等保实施方案

1、浙江省信息安全等级保护工作协调小组浙等保20073号关于印发浙江省信息安全等级保护工作实施方案的通知各市公安局、保密局、机要局、信息化工作领导小组办公室， 省级各有关单位：现将省公安厅、省保密局、省国家密码管理局、省信息 化工作领导小组办公室联合制定的浙江省信息安全等级保 护工作实施方案印发你们，请认真贯彻执行。实行信息安全等级保护制度，是提高信息安全保障能力 和防护水平，保障和促进信息化建设健康发展，维护国家安 全、社会稳定和公共利益的迫切需要。各级各部门必须进一 步增强信息安全意识，在党委、政府的统一领导下，依据国 家标准、要求和浙江省信息安全等级保护工作实施方案 认真组织实施。工作中遇到

2、问题，请及时与我们联系省公安厅联系人：蔡林、张亮，联系电话：联系电省保密局联系人：沈剑霞，联系电话：； 省国家密码管理局联系人：徐力，联系电话： 省信息化工作领导小组办公室联系人：姜华话：。浙江省信息安全等级保护工作协调小组办公室（印）二七年八月二十日浙江省信息安全等级保护工作实施方案为贯彻落实国家信息化领导小组关于加强信息安全保障工作的意见和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室关于信息安全等级保护工作的实 施意见以及浙江省信息安全等级保护管理办法，根据国家信息安全等级保护工作协调小组的部署，结合我省实际， 制订本方案。一、指导思想以中央和省委、省政府有关加强信息安全保障

3、工作的意 见为指导，通过全面推行信息安全等级保护工作，提高我省 信息安全的保障能力和防护水平，维护国家安全、社会稳定 和公共利益，保障和促进信息化建设的健康发展。二、工作目标通过实行等级保护工作，使基础信息网络和重要信息系 统的核心要害部位得到有效保护，涉及国家安全、社会稳定 和公共利益的基础信息网络和重要信息系统的保护状况有较 大改善。通过全面推行信息安全等级保护制度，逐步将信息安全 等级保护制度落实到信息系统安全规划、建设、测评、运行 维护和使用等各个环节，使我省信息安全保障状况得到基本 改善。通过加强和规范信息安全等级保护管理，不断提高我省 信息安全保障能力，为维护信息网络的安全稳定，促

4、进信息 化发展服务。三、组织管理为加强信息安全等级保护工作的领导，成立由省公安厅 牵头，省保密局、省国家密码管理局和省信息办等有关部门 参加的浙江省信息安全等级保护工作协调小组，负责我省信 息安全等级保护工作的组织协调，并下设办公室在省公安厅。 设区市的公安机关、保密部门、密码管理部门和信息化行政 主管部门也要联合成立由公安机关牵头的信息安全等级保护 工作协调小组，建立相应办事机构，负责本地信息安全等级 保护工作。信息系统的建设、运营、使用单位应成立由主管领导参 加的信息安全等级保护工作领导小组，并确定职能部门负责 本系统、本单位的信息安全等级保护工作。省、设区的市信息化行政主管部门应当分别建

5、立省、市 信息系统保护等级专家评审组，并分别负责对涉及全省和全 市的基础信息网络和重要信息系统的信息安全保护等级进行 审定。为保证信息安全等级测评工作正常、有效开展，成立由 省公安厅牵头，省保密局、省国家密码管理局、省信息办和 省国家安全厅等单位有关专家参加的测评机构审查小组，对 在我省基础信息网络和重要信息系统中开展测评工作的测评 机构及其主要业务、技术人员的资质，以及安全保密测评资 格进行专门审查，审查后公布推荐目录，供我省基础信息网 络和重要信息系统使用单位选择使用。四、工作内容（一）系统定级 信息系统运营、使用单位应按照国家有关规定，确定信 息系统的安全保护等级，有主管部门的，应当经主

6、管部门审 核批准。系统涉及国家秘密的部分，应当按照涉密信息系 统分级保护管理办法 （国保发 200516 号）和涉及国家秘 密 的 信 息 系 统 分 级 保 护 技 术 要 求 （ 国 家 保 密 标 准 BMBl7-2006 ）确定信息系统的安全保护等级。跨市或者全省 统一联网运行的信息系统可以由主管部门统一确定安全保护 等级。（二）定级评审属于基础信息网络和重要信息的系统 运营、使用单位初 步确定安全保护等级后， 应聘请省或市信息系统保护等级专 家评审组的专家进行 评审。对拟确定为第四级、第五级信息 系统的，运营、使用单位或主管部门应经省信息化行政主管 部门初审后，请国家信息安全等级保护

7、专家评审委员会评审。 其它定级评审，依照浙江省信息安全等级评审实施细则 执行。（三）系统备案 安全保护等级为二级以上的信息系统，其运营、使用单 位需在等级确定后的三十天内，向设区的市级以上公安机关 备案。安全保护等级为五级的，由国家指定的专门部门进行 备案。系统涉及国家秘密的，向设区的市级以上保密工作部 门备案。系统中使用密码设备的，密码设备要向设区的市级 以上密码管理部门备案。省公安厅负责安全保护等级确定为第二级以上的省级基 础信息网络、省级重要领域信息系统、跨设区市联网运行的 信息系统，及安全保护等级为四级的信息系统备案工作，其 余需要备案的系统由其运营、使用单位到设区市公安机关备 案。办

8、理备案手续时，应提交信息系统安全等级保护备案 表，安全保护等级为三级以上的应同时提供备案表所列的 “系统拓扑结构及说明”等备案材料，并可利用辅助备案工 具软件生成备案电子数据一并向公安机关提交。 信息系统安 全等级保护备案表和辅助备案工具软件可在省公安厅门户 网站下载。信息系统备案后，公安机关应当对信息系统的备案情况 进行审核，发现不符合国家有关规定、标准的，应当在收到 备案材料之日起的 10 个工作日内通知备案单位予以纠正；发 现定级不准的，应当在收到备案材料之日起的 10 个工作日内 通知备案单位重新确定。信息系统运营、使用单位重新确定 信息系统安全等级后，应向公安机关重新备案。（四）等级

9、测评、整改信息系统运营、使用单位在进行信息系统备案后，应当 选择测评机构进行安全测评。测评机构依据信息系统安全 等级保护测评要求等技术标准，对信息系统安全等级状况 开展测评，给出相应的系统安全检测评估报告。经测评信息 系统安全状况未达到安全保护等级要求的，运营、使用单位 应当制定方案进行整改，以符合安全保护等级要求。对符合 等级保护要求的， 公安机关应当颁发信息系统安全等级保护 备案证明。安全保护等级为五级的信息系统，由国家指定的 专门部门进行测评和整改。（五）安全管理、建设信息系统运营、使用单位应根据国家有关规定和技术标 准，建立信息安全等级保护管理制度，落实安全保护责任。 具体包括制定信息

10、安全事件等级响应和处置制度；信息安全 等级保护系统建设、运行维护制度；信息系统安全检测和风 险评估制度；安全教育和培训制度等。根据检测评估报告中 反映出的安全问题，要按照信息系统安全等级保护基本要 求和风险评估有关标准，确定系统安全需求，制定系统总 体安全策略和相关制度，细化符合安全等级保护要求的系统 安全技术框架和安全管理框架方案，明确安全建设计划，并全面组织实施。同时，基础信息网络和重要信息系统的运营、使用单位， 应当按照国家有关技术规范和标准，每年对系统的信息安全 状况进行一次全面的测评或者自查。第四级信息系统应当每 半年至少进行一次测评或者自查，第五级信息系统应当依据 特殊安全需求进行

11、测评或者自查。经测评或者自查，信息系 统安全状况未达到安全保护等级要求的，运营、使用单位要 进行整改，直至达到安全保护等级要求。五、监督管理 根据信息安全等级保护工作的职责分工，公安机关负责 信息安全等级保护工作的总体监督、检查、指导。保密工作 部门负责信息安全等级保护工作中有关保密工作的监督、检 查、指导。密码管理部门负责信息安全等级保护工作中有关 密码工作的监督、检查、指导。信息化行政主管部门负责信 息安全等级保护工作的部门间协调。公安机关要对第三级、第四级信息系统的运营、使用单 位的信息安全等级保护工作情况进行检查。对第三级信息系 统每年至少检查一次，对第四级信息系统每半年至少检查一 次

12、。对跨市或全省统一联网运行的信息系统检查，要会同其 主管部门进行。保密工作部门要加强涉密信息系统运行中的保密监督检 查。对秘密级、机密级信息系统每两年至少进行一次保密检 查或者系统测评，对绝密级信息系统每年至少进行一次保密 检查或者系统测评。密码管理部门要定期或者不定期对信息系统等级保护工 作中密码配备、使用和管理的情况进行检查和测评，对重要 涉密信息系统的密码配备、使用和管理情况，每两年至少进 行一次检查和测评。六、工作安排 按照突出重点、统筹规划，重点保障基础信息网络和重 要信息系统安全的总体要求和原则，我省信息安全等级保护 工作将分批、分阶段进行。2007 年 8 月至 10 月集中开展

13、基础信息网络和重要信息系统的定级工作我省重要信息系统包括：1、党政事务处理信息系统和重要网站；2、金融、财税、海关业务信息系统；3、铁路、机场、交通（港口）等业务信息系统；4、医疗、社（医）保、供水、电力、燃气等业务信息系 统；5、涉及国家秘密的信息系统；6、国家和省规定的其他重要信息系统。 基础信息网络主要包括公用通信网、广播电视传输网等。 其它已运营、使用信息系统和新建信息系统按照相关规 定开展等级保护工作。（一）准备阶段 （ 2007年 8月 25 日9月 5日） 设区的市公安机关、保密工作部门、密码管理部门和信 息化行政主管部门联合成立公安机关牵头的信息安全等级保 护工作协调小组，建立

14、相应办事机构，积极做好信息安全等 级保护工作的宣传、培训和组织工作，全面推进本地信息安 全等级保护工作。设区的市信息化行政主管部门成立市信息系统安全等级 保护专家评审组，积极做好信息安全等级保护工作的咨询和 定级评审工作。各行业主管部门，信息系统运营、使用单位成立信息安 全等级保护工作领导小组，对所属信息系统进行摸底调查， 全面掌握信息系统的业务类型、应用或服务范围、系统结构 等基本情况，确定定级对象，并提出开展本行业、本单位等 级保护工作的具体意见。（二）组织实施阶段（ 2007年 9月 5日至 2009年 10月20 日）1、定级备案工作。 基础信息网络和重要信息系统在 2007 年 10

15、 月 20 日前完成定级、评审和初备案工作。其余信息系 统在 2008 年 6月 30日前完成。2、等级测评工作。 基础信息网络和重要信息系统在 2008 年 7 月 31 日前完成等级测评工作。其余信息系统在 2008 年 12月 31日前完成。3、整改建设工作。 基础信息网络和重要信息系统在 2009 年 6 月 30 日前完成整改建设工作。其余信息系统在 2009 年 10月 31日前完成整改建设工作。（三）巩固完善阶段 信息系统整改建设工作完成后，应当建立完善信息系统 安全状况日常检测工作制度，加强对信息系统的日常维护和 安全管理，及时消除安全隐患，确保信息的安全和系统的正 常运行。七

16、、工作要求（一）提高认识，加强领导 。信息安全等级保护制度是 国家在国民经济和社会信息化的发展过程中，提高信息安全 保障能力和水平，维护国家安全、社会稳定和公共利益，保 障和促进信息化建设健康发展的一项基本制度。为此，各级 公安机关、保密工作部门、密码管理部门和信息化行政主管 部门，以及重要信息系统运营、使用单位和主管部门，要充 分认识开展信息安全等级保护工作的重要性、必要性，切实 增强政治责任感和工作紧迫感，全面贯彻落实中央、国务院 和省委、省政府的要求和部署，切实做好信息安全等级保护 工作。（二）明确责任，密切配合 。信息安全等级保护工作由 各级公安机关牵头，会同保密工作部门、密码管理部门

17、和信 息化行政主管部门共同组织实施。四部门要在明确责任的基 础上，加强协调配合，共同组织信息系统主管部门和运营、 使用单位开展信息安全等级保护工作。各信息系统主管部门 组织本行业、本部门信息系统运营、使用单位开展信息安全 等级保护工作，督促其落实信息安全等级保护工作的各项任 务。（三）动员部署，开展培训 。各地区、各部门要按照统 一部署，广泛进行宣传动员，加强培训，指导本地区、本行 业信息系统运营、使用单位按照信息安全等级保护工作的总 体要求，分阶段、分步骤完成各项任务。省公安厅将会同省 保密局、省国家密码管理局、省信息办对省有关单位、行业 以及各市公安机关、保密工作部门、国家密码管理工作部门

18、 和信息化行政主管部门就信息安全等级保护工作规范、标准 等内容进行培训。信息系统主管部门对所管辖的信息系统运 营、使用单位进行培训。各市参照上述培训模式开展培训工 作。（四）及时总结，形成规范 。在等级保护工作中，各地、 各部门要认真总结工作经验和存在的问题，探索我省在信息 安全等级保护工作中有关监督管理、安全评测、安全建设等 的方面具体内容、工作流程和程序，建立完善工作规范，为 我省全面推行信息安全等级保护工作打好基础。各阶段有关 工作情况应当 及时报协调小组办公室 。附件： 1、浙江省信息安全等级保护管理办法2 、信息系统安全等级保护定级报告模版3、信息系统安全等级保护备案表4 、涉及国家

19、秘密的信息系统分级保护备案表附件 1：浙江省信息安全等级保护管理办法第一章总则第一条为加强和规范信息安全等级保护管理，提高信息 安全保障能力，维护国家安全、公共利益和社会稳定，促进 信息化建设，根据国家有关规定，结合本省实际，制定本办 法。第二条本省行政区域内建设、运营、使用信息系统的单 位，均须遵守本办法。第三条本办法所称信息安全等级保护，是指按国家规定 对需要实行安全等级保护的各类信息的存储、传输、处理的 信息系统进行相应的等级保护，对信息系统中发生的信息安 全突发公共事件实行分等级响应和处置的安全保障制度。第四条本办法所称信息，是指通过信息系统进行存储、 传输、处理的语言、文字、声音、图

20、像、数字等资料。本办法所称信息系统，是指由计算机、信息网络及其配 套的设施、设备构成的，按照一定的应用目标和规则对信息 进行存储、传输、处理的运行体系。第五条信息安全等级保护应当遵循分级实施、明确责任、 确保安全的原则；重点保障基础信息网络和重要信息系统各 类信息的安全性和信息处理的连续性。信息系统应当按照信息安全等级保护的要求，实行同步 建设、动态调整、谁运行谁负责的原则。第六条县级以上人民政府应当加强对信息安全等级保护 工作的领导，把信息安全等级保护纳入信息化建设规划，协 调、解决有关重大问题，建立必要的资金和技术的保障机制。第七条县级以上人民政府公安、国家安全、保密、密码、 信息化等行政

21、主管部门应当按照国家和本办法规定，履行监 督管理职责。县级以上人民政府其他相关部门，应当按照职责分工， 落实信息安全等级保护管理的责任，配合做好相关工作。第二章等级保护的分级与实施第八条根据信息系统承载的信息的重要性、业务处理对 系统的依赖性以及系统遭到破坏后对经济、社会的危害程度， 确定信息系统相应的保护等级。信息系统的保护等级分为以下五级：（一）信息系统承载的信息涉及公民、法人和其他组织 的权益，信息系统遭到破坏后，业务可以直接用其他方式替 代处理，对公民、法人和其他组织的权益有一定影响，但不 损害国家安全、社会秩序、经济建设和公共利益的，为一级 保护，由运营单位自主保护；（二）信息系统承

22、载的信息直接涉及公民、法人和其他 组织的权益，信息系统遭到破坏后，会影响业务的正常处理， 并对国家安全、社会秩序、经济建设和公共利益造成一定损 害的，为二级保护，由运营单位在信息安全等级保护工作监 管部门的指导下进行保护；（三）信息系统承载的信息涉及国家、社会和公共利益， 信息系统遭到破坏后，会严重影响业务的正常处理，并对国 家安全、社会秩序、经济建设和公共利益造成较大损害的， 为三级保护，由运营单位在信息安全等级保护工作监管部门 的监督下进行保护；（四）信息系统承载的信息直接涉及国家、社会和公共 利益，信息系统遭到破坏后，业务无法正常处理，并对国家 安全、社会秩序、经济建设和公共利益造成严重

23、损害的，为 四级保护，由运营单位按照信息安全等级保护工作监管部门 的强制要求进行保护；（五）信息系统承载的信息直接关系国家安全、社会稳 定、经济建设和运行，信息系统遭到破坏后，会对国家安全、 社会秩序、经济建设和公共利益造成特别严重损害的，为五 级保护，由运营单位在国家指定的专门部门、专门机构的专 控下进行保护。第九条信息系统的建设、运营、使用单位，应当按照国 家有关技术规范、标准和本办法第八条规定自行选定其信息 系统相应的保护等级。基础信息网络和重要信息系统的保护等级，建设单位应 当在信息系统规划设计时，按照本办法第十条规定报经审定C第十条基础信息网络和重要信息系统保护等级，实行专 家评审制

24、度。省、设区的市信息化行政主管部门应当分别建立省、市 信息系统保护等级专家评审组，并分别组织对关系全省和关 系全市的基础信息网络和重要信息系统的保护等级进行审 定。申报与审定的具体细则，由省信息化行政主管部门会同 省公安部门制定，并报省人民政府备案。第十一条对于包含多个子系统的信息系统，应当根据各 子系统的重要程度分别确定保护等级。第十二条信息系统建设完成后，其运营、使用单位应当 按照国家有关技术规范和标准进行安全测评，符合要求的， 方可投入使用。第十三条信息系统投入运行或者系统变更之日起三十日 内，运营、使用单位应当将信息系统保护等级选定或者审定 情况报所在地县级以上人民政府公安部门备案。备

25、案的具体 细则由省公安部门制定。信息系统涉及国家秘密的，运营、使用单位应当按照有 关保密法律、法规、规章的规定执行第十四条信息系统的运营、使用单位，应当按照国家有 关技术规范和标准，建立信息安全等级保护管理制度，落实 安全保护责任，采取相应的安全保护措施，切实保障信息系 统正常安全运行。第十五条信息系统的运营、使用单位，应当建立信息系 统安全状况日常检测工作制度，加强对信息系统的日常维护 和安全管理，及时消除安全隐患，确保信息的安全和系统的 正常运行。基础信息网络和重要信息系统的运营、使用单位，应当 按照国家有关技术规范和标准，每年对系统的信息安全状况 进行一次全面的测评，也可以委托有相应资质

26、的单位进行安 全测评。第十六条信息系统发生信息安全突发公共事件时，应当 根据事件的可控性、地域影响范围和信息系统遭到破坏的严 重程度，实行分级响应和应急处置。分级响应和应急处置按 照省有关网络与信息安全应急预案的规定执行。通信基础网络发生突发公共事件时，应当按照省有关通 信保障应急预案的规定执行。第三章监督管理第十七条县级以上人民政府公安部门依法对运营、使用 信息系统的单位的信息安全等级保护工作实施监督管理，并 做好下列工作：（一）督促、指导信息安全等级保护工作；二）监督、检查信息系统运营、使用单位的安全等级保护管理制度和技术措施的落实情况；（三）受理信息系统保护等级的备案；（四）依法查处信息

27、系统运营、使用单位和个人的违法 行为；（五）信息安全等级保护的其他相关工作。第十八条保密工作部门依照职责分工，依法做好下列工 作：（一）督促、指导涉及国家秘密的信息安全等级保护工 作；（二）受理涉及国家秘密的信息系统保护等级的备案；（三）依法查处信息泄密、失密事件；（四）信息安全等级保护中涉及国家秘密的其他相关工 作。第十九条密码管理部门应当按照职责分工依法做好相关 工作，加强对涉及密码管理的信息安全等级保护工作的监督、 检查和指导，查处信息安全等级保护工作中违反密码管理的 行为和事件。第二十条信息化行政主管部门应当加强对信息安全等级 保护工作的指导、服务、协调和管理，并做好下列工作：（一）指

28、导、协调信息安全等级保护工作；（二）组织制定信息安全等级保护工作规范 ;（三）组织专家审定信息系统的保护等级；（四）为相关单位提供信息安全等级保护的有关资讯和技术咨询；（五）根据预案规定，组织落实信息安全突发公共事件 的应急处置工作；（六）信息安全等级保护的其他相关工作。第二十一条信息系统建设、运营、使用单位，应当按照 国家和本办法有关规定，开展信息安全等级保护工作，接受 有关部门的指导、检查和监督管理。信息系统运营、使用单位，在运营、使用中发生信息安 全突发公共事件、泄密失密事件的，应当按照应急预案要求， 及时采取有效措施，防止事态扩大，并立即报告有关主管部 门，配合做好应急处置工作。第四章

29、法律责任第二十二条违反本办法规定的行为，有关法律、法规已 有行政处罚规定的，从其规定。第二十三条信息系统运营、使用单位违反本办法规定， 不建立信息系统保护等级或者自行选定的保护等级不符合国 家有关技术规范和标准的，由公安部门责令限期改正，并给 予警告；逾期拒不改正的，处一千元以上二千元以下罚款。第二十四条信息系统运营、使用单位违反本办法第十二 条、第十三条第一款规定的，由公安部门责令限期改正，并 给予警告；逾期不改正的，处二千元罚款。第二十五条信息系统运营、使用单位违反本办法第十四 条规定，未建立信息安全等级保护管理制度、落实安全保护 责任和措施的，由公安部门责令限期改正，并给予警告；逾期拒不

30、改正的，对经营性的处五千元以上五万元以下罚款，对非经营性的处二千元罚款。第二十六条违反本办法第十五条第一款规定，信息系统 运营、使用单位未建立信息系统安全状况日常检测工作制度 的，由公安部门责令限期改正，并给予警告；逾期拒不改正 的，处一千元以上二千元以下罚款。违反本办法第十五条第二款规定，基础信息网络与重要 信息系统的运营、使用单位，未定期对系统的信息安全状况 进行测评的，由公安部门责令限期改正，并给予警告；逾期 拒不改正的，对经营性的处二千元以上二万元以下罚款，对 非经营性的处二千元罚款。第二十七条信息系统运营、使用单位违反本办法第二十 一条第二款规定的，由县级以上人民政府信息化行政主管部

31、 门责令改正，给予警告，对经营性的并处五千元以上三万元 以下罚款，对非经营性的并处二千元罚款；涉及泄密、失密 的，按照有关保密法律、法规、规章的规定处理。第二十八条有关信息安全等级保护监管部门及其工作人 员有下列行为之一的,由其主管部门或者监察部门对直接负 责的主管人员和其他直接责任人依法给予行政或者纪律处 分。（一）未按照本办法规定履行监督管理职责的；（二）违反国家和本办法规定审定信息系统保护等级的;（三）违反法定程序和权限实施行政处罚的；（四）在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的；（五）其他应当依法给予行政或者纪律处分的行为。 第二十九条违反本办法规定，构成犯罪的，依法追究

32、刑 事责任。第五章附则第三十条在本办法施行前已经建成的信息系统，运营、 使用单位应当依照本办法规定建立相应的保护等级。第三十一条本办法自 2007年 1月1日起施行。附件 2：信息系统安全等级保护定级报告模版信息系统安全等级保护定级报告一、XXX信息系统描述简述确定该系统为定级对象的理由。从三方面进行说明： 一是描述承担信息系统安全责任的相关单位或部门，说明本 单位或部门对信息系统具有信息安全保护责任，该信息系统 为本单位或部门的定级对象；二是该定级对象是否具有信息 系统的基本要素，描述基本要素、系统网络结构、系统边界 和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。二

33、、XXX信息系统安全保护等级确定 （定级方法参见国家标准 信息系统安全等级保护定级指南 ）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织 的合法权益）中的哪些客体造成侵害。3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定 业务信息安全等级。（二）系统服务安

34、全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他 组织的合法权益）中的哪些客体造成侵害。3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。（三）安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服 务安全等级较高者决定，最终确定XX

35、X系统安全保护等级为第几级。信息系统名称安全保护等级业务信息安全等级系统服务安全等级XXX信息系统XXX附件3:备案表编号:信息系统安全等级保护备案表备案单位：（盖章）备案日期：受理备案单位： （盖章）受理日期：中华人民共和国公安部监制填表说明本表；二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单 位”填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为 信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张； 表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一 张，并在完成系统建设、整改、测评等工作，投

36、入运行后三十日内向受理备案公安机 关提交；表二、表三、表四可以复印使用；三、保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档；四、本表中有选择的地方请在选项左侧“”划“”，如选择“其他”，请在其后的横线中注明详细内容；五、封面中备案表编号（由受理备案的公安机关填写并校验）:分两部分共11位，第一部分6位，为受理备案公安机关代码前六位（可参照行标GA380-2002）。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号；六、封面中备案单位：是指负责运营使用信息系统的法人单位全称；七、封面中受理备案单位：是指受理备案的公安机关公共信息网络安全监察部门名称。此 项由受理

37、备案的公安机关负责填写并盖章；八、表一 04行政区划代码：是指备案单位所在的地（区、市、州、盟）行政区划代码；九、表一 05单位负责人：是指主管本单位信息安全工作的领导；十、 表一 06责任部门：是指单位内负责信息系统安全工作的部门；十一、表一 08隶属关系：是指信息系统运营使用单位与上级行政机构的从属关系，须按照单位隶属关系代码（GB/T12404-1997）填写；十二、表二02系统编号：是由运营使用单位给出的本单位备案信息系统的编号；十三、表二05系统网络平台：是指系统所处的网络环境和网络构架情况；十四、表二07关键产品使用情况：国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投

38、资或者国家投资或者控股，在中华人民共和国境内具有独立的法人资格， 产品的核心技术、关键部件具有我国自主知识产权；十五、表二08系统采用服务情况：国内服务商是指服务机构在中华人民共和国境内注册成立（港澳台地区除外），由中国公民、法人或国家投资的企事业单位；十六、表三01、02、03项：填写上述三项内容，确定信息系统安全保护等级时可参考信息 系统安全等级保护定级指南，信息系统安全保护等级由业务信息安全等级和系统服务 安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可 多选；十七、表三06主管部门：是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可

39、不填；十八、解释：本表由公安部公共信息网络安全监察局监制并负责解释，未经允许，任何单位 和个人不得对本表进行改动。表一单位基本情况01单位名称02单位地址省（自治区、直辖市）地（区、市、州、盟）县（区、市、旗）03邮政编码04行政区划代码05单位负责人姓 名职务/职称办公电话电子邮件06责任部门07责任部门联系人姓 名职务/职称办公电话电子邮件移动电话08隶属关系1中央2省（自治区、直辖市）3地（区、市、州、盟）4县（区、市、旗）9其他09单位类型1党委机关2政府机关3事业单位4企业9其他10行业类别11电信12广电13经营性公众互联网21铁路22银行23海关24税务25民航26电力27证券2

40、8保险31国防科技工业32公安33人事劳动和社会保障34财政35审计36商业贸易37国土资源38能源39交通40统计41工商行政管理42邮政43教育44文化45卫生46农业47水利48外交49发展改革50科技51宣传52质量监督检验检疫99其他11信息系统个12第二级信息系统数个 13第三级信息系统数个总数14第四级信息系统数个15第五级信息系统数个表二（/ ）信息系统情况01系统名称02系统编号03系统承载业务情况业务类型1生产作业2指挥调度3管理控制4内部办公5公众服务9其他业务描述04系统服务情况服务范围10全国11跨省（区、市）跨20全省（区、市）21跨地（市、区）跨个30地（市、区）内99其它服务对象1单位内部人