《重要信息系統(tǒng)具體范圍和識(shí)別指南》征求意見(jiàn)稿

DBXX/TXXXX-XXXX湖南省地方標(biāo)準(zhǔn)Guidelinesforthespecificscopeandidentificationofimportantinformationsystems2023年8月DBXX/TXXXX-XXXXI II 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14重要信息系統(tǒng)具體范圍 25重要信息系統(tǒng)識(shí)別原則 35.1突出重點(diǎn)保護(hù) 35.2兼顧行業(yè)特性 35.3銜接既有規(guī)定 35.4定量定性結(jié)合 36重要信息系統(tǒng)識(shí)別因素 36.1承載重要數(shù)據(jù) 36.2承載重要業(yè)務(wù) 36.3承載個(gè)人信息 46.4等級(jí)保護(hù)級(jí)別 47重要信息系統(tǒng)識(shí)別基本流程 47.1識(shí)別流程 47.2信息系統(tǒng)運(yùn)營(yíng)者初步識(shí)別 57.3行業(yè)主管或監(jiān)督管理部門(mén)認(rèn)定 57.4報(bào)送同級(jí)網(wǎng)信部門(mén)、公安機(jī)關(guān) 58認(rèn)定變更 5附錄A（資料性）重要數(shù)據(jù)參照表 6附錄B（資料性）重要業(yè)務(wù)參照表 8附錄C（規(guī)范性）重要信息系統(tǒng)識(shí)別登記表 10附錄D（規(guī)范性）重要信息系統(tǒng)識(shí)別認(rèn)定表 12附錄E（規(guī)范性）重要信息系統(tǒng)變更申請(qǐng)表 13 14DBXX/TXXXX—XXXX本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由中共湖南省委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室提出并歸口。本文件起草單位：中共湖南省委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、中共長(zhǎng)沙市委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、湖南省金盾信息安全等級(jí)保護(hù)評(píng)估中心有限公司。本文件主要起草人：劉學(xué)、郭天保、劉志勇、周小堯、周海毅、劉艷軍、周明熙、張鈺、方木、鄧庭波、羅曉燕、鄧煥姿、王瓊、王豐、劉蘭芳、熊璐、楊新宇、譚健、尹海兵。DBXX/TXXXX-XXXX1重要信息系統(tǒng)具體范圍和識(shí)別指南本文件規(guī)定了重要信息系統(tǒng)識(shí)別的術(shù)語(yǔ)和定義、具體范圍、識(shí)別原則、識(shí)別因素、識(shí)別基本流程和認(rèn)定變更等內(nèi)容。本文件適用于信息系統(tǒng)運(yùn)營(yíng)者和有關(guān)行業(yè)主管、監(jiān)督管理部門(mén)開(kāi)展重要信息系統(tǒng)的識(shí)別和認(rèn)定。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T39204-2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求T/SZBA001-2023數(shù)據(jù)安全合規(guī)評(píng)估方法3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1信息系統(tǒng)Informationsystem由應(yīng)用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件等構(gòu)成的，對(duì)信息進(jìn)行采集、傳輸、存儲(chǔ)、使用、共享、銷(xiāo)毀等處理的系統(tǒng)。3.2信息系統(tǒng)運(yùn)營(yíng)者Operatorsofinformationsystems對(duì)信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)具有實(shí)際控制權(quán)、管理權(quán)的單位或個(gè)人。3.3關(guān)鍵信息基礎(chǔ)設(shè)施Criticalinformationinfrastructure公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。[來(lái)源：GB/T39204-2022，3.1]3.4重要數(shù)據(jù)Importantdata一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能影響國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的數(shù)據(jù)。2DBXX/TXXXX—XXXX3.5重要業(yè)務(wù)Importantbusiness依據(jù)重要信息系統(tǒng)行業(yè)和領(lǐng)域范圍，由行業(yè)主管或監(jiān)督管理部門(mén)認(rèn)定的，涉及國(guó)家安全、國(guó)計(jì)民生、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定、公共利益的業(yè)務(wù)。3.6個(gè)人信息Personalinformation以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。[來(lái)源：GB/T35273—2020，3.1]注1：個(gè)人信息包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和注2：個(gè)人信息控制者通過(guò)個(gè)人信息或其他信息加工處理后形成的信息，例如，用戶(hù)畫(huà)像或特征標(biāo)簽，能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情3.7個(gè)人敏感信息Personalsensitiveinformation一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。[來(lái)源：GB/T35273—2020，3.2]注1：個(gè)人敏感信息包括身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬戶(hù)、注2：個(gè)人信息控制者通過(guò)個(gè)人信息或其他信息加工處理后形成的信息，如一旦泄露、非法提供或?yàn)E用可能危害人3.8重要信息系統(tǒng)Importantinformationsystem公共通信和信息服務(wù)、電子政務(wù)、市政、金融、能源、交通、水利、醫(yī)療衛(wèi)生、教育、廣電、工業(yè)生產(chǎn)、互聯(lián)網(wǎng)等重要行業(yè)和領(lǐng)域中，承載重要數(shù)據(jù)、重要業(yè)務(wù)、一定量級(jí)個(gè)人信息或等級(jí)保護(hù)級(jí)別三級(jí)及以上，且未列入關(guān)鍵信息基礎(chǔ)設(shè)施的信息系統(tǒng)。3.9重要信息系統(tǒng)運(yùn)營(yíng)者Operatorsofimportantinformationsystems對(duì)重要信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)具有實(shí)際控制權(quán)、管理權(quán)的單位或個(gè)人。4重要信息系統(tǒng)具體范圍重要信息系統(tǒng)的行業(yè)和領(lǐng)域范圍如下：a)公共通信和信息服務(wù)，包括電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù);b)電子政務(wù)，包括地市級(jí)及以上直接承擔(dān)管理國(guó)家公共事務(wù)、社會(huì)事務(wù)的各級(jí)行政機(jī)關(guān)等；c)市政，包括供水、供氣、供暖、城市軌道交通、智慧城市等；d)金融，包括銀行、證券、期貨、保險(xiǎn)和信托等；DBXX/TXXXX-XXXX3e)能源，包括煤炭、石油石化、天然氣、電力等；f)交通，包括鐵路、民航、公路運(yùn)輸、水運(yùn)等；g)水利，包括水利樞紐運(yùn)行及管控、長(zhǎng)距離輸水管控、城市水源地管控、水災(zāi)害防御、水資源管理h)醫(yī)療衛(wèi)生，包括醫(yī)療衛(wèi)生機(jī)構(gòu)、疾控中心、醫(yī)院等；i)教育，包括中高等院校、培訓(xùn)教育機(jī)構(gòu)等；j)廣電，包括廣播電臺(tái)、電視臺(tái)、有線網(wǎng)絡(luò)、通訊社等；k)工業(yè)生產(chǎn)，包括核、航天、航空、船舶、兵器、電子、鋼鐵、有色、化工、裝備制造、煙草等；l)互聯(lián)網(wǎng)應(yīng)用，包括即時(shí)通信、網(wǎng)上購(gòu)物、網(wǎng)上支付、搜索引擎、直播、電子郵件、論壇、地圖、音視頻、新聞發(fā)布等；m)法律法規(guī)規(guī)定的其他行業(yè)和領(lǐng)域。5重要信息系統(tǒng)識(shí)別原則5.1突出重點(diǎn)保護(hù)從承載重要數(shù)據(jù)、承載重要業(yè)務(wù)、承載個(gè)人信息等多個(gè)角度分析判斷信息系統(tǒng)的重要性，實(shí)行重點(diǎn)保護(hù)。5.2兼顧行業(yè)特性行業(yè)主管或監(jiān)督管理部門(mén)應(yīng)綜合考慮系統(tǒng)規(guī)模、覆蓋地域、用戶(hù)數(shù)量、數(shù)據(jù)重要性等特性設(shè)定本行業(yè)具體指標(biāo)，作為認(rèn)定重要信息系統(tǒng)的依據(jù)。5.3銜接既有規(guī)定充分考慮已有管理要求和行業(yè)特性，與國(guó)家、地方、行業(yè)已經(jīng)制定實(shí)施的有關(guān)網(wǎng)絡(luò)安全管理政策和標(biāo)準(zhǔn)規(guī)范緊密銜接。5.4定量定性結(jié)合以定量與定性相結(jié)合的方式識(shí)別重要信息系統(tǒng)，并根據(jù)信息系統(tǒng)類(lèi)型、特性不同采取定量或定性方法。6重要信息系統(tǒng)識(shí)別因素6.1承載重要數(shù)據(jù)承載重要數(shù)據(jù)的信息系統(tǒng)應(yīng)認(rèn)定為重要信息系統(tǒng)。注：重要數(shù)據(jù)識(shí)別應(yīng)按照國(guó)家或行業(yè)相關(guān)法規(guī)標(biāo)準(zhǔn)執(zhí)行。重要6.2承載重要業(yè)務(wù)屬于重要信息系統(tǒng)的行業(yè)和領(lǐng)域范圍內(nèi)的信息系統(tǒng)，一旦發(fā)生安全事故，導(dǎo)致所承載的重要業(yè)務(wù)無(wú)法提供持續(xù)有效的服務(wù)，可能造成以下影響之一的，應(yīng)認(rèn)定為重要信息系統(tǒng)：a)影響單個(gè)地市級(jí)行政區(qū)20%及以上人口的工作、生活及政務(wù)服務(wù)；4否否DBXX/TXXXX—XXXXb)影響5萬(wàn)人用水、用電、用氣、用油、取暖、就醫(yī)或交通出行等；c)造成人員死亡；d)造成500萬(wàn)元及以上的直接經(jīng)濟(jì)損失；e)造成其他行業(yè)、領(lǐng)域的重大關(guān)聯(lián)性安全風(fēng)險(xiǎn)；f)危害國(guó)家安全、國(guó)計(jì)民生、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定、公共利益。6.3承載個(gè)人信息符合以下條件之一的，應(yīng)認(rèn)定為重要信息系統(tǒng)：a)采集、存儲(chǔ)或處理100萬(wàn)條及以上個(gè)人信息；b)采集、存儲(chǔ)或處理10萬(wàn)條及以上個(gè)人敏感信息。6.4等級(jí)保護(hù)級(jí)別網(wǎng)絡(luò)安全保護(hù)等級(jí)確定為第三級(jí)及以上的信息系統(tǒng)應(yīng)認(rèn)定為重要信息系統(tǒng)。7重要信息系統(tǒng)識(shí)別基本流程7.1識(shí)別流程重要信息系統(tǒng)識(shí)別認(rèn)定工作流程見(jiàn)圖1所示: 運(yùn)營(yíng)者啟動(dòng)重要信息系統(tǒng)識(shí)別 運(yùn)營(yíng)者報(bào)送初步識(shí)別結(jié)果行業(yè)主管或監(jiān)督管理部門(mén)認(rèn)定是否認(rèn)定為重要信息系統(tǒng)是否認(rèn)定為重要信息系統(tǒng)是報(bào)送同級(jí)網(wǎng)信部門(mén)、公安機(jī)關(guān)結(jié)束結(jié)束圖1重要信息系統(tǒng)識(shí)別流程圖DBXX/TXXXX-XXXX57.2信息系統(tǒng)運(yùn)營(yíng)者初步識(shí)別7.2.1列入重要信息系統(tǒng)具體范圍內(nèi)的信息系統(tǒng)的運(yùn)營(yíng)者依據(jù)本文件對(duì)重要信息系統(tǒng)識(shí)別因素進(jìn)行逐一識(shí)別，填寫(xiě)《重要信息系統(tǒng)識(shí)別登記表》（見(jiàn)附錄C）。7.2.2信息系統(tǒng)運(yùn)營(yíng)者將《重要信息系統(tǒng)識(shí)別登記表》報(bào)送給行業(yè)主管進(jìn)行認(rèn)定，如無(wú)行業(yè)主管部門(mén)則由監(jiān)督管理部門(mén)認(rèn)定。7.3行業(yè)主管或監(jiān)督管理部門(mén)認(rèn)定7.3.1行業(yè)主管或監(jiān)督管理部門(mén)依據(jù)本文件對(duì)初步識(shí)別結(jié)果進(jìn)行認(rèn)定，也可根據(jù)需要組織專(zhuān)家召開(kāi)專(zhuān)家評(píng)審會(huì)議，形成認(rèn)定結(jié)果。7.3.2行業(yè)主管或監(jiān)督管理部門(mén)依據(jù)認(rèn)定結(jié)果填寫(xiě)《重要信息系統(tǒng)識(shí)別認(rèn)定表》(見(jiàn)附錄D)，并將認(rèn)定結(jié)果反饋給信息系統(tǒng)運(yùn)營(yíng)者。7.4報(bào)送同級(jí)網(wǎng)信部門(mén)、公安機(jī)關(guān)行業(yè)主管或監(jiān)督管理部門(mén)將《重要信息系統(tǒng)識(shí)別登記表》和《重要信息系統(tǒng)識(shí)別認(rèn)定表》，報(bào)送給同級(jí)網(wǎng)信部門(mén)、公安機(jī)關(guān)。8認(rèn)定變更8.1當(dāng)重要信息系統(tǒng)承載的重要數(shù)據(jù)、業(yè)務(wù)類(lèi)型和個(gè)人信息數(shù)量發(fā)生重大變化或等級(jí)保護(hù)級(jí)別發(fā)生變更時(shí)，可能影響認(rèn)定結(jié)果的，重要信息系統(tǒng)運(yùn)營(yíng)者應(yīng)填寫(xiě)《重要信息系統(tǒng)變更申請(qǐng)表》（見(jiàn)附錄E并依據(jù)本文件重新進(jìn)行識(shí)別認(rèn)定。8.2當(dāng)重要信息系統(tǒng)停運(yùn)、名稱(chēng)或運(yùn)營(yíng)主體發(fā)生變化時(shí)，重要信息系統(tǒng)運(yùn)營(yíng)者應(yīng)填寫(xiě)《重要信息系統(tǒng)變更申請(qǐng)表》主動(dòng)報(bào)送行業(yè)主管或監(jiān)督管理部門(mén)和同級(jí)網(wǎng)信部門(mén)、公安機(jī)關(guān)。6DBXX/TXXXX—XXXX（資料性）重要數(shù)據(jù)參照表123456789DBXX/TXXXX-XXXX7重要數(shù)據(jù)參照表(續(xù))等/8DBXX/TXXXX—XXXX（資料性）重要業(yè)務(wù)參照表123456化789輸衛(wèi)生統(tǒng)計(jì)網(wǎng)絡(luò)直報(bào)系統(tǒng)、傳染性疾病報(bào)告系統(tǒng)、衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)DBXX/TXXXX-XXXX9重要業(yè)務(wù)參照表(續(xù))DBXX/TXXXX—XXXX（規(guī)范性）重要信息系統(tǒng)識(shí)別登記表）：3.系統(tǒng)部署方式：本地部署□政務(wù)云部署□公有云部署托管部署混合模式部外聯(lián)邊界，外聯(lián)單位有系統(tǒng)邊界，對(duì)接系統(tǒng)有統(tǒng)一下發(fā)購(gòu)買(mǎi)成熟產(chǎn)品5.數(shù)據(jù)備份：無(wú)備份本地備份異地備份6.數(shù)據(jù)加密：數(shù)據(jù)存儲(chǔ)與傳輸均加密數(shù)據(jù)存儲(chǔ)與傳輸均未加密僅數(shù)據(jù)存儲(chǔ)加密僅數(shù)據(jù)傳輸加密DBXX/TXXXX-XXXX表C重要信息系統(tǒng)識(shí)別登記表（續(xù)）4.一旦發(fā)生安全事故，可能造成以下影響:(3)導(dǎo)致人員死亡或重傷；是否(5)造成其他行業(yè)、領(lǐng)域的重大關(guān)聯(lián)性安全風(fēng)險(xiǎn)；是否(6)嚴(yán)重?fù)p害社會(huì)和經(jīng)濟(jì)秩序，或危害國(guó)家安全。是否）：2.個(gè)人信息處理方式：采集、存儲(chǔ)傳輸使用提供公開(kāi)刪除銷(xiāo)毀）：4.敏感個(gè)人信息處理方式：采集、存儲(chǔ)傳輸使用提供公開(kāi)刪除銷(xiāo)毀是，識(shí)別因素為：承載重要數(shù)據(jù)承載重要業(yè)務(wù)承載個(gè)人信息等級(jí)保護(hù)三否注：如該系統(tǒng)被識(shí)別為重要信息系統(tǒng)且等級(jí)保護(hù)級(jí)別是唯一識(shí)別