关于档案行业网络安全等级保护两个文件稿公开征求意见的通知
为进一步加强档案行业网络安全等级保护工作,我局研究起草了《档案行业网络安全等级保护定级工作指南(征求意见稿)》及《档案行业网络安全等级保护基本要求(征求意见稿)》,现面向社会公开征求意见。
公开征求意见截止日期为2025年7月20日。有关意见可通过电子邮件方式发送至xtc@naa.gov.cn,或通过信函方式邮寄至北京市西城区阜成门外大街29号国家档案局科技信息化司信息化推进处(邮编100037)。
附件:
1. 档案行业网络安全等级保护定级工作指南(征求意见稿)
国家档案局办公室
2025年6月27日
来源:https://www.saac.gov.cn/daj/tzgg/202506/a40a266913064b119771dca8f0135767.shtml
《档案行业网络安全等级保护定级工作指南(征求意见稿)》全文如下:
档案行业网络安全等级保护定级工作指南
为进一步提升档案行业网络安全管理水平,加快推进档案行业网络安全工作合规有序开展,依据《中华人民共和国网络安全法》和网络安全等级保护相关政策标准,结合档案工作实际制定本指南。本指南明确了档案行业网络安全等级保护的定级原理和定级流程,提出划分定级对象和确定安全保护等级的建议。
一、适用范围
本指南适用于县级及以上档案主管部门及国家综合档案馆的非涉及国家秘密的等级保护对象的定级工作,其他档案机构可参照执行。
二、编制依据
本文件的编制主要依据以下文件:
《中华人民共和国档案法》;
《中华人民共和国网络安全法》;
《中华人民共和国数据安全法》;
《中华人民共和国个人信息保护法》;
《中华人民共和国档案法实施条例》(国务院令第772号);
《网络数据安全管理条例》(国务院令第790号);
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号);
《信息安全等级保护管理办法》(公通字〔2007〕43号);
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号);
《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960号);
《全国档案馆设置原则和布局方案》(1992年3月27日国家档案局印发);
《数字档案馆建设指南》(档办〔2010〕116号);
《国家档案局办公室关于档案部门使用政务云平台过程中加强档案信息安全管理的意见》(档办函〔2020〕55号);
《推进数字档案馆建设实施办法(试行)》(档办函〔2025〕3号);
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019);
《信息安全技术 网络安全等级保护定级指南》(GB/T 22240—2020);
《信息安全技术 网络安全等级保护实施指南》(GB/T 25058—2019);
《信息安全技术 云计算服务安全指南》(GB/T 31167—2023);
《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2023)。
三、基本原则
档案行业网络安全等级保护定级工作中应遵循以下基本原则:
(一)科学规范,协作配合
档案行业网络安全等级保护的定级工作应按照国家相关法规、标准,根据档案行业的具体特点科学开展。对于初步确定安全保护等级为第二级及以上的等级保护对象,应经专家评审后报主管部门审核批准,并报公安部门备案。网络运营单位履行主体防护责任,主管部门履行网络安全主管、监管责任,公安机关履行网络安全保卫和监督管理职责,各方加强密切协作配合,形成网络安全综合防控体系。
(二)分级保护,突出重点
根据等级保护对象的重要程度以及其遭到破坏后的危害程度等因素,科学确定安全保护等级,以便实施分等级保护、分等级监管,集中资源优先保护涉及核心业务或重要档案数字资源的等级保护对象。
(三)同步规划,动态调整
在网络的规划设计阶段应确定安全保护等级。当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,应重新确定安全保护等级,以便实施相应的安全保护措施。
四、定级原理
(一)安全保护等级
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为五级:
第一级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益。
第二级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全。
第三级:等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害。
第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害。
第五级:等级保护对象受到破坏后,会对国家安全造成特别严重危害。
(二)定级要素
等级保护对象的定级要素包括:受侵害的客体和对客体的侵害程度。
1. 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括三个方面:国家安全;社会秩序、公共利益;公民、法人和其他组织的合法权益。
确定受侵害的客体时,首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公共利益,最后判断是否侵害公民、法人和其他组织的合法权益。
(1)国家安全
侵害国家安全的事项包括:影响国家政权稳固和领土主权、海洋权益完整;影响国家统一、民族团结和社会稳定;影响国家社会主义市场经济秩序和文化实力;其他影响国家安全的事项。
(2)社会秩序、公共利益
侵害社会秩序的事项包括:影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;影响公共场所的活动秩序、公共交通秩序;影响人民群众的生活秩序;其他影响社会秩序的事项。
侵害公共利益的事项包括:影响社会成员使用公共设施;影响社会成员获取公开数据资源;影响社会成员接受公共服务等方面;其他影响公共利益的事项。
侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利和利益等受到损害。
2. 对客体的侵害程度
等级保护对象的安全主要包括业务信息安全和系统服务安全。业务信息安全是指确保定级对象中信息的保密性、完整性和可用性等;系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。
对等级保护对象的侵害方式表现为两种:对业务信息安全的破坏;对系统服务安全的破坏。
业务信息安全和系统服务安全受到破坏后,可能产生的侵害后果包括:影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。
档案行业网络安全等级保护定级对象受到破坏后对客体造成侵害的程度分为以下三种:
(1)一般损害
档案主管部门的统筹规划、组织协调、制度建立、监督指导等工作职能或档案馆的档案收集、整理、保管和提供利用等工作职能受到局部影响,档案机构的业务能力有所降低但不影响主要功能的执行,档案工作中出现较轻的法律问题,造成较低的财产损失,造成有限的社会不良影响,对其他组织和个人造成较低损害。
(2)严重损害
档案主管部门的统筹规划、组织协调、制度建立、监督指导等工作职能或档案馆的档案收集、整理、保管和提供利用等工作职能受到严重影响,档案机构的业务能力显著下降且严重影响主要功能执行,档案工作中出现较严重的法律问题,造成较高的财产损失,造成较大范围的社会不良影响,对其他组织和个人造成较高损害。
(3)特别严重损害
档案主管部门的统筹规划、组织协调、制度建立、监督指导等工作职能或档案馆的档案收集、整理、保管和提供利用等工作职能受到特别严重影响或丧失行使能力,档案机构的业务能力严重下降或功能无法执行,档案工作中出现极其严重的法律问题,造成极高的财产损失,造成大范围的社会不良影响,对其他组织和个人造成非常高损害。
(三)定级要素与安全保护等级的关系
定级要素与安全保护等级的关系如表1所示。
表1 定级要素与安全保护等级的关系
| 受侵害的客体 | 对客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
五、工作流程
档案行业网络安全等级保护定级工作流程主要包括:确定定级对象、初步确定等级、专家评审、主管部门核准、公安机关备案审核,如图1所示。
(一)确定定级对象
定级对象应具有明确的主要安全责任主体。作为主要安全责任主体的网络运营单位应根据工作实际,从网络功能、服务范围、服务对象和处理的数据等方面综合考虑,确定定级对象。定级对象主要包括信息系统、通信网络设施和数据资源。
1. 信息系统
作为定级对象的信息系统具有的基本特征主要包括:具有确定的主要安全责任主体;承载相对独立的业务应用;包含相互关联的多个资源。
档案行业通常使用的信息系统的分类参考如表2所示。
表2 信息系统分类参考
| 系统类别 | 系统名称 | 业务信息 | 系统服务 |
| 管理类 | 数字资源采集系统 | 采集的网页信息、新媒体资源等 | 对网页、新媒体资源等档案资料进行采集 |
| 档案数字化加工系统 | 传统载体档案数字化成果 | 对传统载体档案的数字化处理、质量控制和数据统计、备份、导出等 | |
| 数字档案接收系统 | 接收的档案目录、档案数字资源 | 业务指导,档案接收,档案数量、质量检查,交接手续办理等 | |
| 档案目录管理系统 | 档案目录 | 目录数据的导入、整理、检索、统计等 | |
| 档案大数据平台 | 档案数字资源等 | 对档案数字资源等进行数据挖掘、知识管理等 | |
| 档案灾难备份系统 | 档案数字资源等 | 档案数字资源及其管理系统的备份与灾难恢复 | |
| 档案库房管理系统 | 档案目录、档案实体存放位置、库房环境监控数据等 | 对档案实体的业务过程进行辅助管理,对库房的使用情况、库房环境监控数据等进行管理 | |
| 服务类 | 档案利用服务系统 | 提供利用的档案数字资源、注册用户身份信息等 | 数据导入、用户注册、权限管理、档案检索服务、数字档案阅览服务及利用档案审核、利用统计等 |
| 档案网站系统 | 提供利用的档案数字资源、档案资讯等 | 信息发布、展览、咨询等 | |
| 应用移动互联技术的档案服务平台 | 提供利用的档案数字资源、档案资讯、注册用户身份信息等 | 注册登录、档案查询、档案展厅、档案资讯、互动交流、后台管理等 | |
| 跨区域档案信息资源共享平台/系统 | 提供利用的档案信息资源、注册用户身份信息等 | 档案信息资源馆际、馆室共建互通,档案信息资源跨层级跨部门共享利用 | |
| 办公类 | 办公自动化系统 | 电子文件等 | 公文制发、文件处理、工作督查、事务管理、会务管理、电子邮件收发以及其他辅助办公功能 |
对于跨区域档案数字资源共享平台等跨地区或者全国统一联网运行的信息系统,应首先确认在各地运行、应用的分支系统的安全责任主体,根据安全责任主体的不同将各个分支系统分别作为单独的定级对象。
使用云服务商提供的云服务时,档案机构的等级保护对象和云服务商的云计算平台应分别作为单独的定级对象定级。云服务商负责组织开展云计算平台的定级、备案、测评等网络安全等级保护工作,并向档案机构提供相关证明材料。档案机构使用自建的私有云时,云计算平台可独立定级或与相关联的信息系统一起定级。
物联网主要包括感知、网络传输和处理应用等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
2. 通信网络设施
对于通信网络设施与相关联业务系统,当安全责任主体相同时,可作为一个整体定级;当安全责任主体不同时,应分别独立定级,例如政务外网等。
3. 数据资源
对于大数据和大数据平台,当安全责任主体相同时,应作为一个整体定级;当安全责任主体不同时,应分别独立定级。
(二)初步确定等级
网络运营单位定级对象确定后,针对定级对象初步确定安全保护等级。对于新建网络,应在规划设计阶段确定安全保护等级。跨地区或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
由于业务信息安全和系统服务安全受到破坏时,所侵害的客体和对客体的侵害程度可能会有所不同,因此需要分别针对以上两种侵害方式,根据不同的受侵害客体和对客体的侵害程度,确定定级对象的业务信息安全保护等级和系统服务安全保护等级,再综合判定定级对象的安全保护等级,并编制定级报告。
1. 确定受侵害的客体
分别确定业务信息安全和系统服务安全受到破坏时所侵害的客体。
首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公共利益,最后判断是否侵害公民、法人和其他组织的合法权益。
2. 确定对客体的侵害程度
分别确定业务信息安全和系统服务安全受到破坏后对客体造成侵害的程度。
3. 综合判定等级
根据业务信息安全受到破坏时所侵害的客体以及对客体造成侵害的程度,依据表3确定定级对象的业务信息安全保护等级。
表3 业务信息安全保护等级
| 业务信息受到破坏时所侵害的客体 | 对客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
根据系统服务安全受到破坏时所侵害的客体以及对客体造成侵害的程度,依据表4确定定级对象的系统服务安全保护等级。
表4 系统服务安全保护等级
| 系统服务受到破坏时所侵害的客体 | 对客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
业务信息安全保护等级和系统服务安全保护等级确定后,将两者中的较高者确定为定级对象的安全保护等级。
档案行业网络安全等级保护定级对象的安全保护等级建议如下:
(1)信息系统
为便于操作执行,表5针对县级及以上档案主管部门及各级档案馆的信息系统的安全保护等级提出建议。其中,“中央级”包括在中央设置的三个综合性档案馆:中央档案馆国家档案局、中国第一历史档案馆、中国第二历史档案馆;“省级、副省级”包括各省、自治区、直辖市档案局、馆,各副省级城市档案局、馆;“市级、县级”包括各市(地、州、盟)档案局、馆,各县(旗、市、区)档案局、馆。
各档案机构的信息系统可参照表5进行定级。未在表5中列出的信息系统,可根据其承载的业务功能,参照表5定级。
表5 信息系统安全保护等级定级建议
| 系统类别 | 定级对象 | 机构级别 | 安全保护等级 | 业务信息安全等级 | 系统服务安全等级 |
| 管 理 类 | 数字资源采集系统 | 中央级 | 3 | 3 | 3或2 |
| 省级、副省级 | 2 | 2 | 2 | ||
| 市级、县级 | 2 | 2 | 2 | ||
| 档案数字化加工系统 | 中央级 | 3 | 3 | 3或2 | |
| 省级、副省级 | 2 | 2 | 2 | ||
| 市级、县级 | 2 | 2 | 2 | ||
| 数字档案接收系统 | 中央级 | 3 | 3 | 3 | |
| 省级、副省级 | 3或2 | 3或2 | 3或2 | ||
| 市级、县级 | 2 | 2 | 2 | ||
| 档案目录管理系统 | 中央级 | 3 | 3 | 3或2 | |
| 省级、副省级 | 3或2 | 3或2 | 2 | ||
| 市级、县级 | 2 | 2 | 2 | ||
| 大数据分析平台 | 中央级 | 4或3 | 4或3 | 3或2 | |
| 省级、副省级 | 3或2 | 3或2 | 2 | ||
| 市级、县级 | 3或2 | 3或2 | 2 | ||
| 档案灾难备份系统 | 中央级 | 4或3 | 4或3 | 3 | |
| 省级、副省级 | 3或2 | 3或2 | 3或2 | ||
| 市级、县级 | 3或2 | 3或2 | 2 | ||
| 档案库房管理系统 | 中央级 | 3 | 3 | 3或2 | |
| 省级、副省级 | 3或2 | 3或2 | 2 | ||
| 市级、县级 | 2 | 2 | 2 | ||
| 服 务 类 | 档案利用服务系统 | 中央级 | 3 | 3 | 3 |
| 省级、副省级 | 3或2 | 3或2 | 3或2 | ||
| 市级、县级 | 2 | 2 | 2 | ||
| 档案网站系统 | 中央级 | 3 | 3 | 3 | |
| 省级、副省级 | 2 | 2 | 2 | ||
| 市级、县级 | 2 | 2 | 2 | ||
| 档案移动服务平台 | 中央级 | 3 | 3 | 3 | |
| 省级、副省级 | 3或2 | 3或2 | 3或2 | ||
| 市级、县级 | 2 | 2 | 2 | ||
| 跨区域档案信息资源共享平台 | 中央级 | 3 | 3 | 3 | |
| 省级、副省级 | 3或2 | 3或2 | 3或2 | ||
| 市级、县级 | 3或2 | 3或2 | 3或2 | ||
| 办 公 类 | 办公自动化系统 | 中央级 | 3 | 3 | 3 |
| 省级、副省级 | 3或2 | 2 | 2 | ||
| 市级、县级 | 3或2 | 2 | 2 |
对于云计算平台,需根据其承载的等级保护对象的重要程度确定其安全保护等级,不低于其承载的等级保护对象的安全保护等级。
对于应用物联网的系统,参照表5确定其安全保护等级。
对于应用移动互联技术的系统,参照表5确定其安全保护等级。
在参照表5定级的基础上,可根据信息系统的具体情况进行调整。信息系统的安全保护等级不低于其所在的通信网络设施的安全保护等级。涉及敏感信息或大量公民个人信息的信息系统的安全保护等级建议不低于第三级。跨地区或者全国统一联网运行的信息系统的分支系统的安全保护等级应与信息系统保持一致,跨省或者全国统一联网运行的信息系统的安全保护等级建议为第三级,跨市或跨县联网运行的信息系统的安全保护等级建议为第三级或第二级。
(2)通信网络设施
通信网络设施需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,不低于其承载的等级保护对象的安全保护等级。
(3)数据资源
数据资源与相关联业务系统分别独立定级时,应以其中最高安全等级进行定级。
涉及大量公民个人信息并为公民提供公共服务的数据资源,其安全保护等级应不低于第三级。
4. 编制定级报告
初步确定定级对象的安全保护等级后,档案机构应编制定级报告,定级报告的主要编写内容参见附件。
安全保护等级初步确定为第二级及以上的,档案机构按照公安机关的要求填写备案表。
(三)专家评审
安全保护等级初步确定为第二级及以上的,档案机构应组织网络安全等级保护专家和业务专家,对定级结果的合理性进行评审并出具专家评审意见,对定级报告、备案表的准确性、规范性等提出意见和建议。跨地区或者全国统一联网运行的信息系统可以由主管部门统一组织专家进行评审。
如果评审未通过,档案机构应组织重新定级。
(四)主管部门核准
安全保护等级初步确定为第二级及以上的,档案机构应将定级结果和专家评审意见报请主管部门核准。中央级档案馆报请国家档案主管部门核准,县级以上地方各级档案馆报请所在地的地方档案主管部门核准。
主管部门对定级结果进行审核,并出具核准意见。如果审核未通过,档案机构应组织重新定级。
(五)公安机关备案审核
安全保护等级初步确定为第二级及以上的,档案机构应及时到所在地的公安机关办理备案审核手续。《信息安全等级保护管理办法》(公通字〔2007〕43号)第十五条规定:“已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。”
跨地区或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应由分支系统的安全责任主体向所在地设区的市级以上公安机关备案。
审核通过后最终确定定级对象的安全保护等级,并将备案审核结果向主管部门报备。如果审核未通过,档案机构需组织重新定级。
(六)等级变更
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需参照GB/T 22240—2020和本指南重新确定定级对象和安全保护等级。
等级保护对象停止使用后,及时报备案公安机关办理备案撤销。
附件
一、定级对象描述
(一)责任主体
【填写说明:描述承担定级对象安全责任的相关单位或部门,部门在业务运行中的作用或职责。说明定级对象的建设负责单位或部门、运行维护单位或部门、安全主管部门和定级责任单位。】
【描述参考示例】:
定级对象于XX年XX月由XX单位XX部门负责建设,目前由XX单位XX部门负责运行维护,XX单位XX部门是该定级对象的安全主管部门,XX单位XX部门为该定级对象的定级责任单位,承担定级对象的网络安全和数据安全保护责任。
(二)定级对象构成
【填写说明:描述定级对象的基本要素,物理环境、网络结构、网络边界、安全措施、设备部署情况以及定级对象网络拓扑图等。互联系统之间的数据摆渡设备建议归为对该设备有网络安全管理权限的单位相应的定级对象中。
该定级对象是否采用了新技术,如云计算技术、移动互联技术、物联网技术、工业控制技术、大数据等。如采用,详细描述使用新技术的情况。如定级对象部署在云服务平台上,说明云服务平台的服务模式和安全保护等级。】
【网络边界描述示例】:
网络中部署了XXX防火墙和XXX路由器与外部网络互联,整个定级对象的网络边界设备为XXX与 XXX。XXX外联的其它网络都划分为外部网络部分,而XXX以内的部分包括与交互网络互联的部分都可归为内部网络,网络边界部分和内部网络部分为本次定级对象的范围。
(三)承载业务
【填写说明:该定级对象是否承载着单一或相对独立的业务,业务情况或功能描述,系统规模描述。定级对象与其他系统互联情况及数据调用情况说明。】
【描述参考示例】:
该定级对象承载着综合办公业务,包括内部报销、人力资源管理等2个业务子系统,该业务相对独立,为全集团2000员工提供服务。该定级为独立业务系统,与其他系统不存在互联和数据调用情况。
该定级对象包括以下子系统:
| 序号 | 子系统名称 | 业务功能描述 |
| 1 | 内部报销 | 员工通过该子系统报销出差、会议、专家费等各种费用。 |
| 2 | 人力资源管理 | 提供员工基本信息维护、薪资、履历、假期、考核、合同、考勤等管理。 |
(四)安全责任
【填写说明:明确定级对象网络安全保护义务的责任落实单位和责任人。】
【描述参考示例】:
按照网络安全法的相关要求,此次备案的XXX的网络安全保护义务由XXX单位履行,日常网络安全工作由我单位XXX部门负责落实,XX单位负责人XXX(身份证号码:XXXXXXXXXXXXXXXXXX)为直接负责的主管人员。
二、安全保护等级确定
1、业务信息描述
【填写说明:描述定级对象处理的主要业务信息及其规模等,如涉及核心数据、重要数据、个人信息需加以详细描述。】
2、业务信息受到破坏时所侵害客体的确定
【填写说明:说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全或地区安全、国计民生;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。】
3、业务信息受到破坏时对侵害客体的侵害程度的确定
【填写说明:说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。】
4、业务信息安全保护等级的确定
依据业务信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全保护等级为第X级。
表一 业务信息安全保护等级矩阵表
| 业务信息安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全或地区安全、国计民生 | 第四级 | 第五级 | 第五级 |
说明:根据业务信息安全被破坏时所侵害的客体,以及对相应客体的侵害程度确定了等级后,只对第X级以及对应的客体和侵害程度进行涂黑,切勿整行整列涂黑。
(二)系统服务安全保护等级的确定
1、系统服务描述
【填写说明:描述定级对象的服务范围、服务对象等。若为平台类或基础支撑类定级对象,则描述其承载或预期承载的定级对象及其网络安全保护等级(包括业务信息安全保护等级和系统服务安全保护等级)】。
2、系统服务受到破坏时所侵害客体的确定
【填写说明:说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全或地区安全、国计民生;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。】
3、系统服务受到破坏时对侵害客体的侵害程度的确定
【填写说明:说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。】
4、系统服务安全保护等级的确定
依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全保护等级为第X级。
表二 系统服务安全保护等级矩阵表
| 系统服务安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全或地区安全、国计民生 | 第四级 | 第五级 | 第五级 |
说明:根据系统服务安全被破坏时所侵害的客体,以及对相应客体的侵害程度确定了等级后,只对第X级以及对应的客体和侵害程度进行涂黑,切勿整行整列涂黑。
(三)安全保护等级的确定
定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级较高者决定,最终确定XXX的网络安全保护等级为第X级。
| 定级对象名称 | 安全保护等级 | 业务信息安全保护等级 | 系统服务安全保护等级 |
| XXX | 第X级 | 第X级 | 第X级 |
单位(盖章)
年 月 日
本网站信息来源于网络,如有侵权,请联系删除。
本网站不保证信息真实性、有效性,仅供参考。请以最新法律法规和相关标准要求为准。