中石化 信息系統(tǒng)安全等級保護定級工作指導(dǎo)意見

1、<p><b>　　附件四：</b></p><p>　　中國石化信息系統(tǒng)安全等級保護定級工作</p><p><b>　　指導(dǎo)意見</b></p><p><b>　　總 則</b></p><p>　　為貫徹落實國家信息安全等級保護的有關(guān)文件精神，切實做好中國石

2、化信息系統(tǒng)安全等級保護定級工作，根據(jù)公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室四部委聯(lián)合發(fā)布的《信息安全等級保護管理辦法》（公通字[2007]43號）等有關(guān)文件要求，結(jié)合中國石化實際，制定本指導(dǎo)意見。</p><p>　　信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法，是中國石化開展信息系統(tǒng)安全保護工作的重要依據(jù)和有效途徑。</p><p>　　定級是

3、等級保護工作的首要環(huán)節(jié)，是開展信息系統(tǒng)安全建設(shè)整改、等級測評、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)，各企事業(yè)單位要高度重視，按照“正確理解，把握尺度，準確定級”的總體要求完成定級工作。</p><p>　　定級工作應(yīng)遵循“誰主管誰負責，誰運行誰負責”、“自主定級，自主保護”、“屬地化”與“總部管理”相結(jié)合的原則，各企事業(yè)單位應(yīng)在總部和當?shù)毓矙C關(guān)指導(dǎo)下，深入分析信息系統(tǒng)情況準確定級。</p><p&g

4、t;　　本次定級的范圍為已投入運行并正在使用的信息系統(tǒng)。新建信息系統(tǒng)應(yīng)在項目規(guī)劃、設(shè)計的同期確定安全等級。</p><p><b>　　組織與職責</b></p><p>　　各企事業(yè)單位應(yīng)明確責任部門，負責信息系統(tǒng)安全等級保護定級及其后續(xù)工作。</p><p>　　信息系統(tǒng)使用部門為信息系統(tǒng)定級的責任單位，應(yīng)主導(dǎo)對業(yè)務(wù)信息系統(tǒng)定級，并根據(jù)業(yè)務(wù)

5、需要，提出適當?shù)陌踩蟆?lt;/p><p>　　信息管理部門負責組織定級工作，包括協(xié)助指導(dǎo)、組織評審、上報審批、備案等，并按照業(yè)務(wù)要求開展后續(xù)的安全保護工作。 </p><p><b>　　等級劃分</b></p><p>　　根據(jù)國家信息安全等級保護相關(guān)文件規(guī)定，信息系統(tǒng)的安全保護等級分為以下五級： 　　第一級，信息系統(tǒng)受到破壞后，會對公民

6、、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。 　　第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。 　　第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。 　　第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。 　　第五級，信息系統(tǒng)受到破

7、壞后，會對國家安全造成特別嚴重損害。 </p><p>　　信息系統(tǒng)的安全保護等級由兩個定級要素決定，即等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。</p><p>　　等級保護對象受到破壞時所侵害的客體包括以下三個方面：　　(1)公民、法人和其他組織的合法權(quán)益； 　　(2)社會秩序、公共利益； 　　(3)國家安全。 </p><p>　　等級保

8、護對象受到破壞時對客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現(xiàn)的，因此，對客體的侵害外在表現(xiàn)為對等級保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。對客體造成侵害的程度歸結(jié)為以下三種： 　　(1)造成一般損害； 　　(2)造成嚴重損害； 　　(3)造成特別嚴重損害。 </p><p>　　定級要素與等級的關(guān)系如表1所示。</p>&l

9、t;p>　　表1 定級要素與安全保護等級的關(guān)系</p><p><b>　　定級方法</b></p><p>　　各企事業(yè)單位應(yīng)深入分析信息系統(tǒng)的業(yè)務(wù)種類、工作流程、服務(wù)范圍、信息類型、用戶分布、管理模式及軟硬件情況，合理劃分定級對象，作為定級對象的信息系統(tǒng)應(yīng)具備三個基本條件,即“具備唯一確定的安全責任單位”、“具備信息系統(tǒng)的基本要素”以及“承載單一或相對獨立的

10、業(yè)務(wù)應(yīng)用”。</p><p>　　信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，業(yè)務(wù)信息安全指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全指確保信息系統(tǒng)可以及時、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標。</p><p>　　信息系統(tǒng)定級應(yīng)分別從上述兩個方面準確評定兩個定級要素，確定安全等級。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護等級稱業(yè)務(wù)信息安全保護等級。從系統(tǒng)服務(wù)安全角度反映

11、的信息系統(tǒng)安全保護等級稱系統(tǒng)服務(wù)安全保護等級。</p><p>　　定級要素與業(yè)務(wù)信息安全保護等級及系統(tǒng)服務(wù)安全保護等級的關(guān)系如表2所示。</p><p>　　表2定級要素與業(yè)務(wù)信息/系統(tǒng)服務(wù)安全保護等級的關(guān)系</p><p>　　確定信息系統(tǒng)安全保護等級的一般流程如下：</p><p>　　(1)確定作為定級對象的信息系統(tǒng)；</p&g

12、t;<p>　　(2)確定業(yè)務(wù)信息安全受到破壞時所侵害的客體； </p><p>　　(3)根據(jù)不同的受侵害客體，從多個方面綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度； </p><p>　　(4)依據(jù)表2，得到業(yè)務(wù)信息安全保護等級； </p><p>　　(5)確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體； </p><p>　　(

13、6)根據(jù)不同的受侵害客體，從多個方面綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度； </p><p>　　(7)依據(jù)表2，得到系統(tǒng)服務(wù)安全保護等級； </p><p>　　(8)將業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較高者確定為定級對象的安全保護等級。</p><p>　　在針對不同的受侵害客體進行侵害程度的判斷時，應(yīng)參照不同的判別基準。如果受侵害客體是公民、

14、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判斷侵害程度的基準；如果受侵害客體是社會秩序、公共利益或國家安全，則應(yīng)以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準。</p><p>　　一般損害指工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。 </p><p>　　嚴重損害指工

15、作職能受到嚴重影響，業(yè)務(wù)能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。</p><p>　　特別嚴重損害指工作職能受到特別嚴重影響或喪失行使能力，業(yè)務(wù)能力嚴重下降或功能無法執(zhí)行，出現(xiàn)極其嚴重的法律問題，極高的財產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。</p><p>　　總部和企業(yè)聯(lián)

16、網(wǎng)運行的同類信息系統(tǒng)，企業(yè)應(yīng)參照總部相應(yīng)信息系統(tǒng)的定級情況確定安全等級。原則上企業(yè)同類信息系統(tǒng)的安全等級不高于總部。</p><p>　　在信息系統(tǒng)的運行過程中，安全保護等級應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進行適當?shù)淖兏?lt;/p><p><b>　　評審與審批</b></p><p>　　各企事業(yè)單位初步定級后可自行聘請專家進行咨詢

17、評審，并出具定級評審意見，填寫定級情況申報表報總部信息系統(tǒng)管理部審批。</p><p>　　擬定為四級及以上的信息系統(tǒng)，應(yīng)邀請國家信息安全保護等級專家評審委員會進行評審。</p><p><b>　　備 案</b></p><p>　　各企事業(yè)單位完成定級后，應(yīng)將全部定級情況（包括一級）向總部信息系統(tǒng)管理部備案。</p><

18、;p>　　擬定為二級及以上的信息系統(tǒng)應(yīng)按照“屬地化”原則向當?shù)厥屑壱陨瞎矙C關(guān)備案。</p><p>　　跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由總部統(tǒng)一定級的信息系統(tǒng)，由總部統(tǒng)一向公安部備案。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，由所屬單位向當?shù)厥屑壱陨瞎矙C關(guān)備案。</p><p>　　參照《信息系統(tǒng)安全等級保護定級報告》模板及《信息系統(tǒng)安全等級保護備案表》填表說明，

19、完成備案材料的整理和填寫，及時向總部和公安機關(guān)進行備案，兩級備案材料應(yīng)一致。</p><p>　　定級工作以備案完成為標志。</p><p><b>　　附 則</b></p><p>　　本指導(dǎo)意見由中國石油化工股份有限公司信息系統(tǒng)管理部負責解釋。</p><p>　　本指導(dǎo)意見自正式發(fā)布之日起執(zhí)行。</p&g