关于开展全国重要信息系统安全等级保护定级工作通知

前言 本标准由公安部和全国信息安全标准化技术委员会提出。 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位：公安部信息安全等级保护评估中心。 本标准主要起草人：任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化 领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等 级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通 字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——gb/tbbbbb-bbbb信息系统安全等级保护基本要求； ——gb/tccccc-cccc信息系统安全等级保护实施指南； ——gb/tddd

—1— 中华人民共和国公安部 国家保密局 国家密码管理局 国务院信息化工作办公室 关于开展全国重要信息系统安全等级保护 定级工作的通知 公信安[2007]861号 各省、自治区、直辖市公安厅（局）、保密局、国家密码管理局（国 家密码管理委员会办公室）、信息化领导小组办公室，新疆生产建 设兵团公安局、保密局、国家密码管理局、信息化领导小组办公 室，中央和国家机关各部委保密委员会办公室、密码工作领导小 组办公室、信息化领导小组办公室，各人民团体保密委员会办公 室： 为进一步贯彻落实《国家信息化领导小组关于加强信息安全 保障工作的意见》和公安部、国家保密局、国家密码管理局、国 务院信息化工作办公室《关于信息安全等级保护工作的实施意 见》、《信息安全等级保护管理办法》（以下简称《管理办法》）精 —2— 神，提高我国基础信息网络和重要信息系统的信息安全保护能力

信息系统安全等级保护定级与备案

信息系统安全等级保护定级报告 （起草参考实例之一） 一、x省邮政金融网中间业务系统描述 【责任定位】 （一）该中间业务于xx年xx月xx日由xx省邮政局科技 立项，省邮政信息技术局自主研发。目前该系统由技术局运行维 护部负责运行维护。省邮政局是该信息系统业务的主管部门，省 邮政局委托技术局为该信息系统定级的责任单位。 【基本要素】 （二）此系统是计算机及其相关的和配套的设备、设施构成 的，是按照一定的应用目标和规则对邮储金融中间业务信息进行 采集、加工、存储、传输、检索等处理的人机系统。整个网络分 为两部分，（图略），第一部分为省数据中心，第二部分为市局局 域网。 【系统网络结构】 在省数据中心的核心设备部署了华为的xxxx（型号）三层 交换机，⋯⋯ 在省数据中心的网络中配置了两台与外部网络互联的边界 设备：天融信xxxx（型号）防火墙和ciscoxxxx（型号）

1 附件2:信息系统安全等级保护基本要求 1第一级基本要求 1.1技术要求 1.1.1物理安全 1.1.1.1物理访问控制（g1） 机房出入应安排专人负责，控制、鉴别和记录进入的人员。 1.1.1.2防盗窃和防破坏（g1） 本项要求包括： a)应将主要设备放置在机房内； b)应将设备或主要部件进行固定，并设置明显的不易除去的标记。 1.1.1.3防雷击（g1） 机房建筑应设置避雷装置。 1.1.1.4防火（g1） 机房应设置灭火设备。 1.1.1.5防水和防潮（g1） 本项要求包括： a)应对穿过机房墙壁和楼板的水管增加必要的保护措施； b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 1.1.1.6温湿度控制（g1） 机房应设置必要的温、湿度控制设施，使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.7电力供应（a1） 应在

信息系统安全等级保护 备案表 备案单位：（盖章） 备案日期： 受理备案单位：（盖章） 受理日期： 中华人民共和国公安部监制 备案表编号： 填表说明 一、制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作 本表； 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案 单位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表 二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写 一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系 统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理 备案公安机关提交；表二、表三、表四可以复印使用； 三、保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档； 四、

—9— 附件2： 信息系统安全等级保护 备案表 备案单位：（盖章） 备案日期： 受理备案单位：（盖章） 受理日期： 中华人民共和国公安部监制 备案表编号： —10— 填表说明 一、制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作 本表； 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单 位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为 信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张； 表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一 张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机 关提交；表二、表三、表四可以复印使用； 三、保存方式。本表一式二份，一份由备案单位保存

—9— 信息系统安全等级保护 备案表 备案单位：（盖章） 备案日期： 受理备案单位：（盖章） 受理日期： 表一单位基本情况 备案表编号： —10— 01单位名称 02单位地址 省(自治区、直辖市)地(区、市、州、盟) 县(区、市、旗) 03邮政编码04行政区划代码 05单位 负责人 姓名职务/职称 办公电话电子邮件 06责任部门 07责任部门 联系人 姓名职务/职称 办公电话 电子邮件 移动电话 08隶属关系 1中央2省(自治区、直辖市)3地(区、市、州、盟) 4县（区、市、旗）9其他 09单位类型1党委机关2政府机关3事业单位4企业9其他 10行业类别 11电信12广电13经营性公众互联网 21铁路22银行23海关24税务 25民航26电

序要求类别要求项目子项描述备注 1物理位置的选择 （g4） a)机房和办公场地应选择在具有防震、防风和防雨等 能力的建筑内； b)机房场地应避免设在建筑物的高层或地下室，以及 用水设备的下层或隔壁。 2物理访问控制 （g4） a)机房出入口应安排专人值守并配置电子门禁系统， 控制、鉴别和记录进入的人员； b)需进入机房的来访人员应经过申请和审批流程，并 限制和监控其活动范围； c)应对机房划分区域进行管理，区域和区域之间设置 物理隔离装置，在重要区域前设置交付或安装等过渡 区域； d)重要区域应配置第二道电子门禁系统，控制、鉴别 3防盗窃和防破坏 （g4） a)应将主要设备放置在机房内； b)应将设备或主要部件进行固定，并设置明显的不易 除去的标记； c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道 中； d)应对介质分类标识

附件1：《信息系统安全等级保护定级报告》模版 《信息系统安全等级保护定级报告》 一、xxx信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说 明：一是描述承担信息系统安全责任的相关单位或部门，说 明本单位或部门对信息系统具有信息安全保护责任，该信息 系统为本单位或部门的定级对象；二是该定级对象是否具有 信息系统的基本要素，描述基本要素、系统网络结构、系统 边界和边界设备；三是该定级对象是否承载着单一或相对独 立的业务，业务情况描述。 二、xxx信息系统安全保护等级确定（定级方法参见国家标 准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么，即对三个客体 （国家安全；社会秩序和公众利益；公民、法人和其他组织 的合法权益）中的哪

—9— 附件1：《信息系统安全等级保护定级报告》模版 《信息系统安全等级保护定级报告》 一、xxx信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明： 一是描述承担信息系统安全责任的相关单位或部门，说明本 单位或部门对信息系统具有信息安全保护责任，该信息系统 为本单位或部门的定级对象；二是该定级对象是否具有信息 系统的基本要素，描述基本要素、系统网络结构、系统边界 和边界设备；三是该定级对象是否承载着单一或相对独立的 业务，业务情况描述。 二、xxx信息系统安全保护等级确定（定级方法参见国家标准 《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么，即对三个客体 —10— （国家安全；社会秩序和公众利益；公民、法人和其

中华人民共和国国家标准 gb/t22239—2008 ics35.040 l80 信息安全技术 信息系统安全等级保护基本要求 informationsecuritytechnology— baselineforclassifiedprotectionofinformationsystem 2008-06-19发布2008-11-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布 gb/t22239—2008 i 目次 前言..............................................................................iii 引言.......................................

本文在建立信息系统保护等级评价指标体系的基础上,应用属性综合评价系统对信息系统安全保护等级进行综合评定,为评定信息系统是否符合相应等级的保护要求提供了一种符合实际和准确的评价模型。

随着网络新技术的飞速发展和各类信息系统的广泛应用,网络与信息安全也相应出现许多新情况、新问题,福建省网络与信息安全防护工作面临的形势十分严峻。基础信息网络已成为重要的社会基础设施,重要信息系统已成为相关领域不可或缺的工作平台,信息安全已成为国家安全的重要组成部分。信息安全等级保护是信息安全保护体系建设的重要内容,是信息安全保障工作的一项重要制度和一项基础性工作。着重阐述了开展信息安全等级保护工作的重要性和必要性,就如何加快推进并落实到位福建省重要信息系统安全等级保护工作进行了探讨。

附件1 信息系统安全等级保护定级报告 一、xxx信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明： 一是描述承担信息系统安全责任的相关单位或部门，说明本 单位或部门对信息系统具有信息安全保护责任，该信息系统 为本单位或部门的定级对象；二是该定级对象是否具有信息 系统的基本要素，描述基本要素、系统网络结构、系统边界 和边界设备；三是该定级对象是否承载着单一或相对独立的 业务，业务情况描述。 二、xxx信息系统安全保护等级确定（定级方法参见国家 标准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定。 1.业务信息描述。描述信息系统处理的主要业务信息等。 2.业务信息受到破坏时所侵害客体的确定。说明信息受 到破坏时侵害的客体是什么，即对三个客体（国家安全，社 会秩序和公众利益，公民、法人和其他组织的合法权益）中 的哪些客体造成侵害。 3.信息受到破坏

信息系统安全等级保护 备案表 备案单位：保康县房产管理局 备案日期：2014年10月14日 受理备案单位： 受理日期： 中华人民共和国公安部监制 备案表编号： 2 填表说明 一、制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作 本表； 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案 单位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表 二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写 一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系 统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理 备案公安机关提交；表二、表三、表四可以复印使用； 三、保存方式。本表一式二份，一份由备案单位保存，一份

信息系统安全等级保护 备案表 备案单位：（盖章） 备案日期： 受理备案单位：（盖章） 受理日期： 中华人民共和国公安部监制 填表说明 备案表编号： 一、制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作 本表； 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单 位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为 信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张； 表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一 张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机 关提交；表二、表三、表四可以复印使用； 三、保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档； 四、

信息系统安全等级保护 备案表 备案单位：（盖章） 备案日期： 受理备案单位：北京市公安局朝阳分局网络安全保卫大队 受理日期： 中华人民共和国公安部监制 备案表编号：110105 填表说明 一、制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作 本表； 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单 位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为 信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张； 表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一 张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机 关提交；表二、表三、表四可以复印使用； 三、保存方式。本表一式二份，一

信息系统安全等级保护 备案表 备案单位：（盖章） 备案日期： 受理备案单位：（盖章） 受理日期： 中华人民共和国公安部监制 备案表编号： 填表说明 一、制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作 本表； 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单 位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为 信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张； 表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一 张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机 关提交；表二、表三、表四可以复印使用； 三、保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档； 四、

1 信息系统安全等级保护 备案表 备案单位：（盖章） 备案日期： 受理备案单位：（盖章） 受理日期： 中华人民共和国公安部监制 备案表编号： 2 填表说明 一、制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作本表； 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单位”） 填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统基 本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上 信息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、 整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以 复印使用； 三、保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存

医院信息系统安全等级保护测评备案实施-论文

中华人民共和国国家标准 gb/t××××—×××× ics35.040 l80 信息安全技术 信息系统安全等级保护实施指南 informationsecuritytechnology- implementationguideforclassifiedprotectionofinformationsystem （报批稿） 全国信息安全标准化技术委员会 ××××-××-××发布××××-××-××实施 gb/txxxx–xxxx i 目次 前言................................................................................iii 引言...................................................