详解：等级维护之定级存案

网络安全等级维护最近几年还是比较火的，北京旗云天下科技有限公司等保咨询团队，收拾的定级存案详解：

一、定级概述

2007年7月26日，公安部、国家保密局、国家暗码办理局和国务院信息化作业作业室联合发布《关于展开全国重要信息体系安全等级维护定级作业的告诉》（公通字〔2007〕861号）。该告诉为全国重要信息体系等级维护展开定级作业给出要求顶层设计。

随后，2008 年6月19日国家规范发布《信息体系安全维护等级定级攻略》（GB/T22240—2008），为全国定级作业给出办法辅导。

?

1、定级规模

《关于展开全国重要信息体系安全等级维护定级作业的告诉》（公通字〔2007〕861 号）中明确指出了我国的重要信息体系定级规模。重要信息体系规模如下：

① 电信、广电行业的共用通信网、广播电视传输网等根底信息网络，经营性大众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息体系。

② 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳作和社会保证、财政、审计、商务、水利、国土资源、动力、交通、文明、教育、计算、工商行政办理、邮政等行业、部分的出产、调度、办理、作业等重要信息体系。

③ 市（地）级以上党政机关的重要网站和作业信息体系。

④ 触及国家秘密的信息体系。

2、定级作业首要内容

（1）展开信息体系基本状况的了解查询

各行业主管部分、运营运用单位要安排展开对所属信息体系的了解查询，全面掌握信息体系的数量、散布、事务类型、运用或服务规模、体系结构等基本状况，依照《信息安全等级维护办理办法》和《信息体系安全等级维护定级攻略》的要求，确认定级方针。各行业主管部分要根据行业特色提出辅导本区域、本行业定级作业的详细定见。

（2）开始确认安全维护等级

各信息体系主管部分和运营运用单位要依照《信息安全等级维护办理办法》和《信息体系安全等级维护定级攻略》，开始确认定级方针的安全维护等级，起草定级陈述。跨省或者全国一致联网运转的信息体系能够由主管部分一致确认安全维护等级。涉密信息体系的等级确认依照国家保密局的有关规定和规范执行。

（3）评定与审批

开始确认信息体系安全维护等级后，能够聘请专家进行评定。对拟确认为第四级以上信息体系的，由运营运用单位或主管部分请国家信息安全维护等级专家评定委员会评定。运营运用单位或主管部分参照评定定见最终确认信息体系安全维护等级，构成定级陈述。当专家评定定见与信息体系运营运用单位或其主管部分定见不一致时，由运营运用单位或主管部分自主决议信息体系安全维护等级。信息体系运营运用单位有上级行业主管部分的，所确认的信息体系安全维护等级应当报经上级行业主管部分审批同意。

（4）存案

根据《信息安全等级维护办理办法》，信息体系安全维护等级为第二级以上的信息体系运营运用单位或主管部分到公安部网站下载《信息体系安全等级维护存案表》和辅佐存案工具，持填写的存案表和运用辅佐存案工具生成的存案电子数据，到公安机关处理存案手续，提交有关存案材料及电子数据文件。隶属于中央的在京单位，其跨省或者全国一致联网运转并由主管部分一致定级的信息体系，由主管部分向公安部处理存案手续。跨省或者全国一致联网运转的信息体系在各地运转、运用的分支体系，向当地设区的市级以上公安机关存案。

（5）存案办理

公安机关和国家保密作业部分担任受理存案并进行存案办理。信息体系存案后，公安机关应当对信息体系的存案状况进行审阅，对契合等级维护要求的，颁发信息体系安全维护等级存案证明。发现不契合《信息安全等级维护办理办法》及有关规范的，应当告诉存案单位予以纠正。发现定级禁绝的，应当告诉运营运用单位或其主管部分从头审阅确认。各级保密作业部分加强对涉密信息体系定级作业的辅导、监督和检查。

求

（1）加强领导，执行保证

各区域、各部分要加强对本区域、本行业信息安全等级维护作业的安排领导，及时掌握作业进展状况，并可安排建立专家组，明确技术支持力量。信息体系运营运用单位要建立等级维护作业组，执行职责部分、职责人员和经费，保证定级作业顺利进行。

（2）明确职责，密切配合

定级作业由各级公安机关牵头，会同国家保密作业部分、国家暗码办理部分和信息化领导小组办事机构一起安排施行。公安机关担任定级作业的监督、检查、辅导；国家保密作业部分担任涉密体系定级作业的监督、检查、辅导；国家暗码办理部分担任定级作业中有关暗码作业的监督、检查、辅导；信息化领导小组办事机构担任定级作业的部分间协调。各信息体系主管部分安排本行业、本部分信息体系运营运用单位展开定级作业，督促其执行定级作业各项任务。各信息体系运营运用单位根据《信息安全等级维护办理办法》和本告诉要求，详细施行定级作业。

（3）发动布置，展开训练

各区域、各部分要依照一致布置广泛进行宣扬发动，举行形式多样的训练班、研讨班等，层层训练。公安部会同国家保密局、国家暗码办理局、国务院信息化作业作业室对国家有关部委、各省级公安、保密、暗码和信息化领导小组办事机构就《信息安全等级维护办理办法》和《信息体系安全等级维护定级攻略》等内容进行训练。信息体系主管部分对所统辖的信息体系运营运用单位进行训练。各地参照上述训练模式展开训练作业。

（4）及时总结，提出建议

各区域、各部分要结合本区域、本行业展开定级作业的实际，认真总结经验和缺乏，提出改善和完善定级办法的定见和建议。各区域、各部分担任等级维护的领导机构要及时总结定级作业经验，构成定级作业总结陈述，并及时报送公安部。

在告诉中明确指出，在“此次定级作业完成后，请各主管部分、运营运用单位依照《信息安全等级维护办理办法》和有关技术规范，持续展开信息体系安全等级维护的体系建造或整改、等级测评、自查自纠等后续作业”，一起要求“各级公安、保密、暗码部分要展开等级维护作业的监督、检查和辅导”。

二、怎么理解定级方针

1、基本概念

定级作业展开之前，需要弄清楚下面几个基本概念：什么是定级方针？什么是重要信息体系损坏后影响的客体？客体形成损害的客观方面是什么？

信息体系，是指由计算机及其相关和配套的设备、设备构成的，依照必定的运用方针和规矩对信息进行存储、传输、处理的体系或者网络；信息是指在信息体系中存储、传输、处理的数字化信息。

等级维护方针，是指信息安全等级维护作业直接效果的详细的信息和信息体系。

客体，是指受法律维护的、等级维护方针受到损坏时所损害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他安排的合法权益。

客观方面，是指对客体形成损害的客观外在体现，包含损害方式和损害成果等。

体系服务，是指信息体系为支撑其所承载事务而提供的程序化进程。

2、定级方针的基本特征

一个单位内运转的信息体系或许比较巨大，为了体现重要部分重点维护，有用操控信息安全建造本钱，优化信息安全资源配置的等级维护准则，可将较大的信息体系划分为若干较小的、或许具有不同安全维护等级的定级方针。

作为定级方针的信息体系应具有如下基本特征：

① 具有仅有确认的安全职责单位。作为定级方针的信息体系应能够仅有地确认其安全职责单位。假如一个单位的某个下级单位担任信息体系安全建造、运转维护等进程的悉数安全职责，则这个下级单位能够成为信息体系的安全职责单位；假如一个单位中的不同下级单位别离承担信息体系不同方面的安全职责，则该信息体系的安全职责单位应是这些下级单位一起所属的单位。

② 具有信息体系的基本要素。作为定级方针的信息体系应该是由相关的和配套的设备、设备依照必定的运用方针和规矩组合而成的有形实体。应防止将某个单一的体系组件，如服务器、终端、网络设备等作为定级方针。

③ 承载单一或相对独立的事务运用。定级方针承载“单一”的事务运用是指该事务运用的事务流程独立，且与其他事务运用没有数据交换，且独享所有信息处理设备。定级方针承载“相对独立”的事务运用是指其事务运用的首要事务流程独立，一起与其他事务运用有少数的数据交换，定级方针或许会与其他事务运用同享一些设备，尤其是网络传输设备。

3、定性方针的确认准则和办法

信息体系包含起支撑、传输效果的根底信息网络和各类运用体系。详细作业中，通常按如下准则确认定级方针：

一是起支撑、传输效果的根底信息网络要作为定级方针。但不是将整个网络作为一个定级方针，而是要从安全办理和安全职责的视点将根底信息网络划分成若干个最小安全域或最小单元去定级。

二是专网、内网、外网等网络体系（包含网管体系）要作为定级方针。同根底信息网络相同，也不能将整个网络体系作为一个定级方针，而是要从安全办理和安全职责的视点将网络体系划分成若干个最小安全域或最小单元去定级。

三是各单位网站要作为独立的定级方针。假如网站的后台数据库办理体系安全级别高，也要作为独立的定级方针。网站上运转的信息体系（如对社会服务的报名考试体系）也要作为独立的定级方针。

四是用于出产、调度、办理、作业、指挥、作业等意图的各类运用体系，要依照不同事务类别独自确认为定级方针，不以体系是否进行数据交换、是否独享设备为确认定级方针条件。不能将某一类信息体系作为一个定级方针去定级。

五是确认担任定级的单位是否对所定级体系负有事务主管职责。也就是说，事务部分应主导对事务信息体系定级，运维部分（如信息中心、托管方）能够协助定级并依照事务部分的要求展开后续安全维护作业。

六是具有信息体系的基本要素。作为定级方针的信息体系应该是由相关的和配套的设备、设备依照必定的运用方针和规矩组合而成的有形实体。应防止将某个单一的体系组件（如服务器、终端、网络设备等）作为定级方针。