信息系统定级按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,依据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护措施,建立安全制度,落实安全责任,对信息系统进行保护。
二、信息系统定级的主要步骤 信息系统定级是等级保护工作的首要环节和关键环节,是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。定级工作按照以下步骤进行。
(一)开展调查
按照《定级工作通知》确定的定级范围,各单位、各部门可以组织开展对所属信息系统进行调查,了解信息系统底数,掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况,为下一步奠定基础。
(二)确定定级对象
信息系统运营使用单位或主管部门按照如下原则确定定级对象。
1.起支撑、传输作用的信息网络(包括专网、内容、外网、网管系统)要作为定级对象。
2.用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。
3.各单位网站要作为独立的定级对象。
4.确认负责定级的单位是否对所定级系统富有业务主管责任。
5.具有信息系统的基本要素。
(三)确定信息系统安全保护等级
按照以下要求确定信息系统等级。
1.定级责任主体。各信息系统运营使用单位和主管部门是信息系统定级的责任主体。
2.定级要素。信息系统的安全保护等级由两个定级要素决定:等级保护对象收到破坏时所侵害的客体和对客体造成侵害的程度。
3.处理方法。单位自建的系统,单位自主定级;跨省或全国统一联网运行的系统,由主管部门统一确定等级。
4.新建系统定级。信息系统运营使用单位在规划设计时应确定信息系统安全保护等级,按照信息系统等级,同步规划、设计、实施安全保护技术措施和管理措施。
(四)信息系统等级评审
初步确定等级后,可以聘请专家进行评审,保证定级合理、准确。
(五)信息系统等级审批
信息系统使用单位参照专家意见,确定等级并形成《定级报告》。
(六)公安机关审核
公安机关收到信息系统运营单位的材料后,对定级的准确性进行审核,正确的定级颁发《信息系统安全等级保护备案证明》。
三、信息系统定级的一般流程
定级对象收到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全指影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益;影响国家重要的安全保卫工作;影响国家经济竞争力和科技实力;其他影响国家安全的事项。
侵害社会秩序指影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产秩序;影响公众在法律约束和道德规范下的正常生活秩序等;其他影响社会秩序的事项。
影响公共利益指影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面;其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益指由法律确认的并发法律保护的公民。
(二)确定客体的侵害程度
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏。其中信息安全是指确保信息系统内信息的保密性、完整性和可用性;系统服务安全是指确保信息系统可以及时、有效的提供服务。
(三)综合判定侵害程度侵害程度是客观方面的不同外在表现的综合体现。描述如下。
1.一般损害。工作职能收到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的资产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
2.严重损害。工作职能收到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的资产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
3.特别严重损害。工作职能收到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现机器严重的法律问题,极高的资产损失,大范围的社会不良影响,对其他组织和个人造成非常严重的损害。
(四)确定信息系统安全保护等级
依据矩阵表可以确定业务信息安全与系统服务安全的等级,定级对象的信息系统的安全保护等级由业务信息安全和系统服务安全等级较高者决定。
业务信息安全等级矩阵表
| 业务信息安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第三级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
系统服务安全等级矩阵表
| 系统服务安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第三级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
四、参考定级
第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。
第三级信息系统:适用于地级市以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统。
第四级信息系统:用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
第五级信息系统:使用国家重要领域、重要部门中的极端重要系统。