中石化 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見

1、<p><b>　　附件四：</b></p><p>　　中國石化信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作</p><p><b>　　指導(dǎo)意見</b></p><p><b>　　總 則</b></p><p>　　為貫徹落實(shí)國家信息安全等級(jí)保護(hù)的有關(guān)文件精神，切實(shí)做好中國石

2、化信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作，根據(jù)公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室四部委聯(lián)合發(fā)布的《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）等有關(guān)文件要求，結(jié)合中國石化實(shí)際，制定本指導(dǎo)意見。</p><p>　　信息安全等級(jí)保護(hù)是國家信息安全保障工作的基本制度、基本策略、基本方法，是中國石化開展信息系統(tǒng)安全保護(hù)工作的重要依據(jù)和有效途徑。</p><p>　　定級(jí)是

3、等級(jí)保護(hù)工作的首要環(huán)節(jié)，是開展信息系統(tǒng)安全建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)，各企事業(yè)單位要高度重視，按照“正確理解，把握尺度，準(zhǔn)確定級(jí)”的總體要求完成定級(jí)工作。</p><p>　　定級(jí)工作應(yīng)遵循“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)”、“自主定級(jí)，自主保護(hù)”、“屬地化”與“總部管理”相結(jié)合的原則，各企事業(yè)單位應(yīng)在總部和當(dāng)?shù)毓矙C(jī)關(guān)指導(dǎo)下，深入分析信息系統(tǒng)情況準(zhǔn)確定級(jí)。</p><p&g

4、t;　　本次定級(jí)的范圍為已投入運(yùn)行并正在使用的信息系統(tǒng)。新建信息系統(tǒng)應(yīng)在項(xiàng)目規(guī)劃、設(shè)計(jì)的同期確定安全等級(jí)。</p><p><b>　　組織與職責(zé)</b></p><p>　　各企事業(yè)單位應(yīng)明確責(zé)任部門，負(fù)責(zé)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)及其后續(xù)工作。</p><p>　　信息系統(tǒng)使用部門為信息系統(tǒng)定級(jí)的責(zé)任單位，應(yīng)主導(dǎo)對(duì)業(yè)務(wù)信息系統(tǒng)定級(jí)，并根據(jù)業(yè)務(wù)

5、需要，提出適當(dāng)?shù)陌踩蟆?lt;/p><p>　　信息管理部門負(fù)責(zé)組織定級(jí)工作，包括協(xié)助指導(dǎo)、組織評(píng)審、上報(bào)審批、備案等，并按照業(yè)務(wù)要求開展后續(xù)的安全保護(hù)工作。 </p><p><b>　　等級(jí)劃分</b></p><p>　　根據(jù)國家信息安全等級(jí)保護(hù)相關(guān)文件規(guī)定，信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)： 　　第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民

6、、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。 　　第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全。 　　第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國家安全造成損害。 　　第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國家安全造成嚴(yán)重?fù)p害。 　　第五級(jí)，信息系統(tǒng)受到破

7、壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。 </p><p>　　信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定，即等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度。</p><p>　　等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面：　　(1)公民、法人和其他組織的合法權(quán)益； 　　(2)社會(huì)秩序、公共利益； 　　(3)國家安全。 </p><p>　　等級(jí)保

8、護(hù)對(duì)象受到破壞時(shí)對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對(duì)客體的侵害是通過對(duì)等級(jí)保護(hù)對(duì)象的破壞實(shí)現(xiàn)的，因此，對(duì)客體的侵害外在表現(xiàn)為對(duì)等級(jí)保護(hù)對(duì)象的破壞，通過危害方式、危害后果和危害程度加以描述。對(duì)客體造成侵害的程度歸結(jié)為以下三種： 　　(1)造成一般損害； 　　(2)造成嚴(yán)重?fù)p害； 　　(3)造成特別嚴(yán)重?fù)p害。 </p><p>　　定級(jí)要素與等級(jí)的關(guān)系如表1所示。</p>&l

9、t;p>　　表1 定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系</p><p><b>　　定級(jí)方法</b></p><p>　　各企事業(yè)單位應(yīng)深入分析信息系統(tǒng)的業(yè)務(wù)種類、工作流程、服務(wù)范圍、信息類型、用戶分布、管理模式及軟硬件情況，合理劃分定級(jí)對(duì)象，作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具備三個(gè)基本條件,即“具備唯一確定的安全責(zé)任單位”、“具備信息系統(tǒng)的基本要素”以及“承載單一或相對(duì)獨(dú)立的

10、業(yè)務(wù)應(yīng)用”。</p><p>　　信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，業(yè)務(wù)信息安全指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。</p><p>　　信息系統(tǒng)定級(jí)應(yīng)分別從上述兩個(gè)方面準(zhǔn)確評(píng)定兩個(gè)定級(jí)要素，確定安全等級(jí)。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱業(yè)務(wù)信息安全保護(hù)等級(jí)。從系統(tǒng)服務(wù)安全角度反映

11、的信息系統(tǒng)安全保護(hù)等級(jí)稱系統(tǒng)服務(wù)安全保護(hù)等級(jí)。</p><p>　　定級(jí)要素與業(yè)務(wù)信息安全保護(hù)等級(jí)及系統(tǒng)服務(wù)安全保護(hù)等級(jí)的關(guān)系如表2所示。</p><p>　　表2定級(jí)要素與業(yè)務(wù)信息/系統(tǒng)服務(wù)安全保護(hù)等級(jí)的關(guān)系</p><p>　　確定信息系統(tǒng)安全保護(hù)等級(jí)的一般流程如下：</p><p>　　(1)確定作為定級(jí)對(duì)象的信息系統(tǒng)；</p&g

12、t;<p>　　(2)確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體； </p><p>　　(3)根據(jù)不同的受侵害客體，從多個(gè)方面綜合評(píng)定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度； </p><p>　　(4)依據(jù)表2，得到業(yè)務(wù)信息安全保護(hù)等級(jí)； </p><p>　　(5)確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體； </p><p>　　(

13、6)根據(jù)不同的受侵害客體，從多個(gè)方面綜合評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度； </p><p>　　(7)依據(jù)表2，得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)； </p><p>　　(8)將業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者確定為定級(jí)對(duì)象的安全保護(hù)等級(jí)。</p><p>　　在針對(duì)不同的受侵害客體進(jìn)行侵害程度的判斷時(shí)，應(yīng)參照不同的判別基準(zhǔn)。如果受侵害客體是公民、

14、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判斷侵害程度的基準(zhǔn)；如果受侵害客體是社會(huì)秩序、公共利益或國家安全，則應(yīng)以整個(gè)行業(yè)或國家的總體利益作為判斷侵害程度的基準(zhǔn)。</p><p>　　一般損害指工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財(cái)產(chǎn)損失，有限的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較低損害。 </p><p>　　嚴(yán)重?fù)p害指工

15、作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財(cái)產(chǎn)損失，較大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害。</p><p>　　特別嚴(yán)重?fù)p害指工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財(cái)產(chǎn)損失，大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。</p><p>　　總部和企業(yè)聯(lián)

16、網(wǎng)運(yùn)行的同類信息系統(tǒng)，企業(yè)應(yīng)參照總部相應(yīng)信息系統(tǒng)的定級(jí)情況確定安全等級(jí)。原則上企業(yè)同類信息系統(tǒng)的安全等級(jí)不高于總部。</p><p>　　在信息系統(tǒng)的運(yùn)行過程中，安全保護(hù)等級(jí)應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進(jìn)行適當(dāng)?shù)淖兏?lt;/p><p><b>　　評(píng)審與審批</b></p><p>　　各企事業(yè)單位初步定級(jí)后可自行聘請(qǐng)專家進(jìn)行咨詢

17、評(píng)審，并出具定級(jí)評(píng)審意見，填寫定級(jí)情況申報(bào)表報(bào)總部信息系統(tǒng)管理部審批。</p><p>　　擬定為四級(jí)及以上的信息系統(tǒng)，應(yīng)邀請(qǐng)國家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)進(jìn)行評(píng)審。</p><p><b>　　備 案</b></p><p>　　各企事業(yè)單位完成定級(jí)后，應(yīng)將全部定級(jí)情況（包括一級(jí)）向總部信息系統(tǒng)管理部備案。</p><

18、;p>　　擬定為二級(jí)及以上的信息系統(tǒng)應(yīng)按照“屬地化”原則向當(dāng)?shù)厥屑?jí)以上公安機(jī)關(guān)備案。</p><p>　　跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由總部統(tǒng)一定級(jí)的信息系統(tǒng)，由總部統(tǒng)一向公安部備案?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，由所屬單位向當(dāng)?shù)厥屑?jí)以上公安機(jī)關(guān)備案。</p><p>　　參照《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》模板及《信息系統(tǒng)安全等級(jí)保護(hù)備案表》填表說明，

19、完成備案材料的整理和填寫，及時(shí)向總部和公安機(jī)關(guān)進(jìn)行備案，兩級(jí)備案材料應(yīng)一致。</p><p>　　定級(jí)工作以備案完成為標(biāo)志。</p><p><b>　　附 則</b></p><p>　　本指導(dǎo)意見由中國石油化工股份有限公司信息系統(tǒng)管理部負(fù)責(zé)解釋。</p><p>　　本指導(dǎo)意見自正式發(fā)布之日起執(zhí)行。</p&g