一、把握定级重点部门和重要系统
将重要领域、重要部门的重要信息系统纳入定级范围。重点包括:电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防、科技、公安、人事劳动和社会保障、财政、审计、商务、国土资源、能源、交通、建设、文化、卫生、教育、统计、工商行政管理、质检、食品药品监督、安全监管、环保、气象、新闻出版、邮政等行业、部门以及国有骨干企业的生产、调度、管理、作业、指挥、办公等重要信息系统;市(地)级以上党政机关的重要网站和办公信息系统。根据以上重点范围,公安机关要逐个行业、部门进行梳理,列出定级单位和重要信息系统名单,确保其纳入定级范围。
二、确定定级对象
一是起传输作用的信息网络(局域网、专网、内网、外网)要作为定级对象。不是将网络(政务内网、外网)作为一个定级对象,而是要划分出最小安全域去定级。例如,不能将公安专网作为一个定级对象,而是将公安三级网作为三个定级对象。
二是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安全级别高,也要独立定级。
三是用于生产、调度、管理、作业、指挥、办公等目的的各类应用系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。
三、指导定级
信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,也不以风险评估为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。
为了避免出现大范围定级不准问题,请各地、市按照下列原则主动上门指导定级。
(一)各级如何确定
第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等。
第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等。例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。
第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等。
第五级信息系统:适用于国家特殊领域的极端重要系统。
(二)由谁确定与审批系统等级
1、各地自建的系统(与上级单位无关),自己定级。是否报上级主管部门审批,由各行业自行决定。
2、跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级。其中:由各行业统一规划、统一建设、统一安全保护策略的全国联网系统,应由各部委统一对部、省、市系统分别确定等级;由各部委统一规划、分级建设、全国联网的信息系统,应由部、省、地市分别确定系统等级,但各行业应对该类系统提出定级意见,避免出现同类系统下级定级比上级高的现象。对于该类系统的等级,下级确定后需报上级主管部门审批。
特别注意:不允许随着部、省、市行政级别降低,信息系统级别同步降低,例如地市级的重要行业的重要系统不能定为一、二级。
四、备案及审核
各部委数据大集中的信息系统,在各地只有终端联网访问,没有分数据库的,联网终端可以不备案,但开展检查时要掌握情况,纳入监管范围。各部委统一定级的信息系统在各地的分系统(有分数据库,在各地安装运行的),即使当地不定级,也要到各地公安网监备案。
各地按照即将下发的备案管理细则执行。
各地网监部门要对各部门定级认真把关。对定级不准的要坚决要求重新审核定级。
粤公网安备 44190002001316号
