传统及其变迁：多元景观下的法律与秩序作者

梁治平

　　 一

　　在过去的十几年当中，中国社会经历了巨大的变化。这场变化不但波及并且改变着乡土社会，而且在很大程度上是从这一社会内部生发出来的。令人惊异的是，在中国经济改革的初期，不但农村走在了城市的前面，而且农村经济改革所采取的主要形式--家庭联产承包责任制，也不是出于正式制度自上而下的安排，而是出自农民的创举，出自非正式制度对正式制度的抵抗和挑战。事实上，在从50年代到70年代，国家政权一步步深入乡村，并且成功地实现了对基层社会的监控的整个过程中，这种抵抗和挑战从来没有完全停止过。（沉石，米有录，1989：8；黄宗智，1992：203-10）

　　从制度变迁和制度创新的角度看，当代中国农村的经济改革，尤其是家庭联产承包责任制的逐步发展，为人们提供了一个极好的例证，表明民间自发的经济活动怎样一步步突破正式制度的禁限，以及非正式制度如何逐步获得其合法性，最终转化成为正式制度的一部分。同一过程还表明，传统的社会资源和文化资源并非"现代性"的简单对立物，相反，它们可能在现代化过程中发挥相当积极的作用。因为很显然，在农村经济改革中出现的许多"创举"和"创新"，并不是国家的发明创造，而是传统的乡土社会经济模式的某种延伸、变形和改造，是农民依靠他（她）们已有的知识和经验在既定历史条件下所作的选择，在此过程中，地方性知识，包括过去三十年经验在内的历史记忆，都是不可或缺的创新资源。

　　然而，并非所有的民间自发活动都能够获得正当性，也不是所有非正式制度都能够得到国家认可，并最终为正式制度所吸收。毋宁说，这方面的情况相当复杂、敏感和微妙，因为它不仅关涉到制度变革，也涉及社会转型和意识形态转变，甚至，涉及到社会秩序的重构。下面将要讨论的个案就具有这种复杂和微妙的性质，其中的一组取自农村金融市场，另一组则与家族组织和信仰有关。这些个案最引人注意的地方，在于它们与国家的关系暧昧不明：它们在国家法律和意识形态上并未得到认可，但却有着顽强的生命力和不可取代的作用，以至各地乃至中央政府不得不正视其存在，并且试图对之加以利用。

　　本文的目的，并不是要就上述问题提供某种意识形态上的辩护或者政策上的建议，而是要在最近一百年来社会变迁的大背景下，对这种关系重新加以审视，力图说明这种关系及其变化的性质，揭示出其中为主流思潮所忽略和遮蔽的东西，进而探究未来社会秩序据以建立的基础。

　　二

　　在农村经济改革的最初将近十年，民间信贷在农村经济发展尤其是乡镇企业活动中的作用甚为有限。[1] （周其仁等，1994：320-1）然而，1986年以后，农村中民间借贷的规模开始大于正规借贷的规模。据统计，从1984年到1990年，民间借贷的规模以平均每年大约19%的速度增长。而且，除西藏以外，全国各地都有有关民间借贷活动的报道。在沿海和内陆一些经济发展较快地区，民间信贷尤为发达。（邓英淘等）正像我们在其他地方所看到的那样，民间信贷市场的出现在相当程度上也是传统资源再生与再造的结果，因此，除了从来没有中断过的亲朋好友之间以及个人与集体之间的自由借贷以外，人们在这里能够看到诸多传统的民间金融组织形式，如银背（钱中）、钱庄、合会（钱会）、典当商行等。[2] 造成民间信贷迅速发展的原因主要是，一方面，随着市场调节范围的不断扩大，农村经济发展对资金的需求量大增，而另一方面，农村中的正规信贷机构--农村银行和信用社，由于受体制以及经营方面的种种限制，无论在资金供给还是在服务方式上，都无法满足农村经济生活中日益多样化的资金需求。（邓英淘等）耐人寻味的是，这一发展并没有导致一种新的多层次农村金融体制的产生，相反，民间金融活动与正规金融机构之间一直存在着紧张关系，前者多半处于非法或者半非法状态，两种制度难以兼容，因此形成了农村金融市场上不和谐的二元格局。自然，这种情形也在法律上反映出来。首先是规定民间借贷的利率，禁止高利贷活动。如1964年中共中央转发的《关于城乡高利贷活动情况和取缔办法的报告》提出，借贷利率在月息一分五厘以上者即为高利贷。而根据1984年和1991年最高人民法院的两份法律文件，民间借贷的利率可以适当高于国家银行贷款利率，具体标准由各地人民法院根据本地区情况掌握，但其最高不得超过银行同类贷款利率的四倍（含利率本数），人民法院对于超出这一限度的那部分利息不予保护。（《最高人民法院关于贯彻执行民事政策法律若干问题的意见》第69条和《最高人民法院关于人民法院审理借贷案件的若干意见》第六条）为防止当事人规避该项规则，同一意见还规定，不得将利息计入本金以谋取高利。[3] （第七条）其次是保护国家对于金融业务的垄断地位。根据国务院1986年1月7日颁布的《中华人民共和国银行管理暂行条例》，个人不得设立银行或其他金融机构，不得经营金融业务，而且，非金融机构经营金融业务的也在禁止之列。根据这些规定，民间自办的钱庄等金融组织被先后取缔，民间的"合会"（尤其是其中规模较大的那些）也被目为违法犯罪活动而遭到严厉打击。

　　[案例一]：

　　被告人郑乐芬和蔡胜南于1985年合谋组织"民间金融互助会"（俗称"平会"）。同年10月，又将"平会"转为"抬会"，郑为会主。其经营方式，或先由会员向会主交纳大额会款，然后由会主分期返还会员，或者由会主先行付给会员大额会款，再由会员分期返还会主。由于入会有利可图，遂致该"抬会"规模迅速扩大。1986年2月14日，乐清县人民政府发布公告，明令禁止"抬会"活动，但二被告对此置若罔闻。至同年3月乐清县人民政府依法取缔"抬会"时，二被告下属中小会主达427人，会员遍及多个县、市区，并远至江苏、山东、新疆等地。该"抬会"收入会款6200余万元，支付会员款6010万余元，经营金额为1.22亿元，收支差额达189.6万元。

　　经审理，浙江省温州市中级人民法院于1989年11月3日作出判决，以投机倒把罪分别判处二被告死刑和无期徒刑。被告人郑乐芬不服判决，提出上诉。江苏省高级人民法院于1990年12月27日作出裁定：驳回上诉，维持原判。[4]（《人民法院案例选》（总第1辑）页17-8）

　　根据同一材料的指控，郑、蔡二被告组织"抬会"的活动造成了严重的社会危害。首先，"抬会"导致高利贷活动猖獗，破坏了国家金融管理秩序，造成国家银行储蓄额急剧下降，信贷资金不足。[5] 其次，"抬会"以投机取巧、惟利是图的思想腐蚀了人们的心灵，败坏了社会风气。最后，"抬会"被取缔后，会员急于向中、小会主索回会款，而有采取绑架人质、非法拘禁之举，致乐清县社会秩序一度严重混乱。（同上，页18）仔细分析上述各点，可以发现这些指责远不够坚实。民间金融活动一旦开展，势必与正规金融组织争夺同一市场，因此，问题不在于前者是否导致国家银行储蓄下降，而在于正规金融组织能否满足市场需求，以及，在它们无法满足市场需求的情况下，民间金融组织及其活动在多大程度上可以被合理、合法地承认和引入。高利贷云云，乃是人们指责民间借贷惯常所用的说法，实际情况还需要具体分析。经济学的研究表明，民间借贷的高利率反映了信息投资的资源成本，是对农村金融市场上关于还贷风险信息的严重不对称分布状态的一种理性反应。（张军，1997）因此，只要不是基于垄断而形成的高利率，就不能简单以高利贷视之。（邓英淘等）至于"抬会"在社会风气方面所起的作用，相信并不比而今甚为常见的彩票和股票交易更难接受。最后，乐清"抬会"事件造成严重的社会秩序问题，其直接的原因既不是因为经营不善，也不是因为有会主卷款逃走情事发生，而恰是因为政府采取强制措施取缔了"抬会"，使得会员对会主的信任顷刻瓦解。

　　本案中的罪名确定是另一个有趣的问题。在该案审理过程中，关于罪名曾经有两种不同意见。一种意见主张定诈骗罪，另一种意见则主张定投机倒把罪。法庭最后采纳了后一种主张。因为在"抬会"的经营过程中，会主与会员之间都订有合约，双方对于"抬会"的经营方式也都是明知的和认同的。举凡会款的收付、清点和记帐，均按约定的时间和数额办理。而且，至"抬会"终被取缔之前，许多合约正在履行，部分会主和会员因为履行合约已经得利。总之，该案二被告并未有诈骗行为，其活动也没有直接侵犯他人财产。"抬会"案所侵犯的，是国家的金融管理制度。二被告非法经营金融业务，尤其是在明知其活动属于非法的情况下，继续扩大"抬会"规模，"以高利率与国家银行争夺民间资金，数额特别巨大，冲击了国家金融管理秩序"。（同上，页20）[6]

　　从纯粹法律的角度讲，上述"抬会"活动违反国家金融法规是确定无疑的。但问题是，"国家金融管理秩序"并不是天然合理的，它必须证明自己的合理性。本文无意为上述"抬会"案中的被告辩护，我所感兴趣的是，以"国家金融秩序"之名对民间金融活动采取的压制态度和措施是否足够合理和有效？对于这一问题，已经有一些经济学家提出了质疑。他们认为，把民间借贷视为高利贷而简单予以排斥是不恰当的；以为通过提供官方的廉价信贷便可以把民间信贷排挤出农村金融市场的想法更是不切实际。（张军，1997；邓英淘等）事实上，国家对于农村金融市场的严格管制从未能够完全奏效。民间信用自80年代初兴起以来，业已随着农村经济的发展经历了不同阶段，并对于地区的社会与经济发展起到了不可替代的作用。当然，总的来说，民间金融组织在经营以及融资手段等方面都还比较落后，民间金融活动中的投机行为和欺诈现象也时有发生，而这部分是因为市场的机制尚未健全，部分是因为民间金融组织及其活动没有获得足够的合法性，因此也没有得到有效的指导和监督。值得注意的是，进入90年代以后，随着农村非农产业迅速成长和"开发区热"而出现的又一轮民间集资浪潮，许多以新的形式和面目，如"农村合作基金会"、"农村金融服务社"、"资金互助基金"等出现。这些组织在经营方面继续保有灵活性和多样性等特点，但在形式上比较正规，往往得到地方政府和农村合作经济组织的支持，而且规模较大，有的竟能与正规的农村信用社分庭抗礼。这使得原有的合法与非法之间的界线开始模糊。[7] （张军，1997）

　　当然，上述情形并不意味着民间非正式组织和制度已经取得合法地位，更不意味着存在于上述领域的制度性紧张业已得到基本解决。农村金融市场未来的走向，民间信贷组织的发展前途，都还需要进一步的观察才能够了解。不过，有一点也许是清楚的，那就是，单靠正规的金融组织将无法满足农村社会日益多样化的资金需求，后者要求建立"一种多种信用机构、多种信用工具、多种信用形式并存的复合型的金融体系"，为此，"现存的民间借贷金融市场可以作为一个发育新的农村金融体系的生长点"。（邓英淘等）

　　三

　　传统资源的再生与再造实际是最近十数年间遍及农村社会生活各个方面的一种普遍现象，它包括了诸如家族组织的恢复和民间记忆再现的诸多方面，而不只限于民间经济活动诸领域。只不过，在社会的、宗教的、心理的和意识形态的各个领域，传统的意蕴更加复杂，传统资源的再造过程更加隐秘，民间非正式组织、制度、规范与国家正式制度之间的关系也更加微妙罢了。其实，也像"包产到户"和农民的自留地一样，家族意识和各种民间"迷信"也从来没有被完全消灭。比如在50年代末和60年代初，一个闽南村庄就曾两度出现恢复家族祭祀活动的现象。（王铭铭，1997：108）在另一些地方，族谱和宗祠在历经劫难之后被保存下来，而在80年代，甚至在全国范围内都出现了家族复苏的现象。只是，家族制度的恢复远不像"包产到户"这类单纯的经济方面的变化容易得到学者们的积极评价，更没有获得正式制度上的认可。[8]

　　在对同一现象的描述和评判当中，学者们意见不一。持否定态度的学者强调宗族组织在管制族人、干预生产以及"闹人命"、争山林等事件中的消极作用，认为中国当代宗族现象只是旧文化的复兴，是在中国实现现代化的障碍。（何清涟，1993，141-8）而意在为之辩护的学者则试图表明宗族重建包含了某种"本体"意蕴，是现阶段汉民族历史意识和归属感的再现。（钱杭，1993：151-8）显然，这两种说法都有偏颇之处。事实是，当代中国的宗族重建是一种非常复杂的社会现象。家族固然是一种民间自组织形式，但那并不意味着它必定要对抗正式制度；[9] 同样，作为一种传统的社会组织，它也不是必然地不容于现代社会。重要的是必须看到，家族的重建实际也是传统的再造，它表达并且满足了中国当代乡村社会生活中的某些需求。比如在有些地方，家族组织适应着80年代以来农村社会生活的巨大变化，在提供生产和生活上的合作互助、加强地方社区的认同、维护地区内部的社会网络，以及提供民间意见的表达和交流模式等方面，都发挥着重要的作用。（王铭铭，1997：171-4）

　　研究者对浙江和广东两个村庄的比较研究还表明，在乡镇企业创建之初，家族是农民建立企业、获取资源和建立互相信任的重要制度保障。（王晓毅，1996：5-14）而当乡镇企业得到进一步发展，村集体的经济力量迅速增加之后，家族组织还可能被整合到新的更大的组织当中，成为村庄内部实行管理和分配的重要组织。（王晓毅，1996：11-4；折晓叶，陈婴婴，未刊稿：章六）当然，家族复兴的现象在不同地区有不同表现，它们的社会意义也不尽相同。不过，可以肯定的是，家族的社会功能并不是单一的和固定不变的，它在人们生活中的作用或大或小，它对于社会发展的意义是积极的还是消极的，取决于特定地方的传统，特定人群在特定条件下的选择，以及特定背景下国家对待家族组织的态度。1980年代以来，随着农村经济改革的进行，民间社会的发展空间有了明显的扩大，这意味着，国家对于民间自生自发的活动，不再采取简单粗暴的干预和压制办法，事实上，许多地方的家族活动，只要不是明显地违反国家政策和法律，尤其是不触犯刑法，通常都能够得到地方政府的默许。但是在另一方面，家族制度始终不具有法律上的合法性。国家正式法律通过对个人权利的保护，在诸如婚姻、继承、赡养等问题上不断地介入家族纷争。比如对民间立嗣的习惯，尤其是"嗣子"根据"嗣书"、"继单"一类文书或者"摔盆"、"打幡"[10] 一类行为主张继承的作法，法律一向不予支持。[11] 而在出嫁女主张继承权或者寡妇改嫁（尤其是带财改嫁）受到夫家阻挠的场合，法律则会出面保护妇女的合法利益。[12] 当然，这种干预总是有限的，因为比较起国家法律所体现的那些原则，系于家族之上的观念和民间惯习无疑对生活在乡土社会中的人们具有更加广泛和深远的影响力，以至当事人了解并且愿意诉诸国家法律的情形实际上只是少数，更何况，有些民间惯习在新的社会条件之下被重新安排和制度化，并因此在一定程度上被合法化了。传统的"从夫居"形式被固定化、制度化，就是这样一种情形。

　　[案例二]：

　　原告路建设、杨秀萍系夫妻。路、杨二人于1982年结婚，婚后不久，即一起到杨秀萍原居住地贺兰县常信乡新华村九社居住。其间，路曾向新华村提出入户申请，但村里以地少为由不同意，因此也没有批给其宅基地。1988年，村里召开社员大会讨论路的入户问题，结果仍以地少以及男方不应随女方落户为由否决了路的申请。同年，村、社研究决定，将原告借住的宅基地批给九社农民杨某，并动员原告搬迁。原告拒绝。后乡政府和村委会调解，原告同意搬迁，但随后又反悔。村干部就此情况向县领导反映，后者责成有关部门处理，仍让原告搬迁，并由乡政府督促执行，未果。1990年，被告杨学成等13人，以社员大会不同意原告在村中居住为由，将原告居所强行拆毁，造成经济损失若干。

　　该案一审和二审法院均认为，原告民事权利受宪法、民法通则以及婚姻法保护，被告以"出嫁女子随夫迁移户口"的乡俗为由致原告财产损害，应负民事责任。后，当地乡政府在法院判决的基础上，由乡牧场为原告划拨了宅基地和责任田，同时为其解决了落户问题。（《中国审判案例要览》（1992年综合本）页737-41）

　　本案中的问题非常地具有代表性，因为在至少汉民族居住的几乎所有地区，到处都通行"从夫居"的婚姻形式，而在农村经济改革开始以后，随着城区规模扩大、土地资源更加稀缺以及地区间发展不平衡的加剧，把这种民间惯习改造成一种控制人口流动和利益分配手段的做法也甚为普遍。有的地方明确规定赘婿不得参与分配，有的地方则对招婿上门者施以限制，如规定有多个女儿者只准招婿一人，或者招婿者须居住满一定年限后方可参与分配等，有的地方在出具婚姻状况证明时收取高额押金，以确保女方婚后把户口迁走，还有的地方在出嫁女迁回原居住地时以承诺不参加村内分配为条件，等等。这些规定的一个显著特点，是它们大多以"群定"方式，经由乡村民主程序确定，有的还写进村规民约，因此而具有一定程度的合法性。这一方面使得这种与婚姻居住形式相联系的分配制度具有较大的权威性和稳定性，另一方面也使得少数因违规行为而引起的纠纷往往迁延时日，难以解决。当然，要发现一些通过诉讼获得成功的事例并不难，[13]但是在乡土社会的背景之下，借助于国家法律的强制力量来实现个人权利，这种办法是否足够恰当和有效，仍是一个值得认真思考的问题。[14]

　　由于正式法律制度的现代、都市和个人主义背景，要在其中发现与传统家族伦理的契合点是困难的。也许，唯一的例外是赡养问题。1949年以来，尽管与家族有关的制度、原则和伦理受到全面否定和批判，但是赡养老人这一条却作为传统美德被保留下来。不仅如此，它还被作为一项子女对父母应尽的义务写进相关的法律，并且在司法实践中被有力地执行，尽管这一点最近已为一些社会学家所诟病，认为它与计划生育政策有潜在的矛盾。（李银河，1994：105-11）正因为在赡养问题上正式法与民间规范性知识保有一致，乡民在理解和接受国家有关政策和法律时便不会发生特别的困难，法官、基层司法人员和调解人员在处理和解决赡养纠纷时也就可以充分调动民间知识资源。然而，具有讽刺意味的是，这一点并没有保证赡养纠纷比其他种类的纠纷得到更好的解决，它甚至不能够阻止在老人赡养事务方面日益明显和严重的问题化趋势。下面的案例取自社会学家在河北农村所作的田野调查。

中国保险监督管理委员会办公厅


关于开展保险业信息系统安全等级保护定级工作的通知

保监厅发〔2007〕45号


各保监局，各保险公司、保险资产管理公司，中国保险行业协会：

　　为贯彻落实国家信息安全等级保护制度，按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）要求，中国保监会将在保险行业内开展信息系统安全等级保护定级工作。现将有关事项通知如下：

　　一、等级保护定级工作的要求及组织方式

　　各单位应按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求和“自主定级、自主保护”的工作原则，成立相应的领导及实施机构，结合本单位的实际情况，准确开展信息系统等级保护定级工作。

　　保监会成立等级保护定级工作领导小组，统一领导、解决保险行业信息安全等级保护定级工作中的重大问题；保监会等级保护定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。

　　各保监局负责本局内独立运行的信息系统等级保护定级工作，并对各自辖区内的保险公司分支机构的等级保护定级工作进行指导审核。

　　各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。

　　二、定级工作安排及定级范围

　　（一）定级工作安排

　　为稳妥做好等级保护定级工作，拟在保险行业内分步分批实施。

　　保险行业第一批定级单位包括：保监会及各保监局，中国保险行业协会，中国人民保险集团公司、中国人寿保险（集团）公司、中国再保险（集团）公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险（集团）股份有限公司、中国太平洋（集团）股份有限公司及其下属各子公司和分公司。

　　其余公司作为第二批定级单位（具体时间安排另行通知）。

　　（二）定级范围

　　1、保险监管部门监管、办公及网站等重要信息系统；保险公司和中国保险行业协会经营、管理、办公等重要信息系统。（以下简称“重要信息系统”）

　　2、涉及国家秘密的信息系统（以下简称“涉密信息系统”）。

　　三、主要工作步骤

　　第一阶段：自主定级（9月20日前完成）

　　各单位按要求成立相关定级实施机构，对本系统内的重要信息系统和涉密信息系统展开摸底调查，全面掌握信息网络和信息系统的数量、分布、业务类型、系统结构、应用或服务范围等基本情况，按照《信息安全等级保护管理办法》（以下简称“《管理办法》”，附件1）和《信息系统安全等级保护定级指南》（附件2）的要求，确定定级对象并初步确定保护等级，形成定级报告（报告模板见附件3）。

　　涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

　　第二阶段：审核（9月25日前完成）

　　各保监局将各自独立运行的重要信息系统和涉密信息系统的定级报告报保监会审核。

　　各公司对本公司内的重要信息系统和涉密信息系统定级进行统一审核，对跨省联网运行且由公司总部统一确定等级的，由总公司将重要信息系统和涉密信息系统的定级报告报保监会审核 (有集团或控股公司的，由集团或控股公司将定级报告统一报保监会审核)；保险公司分公司将经过总公司审核的，且在分公司独立运行的重要信息系统和涉密系统定级报告报当地保监局审核。

　　保险行业协会将所确定的重要信息系统和涉密信息系统的定级报告报保监会审核。

　　保监会及各保监局在接到定级报告审核文件后，对不符合要求的于5个工作日内要求其改正，审核通过者不再单独答复。

　　第三阶段：备案（9月30日前完成）

　　根据《管理办法》，各单位定级报告通过保监会或保监局审核后，对重要信息系统安全等级确定为二级以上的信息系统应到公安部网站下载《信息系统安全等级保护备案表》（见附件4）和辅助备案工具，并持填写的备案表和利用辅助备案工具生成的备案电子数据文件，到公安机关办理备案手续（保险行业协会确定的信息系统、保险总公司统一定级的跨省联网运营的信息系统，向公安部备案；保险公司分公司将总公司定级的跨省联网在当地运行、应用的分支系统以及在当地分公司独立运行的信息系统，向当地省级公安机关备案）。备案完成后，各级单位将备案证明复印件报相对应的保险监管机构存档。

　　涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定，填写《涉及国家秘密的信息系统分级保护备案表》（见附件5），按照属地化管理原则，将所确定的涉密信息系统，报送相对应的保密部门备案。备案完成后，各级单位将备案证明复印件报相对应的保险监管机构存档。

　　第四阶段：总结工作（10月15日前完成）

　　各单位应对等级保护定级工作进行总结，并报保监会等级保护定级工作领导小组。保监会根据定级工作开展的情况和定级工作报告，总结工作经验，研究并启动第二批等级保护定级工作。

　　

　　联 系 人：李春亮、王晓鹏

　　联系电话：010－66286602

　　

　　附件：1、信息安全等级保护管理办法

　　2、信息安全技术信息系统安全等级保护定级指南

　　3、信息系统安全等级保护定级报告

　　4、信息系统安全等级保护备案表

　　5、涉及国家秘密的信息系统分级保护备案表

　　　　　　　　　　　　　　　　　　　　　　　　二○○七年九月六日
附件1：
信息安全等级保护管理办法
（公通字[2007]43号）
第一章 总则
第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。
第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。
第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条 信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。
第二章 等级划分与保护
第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条 信息系统的安全保护等级分为以下五级：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章 等级保护的实施与管理
第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条 信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。
第十二条 在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术 网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671 -2006）等技术标准同步建设符合该等级要求的信息安全设施。
第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条 信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。
第十五条 已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。
第十六条 办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：
（一）系统拓扑结构及说明；
（二）系统安全组织机构和管理制度；
（三）系统安全保护设施设计实施方案或者改建实施方案；
（四）系统使用的信息安全产品清单及其认证、销售许可证明；
（五）测评后符合系统安全保护等级的技术检测评估报告；
（六）信息系统安全保护等级专家评审意见；
（七）主管部门审核批准信息系统安全保护等级的意见。
第十七条 信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。
第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。
对第五级信息系统，应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门应当对下列事项进行检查：
（一）信息系统安全需求是否发生变化，原定保护等级是否准确；
（二）运营、使用单位安全管理制度、措施的落实情况；
（三）运营、使用单位及其主管部门对信息系统安全状况的检查情况；
（四）系统安全等级测评是否符合要求；
（五）信息安全产品使用是否符合要求；
（六）信息系统安全整改情况；
（七）备案材料与运营、使用单位、信息系统的符合情况；
（八）其他应当进行监督检查的事项。
第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件：
（一）信息系统备案事项变更情况；
（二）安全组织、人员的变动情况；
（三）信息安全管理制度、措施变更情况；
（四）信息系统运行状况记录；
（五）运营、使用单位及主管部门定期对信息系统安全状况的检查记录；
（六）对信息系统开展等级测评的技术测评报告；
（七）信息安全产品使用的变更情况；
（八）信息安全事件应急预案，信息安全事件应急处置结果报告；
（九）信息系统安全建设、整改结果报告。
第二十条 公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求，按照管理规范和技术标准进行整改。整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改情况组织检查。
第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品：
（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；
（二）产品的核心技术、关键部件具有我国自主知识产权；
（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；
（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；
（五）对国家安全、社会秩序、公共利益不构成危害；
（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：
（一）在中华人民共和国境内注册成立（港澳台地区除外）；
（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；
（三）从事相关检测评估工作两年以上，无违法记录；
（四）工作人员仅限于中国公民；
（五）法人及主要业务、技术人员无犯罪记录；
（六）使用的技术装备、设施应当符合本办法对信息安全产品的要求；
（七）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；
（八）对国家安全、社会秩序、公共利益不构成威胁。
第二十三条 从事信息系统安全等级测评的机构，应当履行下列义务：
（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；
（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；
（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。
第四章 涉及国家秘密信息系统的分级保护管理
第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。
第二十五条 涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上，依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统，各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况，及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案，并接受保密部门的监督、检查、指导。
第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准，按照秘密、机密、绝密三级的不同要求，结合系统实际进行方案设计，实施分级保护，其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产品，并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测，通过检测的产品由国家保密局审核发布目录。
第二十九条 涉密信息系统建设使用单位在系统工程实施结束后，应当向保密工作部门提出申请，由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》，对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前，应当按照《涉及国家秘密的信息系统审批管理规定》，向设区的市级以上保密工作部门申请进行系统审批，涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统，其建设使用单位在按照分级保护要求完成系统整改后，应当向保密工作部门备案。
第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时，应当提交以下材料：
（一）系统设计、实施方案及审查论证意见；
（二）系统承建单位资质证明材料；
（三）系统建设和工程监理情况报告；
（四）系统安全保密检测评估报告；
（五）系统安全保密组织机构和管理制度情况；
（六）其他有关材料。
第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时，其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况，决定是否对其重新进行测评和审批。
第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》，加强涉密信息系统运行中的保密管理，定期进行风险评估，消除泄密隐患和漏洞。
第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理，并做好以下工作：
（一）指导、监督和检查分级保护工作的开展；
（二）指导涉密信息系统建设使用单位规范信息定密，合理确定系统保护等级；
（三）参与涉密信息系统分级保护方案论证，指导建设使用单位做好保密设施的同步规划设计；
（四）依法对涉密信息系统集成资质单位进行监督管理；
（五）严格进行系统测评和审批工作，监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况；
（六）加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评，对绝密级信息系统每年至少进行一次保密检查或者系统测评；
（七）了解掌握各级各类涉密信息系统的管理使用情况，及时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级保护的密码管理
第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度，被保护对象的安全防护要求和涉密程度，被保护对象被破坏后的危害程度以及密码使用部门的性质等，确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的，应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条 信息系统安全等级保护中密码的配备、使用和管理等，应当严格执行国家密码管理的有关规定。
第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的，应报经国家密码管理局审批，密码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和相关标准执行；采用密码对不涉及国家秘密的信息和信息系统进行保护的，须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准，其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条 运用密码技术对信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得采用国外引进或者擅自研制的密码产品；未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。
第六章 法律责任
第四十条 第三级以上信息系统运营、使用单位违反本办法规定，有下列行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果：
（一）未按本办法规定备案、审批的；
（二）未按本办法规定落实安全管理制度、措施的；
（三）未按本办法规定开展系统安全状况检查的；
（四）未按本办法规定开展系统安全技术测评的；
（五）接到整改通知后，拒不整改的；
（六）未按本办法规定选择使用信息安全产品和测评机构的；
（七）未按本办法规定如实提供有关文件和证明材料的；
（八）违反保密管理规定的；
（九）违反密码管理规定的；
（十）违反本办法其他规定的。
违反前款规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。
第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分；构成犯罪的，依法追究刑事责任。
第七章 附则
第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级；新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条 本办法所称“以上”包含本数（级）。
第四十四条 本办法自发布之日起施行，《信息安全等级保护管理办法（试行）》（公通字[2006]7号）同时废止。



附件2：


信息安全技术
信息系统安全等级保护定级指南

（报批稿）











全国信息安全标准化技术委员会




前　言
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位：
本标准主要起草人：



引 言
依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括：
——GB/T BBBBB-BBBB信息系统安全等级保护基本要求；
——GB/T CCCCC-CCCC信息系统安全等级保护实施指南；
——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。
本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。





















信息系统安全等级保护定级指南

1 范围
本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。
2 规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。
GB/T 5271.8 信息技术 词汇 第8部分：安全
GB17859-1999 计算机信息系统安全保护等级划分准则
3 术语和定义
GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。
3.1
等级保护对象 target of classified security
信息安全等级保护工作直接作用的具体的信息和信息系统。
3.2
客体object
受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
3.3
客观方面objective
对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。
3.4
系统服务 system service
信息系统为支撑其所承载业务而提供的程序化过程。
4 定级原理
4.1 信息系统安全保护等级
根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
4.2 信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
4.2.1 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面：
a) 公民、法人和其他组织的合法权益；
b) 社会秩序、公共利益；
c) 国家安全。
4.2.2 对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：
a) 造成一般损害；
b) 造成严重损害；
c) 造成特别严重损害。
4.3 定级要素与等级的关系
定级要素与信息系统安全保护等级的关系如表1所示。



表1 定级要素与安全保护等级的关系
受侵害的客体 对客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
5 定级方法
5.1 定级的一般流程
信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下：
a) 确定作为定级对象的信息系统；
b) 确定业务信息安全受到破坏时所侵害的客体；
c) 根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度；
d) 依据表2，得到业务信息安全保护等级；
e) 确定系统服务安全受到破坏时所侵害的客体；
f) 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度；
g) 依据表3，得到系统服务安全保护等级；
h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
上述步骤如图1确定等级一般流程所示。

图1 确定等级一般流程
5.2 确定定级对象
一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
作为定级对象的信息系统应具有如下基本特征：
a) 具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
b) 具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。
c) 承载单一或相对独立的业务应用
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。
5.3 确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面：
- 影响国家政权稳固和国防实力；
- 影响国家统一、民族团结和社会安定；
- 影响国家对外活动中的政治、经济利益；
- 影响国家重要的安全保卫工作；
- 影响国家经济竞争力和科技实力；
- 其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面：
- 影响国家机关社会管理和公共服务的工作秩序；
- 影响各种类型的经济活动秩序；
- 影响各行业的科研、生产秩序；
- 影响公众在法律约束和道德规范下的正常生活秩序等；
- 其他影响社会秩序的事项。
影响公共利益的事项包括以下方面：
- 影响社会成员使用公共设施；
- 影响社会成员获取公开信息资源；
- 影响社会成员接受公共服务等方面；
- 其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。
各行业可根据本行业业务特点，分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系，从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
5.4 确定对客体的侵害程度
5.4.1 侵害的客观方面
在客观方面，对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏，其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后，可能产生以下危害后果：
- 影响行使工作职能；
- 导致业务能力下降；
- 引起法律纠纷；
- 导致财产损失；
- 造成社会不良影响；
- 对其他组织和个人造成损失；
- 其他影响。
5.4.2 综合判定侵害程度
侵害程度是客观方面的不同外在表现的综合体现，因此，应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同，例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定，业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同的判别基准：
- 如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准；
- 如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下：
一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。
严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。
特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。
信息安全和系统服务安全被破坏后对客体的侵害程度，由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同，信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同，各行业可根据本行业信息特点和系统服务特点，制定危害程度的综合评定方法，并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
5.5 确定定级对象的安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2业务信息安全保护等级矩阵表，即可得到业务信息安全保护等级。
表2 业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2系统服务安全保护等级矩阵表，即可得到系统服务安全保护等级。
表3 系统服务安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
6 等级变更
在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应根据本标准第5章给出的定级方法重新定级。
附件3：

信息系统安全等级保护定级报告

一、XXX信息系统描述
简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。
二、XXX信息系统安全保护等级确定
（定级方法参见国家标准《信息系统安全等级保护定级指南》）
（一）业务信息安全保护等级的确定
1、业务信息描述
描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定
说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定
说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。
（二）系统服务安全保护等级的确定
1、系统服务描述
描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定
说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定
说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定
依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
（三）安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。
信息系统名称 安全保护等级 业务信息安全等级 系统服务安全等级
XXX信息系统 X X X

附件4：
备案表编号：




信息系统安全等级保护
备案表












备 案 单 位： （盖章）
备 案 日 期：

受理备案单位： （盖章）
受 理 日 期：

中华人民共和国公安部监制


填　表　说　明

一、 制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作本表；
二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以复印使用；
三、 保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档；
四、 本表中有选择的地方请在选项左侧“0”划“√”，如选择“其他”，请在其后的横线中注明详细内容；
五、 封面中备案表编号（由受理备案的公安机关填写并校验）：分两部分共11位，第一部分6位，为受理备案公安机关代码前六位（可参照行标GA380-2002）。第二部分5位，为受理备案的公安机关给出的备案单位的顺序编号；
六、 封面中备案单位：是指负责运营使用信息系统的法人单位全称；
七、 封面中受理备案单位：是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章；

不分页显示　　　总共2页　　1 [2]

　　下一页