网络安全等级保护信息系统定级主要依据国家标准要求及行业标准要求,根据信息系统业务信息遭受到侵害后对客体的损害程度、服务中断后对客体的损害程度进行界定;在定级工作中涉及信息系统业务主体信息、建设运维信息、业务情况、网络情况、安全防护情况、数据资源类型、数据量、客体识别、损害程度判定等。
下文列举了网络安全等级保护定级相关标准,章节包括:一、国家标准;二、行业标准-教育行业;三、行业标准-广电行业;四、行业标准-电力行业;五、行业标准-卫生行业;六、行业标准-金融行业;七、行业标准-交通运输行业;八、行业标准-民航;九、行业标准-铁路行业;十、行业标准-报业。
内容较多,诸位各取所需,后续有新发现的持续补充。
一、国家标准
国家标准:GB/T 22240-2020《 信息安全技术 网络安全等级保护定级指南》,以下简称“定级指南”。
1.1定级要素:
①受侵害的客体;客体包括:公民、法人和其他组织的合法权益;社会秩序、公众利益;国家安全。
②对客体的侵害程度;侵害程度包括:一般损害;严重损害;特别严重损害。
1.2定级要素与安全保护等级的关系:
受侵害的客体 | 对客体的侵害程度 |
|
|
---|
| 一般损害 | 严重损害 | 特别严重损害 |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
社会秩序、公众利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
1.3定级流程:
第一步:确定定级对象;也就是本次需要定级的系统名称,例如门户网站系统、xxx管理平台、电力监控系统、主机DCS系统、财务系统、OA系统、专网系统等。定级对象的基本特征包括:具有确定的主要安全责任主体、承载相对独立的业务应用、包含相互关联的多个资源。
第二步:初步确定等级;责任主体单位及责任主体部门或第三方技术人员,依照定级指南拟定等级。
第三步:专家评审;邀请具备资质的专家对初步拟定的定级对象等级进行评审,一般专家包括政府专家库中网络安全专家、网络安全等级保护测评机构高级测评师、网安专家库中登记备案的专家、责任主体单位具备高级职称的技术专家等,具体的按照当地的要求开展专家评审即可。
第四步:主管部门核准;若具备上级主管部门,则需拟上级主管部门审批意见经主管部门盖章确认。一般审批意见由上级主管部门出具,内容大致为你单位xxx系统定级资料已收悉,同意将xxx系统定为x级,在定级基础上做好网络安全等级保护工作。
第五步:备案审核;按照当地网安要求,准备备案资料提交网安审核。
1.4定级方法:
①从业务信息安全被破坏时所侵害的客体以及对客体的侵害程度着手,依据“定级要素与安全保护等级的关系表”,对业务信息安全保护等级进行确定;
②从系统服务安全被破坏时所侵害的客体以及对客体的侵害程度着手,依据”定级要素与安全保护等级的关系表“,对系统服务安全保护等级进行确定;
③最终确定定级对象的安全保护等级(由业务信息安全保护等级和系统服务安全保护等级的较高者决定。)
二、行业标准-教育行业
教育行业定级标准:教育部办公厅关于印发《教育行业信息系统 安全等级保护定级工作指南(试行)》的通知
教技厅函〔2014〕74号
2.1信息系统安全等级保护等级建议表-教育部门2.1.1政务管理类
信息系统 | 建议安全保护等级 |
|
|
---|
| 部级 | 省级 | 地市 |
(01)办公与事务处理 | 第二级 | 第二级 | 第二级 |
(02)公文与信息交换 | 第三级 | 第三级 | 第二级 |
(03)人事管理 | 第二级 | 第二级 | 第二级 |
(04)财务管理 | 第二级 | 第二级 | 第二级 |
(05)资产管理 | 第二级 | 第二级 | 第二级 |
(06)信访管理 | 第二级 | 第二级 | 第二级 |
(07)档案管理 | —— | 第二级 | 第二级 |
(08)党务管理 | 第二级 | 第二级 | 第二级 |
(09)科研管理 | 第二级 | 第二级 | 第二级 |
(10)教育统计管理 | 第三级 | 第二级 | 第二级 |
(11)决策支持 | 第二级 | 第二级 | 第二级 |
(12)应急指挥 | 第三级 | 第二级 | 第二级 |
(13)舆情监测与管理 | 第三级 | 第二级 | 第二级 |
(14)高等教育招生计划管理 | 第三级 | 第二级 | 第二级 |
(15)普通高校招生网上录取管理 | 第三级 | 第三级 | 第三级 |
(16)教育考试考务管理与服务 | 第三级 | 第三级 | 第二级 |
(17) 评审、表彰管理 | 第二级 | 第二级 | 第二级 |
2.1.2学校管理类
信息系统 | 建议安全保护等级 |
|
|
---|
| 部级 | 省级 | 地市 |
(01)学校管理 | 第三级 | 第二级 | 第二级 |
(02)学科、专业管理 | 第三级 | 第二级 | 第二级 |
(03)教学改革管理 | 第三级 | 第二级 | 第二级 |
(04)教学质量评估 | 第三级 | 第二级 | 第二级 |
(05)校园安全与稳定管理 | 第三级 | 第二级 | 第二级 |
(06)教育经费监管 | 第三级 | 第二级 | 第二级 |
2.1.3学生管理类
信息系统 | 建议安全保护等级 |
|
|
---|
| 部级 | 省级 | 地市 |
(01)学生学籍管理 | 第三级 | 第三级 | 第二级 |
(02)招生录取管理 | 第三级 | 第三级 | 第三级 |
(03)学生资助管理 | 第三级 | 第三级 | 第二级 |
(04)学位授予管理 | 第三级 | 第三级 | 第二级 |
2.1.4教师管理类
信息系统 | 建议安全保护等级 |
|
|
---|
| 部级 | 省级 | 地市 |
(01)教师基本信息管理 | 第三级 | 第二级 | 第二级 |
(02)教师资格认定管理 | 第三级 | 第二级 | 第二级 |
(03)教师培训管理 | 第三级 | 第二级 | 第二级 |
(04)教师教育管理 | 第三级 | 第二级 | 第二级 |
(05)教师职称管理 | 第三级 | 第二级 | 第二级 |
2.1.5综合服务类
信息系统 | 建议安全保护等级 |
|
|
---|
| 部级 | 省级 | 地市 |
(01)门户网站 | 第三级 | 第三级 | 第二级 |
(02)论坛、社区类网站 | 第二级 | 第二级 | 第二级 |
(03)教育教学资源 | 第三级 | 第二级 | 第二级 |
(04)毕业、就业信息管理 | 第三级 | 第二级 | 第二级 |
(05)电子邮件 | 第二级 | 第二级 | 第二级 |
(06)视频服务 | 第三级 | 第二级 | 第二级 |
(07)安防监控 | 第二级 | 第二级 | 第二级 |
(08)内网门户与身份认证 | 第三级 | 第二级 | 第二级 |
(09)公共数据库 | 第三级 | 第二级 | 第二级 |
(10)运维管理 | 第三级 | 第二级 | 第二级 |
2.2信息系统安全等级保护等级建议表-学校2.2.1教务管理类
信息系统 | 建议安全保护等级 |
|
|
---|
| Ⅰ类学校 | Ⅱ类学校 | Ⅲ类学校 |
(01)办公与事务处理 | 第二级 | 第二级 | 第一级 |
(02)公文与信息交换 | 第二级 | 第二级 | 第一级 |
(03)人事管理 | 第二级 | 第二级 | 第一级 |
(04)财务管理 | 第二级 | 第二级 | 第一级 |
(05)资产管理 | 第二级 | 第二级 | 第一级 |
(06)后勤管理 | 第二级 | 第二级 | 第一级 |
(07)学生教育工作管理 | 第二级 | 第二级 | 第一级 |
(08)学生体质健康数据管理 | 第二级 | 第二级 | 第一级 |
(09)档案管理 | 第二级 | 第二级 | 第一级 |
(10)党务管理 | 第二级 | 第二级 | 第一级 |
2.2.2教学科研类
信息系统 | 建议安全保护等级 |
|
|
---|
| Ⅰ类学校 | Ⅱ类学校 | Ⅲ类学校 |
(01)教学改革管理 | 第二级 | 第二级 | 第一级 |
(02)学科、专业管理 | 第二级 | 第二级 | 第一级 |
(03)教务教学管理 | 第二级 | 第二级 | 第一级 |
(04)教学资源管理 | 第二级 | 第二级 | 第一级 |
(05)教学质量评估与保障 | 第二级 | 第二级 | 第一级 |
(06)科研管理 | 第三级 | 第二级 | 第一级 |
(07)科研情报 | 第三级 | 第二级 | 第一级 |
2.2.3招生就业类
信息系统 | 建议安全保护等级 |
|
|
---|
| Ⅰ类学校 | Ⅱ类学校 | Ⅲ类学校 |
(01)招生录取管理 | 第三级 | 第二级 | 第一级 |
(02)学生就业管理 | 第二级 | 第二级 | 第一级 |
2.2.4综合服务类
信息系统 | 建议安全保护等级 |
|
|
---|
| Ⅰ类学校 | Ⅱ类学校 | Ⅲ类学校 |
(01)门户网站 | 第三级 | 第二级 | 第一级 |
(02)论坛、社区类网站 | 第三级 | 第二级 | 第一级 |
(03)数字图书馆 | 第二级 | 第二级 | 第一级 |
(04)电子邮件 | 第二级 | 第二级 | 第一级 |
(05)视频服务 | 第二级 | 第二级 | 第一级 |
(06安防监控 | 第二级 | 第二级 | 第一级 |
(07)校园一卡通 | 第三级 | 第二级 | 第一级 |
(08)内网门户与身份认证 | 第二级 | 第二级 | 第一级 |
(09)公共数据库 | 第二级 | 第二级 | 第一级 |
(10)运维管理 | 第二级 | 第二级 | 第一级 |
三、行业标准-广电行业
广电行业定级标准:GY/T 337-2020广播电视网络安全等级保护定级指南
3.1信息系统安全等级保护对象分类建议表3.1.1广播/电视中心
定级对象 | 描述 |
---|
播出系统 | 实现节目播出和播出控制的信息系统。 |
融合媒体发布系统 | 面向社交媒体、客户端等内容发布的信息系统。 |
制播一体化系统 | 实现节目制作播出一体化的信息系统。 |
播出整备系统 | 为播出进行节目准备和信号(信息流)调度的信息系统。 |
媒资系统 | 实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。 |
制作系统 | 实现内容制作以及为制作业务提供辅助服务的信息系统。 |
融合媒体采集与制 作系统 | 面向社交媒体、客户端等内容生产和集成的信息系统。 |
业务支撑系统 | 实现各业务系统互联互通及基础性服务支撑的信息系统。 |
管理支撑系统 | 实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。 |
3.1.2融媒体中心
定级对象 | 描述 |
---|
省级技术平台 | 为县级融媒体中心媒体服务、党建服务、政务服务、公共服务、增值服务等业务开展提供技术支撑、运营维护的省级云平台。 |
融媒体中心播出/ 发布系统 | 实现融媒体中心节目播出/内容发布的信息系统。 |
其他系统 | 融媒体中心除播出/发布系统外的信息系统。 |
3.1.3集成平台(含IPTV、移动多媒体广播、手机电视、互联网电视、直播卫星等的集成播控平台和节目集成平台)
定级对象 | 描述 |
---|
播控系统 | 实现节目播出控制、编码复用、加密传输的信息系统。 |
互动系统 | 实现互动功能以及为互动业务提供辅助服务的信息系统。 |
媒资系统 | 实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。 |
制作系统 | 实现内容制作以及为制作业务提供辅助服务的信息系统。 |
运营支撑系统 | 实现业务运营和用户管理的信息系统。 |
管理支撑系统 | 实现终端及业务系统的监测、安全管理、运维管理、生产管理和版权管理等功能的信息系统。 |
3.1.4有线电视平台
定级对象 | 描述 |
---|
播出系统 | 实现节目播出和播出控制的信息系统。 |
互动系统 | 实现互动功能以及为互动业务提供辅助服务的信息系统。 |
宽带系统 | 实现用户接入互联网,实现电脑等终端上网业务的信息系统。 |
运营支撑系统 | 实现业务运营和用户管理的信息系统。 |
媒资系统 | 实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。 |
制作系统 | 实现内容制作以及为制作业务提供辅助服务的信息系统。 |
管理支撑系统 | 实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。 |
3.1.5基础网络
定级对象 | 描述 |
---|
承载网 | 基础光缆网络、城域网等基础信息网络及其控制系统。 |
运营支撑系统 | 实现业务运营和用户管理的信息系统。 |
管理支撑系统 | 实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。 |
3.1.6网络广播电视台
定级对象 | 描述 |
---|
网站系统 | 实现面向公众提供音视频服务的业务网站。 |
播出系统 | 实现节目播出和播出控制的信息系统。 |
互动系统 | 实现互动功能以及为互动业务提供辅助服务的信息系统。 |
媒资系统 | 实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。 |
制作系统 | 实现内容制作以及为制作业务提供辅助服务的信息系统。 |
运营支撑系统 | 实现业务运营和用户管理的信息系统。 |
管理支撑系统 | 实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。 |
3.1.7互联网视听节目服务机构(不含网络广播电视台)
定级对象 | 描述 |
---|
网站系统 | 实现面向公众提供音视频服务的业务网站。 |
播出系统 | 实现节目播出和播出控制的信息系统。 |
互动系统 | 实现互动功能以及为互动业务提供辅助服务的信息系统。 |
3.1.8无线台站
定级对象 | 描述 |
---|
调度控制系统 | 实现资源管理、资源调度、生成播发和效果评估等功能的信息系统。 |
管理支撑系统 | 实现监测监管、调度指挥、安全管理、运维管理、生产管理和版权管理等功能的信息系统。 |
3.1.9卫星地球站
定级对象 | 描述 |
---|
上行功率控制系统 | 实现实时判断异常情况,自动、手动提升上行功率,并具备异地接 收、上行自环检测等防止功率误提升技术措施的信息系统。 |
3.1.10应急广播中心
定级对象 | 描述 |
---|
制作播发系统 | 实现信息接入、信息处理、信息制作和审核播发等功能的信息系统。 |
调度控制系统 | 实现资源管理、资源调度、生成播发和效果评估等功能的信息系统。 |
3.1.11监测监管
定级对象 | 描述 |
---|
指挥调度系统 | 实现安全播出资源管理、应急联动指挥等功能的信息系统。 |
监测监管系统 | 实现广播电视节目监测监管、监听监看的信息系统。 |
3.1.12数据资源
定级对象 | 描述 |
---|
大数据 | 具有数量巨大、来源多样、生成极快、且多变等特征并且难以用传统数据体系结构有效处理的包含大量数据集的数据。 |
大数据系统 | 实现大数据参考体系结构的全部或部分功能的信息系统。 |
3.1.13通用系统
定级对象 | 描述 |
---|
门户网站系统 | 实现提供某类综合性互联网信息资源和有关信息服务的信息系统。 |
电子政务系统 | 面向政府机构的信息服务和信息处理系统。 |
数据中心系统 | 实现广播电视业务信息集中处理、存储、传输、交换、管理的信息 系统。 |
邮件系统 | 办公用电子邮件信息系统。 |
面向公众移动互联系统 | 实现面向社会公众提供信息服务的具有移动客户端的信息系统。 |
内部生产移动互联系统 | 实现系统内部生产管理的具有移动客户端的信息系统。 |
注:包含但不限于行业内政府网站、重要单位的机构网站等。
3.2信息系统安全等级保护对象定级建议表3.2.1广播/电视中心网络安全保护等级建议
序号 | 网络分类 | 安全保护等级 | 安全保护等级 | 安全保护等级 | 安全保护等级 |
---|
|
| 国家级 | 省级、副省级 | 地市级 | 县级 |
1 | 播出系统 | 第四级 | 第三级 | 第三级 | 第三级 |
2 | 融合媒体发布系统 | 第三级 | 第三级 | 第三级 | 第二级 |
3 | 制播一体化系统 | 第三级 | 第三级 | 第二级 | 第二级 |
4 | 播出整备系统 | 第二级 | 第二级 | 第二级 | 第二级 |
5 | 媒资系统 | 第二级 | 第二级 | 第二级 | 第二级 |
6 | 制作系统 | 第二级 | 第二级 | 第二级 | 第二级 |
7 | 融合媒体采集与制作系统 | 第二级 | 第二级 | 第二级 | 第二级 |
8 | 业务支撑系统 | 第二级 | 第二级 | 第二级 | 第二级 |
9 | 管理支撑系统 | 第二级 | 第二级 | 第二级 | 第二级 |
3.2.2融媒体中心安全保护等级建议
序号 | 网络分类 | 安全保护等级 |
---|
1 | 省级技术平台 | 第三级 |
2 | 融媒体中心播出/发布系统 | 第三级 |
3 | 其他系统 | 第二级 |
3.2.3集成平台网络安全保护等级建议
序号 | 网络分类 | 安全保护等级 |
---|
1 | 播控系统 | 第三级 |
2 | 互动系统 | 第三级 |
3 | 媒资系统 | 第二级 |
4 | 制作系统 | 第二级 |
5 | 运营支撑系统 | 第二级 |
6 | 管理支撑系统 | 第二级 |
3.2.4有线电视平台网络安全保护等级建议
序号 | 网络分类 | 安全保护等级 | 安全保护等级 | 安全保护等级 |
---|
|
| 全国或跨省 | 全省或跨地市 | 地市及以下县级 |
1 | 播出系统 | 第三级 | 第三级 | 第二级 |
2 | 互动系统 | 第三级 | 第三级 | 第二级 |
3 | 宽带系统 | 第三级 | 第三级 | 第二级 |
4 | 运营支撑系统 | 第三级 | 第三级 | 第二级 |
5 | 媒资系统 | 第二级 | 第二级 | 第二级 |
6 | 制作系统 | 第二级 | 第二级 | 第二级 |
7 | 管理支撑系统 | 第二级 | 第二级 | 第二级 |
3.2.5基础网络安全保护等级建议
序号 | 网络分类 | 安全保护等级 | 安全保护等级 |
---|
|
| 全国或跨省 | 全省或跨地市 |
1 | 承载网 | 第三级 | 第二级 |
2 | 运营支撑系统 | 第三级 | 第二级 |
3 | 管理支撑系统 | 第二级 | 第二级 |
3.2.6网络广播电视台网络安全保护等级建议
序号 | 网络分类 | 安全保护等级 |
---|
1 | 网站系统 | 第三级 |
2 | 播出系统 | 第三级 |
3 | 互动系统 | 第三级 |
4 | 媒资系统 | 第二级 |
5 | 制作系统 | 第二级 |
6 | 运营支撑系统 | 第二级 |
7 | 管理支撑系统 | 第二级 |
3.2.7互联网视听节目服务机构(不含网络广播电视台)网络安全保护等级建议
序号 | 网络分类 | 安全保护等级 |
---|
1 | 网站系统 | 第三级 |
2 | 播出系统 | 第三级 |
3 | 互动系统 | 第三级 |
3.2.8无线台站网络安全保护等级建议
序号 | 网络分类 | 安全保护等级 | 安全保护等级 |
---|
|
| 国家级 | 省级 |
1 | 调度控制系统 | 第三级 | 第二级 |
2 | 管理支撑系统 | 第二级 | 第二级 |
3.2.9卫星地球站网络安全保护等级建议
序号 | 网络分类 | 安全保护等级 | 安全保护等级 |
---|
|
| 国家级 | 省级 |
1 | 上行功率控制系统 | 第三级 | 第二级 |
3.2.10应急广播网络安全保护等级建议
序号 | 网络分类 | 安全保护等级 | 安全保护等级 | 安全保护等级 |
---|
|
| 国家级 | 省级 | 地市及以下 |
1 | 制作播发系统 | 第三级 | 第三级 | 第二级 |
2 | 调度控制系统 | 第三级 | 第三级 | 第二级 |
3.2.11监测监管网络安全保护等级建议
序号 | 网络分类 | 安全保护等级 | 安全保护等级 |
---|
|
| 国家级 | 省级 |
1 | 指挥调度系统 | 第三级 | 第二级 |
2 | 监测监管系统 | 第二级 | 第二级 |
3.2.12数据资源网络安全保护等级建议
序号 | 网络分类 | 安全保护等级 |
---|
1 | 大数据系统 | 第三级 |
2 | 大数据 | 第三级 |
3.2.13通用系统网络安全保护等级建议
序号 | 网络分类 | 安全保护等级 | 安全保护等级 | 安全保护等级 |
---|
|
| 国家级 | 省级、副省级 | 地市及以下 |
1 | 门户网站系统 | 第三级 | 第三级 | 第二级 |
2 | 电子政务系统 | 第三级 | 第三级 | 第二级 |
3 | 数据中心系统 | 第三级 | 第三级 | 第二级 |
4 | 邮件系统 | 第三级 | 第二级 | 第二级 |
5 | 面向公众移动互联系统 | 第三级 | 第三级 | 第二级 |
6 | 内部生产移动互联系统 | 第二级 | 第二级 | 第二级 |
四、行业标准-电力行业
电力行业定级标准:关于印发《电力行业信息系统等级保护定级工作 指导意见》的通知 电监信息〔2007〕 44 号
4.1电力行业重要信息系统安全等级保护定级建议4.1.1生产控制系统
系统名称 | 范围 | 建议等级 |
---|
能量管理系统 | 省级及以上 | 第四级 |
| 省级以下 | 第三级 |
变电站自动化系统 (含开关站、换流站) | 220千伏及以上 | 第三级 |
| 220千伏以下 | 第二级 |
配网自动化系统 |
| 第三级 |
电力负荷管理系统 |
| 第三级 |
火电机组控制系统 DCS (含辅机控制系统) | 单机容量 300 兆瓦 及以上 | 第三级 |
| 单机容量 300 兆瓦 以下 | 第二级 |
水电厂监控系统 | 总装机1000兆瓦及以上 | 第三级 |
| 总装机1000兆瓦以下 | 第二级 |
梯级调度监控系统 | 总装机2000兆瓦及以上 | 第三级 |
| 总装机2000兆瓦以下 | 第二级 |
4.1.2生产管理系统
系统名称 | 范围 | 建议等级 |
---|
继电保护和故障录波信息管理系统 |
| 第二级 |
电能量计量系统 |
| 第三级 |
广域相量测量系统 |
| 第三级 |
水调自动化系统 |
| 第二级 |
调度生产管理系统 | 省级及以上 | 第三级 |
| 省级以下 | 第二级 |
发电厂SIS | 总装机1000兆瓦及以上 | 第三级 |
| 总装机1000兆瓦以下 | 第二级 |
梯级水调自动化系统 |
| 第二级 |
水坝自动监测系统 |
| 第二级 |
雷电(气象)监测系统 |
| 第二级 |
核电站环境监测系统 |
| 第三级 |
4.1.3网站系统
系统名称 | 范围 | 建议等级 |
---|
企业内部网站系统 |
| 第二级 |
企业对外网站系统 | 集团公司本部 | 第三级 |
| 二级公司、网省公司及以下 | 第二级 |
电力监管门户网站系统 | 电监会本部 | 第三级 |
| 电监会派出机构 | 第二级 |
4.1.4管理信息系统
系统名称 | 范围 | 建议等级 |
---|
生产管理信息系统 |
| 第二级 |
电力市场信息系统 |
| 第三级 |
财务(资金)管理系统 | 集团公司本部、二级公司、网省公司 | 第三级 |
| 二级公司、网省公司以下 | 第二级 |
营销管理系统 |
| 第二级 |
办公自动化(OA)系统 | 集团公司本部 | 第三级 |
| 二级公司、网省公司及以下 | 第二级 |
邮件系统 |
| 第二级 |
人力资源管理系统 |
| 第二级 |
物资管理系统 |
| 第二级 |
项目管理系统 |
| 第二级 |
ERP系统 |
| 第二级 |
修建管理信息系统 |
| 第二级 |
电力设计管理信息系统 | 省院(或甲级资质)及以上设计单位 | 第三级 |
| 省院(或甲级资质)以下设计单位 | 第二级 |
电力监管信息系统 |
| 第三级 |
4.1.5信息网络
系统名称 | 范围 | 建议等级 |
---|
电力调度数据网络 |
| 第三级 |
电力企业广域网 |
| 第二级 |
电力监管广域网 |
| 第二级 |
五、行业标准-卫生行业
卫生行业定级标准:《卫生行业信息安全等级保护工作的指导意见》卫办发〔2011〕85号
卫生行业仅提出:
以下重要卫生信息系统安全保护等级原则上不低于第三级: |
---|
1.卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统 |
2.国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心 |
3.三级甲等医院的核心业务信息系统 |
4.卫生部网站系统 |
5.其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统 |
六、行业标准-金融行业
金融行业定级标准:中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见银发【2012】163号
6.1信息系统安全等级保护主要定级对象分类6.1.1应用系统
①核心业务信息系统或综合业务信息系统(分类代码为Y-Ⅰ类,下同)
②网上银行系统、重要支撑系统、重要交易系统、重要管理系统及其他运行关键业务或涉及客户身份、资产、交易记录等敏感信息的重要信息系统(Y-Ⅱ类)
③部署有应用服务器或者数据服务器的前置系统(Y-Ⅲ类)
6.1.2生产网络系统
区别于通常意义的计算机网络,作为定级对象的生产网络系统包括网络设备(如交换机、路由器、负载均衡等)、前置中间件设备(如消息队列服务器等)和接入网络的计算机终端,各机构可从以下两种方案中选用一种对生产网络系统进行定级:
①方案一:
广域网骨干网络(W1-Ⅰ类)
机构总部局域网骨干网络(W1-Ⅱ类)
分支机构局域网骨干网络(W1-Ⅲ类)
②方案二:
机构总部骨干网络(W2-Ⅰ类):含机构总部局域网骨干网络及下联一级分支机构(若有)的广域网骨干网络
分支机构骨干网络(W2-Ⅱ类):含本分支机构局域网骨干网络及下联一级分支机构(若有)的广域网骨干网络
6.2信息系统安全等级保护定级建议6.2.1机构总部
机构类别 |
| Y-Ⅰ类 | Y-Ⅱ类 | W1 |
| W2 |
---|
|
|
|
| W1-Ⅰ类 | W1-Ⅱ类 | W2-Ⅰ类 |
国家开发银行和政策性银行 |
| 第三级 | 第三级 | 第三级 | 第三级 | 第三级 |
国有商业银行、全国性股份制商业银行和中国邮政储蓄银行 |
| 第四级 | 第三级 | 第三级 | 第三级 | 第三级 |
城市商业银行、农村商业银行、农村合作银行和农村信用社 | 营业网点跨省(自治区、直辖市) | 第三级 | 第三级 | 第三级 | 第三级 | 第三级 |
| 营业网点限于省(自治区、直辖市)内 | 第三级 | 第二级 | 第二级 | 第二级 | 第二级 |
6.2.2分支机构
机构类别 | 分支机构类别 | Y-Ⅲ类 | W1 | W2 |
---|
|
|
| W1-Ⅲ类 | W2-Ⅱ类 |
国家开放性银行和政策性银行 | 一级及以下分支机构 | 第二级 | 第二级 | 第二级 |
国有商业银行、全国性股份制商业银行和中国邮政储蓄银行 | 一级分支机构 | 第三级 | 第三级 | 第三级 |
| 二级及以下分支机构 | 第二级 | 第二级 | 第二级 |
城市商业银行、农村商业银行、农村合作银行和农村信用社 | 一级及以下分支机构 | 第二级 | 第二级 | 第二级 |
注:1.国有商业银行、全国性股份制商业银行和中国邮政储蓄银行的一级分支机构如采取多个接入渠道开展业务从而降低对单个Y-Ⅲ类信息系统依赖,其Y-Ⅲ类信息系统可在分支机构信息系统安全等级保护建议表的基础上降低一级
2.仅在辖区内部署接入终端的分支机构,可不为其Y-Ⅲ类、W1-Ⅲ类或W2-Ⅱ类系统定级
七、行业标准-交通运输行业
交通运输行业定级标准:JT/T 904-2014《交通运输行业信息系统安全等级保护定级指南》
7.1信息系统安全等级保护定级建议7.1.1业务管理类
系统服务范围 | 业务依赖程度 | 侵害的客体 | 侵害程度 | 建议等级 |
---|
全国 | 人工可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工部分可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工不可替代 | 社会秩序、公共利益 | 严重损害或特别严重损害 | 第三级 |
区域 | 人工可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工部分可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工不可替代 | 社会秩序、公共利益 | 严重损害 | 第三级 |
省域 | 人工可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工部分可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工不可替代 | 社会秩序、公共利益 | 严重损害 | 第三级 |
机构内 | 人工可替代 | 公民、法人、其他组织 | 一般损害 | - |
| 人工部分可替代 | 公民、法人、其他组织 | 严重损害 | 第二级 |
| 人工不可替代 | 公民、法人、其他组织 | 特别严重损害 | 第二级 |
7.1.2行政办公类
全国 | 人工可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
---|
| 人工部分可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工不可替代 | 社会秩序、公共利益 | 严重损害 | 第三级 |
区域 | 人工可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工部分可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工不可替代 | 社会秩序、公共利益 | 严重损害 | 第三级 |
省域 | 人工可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工部分可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工不可替代 | 社会秩序、公共利益 | 严重损害 | 第三级 |
机构内 | 人工可替代 | 公民、法人、其他组织 | 一般损害 | - |
| 人工部分可替代 | 公民、法人、其他组织 | 严重损害 | 第二级 |
| 人工不可替代 | 公民、法人、其他组织 | 特别严重损害 | 第二级 |
7.1.3综合平台类
全国 | 人工可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
---|
| 人工部分可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工不可替代 | 社会秩序、公共利益 | 严重损害或特别严重损害 | 第三级 |
区域 | 人工可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工部分可替代 | 社会秩序、公共利益 | 严重损害 | 第三级 |
| 人工不可替代 | 社会秩序、公共利益 | 严重损害 | 第三级 |
省域 | 人工可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工部分可替代 | 社会秩序、公共利益 | 严重算还 | 第三级 |
| 人工不可替代 | 社会秩序、公共利益 | 严重损害 | 第三级 |
7.1.4基础支撑类
全国 | 人工可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
---|
| 人工部分可替代 | 社会秩序、公共利益 | 严重损害 | 第三级 |
| 人工不可替代 | 社会秩序、公共利益 | 严重损害或特别严重损害 | 第三级 |
区域 | 人工可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工部分可替代 | 社会秩序、公共利益 | 严重损害 | 第三级 |
| 人工不可替代 | 社会秩序、公共利益 | 严重损害 | 第三级 |
省域 | 人工可替代 | 社会秩序、公共利益 | 一般损害 | 第二级 |
| 人工部分可替代 | 社会秩序、公共利益 | 严重损害 | 第三级 |
| 人工不可替代 | 社会秩序、公共利益 | 严重损害 | 第三级 |
机构内 | 人工可替代 | 公民、法人、其他组织 | 一般损害 | - |
| 人工部分可替代 | 公民、法人、其他组织 | 严重损害 | 第二级 |
| 人工不可替代 | 公民、法人、其他组织 | 特别严重损害 | 第二级 |
八、行业标准-民航
民航行业定级标准:MH/T 0069—2018 中 华 人 民 共 和 国 民 用 航 空 行 业 标 准《民用航空网络安全等级保护定级指南》
8.1各类民航网络与信息系统的典型实例8.1.1典型的空中交通管理类信息系统
业务重要性 | 典型系统 |
---|
空管生产管理一般业务 | 自动气象观测系统等 |
空管生产管理重要业务 | 民航气象数据库、自动转报系统、航空情报自动化系统 |
空管生产控制、指挥调度 | 空中交通管制自动化系统 |
8.1.2典型的航务类信息系统
业务重要性 | 典型系统 |
---|
一般业务 | 地面保障系统等 |
重要业务(涉及航班计划、航班动态、飞机参数等航班数据) | 飞行员往上准备系统等 |
核心业务(航班运行控制) | 航班运行控制系统等 |
8.1.3典型的机务类信息系统
业务重要性 | 典型系统 |
---|
一般业务 | 航材管理系统等 |
重要业务(直接影响飞机适航性) | 机务维修管理系统等 |
8.1.4典型的商务/旅客服务类信息系统
业务重要性 | 典型系统 |
---|
一般业务(涉及企业商业秘密) | 运价系统、收益管理系统、货运管理系统等 |
重要业务(涉及企业核心商业秘密和旅客个人信息) | 代理人分销系统、电子客票系统、常旅客管理系统(客户关系管理系统)等 |
核心业务(直接影响旅客流程) | 航班控制系统、离港控制系统等 |
8.1.5典型的机场生产运行类信息系统
业务重要性 | 典型系统 |
---|
一般业务(不直接影响旅客服务) | 内部通信系统、时钟系统等 |
重要业务(直接影响旅客服务) | 安检信息管理系统、航班信息显示系统、广播系统等 |
核心业务(直接影响旅客流程、行李流程、航空器流程) | 信息集成系统、离港前端系统、机坪塔台指挥系统等 |
8.1.6典型的电子政务类信息系统
业务重要性 | 典型系统 |
---|
一般业务 | (略) |
重要业务(涉及重要的局部性政务信息) | 民航飞行标准监督管理系统等 |
核心业务(涉及关键性、全局性政务信息) | 民航综合统计信息系统等 |
8.1.7典型的通用管理类信息系统
业务重要性 | 典型系统 |
---|
一般业务 | (略) |
重要业务(涉及主要办公信息) | 办公自动化系统、财务管理系统等 |
8.2民用航空网络与信息系统安全保护等级建议8.2.1空中交通管理类信息系统安全保护等级
业务重要性 | 服务范围 |
|
---|
| 空管分局(站) | 全国或地区空管局 |
空管生产管理一般业务 | 第一级 | 第二级 |
空管生产管理重要业务 | 第二级 | 第三级 |
空管生产控制、指挥调度 | 第三级 | 第三级 |
8.2.2航务类信息系统安全保护等级
业务重要性 | 业务量 | (年旅客运输量P:万人次) |
|
---|
| P<200 | 200≤P<1000 | P≥1000 |
一般业务 | 第一级 | 第一级 | 第二级 |
重要业务(涉及航班计划、航班动态、飞机参数等航班数据) | 第二级 | 第二级 | 第二级 |
核心业务(航班运行控制) | 第二级 | 第三级 | 第三级 |
8.2.3机务类信息系统安全保护等级
业务重要性 | 业务量 | (年旅客运输量P:万人次) |
|
---|
| P<200 | 200≤P<1000 | P≥1000 |
一般业务 | 第一级 | 第一级 | 第二级 |
重要业务(直接影响飞机适航性) | 第一级 | 第二级 | 第二级 |
8.2.4商务/旅客服务类信息系统安全保护等级
业务重要性 | 服务范围 |
|
---|
| 区域 | 全国 |
一般业务(涉及企业商业秘密) | 第一级 | 第二级 |
重要业务(涉及企业核心商业秘密和旅客个人信息) | 第二级 | 第三级 |
核心业务(直接影响旅客流程) | 第三级 | 第三级 |
8.2.5机场生产运行类信息系统安全保护等级
业务重要性 | 业务量 | (调整年旅客吞吐量A:万人次) |
|
|
---|
| A<200 | 200≤A<1000 | 1000≤A<4000 | A≥4000 |
一般业务(不直接影响旅客服务) | 第一级 | 第一级 | 第一级 | 第二级 |
重要业务(直接影响旅客服务) | 第一级 | 第二级 | 第二级 | 第二级 |
核心业务(直接影响旅客流程、行李流程、航空器流程) | 第二级 | 第二级 | 第三级 | 第三级 |
8.2.6电子政务类信息系统安全保护等级
业务重要性 | 服务范围 |
|
---|
| 区域 | 全国 |
一般业务 | 第一级 | 第二级 |
重要业务(涉及重要的局部性政务信息) | 第二级 | 第二级 |
核心业务(涉及关键性、全局性政务信息) | 第三级 | 第三级 |
8.2.7通用管理类信息系统安全保护等级
业务重要性 | 信息系统规模 |
|
---|
| 仅覆盖一个地区或业务量较小 | 覆盖全国或业务量较大 |
一般业务 | 第一级 | 第一级 |
重要业务(涉及主要办公信息) | 第一级 | 第二级 |
注:对于机场的通用管理信息系统,调整年旅客吞吐量在200万人次以上为业务量较大,反之为业务量较小。对于航空公司的通用管理信息系统,年旅客运输量在200万人次以上为业务量较大,反之为业务量较小。
8.2.8门户网站(不包含业务应用)类信息系统安全保护等级
单位规模 | 安全保护等级 |
---|
地区性或中小型企事业单位、社会团体 | 第二级 |
全国性或大型企事业单位、社会团体 | 第三级 |
8.2.9其他情况
对于基础信息网络、云计算平台、物联网、移动互联网、大数据平台等支撑类网络与信息系统,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,安全保护等级应不低于其承载的等级保护对象的安全保护等级;
对于大数据,应综合考虑数据规模、数据价值等因素,根据国标进行定级;
对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。
九、行业标准-铁路行业
铁路行业定级标准:Q/CR 853-2021 《铁路网络安全等级保护定级指南》
9.1铁路业务重要性级别
非常重要业务:
①运输生产调度、控制和涉及行车安全的监控业务;
②直接影响国铁集团客货运生产和客户服务业务;
③存储和处理国铁集团重要数据的网络和系统;
④国铁集团非常重要的经营开发业务;
⑤服务于国铁集团的重要业务的基础设施,包括骨干通信网络、云平台、网络安全平台、数据中心等;
⑥服务于工程建设中重大工程的关键系统和基础设施;
⑦其他经国铁集团确定为非常重要业务的。
重要业务:
①行车监测、检测、维护等辅助业务;
②客货运服务辅助管理系统;
③国铁集团及所属各单位、控股合资公司公文流转、日常办公、邮件处理等管理业务;
④国铁集团经营开发相关业务;
⑤服务于铁路局范围内的重要业务的基础设施,包括骨干通信网络、云平台、网络安全平台、数据中心等;
⑥服务于工程建设的重要系统和基础设施;
⑦其他经国铁集团确定为重要业务的。
一般业务包括:
①部署于非常重要、重要的业务;
②经国铁集团确定为一般业务的。
9.2业务信息类别:
商业信息:关系国铁集团及所属各单位、控股合资公司的经济利益和竞争优势,涉及与科研、生产、经营相关的技术信息和经营信息;
工作信息:关系国铁集团及所属各单位、控股合资公司的公务活动和内部管理的事项,如文件类、信息类、政务类、专项业务类、内部管理类等与工作相关信息。
个人信息:以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种锡信息。
9.3信息系统安全等级保护定级建议9.3.1业务信息
铁路业务重要性级别 | 业务信息类别 | 受侵害的客体 | 对客体的侵害程度 |
---|
非常重要业务 | 商业信息 | 社会秩序、公共利益 | 严重损害或特别严重损害 |
| 工作信息 | 社会秩序、公共利益 | 一般损害或严重损害 |
|
| 公民、法人和其他组织的合法权益 | 严重损害或特别严重损害 |
| 个人信息 | 社会秩序、公共利益 | 一般损害或严重损害 |
|
| 公民、法人和其他组织的合法权益 | 严重损害或特别严重损害 |
重要业务 | 商业信息 | 社会秩序、公共利益 | 一般损害或严重损害 |
|
| 公民、法人和其他组织的合法权益 | 严重损害或特别严重损害 |
| 工作信息 | 社会秩序、公共利益 | 一般损害或严重损害 |
|
| 公民、法人和其他组织的合法权益 | 一般损害或严重损害 |
| 个人信息 | 社会秩序、公共利益 | 一般损害或严重损害 |
|
| 公民、法人和其他组织的合法权益 | 一般损害或严重损害 |
一般业务 | 商业信息 | 社会秩序、公共利益 | 一般损害或严重损害 |
|
| 公民、法人和其他组织的合法权益 | 严重损害或特别严重损害 |
| 工作信息 | 社会秩序、公共利益 | 一般损害 |
|
| 公民、法人和其他组织的合法权益 | 一般损害或严重损害 |
| 个人信息 | 社会秩序、公共利益 | 一般损害 |
|
| 公民、法人和其他组织的合法权益 | 一般损害或严重损害 |
9.3.2系统服务
铁路业务重要性级别 | 系统服务范围 | 受侵害的客体 | 对客体的侵害程度 |
---|
非常重要业务 | 全路性 | 社会秩序、公共利益 | 严重损害或特别严重损害 |
|
| 公民、法人和其他组织的合法权益 | 严重损害或特别严重损害 |
| 区域性 | 社会秩序、公共利益 | 严重损害或特别严重损害 |
|
| 公民、法人和其他组织的合法权益 | 严重损害或特别严重损害 |
| 局部性 | 社会秩序、公共利益 | 一般损害或严重损害 |
|
| 公民、法人和其他组织的合法权益 | 严重损害或特别严重损害 |
重要业务 | 全路性 | 社会秩序、公共利益 | 一般损害或严重损害 |
|
| 公民、法人和其他组织的合法权益 | 严重损害或特别严重损害 |
| 区域性 | 社会秩序、公共利益 | 一般损害或严重损害 |
|
| 公民、法人和其他组织的合法权益 | 严重损害或特别严重损害 |
| 局部性 | 社会秩序、公共利益 | 一般损害或严重损害 |
|
| 公民、法人和其他组织的合法权益 | 一般损害或严重损害 |
一般业务 | 全路性 | 社会秩序、公共利益 | 一般损害或严重损害 |
|
| 公民、法人和其他组织的合法权益 | 一般损害或严重损害 |
| 区域性 | 社会秩序、公共利益 | 一般损害 |
|
| 公民、法人和其他组织的合法权益 | 一般损害或严重损害 |
| 局部性 | 社会秩序、公共利益 | 一般损害 |
|
| 公民、法人和其他组织的合法权益 | 一般损害或严重损害 |
十、行业标准-报业
报业定级标准:中国新闻技术工作者联合会-报业网络安全等级保护定级参考指南 V2.0
10.1报业网络安全等级保护对象
分类 | 定级对象 | 描述 |
---|
新闻生产 | 融媒体/全媒体系统 | 传统媒体和新媒体融合工作业务系统 |
| 新闻采编发系统 | 报纸采编发信息系统 |
| 新媒体制作发布系统 | 网站及移动端等制作与发布系统 |
| 网站新闻发布系统 | 独立的互联网网站系统 |
| 报道指挥系统 | 实现信息共享、及时沟通、选题策划、指挥协调和传播力分析等功能的业务系统 |
| 新闻大屏系统 | 新闻和广告等信息大屏业务系统 |
业务支撑和服务 | 云计算平台 | 基于硬件和软件,提供计算、存储、网络服务和一定安全保障的技术平台系统 |
| 大数据平台 | 为融媒体运营和行业公众业务等提供增值服务的系统 |
| 媒资系统 | 音视频资料、文本、图片、图表等各类媒体资料数据的存储管理系统 |
| 舆情系统 | 为行业和社会提供舆情服务的系统 |
| 邮件系统 | 有独立域名的互联网邮件系统 |
管理 | 办公经营系统 | 包括办公、人事、绩效考核财务、广告、发行、客户关系等系统 |
| 运维管理系统 | 实现各业务系统的监测、安全管理、运维管理等功能的信息系统 |
其他 |
| 报业单位认为重要的其他信息系统 |
10.2报业网络安全等级保护定级参考
分类 | 定级对象 | 单位类别 |
|
|
|
---|
|
| 中央级报社 | 省级报社 | 行业报社 | 都市报社 |
新闻生产 | 融媒体/全媒体系统 | 第三级 | 第三级 | 第三级 | 第二级 |
| 新闻采编发系统 | 第三级 | 第三级 | 第二级 | 第二级 |
| 新媒体制作发布系统 | 第三级 | 第三级 | 第二级 | 第二级 |
| 网站新闻发布系统 | 第三级 | 第二级 | 第二级 | 第二级 |
| 报道指挥系统 | 第三级 | 第二级 | 第二级 | 第二级 |
| 新闻大屏系统 | 第二级 | 第二级 | 第二级 | 第二级 |
业务支撑和服务 | 云计算平台 | 第三级 | 第三级 | 第三级 | 第二级 |
| 大数据平台 | 第二级 | 第二级 | 第二级 | 第二级 |
| 媒资系统 | 第二级 | 第二级 | 第二级 | 第二级 |
| 舆情系统 | 第二级 | 第二级 | 第二级 | 第二级 |
| 邮件系统 | 第二级 | 第二级 | 第二级 | 第二级 |
管理 | 办公经营系统 | 第二级 | 第二级 | 第二级 | 第二级 |
| 运维管理系统 | 第二级 | 第二级 | 第二级 | 第二级 |