您的位置: 首页 » 法律资料网 » 法律法规 »

天津市人大常委会


天津市社会治安综合治理条例

(2004年1月6日天津市第十四届人民代表大会常务委员会第八次会议通过)

第一章　总 则
第一条 为加强社会治安综合治理，维护社会稳定和人民群众的根本利益，保障改革开放和经济建设顺利进行，根据宪法和《全国人民代表大会常务委员会关于加强社会治安综合治理的决定》以及其他有关法律、法规规定，结合本市实际情况，制定本条例。
第二条　本市行政区域内的国家机关、社会团体、企业事业单位、驻津部队和其他组织以及公民，应当遵守本条例。
第三条 本市社会治安综合治理工作由市人民政府统一组织实施，实行行政区域管理。
第四条　社会治安综合治理坚持“打防结合、预防为主”的方针，实行谁主管谁负责、专门机关工作与群众工作相结合的原则。
第五条　社会治安综合治理应当依靠全社会的力量，运用政治的、法律的、行政的、经济的、科技的、文化的、教育的等多种手段，从根本上预防违法犯罪，维护社会治安秩序，保障社会稳定。
人民法院、人民检察院和公安、国家安全、司法行政等政府职能部门，特别是公安部门，应当在社会治安综合治理中发挥骨干作用。
第六条　社会治安综合治理的任务是：
（一）依法严厉打击各种犯罪，扫除社会丑恶现象；
（二）开展治安防范工作和基层安全创建活动，健全和完善治安防控体系；
（三）重点整治治安问题突出的地区、行业和场所，维护社会治安秩序；
（四）开展矛盾纠纷排查调处工作，消除不稳定因素；
（五）对公民特别是青少年开展思想道德教育和法制宣传教育，提高防范意识，增强自我保护能力，预防违法犯罪；
（六）对流动人口进行管理和服务，引导人口有序流动，保护流动人口合法权益；
（七）加强基层社会治安综合治理组织机构建设、队伍建设和制度建设，建立健全社会治安综合治理目标管理责任制，落实社会治安综合治理各项规定；
（八）教育、挽救、改造违法犯罪人员，做好刑满释放和解除劳动教养人员的安置帮教工作，指导和帮助其就业或者再就业；
（九）法律、法规规定的其他社会治安综合治理工作。
第七条　各级人民政府应当把社会治安综合治理纳入本行政区域国民经济和社会发展的总体规划和年度计划。社会治安综合治理工作所需经费，列入财政预算。
基层群众治安组织所需经费，可以采取政府补贴、社会捐助以及按照自愿、受益的原则由有关单位和个人出资等形式解决，所筹资金定向用于社会治安综合治理。

第二章　组织机构与职责
第八条　市和区、县设立社会治安综合治理委员会，接受同级人民政府的领导和上级社会治安综合治理委员会的指导，其主要职责是:
（一）贯彻执行社会治安综合治理的法律、法规和方针政策；
（二）研究部署本地区社会治安综合治理工作，并监督实施；
（三）对本地区的社会治安综合治理目标管理责任制的落实情况进行检查、考核；
（四）指导、协调、推动、检查本地区部门和单位落实社会治安综合治理工作；
（五）总结推广社会治安综合治理典型经验，决定奖惩事项或者向同级人民政府提出奖惩建议；
（六）办理社会治安综合治理的其他事项。
市和区、县社会治安综合治理委员会下设办事机构，负责处理日常工作，根据需要也可以设立专门工作领导小组及办事机构。
第九条　街道、乡（镇）设立社会治安综合治理委员会，其主要职责是：
（一）贯彻执行上级社会治安综合治理工作部署；
（二）制定本地区社会治安综合治理工作规划，检查、推动社会治安综合治理措施的落实，维护社会稳定；
（三）定期分析辖区内社会治安形势，及时向上级社会治安综合治理机构反馈信息；
（四）建立健全群众治安组织，开展治安防范活动以及军民、警民联防活动；
（五）推动、协调、检查本地区各部门、单位社会治安综合治理工作；
（六）指导、帮助居民委员会、村民委员会做好社会治安综合治理工作；
（七）办理社会治安综合治理的其他事项。
街道、乡（镇）社会治安综合治理委员会下设办事机构，负责处理日常工作。街道、乡（镇）应当配备一名负责社会治安综合治理工作的专职领导干部。
第十条　社区、居民委员会、村民委员会在社会治安综合治理工作中的主要职责是：
（一）宣传法律、法规和方针、政策，对居民、村民进行思想道德教育和法制宣传教育；
（二）动员和组织居民、村民参与社会治安综合治理，协助公安、司法机关查处违法犯罪案件；
（三）做好治安防范、矛盾纠纷排查调处、基层安全创建、对刑满释放和解除劳动教养人员帮教等基础治安工作。协助有关部门做好被判处管制、被宣告缓刑、被暂予监外执行、被裁定假释的罪犯和刑满释放后继续被剥夺政治权利人员的社区矫正工作；
（四）反映居民、村民对社会治安综合治理工作的意见和要求；
（五）办理社会治安综合治理的其他事项。
第十一条　国家机关、社会团体、企业事业单位、驻津部队和其他组织设立社会治安综合治理领导小组，负责本单位的社会治安综合治理工作。其主要职责是：
（一）组织开展法制宣传教育，增强干部职工的法制观念；
（二）组织、指导、检查本单位社会治安综合治理目标管理责任制的落实；
（三）排查不稳定因素，调处矛盾纠纷，避免矛盾激化；
（四）协助公安、司法机关查处违法犯罪活动；
（五）接受所在地社会治安综合治理委员会的指导、协调和检查，积极参加本地区社会治安综合治理活动；
（六）办理社会治安综合治理的其他事项。
国家机关、社会团体、企业事业单位、驻津部队和其他组织社会治安综合治理领导小组下设办事机构，负责处理日常工作。不具备设立办事机构条件的，应当配备负责社会治安综合治理的专职或者兼职人员。
第三章 社会责任
第十二条　各地区、各部门、各单位应当建立健全社会治安综合治理领导责任制和目标管理责任制，并建立健全检查、考核和评比、奖惩制度。
第十三条　人民法院、人民检察院和公安、司法行政部门以及其他担负执法职责的机关和单位，应当依法履行法律、法规规定的职责，加强队伍建设，提高执法水平。
第十四条　人民法院在社会治安综合治理工作中的主要职责是：
（一）依法及时审理危害社会治安的犯罪案件；
（二）做好未成年人犯罪的审判工作，教育、挽救犯罪的未成年人；
（三）做好民事、行政审判和执行工作，依法公正、高效地裁判案件，保护诉讼当事人的合法权益；
（四）结合办案提出司法建议，促进有关单位加强管理，消除治安隐患；
（五）做好减刑、假释案件的审理工作，促进罪犯改造；
（六）接受群众来信、来访，做好申诉案件的受理、审判工作；
（七）对人民调解组织进行业务指导，提高人民调解的质量。
第十五条　人民检察院在社会治安综合治理工作中的主要职责是：
（一）依法对犯罪嫌疑人或被告人及时批准逮捕和提起公诉；
（二）依法查处贪污、贿赂犯罪，渎职犯罪，国家机关工作人员利用职权实施的非法拘禁、刑讯逼供、报复陷害、非法搜查等侵犯公民人身权利的犯罪以及侵犯公民民主权利的犯罪；
（三）结合办案提出检察建议，帮助有关单位建立健全管理制度，完善治安防范机制；
（四）监督检查刑罚执行情况和对监所在押人员的改造、教育工作；
（五）配合有关部门做好对犯罪未成年人的改造和教育、感化、挽救工作；
（六）做好控告申诉工作。
第十六条 公安机关在社会治安综合治理工作中的主要职责是：
（一）依法严厉打击各种刑事犯罪活动，重点打击严重危害社会治安和经济建设的刑事犯罪活动；
（二）查禁取缔卖淫嫖娼、聚众赌博、制作贩卖传播淫秽物品、制造贩卖吸食毒品和非法种植毒品原植物、利用邪教和封建迷信骗财害人等各种危害社会治安的违法犯罪活动；
（三）加强流动人口的管理和服务；
（四）严格枪支弹药、易燃易爆剧毒危险物品、违禁物品的管理和监督、检查，加强特种行业和公共场所的治安管理；
（五）做好公安消防、道路交通管理，预防、减少火灾和交通事故；
（六）建立健全社会治安防控体系，指导、检查基层和单位内部治安保卫及群防群治工作；
（七）推广和使用高新技术，提高治安防范能力；
（八）做好被判处管制、被宣告缓刑、被暂予监外执行、被裁定假释的罪犯和刑满释放被剥夺政治权利人员和看守所在押人员的管理、教育和改造；
（九）与有关部门共同做好刑满释放和解除劳动教养人员的帮教工作，做好有轻微违法犯罪的未成年人的教育、挽救工作；
（十）积极预防和处置各种恐怖和突发事件。
第十七条 司法行政部门在社会治安综合治理工作中的主要职责是：
（一）开展法制宣传教育，制定和组织实施普法工作规划，提高公民法律素质；
（二）加强监狱、劳动教养场所的安全设施建设，确保安全稳定，提高罪犯和劳动教养人员的改造质量；
（三）协调有关部门、单位，做好被判处管制、被宣告缓刑、被暂予监外执行、被裁定假释的罪犯和刑满释放被剥夺政治权利人员的社区矫正工作，做好刑满释放和解除劳动教养人员的安置帮教工作；
（四）做好人民调解与诉讼之间的衔接工作，防止和减少矛盾激化；
（五）监督和管理律师、公证、法律援助、司法鉴定等各项法律服务工作，树立诚信、公平、公正的法律服务意识，维护当事人合法权益。
第十八条 国家安全机关在社会治安综合治理工作中的主要职责是：
（一）防范和打击境外间谍情报机关和境内外各种敌对势力的渗透、颠覆等活动，维护国家安全；
（二）做好宣传教育，提高公民的国家安全意识。
第十九条 民政部门在社会治安综合治理工作中的主要职责是：
（一）贯彻村民委员会组织法、居民委员会组织法，加强基层政权和群众自治组织建设，充分发挥群众自治组织在化解社会矛盾、维护社会稳定方面的作用；
（二）做好婚姻登记工作，防范涉及婚姻的违法犯罪行为；
（三）做好社会救助、社会福利、优抚安置和最低生活保障工作；
（四）对社会团体和民办非企业单位进行管理，依法查处非法社团；
（五）指导督促社区建设，将社会治安综合治理纳入社区工作。
第二十条 劳动和社会保障部门在社会治安综合治理工作中的主要职责是：
（一）开展职业培训，促进就业和再就业；
（二）建立健全社会保障体系，落实各项保障措施，做好劳动和社会保障监察工作；
（三）做好劳动争议的调解和仲裁工作，维护用人单位和劳动者双方的合法权益；
（四）加强劳动力市场管理和对用人单位的监督检查。
第二十一条 教育部门在社会治安综合治理工作中的主要职责是：
（一）做好学生的思想道德教育和法制教育，规范学生日常行为；
（二）会同有关部门开展校园及周边地区社会治安综合治理，加强校园安全防范，创建安全文明校园；
（三）建立健全家庭教育、社会教育、学校教育相互配合的工作机制，共同做好青少年学生的管理教育工作；
（四）严格控制中小学学生辍学、失学，预防青少年违法犯罪；
（五）办好工读教育，对有违法或者轻微犯罪行为的学生进行思想道德教育、法制教育、文化教育和职业教育。
第二十二条　文化、广播电视、新闻出版部门在社会治安综合治理工作中的主要职责是：
（一）宣传法律、法规和社会治安综合治理的方针、政策及先进典型，创造自觉维护社会治安的舆论环境；
（二）对文化市场进行管理和稽查，配合有关部门依法查处盗版、盗印违法犯罪活动，查禁危害国家安全、淫秽、色情、暴力、封建迷信、邪教等内容的书刊、图片、音像制品、电子出版物；
（三）做好编辑、出版、印刷、发行工作和对书刊、音像制品、电子出版物及广告内容的审查，净化社会环境；
（四）协助有关部门加强对互联网及其网络经营场所、广播电视传播及娱乐场所的管理，向社会提供健康有益的文化产品和服务，满足人民群众的文化生活需要。
第二十三条　人事、监察部门在社会治安综合治理工作中的主要职责是：
（一）检查社会治安综合治理领导责任制的落实情况，将综合治理措施落实情况与领导干部的政绩考核、晋职晋级和奖惩相挂钩；
（二）参与对社会治安造成严重影响的重大恶性案件和事故的调查，落实重大问题领导责任查究制度；
（三）做好人事争议的调解和仲裁工作。
第二十四条 信访部门在社会治安综合治理工作中的主要职责是：
（一）及时、妥善处理群众来信、来访，宣传法律和政策，积极化解矛盾纠纷；
（二）协调、督促有关部门切实解决群众来信、来访反映的问题，并检查其落实情况。
（三）及时向有关部门通报可能引发治安问题的信访信息。
第二十五条 工商行政管理部门在社会治安综合治理工作中的主要职责是：
（一）监督管理各类市场，配合有关部门维护市场治安秩序；
（二）加强对企业、个体工商户的监督管理，依法制止和查处非法经营活动；
（三）配合有关部门引导、鼓励、扶持下岗失业人员从事生产经营活动；
（四）依法查处或者配合有关部门依法查处贩卖走私物品、有毒有害物品、生产销售假冒伪劣商品、强迫交易、欺行霸市等扰乱市场经济秩序的违法行为。
第二十六条 卫生部门和食品药品监督部门在社会治安综合治理工作中的主要职责是：
（一）与有关部门配合，做好吸毒人员、精神病人的治疗和康复工作；
（二）做好各种传染性疾病和突发性公共卫生事件的监测、检查、预防和治疗工作；
（三）加强医药市场和医疗秩序的管理和监督，取缔非法行医，妥善处置医疗纠纷；
（四）严格管理麻醉品和精神药品，依法查禁有毒有害食品和化妆品、假冒伪劣药品和医疗器械、医用卫生材料，配合有关部门查处其销售者和制造者。
第二十七条　规划、建设和房管部门在社会治安综合治理工作中的主要职责是：
（一）根据维护社会治安的需要，将社会治安综合治理工作所需要的基础设施建设列入城市建设整体规划；
（二）将安全防范设施纳入建筑设计标准，并严格监督实施；
（三）指导物业管理企业加强居民小区管理，做好安全防范工作。
第二十八条 交通运输部门在社会治安综合治理工作中的主要职责是：
（一）维护公路、铁路、水路、港口码头、车站、机场的运输秩序和治安秩序；
（二）加强交通运输管理，预防交通运输事故；
（三）预防交通工具上的违法犯罪行为，协助有关部门打击抢劫、盗窃财物和运输物资，以及破坏交通运输设施的违法犯罪行为。
第二十九条 通信部门和单位在社会治安综合治理工作中的主要职责是：
（一）维护通信要害部位、网络、线路的安全；
（二）预防通信业务事故，防止发生窃密泄密事件；
（三）协助有关部门打击破坏通信设施和通信线路的违法犯罪活动。
第三十条 金融机构在社会治安综合治理工作中的主要职责是：
（一）依法加强金融监管，防范和化解金融风险，维护正常金融秩序；
（二）建立健全金融机构安全防范制度和设施，落实内部安全防控措施；
（三）拓展涉及社会公众的人身和财产安全的各种保险领域，不断增强全社会抗风险能力，为维护社会稳定服务。
第三十一条　民族宗教事务管理部门在社会治安综合治理工作中的主要职责是：
（一）宣传国家民族宗教方面的法律、法规和政策，依法管理民族宗教事务；
（二）会同有关部门及时疏导和调处涉及民族宗教问题的纠纷。
第三十二条　海关在社会治安综合治理工作中的主要职责是：
（一）对进出境运输工具、货物、物品进行监督管理，维护进出口秩序，严厉打击走私违法犯罪活动，依法查缉国家禁止进出境的物品；
（二）进行反走私宣传，鼓励单位和公民防范和制止走私活动。
第三十三条 财政部门在社会治安综合治理工作中的主要职责是：
（一）对国家机关、社会团体、企业事业单位财会人员进行教育，完善各种财务管理制度，预防违法犯罪；
（二）依法落实社会治安综合治理工作所需的经费。
第三十四条　工会、共产主义青年团、妇女联合会等人民团体在社会治安综合治理工作中的主要职责是：
（一）负责对本组织成员和所联系的群众进行思想道德教育和法制宣传教育，组织开展各种有益身心健康的活动；
（二）帮助本组织成员和所联系的群众正确处理工作、学习、恋爱、婚姻、家庭生活等方面的问题和纠纷，减少社会矛盾；
（三）对有轻微违法犯罪行为的青少年进行教育、感化、挽救；
（四）配合有关部门打击拐卖绑架妇女儿童违法犯罪和查禁卖淫嫖娼等社会丑恶现象，保障妇女儿童合法权益。
第三十五条 驻津部队在社会治安综合治理工作中的主要职责是：
（一）组织部队、民兵和预备役人员积极参与社会治安综合治理工作，支持和配合地方人民政府搞好社会治安，开展军民共建活动，加强军、警、民治安联防；
（二）对部队官兵进行思想道德教育和法制宣传教育；
（三）加强对武器弹药、重点目标、重要部位的管理，严防枪支弹药丢失、被盗、被抢等案件的发生；
（四）协助有关部门维护驻地治安秩序和打击危害社会治安的违法犯罪活动。
第三十六条　各系统、各部门在社会治安综合治理工作中都应当履行以下职责：
（一）组织推动本系统、本部门和所属单位认真抓好社会治安综合治理工作的落实；
（二）指导协调所属部门和单位积极参与社会治安综合治理，加强安全生产的监督和管理；
（三）了解掌握本系统社会治安综合治理工作的开展情况，研究解决工作中的问题；
（四）总结推广本系统社会治安综合治理典型经验，抓好检查、评比、考核、表彰活动。
第三十七条　公民应当加强法律学习，增强法制观念，积极参与社会治安综合治理活动，勇于检举揭发和制止违法犯罪行为，做好家庭安全防范工作，自觉维护社会治安秩序。监护人应当加强对被监护人的思想道德教育、法制宣传教育，不得隐瞒、包庇、纵容其违法犯罪行为。
第四章　奖励与处罚
第三十八条 在社会治安综合治理工作中做出突出成绩的地区或者单位，符合下列条件之一的，由市和区、县人民政府或者社会治安综合治理委员会给予表彰和奖励：
（一）把社会治安综合治理工作纳入本地区或部门工作总体规划和年度计划，健全社会治安综合治理组织机构，严格落实目标管理责任制和领导责任制，社会治安综合治理工作成效显著；
（二）全面落实社会治安综合治理措施，定期分析治安形势，在打击犯罪、治安防范、矛盾纠纷排查调处、基层安全创建、流动人口管理、预防青少年违法犯罪、法制宣传和安置帮教等社会治安综合治理工作中成绩突出；
（三）本地区社会治安持续稳定，人民群众安全感普遍增强；
（四）积极探索社会治安综合治理工作新机制、新方法，在实践中取得良好效果；
（五）在社会治安综合治理工作中做出其他突出贡献。
第三十九条　符合下列条件之一的个人，由市和区、县人民政府或者社会治安综合治理委员会给予表彰和奖励：
（一）组织、推动本地区、本部门、本单位社会治安综合治理工作，取得明显成效的；
（二）遵纪守法，依法办事，积极向群众进行思想道德教育和法制宣传教育，成绩显著的；
（三）检举揭发违法犯罪行为，勇于同违法犯罪分子作斗争，事迹突出的；
（四）积极协助公安、司法机关打击犯罪，维护社会治安，成绩突出的；
（五）积极做好治安保卫工作，认真落实社会治安综合治理各项措施，及时发现并消除隐患，有效防止违法犯罪和其他治安问题发生的；
（六）在预防青少年违法犯罪以及对刑满释放和解除劳动教养人员的安置帮教工作中成绩突出的；
（七）做好矛盾纠纷排查调处工作，在消除不安定因素、避免矛盾激化、维护社会稳定中成绩突出的。
第四十条　区、县级以上社会治安综合治理委员会有权对社会治安综合治理目标责任制的落实情况进行监督和检查，并根据检查结果提出奖惩建议。
第四十一条　违反本条例规定有下列情况之一的，由各级社会治安综合治理委员会视情节给予通报批评；依照有关规定建议取消第一责任人和主要责任人评先受奖、晋职晋级资格，或者建议有关主管部门、所在单位给予其相应行政处分：
（一）未达到社会治安综合治理目标管理责任制要求；
（二）因领导不重视，社会治安综合治理组织机构不健全，造成本地区、本部门、本单位治安秩序严重混乱；
（三）社会治安综合治理各项措施不落实，发生重大刑事案件或者重大治安灾害事故，致使国家、集体财产和人民群众的生命财产遭受重大损失或者造成恶劣影响；
（四）对不安定因素或者矛盾纠纷排查调处不力，致使矛盾激化，造成严重后果，危害社会稳定；
（五）存在重大治安隐患，在上级主管部门或者有关单位提出警告、司法建议、检察建议、整改建议后，拒不整改或者整改不力；
（六）因教育管理不力，本部门、本单位工作人员违法犯罪情况严重；
（七）发生重大并造成恶劣社会影响的刑事案件或者重大治安灾害事故有意隐瞒不报、作虚假报告或者有其他弄虚作假行为。
第五章　附则
第四十二条　本条例自2004年3月1日起施行。1993年12月8日天津市第十二届人民代表大会常务委员会第四次会议通过的《天津市社会治安综合治理条例》同时废止。


中国保险监督管理委员会办公厅


关于开展保险业信息系统安全等级保护定级工作的通知

保监厅发〔2007〕45号


各保监局，各保险公司、保险资产管理公司，中国保险行业协会：

　　为贯彻落实国家信息安全等级保护制度，按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）要求，中国保监会将在保险行业内开展信息系统安全等级保护定级工作。现将有关事项通知如下：

　　一、等级保护定级工作的要求及组织方式

　　各单位应按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求和“自主定级、自主保护”的工作原则，成立相应的领导及实施机构，结合本单位的实际情况，准确开展信息系统等级保护定级工作。

　　保监会成立等级保护定级工作领导小组，统一领导、解决保险行业信息安全等级保护定级工作中的重大问题；保监会等级保护定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。

　　各保监局负责本局内独立运行的信息系统等级保护定级工作，并对各自辖区内的保险公司分支机构的等级保护定级工作进行指导审核。

　　各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。

　　二、定级工作安排及定级范围

　　（一）定级工作安排

　　为稳妥做好等级保护定级工作，拟在保险行业内分步分批实施。

　　保险行业第一批定级单位包括：保监会及各保监局，中国保险行业协会，中国人民保险集团公司、中国人寿保险（集团）公司、中国再保险（集团）公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险（集团）股份有限公司、中国太平洋（集团）股份有限公司及其下属各子公司和分公司。

　　其余公司作为第二批定级单位（具体时间安排另行通知）。

　　（二）定级范围

　　1、保险监管部门监管、办公及网站等重要信息系统；保险公司和中国保险行业协会经营、管理、办公等重要信息系统。（以下简称“重要信息系统”）

　　2、涉及国家秘密的信息系统（以下简称“涉密信息系统”）。

　　三、主要工作步骤

　　第一阶段：自主定级（9月20日前完成）

　　各单位按要求成立相关定级实施机构，对本系统内的重要信息系统和涉密信息系统展开摸底调查，全面掌握信息网络和信息系统的数量、分布、业务类型、系统结构、应用或服务范围等基本情况，按照《信息安全等级保护管理办法》（以下简称“《管理办法》”，附件1）和《信息系统安全等级保护定级指南》（附件2）的要求，确定定级对象并初步确定保护等级，形成定级报告（报告模板见附件3）。

　　涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

　　第二阶段：审核（9月25日前完成）

　　各保监局将各自独立运行的重要信息系统和涉密信息系统的定级报告报保监会审核。

　　各公司对本公司内的重要信息系统和涉密信息系统定级进行统一审核，对跨省联网运行且由公司总部统一确定等级的，由总公司将重要信息系统和涉密信息系统的定级报告报保监会审核 (有集团或控股公司的，由集团或控股公司将定级报告统一报保监会审核)；保险公司分公司将经过总公司审核的，且在分公司独立运行的重要信息系统和涉密系统定级报告报当地保监局审核。

　　保险行业协会将所确定的重要信息系统和涉密信息系统的定级报告报保监会审核。

　　保监会及各保监局在接到定级报告审核文件后，对不符合要求的于5个工作日内要求其改正，审核通过者不再单独答复。

　　第三阶段：备案（9月30日前完成）

　　根据《管理办法》，各单位定级报告通过保监会或保监局审核后，对重要信息系统安全等级确定为二级以上的信息系统应到公安部网站下载《信息系统安全等级保护备案表》（见附件4）和辅助备案工具，并持填写的备案表和利用辅助备案工具生成的备案电子数据文件，到公安机关办理备案手续（保险行业协会确定的信息系统、保险总公司统一定级的跨省联网运营的信息系统，向公安部备案；保险公司分公司将总公司定级的跨省联网在当地运行、应用的分支系统以及在当地分公司独立运行的信息系统，向当地省级公安机关备案）。备案完成后，各级单位将备案证明复印件报相对应的保险监管机构存档。

　　涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定，填写《涉及国家秘密的信息系统分级保护备案表》（见附件5），按照属地化管理原则，将所确定的涉密信息系统，报送相对应的保密部门备案。备案完成后，各级单位将备案证明复印件报相对应的保险监管机构存档。

　　第四阶段：总结工作（10月15日前完成）

　　各单位应对等级保护定级工作进行总结，并报保监会等级保护定级工作领导小组。保监会根据定级工作开展的情况和定级工作报告，总结工作经验，研究并启动第二批等级保护定级工作。

　　

　　联 系 人：李春亮、王晓鹏

　　联系电话：010－66286602

　　

　　附件：1、信息安全等级保护管理办法

　　2、信息安全技术信息系统安全等级保护定级指南

　　3、信息系统安全等级保护定级报告

　　4、信息系统安全等级保护备案表

　　5、涉及国家秘密的信息系统分级保护备案表

　　　　　　　　　　　　　　　　　　　　　　　　二○○七年九月六日
附件1：
信息安全等级保护管理办法
（公通字[2007]43号）
第一章 总则
第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。
第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。
第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条 信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。
第二章 等级划分与保护
第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条 信息系统的安全保护等级分为以下五级：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章 等级保护的实施与管理
第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条 信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。
第十二条 在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术 网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671 -2006）等技术标准同步建设符合该等级要求的信息安全设施。
第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条 信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。
第十五条 已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。
第十六条 办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：
（一）系统拓扑结构及说明；
（二）系统安全组织机构和管理制度；
（三）系统安全保护设施设计实施方案或者改建实施方案；
（四）系统使用的信息安全产品清单及其认证、销售许可证明；
（五）测评后符合系统安全保护等级的技术检测评估报告；
（六）信息系统安全保护等级专家评审意见；
（七）主管部门审核批准信息系统安全保护等级的意见。
第十七条 信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。
第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。
对第五级信息系统，应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门应当对下列事项进行检查：
（一）信息系统安全需求是否发生变化，原定保护等级是否准确；
（二）运营、使用单位安全管理制度、措施的落实情况；
（三）运营、使用单位及其主管部门对信息系统安全状况的检查情况；
（四）系统安全等级测评是否符合要求；
（五）信息安全产品使用是否符合要求；
（六）信息系统安全整改情况；
（七）备案材料与运营、使用单位、信息系统的符合情况；
（八）其他应当进行监督检查的事项。
第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件：
（一）信息系统备案事项变更情况；
（二）安全组织、人员的变动情况；
（三）信息安全管理制度、措施变更情况；
（四）信息系统运行状况记录；
（五）运营、使用单位及主管部门定期对信息系统安全状况的检查记录；
（六）对信息系统开展等级测评的技术测评报告；
（七）信息安全产品使用的变更情况；
（八）信息安全事件应急预案，信息安全事件应急处置结果报告；
（九）信息系统安全建设、整改结果报告。
第二十条 公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求，按照管理规范和技术标准进行整改。整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改情况组织检查。
第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品：
（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；
（二）产品的核心技术、关键部件具有我国自主知识产权；
（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；
（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；
（五）对国家安全、社会秩序、公共利益不构成危害；
（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：
（一）在中华人民共和国境内注册成立（港澳台地区除外）；
（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；
（三）从事相关检测评估工作两年以上，无违法记录；
（四）工作人员仅限于中国公民；
（五）法人及主要业务、技术人员无犯罪记录；
（六）使用的技术装备、设施应当符合本办法对信息安全产品的要求；
（七）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；
（八）对国家安全、社会秩序、公共利益不构成威胁。
第二十三条 从事信息系统安全等级测评的机构，应当履行下列义务：
（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；
（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；
（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。
第四章 涉及国家秘密信息系统的分级保护管理
第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。
第二十五条 涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上，依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统，各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况，及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案，并接受保密部门的监督、检查、指导。
第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准，按照秘密、机密、绝密三级的不同要求，结合系统实际进行方案设计，实施分级保护，其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产品，并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测，通过检测的产品由国家保密局审核发布目录。
第二十九条 涉密信息系统建设使用单位在系统工程实施结束后，应当向保密工作部门提出申请，由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》，对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前，应当按照《涉及国家秘密的信息系统审批管理规定》，向设区的市级以上保密工作部门申请进行系统审批，涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统，其建设使用单位在按照分级保护要求完成系统整改后，应当向保密工作部门备案。
第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时，应当提交以下材料：
（一）系统设计、实施方案及审查论证意见；
（二）系统承建单位资质证明材料；
（三）系统建设和工程监理情况报告；
（四）系统安全保密检测评估报告；
（五）系统安全保密组织机构和管理制度情况；
（六）其他有关材料。
第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时，其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况，决定是否对其重新进行测评和审批。
第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》，加强涉密信息系统运行中的保密管理，定期进行风险评估，消除泄密隐患和漏洞。
第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理，并做好以下工作：
（一）指导、监督和检查分级保护工作的开展；
（二）指导涉密信息系统建设使用单位规范信息定密，合理确定系统保护等级；
（三）参与涉密信息系统分级保护方案论证，指导建设使用单位做好保密设施的同步规划设计；
（四）依法对涉密信息系统集成资质单位进行监督管理；
（五）严格进行系统测评和审批工作，监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况；
（六）加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评，对绝密级信息系统每年至少进行一次保密检查或者系统测评；
（七）了解掌握各级各类涉密信息系统的管理使用情况，及时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级保护的密码管理
第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度，被保护对象的安全防护要求和涉密程度，被保护对象被破坏后的危害程度以及密码使用部门的性质等，确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的，应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条 信息系统安全等级保护中密码的配备、使用和管理等，应当严格执行国家密码管理的有关规定。
第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的，应报经国家密码管理局审批，密码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和相关标准执行；采用密码对不涉及国家秘密的信息和信息系统进行保护的，须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准，其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条 运用密码技术对信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得采用国外引进或者擅自研制的密码产品；未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。
第六章 法律责任
第四十条 第三级以上信息系统运营、使用单位违反本办法规定，有下列行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果：
（一）未按本办法规定备案、审批的；
（二）未按本办法规定落实安全管理制度、措施的；
（三）未按本办法规定开展系统安全状况检查的；
（四）未按本办法规定开展系统安全技术测评的；
（五）接到整改通知后，拒不整改的；
（六）未按本办法规定选择使用信息安全产品和测评机构的；
（七）未按本办法规定如实提供有关文件和证明材料的；
（八）违反保密管理规定的；
（九）违反密码管理规定的；
（十）违反本办法其他规定的。
违反前款规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。
第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分；构成犯罪的，依法追究刑事责任。
第七章 附则
第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级；新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条 本办法所称“以上”包含本数（级）。
第四十四条 本办法自发布之日起施行，《信息安全等级保护管理办法（试行）》（公通字[2006]7号）同时废止。



附件2：


信息安全技术
信息系统安全等级保护定级指南

（报批稿）











全国信息安全标准化技术委员会




前　言
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位：
本标准主要起草人：



引 言
依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括：
——GB/T BBBBB-BBBB信息系统安全等级保护基本要求；
——GB/T CCCCC-CCCC信息系统安全等级保护实施指南；
——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。
本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。





















信息系统安全等级保护定级指南

1 范围
本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。
2 规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。
GB/T 5271.8 信息技术 词汇 第8部分：安全
GB17859-1999 计算机信息系统安全保护等级划分准则
3 术语和定义
GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。
3.1
等级保护对象 target of classified security
信息安全等级保护工作直接作用的具体的信息和信息系统。
3.2
客体object
受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
3.3
客观方面objective
对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。
3.4
系统服务 system service
信息系统为支撑其所承载业务而提供的程序化过程。
4 定级原理
4.1 信息系统安全保护等级
根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
4.2 信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
4.2.1 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面：
a) 公民、法人和其他组织的合法权益；
b) 社会秩序、公共利益；
c) 国家安全。
4.2.2 对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：
a) 造成一般损害；
b) 造成严重损害；
c) 造成特别严重损害。
4.3 定级要素与等级的关系
定级要素与信息系统安全保护等级的关系如表1所示。



表1 定级要素与安全保护等级的关系
受侵害的客体 对客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
5 定级方法
5.1 定级的一般流程
信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下：
a) 确定作为定级对象的信息系统；
b) 确定业务信息安全受到破坏时所侵害的客体；
c) 根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度；
d) 依据表2，得到业务信息安全保护等级；
e) 确定系统服务安全受到破坏时所侵害的客体；
f) 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度；
g) 依据表3，得到系统服务安全保护等级；
h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
上述步骤如图1确定等级一般流程所示。

图1 确定等级一般流程
5.2 确定定级对象
一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
作为定级对象的信息系统应具有如下基本特征：
a) 具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
b) 具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。
c) 承载单一或相对独立的业务应用
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。
5.3 确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面：
- 影响国家政权稳固和国防实力；
- 影响国家统一、民族团结和社会安定；
- 影响国家对外活动中的政治、经济利益；
- 影响国家重要的安全保卫工作；
- 影响国家经济竞争力和科技实力；
- 其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面：
- 影响国家机关社会管理和公共服务的工作秩序；
- 影响各种类型的经济活动秩序；
- 影响各行业的科研、生产秩序；
- 影响公众在法律约束和道德规范下的正常生活秩序等；
- 其他影响社会秩序的事项。
影响公共利益的事项包括以下方面：
- 影响社会成员使用公共设施；
- 影响社会成员获取公开信息资源；
- 影响社会成员接受公共服务等方面；
- 其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。
各行业可根据本行业业务特点，分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系，从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
5.4 确定对客体的侵害程度
5.4.1 侵害的客观方面
在客观方面，对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏，其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后，可能产生以下危害后果：
- 影响行使工作职能；
- 导致业务能力下降；
- 引起法律纠纷；
- 导致财产损失；
- 造成社会不良影响；
- 对其他组织和个人造成损失；
- 其他影响。
5.4.2 综合判定侵害程度
侵害程度是客观方面的不同外在表现的综合体现，因此，应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同，例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定，业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同的判别基准：
- 如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准；
- 如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下：
一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。
严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。
特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。
信息安全和系统服务安全被破坏后对客体的侵害程度，由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同，信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同，各行业可根据本行业信息特点和系统服务特点，制定危害程度的综合评定方法，并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
5.5 确定定级对象的安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2业务信息安全保护等级矩阵表，即可得到业务信息安全保护等级。
表2 业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2系统服务安全保护等级矩阵表，即可得到系统服务安全保护等级。
表3 系统服务安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
6 等级变更
在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应根据本标准第5章给出的定级方法重新定级。
附件3：

信息系统安全等级保护定级报告

一、XXX信息系统描述
简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。
二、XXX信息系统安全保护等级确定
（定级方法参见国家标准《信息系统安全等级保护定级指南》）
（一）业务信息安全保护等级的确定
1、业务信息描述
描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定
说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定
说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。
（二）系统服务安全保护等级的确定
1、系统服务描述
描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定
说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定
说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定
依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
（三）安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。
信息系统名称 安全保护等级 业务信息安全等级 系统服务安全等级
XXX信息系统 X X X

附件4：
备案表编号：




信息系统安全等级保护
备案表












备 案 单 位： （盖章）
备 案 日 期：

受理备案单位： （盖章）
受 理 日 期：

中华人民共和国公安部监制


填　表　说　明

一、 制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作本表；
二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以复印使用；
三、 保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档；
四、 本表中有选择的地方请在选项左侧“0”划“√”，如选择“其他”，请在其后的横线中注明详细内容；
五、 封面中备案表编号（由受理备案的公安机关填写并校验）：分两部分共11位，第一部分6位，为受理备案公安机关代码前六位（可参照行标GA380-2002）。第二部分5位，为受理备案的公安机关给出的备案单位的顺序编号；
六、 封面中备案单位：是指负责运营使用信息系统的法人单位全称；
七、 封面中受理备案单位：是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章；

不分页显示　　　总共2页　　1 [2]

　　下一页