湖南省地方标准—重要信息系统具体范围和识别规则

ICS01.140.20 CCSL7043 湖南省质量和标准化研究院 湖南省地方标准 DB43/T2845—2023 重要信息系统具体范围和识别规则 Specificscopeandidentificationrulesofimportantinformationsystems 2023-11-09发布2024-02-09实施 湖南省市场监督管理局发布 DB43/T2845—2023 湖南省质量和标准化研究院 目次 前言································ ································ ································ ························ Ⅲ 1范围································ ································ ································ ····················· 1 2规范性引用文件································ ································ ································ ······ 1 3术语和定义································ ································ ································ ············ 1 4具体范围································ ································ ································ ··············· 2 5识别因素································ ································ ································ ··············· 3 5.1 承载重要数据································ ································ ································ ··· 3 5.2 承载重要业务································ ································ ································ ··· 3 5.3 承载个人信息································ ································ ································ ··· 3 5.4 等级保护级别································ ································ ································ ··· 3 6识别与认定································································ ································ ············ 3 6.1工作流程································································ ································ ········· 3 6.2运营者开展重要信息系统识别································ ································ ·············· 4 6.3行业主管或监督管理部门认定································ ································ ·············· 4 6.4报送结果································································ ································ ········· 4 7认定变更································································ ································ ··············· 5 附录A（资料性）重要数据参照表································ ································ ················ 6 附录B（资料性）重要业务参照表································ ································ ················ 8 附录C（规范性）重要信息系统识别登记表································ ································ ··10 附录D（规范性）重要信息系统识别认定表································ ································ ··13 附录E（规范性）重要信息系统变更申请表································ ································ ··14 参考文献································································ ································ ·················· 15 I DB43/T2845—2023 II 湖南省质量和标准化研究院 DB43/T2845—2023 湖南省质量和标准化研究院 前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中共湖南省委网络安全和信息化委员会办公室提出并归口。 本文件起草单位：中共湖南省委网络安全和信息化委员会办公室、中共长沙市委网络安全和信息化委员会办公室、湖南省金盾信息安全等级保护评估中心有限公司。 本文件主要起草人：刘学、郭天保、刘志勇、周小尧、周海毅、刘艳军、周明熙、张钰、方木、邓庭波、罗晓燕、邓焕姿、王琼、王丰、刘兰芳、熊璐、杨新宇、谭健、尹海兵。 III DB43/T2845—2023 IV 湖南省质量和标准化研究院 湖南省质量和标准化研究院 重要信息系统具体范围和识别规则 1范围 本文件规定了重要信息系统识别的具体范围、识别因素、识别认定流程和认定变更等内容。本文件适用于开展重要信息系统的识别和认定。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T35273—2020信息安全技术个人信息安全规范 GB/T39204—2022信息安全技术关键信息基础设施安全保护要求 3术语和定义 下列术语和定义适用于本文件。 3.1 信息系统运营者Operatorsofinformationsystem 信息系统的所有者、管理者。 3.2 关键信息基础设施Criticalinformationinfrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业 和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。 [来源：GB/T39204—2022，3.1] 3.3 重要数据Importantdata 一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、 公共健康和安全等的数据。 3.4 重要业务Importantbusiness 由行业主管或监督管理部门认定的，涉及国家安全、国计民生、经济命脉、社会稳定、公共利益的业务。 3.5 个人信息Personalinformation 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。 [来源：GB/T35273—2020，3.1] 湖南省质量和标准化研究院 注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。 注3：关于个人信息的判定方法和类型参见GB/T35273附录A。 3.6 个人敏感信息Personalsensitiveinformation 一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧 视性待遇等的个人信息。 [来源：GB/T35273—2020，3.2] 注1：个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。 注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，如一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的，属于个人敏感信息。 注3：关于个人敏感信息的判定方法和类型参见GB/T35273附录B。 3.7 重要信息系统Importantinformationsystem 公共通信和信息服务、电子政务、市政、金融、能源、交通、水利、医疗卫生、教育、广电、工业 生产、互联网等重要行业和领域中，满足承载重要数据、承载重要业务、承载一定量级个人信息、等级保护级别三级及以上条件之一，且未列入关键信息基础设施的信息系统。 3.8 重要信息系统运营者Operatorsofimportantinformationsystem 重要信息系统的所有者、管理者。 4具体范围 重要信息系统的行业和领域范围如下： a）公共通信和信息服务，包括电信网、广播电视网、互联网等信息网络，以及云计算、大数据和其他大型公共信息网络服务； b）电子政务，包括地市级及以上直接承担管理国家公共事务、社会事务的各级行政机关等；c）市政，包括供水、供气、供暖、城市轨道交通、智慧城市等； d）金融，包括银行、证券、期货、保险和信托等；e）能源，包括煤炭、石油石化、天然气、电力等；f）交通，包括铁路、民航、公路运输、水运等； g）水利，包括水利枢纽运行及管控、长距离输水管控、城市水源地管控、水灾害防御、水资源管理等； h）医疗卫生，包括医疗卫生机构、疾控中心、医院等；i）教育，包括中高等院校、培训教育机构等； j）广电，包括广播电台、电视台、有线网络、通讯社等； k）工业生