信息系统安全等级保护定级备案).

信息系统安全等级保护定级备案)

∘ 一是以相对独立的应用系统为定级对象。 ∘ 二是确认负责定级的单位是否具有对所定级系统
的安全责任。 ∘ 三是确定定级对象的方法允许多种多样。
信息系统安全等级保护定级备案)
第三部分确定定级对象
确定定级对象举例
一、识别和描述定级对象
∘ 识别基本信息、管理框架、业务种类和业务流程、信息资产、网络结构、软硬件设备、用户类型和分布，描述单位基本信息。
受侵害的客体：
公民、法人和其他组织的合法权益；社会秩序、公共利益；三是国家安全。
对客体的侵害程度：
一般损害；严重损害；特别严重损害。
信息系统安全等级保护定级备案)
第四部分定级方法
业务信息安全和系统服务安全信息系统与之相关的受侵害客体和对客体的侵害程度可能不同，而信息系统安全包括业务信息安全和系统服务安全两方面，因此定级也应由这两方面决定。对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏。
客体侵害的客观方面-危害方式：
对信息安全的破坏：信息系统内信息的保密性、完整性和可用性。对信息系统服务的破坏：信息系统可以及时、有效地提供服务，以完成预定的业务目标。
信息系统安全等级保护定级备案)
第四部分定级方法
确定业务信息安全等级
业务信息安全被破坏时所侵害的客体
公民、法人和其他组织的合法权益
只有同时满足上述三个条件，才可由本单位对信息系统进行定级
信息系统安全等级保护定级备案)
第三部分确定定级对象
定级对象的确定方法：
从管理机构角度划分从业务类型角度划分从相同的物理位置和相似的运行环境划分
信息系统安全等级保护定级备案)
第三部分确定定级对象

信息安全等级保护备案

信息安全等级保护备案信息安全等级保护备案是指根据国家有关法律、法规和政策规定，对信息系统进行等级划分，并依据等级划分结果，按照规定的程序和要求进行备案的行为。

信息安全等级保护备案的目的是为了保障国家信息安全，保护国家重要信息基础设施和关键信息系统的安全，防范和抵御网络攻击，确保国家安全和社会稳定。

首先，信息安全等级保护备案的重要性不言而喻。

随着信息技术的不断发展和应用，信息系统的规模和复杂程度不断增加，信息安全问题也日益突出。

各种网络攻击、病毒威胁、信息泄露等安全事件层出不穷，给国家安全和社会稳定带来了严重的挑战。

因此，对信息系统进行等级保护备案，可以有效提升信息系统的安全防护能力，保障国家重要信息基础设施和关键信息系统的安全稳定运行。

其次，信息安全等级保护备案的基本原则包括科学性、合法性、有效性和可行性。

科学性是指等级划分和备案管理应当建立在科学的技术标准和方法基础之上，合理确定信息系统的安全等级；合法性是指备案管理应当遵循国家相关法律法规和政策规定，合法合规进行备案；有效性是指备案管理应当能够有效提升信息系统的安全防护能力，确保信息系统的安全稳定运行；可行性是指备案管理应当符合信息系统实际情况，具有一定的操作可行性。

再次，信息安全等级保护备案的具体内容包括等级划分、备案申报、备案审核等环节。

等级划分是指根据信息系统的安全需求和重要程度，科学合理地确定信息系统的安全等级；备案申报是指信息系统的责任单位依据等级划分结果，向相关主管部门提出备案申报；备案审核是指相关主管部门对备案申报进行审核，确保备案申报的合法合规性和有效性。

最后，信息安全等级保护备案的实施需要各方共同努力。

信息系统的责任单位应当充分认识信息安全等级保护备案的重要性，依法依规进行备案申报和备案管理；相关主管部门应当加强对信息安全等级保护备案的指导和监督，确保备案管理的科学性、合法性、有效性和可行性；社会各界应当增强信息安全意识，共同维护国家信息安全。

(五)信息安全等级保护备案实施细则(公信安[2007]1360号)

安全保护等级定级不准确，建议重新审核确定系安全保护等级定级不准确，建议重新审核确定系安全保护等级定级不准确，建议重新审核确定系
— 8 —
（备案证明背版）注意事项： 1、备案单位备案后应当依据信息系统所定安全保护等级，按照《信息安全等级保护管理办法》中规定的技术标准和管理规范建设安全设施，落实安全保护措施。 2、备案事项发生变更时，备案单位应当自变更之日起三十日内将变更情况报公安机关公共信息网络安全监察部门重新备案。 3、本备案证由信息系统运营使用单位或其主管部门保管，公安机关监督检查时应主动出示本证。
门应当及时将备案文件录入到数据库管理系统，并定期逐级上传《备案表》中表一、表二、表三内容的电子数据。上传时间为每季度的第一天。受理备案的公安机关公共信息网络安全监察部门应当建立管理制度，对备案材料按照等级进行严格管理，严格遵守保密制度，未经批准不得对外提供查询。第十五条公安机关公共信息网络安全监察部门受理备案
二〇〇七年十月二十六日
— 1 —
信息安全等级保护备案实施细则
第一条为加强和指导信息安全等级保护备案工作，规范备案受理、审核和管理等工作，根据《信息安全等级保护管理办法》制定本实施细则。第二条本细则适用于非涉及国家秘密的第二级以上信息系统的备案。第三条地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。隶属于省级的备案单位，其跨地（市）联网运行的信息系统，由省级公安机关公共信息网络安全监察部门受理备案。第四条隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。隶属于中央的非在京单位的信息系统，由当地省级公安机关公共信息网络安全监察部门（或其指定的地市级公安机关公共信息网络安全监察部门）受理备案。跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统（包括由上级主管部门定级，在当地有应用的信息系统），由所在地地市级以上公安机关公共信息

信息系统定级、备案、专家评审流程【最新版】

信息系统定级、备案、专家评审流程一、系统定级请参考GAT 1389-2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级，定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成，其中一名应为等级保护高级测评师)，出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。

1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。

2、信息系统定级备案工作甲方可以自己独立完成，也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。

3、定级参考《GAT 1389-2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。

(附件1)4、等级保护对象的安全保护等级分为以下五级a)第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;b)第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;c)第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;e)第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

解读:县级重要的信息系统，地市级和省级的一般信息系统，这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统，这些系统都可以定为二级系统;●省级门户网站和地市级及以上重要的业务网站需要定为三级，地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统，管理系统需要定到三级，跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级，跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。

xx单位《信息系统安全等级保护定级报告》说明(备案时需提供两份原件)

XX单位《信息系统安全等级保护定级报告》（一式两份，多页盖骑缝章，定稿后红色提示字删除）一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的XX单位XX部门，说明本XX单位XX部门对信息系统具有信息安全保护责任，该信息系统为XX单位XX部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述；二、网络安全保护义务的责任落实按照《网络安全法》的相关要求，此次备案的XX系统的网络安全保护义务由XX单位履行，日常网络安全工作由我单位XX部门负责落实，XX部门负责人（姓名、身份证号码）为直接负责的主管人员。

三、XXX信息系统安全保护等级确定（定级方法参见GA/T 1389—2017信息安全技术网络安全等级保护定级指南）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

网络安全等级保护之信息系统定级备案工作方案

网络安全等级保护之信息系统定级备案工作方案一、信息系统安全保护等级的划分与保护（一）信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。

定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号）要求执行。

各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统的安全保护等级。

同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，对信息系统进行保护。

在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。

由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，因此，国家必然要对重要信息系统的安全进行监管。

（二）信息系统安全保护等级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的二、定级工作的主要步骤信息系统定级是等级保护工作的首要环节和关键环节，是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。

这里先明确一个概念，信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。

信息系统安全级别定级不准，系统备案、建设整改、等级测评等后续工作都会失去基础，信息系统安全就没有保证。

信息安全等级保护定级和备案

在信息系统安全保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见
对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审，出具评审意见。
三、信息系统安全保护等级的确定
定级工作步骤
第四步：信息系统等级的最终确定与审批信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成《定级报告》。如果专家评审意见与运营使用单位意见不一致时，由运营使用单位自主决定系统等级。信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准。
公民、法人和其他组织的合法权益
社会秩序、公共利益
对相应客体的侵害程度一般损害严重损害
第一级
第二级
第二级
第三级
特别严重损害
第二级
第四级
国家安全
第三级
第四级第五级
三、信息系统安全保护等级的确定
对相应客体的侵害程度
系统服务安全被破坏时
所侵害的客体
一般损害
严重损害特别严重损害
公民、法人和其他组织第一级的合法权益
不同危害后果的三种危害程度描述如下：一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。
三、信息系统安全保护等级的确定
严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。
定级实例2
对相应客体的侵害程度
业务信息安全被破坏时所
侵害的客体

信息系统安全等级保护定级备案).