中國保險監督管理委員會關于開展保險業信息系統安全等級保護定級工作的通知
- 2018年05月30日
- 15:00
- 來源:
- 作者:
中國保險監督管理委員會|保監廳發〔2007〕45號|2007-09-06發布|2007-09-06實施|現行有效
保監廳發〔2007〕45號
為貫徹落實國家信息安全等級保護制度,按照《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安〔2007〕861號)要求,中國保監會將在保險行業內開展信息系統安全等級保護定級工作。現將有關事項通知如下:
一、等級保護定級工作的要求及組織方式
各單位應按照“準確定級、嚴格審批、及時備案、認真整改、科學測評”的要求和“自主定級、自主保護”的工作原則,成立相應的領導及實施機構,結合本單位的實際情況,準確開展信息系統等級保護定級工作。
保監會成立等級保護定級工作領導小組,統一領導、解決保險行業信息安全等級保護定級工作中的重大問題;保監會等級保護定級工作領導小組下設辦公室,具體負責保監會機關信息系統等級保護定級的具體實施工作和行業定級工作的指導審核。
各保監局負責本局內獨立運行的信息系統等級保護定級工作,并對各自轄區內的保險公司分支機構的等級保護定級工作進行指導審核。
各保險集團公司、保險控股公司負責本公司信息系統等級保護定級工作以及其下屬子公司信息系統等級保護定級工作的組織協調和指導。各保險總公司統一部署本公司和分公司的信息系統等級保護定級工作。
二、定級工作安排及定級范圍
(一)定級工作安排
為穩妥做好等級保護定級工作,擬在保險行業內分步分批實施。
保險行業第一批定級單位包括:保監會及各保監局,中國保險行業協會,中國人民保險集團公司、中國人壽保險(集團)公司、中國再保險(集團)公司、中國出口信用保險公司、民生人壽保險股份有限公司、陽光保險控股股份有限公司、中國平安保險(集團)股份有限公司、中國太平洋(集團)股份有限公司及其下屬各子公司和分公司。
其余公司作為第二批定級單位(具體時間安排另行通知)。
(二)定級范圍
1、保險監管部門監管、辦公及網站等重要信息系統;保險公司和中國保險行業協會經營、管理、辦公等重要信息系統。(以下簡稱“重要信息系統”)
2、涉及國家秘密的信息系統(以下簡稱“涉密信息系統”)。
三、主要工作步驟
第一階段:自主定級(9月20日前完成)
各單位按要求成立相關定級實施機構,對本系統內的重要信息系統和涉密信息系統展開摸底調查,全面掌握信息網絡和信息系統的數量、分布、業務類型、系統結構、應用或服務范圍等基本情況,按照《信息安全等級保護管理辦法》(以下簡稱“《管理辦法》”,附件1)和《信息系統安全等級保護定級指南》(附件2)的要求,確定定級對象并初步確定保護等級,形成定級報告(報告模板見附件3)。
涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。
第二階段:審核(9月25日前完成)
各保監局將各自獨立運行的重要信息系統和涉密信息系統的定級報告報保監會審核。
各公司對本公司內的重要信息系統和涉密信息系統定級進行統一審核,對跨省聯網運行且由公司總部統一確定等級的,由總公司將重要信息系統和涉密信息系統的定級報告報保監會審核
(有集團或控股公司的,由集團或控股公司將定級報告統一報保監會審核);保險公司分公司將經過總公司審核的,且在分公司獨立運行的重要信息系統和涉密系統定級報告報當地保監局審核。
保險行業協會將所確定的重要信息系統和涉密信息系統的定級報告報保監會審核。
保監會及各保監局在接到定級報告審核文件后,對不符合要求的于5個工作日內要求其改正,審核通過者不再單獨答復。
第三階段:備案(9月30日前完成)
根據《管理辦法》,各單位定級報告通過保監會或保監局審核后,對重要信息系統安全等級確定為二級以上的信息系統應到公安部網站下載《信息系統安全等級保護備案表》(見附件4)和輔助備案工具,并持填寫的備案表和利用輔助備案工具生成的備案電子數據文件,到公安機關辦理備案手續(保險行業協會確定的信息系統、保險總公司統一定級的跨省聯網運營的信息系統,向公安部備案;保險公司分公司將總公司定級的跨省聯網在當地運行、應用的分支系統以及在當地分公司獨立運行的信息系統,向當地省級公安機關備案)。備案完成后,各級單位將備案證明復印件報相對應的保險監管機構存檔。
涉密信息系統建設使用單位依據《管理辦法》和國家保密局的有關規定,填寫《涉及國家秘密的信息系統分級保護備案表》(見附件5),按照屬地化管理原則,將所確定的涉密信息系統,報送相對應的保密部門備案。備案完成后,各級單位將備案證明復印件報相對應的保險監管機構存檔。
第四階段:總結工作(10月15日前完成)
各單位應對等級保護定級工作進行總結,并報保監會等級保護定級工作領導小組。保監會根據定級工作開展的情況和定級工作報告,總結工作經驗,研究并啟動第二批等級保護定級工作。
聯系
人:李春亮、王曉鵬
聯系電話:010
附件:1、信息安全等級保護管理辦法(略)
2、信息安全技術信息系統安全等級保護定級指南
3、信息系統安全等級保護定級報告
4、信息系統安全等級保護備案表
5、涉及國家秘密的信息系統分級保護備案表
二○○七年九月六日
附件2:信息安全技術信息系統安全等級保護定級指南(報批稿)
全國信息安全標準化技術委員會
前言
本標準由公安部和全國信息安全標準化技術委員會提出。
本標準由全國信息安全標準化技術委員會歸口。
本標準起草單位:
本標準主要起草人:
引言
依據《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)和《信息安全等級保護管理辦法》(公通字[2007]43號),制定本標準。
本標準是信息安全等級保護相關系列標準之一。
與本標準相關的系列標準包括:
BBBBB-BBBB信息系統安全等級保護基本要求;
CCCCC-CCCC信息系統安全等級保護實施指南;
DDDDD-DDDD信息系統安全等級保護測評準則。
本標準依據等級保護相關管理文件,從信息系統所承載的業務在國家安全、經濟建設、社會生活中的重要作用和業務對信息系統的依賴程度這兩方面,提出確定信息系統安全保護等級的方法。
信息系統安全等級保護定級指南
1范圍
本標準規定了信息系統安全等級保護的定級方法,適用于為信息系統安全等級保護的定級工作提供指導。
2規范性引用文件
下列文件中的條款通過在本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本標準,然而,鼓勵根據本標準達成協議的各方研究是否使用這些文件的最新版本。凡是不注明日期的引用文件,其最新版本適用于本標準。
5271.8信息技術
詞匯
第8部分:安全
計算機信息系統安全保護等級劃分準則
3術語和定義
5271.8和GB17859-1999確立的以及下列術語和定義適用于本標準。
3.1等級保護對象targetofclassifiedsecurity
信息安全等級保護工作直接作用的具體的信息和信息系統。
3.2客體object
受法律保護的、等級保護對象受到破壞時所侵害的社會關系,如國家安全、社會秩序、公共利益以及公民、法人或其他組織的合法權益。
3.3客觀方面objective
對客體造成侵害的客觀外在表現,包括侵害方式和侵害結果等。
系統服務
信息系統為支撐其所承載業務而提供的程序化過程。
4定級原理
4.1信息系統安全保護等級
根據等級保護相關管理文件,信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
4.2信息系統安全保護等級的定級要素
信息系統的安全保護等級由兩個定級要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。
受侵害的客體
等級保護對象受到破壞時所侵害的客體包括以下三個方面:
a)公民、法人和其他組織的合法權益;
b)社會秩序、公共利益;
c)國家安全。
對客體的侵害程度
對客體的侵害程度由客觀方面的不同外在表現綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現的,因此,對客體的侵害外在表現為對等級保護對象的破壞,通過危害方式、危害后果和危害程度加以描述。
等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種:
a)造成一般損害;
b)造成嚴重損害;
c)造成特別嚴重損害。
4.3定級要素與等級的關系
定級要素與信息系統安全保護等級的關系如表1所示。
表1
定級要素與安全保護等級的關系
對客體的侵害程度
受侵害的客體
一般損害嚴重損害特別嚴重損害
公民、法人和其他組織的合法權益第一級第二級第二級
社會秩序、公共利益第二級第三級第四級
國家安全第三級第四級第五級
5定級方法
5.1定級的一般流程
信息系統安全包括業務信息安全和系統服務安全,與之相關的受侵害客體和對客體的侵害程度可能不同,因此,信息系統定級也應由業務信息安全和系統服務安全兩方面確定。
從業務信息安全角度反映的信息系統安全保護等級稱業務信息安全保護等級。
從系統服務安全角度反映的信息系統安全保護等級稱系統服務安全保護等級。
確定信息系統安全保護等級的一般流程如下:
確定作為定級對象的信息系統;
確定業務信息安全受到破壞時所侵害的客體;
根據不同的受侵害客體,從多個方面綜合評定業務信息安全被破壞對客體的侵害程度;
依據表2,得到業務信息安全保護等級;
確定系統服務安全受到破壞時所侵害的客體;
根據不同的受侵害客體,從多個方面綜合評定系統服務安全被破壞對客體的侵害程度;
依據表3,得到系統服務安全保護等級;
將業務信息安全保護等級和系統服務安全保護等級的較高者確定為定級對象的安全保護等級。
上述步驟如圖1確定等級一般流程所示。
圖1
確定等級一般流程(略)
5.2確定定級對象
一個單位內運行的信息系統可能比較龐大,為了體現重要部分重點保護,有效控制信息安全建設成本,優化信息安全資源配置的等級保護原則,可將較大的信息系統劃分為若干個較小的、可能具有不同安全保護等級的定級對象。
作為定級對象的信息系統應具有如下基本特征:
具有唯一確定的安全責任單位
作為定級對象的信息系統應能夠唯一地確定其安全責任單位。如果一個單位的某個下級單位負責信息系統安全建設、運行維護等過程的全部安全責任,則這個下級單位可以成為信息系統的安全責任單位;如果一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任,則該信息系統的安全責任單位應是這些下級單位共同所屬的單位。
具有信息系統的基本要素
作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件,如服務器、終端、網絡設備等作為定級對象。
承載單一或相對獨立的業務應用
定級對象承載“單一”的業務應用是指該業務應用的業務流程獨立,且與其他業務應用沒有數據交換,且獨享所有信息處理設備。定級對象承載“相對獨立”的業務應用是指其業務應用的主要業務流程獨立,同時與其他業務應用有少量的數據交換,定級對象可能會與其他業務應用共享一些設備,尤其是網絡傳輸設備。
5.3確定受侵害的客體
定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權益。
侵害國家安全的事項包括以下方面:
影響國家政權穩固和國防實力;
影響國家統一、民族團結和社會安定;
影響國家對外活動中的政治、經濟利益;
影響國家重要的安全保衛工作;
影響國家經濟競爭力和科技實力;
其他影響國家安全的事項。
侵害社會秩序的事項包括以下方面:
影響國家機關社會管理和公共服務的工作秩序;
影響各種類型的經濟活動秩序;
影響各行業的科研、生產秩序;
影響公眾在法律約束和道德規范下的正常生活秩序等;
其他影響社會秩序的事項。
影響公共利益的事項包括以下方面:
影響社會成員使用公共設施;
影響社會成員獲取公開信息資源;
影響社會成員接受公共服務等方面;
其他影響公共利益的事項。
影響公民、法人和其他組織的合法權益是指由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。
確定作為定級對象的信息系統受到破壞后所侵害的客體時,應首先判斷是否侵害國家安全,然后判斷是否侵害社會秩序或公眾利益,最后判斷是否侵害公民、法人和其他組織的合法權益。
各行業可根據本行業業務特點,分析各類信息和各類信息系統與國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的關系,從而確定本行業各類信息和各類信息系統受到破壞時所侵害的客體。
5.4確定對客體的侵害程度
侵害的客觀方面
在客觀方面,對客體的侵害外在表現為對定級對象的破壞,其危害方式表現為對信息安全的破壞和對信息系統服務的破壞,其中信息安全是指確保信息系統內信息的保密性、完整性和可用性等,系統服務安全是指確保信息系統可以及時、有效地提供服務,以完成預定的業務目標。由于業務信息安全和系統服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同,在定級過程中,需要分別處理這兩種危害方式。
信息安全和系統服務安全受到破壞后,可能產生以下危害后果:
影響行使工作職能;
導致業務能力下降;
引起法律糾紛;
導致財產損失;
造成社會不良影響;
對其他組織和個人造成損失;
其他影響。
綜合判定侵害程度
侵害程度是客觀方面的不同外在表現的綜合體現,因此,應首先根據不同的受侵害客體、不同危害后果分別確定其危害程度。對不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同,例如系統服務安全被破壞導致業務能力下降的程度可以從信息系統服務覆蓋的區域范圍、用戶人數或業務量等不同方面確定,業務信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢復費用等方面進行確定。
在針對不同的受侵害客體進行侵害程度的判斷時,應參照以下不同的判別基準:
如果受侵害客體是公民、法人或其他組織的合法權益,則以本人或本單位的總體利益作為判斷侵害程度的基準;
如果受侵害客體是社會秩序、公共利益或國家安全,則應以整個行業或國家的總體利益作為判斷侵害程度的基準。
不同危害后果的三種危害程度描述如下:
一般損害:工作職能受到局部影響,業務能力有所降低但不影響主要功能的執行,出現較輕的法律問題,較低的財產損失,有限的社會不良影響,對其他組織和個人造成較低損害。
嚴重損害:工作職能受到嚴重影響,業務能力顯著下降且嚴重影響主要功能執行,出現較嚴重的法律問題,較高的財產損失,較大范圍的社會不良影響,對其他組織和個人造成較嚴重損害。
特別嚴重損害:工作職能受到特別嚴重影響或喪失行使能力,業務能力嚴重下降且或功能無法執行,出現極其嚴重的法律問題,極高的財產損失,大范圍的社會不良影響,對其他組織和個人造成非常嚴重損害。
信息安全和系統服務安全被破壞后對客體的侵害程度,由對不同危害結果的危害程度進行綜合評定得出。由于各行業信息系統所處理的信息種類和系統服務特點各不相同,信息安全和系統服務安全受到破壞后關注的危害結果、危害程度的計算方式均可能不同,各行業可根據本行業信息特點和系統服務特點,制定危害程度的綜合評定方法,并給出侵害不同客體造成一般損害、嚴重損害、特別嚴重損害的具體定義。
5.5確定定級對象的安全保護等級
根據業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度,依據表2業務信息安全保護等級矩陣表,即可得到業務信息安全保護等級。
表2
業務信息安全保護等級矩陣表
對相應客體的侵害程度
業務信息安全被破壞時所侵害的客
體一般損害嚴重損害特別嚴重損害
公民、法人和其他組織的合法權益第一級第二級第二級
社會秩序、公共利益第二級第三級第四級
國家安全第三級第四級第五級
根據系統服務安全被破壞時所侵害的客體以及對相應客體的侵害程度,依據表2系統服務安全保護等級矩陣表,即可得到系統服務安全保護等級。
表3
系統服務安全保護等級矩陣表
對相應客體的侵害程度
系統服務安全被破壞時所侵害的客
體一般損害嚴重損害特別嚴重損害
公民、法人和其他組織的合法權益第一級第二級第二級
社會秩序、公共利益第二級第三級第四級
國家安全第三級第四級第五級
作為定級對象的信息系統的安全保護等級由業務信息安全保護等級和系統服務安全保護等級的較高者決定。
6等級變更在信息系統的運行過程中,安全保護等級應隨著信息系統所處理的信息和業務狀態的變化進行適當的變更,尤其是當狀態變化可能導致業務信息安全或系統服務受到破壞后的受侵害客體和對客體的侵害程度有較大的變化,可能影響到系統的安全保護等級時,應根據本標準第5章給出的定級方法重新定級。
附件3:
信息系統安全等級保護定級報告
一、×××信息系統描述
簡述確定該系統為定級對象的理由。從三方面進行說明:一是描述承擔信息系統安全責任的相關單位或部門,說明本單位或部門對信息系統具有信息安全保護責任,該信息系統為本單位或部門的定級對象;二是該定級對象是否具有信息系統的基本要素,描述基本要素、系統網絡結構、系統邊界和邊界設備;三是該定級對象是否承載著單一或相對獨立的業務,業務情況描述。
二、×××信息系統安全保護等級確定
(定級方法參見國家標準《信息系統安全等級保護定級指南》)
(一)業務信息安全保護等級的確定
1、業務信息描述
描述信息系統處理的主要業務信息等。
2、業務信息受到破壞時所侵害客體的確定
說明信息受到破壞時侵害的客體是什么,即對三個客體(國家安全;社會秩序和公眾利益;公民、法人和其他組織的合法權益)中的哪些客體造成侵害。
3、信息受到破壞后對侵害客體的侵害程度的確定
說明信息受到破壞后,會對侵害客體造成什么程度的侵害,即說明是一般損害、嚴重損害還是特別嚴重損害。
4、業務信息安全等級的確定
依據信息受到破壞時所侵害的客體以及侵害程度,確定業務信息安全等級。
(二)系統服務安全保護等級的確定
1、系統服務描述
描述信息系統的服務范圍、服務對象等。
2、系統服務受到破壞時所侵害客體的確定
說明系統服務受到破壞時侵害的客體是什么,即對三個客體(國家安全;社會秩序和公眾利益;公民、法人和其他組織的合法權益)中的哪些客體造成侵害。
3、系統服務受到破壞后對侵害客體的侵害程度的確定
說明系統服務受到破壞后,會對侵害客體造成什么程度的侵害,即說明是一般損害、嚴重損害還是特別嚴重損害。
4、系統服務安全等級的確定
依據系統服務受到破壞時所侵害的客體以及侵害程度確定系統服務安全等級。
(三)安全保護等級的確定
信息系統的安全保護等級由業務信息安全等級和系統服務安全等級較高者決定,最終確定×××系統安全保護等級為第幾級。
信息系統名稱
安全保護等級
業務信息安全等級
系統服務安全等級
×××信息系統
附件4:
備案表編號:□□□□□□--□□□□□
信息系統安全等級保護備案表備案單
位:
(蓋章)
備案日
期:
受理備案單位:
(蓋章)
受理日
期:
中華人民共和國公安部監制
填表說明
一、
制表依據。根據《信息安全等級保護管理辦法》(公通字[2007]43號)之規定,制作本表;
二、
填表范圍。本表由第二級以上信息系統運營使用單位或主管部門(以下簡稱“備案單位”)填寫;本表由四張表單構成,表一為單位信息,每個填表單位填寫一張;表二為信息系統基本信息,表三為信息系統定級信息,表二、表三每個信息系統填寫一張;表四為第三級以上信息系統需要同時提交的內容,由每個第三級以上信息系統填寫一張,并在完成系統建設、整改、測評等工作,投入運行后三十日內向受理備案公安機關提交;表二、表三、表四可以復印使用;
三、
保存方式。本表一式二份,一份由備案單位保存,一份由受理備案公安機關存檔;
四、
本表中有選擇的地方請在選項左側“”劃“√”,如選擇“其他”,請在其后的橫線中注明詳細內容;
五、
封面中備案表編號(由受理備案的公安機關填寫并校驗):分兩部分共11位,第一部分6位,為受理備案公安機關代碼前六位(可參照行標GA380-2002)。第二部分5位,為受理備案的公安機關給出的備案單位的順序編號;
六、
封面中備案單位:是指負責運營使用信息系統的法人單位全稱;
七、
封面中受理備案單位:是指受理備案的公安機關公共信息網絡安全監察部門名稱。此項由受理備案的公安機關負責填寫并蓋章;
八、
表一04行政區劃代碼:是指備案單位所在的地(區、市、州、盟)行政區劃代碼;
九、
表一05單位負責人:是指主管本單位信息安全工作的領導;
十、
表一06責任部門:是指單位內負責信息系統安全工作的部門;
十一、
表一08隸屬關系:是指信息系統運營使用單位與上級行政機構的從屬關系,須按照單位隸屬關系代碼(GB/T12404―1997)填寫;
十二、
表二02系統編號:是由運營使用單位給出的本單位備案信息系統的編號;
十三、
表二05系統網絡平臺:是指系統所處的網絡環境和網絡構架情況;
十四、
表二07關鍵產品使用情況:國產品是指系統中該類產品的研制、生產單位是由中國公民、法人投資或者國家投資或者控股,在中華人民共和國境內具有獨立的法人資格,產品的核心技術、關鍵部件具有我國自主知識產權;
十五、
表二08系統采用服務情況:國內服務商是指服務機構在中華人民共和國境內注冊成立(港澳臺地區除外),由中國公民、法人或國家投資的企事業單位;
十六、
表三01、02、03項:填寫上述三項內容,確定信息系統安全保護等級時可參考《信息系統安全等級保護定級指南》,信息系統安全保護等級由業務信息安全等級和系統服務安全等級較高者決定。01、02項中每一個確定的級別所對應的損害客體及損害程度可多選;
十七、
表三06主管部門:是指對備案單位信息系統負領導責任的行政或業務主管單位或部門。部級單位此項可不填;
十八、
解釋:本表由公安部公共信息網絡安全監察局監制并負責解釋,未經允許,任何單位和個人不得對本表進行改動。
表一單位基本情況
01單位名稱
02單位地址
省(自治區、直轄市)地(區、市、州、盟)
縣(區、市、旗)
03郵政編碼04行政區劃代碼
05姓名職務/職稱
單位負責人
辦公電話電子郵件
06責任部門
07責任部門姓名職務/職稱
聯系人
辦公電話電子郵件
移動電話
08隸屬關系□
1中央□
2省(自治區、直轄市)
3地(區、市、州、盟)
4縣(區、市、旗)□
9其他
09單位類型□
1黨委機關
2政府機關
3事業單位
4企業□
9其他
10行業類別□
11電信
12廣電□
13經營性公眾互聯網
21鐵路
22銀行□
23海關
24稅務
25民航
26電力□
27證券
28保險
31國防科技工業
32公安□
33人事勞動和社會保障
34財政
35審計
36商業貿易□
37國土資源
38能源
39交通
統計□
41工商行政管理
42郵政
43教育
44文化□
45衛生
46農業
47水利
48外交□9發展改革
科技
51宣傳
52質量監督檢驗檢疫
99其他
11信息系統個
12第二級信息系統數個13第三級信息系統數個
14第四級信息系統數個15第五級信息系統數個
表二(
)信息系統情況
系統名稱
系統編號
03業□1生產作業□2指揮調度□3管理控制□4內部辦公
務□5公眾服務□9其他載
業業
務務
情描
況述
04服□1□全國
□11跨省(區、市)
系務跨個
統范□2□全省(區、市)
□21跨地(市、區)
服圍跨個
務□3□地(市、區)內
情□99其它況
服□1單位內部人員
□2社會公眾人員□3兩者均包括
□9其他務對象
05覆□1局域網
□2城域網□3廣域網
□9其他蓋
系范
統圍網
絡網□1業務專網
□2互聯網□9其它
平絡
臺性質系
□1與其他行業系統連接□2與本行業其他單位系統連接
統互聯□3與本單位其他系統連接□9其它
情況關
序產
數量
使用國產品率
鍵產品號品
使用情類全全部未使用部分使用及使用率
況型部使用
安□□□%
全專用產品
網□□□%
絡產品
操□□□%
作系統
數□□□%
據庫
服□□
務器
其□□□%
他系序
服務類型
服務責任方類型
統采用號
服務情本行業(單位)國內其他服務商國外服務商況
等級測評□□□□
有無
風險評估□□□□
有無
災難恢復□□
有無
應急響應□□
有無
系統集成□□□□
有無
安全咨詢□□□□
有無
安全培訓□□□□
有無
其它□□□
等
級測評
單位名稱何年月日
時投入
運行使用系
□是□否(如選擇是請填下兩項)
統是否
是分系統上
級系統
名稱上
級系統
所屬單
位名稱
表三(
)信息系統定級情況
損害客體及損害程度級
確別定
業□僅對公民、法人和其他組織的合法權益造成損害□第一級安
全□對公民、法人和其他組織的合法權益造成嚴重損害□第二級
保□對社會秩序和公共利益造成損害級
□對社會秩序和公共利益造成嚴重損害□第三級
□對國家安全造成損害
□對社會秩序和公共利益造成特別嚴重損害□第四級
□對國家安全造成嚴重損害
□對國家安全造成特別嚴重損害□第五級
02□僅對公民、法人和其他組織的合法權益造成損害□第一級統
服□對公民、法人和其他組織的合法權益造成嚴重損害□第二級
務□對社會秩序和公共利益造成損害保
護□對社會秩序和公共利益造成嚴重損害□第三級
等□對國家安全造成損害
□對社會秩序和公共利益造成特別嚴重損害□第四級
□對國家安全造成嚴重損害
□對國家安全造成特別嚴重損害□第五級
03信息系統安全保護等級□第一級
□第二級□第三級□第四級□第五級
04定級時間年月日
05專家評審情況□已評審
□未評審
06是否有主管部門□有
□無(如選擇有請填下兩項)
07主管部門名稱
08主管部門審批定級情況□已審批
□未審批
09系統定級報告□有
□無
附件名稱
填表人:填表日期:年月日
備案審核民警:審核日期:
年月日
表四(
)第三級以上信息系統提交材料情況
01系統拓撲結構及說明□有□無
附件名稱
02統安全組織機構及管理制
□有□無
附件名稱度
統安全保護設施設計實施
□有□無
附件名稱
方案或改建實施方案
04系統使用的安全產品清單及
□有□無
附件名稱
認證、銷售許可證明
05系統等級測評報告
□有□無附件名稱
06專家評審情況
□有□無
附件名稱
07上級主管部門審批意見
□有□無
附件名稱
附件5:
涉及國家秘密的信息系統分級保護備案表
單位名稱
涉密信息系統名稱
系統密級(保護等級)□
秘密
機密
絕密
系統聯接范圍□局域網
□城域網
□廣域網(跨
個省或地)
系統安全域劃分和安全域密級□未劃分安全域
確定□劃分安全域(共有
個,其中絕密級
個,
機密級
個,秘密級
個,內部級
個)
系統主要承建單位
系統投入使用時間
系統運行管理部門
系統安全保密管理部門
系統分級保護實施情況□已經實施□正在實施□計劃
年實施
填報日期:年月日填報單位:(蓋章)
填表說明:
1.“系統密級”依據《涉及國家秘密的信息系統分級保護管理辦法》和國家保密標準BMB17-2006確定。
2.涉密信息系統一般應劃分安全域,同一系統內的不同安全域根據所處理信息的重要程度,可分別確定密級。
3.表中“□”項,確認劃“√”。
4.填報多個涉密信息系統,可復印此表。
國家保密局制
保監廳發〔2007〕45號
為貫徹落實國家信息安全等級保護制度,按照《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安〔2007〕861號)要求,中國保監會將在保險行業內開展信息系統安全等級保護定級工作。現將有關事項通知如下:
一、等級保護定級工作的要求及組織方式
各單位應按照“準確定級、嚴格審批、及時備案、認真整改、科學測評”的要求和“自主定級、自主保護”的工作原則,成立相應的領導及實施機構,結合本單位的實際情況,準確開展信息系統等級保護定級工作。
保監會成立等級保護定級工作領導小組,統一領導、解決保險行業信息安全等級保護定級工作中的重大問題;保監會等級保護定級工作領導小組下設辦公室,具體負責保監會機關信息系統等級保護定級的具體實施工作和行業定級工作的指導審核。
各保監局負責本局內獨立運行的信息系統等級保護定級工作,并對各自轄區內的保險公司分支機構的等級保護定級工作進行指導審核。
各保險集團公司、保險控股公司負責本公司信息系統等級保護定級工作以及其下屬子公司信息系統等級保護定級工作的組織協調和指導。各保險總公司統一部署本公司和分公司的信息系統等級保護定級工作。
二、定級工作安排及定級范圍
(一)定級工作安排
為穩妥做好等級保護定級工作,擬在保險行業內分步分批實施。
保險行業第一批定級單位包括:保監會及各保監局,中國保險行業協會,中國人民保險集團公司、中國人壽保險(集團)公司、中國再保險(集團)公司、中國出口信用保險公司、民生人壽保險股份有限公司、陽光保險控股股份有限公司、中國平安保險(集團)股份有限公司、中國太平洋(集團)股份有限公司及其下屬各子公司和分公司。
其余公司作為第二批定級單位(具體時間安排另行通知)。
(二)定級范圍
1、保險監管部門監管、辦公及網站等重要信息系統;保險公司和中國保險行業協會經營、管理、辦公等重要信息系統。(以下簡稱“重要信息系統”)
2、涉及國家秘密的信息系統(以下簡稱“涉密信息系統”)。
三、主要工作步驟
第一階段:自主定級(9月20日前完成)
各單位按要求成立相關定級實施機構,對本系統內的重要信息系統和涉密信息系統展開摸底調查,全面掌握信息網絡和信息系統的數量、分布、業務類型、系統結構、應用或服務范圍等基本情況,按照《信息安全等級保護管理辦法》(以下簡稱“《管理辦法》”,附件1)和《信息系統安全等級保護定級指南》(附件2)的要求,確定定級對象并初步確定保護等級,形成定級報告(報告模板見附件3)。
涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。
第二階段:審核(9月25日前完成)
各保監局將各自獨立運行的重要信息系統和涉密信息系統的定級報告報保監會審核。
各公司對本公司內的重要信息系統和涉密信息系統定級進行統一審核,對跨省聯網運行且由公司總部統一確定等級的,由總公司將重要信息系統和涉密信息系統的定級報告報保監會審核
(有集團或控股公司的,由集團或控股公司將定級報告統一報保監會審核);保險公司分公司將經過總公司審核的,且在分公司獨立運行的重要信息系統和涉密系統定級報告報當地保監局審核。
保險行業協會將所確定的重要信息系統和涉密信息系統的定級報告報保監會審核。
保監會及各保監局在接到定級報告審核文件后,對不符合要求的于5個工作日內要求其改正,審核通過者不再單獨答復。
第三階段:備案(9月30日前完成)
根據《管理辦法》,各單位定級報告通過保監會或保監局審核后,對重要信息系統安全等級確定為二級以上的信息系統應到公安部網站下載《信息系統安全等級保護備案表》(見附件4)和輔助備案工具,并持填寫的備案表和利用輔助備案工具生成的備案電子數據文件,到公安機關辦理備案手續(保險行業協會確定的信息系統、保險總公司統一定級的跨省聯網運營的信息系統,向公安部備案;保險公司分公司將總公司定級的跨省聯網在當地運行、應用的分支系統以及在當地分公司獨立運行的信息系統,向當地省級公安機關備案)。備案完成后,各級單位將備案證明復印件報相對應的保險監管機構存檔。
涉密信息系統建設使用單位依據《管理辦法》和國家保密局的有關規定,填寫《涉及國家秘密的信息系統分級保護備案表》(見附件5),按照屬地化管理原則,將所確定的涉密信息系統,報送相對應的保密部門備案。備案完成后,各級單位將備案證明復印件報相對應的保險監管機構存檔。
第四階段:總結工作(10月15日前完成)
各單位應對等級保護定級工作進行總結,并報保監會等級保護定級工作領導小組。保監會根據定級工作開展的情況和定級工作報告,總結工作經驗,研究并啟動第二批等級保護定級工作。
聯系
人:李春亮、王曉鵬
聯系電話:010
附件:1、信息安全等級保護管理辦法(略)
2、信息安全技術信息系統安全等級保護定級指南
3、信息系統安全等級保護定級報告
4、信息系統安全等級保護備案表
5、涉及國家秘密的信息系統分級保護備案表
二○○七年九月六日
附件2:信息安全技術信息系統安全等級保護定級指南(報批稿)
全國信息安全標準化技術委員會
前言
本標準由公安部和全國信息安全標準化技術委員會提出。
本標準由全國信息安全標準化技術委員會歸口。
本標準起草單位:
本標準主要起草人:
引言
依據《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)和《信息安全等級保護管理辦法》(公通字[2007]43號),制定本標準。
本標準是信息安全等級保護相關系列標準之一。
與本標準相關的系列標準包括:
BBBBB-BBBB信息系統安全等級保護基本要求;
CCCCC-CCCC信息系統安全等級保護實施指南;
DDDDD-DDDD信息系統安全等級保護測評準則。
本標準依據等級保護相關管理文件,從信息系統所承載的業務在國家安全、經濟建設、社會生活中的重要作用和業務對信息系統的依賴程度這兩方面,提出確定信息系統安全保護等級的方法。
信息系統安全等級保護定級指南
1范圍
本標準規定了信息系統安全等級保護的定級方法,適用于為信息系統安全等級保護的定級工作提供指導。
2規范性引用文件
下列文件中的條款通過在本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本標準,然而,鼓勵根據本標準達成協議的各方研究是否使用這些文件的最新版本。凡是不注明日期的引用文件,其最新版本適用于本標準。
5271.8信息技術
詞匯
第8部分:安全
計算機信息系統安全保護等級劃分準則
3術語和定義
5271.8和GB17859-1999確立的以及下列術語和定義適用于本標準。
3.1等級保護對象targetofclassifiedsecurity
信息安全等級保護工作直接作用的具體的信息和信息系統。
3.2客體object
受法律保護的、等級保護對象受到破壞時所侵害的社會關系,如國家安全、社會秩序、公共利益以及公民、法人或其他組織的合法權益。
3.3客觀方面objective
對客體造成侵害的客觀外在表現,包括侵害方式和侵害結果等。
系統服務
信息系統為支撐其所承載業務而提供的程序化過程。
4定級原理
4.1信息系統安全保護等級
根據等級保護相關管理文件,信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
4.2信息系統安全保護等級的定級要素
信息系統的安全保護等級由兩個定級要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。
受侵害的客體
等級保護對象受到破壞時所侵害的客體包括以下三個方面:
a)公民、法人和其他組織的合法權益;
b)社會秩序、公共利益;
c)國家安全。
對客體的侵害程度
對客體的侵害程度由客觀方面的不同外在表現綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現的,因此,對客體的侵害外在表現為對等級保護對象的破壞,通過危害方式、危害后果和危害程度加以描述。
等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種:
a)造成一般損害;
b)造成嚴重損害;
c)造成特別嚴重損害。
4.3定級要素與等級的關系
定級要素與信息系統安全保護等級的關系如表1所示。
表1
定級要素與安全保護等級的關系
對客體的侵害程度
受侵害的客體
一般損害嚴重損害特別嚴重損害
公民、法人和其他組織的合法權益第一級第二級第二級
社會秩序、公共利益第二級第三級第四級
國家安全第三級第四級第五級
5定級方法
5.1定級的一般流程
信息系統安全包括業務信息安全和系統服務安全,與之相關的受侵害客體和對客體的侵害程度可能不同,因此,信息系統定級也應由業務信息安全和系統服務安全兩方面確定。
從業務信息安全角度反映的信息系統安全保護等級稱業務信息安全保護等級。
從系統服務安全角度反映的信息系統安全保護等級稱系統服務安全保護等級。
確定信息系統安全保護等級的一般流程如下:
確定作為定級對象的信息系統;
確定業務信息安全受到破壞時所侵害的客體;
根據不同的受侵害客體,從多個方面綜合評定業務信息安全被破壞對客體的侵害程度;
依據表2,得到業務信息安全保護等級;
確定系統服務安全受到破壞時所侵害的客體;
根據不同的受侵害客體,從多個方面綜合評定系統服務安全被破壞對客體的侵害程度;
依據表3,得到系統服務安全保護等級;
將業務信息安全保護等級和系統服務安全保護等級的較高者確定為定級對象的安全保護等級。
上述步驟如圖1確定等級一般流程所示。
圖1
確定等級一般流程(略)
5.2確定定級對象
一個單位內運行的信息系統可能比較龐大,為了體現重要部分重點保護,有效控制信息安全建設成本,優化信息安全資源配置的等級保護原則,可將較大的信息系統劃分為若干個較小的、可能具有不同安全保護等級的定級對象。
作為定級對象的信息系統應具有如下基本特征:
具有唯一確定的安全責任單位
作為定級對象的信息系統應能夠唯一地確定其安全責任單位。如果一個單位的某個下級單位負責信息系統安全建設、運行維護等過程的全部安全責任,則這個下級單位可以成為信息系統的安全責任單位;如果一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任,則該信息系統的安全責任單位應是這些下級單位共同所屬的單位。
具有信息系統的基本要素
作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件,如服務器、終端、網絡設備等作為定級對象。
承載單一或相對獨立的業務應用
定級對象承載“單一”的業務應用是指該業務應用的業務流程獨立,且與其他業務應用沒有數據交換,且獨享所有信息處理設備。定級對象承載“相對獨立”的業務應用是指其業務應用的主要業務流程獨立,同時與其他業務應用有少量的數據交換,定級對象可能會與其他業務應用共享一些設備,尤其是網絡傳輸設備。
5.3確定受侵害的客體
定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權益。
侵害國家安全的事項包括以下方面:
影響國家政權穩固和國防實力;
影響國家統一、民族團結和社會安定;
影響國家對外活動中的政治、經濟利益;
影響國家重要的安全保衛工作;
影響國家經濟競爭力和科技實力;
其他影響國家安全的事項。
侵害社會秩序的事項包括以下方面:
影響國家機關社會管理和公共服務的工作秩序;
影響各種類型的經濟活動秩序;
影響各行業的科研、生產秩序;
影響公眾在法律約束和道德規范下的正常生活秩序等;
其他影響社會秩序的事項。
影響公共利益的事項包括以下方面:
影響社會成員使用公共設施;
影響社會成員獲取公開信息資源;
影響社會成員接受公共服務等方面;
其他影響公共利益的事項。
影響公民、法人和其他組織的合法權益是指由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。
確定作為定級對象的信息系統受到破壞后所侵害的客體時,應首先判斷是否侵害國家安全,然后判斷是否侵害社會秩序或公眾利益,最后判斷是否侵害公民、法人和其他組織的合法權益。
各行業可根據本行業業務特點,分析各類信息和各類信息系統與國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的關系,從而確定本行業各類信息和各類信息系統受到破壞時所侵害的客體。
5.4確定對客體的侵害程度
侵害的客觀方面
在客觀方面,對客體的侵害外在表現為對定級對象的破壞,其危害方式表現為對信息安全的破壞和對信息系統服務的破壞,其中信息安全是指確保信息系統內信息的保密性、完整性和可用性等,系統服務安全是指確保信息系統可以及時、有效地提供服務,以完成預定的業務目標。由于業務信息安全和系統服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同,在定級過程中,需要分別處理這兩種危害方式。
信息安全和系統服務安全受到破壞后,可能產生以下危害后果:
影響行使工作職能;
導致業務能力下降;
引起法律糾紛;
導致財產損失;
造成社會不良影響;
對其他組織和個人造成損失;
其他影響。
綜合判定侵害程度
侵害程度是客觀方面的不同外在表現的綜合體現,因此,應首先根據不同的受侵害客體、不同危害后果分別確定其危害程度。對不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同,例如系統服務安全被破壞導致業務能力下降的程度可以從信息系統服務覆蓋的區域范圍、用戶人數或業務量等不同方面確定,業務信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢復費用等方面進行確定。
在針對不同的受侵害客體進行侵害程度的判斷時,應參照以下不同的判別基準:
如果受侵害客體是公民、法人或其他組織的合法權益,則以本人或本單位的總體利益作為判斷侵害程度的基準;
如果受侵害客體是社會秩序、公共利益或國家安全,則應以整個行業或國家的總體利益作為判斷侵害程度的基準。
不同危害后果的三種危害程度描述如下:
一般損害:工作職能受到局部影響,業務能力有所降低但不影響主要功能的執行,出現較輕的法律問題,較低的財產損失,有限的社會不良影響,對其他組織和個人造成較低損害。
嚴重損害:工作職能受到嚴重影響,業務能力顯著下降且嚴重影響主要功能執行,出現較嚴重的法律問題,較高的財產損失,較大范圍的社會不良影響,對其他組織和個人造成較嚴重損害。
特別嚴重損害:工作職能受到特別嚴重影響或喪失行使能力,業務能力嚴重下降且或功能無法執行,出現極其嚴重的法律問題,極高的財產損失,大范圍的社會不良影響,對其他組織和個人造成非常嚴重損害。
信息安全和系統服務安全被破壞后對客體的侵害程度,由對不同危害結果的危害程度進行綜合評定得出。由于各行業信息系統所處理的信息種類和系統服務特點各不相同,信息安全和系統服務安全受到破壞后關注的危害結果、危害程度的計算方式均可能不同,各行業可根據本行業信息特點和系統服務特點,制定危害程度的綜合評定方法,并給出侵害不同客體造成一般損害、嚴重損害、特別嚴重損害的具體定義。
5.5確定定級對象的安全保護等級
根據業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度,依據表2業務信息安全保護等級矩陣表,即可得到業務信息安全保護等級。
表2
業務信息安全保護等級矩陣表
對相應客體的侵害程度
業務信息安全被破壞時所侵害的客
體一般損害嚴重損害特別嚴重損害
公民、法人和其他組織的合法權益第一級第二級第二級
社會秩序、公共利益第二級第三級第四級
國家安全第三級第四級第五級
根據系統服務安全被破壞時所侵害的客體以及對相應客體的侵害程度,依據表2系統服務安全保護等級矩陣表,即可得到系統服務安全保護等級。
表3
系統服務安全保護等級矩陣表
對相應客體的侵害程度
系統服務安全被破壞時所侵害的客
體一般損害嚴重損害特別嚴重損害
公民、法人和其他組織的合法權益第一級第二級第二級
社會秩序、公共利益第二級第三級第四級
國家安全第三級第四級第五級
作為定級對象的信息系統的安全保護等級由業務信息安全保護等級和系統服務安全保護等級的較高者決定。
6等級變更在信息系統的運行過程中,安全保護等級應隨著信息系統所處理的信息和業務狀態的變化進行適當的變更,尤其是當狀態變化可能導致業務信息安全或系統服務受到破壞后的受侵害客體和對客體的侵害程度有較大的變化,可能影響到系統的安全保護等級時,應根據本標準第5章給出的定級方法重新定級。
附件3:
信息系統安全等級保護定級報告
一、×××信息系統描述
簡述確定該系統為定級對象的理由。從三方面進行說明:一是描述承擔信息系統安全責任的相關單位或部門,說明本單位或部門對信息系統具有信息安全保護責任,該信息系統為本單位或部門的定級對象;二是該定級對象是否具有信息系統的基本要素,描述基本要素、系統網絡結構、系統邊界和邊界設備;三是該定級對象是否承載著單一或相對獨立的業務,業務情況描述。
二、×××信息系統安全保護等級確定
(定級方法參見國家標準《信息系統安全等級保護定級指南》)
(一)業務信息安全保護等級的確定
1、業務信息描述
描述信息系統處理的主要業務信息等。
2、業務信息受到破壞時所侵害客體的確定
說明信息受到破壞時侵害的客體是什么,即對三個客體(國家安全;社會秩序和公眾利益;公民、法人和其他組織的合法權益)中的哪些客體造成侵害。
3、信息受到破壞后對侵害客體的侵害程度的確定
說明信息受到破壞后,會對侵害客體造成什么程度的侵害,即說明是一般損害、嚴重損害還是特別嚴重損害。
4、業務信息安全等級的確定
依據信息受到破壞時所侵害的客體以及侵害程度,確定業務信息安全等級。
(二)系統服務安全保護等級的確定
1、系統服務描述
描述信息系統的服務范圍、服務對象等。
2、系統服務受到破壞時所侵害客體的確定
說明系統服務受到破壞時侵害的客體是什么,即對三個客體(國家安全;社會秩序和公眾利益;公民、法人和其他組織的合法權益)中的哪些客體造成侵害。
3、系統服務受到破壞后對侵害客體的侵害程度的確定
說明系統服務受到破壞后,會對侵害客體造成什么程度的侵害,即說明是一般損害、嚴重損害還是特別嚴重損害。
4、系統服務安全等級的確定
依據系統服務受到破壞時所侵害的客體以及侵害程度確定系統服務安全等級。
(三)安全保護等級的確定
信息系統的安全保護等級由業務信息安全等級和系統服務安全等級較高者決定,最終確定×××系統安全保護等級為第幾級。
信息系統名稱
安全保護等級
業務信息安全等級
系統服務安全等級
×××信息系統
附件4:
備案表編號:□□□□□□--□□□□□
信息系統安全等級保護備案表備案單
位:
(蓋章)
備案日
期:
受理備案單位:
(蓋章)
受理日
期:
中華人民共和國公安部監制
填表說明
一、
制表依據。根據《信息安全等級保護管理辦法》(公通字[2007]43號)之規定,制作本表;
二、
填表范圍。本表由第二級以上信息系統運營使用單位或主管部門(以下簡稱“備案單位”)填寫;本表由四張表單構成,表一為單位信息,每個填表單位填寫一張;表二為信息系統基本信息,表三為信息系統定級信息,表二、表三每個信息系統填寫一張;表四為第三級以上信息系統需要同時提交的內容,由每個第三級以上信息系統填寫一張,并在完成系統建設、整改、測評等工作,投入運行后三十日內向受理備案公安機關提交;表二、表三、表四可以復印使用;
三、
保存方式。本表一式二份,一份由備案單位保存,一份由受理備案公安機關存檔;
四、
本表中有選擇的地方請在選項左側“”劃“√”,如選擇“其他”,請在其后的橫線中注明詳細內容;
五、
封面中備案表編號(由受理備案的公安機關填寫并校驗):分兩部分共11位,第一部分6位,為受理備案公安機關代碼前六位(可參照行標GA380-2002)。第二部分5位,為受理備案的公安機關給出的備案單位的順序編號;
六、
封面中備案單位:是指負責運營使用信息系統的法人單位全稱;
七、
封面中受理備案單位:是指受理備案的公安機關公共信息網絡安全監察部門名稱。此項由受理備案的公安機關負責填寫并蓋章;
八、
表一04行政區劃代碼:是指備案單位所在的地(區、市、州、盟)行政區劃代碼;
九、
表一05單位負責人:是指主管本單位信息安全工作的領導;
十、
表一06責任部門:是指單位內負責信息系統安全工作的部門;
十一、
表一08隸屬關系:是指信息系統運營使用單位與上級行政機構的從屬關系,須按照單位隸屬關系代碼(GB/T12404―1997)填寫;
十二、
表二02系統編號:是由運營使用單位給出的本單位備案信息系統的編號;
十三、
表二05系統網絡平臺:是指系統所處的網絡環境和網絡構架情況;
十四、
表二07關鍵產品使用情況:國產品是指系統中該類產品的研制、生產單位是由中國公民、法人投資或者國家投資或者控股,在中華人民共和國境內具有獨立的法人資格,產品的核心技術、關鍵部件具有我國自主知識產權;
十五、
表二08系統采用服務情況:國內服務商是指服務機構在中華人民共和國境內注冊成立(港澳臺地區除外),由中國公民、法人或國家投資的企事業單位;
十六、
表三01、02、03項:填寫上述三項內容,確定信息系統安全保護等級時可參考《信息系統安全等級保護定級指南》,信息系統安全保護等級由業務信息安全等級和系統服務安全等級較高者決定。01、02項中每一個確定的級別所對應的損害客體及損害程度可多選;
十七、
表三06主管部門:是指對備案單位信息系統負領導責任的行政或業務主管單位或部門。部級單位此項可不填;
十八、
解釋:本表由公安部公共信息網絡安全監察局監制并負責解釋,未經允許,任何單位和個人不得對本表進行改動。
表一單位基本情況
01單位名稱
02單位地址
省(自治區、直轄市)地(區、市、州、盟)
縣(區、市、旗)
03郵政編碼04行政區劃代碼
05姓名職務/職稱
單位負責人
辦公電話電子郵件
06責任部門
07責任部門姓名職務/職稱
聯系人
辦公電話電子郵件
移動電話
08隸屬關系□
1中央□
2省(自治區、直轄市)
3地(區、市、州、盟)
4縣(區、市、旗)□
9其他
09單位類型□
1黨委機關
2政府機關
3事業單位
4企業□
9其他
10行業類別□
11電信
12廣電□
13經營性公眾互聯網
21鐵路
22銀行□
23海關
24稅務
25民航
26電力□
27證券
28保險
31國防科技工業
32公安□
33人事勞動和社會保障
34財政
35審計
36商業貿易□
37國土資源
38能源
39交通
統計□
41工商行政管理
42郵政
43教育
44文化□
45衛生
46農業
47水利
48外交□9發展改革
科技
51宣傳
52質量監督檢驗檢疫
99其他
11信息系統個
12第二級信息系統數個13第三級信息系統數個
14第四級信息系統數個15第五級信息系統數個
表二(
)信息系統情況
系統名稱
系統編號
03業□1生產作業□2指揮調度□3管理控制□4內部辦公
務□5公眾服務□9其他載
業業
務務
情描
況述
04服□1□全國
□11跨省(區、市)
系務跨個
統范□2□全省(區、市)
□21跨地(市、區)
服圍跨個
務□3□地(市、區)內
情□99其它況
服□1單位內部人員
□2社會公眾人員□3兩者均包括
□9其他務對象
05覆□1局域網
□2城域網□3廣域網
□9其他蓋
系范
統圍網
絡網□1業務專網
□2互聯網□9其它
平絡
臺性質系
□1與其他行業系統連接□2與本行業其他單位系統連接
統互聯□3與本單位其他系統連接□9其它
情況關
序產
數量
使用國產品率
鍵產品號品
使用情類全全部未使用部分使用及使用率
況型部使用
安□□□%
全專用產品
網□□□%
絡產品
操□□□%
作系統
數□□□%
據庫
服□□
務器
其□□□%
他系序
服務類型
服務責任方類型
統采用號
服務情本行業(單位)國內其他服務商國外服務商況
等級測評□□□□
有無
風險評估□□□□
有無
災難恢復□□
有無
應急響應□□
有無
系統集成□□□□
有無
安全咨詢□□□□
有無
安全培訓□□□□
有無
其它□□□
等
級測評
單位名稱何年月日
時投入
運行使用系
□是□否(如選擇是請填下兩項)
統是否
是分系統上
級系統
名稱上
級系統
所屬單
位名稱
表三(
)信息系統定級情況
損害客體及損害程度級
確別定
業□僅對公民、法人和其他組織的合法權益造成損害□第一級安
全□對公民、法人和其他組織的合法權益造成嚴重損害□第二級
保□對社會秩序和公共利益造成損害級
□對社會秩序和公共利益造成嚴重損害□第三級
□對國家安全造成損害
□對社會秩序和公共利益造成特別嚴重損害□第四級
□對國家安全造成嚴重損害
□對國家安全造成特別嚴重損害□第五級
02□僅對公民、法人和其他組織的合法權益造成損害□第一級統
服□對公民、法人和其他組織的合法權益造成嚴重損害□第二級
務□對社會秩序和公共利益造成損害保
護□對社會秩序和公共利益造成嚴重損害□第三級
等□對國家安全造成損害
□對社會秩序和公共利益造成特別嚴重損害□第四級
□對國家安全造成嚴重損害
□對國家安全造成特別嚴重損害□第五級
03信息系統安全保護等級□第一級
□第二級□第三級□第四級□第五級
04定級時間年月日
05專家評審情況□已評審
□未評審
06是否有主管部門□有
□無(如選擇有請填下兩項)
07主管部門名稱
08主管部門審批定級情況□已審批
□未審批
09系統定級報告□有
□無
附件名稱
填表人:填表日期:年月日
備案審核民警:審核日期:
年月日
表四(
)第三級以上信息系統提交材料情況
01系統拓撲結構及說明□有□無
附件名稱
02統安全組織機構及管理制
□有□無
附件名稱度
統安全保護設施設計實施
□有□無
附件名稱
方案或改建實施方案
04系統使用的安全產品清單及
□有□無
附件名稱
認證、銷售許可證明
05系統等級測評報告
□有□無附件名稱
06專家評審情況
□有□無
附件名稱
07上級主管部門審批意見
□有□無
附件名稱
附件5:
涉及國家秘密的信息系統分級保護備案表
單位名稱
涉密信息系統名稱
系統密級(保護等級)□
秘密
機密
絕密
系統聯接范圍□局域網
□城域網
□廣域網(跨
個省或地)
系統安全域劃分和安全域密級□未劃分安全域
確定□劃分安全域(共有
個,其中絕密級
個,
機密級
個,秘密級
個,內部級
個)
系統主要承建單位
系統投入使用時間
系統運行管理部門
系統安全保密管理部門
系統分級保護實施情況□已經實施□正在實施□計劃
年實施
填報日期:年月日填報單位:(蓋章)
填表說明:
1.“系統密級”依據《涉及國家秘密的信息系統分級保護管理辦法》和國家保密標準BMB17-2006確定。
2.涉密信息系統一般應劃分安全域,同一系統內的不同安全域根據所處理信息的重要程度,可分別確定密級。
3.表中“□”項,確認劃“√”。
4.填報多個涉密信息系統,可復印此表。
國家保密局制
閱讀排行榜
-
1
保險集團集中度風險監管指引
-
2
國家金融監督管理總局辦公廳關于開展保險資金投資黃金業務試點的通知
-
3
金融監管總局工業和信息化部交通運輸部商務部關于深化改革加強監管促進新能源車險高質量發展的指導意見
-
4
保險公司監管評級辦法
-
5
銀行保險機構數據安全管理辦法
-
6
金融機構合規管理辦法
-
7
北京地區農業保險經營管理綜合考評辦法
-
8
中國出口信用保險公司監督管理辦法
-
9
保險資金運用內部控制應用指引第4號——未上市企業股權
-
10
山東金融監管局金融消費者權益保護監管聯動工作指引(試行)
推薦閱讀
-
1
華泰人壽高管變陣!友邦三員大將轉會鄭少瑋擬任總經理即將赴任業內預計華泰個險開啟“友邦化”
-
2
金融監管總局開年八大任務:報行合一、新能源車險、利差損一個都不能少
-
3
53歲楊明剛已任中國太平黨委委員,有望出任副總經理
-
4
非上市險企去年業績盤點:保險業務收入現正增長產壽險業績分化
-
5
春節前夕保險高管頻繁變陣
-
6
金融監管總局印發通知要求全力做好防汛救災保險賠付及預賠工作
-
7
31人死亡!銀川燒烤店爆炸事故已排查部分承保情況,預估保險賠付超1400萬元
-
8
中國銀保監會發布《關于開展人壽保險與長期護理保險責任轉換業務試點的通知》
-
9
2024年新能源商業車險保費首次突破千億元
-
10
連交十年保險卻被拒賠?瑞眾保險回應:系未及時繳納保費所致目前已妥善解決
