DB43/T 2845-2023 重要信息系统具体范围和识别规则

ICS01.140.20

CCSL70

43

湖南省地方标准

DB43/T2845—2023

重要信息系统具体范围和识别规则

Specificscopeandidentificationrulesof

importantinformationsystems

2023-11-09发布2024-02-09实施

湖南省市场监督管理局发布

DB43/T2845—2023

目次

前言························································································································Ⅲ

1范围·····················································································································1

2规范性引用文件······································································································1

3术语和定义············································································································1

4具体范围···············································································································2

5识别因素···············································································································3

5.1承载重要数据···································································································3

5.2承载重要业务···································································································3

5.3承载个人信息···································································································3

5.4等级保护级别···································································································3

6识别与认定············································································································3

6.1工作流程·········································································································3

6.2运营者开展重要信息系统识别··············································································4

6.3行业主管或监督管理部门认定··············································································4

6.4报送结果·········································································································4

7认定变更···············································································································5

附录A（资料性）重要数据参照表················································································6

附录B（资料性）重要业务参照表················································································8

附录C（规范性）重要信息系统识别登记表··································································10

附录D（规范性）重要信息系统识别认定表··································································13

附录E（规范性）重要信息系统变更申请表··································································14

参考文献··················································································································15

I

DB43/T2845—2023

II

DB43/T2845—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规

定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中共湖南省委网络安全和信息化委员会办公室提出并归口。

本文件起草单位：中共湖南省委网络安全和信息化委员会办公室、中共长沙市委网络安全和信息化

委员会办公室、湖南省金盾信息安全等级保护评估中心有限公司。

本文件主要起草人：刘学、郭天保、刘志勇、周小尧、周海毅、刘艳军、周明熙、张钰、方木、邓

庭波、罗晓燕、邓焕姿、王琼、王丰、刘兰芳、熊璐、杨新宇、谭健、尹海兵。

III

DB43/T2845—2023

IV

DB43/T2845—2023

重要信息系统具体范围和识别规则

1范围

本文件规定了重要信息系统识别的具体范围、识别因素、识别认定流程和认定变更等内容。

本文件适用于开展重要信息系统的识别和认定。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T35273—2020信息安全技术个人信息安全规范

GB/T39204—2022信息安全技术关键信息基础设施安全保护要求

3术语和定义

下列术语和定义适用于本文件。

3.1

信息系统运营者Operatorsofinformationsystem

信息系统的所有者、管理者。

3.2

关键信息基础设施Criticalinformationinfrastructure

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业

和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共

利益的重要网络设施、信息系统等。

[来源：GB/T39204—2022，3.1]

3.3

重要数据Importantdata

一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、

公共健康和安全等的数据。

3.4

重要业务Importantbusiness

由行业主管或监督管理部门认定的，涉及国家安全、国计民生、经济命脉、社会稳定、公共利益的

业务。

3.5

个人信息Personalinformation

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然

人活动情况的各种信息。

1

DB43/T2845—2023

[来源：GB/T35273—2020，3.1]

注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和

内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或

者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。

注3：关于个人信息的判定方法和类型参见GB/T35273附录A。

3.6

个人敏感信息Personalsensitiveinformation

一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧

视性待遇等的个人信息。

[来源：GB/T35273—2020，3.2]

注1：个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、

行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。

注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，如一旦泄露、非法提供或滥用可能危害人

身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的，属于个人敏感信息。

注3：关于个人敏感信息的判定方法和类型参见GB/T35273附录B。

3.7

重要信息系统Importantinformationsystem

公共通信和信息服务、电子政务、市政、金融、能源、交通、水利、医疗卫生、教育、广电、工业

生产、互联网等重要行业和领域中，满足承载重要数据、承载重要业务、承载一定量级个人信息、等级

保护级别三级及以上条件之一，且未列入关键信息基础设施的信息系统。

3.8

重要信息系统运营者Operatorsofimportantinformationsystem

重要信息系统的所有者、管理者。

4具体范围

重要信息系统的行业和领域范围如下：

a）公共通信和信息服务，包括电信网、广播电视网、互联网等信息网络，以及云计算、大数据和

其他大型公共信息网络服务；

b）电子政务，包括地市级及以上直接承担管理国家公共事务、社会事务的各级行政机关等；

c）市政，包括供水、供气、供暖、城市轨道交通、智慧城市等；

d）金融，包括银行、证券、期货、保险和信托等；

e）能源，包括煤炭、石油石化、天然气、电力等；

f）交通，包括铁路、民航、公路运输、水运等；

g）水利，包括水利枢纽运行及管控、长距离输水管控、城市水源地管控、水灾害防御、水资源管

理等；

h）医疗卫生，包括医疗卫生机构、疾控中心、医院等；

i）教育，包括中高等院校、培训教育机构等；

j）广电，包括广播电台、电视台、有线网络、通讯社等；

k）工业生产，包括核能、航天、航空、船舶、兵器、电子、钢铁、有色、化工、装备制造、烟草

等；

2

DB43/T2845—2023

l）互联网应用，包括即时通信、网上购物、网上支付、搜索引擎、直播、电子邮件、论坛、地图、

音视频、新闻发布等；

m）法律法规规定的其他行业和领域。

5识别因素

5.1承载重要数据

承载重要数据，重要数据识别应按照国家和行业相关法规标准执行。

注：重要数据参照表见附录A。

5.2承载重要业务

承载重要业务，一旦遭到破坏、丧失功能，可能造成以下影响之一的：

a）影响单个地市级行政区20％及以上人口的工作、生活及政务服务；

b）影响5万人及以上用水、用电、用气、用油、取暖、就医或交通出行等；

c）造成人员死亡；

d）造成500万元及以上的直接经济损失；

e）造成其他行业、领域的重大关联性安全风险；

f）危害国家安全、国计民生、经济命脉、社会稳定、公共利益。

注：重要业务参照表见附录B。

5.3承载个人信息

承载个人信息，符合以下条件之一的：

a）采集、存储或处理100万条及以上个人信息；

b）采集、存储或处理10万条及以上个人敏感信息。

5.4等级保护级别

网络安全保护等级确定为第三级及以上的。

6识别与认定

6.1工作流程

重要信息系统识别认定工作流程见图1所示。

3

DB43/T2845—2023

开始

运营者开展重要信息系统识别

运营者报送初步识别结果

行业主管或监督管理部门认定

否

是否认定为重要信息系统

是

报送结果

结束

图1重要信息系统识别认定流程图