网络安全等级保护-定级指南(国标+行标)

发表时间:2024-07-18 18:28
网络安全等级保护信息系统定级主要依据国家标准要求及行业标准要求,根据信息系统业务信息遭受到侵害后对客体的损害程度、服务中断后对客体的损害程度进行界定;在定级工作中涉及信息系统业务主体信息、建设运维信息、业务情况、网络情况、安全防护情况、数据资源类型、数据量、客体识别、损害程度判定等。

下文列举了网络安全等级保护定级相关标准,章节包括:一、国家标准;二、行业标准-教育行业;三、行业标准-广电行业;四、行业标准-电力行业;五、行业标准-卫生行业;六、行业标准-金融行业;七、行业标准-交通运输行业;八、行业标准-民航;九、行业标准-铁路行业;十、行业标准-报业。

内容较多,诸位各取所需,后续有新发现的持续补充。

一、国家标准

国家标准:GB/T 22240-2020《 信息安全技术 网络安全等级保护定级指南》,以下简称“定级指南”。

1.1定级要素:

①受侵害的客体;客体包括:公民、法人和其他组织的合法权益;社会秩序、公众利益;国家安全。

②对客体的侵害程度;侵害程度包括:一般损害;严重损害;特别严重损害。

1.2定级要素与安全保护等级的关系:
受侵害的客体对客体的侵害程度


一般损害严重损害特别严重损害
公民、法人和其他组织的合法权益第一级第二级第二级
社会秩序、公众利益第二级第三级第四级
国家安全第三级第四级第五级
1.3定级流程:

第一步:确定定级对象;也就是本次需要定级的系统名称,例如门户网站系统、xxx管理平台、电力监控系统、主机DCS系统、财务系统、OA系统、专网系统等。定级对象的基本特征包括:具有确定的主要安全责任主体、承载相对独立的业务应用、包含相互关联的多个资源。

第二步:初步确定等级;责任主体单位及责任主体部门或第三方技术人员,依照定级指南拟定等级。

第三步:专家评审;邀请具备资质的专家对初步拟定的定级对象等级进行评审,一般专家包括政府专家库中网络安全专家、网络安全等级保护测评机构高级测评师、网安专家库中登记备案的专家、责任主体单位具备高级职称的技术专家等,具体的按照当地的要求开展专家评审即可。

第四步:主管部门核准;若具备上级主管部门,则需拟上级主管部门审批意见经主管部门盖章确认。一般审批意见由上级主管部门出具,内容大致为你单位xxx系统定级资料已收悉,同意将xxx系统定为x级,在定级基础上做好网络安全等级保护工作。

第五步:备案审核;按照当地网安要求,准备备案资料提交网安审核。

1.4定级方法:

①从业务信息安全被破坏时所侵害的客体以及对客体的侵害程度着手,依据“定级要素与安全保护等级的关系表”,对业务信息安全保护等级进行确定;

②从系统服务安全被破坏时所侵害的客体以及对客体的侵害程度着手,依据”定级要素与安全保护等级的关系表“,对系统服务安全保护等级进行确定;

③最终确定定级对象的安全保护等级(由业务信息安全保护等级和系统服务安全保护等级的较高者决定。)

二、行业标准-教育行业

教育行业定级标准:教育部办公厅关于印发《教育行业信息系统 安全等级保护定级工作指南(试行)》的通知

教技厅函〔2014〕74号

2.1信息系统安全等级保护等级建议表-教育部门2.1.1政务管理类
信息系统建议安全保护等级


部级省级地市
(01)办公与事务处理第二级第二级第二级
(02)公文与信息交换第三级第三级第二级
(03)人事管理第二级第二级第二级
(04)财务管理第二级第二级第二级
(05)资产管理第二级第二级第二级
(06)信访管理第二级第二级第二级
(07)档案管理——第二级第二级
(08)党务管理第二级第二级第二级
(09)科研管理第二级第二级第二级
(10)教育统计管理第三级第二级第二级
(11)决策支持第二级第二级第二级
(12)应急指挥第三级第二级第二级
(13)舆情监测与管理第三级第二级第二级
(14)高等教育招生计划管理第三级第二级第二级
(15)普通高校招生网上录取管理第三级第三级第三级
(16)教育考试考务管理与服务第三级第三级第二级
(17) 评审、表彰管理第二级第二级第二级
2.1.2学校管理类
信息系统建议安全保护等级


部级省级地市
(01)学校管理第三级第二级第二级
(02)学科、专业管理第三级第二级第二级
(03)教学改革管理第三级第二级第二级
(04)教学质量评估第三级第二级第二级
(05)校园安全与稳定管理第三级第二级第二级
(06)教育经费监管第三级第二级第二级
2.1.3学生管理类
信息系统建议安全保护等级


部级省级地市
(01)学生学籍管理第三级第三级第二级
(02)招生录取管理第三级第三级第三级
(03)学生资助管理第三级第三级第二级
(04)学位授予管理第三级第三级第二级
2.1.4教师管理类
信息系统建议安全保护等级


部级省级地市
(01)教师基本信息管理第三级第二级第二级
(02)教师资格认定管理第三级第二级第二级
(03)教师培训管理第三级第二级第二级
(04)教师教育管理第三级第二级第二级
(05)教师职称管理第三级第二级第二级
2.1.5综合服务类
信息系统建议安全保护等级


部级省级地市
(01)门户网站第三级第三级第二级
(02)论坛、社区类网站第二级第二级第二级
(03)教育教学资源第三级第二级第二级
(04)毕业、就业信息管理第三级第二级第二级
(05)电子邮件第二级第二级第二级
(06)视频服务第三级第二级第二级
(07)安防监控第二级第二级第二级
(08)内网门户与身份认证第三级第二级第二级
(09)公共数据库第三级第二级第二级
(10)运维管理第三级第二级第二级
2.2信息系统安全等级保护等级建议表-学校2.2.1教务管理类
信息系统建议安全保护等级


Ⅰ类学校Ⅱ类学校Ⅲ类学校
(01)办公与事务处理第二级第二级第一级
(02)公文与信息交换第二级第二级第一级
(03)人事管理第二级第二级第一级
(04)财务管理第二级第二级第一级
(05)资产管理第二级第二级第一级
(06)后勤管理第二级第二级第一级
(07)学生教育工作管理第二级第二级第一级
(08)学生体质健康数据管理第二级第二级第一级
(09)档案管理第二级第二级第一级
(10)党务管理第二级第二级第一级
2.2.2教学科研类
信息系统建议安全保护等级


Ⅰ类学校Ⅱ类学校Ⅲ类学校
(01)教学改革管理第二级第二级第一级
(02)学科、专业管理第二级第二级第一级
(03)教务教学管理第二级第二级第一级
(04)教学资源管理第二级第二级第一级
(05)教学质量评估与保障第二级第二级第一级
(06)科研管理第三级第二级第一级
(07)科研情报第三级第二级第一级
2.2.3招生就业类
信息系统建议安全保护等级


Ⅰ类学校Ⅱ类学校Ⅲ类学校
(01)招生录取管理第三级第二级第一级
(02)学生就业管理第二级第二级第一级
2.2.4综合服务类
信息系统建议安全保护等级


Ⅰ类学校Ⅱ类学校Ⅲ类学校
(01)门户网站第三级第二级第一级
(02)论坛、社区类网站第三级第二级第一级
(03)数字图书馆第二级第二级第一级
(04)电子邮件第二级第二级第一级
(05)视频服务第二级第二级第一级
(06安防监控第二级第二级第一级
(07)校园一卡通第三级第二级第一级
(08)内网门户与身份认证第二级第二级第一级
(09)公共数据库第二级第二级第一级
(10)运维管理第二级第二级第一级
三、行业标准-广电行业

广电行业定级标准:GY/T 337-2020广播电视网络安全等级保护定级指南

3.1信息系统安全等级保护对象分类建议表3.1.1广播/电视中心
定级对象描述
播出系统实现节目播出和播出控制的信息系统。
融合媒体发布系统面向社交媒体、客户端等内容发布的信息系统。
制播一体化系统实现节目制作播出一体化的信息系统。
播出整备系统为播出进行节目准备和信号(信息流)调度的信息系统。
媒资系统实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。
制作系统实现内容制作以及为制作业务提供辅助服务的信息系统。
融合媒体采集与制   作系统面向社交媒体、客户端等内容生产和集成的信息系统。
业务支撑系统实现各业务系统互联互通及基础性服务支撑的信息系统。
管理支撑系统实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。
3.1.2融媒体中心
定级对象描述
省级技术平台为县级融媒体中心媒体服务、党建服务、政务服务、公共服务、增值服务等业务开展提供技术支撑、运营维护的省级云平台。
融媒体中心播出/   发布系统实现融媒体中心节目播出/内容发布的信息系统。
其他系统融媒体中心除播出/发布系统外的信息系统。
3.1.3集成平台(含IPTV、移动多媒体广播、手机电视、互联网电视、直播卫星等的集成播控平台和节目集成平台)
定级对象描述
播控系统实现节目播出控制、编码复用、加密传输的信息系统。
互动系统实现互动功能以及为互动业务提供辅助服务的信息系统。
媒资系统实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。
制作系统实现内容制作以及为制作业务提供辅助服务的信息系统。
运营支撑系统实现业务运营和用户管理的信息系统。
管理支撑系统实现终端及业务系统的监测、安全管理、运维管理、生产管理和版权管理等功能的信息系统。
3.1.4有线电视平台
定级对象描述
播出系统实现节目播出和播出控制的信息系统。
互动系统实现互动功能以及为互动业务提供辅助服务的信息系统。
宽带系统实现用户接入互联网,实现电脑等终端上网业务的信息系统。
运营支撑系统实现业务运营和用户管理的信息系统。
媒资系统实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。
制作系统实现内容制作以及为制作业务提供辅助服务的信息系统。
管理支撑系统实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。
3.1.5基础网络
定级对象描述
承载网基础光缆网络、城域网等基础信息网络及其控制系统。
运营支撑系统实现业务运营和用户管理的信息系统。
管理支撑系统实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。
3.1.6网络广播电视台
定级对象描述
网站系统实现面向公众提供音视频服务的业务网站。
播出系统实现节目播出和播出控制的信息系统。
互动系统实现互动功能以及为互动业务提供辅助服务的信息系统。
媒资系统实现媒体等内容资源接收、存储、管理、转换和共享的信息系统。
制作系统实现内容制作以及为制作业务提供辅助服务的信息系统。
运营支撑系统实现业务运营和用户管理的信息系统。
管理支撑系统实现各业务系统的监测、安全管理、运维管理、生产管理、广告管理和版权管理等功能的信息系统。
3.1.7互联网视听节目服务机构(不含网络广播电视台)
定级对象描述
网站系统实现面向公众提供音视频服务的业务网站。
播出系统实现节目播出和播出控制的信息系统。
互动系统实现互动功能以及为互动业务提供辅助服务的信息系统。
3.1.8无线台站
定级对象描述
调度控制系统实现资源管理、资源调度、生成播发和效果评估等功能的信息系统。
管理支撑系统实现监测监管、调度指挥、安全管理、运维管理、生产管理和版权管理等功能的信息系统。
3.1.9卫星地球站
定级对象描述
上行功率控制系统实现实时判断异常情况,自动、手动提升上行功率,并具备异地接   收、上行自环检测等防止功率误提升技术措施的信息系统。
3.1.10应急广播中心
定级对象描述
制作播发系统实现信息接入、信息处理、信息制作和审核播发等功能的信息系统。
调度控制系统实现资源管理、资源调度、生成播发和效果评估等功能的信息系统。
3.1.11监测监管
定级对象描述
指挥调度系统实现安全播出资源管理、应急联动指挥等功能的信息系统。
监测监管系统实现广播电视节目监测监管、监听监看的信息系统。
3.1.12数据资源
定级对象描述
大数据具有数量巨大、来源多样、生成极快、且多变等特征并且难以用传统数据体系结构有效处理的包含大量数据集的数据。
大数据系统实现大数据参考体系结构的全部或部分功能的信息系统。
3.1.13通用系统
定级对象描述
门户网站系统实现提供某类综合性互联网信息资源和有关信息服务的信息系统。
电子政务系统面向政府机构的信息服务和信息处理系统。
数据中心系统实现广播电视业务信息集中处理、存储、传输、交换、管理的信息   系统。
邮件系统办公用电子邮件信息系统。
面向公众移动互联系统实现面向社会公众提供信息服务的具有移动客户端的信息系统。
内部生产移动互联系统实现系统内部生产管理的具有移动客户端的信息系统。

注:包含但不限于行业内政府网站、重要单位的机构网站等。

3.2信息系统安全等级保护对象定级建议表3.2.1广播/电视中心网络安全保护等级建议
序号网络分类安全保护等级安全保护等级安全保护等级安全保护等级


国家级省级、副省级地市级县级
1播出系统第四级第三级第三级第三级
2融合媒体发布系统第三级第三级第三级第二级
3制播一体化系统第三级第三级第二级第二级
4播出整备系统第二级第二级第二级第二级
5媒资系统第二级第二级第二级第二级
6制作系统第二级第二级第二级第二级
7融合媒体采集与制作系统第二级第二级第二级第二级
8业务支撑系统第二级第二级第二级第二级
9管理支撑系统第二级第二级第二级第二级
3.2.2融媒体中心安全保护等级建议
序号网络分类安全保护等级
1省级技术平台第三级
2融媒体中心播出/发布系统第三级
3其他系统第二级
3.2.3集成平台网络安全保护等级建议
序号网络分类安全保护等级
1播控系统第三级
2互动系统第三级
3媒资系统第二级
4制作系统第二级
5运营支撑系统第二级
6管理支撑系统第二级
3.2.4有线电视平台网络安全保护等级建议
序号网络分类安全保护等级安全保护等级安全保护等级


全国或跨省全省或跨地市地市及以下县级
1播出系统第三级第三级第二级
2互动系统第三级第三级第二级
3宽带系统第三级第三级第二级
4运营支撑系统第三级第三级第二级
5媒资系统第二级第二级第二级
6制作系统第二级第二级第二级
7管理支撑系统第二级第二级第二级
3.2.5基础网络安全保护等级建议
序号网络分类安全保护等级安全保护等级


全国或跨省全省或跨地市
1承载网第三级第二级
2运营支撑系统第三级第二级
3管理支撑系统第二级第二级
3.2.6网络广播电视台网络安全保护等级建议
序号网络分类安全保护等级
1网站系统第三级
2播出系统第三级
3互动系统第三级
4媒资系统第二级
5制作系统第二级
6运营支撑系统第二级
7管理支撑系统第二级
3.2.7互联网视听节目服务机构(不含网络广播电视台)网络安全保护等级建议
序号网络分类安全保护等级
1网站系统第三级
2播出系统第三级
3互动系统第三级
3.2.8无线台站网络安全保护等级建议
序号网络分类安全保护等级安全保护等级


国家级省级
1调度控制系统第三级第二级
2管理支撑系统第二级第二级
3.2.9卫星地球站网络安全保护等级建议
序号网络分类安全保护等级安全保护等级


国家级省级
1上行功率控制系统第三级第二级
3.2.10应急广播网络安全保护等级建议
序号网络分类安全保护等级安全保护等级安全保护等级


国家级省级地市及以下
1制作播发系统第三级第三级第二级
2调度控制系统第三级第三级第二级
3.2.11监测监管网络安全保护等级建议
序号网络分类安全保护等级安全保护等级


国家级省级
1指挥调度系统第三级第二级
2监测监管系统第二级第二级
3.2.12数据资源网络安全保护等级建议
序号网络分类安全保护等级
1大数据系统第三级
2大数据第三级
3.2.13通用系统网络安全保护等级建议
序号网络分类安全保护等级安全保护等级安全保护等级


国家级省级、副省级地市及以下
1门户网站系统第三级第三级第二级
2电子政务系统第三级第三级第二级
3数据中心系统第三级第三级第二级
4邮件系统第三级第二级第二级
5面向公众移动互联系统第三级第三级第二级
6内部生产移动互联系统第二级第二级第二级
四、行业标准-电力行业

电力行业定级标准:关于印发《电力行业信息系统等级保护定级工作 指导意见》的通知 电监信息〔2007〕 44 号

4.1电力行业重要信息系统安全等级保护定级建议4.1.1生产控制系统
系统名称范围建议等级
能量管理系统省级及以上第四级

省级以下第三级
变电站自动化系统   (含开关站、换流站)220千伏及以上第三级

220千伏以下第二级
配网自动化系统
第三级
电力负荷管理系统
第三级
火电机组控制系统   DCS   (含辅机控制系统)单机容量 300 兆瓦   及以上第三级

单机容量 300 兆瓦   以下第二级
水电厂监控系统总装机1000兆瓦及以上第三级

总装机1000兆瓦以下第二级
梯级调度监控系统总装机2000兆瓦及以上第三级

总装机2000兆瓦以下第二级
4.1.2生产管理系统
系统名称范围建议等级
继电保护和故障录波信息管理系统
第二级
电能量计量系统
第三级
广域相量测量系统
第三级
水调自动化系统
第二级
调度生产管理系统省级及以上第三级

省级以下第二级
发电厂SIS总装机1000兆瓦及以上第三级

总装机1000兆瓦以下第二级
梯级水调自动化系统
第二级
水坝自动监测系统
第二级
雷电(气象)监测系统
第二级
核电站环境监测系统
第三级
4.1.3网站系统
系统名称范围建议等级
企业内部网站系统
第二级
企业对外网站系统集团公司本部第三级

二级公司、网省公司及以下第二级
电力监管门户网站系统电监会本部第三级

电监会派出机构第二级
4.1.4管理信息系统
系统名称范围建议等级
生产管理信息系统
第二级
电力市场信息系统
第三级
财务(资金)管理系统集团公司本部、二级公司、网省公司第三级

二级公司、网省公司以下第二级
营销管理系统
第二级
办公自动化(OA)系统集团公司本部第三级

二级公司、网省公司及以下第二级
邮件系统
第二级
人力资源管理系统
第二级
物资管理系统
第二级
项目管理系统
第二级
ERP系统
第二级
修建管理信息系统
第二级
电力设计管理信息系统省院(或甲级资质)及以上设计单位第三级

省院(或甲级资质)以下设计单位第二级
电力监管信息系统
第三级
4.1.5信息网络
系统名称范围建议等级
电力调度数据网络
第三级
电力企业广域网
第二级
电力监管广域网
第二级
五、行业标准-卫生行业

卫生行业定级标准:《卫生行业信息安全等级保护工作的指导意见》卫办发〔2011〕85号

卫生行业仅提出:

以下重要卫生信息系统安全保护等级原则上不低于第三级:
1.卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统
2.国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心
3.三级甲等医院的核心业务信息系统
4.卫生部网站系统
5.其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统
六、行业标准-金融行业

金融行业定级标准:中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见银发【2012】163号

6.1信息系统安全等级保护主要定级对象分类6.1.1应用系统

①核心业务信息系统或综合业务信息系统(分类代码为Y-Ⅰ类,下同)

②网上银行系统、重要支撑系统、重要交易系统、重要管理系统及其他运行关键业务或涉及客户身份、资产、交易记录等敏感信息的重要信息系统(Y-Ⅱ类)

③部署有应用服务器或者数据服务器的前置系统(Y-Ⅲ类)

6.1.2生产网络系统

区别于通常意义的计算机网络,作为定级对象的生产网络系统包括网络设备(如交换机、路由器、负载均衡等)、前置中间件设备(如消息队列服务器等)和接入网络的计算机终端,各机构可从以下两种方案中选用一种对生产网络系统进行定级:

①方案一:

广域网骨干网络(W1-Ⅰ类)

机构总部局域网骨干网络(W1-Ⅱ类)

分支机构局域网骨干网络(W1-Ⅲ类)

②方案二:

机构总部骨干网络(W2-Ⅰ类):含机构总部局域网骨干网络及下联一级分支机构(若有)的广域网骨干网络

分支机构骨干网络(W2-Ⅱ类):含本分支机构局域网骨干网络及下联一级分支机构(若有)的广域网骨干网络

6.2信息系统安全等级保护定级建议6.2.1机构总部
机构类别
Y-Ⅰ类Y-Ⅱ类W1
W2




W1-Ⅰ类W1-Ⅱ类W2-Ⅰ类
国家开发银行和政策性银行
第三级第三级第三级第三级第三级
国有商业银行、全国性股份制商业银行和中国邮政储蓄银行
第四级第三级第三级第三级第三级
城市商业银行、农村商业银行、农村合作银行和农村信用社营业网点跨省(自治区、直辖市)第三级第三级第三级第三级第三级

营业网点限于省(自治区、直辖市)内第三级第二级第二级第二级第二级
6.2.2分支机构
机构类别分支机构类别Y-Ⅲ类W1W2



W1-Ⅲ类W2-Ⅱ类
国家开放性银行和政策性银行一级及以下分支机构第二级第二级第二级
国有商业银行、全国性股份制商业银行和中国邮政储蓄银行一级分支机构第三级第三级第三级

二级及以下分支机构第二级第二级第二级
城市商业银行、农村商业银行、农村合作银行和农村信用社一级及以下分支机构第二级第二级第二级

注:1.国有商业银行、全国性股份制商业银行和中国邮政储蓄银行的一级分支机构如采取多个接入渠道开展业务从而降低对单个Y-Ⅲ类信息系统依赖,其Y-Ⅲ类信息系统可在分支机构信息系统安全等级保护建议表的基础上降低一级

2.仅在辖区内部署接入终端的分支机构,可不为其Y-Ⅲ类、W1-Ⅲ类或W2-Ⅱ类系统定级

七、行业标准-交通运输行业

交通运输行业定级标准:JT/T 904-2014《交通运输行业信息系统安全等级保护定级指南》

7.1信息系统安全等级保护定级建议7.1.1业务管理类
系统服务范围业务依赖程度侵害的客体侵害程度建议等级
全国人工可替代社会秩序、公共利益一般损害第二级

人工部分可替代社会秩序、公共利益一般损害第二级

人工不可替代社会秩序、公共利益严重损害或特别严重损害第三级
区域人工可替代社会秩序、公共利益一般损害第二级

人工部分可替代社会秩序、公共利益一般损害第二级

人工不可替代社会秩序、公共利益严重损害第三级
省域人工可替代社会秩序、公共利益一般损害第二级

人工部分可替代社会秩序、公共利益一般损害第二级

人工不可替代社会秩序、公共利益严重损害第三级
机构内人工可替代公民、法人、其他组织一般损害-

人工部分可替代公民、法人、其他组织严重损害第二级

人工不可替代公民、法人、其他组织特别严重损害第二级
7.1.2行政办公类
全国人工可替代社会秩序、公共利益一般损害第二级

人工部分可替代社会秩序、公共利益一般损害第二级

人工不可替代社会秩序、公共利益严重损害第三级
区域人工可替代社会秩序、公共利益一般损害第二级

人工部分可替代社会秩序、公共利益一般损害第二级

人工不可替代社会秩序、公共利益严重损害第三级
省域人工可替代社会秩序、公共利益一般损害第二级

人工部分可替代社会秩序、公共利益一般损害第二级

人工不可替代社会秩序、公共利益严重损害第三级
机构内人工可替代公民、法人、其他组织一般损害-

人工部分可替代公民、法人、其他组织严重损害第二级

人工不可替代公民、法人、其他组织特别严重损害第二级
7.1.3综合平台类
全国人工可替代社会秩序、公共利益一般损害第二级

人工部分可替代社会秩序、公共利益一般损害第二级

人工不可替代社会秩序、公共利益严重损害或特别严重损害第三级
区域人工可替代社会秩序、公共利益一般损害第二级

人工部分可替代社会秩序、公共利益严重损害第三级

人工不可替代社会秩序、公共利益严重损害第三级
省域人工可替代社会秩序、公共利益一般损害第二级

人工部分可替代社会秩序、公共利益严重算还第三级

人工不可替代社会秩序、公共利益严重损害第三级
7.1.4基础支撑类
全国人工可替代社会秩序、公共利益一般损害第二级

人工部分可替代社会秩序、公共利益严重损害第三级

人工不可替代社会秩序、公共利益严重损害或特别严重损害第三级
区域人工可替代社会秩序、公共利益一般损害第二级

人工部分可替代社会秩序、公共利益严重损害第三级

人工不可替代社会秩序、公共利益严重损害第三级
省域人工可替代社会秩序、公共利益一般损害第二级

人工部分可替代社会秩序、公共利益严重损害第三级

人工不可替代社会秩序、公共利益严重损害第三级
机构内人工可替代公民、法人、其他组织一般损害-

人工部分可替代公民、法人、其他组织严重损害第二级

人工不可替代公民、法人、其他组织特别严重损害第二级
八、行业标准-民航

民航行业定级标准:MH/T 0069—2018 中 华 人 民 共 和 国 民 用 航 空 行 业 标 准《民用航空网络安全等级保护定级指南》

8.1各类民航网络与信息系统的典型实例8.1.1典型的空中交通管理类信息系统
业务重要性典型系统
空管生产管理一般业务自动气象观测系统等
空管生产管理重要业务民航气象数据库、自动转报系统、航空情报自动化系统
空管生产控制、指挥调度空中交通管制自动化系统
8.1.2典型的航务类信息系统
业务重要性典型系统
一般业务地面保障系统等
重要业务(涉及航班计划、航班动态、飞机参数等航班数据)飞行员往上准备系统等
核心业务(航班运行控制)航班运行控制系统等
8.1.3典型的机务类信息系统
业务重要性典型系统
一般业务航材管理系统等
重要业务(直接影响飞机适航性)机务维修管理系统等
8.1.4典型的商务/旅客服务类信息系统
业务重要性典型系统
一般业务(涉及企业商业秘密)运价系统、收益管理系统、货运管理系统等
重要业务(涉及企业核心商业秘密和旅客个人信息)代理人分销系统、电子客票系统、常旅客管理系统(客户关系管理系统)等
核心业务(直接影响旅客流程)航班控制系统、离港控制系统等
8.1.5典型的机场生产运行类信息系统
业务重要性典型系统
一般业务(不直接影响旅客服务)内部通信系统、时钟系统等
重要业务(直接影响旅客服务)安检信息管理系统、航班信息显示系统、广播系统等
核心业务(直接影响旅客流程、行李流程、航空器流程)信息集成系统、离港前端系统、机坪塔台指挥系统等
8.1.6典型的电子政务类信息系统
业务重要性典型系统
一般业务(略)
重要业务(涉及重要的局部性政务信息)民航飞行标准监督管理系统等
核心业务(涉及关键性、全局性政务信息)民航综合统计信息系统等
8.1.7典型的通用管理类信息系统
业务重要性典型系统
一般业务(略)
重要业务(涉及主要办公信息)办公自动化系统、财务管理系统等
8.2民用航空网络与信息系统安全保护等级建议8.2.1空中交通管理类信息系统安全保护等级
业务重要性服务范围

空管分局(站)全国或地区空管局
空管生产管理一般业务第一级第二级
空管生产管理重要业务第二级第三级
空管生产控制、指挥调度第三级第三级
8.2.2航务类信息系统安全保护等级
业务重要性业务量(年旅客运输量P:万人次)

P<200200≤P<1000P≥1000
一般业务第一级         第一级第二级
重要业务(涉及航班计划、航班动态、飞机参数等航班数据)第二级第二级第二级
核心业务(航班运行控制)第二级第三级第三级
8.2.3机务类信息系统安全保护等级
业务重要性业务量(年旅客运输量P:万人次)

P<200200≤P<1000P≥1000
一般业务   第一级         第一级第二级
重要业务(直接影响飞机适航性)第一级第二级第二级
8.2.4商务/旅客服务类信息系统安全保护等级
业务重要性服务范围

区域全国
一般业务(涉及企业商业秘密)第一级第二级
重要业务(涉及企业核心商业秘密和旅客个人信息)第二级第三级
核心业务(直接影响旅客流程)第三级第三级
8.2.5机场生产运行类信息系统安全保护等级
业务重要性业务量(调整年旅客吞吐量A:万人次)


A<200200≤A<10001000≤A<4000A≥4000
一般业务(不直接影响旅客服务)第一级                     第一级第一级第二级
重要业务(直接影响旅客服务)第一级第二级第二级第二级
核心业务(直接影响旅客流程、行李流程、航空器流程)第二级第二级第三级第三级
8.2.6电子政务类信息系统安全保护等级
业务重要性服务范围

区域全国
一般业务第一级第二级
重要业务(涉及重要的局部性政务信息)第二级第二级
核心业务(涉及关键性、全局性政务信息)第三级第三级
8.2.7通用管理类信息系统安全保护等级
业务重要性信息系统规模

仅覆盖一个地区或业务量较小覆盖全国或业务量较大
一般业务第一级第一级
重要业务(涉及主要办公信息)第一级第二级

注:对于机场的通用管理信息系统,调整年旅客吞吐量在200万人次以上为业务量较大,反之为业务量较小。对于航空公司的通用管理信息系统,年旅客运输量在200万人次以上为业务量较大,反之为业务量较小。

8.2.8门户网站(不包含业务应用)类信息系统安全保护等级
单位规模安全保护等级
地区性或中小型企事业单位、社会团体第二级
全国性或大型企事业单位、社会团体第三级
8.2.9其他情况

对于基础信息网络、云计算平台、物联网、移动互联网、大数据平台等支撑类网络与信息系统,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,安全保护等级应不低于其承载的等级保护对象的安全保护等级;

对于大数据,应综合考虑数据规模、数据价值等因素,根据国标进行定级;

对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。

九、行业标准-铁路行业

铁路行业定级标准:Q/CR 853-2021 《铁路网络安全等级保护定级指南》

9.1铁路业务重要性级别

非常重要业务:

①运输生产调度、控制和涉及行车安全的监控业务;

②直接影响国铁集团客货运生产和客户服务业务;

③存储和处理国铁集团重要数据的网络和系统;

④国铁集团非常重要的经营开发业务;

⑤服务于国铁集团的重要业务的基础设施,包括骨干通信网络、云平台、网络安全平台、数据中心等;

⑥服务于工程建设中重大工程的关键系统和基础设施;

⑦其他经国铁集团确定为非常重要业务的。

重要业务:

①行车监测、检测、维护等辅助业务;

②客货运服务辅助管理系统;

③国铁集团及所属各单位、控股合资公司公文流转、日常办公、邮件处理等管理业务;

④国铁集团经营开发相关业务;

⑤服务于铁路局范围内的重要业务的基础设施,包括骨干通信网络、云平台、网络安全平台、数据中心等;

⑥服务于工程建设的重要系统和基础设施;

⑦其他经国铁集团确定为重要业务的。

一般业务包括:

①部署于非常重要、重要的业务;

②经国铁集团确定为一般业务的。

9.2业务信息类别:

商业信息:关系国铁集团及所属各单位、控股合资公司的经济利益和竞争优势,涉及与科研、生产、经营相关的技术信息和经营信息;

工作信息:关系国铁集团及所属各单位、控股合资公司的公务活动和内部管理的事项,如文件类、信息类、政务类、专项业务类、内部管理类等与工作相关信息。

个人信息:以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种锡信息。

9.3信息系统安全等级保护定级建议9.3.1业务信息
铁路业务重要性级别业务信息类别受侵害的客体对客体的侵害程度
非常重要业务商业信息社会秩序、公共利益严重损害或特别严重损害

工作信息社会秩序、公共利益一般损害或严重损害


公民、法人和其他组织的合法权益严重损害或特别严重损害

个人信息社会秩序、公共利益一般损害或严重损害


公民、法人和其他组织的合法权益严重损害或特别严重损害
重要业务商业信息社会秩序、公共利益一般损害或严重损害


公民、法人和其他组织的合法权益严重损害或特别严重损害

工作信息社会秩序、公共利益一般损害或严重损害


公民、法人和其他组织的合法权益一般损害或严重损害

个人信息社会秩序、公共利益一般损害或严重损害


公民、法人和其他组织的合法权益一般损害或严重损害
一般业务商业信息社会秩序、公共利益一般损害或严重损害


公民、法人和其他组织的合法权益严重损害或特别严重损害

工作信息社会秩序、公共利益一般损害


公民、法人和其他组织的合法权益一般损害或严重损害

个人信息社会秩序、公共利益一般损害


公民、法人和其他组织的合法权益一般损害或严重损害
9.3.2系统服务
铁路业务重要性级别系统服务范围受侵害的客体对客体的侵害程度
非常重要业务全路性社会秩序、公共利益严重损害或特别严重损害


公民、法人和其他组织的合法权益严重损害或特别严重损害

区域性社会秩序、公共利益严重损害或特别严重损害


公民、法人和其他组织的合法权益严重损害或特别严重损害

局部性社会秩序、公共利益一般损害或严重损害


公民、法人和其他组织的合法权益严重损害或特别严重损害
重要业务全路性社会秩序、公共利益一般损害或严重损害


公民、法人和其他组织的合法权益严重损害或特别严重损害

区域性社会秩序、公共利益一般损害或严重损害


公民、法人和其他组织的合法权益严重损害或特别严重损害

局部性社会秩序、公共利益一般损害或严重损害


公民、法人和其他组织的合法权益一般损害或严重损害
一般业务全路性社会秩序、公共利益一般损害或严重损害


公民、法人和其他组织的合法权益一般损害或严重损害

区域性社会秩序、公共利益一般损害


公民、法人和其他组织的合法权益一般损害或严重损害

局部性社会秩序、公共利益一般损害


公民、法人和其他组织的合法权益一般损害或严重损害
十、行业标准-报业

报业定级标准:中国新闻技术工作者联合会-报业网络安全等级保护定级参考指南   V2.0

10.1报业网络安全等级保护对象
分类定级对象描述
新闻生产融媒体/全媒体系统传统媒体和新媒体融合工作业务系统

新闻采编发系统报纸采编发信息系统

新媒体制作发布系统网站及移动端等制作与发布系统

网站新闻发布系统独立的互联网网站系统

报道指挥系统实现信息共享、及时沟通、选题策划、指挥协调和传播力分析等功能的业务系统

新闻大屏系统新闻和广告等信息大屏业务系统
业务支撑和服务云计算平台基于硬件和软件,提供计算、存储、网络服务和一定安全保障的技术平台系统

大数据平台为融媒体运营和行业公众业务等提供增值服务的系统

媒资系统音视频资料、文本、图片、图表等各类媒体资料数据的存储管理系统

舆情系统为行业和社会提供舆情服务的系统

邮件系统有独立域名的互联网邮件系统
管理办公经营系统包括办公、人事、绩效考核财务、广告、发行、客户关系等系统

运维管理系统实现各业务系统的监测、安全管理、运维管理等功能的信息系统
其他
报业单位认为重要的其他信息系统
10.2报业网络安全等级保护定级参考
分类定级对象单位类别




中央级报社省级报社行业报社都市报社
新闻生产融媒体/全媒体系统             第三级                                    第三级                              第三级                           第二级                           

新闻采编发系统第三级第三级第二级第二级

新媒体制作发布系统第三级第三级第二级第二级

网站新闻发布系统第三级第二级第二级第二级

报道指挥系统第三级第二级第二级第二级

新闻大屏系统第二级第二级第二级第二级
业务支撑和服务云计算平台第三级第三级第三级第二级

大数据平台第二级第二级第二级第二级

媒资系统第二级第二级第二级第二级

舆情系统第二级第二级第二级第二级

邮件系统第二级第二级第二级第二级
管理办公经营系统第二级第二级第二级第二级

运维管理系统第二级第二级第二级第二级