37．公安部、国家保密局、国家密码管理局、 国务院信息化工作办公室 《关于开展全国重要信息系统安全等级保护 定级工作的通知》 （公信安〔2007〕861 号） 各省、自治区、直辖市公安厅（局）、保密局、国家密码局管理局（国家密码管 理委员会办公室）、信息化领导组办公室，新疆生产建设兵团公安局、保密局、 国家密码管理局、信息化领导小组办公室，中央和国家机关各部委保密委员会办 公室、密码工作领导小组办公室、信息化领导小组办公室，各人民团体保密委员 会办公室： 为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于 信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》（以下简称 《管理办法》）精神，提高我国基础信息网络和重要信息系统的信息安全保护能 力和水平，根据国家网络与信息安全协调小组 2007 年的工作部署，公安部、国 家保密局、国家密码管理局、国务院信息化工作办公室定于 2007 年 7 月至 10 月在全国范围内组织开展重要信息系统安全等级保护定级工作（以下简称“定级 工作”） 。现就有关事项通知如下： 一、定级范围 （一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经 营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信 息系统。 （二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、 发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、 国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门 的生产、调度、管理、办公等重要信息系统。 （三）市（地）级以上党政机关的重要网站和办公信息系统。 1 （四）涉及国家秘密的信息系统（以下简称“涉密信息系统”）。 二、定级工作的主要内容 （一）开展信息系统基本情况的摸底调查。各行业主管部门、运营使用单位 要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务 类型、应用或服务范围、系统结构等基本情况，按照《管理办法》和《信息系统 安全等级保护定级指南》的要求，确定定级对象。各行业主管部门要根据行业特 点提出指导本地区、本行业定级工作的具体意见。 （二）初步确定安全保护等级。各信息系统主管部门和运营使用单位要按照 《管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全 保护等级，起草定级报告（报告模板见附件 1）。跨省或者全国统一联网运行的 信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照 国家保密局的有关规定和标准执行。 （三）评审与审批。初步确定的信息系统安全保护等级后，可以聘请专家进 行评审。对拟确定为第四级以上的信息系统的，由运营使用单位或主管部门请国 家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意 见最后确定信息系统安全保护等级，形成定级报告。当专家评审意见与信息系统 运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定 信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的，所确定 的信息系统安全保护等级应当报经上级行业主管部门审批同意。 （四）备案。根据《管理办法》，信息系统安全保护等级为第二级以上的信 息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案 表》（见附件 2）和辅助备案工具，持填写的备案表和利用辅助备案工具生成的 备案的电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。 其中，第二级信息系统的备案单位只需填写备案表中的表一、表二和表三，第三 级以上信息系统的备案单位还应当同时提交备案表表四所列各项内容的书面材 料。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定 级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行 的信息系统在各地运行、应用的分支系统，向当地设设区的市级以上公安机关备 案。 2 涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定，填 写《涉及国家秘密的信息系统分级保护备案表》（见附件 3），按照属地化原则， 中央和国家机关单位的涉密信息系统向国家保密局备案；地方的涉秘信息系统向 所在地的市（地）级以上保密工作部门备案；中央和国家机关地方所属单位的涉 密信息系统，向所在地的省级保密工作部门备案。 （五）备案管理。公安机关和国家保密工作部门负责受理备案并进行备案管 理。信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等 级保护要求的，颁发信息系统安全保护等级备案证明。发现不符合《管理办法》 及有关标准的，应当通知备案予以纠正。发现定级不准的，应当通知运营使用单 位或其主干部门重新审核确定。各级保密工作部门加强对涉密信息系统定级工作 的指导、监督和检查。 三、定级工作的要求 （一）加强领导，落实保障。各地区、各部门要加强对本地区、本行业信息 安全等级保护工作的组织领导，及时掌握工作进展情况，并可组织成立专家组， 明确技术支持力量。信息系统运营使用单位要成立等级保护工作组，落实责任部 门、责任人员和经费，保障定级工作顺利进行。 （二）明确责任，密切配合。定级工作由各级公安机关牵头，会同国家保密 工作部门、国家密码管理部门和信息化领导小组办事机构共同组织实施。公安机 关负责定级工作的监督、检查、指导；国家保密工作部门负责涉密系统定级工作 的监督、检查、指导；国家密码管理部门负责定级工作中的有关密码工作的监督、 检查、指导；信息化领导小组办事机构负责定级工作的部门间协调。各信息系统 主管部门组织本行业、本部门信息系统运营使用单位开展定级工作，督促其落实 定级工作各项任务。各信息系统运营使用依据《管理办法》和本通知要求，具体 实施定级工作。 （三）动员部署，开展培训。各地区、各部门要按照统一部署广泛进行宣传 动员，举办形式多样的培训班、研讨班等，层层培训。公安部会同国家保密局、 国家密码管理局、国务院信息化工作办公室对国家有关部委、各省级公安、保密、 密码和信息化领导小组办事机构就《管理办法》和《信息系统安全等级保护定级 指南》等进行培训。信息系统主管部门对所管辖的信息系统运营使用单位进行培 3 训。各地参照上述培训模式开展培训工作。 （四）及时总结，提出建议。各地区、各部门要结合本地区、本行业开展定 级工作的实际，认真总结经验和不足，提出改进和完善定级方法的意见和建议。 各地区、各部门负责等级保护的领导机构要及时总结定级工作经验，形成定级工 作总结报告，并及时保送公安部。涉密信息系统定级工作总结报告向国家保密局 报送。 此次定级工作完成后，请各主管部门、运营使用单位按照《管理办法》和有 关技术标准，继续开展信息系统安全等级保护的系统建设或整改、等级测评、自 查自纠等后续工作，各级公安、保密、密码管理部门要开展等级保护工作的监督、 检查和指导。 附件：1、《信息系统安全等级保护定级报告》模板（略） 2、信息案系统安全等级保护备表（略） 3、涉及国家秘密的信息系统分级保护备案表（略） 二〇〇七年七月十六日 4