各市公安局、国家保密局、国家密码管理局、信息化工作领导小组办公室：

　　为切实维护国家重要基础信息网络和关系国家安全、经济命脉、社会稳定等方面重要信息系统的安全，促进信息安全与信息化建设协调发展，努力提高信息安全保障能力和水平，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室决定，自现在起至今年9月底，在全国组织开展重要信息系统安全等级保护定级工作。根据全国重要信息系统安全等级保护定级工作电视电话会议统一部署，省公安厅、省国家保密局、省国家密码管理局、省信息化工作领导小组办公室共同制定了《江苏省开展重要信息系统安全等级保护定级工作的实施意见》，现印发给你们，请即报告党委、政府，结合本地实际，认真组织实施。有关工作情况，请及时报全省信息安全等级保护工作协调小组办公室。

　　hth最新版本下载（印）江苏省国家保密局（印）

　　江苏省国家密码管理局（印）江苏省信息化工作领导小组办公室（印）

　　二OO七年八月二十日

　　江苏省开展重要信息系统安全等级保护定级工作的实施意见

　　为切实做好全省重要信息系统安全等级保护定级工作，根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发〈信息安全等级保护管理办法〉的通知》（公通字[2007]43号，以下简称《管理办法》）和《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号，以下简称《定级通知》要求，现决定自现在起至9月底，在全省组织开展重要信息系统安全等级保护定级工作。现提出以下实施意见：

　　一、指导思想

　　以党的十六届六中全会和省第十一次党代会精神为指导，全面落实科学发展观，按照国家关于加强信息安全保障工作的总体要求，认真组织全省重要信息系统运营使用单位开展信息安全等级保护定级工作，全面提高全省重要基础信息网络和信息系统的安全保障能力和水平，促进全省信息化建设与发展，切实维护国家安全、社会稳定和公共利益，为党的十七大胜利召开和北京奥运会成功举办创造安全有序的信息网络环境。

　　二、目标任务

　　按照公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《管理办法》和《定级通知》要求，认真组织开展全省基础信息网络和重要信息系统的基础调查、定级、评审、备案等工作，按时完成全省重要信息系统信息安全等级保护定级工作任务。具体工作目标是：完成省辖市以上党政机关重要网站和办公信息系统，电信、广电等基础信息网络，铁路、银行等重要信息系统以及涉及国家秘密的信息系统（以下简称“涉密信息系统”）等定级工作；完成第二级以上重要信息系统以及涉密信息系统的备案工作；建立健全全省信息安全等级保护组织领导、评审测评、监督检查等工作机制。

　　三、定级范围

　　（一）省辖市以上党政机关的重要网站和办公信息系统；

　　（二）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统；

　　（三）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统；

　　（四）涉密信息系统。

　　四、定级对象、等级保护划分及定级方法

　　各地各部门和信息系统运营使用单位及其主管部门应当依据《管理办法》、《定级通知》和《信息安全技术信息系统安全等级保护定级指南》（以下简称《定级指南》），确定定级对象，开展信息安全等级保护定级工作。

　　（一）定级对象

　　根据重要信息系统重点保护，有效控制信息安全建设成本，优化信息安全资源配置等原则，重要信息系统运营使用单位按照以下原则和基本特征确定定级对象：

　　1、信息系统具有唯一确定的安全责任单位；

　　2、信息系统是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体；

　　3、信息系统承载单一或相对独立的业务应用，业务流程独立，信息处理设备独享。

　　（二）信息安全等级保护划分

　　第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。该级信息系统运营、使用单位依据国家有关管理规范和技术标准进行自我保护。

　　第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。该级信息系统信息安全等级保护工作，由国家信息安全监管部门进行指导。

　　第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。该级信息系统信息安全等级保护工作，由国家信息安全监管部门进行监督、检查。

　　第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。该级信息系统信息安全等级保护工作，由国家信息安全监管部门进行强制监督、检查。

　　第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。该级信息系统信息安全等级保护工作，由国家指定专门部门进行专门监督、检查。

　　（三）定级要素

　　信息系统的安全等级由等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度两个要素决定。客体包括公民、法人和其他组织的合法权益，社会秩序、公共利益及国家安全等三个方面，并随着重要性的递增其安全等级依次提高；同时，对客体造成侵害的程度分为一般损害、严重损害和特别严重损害，损害程度愈深，安全等级越高。

　　（四）定级方法

　　根据《定级指南》定级规则，信息系统的安全等级由该系统的业务信息安全等级和系统服务安全等级确定。其定级流程和方法是：

　　1、确定作为定级对象的信息系统；

　　2、确定业务信息安全受到破坏时所侵害的客体，并根据不同的受侵害客体，综合评定业务信息安全被破坏对客体的侵害程度，确定业务信息安全保护等级；

　　3、确定系统服务安全受到破坏时所侵害的客体，并根据不同的受侵害客体，综合评定系统服务安全被破坏对客体的侵害程度，确定系统服务安全保护等级；

　　4、根据所确定的业务信息安全等级、系统服务安全等级，最终确定信息系统安全等级，等级最高者为定级对象的安全保护等级。

　　五、工作措施和步骤

　　全省重要信息系统安全等级保护定级工作分三个阶段进行：

　　（一）动员部署和调查摸底阶段。现在起至8月下旬。各地、各部门对本地、本行业信息安全等级保护定级工作进行全面动员部署，成立工作领导（协调）小组，落实专门力量开展等级保护工作。重要信息系统运营使用单位要成立等级保护工作组，具体承担本单位的安全等级保护工作。各行业主管部门、运营使用单位组织对所属信息系统开展摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《管理办法》、《定级通知》和《定级指南》要求，确定定级对象。各行业主管部门要根据行业特点提出本行业信息安全等级保护定级工作的具体实施意见。

　　（二）确定等级和评审阶段。9月上旬到9月中旬。

　　1、各重要信息系统运营使用单位及其主管部门要按照《管理办法》、《定级通知》和《定级指南》，初步确定定级对象的安全保护等级，起草定级报告（报告模版见附件1）。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

　　2、省公安厅会同省保密局、省密码管理局、省信息办成立由信息安全专家、安全技术研发单位专家和行业信息安全专家等组成的江苏省信息安全等级保护专家评审委员会，各省辖市也要成立信息安全等级保护专家评审组，负责定级评审等等级保护技术指导工作。涉密信息系统的等级评审工作由省保密局按照国家保密局有关规定和要求组织实施。

　　3、对重要信息系统运营使用单位或其主管部门自主确定为第四级以上（含，下同）信息系统的，应要求运营使用单位或其主管部门向国家信息安全等级保护专家评审委员会申请定级评审；对自主确定为第三级信息系统的，应要求运营使用单位或其主管部门向江苏省信息安全等级保护专家评审委员会申请定级评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级，形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。

　　（三）备案管理阶段。9月中旬至9月底。

　　1、信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到所在地市级以上公安机关网络监察部门领取《信息系统安全等级保护备案表》（见附件2）和辅助备案工具软件，持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。其中，第二级信息系统的备案单位只需填写备案表中的表一、表二和表三，第三级以上信息系统的备案单位还应当同时提交备案表表四所列各项内容的书面材料。

　　2、省直相关部门、单位，跨省市或全国统一联网运行并由主管部门统一定级的信息系统，由相关部门、单位或主管部门向省公安厅网络警察总队办理备案手续，上述部门、单位信息系统在各地运行、应用的分支系统，应向省辖市公安局网络警察支队（处）办理备案手续。

　　3、涉密信息系统建设使用单位依据《管理办法》、《定级通知》和国家保密局的有关规定，填写《涉及国家秘密的信息系统分级保护备案表》（见附件3），按照属地化管理原则，地方单位的涉密信息系统向所在地的市级以上保密工作部门备案；中央和国家机关地方所属单位的涉密信息系统，向省级保密工作部门备案。

　　4、公安机关和国家保密工作部门要切实加强信息系统安全等级保护备案管理工作，信息系统备案后，公安机关网络监察部门应当对信息系统的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的，应当通知备案单位予以纠正。发现定级不准的，应当通知运营使用单位或其主管部门重新审核确定。各级保密工作部门要加强对涉密信息系统定级工作的指导、监督和检查。

　　六、工作要求

　　（一）加强领导，落实保障。为加强对全省信息安全等级保护工作的领导，省政府决定成立由省长助理、公安厅长黄明同志任组长，省政府副秘书长于利中同志任副组长，省公安厅、省保密局、省密码管理局和省信息化工作领导小组办公室负责同志为成员的全省信息安全等级保护工作协调小组，在省公安厅设立由四厅局相关职能部门负责人参加的全省信息安全等级保护协调小组办公室，具体负责全省信息安全等级保护工作的规划、协调和指导。各地也要成立相应的领导机构，加强对本地信息安全等级保护工作的组织领导，抓紧制定具体的工作方案，深入推进信息安全等级保护定级工作的开展。信息系统运营使用单位要成立等级保护工作组，落实责任部门、责任人员、技术支持力量和经费，保障定级工作顺利进行。

　　（二）明确责任，密切配合。信息安全等级保护定级工作由各级公安机关牵头，会同国家保密工作部门、国家密码管理部门和信息化工作领导小组办公室共同组织实施。公安机关负责定级工作的监督、检查、指导；国家保密工作部门负责涉密信息系统定级工作的监督、检查、指导；国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导；信息化工作领导小组办公室负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作，督促其落实定级工作各项任务。各信息系统运营使用单位依据《管理办法》、《定级通知》和本实施意见的要求，具体实施定级工作。各地公安、保密、密码管理和信息办等职能部门要牢固树立“一盘棋”思想，既各司其职、各负其责，又加强协作、密切配合，真正形成工作合力。同时，要充分发挥各重点部门、单位本系统、本条线信息安全等级保护职能的作用，共同促进信息安全等级保护工作的开展，确保实现预期的工作目标。

　　（三）深入宣传，组织培训。各地要加大宣传工作力度，营造良好的信息安全等级保护工作的氛围。各地要认真组织信息安全等级保护定级工作培训班，省公安厅、省国家保密局、省国家密码管理局负责对省直相关部门、单位的培训；各市公安局、国家保密局、国家密码管理局负责对本地重要信息系统运营使用单位的培训。

　　（四）检查指导，认真总结。9月下旬，省信息安全等级保护工作协调小组办公室将组织有关部门成立联合检查组，赴各地进行督导、检查。各地、各部门要结合本地区、本行业开展信息安全等级保护定级工作的实际，认真总结经验和不足，提出改进和完善定级方法的意见和建议。定级工作总结请于9月30日前报省信息安全等级保护工作协调小组办公室，涉密信息系统定级工作总结报告直接报省国家保密局。对全省定级工作扎实、成效显著的地区和单位，将给予表扬；对工作不力、未达到定级工作标准的，将在全省通报批评。