等级保护定级之备案！

一、定级概述

2007年7月26日，公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合发布《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号）。该通知为全国重要信息系统等级保护开展定级工作给出要求顶层设计。随后，2008 年6月19日国家标准发布《信息系统安全保护等级定级指南》（GB/T22240—2008），为全国定级工作给出方法指导。

1、定级范围

《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861 号）中明确指出了我国的重要信息系统定级范围。重要信息系统范围如下：

① 电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

② 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

③ 市（地）级以上党政机关的重要网站和办公信息系统。

④ 涉及国家秘密的信息系统。

2、定级工作主要内容

（1）开展信息系统基本情况的摸底调查

各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求，确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。

（2）初步确定安全保护等级

各信息系统主管部门和运营使用单位要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

（3）评审与审批

初步确定信息系统安全保护等级后，可以聘请专家进行评审。对拟确定为第四级以上信息系统的，由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级，形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。

（4）备案

根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》和辅助备案工具，持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，向当地设区的市级以上公安机关备案。

（5）备案管理

公安机关和国家保密工作部门负责受理备案并进行备案管理。信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全保护等级备案证明。发现不符合《信息安全等级保护管理办法》及有关标准的，应当通知备案单位予以纠正。发现定级不准的，应当通知运营使用单位或其主管部门重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。

（1）加强领导，落实保障

各地区、各部门要加强对本地区、本行业信息安全等级保护工作的组织领导，及时掌握工作进展情况，并可组织成立专家组，明确技术支持力量。信息系统运营使用单位要成立等级保护工作组，落实责任部门、责任人员和经费，保障定级工作顺利进行。

（2）明确责任，密切配合

定级工作由各级公安机关牵头，会同国家保密工作部门、国家密码管理部门和信息化领导小组办事机构共同组织实施。公安机关负责定级工作的监督、检查、指导；国家保密工作部门负责涉密系统定级工作的监督、检查、指导；国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导；信息化领导小组办事机构负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作，督促其落实定级工作各项任务。各信息系统运营使用单位依据《信息安全等级保护管理办法》和本通知要求，具体实施定级工作。

（3）动员部署，开展培训

各地区、各部门要按照统一部署广泛进行宣传动员，举办形式多样的培训班、研讨班等，层层培训。公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室对国家有关部委、各省级公安、保密、密码和信息化领导小组办事机构就《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》等内容进行培训。信息系统主管部门对所管辖的信息系统运营使用单位进行培训。各地参照上述培训模式开展培训工作。

（4）及时总结，提出建议

各地区、各部门要结合本地区、本行业开展定级工作的实际，认真总结经验和不足，提出改进和完善定级方法的意见和建议。各地区、各部门负责等级保护的领导机构要及时总结定级工作经验，形成定级工作总结报告，并及时报送公安部。

在通知中明确指出，在“此次定级工作完成后，请各主管部门、运营使用单位按照《信息安全等级保护管理办法》和有关技术标准，继续开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作”，同时要求“各级公安、保密、密码部门要开展等级保护工作的监督、检查和指导”。

二、如何理解定级对象

1、基本概念

定级工作开展之前，需要弄清楚下面几个基本概念：什么是定级对象？什么是重要信息系统破坏后影响的客体？客体造成侵害的客观方面是什么？

信息系统，是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

等级保护对象，是指信息安全等级保护工作直接作用的具体的信息和信息系统。

客体，是指受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。

客观方面，是指对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。

系统服务，是指信息系统为支撑其所承载业务而提供的程序化过程。

2、定级对象的基本特征

一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干较小的、可能具有不同安全保护等级的定级对象。

作为定级对象的信息系统应具有如下基本特征：

① 具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。

② 具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。

③ 承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。

3、定性对象的确定原则和方法

信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。具体工作中，通常按如下原则确定定级对象：

一是起支撑、传输作用的基础信息网络要作为定级对象。但不是将整个网络作为一个定级对象，而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。

二是专网、内网、外网等网络系统（包括网管系统）要作为定级对象。同基础信息网络一样，也不能将整个网络系统作为一个定级对象，而是要从安全管理和安全责任的角度将网络系统划分成若干个最小安全域或最小单元去定级。

三是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安全级别高，也要作为独立的定级对象。网站上运行的信息系统（如对社会服务的报名考试系统）也要作为独立的定级对象。

四是用于生产、调度、管理、作业、指挥、办公等目的的各类应用系统，要按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级。

五是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说，业务部门应主导对业务信息系统定级，运维部门（如信息中心、托管方）可以协助定级并按照业务部门的要求开展后续安全保护工作。

六是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件（如服务器、终端、网络设备等）作为定级对象。