【原】信息系统分级管理制度

信息系统分级管理目的是加强信息系统在生命周期中的管理，保证信息系统安全，防范信息系统管理的信息安全风险。

▼▼信息系统分级规则

业务系统的分级方法取决于系统的业务影响性分析。本策略从系统服务的可用性及所承载的数据的机密性受破坏后对业务的影响程度来确定系统的重要等级。

信息系统分级定义

▼▼第一级信息系统定义

内部使用维持办公正常运转的系统定为一级，其特点为：

• 内部级（含）以下业务信息的系统；当业务信息被破坏或泄漏时，只会对内部或个别外部机构的业务信息产生一般危害；

• 系统允许中断时间超过60分钟，或当业务系统停止服务时，会对内部工作或对个别外部机构的服务产生较小影响。

▼▼第二级信息系统定义

满足以下条件的系统，可定为二级。其特点是：

• 内部使用且不属于主业务流程，但存储秘密级敏感信息的系统；当系统的业务信息被破坏或泄漏时，会对内部或部分外部客户的业务信息产生较大的危害。

• 合法使用者对系统的可用度在正常工作时间达到70%以上，或系统允许中断时间不超过60分钟。当业务系统停止服务时，会对内部工作或部分外部客户的服务产生较大影响。

▼▼第三级信息系统定义

满足以下条件之一的系统，可定为三级：

• 集中部署的重要信息系统以上级别的系统、核心骨干网络。

• 主业务流程上的系统及其支持系统；其特点如下：1）存储机密级（含）以上的数据；业务信息被破坏或泄漏时，对内部或客户产生严重危害。2）合法使用者对系统的可用度达到每天70%以上或系统允许中断时间不超过30分钟，系统停止服务将对业务产生严重危害。

▼▼第四级信息系统定义

核心系统或面向客户的交易服务系统，其特点如下：

• 存储机密级（含）以上的业务数据；业务信息被破坏或泄漏时，对内部或客户产生特别严重的危害。

• 合法使用者对系统的可用度达到年度99.9%以上或系统允许中断时间不超过10分钟，系统停止服务将对业务产生特别严重的危害。

信息系统的分级管理

▼▼通用管理原则如下

信息系统包括服务器端和客户端。其管控方式须一致。

应根据信息系统分类分级，在全生命周期内对使用、废弃、访问控制、变更管理等方面做出相应要求。

信息系统生命周期中，须依据系统的重要级别建立差异的访问控制机制，对重要系统的访问须有严格的授权。

应落实相关制度、标准和流程，确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。

信息系统的开发环境、测试环境及生产环境应有效隔离；同时开发、测试阶段的系统管理职能与生产系统的管理职能相分离。

信息系统的建设和运营阶段，宜识别获取方式、维护方式、环境、人员、干系方等风险因素，采取适当的项目管理方法，控制信息科技项目相关的风险。

▼▼运营阶段信息系统须关注的问题

应降低利用已公布的技术脆弱性导致的风险。

应建立并完善有效的问题管理流程，以确保全面地追踪、分析和解决业务系统问题，并对问题进行记录、分类和索引；

应建立应急响应机制以有效保证业务连续性。

应建立服务水平管理相关的制度和流程，对信息科技运行服务水平进行考核。

信息系统的废弃由指定部门执行。应采取相关处理流程，保证其承载的公司内部级及以上级别的信息不能泄露。

承载保密信息的业务系统，其使用过程中应遵守相关保密要求。

作者：李鹏飞（转载请获本人授权，并注明作者与出处）