本文主要介紹信息系統(tǒng)安全保護(hù)等級(jí)的確定����,定級(jí)工作的流程和要求,備案工作的流程和要求等���。
一�、信息系統(tǒng)安全保護(hù)等級(jí)的劃分與保護(hù)
信息系統(tǒng)定級(jí)工作應(yīng)按照“自主定級(jí)���、專家評(píng)審、主管部門審批����、公安機(jī)關(guān)審核”的原則進(jìn)行。定級(jí)工作的主要內(nèi)容包括:確定定級(jí)對(duì)象�����、確定信息系統(tǒng)安全保護(hù)等級(jí)���、組織專家評(píng)審����、主管部門審批�����、公安機(jī)關(guān)審核,具體可按照《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公通字〔2007〕861號(hào))要求執(zhí)行�����。各信息系統(tǒng)運(yùn)營使用單位和主管部門是信息安全等級(jí)保護(hù)的責(zé)任主體����,根據(jù)所屬信息系統(tǒng)的重要程度和遭到破壞后的危害程度,確定信息系統(tǒng)的安全保護(hù)等級(jí)�����。同時(shí)����,按照所定等級(jí),依照相應(yīng)等級(jí)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)���,建設(shè)信息安全保護(hù)設(shè)施�����,建立安全制度��,落實(shí)安全責(zé)任�����,對(duì)信息系統(tǒng)進(jìn)行保護(hù)�。
在等級(jí)保護(hù)工作中,信息系統(tǒng)運(yùn)營使用單位和主管部門按照“誰主管誰負(fù)責(zé)�����,誰運(yùn)營誰負(fù)責(zé)”的原則開展工作����,并接受信息安全監(jiān)管部門對(duì)開展等級(jí)保護(hù)工作的監(jiān)管��。運(yùn)營使用單位和主管部門是信息系統(tǒng)安全的第一責(zé)任人�����,對(duì)所屬信息系統(tǒng)安全負(fù)有直接責(zé)任����;公安、保密����、密碼部門對(duì)運(yùn)營使用單位和主管部門開展等級(jí)保護(hù)工作進(jìn)行監(jiān)督�、檢查����、指導(dǎo),對(duì)重要信息系統(tǒng)安全負(fù)監(jiān)管責(zé)任����。由于重要信息系統(tǒng)的安全運(yùn)行不僅影響本行業(yè)、本單位的生產(chǎn)和工作秩序�����,也會(huì)影響國家安全�����、社會(huì)穩(wěn)定�、公共利益,因此���,國家必然要對(duì)重要信息系統(tǒng)的安全進(jìn)行監(jiān)管�。
(二)信息系統(tǒng)安全保護(hù)等級(jí)
信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全���、經(jīng)濟(jì)建設(shè)�、社會(huì)生活中的重要程度,遭到破壞后對(duì)國家安全�����、社會(huì)秩序���、公共利益以及公民����、法人和其他組織的合法權(quán)益的危害程度等因素確定�。信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí),從第一級(jí)到第五級(jí)逐級(jí)增高�����。
(三)信息系統(tǒng)安全保護(hù)等級(jí)的定級(jí)要素
信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定:等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度����。
1.受侵害的客體
等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面:一是公民���、法人和其他組織的合法權(quán)益����;二是社會(huì)秩序、公共利益��;三是國家安全�。
對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對(duì)客體的侵害是通過對(duì)等級(jí)保護(hù)對(duì)象的破壞實(shí)現(xiàn)的���,因此����,對(duì)客體的侵害外在表現(xiàn)為對(duì)等級(jí)保護(hù)對(duì)象的破壞��,通過危害方式�����、危害后果和危害程度加以描述�����。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度有三種:一是造成一般損害���;二是造成嚴(yán)重?fù)p害����;三是造成特別嚴(yán)重?fù)p害。
信息系統(tǒng)運(yùn)營�����、使用單位依據(jù)國家信息安全等級(jí)保護(hù)政策和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)��,國家信息安全監(jiān)管部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理�。定級(jí)要素與信息系統(tǒng)安全保護(hù)等級(jí)的關(guān)系如表1-1所示。
表1-1 定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系
|
|
|
|
|
|
|
|
|
|
|
|
第二級(jí) |
合法權(quán)益 |
嚴(yán)重?fù)p害 |
指導(dǎo) |
社會(huì)秩序和公共利益 |
損害 |
第三級(jí) |
|
社會(huì)秩序和公共利益 |
嚴(yán)重?fù)p害 |
監(jiān)督檢查 |
國家安全 |
損害 |
第四級(jí) |
社會(huì)秩序和公共利益 |
特別嚴(yán)重?fù)p害 |
強(qiáng)制監(jiān)督檢查 |
國家安全 |
嚴(yán)重?fù)p害 |
|
|
|
|
|
|
信息系統(tǒng)定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)和關(guān)鍵環(huán)節(jié),是開展信息系統(tǒng)備案���、建設(shè)整改��、等級(jí)測評(píng)���、監(jiān)督檢查等工作的重要基礎(chǔ)��。這里先明確一個(gè)概念��,信息系統(tǒng)包括起支撐、傳輸作用的基礎(chǔ)信息網(wǎng)絡(luò)和各類應(yīng)用系統(tǒng)����。信息系統(tǒng)安全級(jí)別定級(jí)不準(zhǔn),系統(tǒng)備案��、建設(shè)整改����、等級(jí)測評(píng)等后續(xù)工作都會(huì)失去基礎(chǔ),信息系統(tǒng)安全就沒有保證��。定級(jí)工作可以按照下列步驟進(jìn)行����。
按照《定級(jí)工作通知》確定的定級(jí)范圍,各單位���、各部門可以組織開展對(duì)所屬信息系統(tǒng)進(jìn)行摸底調(diào)查����,摸清信息系統(tǒng)底數(shù)����,掌握信息系統(tǒng)(包括信息網(wǎng)絡(luò))的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況��,為下一步明確要求�����、落實(shí)責(zé)任奠定基礎(chǔ)���。
在全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作(以下簡稱“定級(jí)工作”)中��,如何科學(xué)����、合理地確定定級(jí)對(duì)象是最關(guān)鍵的問題��。信息系統(tǒng)運(yùn)營使用單位或主管部門按如下原則確定定級(jí)對(duì)象�。
一是起支撐、傳輸作用的信息網(wǎng)絡(luò)(包括專網(wǎng)��、內(nèi)網(wǎng)���、外網(wǎng)�����、網(wǎng)管系統(tǒng))要作為定級(jí)對(duì)象��。但不是將整個(gè)網(wǎng)絡(luò)作為一個(gè)定級(jí)對(duì)象�,而是要從安全管理和安全責(zé)任的角度將基礎(chǔ)信息網(wǎng)絡(luò)劃分成若干個(gè)最小安全域或最小單元去定級(jí)����。
二是用于生產(chǎn)、調(diào)度�、管理、作業(yè)����、指揮、辦公等目的的各類業(yè)務(wù)系統(tǒng)���,要按照不同業(yè)務(wù)類別單獨(dú)確定為定級(jí)對(duì)象��,不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換��、是否獨(dú)享設(shè)備為確定定級(jí)對(duì)象條件���。不能將某一類信息系統(tǒng)作為一個(gè)定級(jí)對(duì)象去定級(jí)。
三是各單位網(wǎng)站要作為獨(dú)立的定級(jí)對(duì)象��。如果網(wǎng)站的后臺(tái)數(shù)據(jù)庫管理系統(tǒng)安全級(jí)別高,也要作為獨(dú)立的定級(jí)對(duì)象�����。網(wǎng)站上運(yùn)行的信息系統(tǒng)(例如對(duì)社會(huì)服務(wù)的報(bào)名考試系統(tǒng))也要作為獨(dú)立的定級(jí)對(duì)象���。
四是確認(rèn)負(fù)責(zé)定級(jí)的單位是否對(duì)所定級(jí)系統(tǒng)負(fù)有業(yè)務(wù)主管責(zé)任��。也就是說���,業(yè)務(wù)部門應(yīng)主導(dǎo)對(duì)業(yè)務(wù)信息系統(tǒng)定級(jí),運(yùn)維部門(例如信息中心��、托管方)可以協(xié)助定級(jí)并按照業(yè)務(wù)部門的要求開展后續(xù)安全保護(hù)工作�。
五是具有信息系統(tǒng)的基本要素。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備��、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體�����。應(yīng)避免將某個(gè)單一的系統(tǒng)組件(如服務(wù)器�、終端、網(wǎng)絡(luò)設(shè)備等)作為定級(jí)對(duì)象��。
例如,奧運(yùn)網(wǎng)絡(luò)主要包括��,“奧組委辦公外網(wǎng)”(承載自動(dòng)化辦公��、場館管理��、電子郵件����、物流�����、員工之家等16項(xiàng)業(yè)務(wù))�����、“奧組委內(nèi)部辦公局域網(wǎng)”(承載著財(cái)務(wù)管理�、人事管理等3項(xiàng)業(yè)務(wù))、“奧運(yùn)票務(wù)網(wǎng)”(票務(wù)網(wǎng)站和票務(wù)管理系統(tǒng))���、“奧運(yùn)官方網(wǎng)站”(門戶網(wǎng)站和后臺(tái)數(shù)據(jù)處理系統(tǒng))����、“奧運(yùn)互聯(lián)網(wǎng)接入”、“競賽網(wǎng)”等六個(gè)奧運(yùn)信息系統(tǒng)���。確定奧組委辦公外網(wǎng)�����、奧組委內(nèi)部辦公局域網(wǎng)���、票務(wù)網(wǎng)站、票務(wù)管理系統(tǒng)�、奧運(yùn)官方網(wǎng)站和競賽網(wǎng)為定級(jí)對(duì)象。
可以按照下列要求確定信息系統(tǒng)等級(jí):
1.定級(jí)責(zé)任主體�。各信息系統(tǒng)運(yùn)營使用單位和主管部門是信息系統(tǒng)定級(jí)的責(zé)任主體。
2.定級(jí)要素��。信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)的要素決定:等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度�。
信息系統(tǒng)的安全保護(hù)等級(jí)是信息系統(tǒng)本身的客觀自然屬性,不以已采取或?qū)⒉扇∈裁窗踩Wo(hù)措施為依據(jù)�����,而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對(duì)國家安全�����、社會(huì)穩(wěn)定、人民群眾合法公益的危害程度為依據(jù)��,確定信息系統(tǒng)的安全保護(hù)等級(jí)�。定級(jí)時(shí)應(yīng)主要考慮信息系統(tǒng)破壞后對(duì)國家安全、社會(huì)穩(wěn)定的影響���,考慮境內(nèi)外各種敵對(duì)勢力、敵對(duì)分子針對(duì)重要信息系統(tǒng)入侵攻擊破壞和竊取秘密等因素�。既要防止個(gè)別單位版面追求絕對(duì)安全而定級(jí)過高,也要防止為了逃避監(jiān)管定級(jí)偏低���。
3.對(duì)各類系統(tǒng)定級(jí)的處理方法�。一是單位自建的信息系統(tǒng)(與上級(jí)單位無關(guān))����,單位自主定級(jí)。二是跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)�,可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。其中:由各行業(yè)統(tǒng)一規(guī)劃����、統(tǒng)一建設(shè)、統(tǒng)一安全保護(hù)策略的全國聯(lián)網(wǎng)系統(tǒng)���,應(yīng)由行業(yè)主管部門統(tǒng)一對(duì)下各級(jí)系統(tǒng)分別確定等級(jí)���;由各行業(yè)統(tǒng)一規(guī)劃����、分級(jí)建設(shè)�、全國聯(lián)網(wǎng)的信息系統(tǒng),應(yīng)由部�、省、地市分別確定系統(tǒng)等級(jí)���,但各行業(yè)主管部門應(yīng)對(duì)該系統(tǒng)提出定級(jí)意見�����,避免出現(xiàn)同類系統(tǒng)下級(jí)定級(jí)比上級(jí)高的現(xiàn)象�。對(duì)于該類系統(tǒng)的等級(jí)�,下級(jí)確定后需報(bào)上級(jí)主管部門審批。
需特別注意的是:同類信息系統(tǒng)的安全保護(hù)等級(jí)不能隨著部����、省、市行政級(jí)別的降低而降低,例如地市級(jí)的重要行業(yè)的重要系統(tǒng)不能定為一��、二級(jí)�����。
對(duì)于新建系統(tǒng)�,信息系統(tǒng)運(yùn)營使用單位在規(guī)劃設(shè)計(jì)時(shí)應(yīng)確定信息系統(tǒng)安全保護(hù)等級(jí),按照信息系統(tǒng)等級(jí)��,同步規(guī)劃��、同步設(shè)計(jì)�、同步實(shí)施安全保護(hù)技術(shù)措施和管理措施�。有關(guān)信息系統(tǒng)安全保護(hù)等級(jí)確定的具體辦法和要求見1.3節(jié)。
(四)信息系統(tǒng)等級(jí)評(píng)審
信息系統(tǒng)運(yùn)營使用單位或主管部門在初步確定信息系統(tǒng)安全保護(hù)等級(jí)后���,為了保證定級(jí)合理��、準(zhǔn)確���,可以聘請(qǐng)專家進(jìn)行評(píng)審,并出具專家評(píng)審意見��。
單位自建的信息系統(tǒng)(與上級(jí)單位無關(guān)),等級(jí)確定后�,是否報(bào)上級(jí)主管部門審批,由各行業(yè)自行決定�。信息系統(tǒng)運(yùn)營使用單位參考專家定級(jí)評(píng)審意見,最終確定信息系統(tǒng)等級(jí)��,形成《定級(jí)報(bào)告》���。如果專家評(píng)審意見與運(yùn)營使用單位意見不一致時(shí)���,由運(yùn)營使用單位自主決定系統(tǒng)等級(jí),信息系統(tǒng)運(yùn)營使用單位有上級(jí)主管部門的����,應(yīng)當(dāng)經(jīng)上級(jí)主管部門對(duì)安全保護(hù)等級(jí)進(jìn)行審核批準(zhǔn)。主管部門一般是指行業(yè)的上級(jí)主管部門或監(jiān)管部門�����。如果是跨地域聯(lián)網(wǎng)運(yùn)營使用的信息系統(tǒng)��,則必須由其上級(jí)主管部門審批�,確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級(jí)的一致性。
公安機(jī)關(guān)收到信息系統(tǒng)運(yùn)營使用單位備案材料后���,應(yīng)對(duì)信息系統(tǒng)定級(jí)的準(zhǔn)確性進(jìn)行審核��。公安機(jī)關(guān)的審核是定級(jí)工作的最后一道防線���,應(yīng)予以高度重視���,嚴(yán)格把關(guān)。信息系統(tǒng)定級(jí)基本準(zhǔn)確的����,公安機(jī)關(guān)頒發(fā)由公安部統(tǒng)一監(jiān)制的《信息系統(tǒng)安全等級(jí)保護(hù)備案證明》(以下簡稱《備案證明》)。對(duì)于定級(jí)不準(zhǔn)的���,公安機(jī)關(guān)應(yīng)向備案單位發(fā)整改通知�����,并建議備案單位組織專家進(jìn)行重新定級(jí)評(píng)審,并報(bào)上級(jí)主管部門審批�。備案單位仍然堅(jiān)持原定等級(jí)的,公安機(jī)關(guān)可以受理其備案��,但應(yīng)當(dāng)書面告知其承擔(dān)由此引發(fā)的責(zé)任和后果�����,經(jīng)上級(jí)公安機(jī)關(guān)同意后,同時(shí)通報(bào)備案單位上級(jí)主管部門�。
三、如何確定信息系統(tǒng)安全保護(hù)等級(jí)
(一)如何理解信息系統(tǒng)的五個(gè)安全保護(hù)等級(jí)
信息系統(tǒng)的安全保護(hù)等級(jí)是信息系統(tǒng)的客觀屬性�����,不以已采取或?qū)⒉扇∈裁窗踩Wo(hù)措施為依據(jù)�,而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對(duì)國家安全、社會(huì)穩(wěn)定����、人民群眾合法權(quán)益的危害程度為依據(jù),確定信息系統(tǒng)的安全保護(hù)等級(jí)����。既要防止個(gè)別單位片面追求絕對(duì)安全而定級(jí)過高,也要防止為了逃避監(jiān)管定級(jí)偏低��。信息網(wǎng)絡(luò)的安全等級(jí)可以參照在其上運(yùn)行的信息系統(tǒng)的等級(jí)�、網(wǎng)絡(luò)的服務(wù)范圍和自身的安全需求確定適當(dāng)?shù)谋Wo(hù)等級(jí),不以在其上運(yùn)行的信息系統(tǒng)的最高等級(jí)或最低等級(jí)為標(biāo)準(zhǔn)����,既不就高���、不就低。
為了幫助信息系統(tǒng)運(yùn)營使用單位準(zhǔn)確確定信息系統(tǒng)安全保護(hù)等級(jí)�����,可以參考下列對(duì)五級(jí)的說明確定系統(tǒng)等級(jí)�����。
第一級(jí)信息系統(tǒng):一般適用于小型私營���、個(gè)體企業(yè)�����、中小學(xué)����,鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)�����、縣級(jí)單位中一般的信息統(tǒng)����。
第二級(jí)信息系統(tǒng):一般適用于縣級(jí)其些單位中的重要信息系統(tǒng);地市級(jí)以上國家機(jī)關(guān)����、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密��、商業(yè)秘密�、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。
第三級(jí)信息系統(tǒng):一般適用于地市級(jí)以上國家機(jī)關(guān)����、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)����,例如涉及工作秘密、商業(yè)秘密�����、敏感信息的辦公系統(tǒng)和管理系統(tǒng)����;跨省或全國聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)�����、調(diào)度�、管理�����、指揮���、作業(yè)�、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省�、地市的分支系統(tǒng);中央各部委���、?����。▍^(qū)����、市)門戶網(wǎng)站和重要網(wǎng)站;跨省連接的網(wǎng)絡(luò)系統(tǒng)等�。
第四級(jí)信息系統(tǒng):一般適用于國家重要領(lǐng)域���、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)�。例如電力���、電信�����、廣電��、鐵路�、民航�����、銀行��、稅務(wù)等重要��、部門的生產(chǎn)��、調(diào)度����、指揮等涉及國家安全���、國計(jì)民生的核心系統(tǒng)。
第五級(jí)信息系統(tǒng):一般適用于國家重要領(lǐng)域���、重要部門中的極端重要系統(tǒng)����。
信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全���,與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同��,因此��,信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定����。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱為業(yè)務(wù)信息安全等級(jí)�����。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱系統(tǒng)服務(wù)安全等級(jí)。
確定信息系統(tǒng)安全保護(hù)等級(jí)的一般流程如下:確定作為定級(jí)對(duì)象的信息系統(tǒng)����;確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體;根據(jù)不同的受侵害客體�,從多個(gè)方面綜合評(píng)定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度���,根據(jù)業(yè)務(wù)信息的重要性和受到破壞后的危害性確定業(yè)務(wù)信息安全等級(jí)�;確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體�;根據(jù)不同的受侵害客體�����,從多個(gè)方面綜合評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度,根據(jù)系統(tǒng)服務(wù)的重要性和受到破壞后的危害性確定系統(tǒng)服務(wù)安全等級(jí)�����;由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)的較高者確定定級(jí)對(duì)象的安全保護(hù)等級(jí)��。上述步驟如圖1-1所示���。
定級(jí)對(duì)象受到破壞時(shí)所侵害的客體包括國家安全�、社會(huì)秩序、公眾利益以及公民�����、法人和其他組織的合法權(quán)益����。
侵害國家安全的事項(xiàng)包括以下方面:影響國家政權(quán)穩(wěn)固和國防實(shí)力;影響國家統(tǒng)一�����、民族團(tuán)結(jié)和社會(huì)安定�����;影響國家對(duì)外活動(dòng)中的政治�、經(jīng)濟(jì)利益;影響國家重要的安全保衛(wèi)工作����;影響國家經(jīng)濟(jì)競爭力和科技實(shí)力;其他影響國家安全的事項(xiàng)���。
侵害社會(huì)秩序的事項(xiàng)包括以下方面:影響國家機(jī)關(guān)社會(huì)管理和公共服務(wù)的工作秩序���;影響各種類型的經(jīng)濟(jì)活動(dòng)秩序���;影響各行業(yè)的科研、生產(chǎn)秩序����;影響公眾在法律約束和道德規(guī)范下的正常生活秩序等;其他影響社會(huì)秩序的事項(xiàng)�����。
影響公共利益的事項(xiàng)包括以下方面:影響社會(huì)成員使用公共設(shè)施����;影響社會(huì)成員獲取公開信息資源����;影響社會(huì)成員接受公共服務(wù)等方面;其他影響公共利益的事項(xiàng)�����。
影響公民����、法人和其他組織的合法權(quán)益是指由法律確認(rèn)的并受法律保護(hù)的公民����、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益����。
確定作為定級(jí)對(duì)象的信息系統(tǒng)受到破壞后所侵害的客體時(shí),應(yīng)首先判斷是否侵害國家安全�����,然后判斷是否侵害社會(huì)秩序或公眾利益�,最后判斷是否侵害公民、法人和其他組織的合法權(quán)益��。
各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)特點(diǎn)�����,分析各類信息和各類信息系統(tǒng)與國家安全��、社會(huì)秩序��、公共利益以及公民��、法人和其他組織的合法權(quán)益的關(guān)系,從而確定本行業(yè)各類信息和各類信息系統(tǒng)受到破壞時(shí)所侵害的客體�����。
侵害的客觀方面���。在客觀方面�����,對(duì)客體的侵害外在表現(xiàn)為對(duì)定級(jí)對(duì)象的破壞����,其危害方式表現(xiàn)為對(duì)信息安全的破壞和對(duì)信息系統(tǒng)服務(wù)的破壞��,其中信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性���、完整性和可用性等,系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)����、有效地提供服務(wù),以完成預(yù)定的業(yè)務(wù)目標(biāo)���。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同�,在定級(jí)過程中,需要分別處理這兩種危害方式����。
信息安全和系統(tǒng)服務(wù)安全受到破壞后,可能產(chǎn)生以下危害后果:影響行使工作職能��;導(dǎo)致業(yè)務(wù)能力下降����;引起法律糾紛;導(dǎo)致財(cái)產(chǎn)損失�;造成社會(huì)不良影響;對(duì)其他組織和個(gè)人造成損失����;其他影響。
侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)�,因此,應(yīng)首先根據(jù)不同的受侵害客體�����、不同危害后果分別確定其危害程度�����。對(duì)不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同,例如系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍�����、用戶人數(shù)或業(yè)務(wù)量等不同方面確定��,業(yè)務(wù)信息安全被破壞導(dǎo)致的財(cái)物損失可以從直接的資金損失大小��、間接的信息恢復(fù)費(fèi)用等方面進(jìn)行確定����。
在針對(duì)不同的受侵害客體進(jìn)行侵害程度的判斷時(shí),應(yīng)參照以下不同的判別基準(zhǔn):
如果受侵害客體是公民��、法人或其他組織的合法權(quán)益���,則以本人或本單位的總體利益作為判斷侵害程度的基準(zhǔn);
如果受侵害客體是社會(huì)秩序����、公共利益或國家安全,則應(yīng)以整個(gè)行業(yè)或國家的總體利益作為判斷侵害程度的基準(zhǔn)��。
一般損害:工作職能受到局部影響,業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行�,出現(xiàn)較輕的法律問題,較低的財(cái)產(chǎn)損失�����,有限的社會(huì)不良影響�,對(duì)其他組織和個(gè)人造成較低損害。
嚴(yán)重?fù)p害:工作職能受到嚴(yán)重影響���,業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行�,出現(xiàn)較嚴(yán)重的法律問題�����,較高的財(cái)產(chǎn)損失���,較大范圍的社會(huì)不良影響�����,對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害����。
特別嚴(yán)重?fù)p害:工作職能受到特別嚴(yán)重影響或喪失行使能力,業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行����,出現(xiàn)極其嚴(yán)重的法律問題,極高的財(cái)產(chǎn)損失�,大范圍的社會(huì)不良影響,對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害�。
信息安全和系統(tǒng)服務(wù)安全被破壞后對(duì)客體的侵害程度,由對(duì)不同危害結(jié)果的危害程度進(jìn)行綜合評(píng)定得出�����。由于各行業(yè)信息系統(tǒng)所處理的信息種類和系統(tǒng)服務(wù)特點(diǎn)各不相同���,信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的危害結(jié)果�、危害程度的計(jì)算方式均可能不同���,各行業(yè)可根據(jù)本行業(yè)信息特點(diǎn)和系統(tǒng)服務(wù)特點(diǎn)�����,制定危害程度的綜合評(píng)定方法,并給出侵害不同客體造成一般損害����、嚴(yán)重?fù)p害���、特別嚴(yán)重?fù)p害的具體定義。
4.確定信息系統(tǒng)安全保護(hù)等級(jí)
根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度�,依據(jù)表1-2業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表,即可得到業(yè)務(wù)信息安全保護(hù)等級(jí)����。
表1-2 業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表
業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度,依據(jù)表1-3系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表��,即可得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)���。
表1-3 系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表
系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
作為定級(jí)對(duì)象的信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者決定�。定級(jí)對(duì)象等級(jí)確定后,可參照附錄1中的《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告》模版起草定級(jí)報(bào)告����。
例如����,“奧組委辦公內(nèi)網(wǎng)”承載奧組委內(nèi)部的人事���、財(cái)務(wù)等業(yè)務(wù)����,僅在奧組委少數(shù)部門內(nèi)應(yīng)用����,不傳輸秘密信息和敏感信息。其受到破壞后���,會(huì)影響內(nèi)部辦公��,會(huì)對(duì)社會(huì)秩序���、公共利益造成損害,定為二級(jí)����;“奧組委辦公外網(wǎng)”通過唯一出口與互聯(lián)網(wǎng)相連���,承載奧組委內(nèi)部的電子郵件�、物流、短信平臺(tái)��、場館管理等業(yè)務(wù)��,在奧組委總部范圍應(yīng)用�,其受到破壞后,會(huì)對(duì)社會(huì)秩序�����、公共利益造成損害����,定為二級(jí)?����!捌眲?wù)網(wǎng)站”負(fù)責(zé)提供票務(wù)申請(qǐng)��、信息填寫等業(yè)務(wù)�����,采集購票者信息和訂票信息,不與“票備管理系統(tǒng)”直接相連����,其受到破壞后,會(huì)對(duì)社會(huì)秩序�、公共利益造成損害,定為二級(jí)���?!捌眲?wù)管理系統(tǒng)”存儲(chǔ)處理通過各種方式申請(qǐng)�����、購買奧運(yùn)票務(wù)的個(gè)人數(shù)據(jù)���,是“票備網(wǎng)站”的核心����,其受到破壞后��,會(huì)對(duì)社會(huì)秩序����、公共利益造成嚴(yán)重?fù)p害��,定為三級(jí)�����。“奧運(yùn)官方網(wǎng)站”承擔(dān)在互聯(lián)網(wǎng)上對(duì)外宣傳���、報(bào)道奧運(yùn)重大事項(xiàng)�����,是北京奧運(yùn)通過互聯(lián)網(wǎng)對(duì)外宣傳的門戶��,其服務(wù)器保障性要求很高��,受到破壞后��,會(huì)對(duì)社會(huì)秩序���、公共利益造成嚴(yán)重?fù)p害,定為三級(jí)����?�!案傎惥W(wǎng)”承擔(dān)賽事安排����、計(jì)時(shí)�、成績統(tǒng)計(jì)等重大事項(xiàng),其數(shù)據(jù)安全和服務(wù)保障性要求很高�����,受到破壞洉�,會(huì)對(duì)社會(huì)秩序、公共利益造成嚴(yán)重?fù)p害�,定為三級(jí)。
四���、信息系統(tǒng)備案工作的內(nèi)容和要求
信息安全等級(jí)保護(hù)備案工作包括信息系統(tǒng)備案�、受理��、審核和備案信息管理等工作���。信息系統(tǒng)運(yùn)營使用單位和受理備案的公安機(jī)關(guān)應(yīng)按照《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》(公信安〔2007〕1360號(hào))的要求辦理信息系統(tǒng)備案工作���。
第二級(jí)以上信息系統(tǒng)�,在安全保護(hù)等級(jí)確定后30日內(nèi)���,由其運(yùn)營�����、使用單位或者其主管部門(以下簡稱“備案單位”)到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。辦理備案手續(xù)時(shí)���,應(yīng)當(dāng)首先到公安機(jī)關(guān)指定的網(wǎng)址下載并填寫備案表�����,準(zhǔn)備好備案文件��,然后到指定的地點(diǎn)備案��。
備案時(shí)應(yīng)當(dāng)提交《信息系統(tǒng)安全等級(jí)保護(hù)備案表》(以下簡稱《備案表》����,參見附錄2)(一式兩份)及其電子文檔����。第二級(jí)以上信息系統(tǒng)備案時(shí)需提交《備案表》中的表一���、二、三���;第三級(jí)以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改����、測評(píng)完成后30日內(nèi)提交《備案表》表四及其有關(guān)資料�。
隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)�����,由主管部門向公安部辦理備案手續(xù)���;其他信息系統(tǒng)向北京市公安局備案�����?�?缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行����、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案�。各部委統(tǒng)一定級(jí)信息系統(tǒng)在各地的分支系統(tǒng)(包括終端連接、安裝上級(jí)系統(tǒng)運(yùn)行的沒有數(shù)據(jù)庫的分系統(tǒng))�,即使是上級(jí)主管部門定級(jí)的,也要到當(dāng)?shù)毓簿W(wǎng)監(jiān)備案�����。
地市級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理本轄區(qū)內(nèi)備案單位的備案�。隸屬于省級(jí)的備案單位,其跨地(市)聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)�,由省級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案���。
隸屬于中央的在京單位�����,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)����,由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局受理備案,其他信息系統(tǒng)由北京市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案�。
隸屬于中央的非在京單位的信息系統(tǒng),由當(dāng)?shù)厥〖?jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(或其指定的地市級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門)受理備案����。
跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)(包括由上級(jí)主管部門定級(jí)���,在當(dāng)?shù)赜袘?yīng)用的信息系統(tǒng))�����,由所在地地市級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案��。
公安部組織開發(fā)了重要信息系統(tǒng)安全監(jiān)察管理系統(tǒng)���,配發(fā)給各地,搭建一個(gè)部���、省�、市三級(jí)公安機(jī)關(guān)等級(jí)保護(hù)綜合管理平臺(tái)���。該系統(tǒng)部���、省兩級(jí)公安機(jī)關(guān)部署��,部�、省�����、市三級(jí)公安機(jī)關(guān)應(yīng)用����,為全國信息系統(tǒng)定級(jí)、備案和監(jiān)督檢查工作提供支持�,為重要信息系統(tǒng)安全監(jiān)察業(yè)務(wù)服務(wù)。各地公安機(jī)關(guān)要按照《關(guān)于部署開展等級(jí)保護(hù)安全監(jiān)察管理系統(tǒng)建設(shè)的通知》要求�,組織本地開展系統(tǒng)建設(shè),及時(shí)將定級(jí)備安和相關(guān)數(shù)據(jù)錄入系統(tǒng)�����,利用該系統(tǒng)開展等級(jí)保護(hù)工作�����。
1.受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)該設(shè)立專門的備案窗口��,配備必要的設(shè)備和警力�,專門負(fù)責(zé)受理備案工作,受理備案地點(diǎn)����、時(shí)間、聯(lián)系人和聯(lián)系方式等應(yīng)向社會(huì)公布�。
2.接收備案材料后,公安機(jī)關(guān)應(yīng)當(dāng)對(duì)下列內(nèi)容進(jìn)行審核:備案材料填寫是否完整���,是否符合要求����,其紙質(zhì)材料和電子文檔是否一致�����;信息系統(tǒng)所定安全保護(hù)等級(jí)是否準(zhǔn)確����。
3.公安機(jī)關(guān)收到備案單位提交的備案材料后,對(duì)屬于本級(jí)公安機(jī)關(guān)受理范圍且備案材料齊全的����,應(yīng)當(dāng)向備案單位出具《信息系統(tǒng)安全等級(jí)保護(hù)備案材料接收回執(zhí)》�����;備案材料不齊全的�����,應(yīng)當(dāng)當(dāng)場或者在五日內(nèi)一次性告知其補(bǔ)正內(nèi)容���;對(duì)不屬于本級(jí)公安機(jī)關(guān)受理范圍的,應(yīng)當(dāng)書面告知備案單位到有管轄權(quán)的公安機(jī)關(guān)辦理����。
4.經(jīng)審核符合等級(jí)保護(hù)要求的,公安機(jī)關(guān)應(yīng)當(dāng)自收到備安材料之日起的十個(gè)工作日內(nèi)����,將加蓋本級(jí)公安機(jī)關(guān)印章(或等級(jí)保護(hù)專用章)的《備案表》一份反饋備案單位,一份存檔�����;對(duì)不符合等級(jí)保護(hù)要求的����,公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)在十個(gè)工作日內(nèi)通知備安單位進(jìn)行整改,并出具《信息系統(tǒng)安全等級(jí)保護(hù)備案審核結(jié)果通知》�。
5.《備案表》中表一、表二��、表三內(nèi)容經(jīng)審核合格的����,公安機(jī)關(guān)出具《信息系統(tǒng)安全等級(jí)保護(hù)備案證明》(以下簡稱《備案證明》)?����!秱浒缸C明》由公安部統(tǒng)一監(jiān)制����。
6.受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)建立管理制度,對(duì)備案材料按照等級(jí)進(jìn)行嚴(yán)格管理���,嚴(yán)格遵守保密制度��,未經(jīng)批準(zhǔn)不得對(duì)外提供查詢�����。
(三)對(duì)定級(jí)不準(zhǔn)以及不備案情況的處理
1.公安機(jī)關(guān)對(duì)定級(jí)不準(zhǔn)的備案單位�����,在通知整改的同時(shí)����,應(yīng)當(dāng)建議備案單位組織專家進(jìn)行重新定級(jí)評(píng)審,并報(bào)上級(jí)主管部門審批����。
2.備案單位仍然堅(jiān)持原定等級(jí)的,公安機(jī)關(guān)可以受理其備案���,但應(yīng)當(dāng)書面告知其承擔(dān)由此引發(fā)的責(zé)任和后果����,經(jīng)上級(jí)公安機(jī)關(guān)同意后���,同時(shí)通報(bào)備案單位上級(jí)主管部門�����。
3.對(duì)拒不備案的��,公安機(jī)關(guān)應(yīng)當(dāng)根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等其他有關(guān)法律��、法規(guī)規(guī)定����,責(zé)令限期整改���。逾期仍不備案的�����,予以警告����,并向其上級(jí)主管部門通報(bào)�����。向中央和國家機(jī)關(guān)通報(bào)的��,應(yīng)當(dāng)報(bào)經(jīng)公安部同意��。
