一、定级概述
      2007年7月26日,公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合发布《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)。该通知为全国重要信息系统等级保护开展定级工作给出要求顶层设计。随后,2008 年6月19日国家标准发布《信息系统安全保护等级定级指南》(GB/T22240—2008),为全国定级工作给出方法指导。
      1、定级范围《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861 号)中明确指出了我国的重要信息系统定级范围。重要信息系统范围如下:
      1 电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
      2 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
      3 市(地)级以上党政机关的重要网站和办公信息系统。
      4 涉及国家秘密的信息系统。
      2、定级工作主要内容
      (1)开展信息系统基本情况的摸底调查
      各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。
      (2)初步确定安全保护等级
      各信息系统主管部门和运营使用单位要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
      (3)评审与审批初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。
      (4)备案根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》和辅助备案工具,持填写的备案表和利用辅助备案工具生成的备案电子数据,到公安机关办理备案手续,提交有关备案材料及电子数据文件。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,向当地设区的市级以上公安机关备案。
      (5)备案管理公安机关和国家保密工作部门负责受理备案并进行备案管理。信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《信息安全等级保护管理办法》及有关标准的,应当通知备案单位予以纠正。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。
      求(1)加强领导,落实保障
      各地区、各部门要加强对本地区、本行业信息安全等级保护工作的组织领导,及时掌握工作进展情况,并可组织成立专家组,明确技术支持力量。信息系统运营使用单位要成立等级保护工作组,落实责任部门、责任人员和经费,保障定级工作顺利进行。
      (2)明确责任,密切配合
      定级工作由各级公安机关牵头,会同国家保密工作部门、国家密码管理部门和信息化领导小组办事机构共同组织实施。公安机关负责定级工作的监督、检查、指导;国家保密工作部门负责涉密系统定级工作的监督、检查、指导;国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导;信息化领导小组办事机构负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作,督促其落实定级工作各项任务。各信息系统运营使用单位依据《信息安全等级保护管理办法》和本通知要求,具体实施定级工作。
      (3)动员部署,开展培训
      各地区、各部门要按照统一部署广泛进行宣传动员,举办形式多样的培训班、研讨班等,层层培训。公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室对国家有关部委、各省级公安、保密、密码和信息化领导小组办事机构就《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》等内容进行培训。信息系统主管部门对所管辖的信息系统运营使用单位进行培训。各地参照上述培训模式开展培训工作。
      (4)及时总结,提出建议
      各地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议。各地区、各部门负责等级保护的领导机构要及时总结定级工作经验,形成定级工作总结报告,并及时报送公安部。
      在通知中明确指出,在“此次定级工作完成后,请各主管部门、运营使用单位按照《信息安全等级保护管理办法》和有关技术标准,继续开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作”,同时要求“各级公安、保密、密码部门要开展等级保护工作的监督、检查和指导”。