部门和单位;1.2技术专家:负责信息系统的定级评估和安全防护措施的布置;1.3运维人员:负责信息系统的运维和安全防护;1.4法务人员:负责信息安全法律法规的解释和合规性审查。
信息系统定级与备案工作介绍
信息系统定级与备案工作介绍本文主要介绍信息系统安全保护等级的确定,定级工作的流程和要求,备案工作的流程和要求等。
一、信息系统安全保护等级的划分与保护(一)信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。
定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)要求执行。
各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。
同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,对信息系统进行保护。
在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。
运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。
由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此,国家必然要对重要信息系统的安全进行监管。
(二)信息系统安全保护等级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为五级,从第一级到第五级逐级增高。
(三)信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
1.受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。
定级备案与等级保护
目录
一、等级保护 二、定级备案 三、符合性评测 四、风险评估
五、等级保护日常工作常见问题
等保定义
▪ 等级保护:是指对全国的信息系统(包括网络)按照重要性和受破坏后的危 害性分成五个安全保护等级,实行分等级的防护标准。信息系统的安全保护 等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信 息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他 组织的合法权益的危害程度等因素确定。
例如: ➢ 中国移动 某省分公司某市 移动通信网电路域本地网 核心交换网(第一部分),
网络单元全称为“中国移动辽宁省分公司大连市移动通信网电路域本地网核心 交换网(第一部分)”;
定级报告内容
XXX(网络/系统名称)定级报告
一、概述 此部分简单说明定级对象的涵盖范围。 二、基本情况 此部分应简单描述定级对象相关的如下内容: 1、管理信息(包含组织管理结构及其主要职能等内容); 2、技术信息(包含物理环境、网络拓扑结构、硬件设备的部署情况、业务/应用范围、
具体材料如下:
1、《信息系统安全等级保护备案表》(以下简称《备案表》),纸质材料,一式两份。 包括:《单位基本情况》(表一)、《信息系统情况》(表二)、《信息系统定级情况》 (表三)和《第三级以上信息系统提交材料情况》(表四)。第二级以上信息系统备案 时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评 完成后30日内提交《备案表》表四及其有关材料。
▪ 定级、备案、安全建设整改、等级测评和检查是等级保护规定的五个动作。
等级划分
安全等级
第1级 自主保护级
描述
适用于一般的信息系统,其受到破坏后,会对公 民、法人和其它组织的合法权益造成损害,但不 损害国家安全、社会秩序和公共利益。
信息安全等级保护制度的主要内容和工作要求
码部门监管,造成信息系统出现重大安全事故的,要追 究单位和人员的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系
近几年,公安部根据国务院147号令的授
权,会同国家保密局、国家密码管理局、发
改委、原国务院信息办出台了一些文件,公
安部和省厅对有些具体工作出台了一些指导 意见和规范,构成了信息安全等级保护政策 体系。 汇集成《信息安全等级保护工作汇 编》供有关单位、部门使用。
信息安全等级保护制度的
主要内容和工作要求
目
录
一、信息安全等级保护制度的主要内容 二、信息安全等级保护政策、标准体系 三、等级保护工作的具体内容和工作要求
一、等级保护制度的主要内容
(一)国家为什么要实施信息安全等级保 护制度
1.信息安全形势严峻
◆敌对势力的入侵、攻击、破坏
◆针对基础信息网络和重要信息系统的违法犯 罪持续上升 ◆基础信息网络和重要信息系统安全隐患严重
(三)等级保护制度的地位和作用
是国家信息安全保障工作的基本制度、基
本国策。
是开展信息安全工作的基本办法。 是促进国家信息化、维护国家信息安全 的
根本保障。
一、等级保护制度的主要内容
(四)实施等级保护制度的主要目的
◆明确重点、突出重点、保护重点 ◆有利于同步建设、协调发展。
◆
优化信息安全资源的配置。
一、等级保护制度的主要内容
2、《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)规 定:要重点保护基础信息网络和关系国家 安全、经济命脉、社会稳定等方面的重要 信息系统,抓紧建立信息安全等级保护制
度,制定信息安全等级保护的管理办法和
网站定级备案流程
网站定级备案流程网站定级备案流程包括:确定定级对象、确定信息系统级别、确定系统服务等级、确定业务信息等级、确定信息系统级别、专家评审与审批、主管单位审批。
1、确定定级对象各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求确定定级对象。
2、确定信息系统级别各信息系统主管部门和运营使用单位要按照《管理办法》和《定级指南》,初步确定定级对象的安全保护等级。
3、确定系统服务等级系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。
系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定。
4、确定业务信息等级业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等。
业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
5、确定信息系统级别SAG的级别,其中S为业务信息等级,A为系统服务等级,G取两者中大的。
6、专家评审与审批《信息安全等级保护管理办法》第十条信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。
有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
初步确定信息系统安全保护等级后,可以聘请专家进行评审。
信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报上级行业主管部门审批同意。
7、主管单位审批没有主管单位的,或者感觉系统就是自己用不需要主管单位批准的完全可以省略这一步。
目前大部分的主管单位其实不想掺合各下属单位定级备案,怕负责任吧。
信息系统定级报告模板及备案表
附件1:《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。
从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织—9 —的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全保护等级的确定—10 —信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。
信息系统定级、备案、专家评审流程【最新版】
信息系统定级、备案、专家评审流程一、系统定级请参考GAT 1389-2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。
1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。
2、信息系统定级备案工作甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。
3、定级参考《GAT 1389-2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。
(附件1)4、等级保护对象的安全保护等级分为以下五级a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
解读:县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;●省级门户网站和地市级及以上重要的业务网站需要定为三级,地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。
信息系统定级备案
信息系统定级备案1. 引言信息系统定级备案是指根据国家相关法律法规的要求,将信息系统按照一定的等级进行备案,以保证信息系统的安全性和可靠性。
本文将介绍信息系统定级备案的概念、目的、流程和注意事项。
2. 概念信息系统定级备案是指对信息系统进行等级评定,并在相关管理部门进行备案登记的过程。
信息系统的等级评定是根据信息系统的重要性和风险程度进行评估,以确定相应的保护要求和措施。
3. 目的信息系统定级备案的目的是保护国家信息安全,防止信息系统遭受各种安全威胁和风险,确保信息系统的正常运行和有效使用。
通过定级备案,可以明确信息系统的安全需求,为后续的安全保护工作提供依据。
4. 流程信息系统定级备案的流程主要包括申请、评估和备案三个步骤。
4.1 申请申请者需要填写相应的信息系统定级备案申请表格,并提供相关证明材料,包括信息系统的用途、功能、架构、关键技术及安全防护措施等。
申请表格通常包括以下内容:•申请人信息:申请人的名称、地址、联系方式等;•信息系统基本情况:信息系统的名称、用途、功能、所属部门等;•信息系统安全控制措施:信息系统的安全防护措施、关键技术等;•信息系统风险评估:对信息系统的风险进行评估,包括系统漏洞、恶意代码、物理安全等方面的风险。
4.2 评估评估由相关管理部门进行,主要是对申请的信息系统进行安全风险评估和等级评定。
评估的内容包括:•安全风险评估:对信息系统的安全风险进行评估,包括系统漏洞、数据泄露、恶意攻击等;•等级评定:根据评估结果,对信息系统进行等级评定,通常包括一级、二级、三级等不同等级。
4.3 备案备案是指将评估通过的信息系统进行登记备案,并颁发备案证书。
备案证书包括以下内容:•备案单位信息:备案单位的名称、地址、联系方式等;•信息系统信息:备案的信息系统的名称、等级、备案编号等;•备案日期:备案的时间。
5. 注意事项在进行信息系统定级备案时,需要注意以下事项:•提前准备:申请者需要提前准备好申请所需的材料,确保信息的真实性和完整性;•安全控制要求:申请者需要了解并满足相关的安全控制要求,确保信息系统的安全性;•保密性要求:备案单位需要对备案信息进行保密,防止泄露。
网络安全等级保护工作中的定级与备案
信息安全• Information Security192 •电子技术与软件工程 Electronic Technology & Software Engineering【关键词】信息安全 定级 备案1 定级备案主要流程根据《信息安全等级保护管理办法》规定,等级保护工作主要分为五个环节,分别是定级、备案、建设整改、等级测评和监督检查。
其中网络安全等级保护工作的首要环节为定级备案,对于未备案项目,应各网络运行者应确认系统的级别然后去公安机关备案,定级工作应按照“网络运营者拟定网络安全保护等级、专家评审、主管部门核准、公安机关审核”的原则进行,公安机关审核通过后会下发通过的备案审批号。
对于已备案项目,只要确认系统的级别、备案号、备案材料即可。
相关流程图如图1所示。
2 定级2.1 定级对象网络运营者开展网络定级之前,首先需要梳理信息系统的信息,包括识别系统的数量、边界和范围等,需要说明的是:个人、家庭组建的网络和使用的计算机不在等级保护范围内。
那么如何科学、合理地确定定级对象呢,网络运营者或主管部门可参考下列情况来确定定级对象。
(1)各单位的各类业务系统,主要用于生产、调度、管理、作业、指挥、办公、邮件等目的;(2)各单位的各类网站(如门户网站,OA 管理网站,电子商务网站等),另外安全级别高的网站后台管理系统,也应作为独立的定级对象;(3)云计算平台,物联网信息系统也需作为独立的定级对象来进行备案。
需特别注意的是,作为定级对象的网络、网络安全等级保护工作中的定级与备案文/徐佳瑾1,2 刘刚1,2信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
不应将某个单一的系统组件(例如服务器、终端、网络设备等)作为定级对象;2.2 定级级别建议定级对象收到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
确定受侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
信息系统安全等级保护定级备案讲义
信息系统安全等级保护定级备案讲义一、背景信息系统安全等级保护是国家对信息系统按照其重要性、功能和业务特点进行的定级管理,是保障信息系统安全的重要手段。
信息系统安全等级保护定级备案工作是加强对关键信息基础设施、重要信息系统和网络的管理和监督,确保信息系统安全的有效途径。
此讲义旨在介绍信息系统安全等级保护定级备案的相关内容和流程。
二、信息系统安全等级保护定级备案的目的1. 统一管理信息系统安全等级保护工作,保障国家信息安全。
2. 加强对高危信息系统的监管和管理,防范信息泄露和攻击。
3. 促进相关单位对信息系统的安全保护意识,提高信息系统安全等级保护水平。
三、信息系统安全等级保护定级备案的程序1. 申报阶段:申报单位应向国家有关部门提交信息系统安全等级保护定级备案申请材料,包括申请表、系统功能介绍、安全风险评估等。
2. 审核阶段:国家有关部门对申报材料进行审核,评估系统的功能和安全风险等级,确定系统的安全等级。
3. 备案阶段:国家有关部门对审核通过的信息系统进行备案登记,颁发安全等级保护证书。
4. 监督检查阶段:国家有关部门进行定期的监督检查,确保信息系统安全等级保护工作的有效执行。
四、信息系统安全等级保护定级备案的要求1. 申报单位应真实提供信息系统的相关资料,确保信息系统安全等级的准确性。
2. 国家有关部门应严格依据相关标准和规定进行审核和备案,确保信息系统的安全等级评定公正客观。
3. 申报单位应加强信息系统的安全防护意识,定期进行安全漏洞的检测和修复,防范信息系统安全事件的发生。
五、信息系统安全等级保护定级备案的意义1. 保障国家的信息安全和网络安全。
2. 促进信息系统安全等级保护工作的深入开展。
3. 提高信息系统的安全等级和防护水平,减少信息系统安全风险。
六、结语信息系统安全等级保护定级备案工作是国家对关键信息基础设施、重要信息系统和网络进行管理和监督的重要举措。
希望各相关单位严格执行相关制度和规定,加强信息系统的安全防护工作,确保信息系统安全等级的准确性和有效性。
信息系统安全等级保护定级--备案--测评流程图
信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
信息安全等级保护工作方案(二篇)
信息安全等级保护工作方案一、工作内容一是开展信息系统定级备案工作。
1.开展政府网站定级备案。
根据去年重点单位调查摸底情况,全市尚有___余个各类信息系统未开展等级保护工作,其中包括大量政府网站(指党政机关门户网站),鉴于政府网站近年来网络安全事件频发,需及时落实各项安全技术措施。
全市党政机关必须在规定时间内开展门户网站定级备案工作,并于___月底前向公安网警部门提交《信息系统安全等级保护定级报告》(简称定级报告),《信息系统安全等级保护备案表》、《涉及国家___的信息系统分级保护备案表》(简称备案表)(模板见附件),定级报告、备案表完成后请单位盖章后一式二份送至市公安局网警大队。
2.开展其他信息系统定级备案。
除网站外,各单位其他信息系统也可一并开展定级备案工作,提交时间可适当放宽。
二是开展信息系统安全测评工作。
1.有政府网站且定二级以上的单位,必须在___月底前开展网站等级保护安全测评,并根据测评结果及时落实整改建设,切实保障网站安全运行。
2.各单位其他已定二级以上信息系统争取明年完成等级保护安全测评,若今年有条件的也可一并开展。
3.等级保护安全测评须由获得相关资质且在当地备案的专业测评机构开展。
目前,拟由市政府采购中心会同市等保办从已在备案的测评机构中通过法定方式选定若干家,确定后于___月底下发具体___,各单位可直接从中选择开展测评工作。
三是开展等级保护安全培训(时间:半年一次)要依托等保小组定期邀请专业测评公司技术人员开展信息安全知识培训,进一步普及等保知识,提高信息系统使用单位各级责任人的安全意识和专业水平。
四是实行等保例会和通报制度(时间:每季一次)。
市等保小组成员单位要定期召开等保工作会议,分析总结当前工作开展情况及存在问题,特别是对上述工作开展进度情况定期在全市范围予以通报。
二、系统定级建议根据信息系统定级标准结合其他县市经验做法,对信息系统的分类定级作如下建议,供各信息系统使用单位参考,定级标准可查阅《信息系统安全保护等级定级指南》(GB/T2240-___)。
信息系统定级与备案工作介绍
信息系统定级与备案工作介绍本文主要介绍信息系统安全保护等级的确定,定级工作的流程和要求,备案工作的流程和要求等。
一、信息系统安全保护等级的划分与保护(一)信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。
定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)要求执行。
各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。
同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,对信息系统进行保护。
在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。
运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。
由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此,国家必然要对重要信息系统的安全进行监管。
(二)信息系统安全保护等级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为五级,从第一级到第五级逐级增高。
(三)信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
1.受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。
03-2-信息系统定级与备案案例介绍及常见问题解析
18
教育部教湖育北管理教信育息信中心息信化息发安全展测中评心部
二、等级保护工作常见问题解析
误区7:“我们已经把学校的门户网 站和我们管辖的信息系统定级备案 了,其他信息系统不归我们管”
✓定级不全 ✓认识不够
2021/4/9
19
教育部教湖育北管理教信育息信中心息信化息发安全展测中评心部
二、等级保护工作常见问题解析
2021/4/9
7
教育部教湖育北管理教信育息信中心息信化息发安全展测中评心部
二、等级保护工作常见问题解析
问题2:开展等级保护工作对运营使 用单位意味着什么?
✓合规 ✓免责 ✓从法律层面保护信息系统 ✓安全建设可操作性 ✓切实提高信息系统安全防护能力
2021/4/9
8
教育部教湖育北管理教信育息信中心息信化息发安全展测中评心部
2021/4/9
15
教育部教湖育北管理教信育息信中心息信化息发安全展测中评心部
二、等级保护工作常见问题解析
误区4: “我单位就两个信息系 统,一个对外,一个对内”
✓定级对象不明确 ✓认识不够
2021/4/9
16
教育部教湖育北管理教信育息信中心息信化息发安全展测中评心部
二、等级保护工作常见问题解析
2021/4/9
31
教育部教湖育北管理教信育息信中心息信化息发安全展测中评心部
四、信息安全测评中心介绍——咨询服务案例
❖风险评估(含渗透测试)
▪ 学生体质健康网系统
• 《教育部学生体质健康网系统评估报告》 • 《教育部学生体质健康数据上报系统渗透测试报告》
▪ 留学生报到登记系统
• 《留学生报到登记系统评估报告》 • 《留学生报到登记系统渗透测试报告》
重要信息系统定级工作有关具体问题说明
二、等级保护定级备案工作的具体内容和要求 1. 确定定级对象 • 起支撑、传输作用的信息网络(包括专网 、内网、外网、网管系统)。 • 用于生产、调度、管理、指挥、作业、控 制、办公等目的的各类业务系统 。 • 各单位网站。
二、等级保护定级备案工作的具体内容和要求
2.确定信息系统安全保护等级
《管理办法》规定的五个等级: • 第一级,信息系统受到破坏后,会对公民、法 人和其他组织的合法权益造成损害,但不损害 国家安全、社会秩序和公共利益。 • 第二级,信息系统受到破坏后,会对公民、法 人和其他组织的合法权益产生严重损害,或者 对社会秩序和公共利益造成损害,但不损害国 家安全。
二、等级保护定级备案工作的具体内容和要求
• 隶属于中央的在京单位,其跨省或者全国 统一联网运行并由主管部门统一定级的信 息系统,由主管部门向公安部备案;其他 信息系统向北京市公安局备案。 • 跨省或者全国统一联网运行的信息系统在 各地运行、应用的分支系统,应当向当地 设区的市级以上公安机关备案。 • 各部委统一定级信息系统在各地的分支系 统,即使是上级主管部门定级的,也要到 当地公安网络安全保卫部门备案。
(一)信息安全等级保护政策体系 基础标准: 《计算机信息系统安全保护等级划分准则 》。 在此基础上制定出技术类、管理类、 产品类标准。 安全要求: 《信息系统安全等级保护基本要求》 信息系统安全等级保护的行业规范
信息系统备案与登记
信息系统备案与登记随着信息技术的飞速发展,信息系统已经成为现代社会重要的基础设施之一。
为了确保信息系统的安全性、可靠性和合法性,各国纷纷出台了相关法律法规,并建立了信息系统备案与登记制度。
本文将介绍信息系统备案与登记的概念、目的和流程,以及在实际操作中需要注意的事项。
一、概念信息系统备案与登记是指依据国家相关法律法规,对合规的信息系统进行备案登记,并颁发相应的备案证书。
信息系统备案与登记旨在对信息系统的建设、运维和使用等方面进行管理和监督,确保信息系统符合国家的法律法规要求,保障国家信息安全。
二、目的信息系统备案与登记的目的主要有以下几个方面:1. 维护信息安全:通过备案与登记,可以对信息系统进行全面审查和监督,防止违法违规的行为,维护信息安全和国家利益。
2. 规范信息系统管理:备案与登记要求信息系统的设计、开发、维护和使用都要符合国家相关法律法规的要求,有利于规范信息系统管理,提高管理水平和效益。
3. 提升信息系统服务质量:备案与登记制度可以促使信息系统提供商和用户加强沟通,充分了解用户需求,并提供更可靠、高效的信息系统解决方案,提升服务质量和用户满意度。
三、流程信息系统备案与登记的流程通常包括以下几个环节:1. 准备备案材料:备案申请人首先需要准备好备案所需的相关材料,包括信息系统的技术规格、安全保障措施、使用用途、安装地址等信息。
2. 提交备案申请:备案申请人将准备好的备案材料提交给备案管理部门,通常可以通过在线平台进行备案申请。
3. 审核备案材料:备案管理部门对申请材料进行审核,包括技术方案的合规性、安全保障措施的可行性等。
4. 现场审核:备案管理部门会对备案申请人的信息系统进行现场审核,核实备案材料中的相关信息。
5. 颁发备案证书:经过审核合格后,备案管理部门会颁发备案证书,正式完成信息系统的备案与登记。
四、注意事项在进行信息系统备案与登记时,需要注意以下事项:1. 必须合法合规:信息系统备案与登记要求所有相关操作都要合法合规,包括信息的采集、传输、处理、存储等环节。
等保2.0信息系统定级-备案-专家评审流程
等保2.0信息系统定级、备案、专家评审流程一.系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。
1、安全专家解读:(1)等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。
(2)信息系统定级备案工作甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。
(3)定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。
(附件1)(4)等级保护对象的安全保护等级分为以下五级:a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
(5)定级范围:包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。
(6)以上信息确定好,根据甲方信息系统及机房实际情况,编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。
级备案到底有什么用你还不清楚?赶紧过来看!m
定级、备案是网络安全等级保护工作的初始环节,也是网络运营者开展等级保护工作的基础、关键,更是网络运营者履行等级保护义务的直接体现。
在日常工作中,我们发现少数单位、部门对网络系统定级、备案工作理解尚存在偏差,甚至出现网络系统遭受攻击,重要数据被窃取破坏后,因拿不出定级备案证明,致使公安机关无法判定该网络系统是否属于重要信息系统、关键信息基础设施的情况,一方面给公安机关立案侦查带来不便,另一方面导致网络运营者因未履行安全管理义务而被追责。
结合江苏等级保护工作实际,就如何认识、开展好定级备案工作与大家探讨。
误区1系统一旦定级,就要被公安机关等部门管来管去,太烦!在网络安全等级保护工作中,网络系统运营使用单位和主管部门应依照国家法律法规和标准规范,按照“谁主管谁负责,谁运营谁负责”的原则开展工作,承担网络安全主体责任。
鉴于重要网络系统,尤其是关键信息基础设施的安全运行不仅影响本行业、本单位的生产和工作秩序,更会影响国家安全、社会稳定、公共利益,因此,网络安全职能部门要对网络系统安全进行监管。
网络系统定级是等级保护工作的首要环节和关键环节,是开展系统备案、建设整改、等级测评、监督检查等工作的重要基础。
网络系统包括支撑、传输作用的基础信息网络设施和各类应用系统。
网络系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作都会失去基础,网络系统安全就没有保证。
误区2系统定级低点好,定高了承担责任太大!其实,网络系统的定级是有比较完备的参考依据,应当根据网络系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
在等级保护工作开展的这几年中,随着互联网的不断发展,网络系统也变得更加复杂,我们也在原有定级指南基础上,结合江苏实际细化了一些定级参考意见,而在国家层面,交通、电力等诸多行业也根据自身网络系统的特点,出台了更具针对性的定级指南,给网络运营者定级工作提供了指南。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统定级与备案工作介绍本文主要介绍信息系统安全保护等级的确定,定级工作的流程和要求,备案工作的流程和要求等。
一、信息系统安全保护等级的划分与保护(一)?信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。
定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861 号)要求执行。
各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。
同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,对信息系统进行保护。
在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。
运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。
由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此,国家必然要对重要信息系统的安全进行监管。
(二)? 信息系统安全保护等级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为五级,从第一级到第五级逐级增高。
(三)? 信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
1. 受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。
2. ? 对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度有三种:一是造成一般损害;二是造成严重损害;三是造成特别严重损害。
(四)?五级保护和监管信息系统运营、使用单位依据国家信息安全等级保护政策和相关技术标准对信息系统进行保护,国家信息安全监管部门对其信息安全等级保护工作进行监督管理。
定级要素与信息系统安全保护等级的关系如表1-1所示。
定级工作的主要步骤信息系统定级是等级保护工作的首要环节和关键环节,是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。
这里先明确一个概念,信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。
信息系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作都会失去基础,信息系统安全就没有保证。
定级工作可以按照下列步骤进行。
(一)?开展摸底调查按照《定级工作通知》确定的定级范围,各单位、各部门可以组织开展对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为下一步明确要求、落实责任奠定基础。
(二)?确定定级对象在全国重要信息系统安全等级保护定级工作(以下简称“定级工作”)中,如何科学、合理地确定定级对象是最关键的问题。
信息系统运营使用单位或主管部门按如下原则确定定级对象。
一是起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)要作为定级对象。
但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。
二是用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。
不能将某一类信息系统作为一个定级对象去定级。
三是各单位网站要作为独立的定级对象。
如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象。
网站上运行的信息系统(例如对社会服务的报名考试系统)也要作为独立的定级对象。
四是确认负责定级的单位是否对所定级系统负有业务主管责任。
也就是说,业务部门应主导对业务信息系统定级,运维部门(例如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。
五是具有信息系统的基本要素。
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。
例如,奥运网络主要包括,“奥组委办公外网”(承载自动化办公、场馆管理、电子邮件、物流、员工之家等16 项业务)、“奥组委内部办公局域网”(承载着财务管理、人事管理等3 项业务)、“奥运票务网” (票务网站和票务管理系统)、“奥运官方网站” (门户网站和后台数据处理系统)、“奥运互联网接入”、“竞赛网”等六个奥运信息系统。
确定奥组委办公外网、奥组委内部办公局域网、票务网站、票务管理系统、奥运官方网站和竞赛网为定级对象。
(三)? 初步确定信息系统等级可以按照下列要求确定信息系统等级:1. ? 定级责任主体。
各信息系统运营使用单位和主管部门是信息系统定级的责任主体。
2. ? 定级要素。
信息系统的安全保护等级由两个定级的要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
信息系统的安全保护等级是信息系统本身的客观自然属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法公益的危害程度为依据,确定信息系统的安全保护等级。
定级时应主要考虑信息系统破坏后对国家安全、社会稳定的影响,考虑境内外各种敌对势力、敌对分子针对重要信息系统入侵攻击破坏和窃取秘密等因素。
既要防止个别单位版面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。
3. 对各类系统定级的处理方法。
一是单位自建的信息系统(与上级单位无关),单位自主定级。
二是跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级。
其中:由各行业统一规划、统一建设、统一安全保护策略的全国联网系统,应由行业主管部门统一对下各级系统分别确定等级;由各行业统一规划、分级建设、全国联网的信息系统,应由部、省、地市分别确定系统等级,但各行业主管部门应对该系统提出定级意见,避免出现同类系统下级定级比上级高的现象。
对于该类系统的等级,下级确定后需报上级主管部门审批。
需特别注意的是:同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低,例如地市级的重要行业的重要系统不能定为一、二级。
4. 新建系统的定级工作对于新建系统,信息系统运营使用单位在规划设计时应确定信息系统安全保护等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。
有关信息系统安全保护等级确定的具体办法和要求见 1.3 节。
(四)? 信息系统等级评审信息系统运营使用单位或主管部门在初步确定信息系统安全保护等级后,为了保证定级合理、准确,可以聘请专家进行评审,并出具专家评审意见。
(五)? 信息系统等级的审批单位自建的信息系统(与上级单位无关),等级确定后,是否报上级主管部门审批,由各行业自行决定。
信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成《定级报告》。
如果专家评审意见与运营使用单位意见不一致时,由运营使用单位自主决定系统等级,信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。
主管部门一般是指行业的上级主管部门或监管部门。
如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。
(六)? 公安机关审核公安机关收到信息系统运营使用单位备案材料后,应对信息系统定级的准确性进行审核。
公安机关的审核是定级工作的最后一道防线,应予以高度重视,严格把关。
信息系统定级基本准确的,公安机关颁发由公安部统一监制的《信息系统安全等级保护备案证明》(以下简称《备案证明》)。
对于定级不准的,公安机关应向备案单位发整改通知,并建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。
备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。
三、如何确定信息系统安全保护等级(一)如何理解信息系统的五个安全保护等级信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级。
既要防止个别单位片面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。
信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级为标准,既不就高、不就低。
为了帮助信息系统运营使用单位准确确定信息系统安全保护等级,可以参考下列对五级的说明确定系统等级。
第一级信息系统:一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息统第二级信息系统:一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。
例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统:一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。
第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。
例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
第五级信息系统:一般适用于国家重要领域、重要部门中的极端重要系统。
(二)定级的一般流程信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。