等级保护法的划分标准

一、定级概述

2007年7月26日，公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合发布《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号）。该通知为全国重要信息系统等级保护开展定级工作给出要求顶层设计。随后，2008 年6月19日国家标准发布《信息系统安全保护等级定级指南》（GB/T22240—2008），为全国定级工作给出方法指导。

1、定级范围

《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861 号）中明确指出了我国的重要信息系统定级范围。重要信息系统范围如下：

① 电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

② 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

③ 市（地）级以上党政机关的重要网站和办公信息系统。

④ 涉及国家秘密的信息系统。

2、定级工作主要内容

（1）开展信息系统基本情况的摸底调查

各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求，确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。

（2）初步确定安全保护等级

各信息系统主管部门和运营使用单位要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

（3）评审与审批

初步确定信息系统安全保护等级后，可以聘请专家进行评审。对拟确定为第四级以上信息系统的，由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级，形成定级报告。当专家评审意见与信息系统运营使用单