【正文】 明確了信息安全等級保護制度的基本內容、流程及工作要求，明確了有關方面的職責、任務，為開展信息安全等級保護工作提供了規(guī)范保障。安全等級的劃分標準和安全等 級保護的具體辦法，由公安部會同有關部門制定。 ? 1999年，頒布 《 計算機信息系統(tǒng)安全保護等級劃分準則 》 ， 2022年實施 ? 2022年， 《 國家信息化領導小組關于加強信息安全保障工作的意見 》 （中辦發(fā) [2022]27號）： 明確提出“實行信息安全等級保護”。 安徽省 公安廳 5 信息安全等級保護工作概述 工作進展： ? 《 關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知 》 （公通字 [2022]861號） ? 《 信息安全等級保護備案實施細則 》 （公信安[2022]1360號） ? 《 關于開展信息安全等級保護安全建設整改工作的指導意見 》 公信安 [2022]1429號 ? 《 關于開展信息安全等級保護專項監(jiān)督檢查工作的通知 》 （公信安 [2022]1175號） 安徽省 公安廳 6 信息安全等級保護工作概述 網(wǎng)絡安全形勢 ： ? 一是西方敵對勢力對我網(wǎng)上滲透和顛覆活動不斷升級，我們將長期面臨敵對勢力的信息優(yōu)勢、技術優(yōu)勢所帶來的信息安全威脅。 ? 信息安全等級保護是發(fā)達國家的通行做法、也是我國多年工作經(jīng)驗總結。 ?對故意將信息系統(tǒng)安全級別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大安全事故的，要追究單位和人員的責任。 國家密碼管理部門 負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導。 安徽省 公安廳 11 等級保護工作有關方面的職責義務 ?信息系統(tǒng)主管部門： 依照規(guī)范和標準， 督促、檢查和指導 本行業(yè)、本部門或本地區(qū)信息系統(tǒng)運營使用單位落實等級保護工作。 為什么要指導 ：行業(yè)主管部門比運營使用單位具有更高的站位、更宏觀的視野。 測評機構、產(chǎn)品提供商應當遵守國家有關管理規(guī)定和技術標準，接受國家信息安全職能部門的監(jiān)督管理等。 – 第三級 ：信息系統(tǒng)運營使用單位應當依據(jù)管理規(guī)范和技術標準進行保護。 – 第五級 ：信息系統(tǒng)運營使用單位應當依據(jù)國家管理規(guī)范、技術標準和業(yè)務特殊安全需求進行保護。 三是：建設、整改。 安徽省 公安廳 20 信息系統(tǒng)安全保護等級的確定 ?定級范圍： 1. 電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎信息網(wǎng)絡，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務單位、互聯(lián)網(wǎng)接入服務單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。 特別說明：信息系統(tǒng)的安全保護等級是信息系統(tǒng)的客觀屬性，不以系統(tǒng)已采取或將采取什么安全保護措施為依據(jù)，也不以風險評估結果為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭破壞后對客體的危害程度為依據(jù)，來確定信息系統(tǒng)的等級，即從國家、人民群眾的根本利益出發(fā)，考慮信息系統(tǒng)受到損害后的最大風險。 ； 作為定級對象的信息系統(tǒng)應該是由相關的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體。 2. 嚴重損害： 工作職能受到嚴重影響，業(yè)務能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的資產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害 。這些具體數(shù)據(jù)可以為主管部門制定定級指導意見及審批定級結果的重要依據(jù)。調查設備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設備使用方面的共用程度。 信息系統(tǒng)一般都包括 業(yè)務信息安全 （信息保密性、完整性、可用性）和 系統(tǒng)服務安全 （服務及時、有效），每種安全遭到破壞后侵害客體和對客體侵害程度不同，要將定級對象分成兩個方面考慮，確定業(yè)務信息安全等級和業(yè)務服務安全等級。 安徽省 公安廳 32 信息系統(tǒng)安全保護等級的確定 c) 確定定級對象系統(tǒng)邊界和邊界設 備： 定級對象確定后，需要確定定級對象的系統(tǒng)邊界和邊界設備。各部門、各行業(yè)要提出定級意見。 安徽省 公安廳 34 信息系統(tǒng)安全保護等級的確定 . 確定對客體的侵害程度（定級要素 2） ： 按照國家安全 —社會秩序和公共利益－合法利益的順序考慮。 等級確定過程中，重大問題可聘請專家咨詢評審，四級以上應通過國家信息安全等級保護專家評審委員會評審，我省成立了各領域專家組成的評審專家組，各單位可以自行申請評審。對于二級系統(tǒng)，只需填寫表一、二、三，對于三級系統(tǒng)還需填寫表四并提交其中所列材料（可以延期提交）。在直接或延期收齊所有備案表（含表四）后的 10個工作日內，經(jīng)審核合格的，頒發(fā)信息系統(tǒng)安全等級保護備案證明；不合格的，發(fā)給不受理回執(zhí)并書面說明不受理的原因通知備案單位予以糾正。測評機構的管理，自查情況也相同 – 測評機構管理 《 管理辦法 》 第二十二條、第二十三條規(guī)定的測評單位條件、義務，第三級以上信息系統(tǒng)應當選擇符合條件的等級保護測評機構進行測評 安徽省 公安廳 47 監(jiān)督、檢查 ?公安機關、國家指定專門部門的監(jiān)督檢查職責 – 檢查定級情況，安全制度、措施落實情況，運營使用單位和主管部門自查情況，測評單位情況、產(chǎn)品使用情況等 – 等級保護政策、標準、法規(guī)的宣傳 ?監(jiān)督檢查方式 – 公安機關應當對第三級、第四級系統(tǒng)的運營使用單位的信息安全等級保護工作情況進行檢查。 – 檢查不合格的要求限期整改，并將整改報告報公安機關備案 – 信息系統(tǒng)主管部門和運營使用單位應當接受監(jiān)督、檢查、指導，并提供有關文件資料 安徽省 公安廳 48 監(jiān)督、檢查 ?違規(guī)責任 – 違規(guī)行為： 、不測評 、安全產(chǎn)品不符合要求 – 處罰方式