DB43 T 2845-2023 重要信息系统具体范围和识别规则.pdf

1、DB43/T2023 284543湖南省地方标准ICSCCS 01.140.20L 70发 布湖南省市场监督管理局2023-11发布-092024-02实施-09重要信息系统具体范围和识别规则Specific scope and identification rules ofimportant information systemsDB43/T 28452023 I 目 次 前言 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 具体范围 2 5 识别因素 3 5.1 承载重要数据 3 5.2 承载重要业务 3 5.3 承载个人信息 3 5.4 等级保护级别 3 6 识别与认定 3

2、 6.1 工作流程 3 6.2 运营者开展重要信息系统识别 4 6.3 行业主管或监督管理部门认定 4 6.4 报送结果 4 7 认定变更 5 附录 A（资料性）重要数据参照表 6 附录 B（资料性）重要业务参照表 8 附录 C（规范性）重要信息系统识别登记表 10 附录 D（规范性）重要信息系统识别认定表 13 附录 E（规范性）重要信息系统变更申请表 14 参考文献 15 DB43/T 28452023II DB43/T 28452023 III 前 言 本文件按照 GB/T 1.12020标准化工作导则 第 1 部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专

3、利。本文件的发布机构不承担识别专利的责任。本文件由中共湖南省委网络安全和信息化委员会办公室提出并归口。本文件起草单位：中共湖南省委网络安全和信息化委员会办公室、中共长沙市委网络安全和信息化委员会办公室、湖南省金盾信息安全等级保护评估中心有限公司。本文件主要起草人：刘学、郭天保、刘志勇、周小尧、周海毅、刘艳军、周明熙、张钰、方木、邓庭波、罗晓燕、邓焕姿、王琼、王丰、刘兰芳、熊璐、杨新宇、谭健、尹海兵。DB43/T 28452023IV DB43/T 28452023 1 重要信息系统具体范围和识别规则 1 范围 本文件规定了重要信息系统识别的具体范围、识别因素、识别认定流程和认定变更等内容。本文

4、件适用于开展重要信息系统的识别和认定。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 352732020 信息安全技术 个人信息安全规范 GB/T 392042022 信息安全技术 关键信息基础设施安全保护要求 3 术语和定义 下列术语和定义适用于本文件。3.1 信息系统运营者 Operators of information system信息系统的所有者、管理者。3.2 关键信息基础设施 Critical information

5、 infrastructure公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。来源：GB/T 392042022，3.1 3.3 重要数据 Important data一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。3.4 重要业务 Important business由行业主管或监督管理部门认定的，涉及国家安全、国计民生、经济命脉、社会稳定、公共利益的业务。3.5 个人信

6、息 Personal information以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。DB43/T 284520232 来源：GB/T 352732020，3.1 注 1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。注 2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。注 3：

7、关于个人信息的判定方法和类型参见 GB/T 35273 附录 A。3.6 个人敏感信息 Personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。来源：GB/T 352732020，3.2 注 1：个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下（含）儿童的个人信息等。注 2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，如一旦泄露、非法提供或滥用可能危害人身和财产安全，

8、极易导致个人名誉、身心健康受到损害或歧视性待遇等的，属于个人敏感信息。注 3：关于个人敏感信息的判定方法和类型参见 GB/T 35273 附录 B。3.7 重要信息系统 Important information system 公共通信和信息服务、电子政务、市政、金融、能源、交通、水利、医疗卫生、教育、广电、工业生产、互联网等重要行业和领域中，满足承载重要数据、承载重要业务、承载一定量级个人信息、等级保护级别三级及以上条件之一，且未列入关键信息基础设施的信息系统。3.8 重要信息系统运营者 Operators of important information system重要信息系统的所有者、

9、管理者。4 具体范围 重要信息系统的行业和领域范围如下：a）公共通信和信息服务，包括电信网、广播电视网、互联网等信息网络，以及云计算、大数据和其他大型公共信息网络服务；b）电子政务，包括地市级及以上直接承担管理国家公共事务、社会事务的各级行政机关等；c）市政，包括供水、供气、供暖、城市轨道交通、智慧城市等；d）金融，包括银行、证券、期货、保险和信托等；e）能源，包括煤炭、石油石化、天然气、电力等；f）交通，包括铁路、民航、公路运输、水运等；g）水利，包括水利枢纽运行及管控、长距离输水管控、城市水源地管控、水灾害防御、水资源管理等；h）医疗卫生，包括医疗卫生机构、疾控中心、医院等；i）教育，包括

10、中高等院校、培训教育机构等；j）广电，包括广播电台、电视台、有线网络、通讯社等；k）工业生产，包括核能、航天、航空、船舶、兵器、电子、钢铁、有色、化工、装备制造、烟草等；DB43/T 28452023 3 l）互联网应用，包括即时通信、网上购物、网上支付、搜索引擎、直播、电子邮件、论坛、地图、音视频、新闻发布等；m）法律法规规定的其他行业和领域。5 识别因素 5.1 承载重要数据 承载重要数据，重要数据识别应按照国家和行业相关法规标准执行。注：重要数据参照表见附录 A。5.2 承载重要业务 承载重要业务，一旦遭到破坏、丧失功能，可能造成以下影响之一的：a）影响单个地市级行政区 20及以上人口的

11、工作、生活及政务服务；b）影响 5 万人及以上用水、用电、用气、用油、取暖、就医或交通出行等；c）造成人员死亡；d）造成 500 万元及以上的直接经济损失；e）造成其他行业、领域的重大关联性安全风险；f）危害国家安全、国计民生、经济命脉、社会稳定、公共利益。注：重要业务参照表见附录 B。5.3 承载个人信息 承载个人信息，符合以下条件之一的：a）采集、存储或处理 100 万条及以上个人信息；b）采集、存储或处理 10 万条及以上个人敏感信息。5.4 等级保护级别 网络安全保护等级确定为第三级及以上的。6 识别与认定 6.1 工作流程 重要信息系统识别认定工作流程见图 1 所示。DB43/T 2

12、84520234 图 1 重要信息系统识别认定流程图 6.2 运营者开展重要信息系统识别 6.2.1 信息系统运营者对重要信息系统识别因素进行逐一识别，填写重要信息系统识别登记表（见附录 C）。6.2.2 信息系统运营者将重要信息系统识别登记表报送给行业主管部门进行认定，如无行业主管部门则由监督管理部门认定。6.3 行业主管或监督管理部门认定 6.3.1 行业主管或监督管理部门对初步识别结果进行复核认定，根据需要可组织专家召开专家评审会议，形成认定结果。6.3.2 行业主管或监督管理部门依据认定结果填写重要信息系统识别认定表（见附录 D），并将认定结果反馈给信息系统运营者。6.4 报送结果 行

13、业主管或监督管理部门将重要信息系统识别登记表和重要信息系统识别认定表，报送有关网络安全监督管理部门。是否运营者报送初步识别结果行业主管或监督管理部门认定是否认定为重要信息系统报送结果结束开始运营者开展重要信息系统识别DB43/T 28452023 5 7 认定变更 7.1 当重要信息系统承载的重要数据、业务类型和个人信息数量发生重大变化或等级保护级别发生变更时，可能影响认定结果的，重要信息系统运营者应填写重要信息系统变更申请表（见附录 E），重新进行识别认定。7.2 当重要信息系统名称、运营者发生变化或停运时，重要信息系统运营者应填写重要信息系统变更申请表主动报送行业主管或监督管理部门，同步报

14、送有关网络安全监督管理部门。DB43/T 284520236 附 录 A（资料性）重要数据参照表 重要数据参照表见表 A.1。表 A.1 重要数据参照表 序号 识别重要数据因素 举例 1 直接影响国家主权、政权安全、政治制度、意识形态安全 如用以实施社会动员的数据 2 直接影响领土安全和国家统一，或反映国家自然资源基础情况 如未公开的领陆、领水、领空数据 3 可被其他国家或组织利用发起对我国的军事打击，或反映我国战略储备、应急动员、作战等能力 如满足一定精度指标的地理信息或战略物资产能、储备量信息 4 直接影响市场秩序或国家经济命脉安全 如支撑关键基础设施所在行业、领域核心业务运行或重要经济领

15、域生产的数据 5 反映我国语言文字、历史、风俗习惯、民族价值观念等特质 如历史文化遗产信息 6 反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置，可被恐怖分子、犯罪分子利用实施破坏 如国防设施、军事管理区、国防科研生产单位、重点安保单位、重要生产企业、国家重要资产（如铁路、输油管道）的施工图、内部结构、安防等信息，以及未公开的专用公路、机场信息 7 关系国家科技实力、影响国际竞争力，或关系出口管制物项如反映国家科技创新重大成果,或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告 8 反映关键信息基础设

16、施总体运行、发展和安全保护情况，可被利用实施对关键信息基础设施的网络攻击 如反映关键信息基础设施系统配置信息、核心软硬件设计信息、系统拓扑、应急预案、测评、监测、审计等情况的数据 9 可被利用实施对关键设备、系统组件供应链的破坏，以发起高级持续性威胁等网络攻击 如政府或军工单位客户清单、未公开的产品和服务采购情况、未公开的重大漏洞 10 反映自然环境、生产生活环境基础情况，或可被利用造成环境安全事件 如未公开的土壤数据、气象观测数据、环保监测数据 11 反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况 如未公开的水文观测数据、未公开的耕地面积或质量变化情况 12 反映核材料、

17、核设施、核活动情况，或可被利用造成核破坏或其他核安全事件 如核电站设计图、核电站运行数据 DB43/T 28452023 7 表 A.1 重要数据参照表（续）序号 识别重要数据因素 举例 13 关系海外能源资源安全、海上战略通道安全、海外公民和法人安全，或可被利用实施对我国参与国际经贸、文化交流活动的破坏或对我国实施歧视性禁止、限制或其他类似措施 如国际贸易中特殊物项生产交易以及特殊装备配备、使用情况 14 关系我国在太空、深海、极地等战略新疆域的现实或潜在利益 如未公开的科学考察、开发利用数据和影响人员安全进出的数据 15 反映生物技术研究、开发和应用情况，反映族群特征、遗传信息，关系重大突

18、发传染病、动植物疫情，关系生物实验室安全，或可能被利用制造生物武器、实施生物恐怖袭击，关系外来物种入侵和生物多样性 如重要生物资源数据、微生物耐药基础研究数据 16 未公开的政务数据、工作秘密、情报数据和执法司法数据如未公开且可能造成重大社会影响的统计数据 17 反映全局性或重点领域经济运行、金融活动状况，关系产业竞争力，可造成公共安全事故或影响公民生命安全，可引发群体性活动或影响群体情感与认知如未公开且可能造成重大社会影响的统计数据、国家经济运行数据、重要行业业务数据、重点企业商业秘密，以及危化品制作工艺、危化品储备地点 18 反映国家或地区群体健康生理状况，关系疾病传播与防治，关系食品药品

19、安全 如健康医疗资源数据、批量人口的诊疗与健康管理数据、疾控防疫数据、健康救援保障数据、特定药品实验数据、食品安全溯源标识信息 19 其他可能影响国家政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核设施、海外利益、太空、极地、深海、生物等安全的数据/DB43/T 284520238 附 录 B（资料性）重要业务参照表 重要业务参照表见表 B.1。表 B.1 重要业务参照表 序号 行业 举例 1 公共通信和信息服务 域名解析服务、业务运行支撑、数据中心、云平台等 2 电子政务 地市级及以上发展改革、教育、科技、工业和信息化、民宗、公安、民政、司法、财政、税务、海关、统计、工商、邮政

20、、人力资源和社会保障、自然资源、生态环境、住房城乡建设、交通运输、水利、农业农村、商务、文化和旅游、卫生健康、审计、应急、国资、林业、市场监管、国防科技、能源等部门对外提供政务服务、对内承载核心工作的业务，县级及以上党政机关门户网站 3 市政 水、暖、气供应管理、污水处理、城市轨道交通、智慧城市运行及管理等 4 金融 证券、期货、银行、保险和信托等金融单位的运营、交易、支付清算、网上银行等 5 能源 电力 省级以上电能量计量、广域相量测量、电网动态预警、调度交易计划、通信设备网管、通信资源管理、调度生产管理等；省院（或甲级资质）及以上设计单位电力设计管理等；发电厂及变电站自动化、电力负荷控制管

21、理、机组控制、调度和监控等；电力监管单位电力生产、电力传输、电力配送、电力管理等 6 石油石化 油气开采、炼化加工、油气输送、油气存储等 7 煤炭 煤炭开采（生产监控、矿井地下监控）、煤化工等 8 交通 铁路 列车调度指挥、列车调度集中、列车运行监控、运输调度管理、客票发售与预定、牵引供电等 9 民航 空运交通管控、机场安检、航班信息集成、订票、离港及飞行调度检查安排、航空公司运营、空管生产控制、指挥调度、航班运行控制等 10 公路运输 公路交通管控、智能交通、公路联网收费管理等 11 水运 水运公司运营（含客运、货运）、港口管理运营、航运交通管控等 12 水利 水利枢纽运行及管控、长距离输水

22、管控、城市水源地管控、水灾害防御、水资源管理、防汛抗旱指挥等 DB43/T 28452023 9 表 B.1 重要业务参照表（续）序号 行业 举例 13 医疗卫生 医院等卫生机构运行管理、疾病控制、急救中心运行、实验室管理、影像归档和通信、电子病历、互联网医院等；卫生管理机构基层公共卫生服务、基层医疗卫生机构管理、卫生统计网络直报、传染性疾病报告、卫生监督信息报告、突发公共卫生事件应急指挥等跨地市全省联网运行的业务 14 教育 省级教育管理部门考试考务管理与服务、学生学籍管理、学位授予管理等；地市级及以上教育管理部门招生录取管理等；普通高校招生录取管理、科研管理、科研情报、门户网站、论坛/社区

23、类网站、校园一卡通等；重点中学招生录取管理等 15 广电 地市级及以上广播/电视中心、有线电视平台、网络广播电视台、互联网视听节目服务机构等的制作、播出、发布、播控、互动点播、宽带、调度控制、运营支撑、网站等 16 工业生产 企业运营管理、智能制造（工业互联网、物联网、智能装备等）、危化品生产加工和存储管控（化学、核等）、高风险工业设施运行管控、装备化工制造、食品药品等行业领域科研生产等 17 互联网 用户量 1000 万及以上或日均访问量超过 10 万人次或日交易量 1000 万元及以上的即时通信、网上购物、网上支付、搜索引擎、直播、电子邮件、论坛、地图、音视频等网络服务；获得湖南省互联网新

24、闻信息服务许可的互联网站、应用程序、论坛、博客、网络直播等 18 上述情形以外的其他重要业务 DB43/T 2845202310 附 录 C（规范性）重要信息系统识别登记表 重要信息系统识别登记表见表 C.1。表 C.1 重要信息系统识别登记表 信息系统运营者 单位名称 单位地址 省（自治区、直辖市）地（区、市、州、盟）县（区、市）路 号 隶属关系 中央 省（自治区、直辖市）地（区、市、州、盟）县（区、市、旗）其他 单位类型 党政机关 事业单位 企业 其他 行业领域 公共通信和信息服务 电子政务 市政 金融 能源 交通 水利 医疗卫生 教育 广电 工业生产 互联网 其他 网络安全责任人 手机号

25、码 座机号码 网络安全联系人 手机号码 座机号码 信息系统名称 信息系统描述 信息系统 情况介绍 基本情况 1.系统类别为（可多选）：传统信息系统（不含 APP）传统信息系统（含 APP）云计算 移动互联 物联网 工业控制 大数据 其它_ 2.系统主要用户有_ 系统用户数量有_ 用户分布范围：全球 全国 全省 本地区 本单位 其它_ 3.系统部署方式：本地部署 政务云部署 公有云部署 托管部署 混合模式部署 其他_ 4.系统访问类型：互联网开放访问 电子政务外网开放访问 内部局域网访问 专网访问 其他_ 5.系统和网络边界情况：互联网边界 上联边界 下联边界 外联边界，外联单位有_ 系统边界，

26、对接系统有_ 6.软件开发形式：自主软件开发 外包软件开发 基于成熟产品定制开发 上级统一下发 购买成熟产品 7.运行维护情况：自行维护 外包单位维护 开发单位驻场维护 开发单位远程维护 DB43/T 28452023 11 表 C.1 重要信息系统识别登记表（续）信息系统 情况介绍数据情况 1.数据内容：系统承载有哪些数据_ 2.数据载体：结构化数据库 大数据平台 数据湖 其他_ 3.数据来源：单位内部 单位外部共享 社会公众 4.业务数据产生途径：业务采集 互联网抓取 搜集分析 外购 APP 收集 网站收集 人工导入 国内共享 其他_ 5.数据备份：无备份 本地备份 异地备份 6.数据加密

27、：数据存储与传输均加密 数据存储与传输均未加密 仅数据存储加密 仅数据传输加密 7.是否已进行数据分类分级：是 否 8.外部数据交换：是否存在与境内单位数据共享：是 否 共享单位及主要共享数据类型：_ 9.是否存在数据出境：是 否 出境对象主体及主要出境数据类型：_ 业务情况 1.承载的主要业务是：_ 2.系统是否需 24 小时运行：是 否 系统中断会造成什么影响：_ 3.可容忍系统中断的时间为：_ 4.一旦发生安全事故，可能造成以下影响:（1）影响单个地市级行政区 及以上人口的工作、生活及政务服务（2）影响 万人及以上用水、用电、用气、用油、取暖、就医或交通出行等（3）造成人员死亡：是 否（

28、4）造成 万元及以上直接经济损失（5）造成其他行业、领域的重大关联性安全风险：是 否（6）危害国家安全、国计民生、经济命脉、社会稳定、公共利益：是 否 个人信息情况 1.是否处理个人信息：是 否 个人信息数据量（概数）：_万条 处理何种个人信息：姓名 出生日期 身份证件号码 个人生物识别信息 住址 通信通讯联系方式 通信记录和内容 账号密码 财产信息 征信信息 行踪轨迹 住宿信息 健康生理信息 交易信息 其他_ 2.个人信息处理方式：采集 存储 传输 使用 提供 公开 删除 销毁 3.是否处理个人敏感信息：是 否 个人敏感信息数据量（概数）：_万条 处理何种个人敏感信息：身份证件号码 个人生物

29、识别信息 银行账户 通信记录和内容 财产信息 征信信息 行踪轨迹 住宿信息 健康生理信息 交易信息 14 岁以下（含）儿童的个人信息 其他_ 4.敏感个人信息处理方式：采集 存储 传输 使用 提供 公开 删除 销毁 网络安全等级保护情况 1.系统是否已明确网络安全等级保护级别：未确定 已确定 二级：S1A2G2 S2A1G2 S2A2G2 三级：S1A3G3 S2A3G3 S3A1G3 S3A2G3 S3A3G3 四级：S1A4G4 S2A4G4 S3A4G4 S4A4G4 S4A3G4 S4A2G4 S4A1G4 2.等级保护级别确定方法：本单位内部自行判断 主管单位定级指导意见 专家评审会

30、判定 DB43/T 2845202312 表 C.1 重要信息系统识别登记表（续）初步识别情况 1.是否承载重要数据：是，系统承载重要数据有哪些：_ 否 2.是否承载重要业务：是，系统承载的重要业务有哪些：_ 否 3.个人信息承载数量是否达到 100 万条：是 否个人敏感信息承载数量是否达到 10 万条：是 否 4.信息系统等级是否达到等级保护三级及以上：是 否 初步识别结果 是否属于重要信息系统：是，识别因素为：承载重要数据 承载重要业务 承载个人信息 等级保护三级及以上信息系统（可多选）否 信息系统运营者签章：年月日 注：如该系统被识别为重要信息系统且等级保护级别是唯一识别因素，请提交信息

31、系统安全等级保护备案证明文件作为该表附件。DB43/T 28452023 13 附 录 D（规范性）重要信息系统识别认定表 重要信息系统识别认定表见表 D.1。表 D.1 重要信息系统识别认定表 基本信息 信息系统运营者 单位名称 网络安全责任人 手机号码 座机号码 网络安全联系人 手机号码 座机号码 信息系统名称 认定结果及依据 认定结果 是否属于重要信息系统：是，识别因素为：承载重要数据 承载重要业务 承载个人信息 等级保护级别三级及以上（可多选）否 认定依据 行业主管或监督管理部门签章：年月日注：认定依据填写示例：示例 1：系统运营单位属于 行业，属于重要信息系统的行业和领域范围内，该系

32、统承载 数据，依据 DB43/T 2845 5.1，该数据为重要数据，应认定为重要信息系统。示例 2：系统运营单位属于 行业，属于重要信息系统的行业和领域范围内，该系统承载 业务，依据 DB43/T 2845 5.2，该业务为重要业务，应认定为重要信息系统。示例 3：系统运营单位属于 行业，属于重要信息系统的行业和领域范围内，该系统承载 万条个人信息，依据 DB43/T 2845 5.3，应认定为重要信息系统。示例 4：系统运营单位属于 行业，属于重要信息系统的行业和领域范围内，该系统属于等级保护三级及以上信息系统，依据 DB43/T 2845 5.4，应认定为重要信息系统。DB43/T 28

33、45202314 附 录 E（规范性）重要信息系统变更申请表 重要信息系统变更申请表见表 E.1。表 E.1 重要信息系统变更申请表 申请单位单位名称网络安全责任人手机号码座机号码网络安全联系人手机号码座机号码信息系统名称变更类型 申请重新认定：重要信息系统承载的重要数据发生重大变化 重要信息系统承载的业务类型发生重大变化 重要信息系统承载的个人信息数量发生重大变化 等级保护级别发生变更 申请信息变更：重要信息系统名称变更 重要信息系统运营者变更 重要信息系统停运变更内容具体描述：变更影响：申请单位签章：年月日行业主管或监督管理部门意见：行业主管或监督管理部门签章：年月日 注 1：当等级保护级

34、别发生变更申请重新认定时，请提交信息系统安全等级保护备案证明文件作为该表附件。注 2：当变更类型为申请信息变更时，无须行业主管或监督管理部门意见及签章。DB43/T 28452023 15 参 考 文 献 1 中华人民共和国网络安全法 2 中华人民共和国密码法 3 中华人民共和国数据安全法 4 中华人民共和国个人信息保护法 5 关键信息基础设施安全保护条例 6 网络安全审查办法 7 湖南省网络安全和信息化条例 8 GB/T 292462017 信息安全管理体系 概述和词汇 9 GB/T 222402020 信息安全技术 网络安全等级保护定级指南 10 GB/T 352732020 信息安全技术 个人信息安全规范 11 GB/T 392042022 信息安全技术 关键信息基础设施安全保护要求 12 GB/Z 209862007 信息安全技术 信息安全事件分类分级指南