信息系统定级与备案工作介绍 本文主要介绍信息系统安全保护等级的确定,定级工作的流程和要求,备案工作的流程和要求等。 一、 信息系统安全保护等级的划分与保护 (一) 信息系统定级工作原则 信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861 号)要求执行。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,对信息系统进行保护。 在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此 ,国家必 然 要对重要信息系统的安全进行监管。 (二) 信息系统安全保护等级 信息系统的安全保护等级应当 根据信息系统在国家安全、经 济 建设、社会生活 中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以 及 公民 、法 人和其 他 组织的合 法 权 益的危害程度等因素 确定。信息系统的安全保护等级分 为 五级,从 第一级到第五 级逐 级增 高 。 (三) 信息系统安全保护等级的定级要素 信息系统的安全保护等级由两 个 定级要素 决 定:等级保护对象受到破坏时所侵 害的客 体和对客 体造 成 侵 害的程度。 1. 受侵害的客体 等级保护对象受到破坏时所侵 害的客 体包括以 下 三 个 方 面 :一是公民 、法 人和其 他 组织的合 法 权 益;二 是社会秩序、公共利益;三 是国家安全。 2. 对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对...
