为贯彻落实网络强国战略，进一步提升地震部门网络安全管理水平，加快推进地震网络安全工作合规有序开展，依据《中华人民共和国网络安全法》和网络安全等级保护相关政策标准，结合地震部门工作实际制定本指南。本指南提出地震部门网络安全等级保护定级对象分类与防护级别建议，明确了地震部门网络安全等级保护定级、备案、测评、自查和整改等工作程序。

一、编制依据

GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南

GB/T 21063-2007政务信息资源目录体系

GB/T 31167-2014信息安全技术 云计算服务安全指南

GB/Z 24294-2009信息安全技术 基于互联网电子政务信息安全实施指南

GA/T 1389-2017信息安全技术 网络安全等级保护定级指南

二、适用范围

本指南适用于地震部门的非涉密信息系统等级保护定级工作。

本指南定级对象中未涉及的信息系统可参照本指南确定等级保护级别，并按照定级和备案流程开展相关工作。

市县地震部门可参照本指南，结合地方相关工作要求，开展网络安全等级保护相关工作。

三、等级划分

根据国家网络安全等级保护的有关要求和标准，综合考虑地震信息系统遭到破坏后，对地震工作、国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益危害程度等因素，确定地震网络安全等级保护级别划分。综合分析研判地震行业信息系统安全服务和主要数据，确定安全保护等级，具体如下：

第一级，地震信息系统受到破坏，发生数据损坏、丢失、篡改，业务异常、中断等情况，对地震工作或公民、法人和其他组织的合法权益造成一般损害，但不损害国家安全、社会秩序和公共利益。

第二级，地震信息系统受到破坏，发生数据损坏、丢失、篡改，业务异常、中断等情况，对地震工作或公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成一般损害，但不损害国家安全。

第三级，地震信息系统受到破坏，发生数据损坏、丢失、篡改，业务异常、中断等情况，对地震工作或公民、法人和其他组织的合法权益造成特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成一般损害。

第四级，地震信息系统受到破坏，发生数据损坏、丢失、篡改，业务异常、中断等情况，对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，地震信息系统受到破坏，发生数据损坏、丢失、篡改，业务异常、中断等情况，对国家安全造成特别严重损害。

四、定级对象及防护级别建议

作为定级对象的信息系统是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理、服务的系统。

地震信息系统定级对象和级别建议主要分为以下四类：

国家级基础设施类

国家级基础设施指为地震部门相关业务应用提供基础支撑的跨省（区、市）全国性软硬件系统，主要包括基于中国地震台网中心、广东省地震局、第二监测中心等单位的相关设施整合构建的服务地震部门的云平台等。

国家级基础设施类系统定第三级。

（二）公共信息服务类

公共信息服务类主要包括地震部门面向政府、社会、公众提供信息发布、政务公开、行政审批、互动交流、宣传教育等服务的地震信息系统。

国家级门户网站、公共信息服务平台定第三级；局属单位门户网站根据重要程度和受破坏后的危害程度定第二级或第三级，公共信息服务平台定第二级。

（三）政事办公类

政事办公类主要包括地震部门人事、财务、科技、公文、档案、邮件等政事办公信息系统。

国家级邮件系统定第三级，国家级办公系统、财务系统、统计年报系统和资产信息系统等政事系统定第二级；局属单位政事系统定第二级。

（四）业务系统类

业务系统类主要包括地震监测预报、震害防御、应急响应等业务领域承担数据采集、传输、处理、发布、服务等技术活动的信息系统。

国家级业务系统分为实时类业务系统和非实时类业务系统，实时类业务系统定为第三级；非实时类业务系统，应根据系统承载数据的重要程度，定为第二级或第三级。

局属单位原则上将地震监测、地震应急、预测预报等业务系统集成为地震综合业务系统，定为第二级或第三级；地震烈度速报与预警系统定为第三级。

地震部门网络安全等级保护定级推荐表见附件1。

五、定级及备案流程

在中国地震局网络安全和信息化领导小组的统一领导下，中国地震局机关相关内设机构配合中国地震局网信办做好分管业务领域信息系统的等级保护管理工作。中国地震台网中心作为地震部门网络安全工作国家级业务单位，牵头负责地震部门网络安全等级保护工作。局属各单位负责本单位网络安全等级保护工作。

定级工作应在信息系统规划设计阶段完成，与系统建设同步实施，已建成的信息系统要依据本指南进行定级调整。具体工作流程如下。

（一）定级报备及申请

新建信息系统由各单位建设部门、已建成信息系统由各单位运行管理部门向本单位网信办提出定级申请，各单位依据本指南给出的定级建议组织填报等级保护定级报告、备案表和汇总表（见附件2、附件3和附件4），并向中国地震台网中心报备或提出申请。中国地震台网中心运行管理的信息系统定级应向中国地震局网信办报备或提出申请。

（二）定级评审及审批

中国地震台网中心申请定级第一级的信息系统，由中国地震台网中心组织内部专家自行评审；申请定级第二级的信息系统，由中国地震台网中心邀请业务、管理及等级保护领域的专家组成专家组进行评审，并报中国地震局网信办备案；申请定级第三级的信息系统，由中国地震台网中心邀请业务、管理及等级保护领域的专家组成专家组进行评审，并报中国地震局网信办审批。

局属其他单位申请定为第一级的信息系统，由本单位组织评审，并报中国地震台网中心备案；申请定为第二级的信息系统，由本单位邀请业务、管理及等级保护领域的专家组成专家组进行评审，并报中国地震台网中心审批；申请定为第三级的信息系统，由本单位邀请业务、管理及等级保护领域的专家组成专家组进行评审，评审结果报中国地震台网中心复审，中国地震台网中心提出复审意见报中国地震局网信办审批后，由中国地震台网中心将审批意见批复申报单位。

（三）定级备案

完成定级评审和审批后，各单位应当按照公安机关的要求办理备案手续。跨省级行政区域联网的信息系统由运行管理单位向公安部备案；省级区域内的信息系统由运行管理单位向所在地公安部门备案，并向中国地震台网中心报备。

六、等级变更

（一）定级调整

在信息系统的运行过程中，当网络功能、服务范围、服务对象和处理的数据等发生变化，导致与备案情况不一致时，应按照本定级指南对信息系统重新评估后，对其进行定级调整。

备案撤销

信息系统停止使用后，及时向中国地震台网中心报备，并报公安机关办理备案撤销。

七、系统测评、自查与整改

（一）系统测评

信息系统定级备案完成后，应选择《全国网络安全等级保护测评机构推荐目录》中的测评机构开展测评。安全保护等级为第三级的信息系统应当每年至少进行一次测评；安全保护等级为第二级的信息系统应当每两年或三年进行一次测评。

（二）系统自查

各单位要将信息系统自查工作作为网络安全管理重要内容，强化监督检查。所有定级的信息系统，应参照等保测评的相关要求，每年至少进行一次自查，对其安全状况、安全保护制度及措施的落实情况进行检查。

（三）系统整改

各单位信息系统经过测评或自查后，应当针对测评意见和网络安全状况对信息系统进行整改，确保信息系统安全保护符合等级保护合规性要求。