您的位置: 首页 » 法律资料网 » 法律论文 »

中国保险监督管理委员会办公厅


关于开展保险业信息系统安全等级保护定级工作的通知

保监厅发〔2007〕45号


各保监局，各保险公司、保险资产管理公司，中国保险行业协会：

　　为贯彻落实国家信息安全等级保护制度，按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）要求，中国保监会将在保险行业内开展信息系统安全等级保护定级工作。现将有关事项通知如下：

　　一、等级保护定级工作的要求及组织方式

　　各单位应按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求和“自主定级、自主保护”的工作原则，成立相应的领导及实施机构，结合本单位的实际情况，准确开展信息系统等级保护定级工作。

　　保监会成立等级保护定级工作领导小组，统一领导、解决保险行业信息安全等级保护定级工作中的重大问题；保监会等级保护定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。

　　各保监局负责本局内独立运行的信息系统等级保护定级工作，并对各自辖区内的保险公司分支机构的等级保护定级工作进行指导审核。

　　各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。

　　二、定级工作安排及定级范围

　　（一）定级工作安排

　　为稳妥做好等级保护定级工作，拟在保险行业内分步分批实施。

　　保险行业第一批定级单位包括：保监会及各保监局，中国保险行业协会，中国人民保险集团公司、中国人寿保险（集团）公司、中国再保险（集团）公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险（集团）股份有限公司、中国太平洋（集团）股份有限公司及其下属各子公司和分公司。

　　其余公司作为第二批定级单位（具体时间安排另行通知）。

　　（二）定级范围

　　1、保险监管部门监管、办公及网站等重要信息系统；保险公司和中国保险行业协会经营、管理、办公等重要信息系统。（以下简称“重要信息系统”）

　　2、涉及国家秘密的信息系统（以下简称“涉密信息系统”）。

　　三、主要工作步骤

　　第一阶段：自主定级（9月20日前完成）

　　各单位按要求成立相关定级实施机构，对本系统内的重要信息系统和涉密信息系统展开摸底调查，全面掌握信息网络和信息系统的数量、分布、业务类型、系统结构、应用或服务范围等基本情况，按照《信息安全等级保护管理办法》（以下简称“《管理办法》”，附件1）和《信息系统安全等级保护定级指南》（附件2）的要求，确定定级对象并初步确定保护等级，形成定级报告（报告模板见附件3）。

　　涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

　　第二阶段：审核（9月25日前完成）

　　各保监局将各自独立运行的重要信息系统和涉密信息系统的定级报告报保监会审核。

　　各公司对本公司内的重要信息系统和涉密信息系统定级进行统一审核，对跨省联网运行且由公司总部统一确定等级的，由总公司将重要信息系统和涉密信息系统的定级报告报保监会审核 (有集团或控股公司的，由集团或控股公司将定级报告统一报保监会审核)；保险公司分公司将经过总公司审核的，且在分公司独立运行的重要信息系统和涉密系统定级报告报当地保监局审核。

　　保险行业协会将所确定的重要信息系统和涉密信息系统的定级报告报保监会审核。

　　保监会及各保监局在接到定级报告审核文件后，对不符合要求的于5个工作日内要求其改正，审核通过者不再单独答复。

　　第三阶段：备案（9月30日前完成）

　　根据《管理办法》，各单位定级报告通过保监会或保监局审核后，对重要信息系统安全等级确定为二级以上的信息系统应到公安部网站下载《信息系统安全等级保护备案表》（见附件4）和辅助备案工具，并持填写的备案表和利用辅助备案工具生成的备案电子数据文件，到公安机关办理备案手续（保险行业协会确定的信息系统、保险总公司统一定级的跨省联网运营的信息系统，向公安部备案；保险公司分公司将总公司定级的跨省联网在当地运行、应用的分支系统以及在当地分公司独立运行的信息系统，向当地省级公安机关备案）。备案完成后，各级单位将备案证明复印件报相对应的保险监管机构存档。

　　涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定，填写《涉及国家秘密的信息系统分级保护备案表》（见附件5），按照属地化管理原则，将所确定的涉密信息系统，报送相对应的保密部门备案。备案完成后，各级单位将备案证明复印件报相对应的保险监管机构存档。

　　第四阶段：总结工作（10月15日前完成）

　　各单位应对等级保护定级工作进行总结，并报保监会等级保护定级工作领导小组。保监会根据定级工作开展的情况和定级工作报告，总结工作经验，研究并启动第二批等级保护定级工作。

　　

　　联 系 人：李春亮、王晓鹏

　　联系电话：010－66286602

　　

　　附件：1、信息安全等级保护管理办法

　　2、信息安全技术信息系统安全等级保护定级指南

　　3、信息系统安全等级保护定级报告

　　4、信息系统安全等级保护备案表

　　5、涉及国家秘密的信息系统分级保护备案表

　　　　　　　　　　　　　　　　　　　　　　　　二○○七年九月六日
附件1：
信息安全等级保护管理办法
（公通字[2007]43号）
第一章 总则
第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。
第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。
第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条 信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。
第二章 等级划分与保护
第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条 信息系统的安全保护等级分为以下五级：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章 等级保护的实施与管理
第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条 信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。
第十二条 在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术 网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671 -2006）等技术标准同步建设符合该等级要求的信息安全设施。
第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条 信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。
第十五条 已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。
第十六条 办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：
（一）系统拓扑结构及说明；
（二）系统安全组织机构和管理制度；
（三）系统安全保护设施设计实施方案或者改建实施方案；
（四）系统使用的信息安全产品清单及其认证、销售许可证明；
（五）测评后符合系统安全保护等级的技术检测评估报告；
（六）信息系统安全保护等级专家评审意见；
（七）主管部门审核批准信息系统安全保护等级的意见。
第十七条 信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。
第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。
对第五级信息系统，应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门应当对下列事项进行检查：
（一）信息系统安全需求是否发生变化，原定保护等级是否准确；
（二）运营、使用单位安全管理制度、措施的落实情况；
（三）运营、使用单位及其主管部门对信息系统安全状况的检查情况；
（四）系统安全等级测评是否符合要求；
（五）信息安全产品使用是否符合要求；
（六）信息系统安全整改情况；
（七）备案材料与运营、使用单位、信息系统的符合情况；
（八）其他应当进行监督检查的事项。
第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件：
（一）信息系统备案事项变更情况；
（二）安全组织、人员的变动情况；
（三）信息安全管理制度、措施变更情况；
（四）信息系统运行状况记录；
（五）运营、使用单位及主管部门定期对信息系统安全状况的检查记录；
（六）对信息系统开展等级测评的技术测评报告；
（七）信息安全产品使用的变更情况；
（八）信息安全事件应急预案，信息安全事件应急处置结果报告；
（九）信息系统安全建设、整改结果报告。
第二十条 公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求，按照管理规范和技术标准进行整改。整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改情况组织检查。
第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品：
（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；
（二）产品的核心技术、关键部件具有我国自主知识产权；
（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；
（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；
（五）对国家安全、社会秩序、公共利益不构成危害；
（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：
（一）在中华人民共和国境内注册成立（港澳台地区除外）；
（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；
（三）从事相关检测评估工作两年以上，无违法记录；
（四）工作人员仅限于中国公民；
（五）法人及主要业务、技术人员无犯罪记录；
（六）使用的技术装备、设施应当符合本办法对信息安全产品的要求；
（七）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；
（八）对国家安全、社会秩序、公共利益不构成威胁。
第二十三条 从事信息系统安全等级测评的机构，应当履行下列义务：
（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；
（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；
（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。
第四章 涉及国家秘密信息系统的分级保护管理
第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。
第二十五条 涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上，依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统，各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况，及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案，并接受保密部门的监督、检查、指导。
第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准，按照秘密、机密、绝密三级的不同要求，结合系统实际进行方案设计，实施分级保护，其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产品，并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测，通过检测的产品由国家保密局审核发布目录。
第二十九条 涉密信息系统建设使用单位在系统工程实施结束后，应当向保密工作部门提出申请，由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》，对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前，应当按照《涉及国家秘密的信息系统审批管理规定》，向设区的市级以上保密工作部门申请进行系统审批，涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统，其建设使用单位在按照分级保护要求完成系统整改后，应当向保密工作部门备案。
第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时，应当提交以下材料：
（一）系统设计、实施方案及审查论证意见；
（二）系统承建单位资质证明材料；
（三）系统建设和工程监理情况报告；
（四）系统安全保密检测评估报告；
（五）系统安全保密组织机构和管理制度情况；
（六）其他有关材料。
第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时，其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况，决定是否对其重新进行测评和审批。
第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》，加强涉密信息系统运行中的保密管理，定期进行风险评估，消除泄密隐患和漏洞。
第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理，并做好以下工作：
（一）指导、监督和检查分级保护工作的开展；
（二）指导涉密信息系统建设使用单位规范信息定密，合理确定系统保护等级；
（三）参与涉密信息系统分级保护方案论证，指导建设使用单位做好保密设施的同步规划设计；
（四）依法对涉密信息系统集成资质单位进行监督管理；
（五）严格进行系统测评和审批工作，监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况；
（六）加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评，对绝密级信息系统每年至少进行一次保密检查或者系统测评；
（七）了解掌握各级各类涉密信息系统的管理使用情况，及时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级保护的密码管理
第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度，被保护对象的安全防护要求和涉密程度，被保护对象被破坏后的危害程度以及密码使用部门的性质等，确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的，应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条 信息系统安全等级保护中密码的配备、使用和管理等，应当严格执行国家密码管理的有关规定。
第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的，应报经国家密码管理局审批，密码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和相关标准执行；采用密码对不涉及国家秘密的信息和信息系统进行保护的，须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准，其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条 运用密码技术对信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得采用国外引进或者擅自研制的密码产品；未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。
第六章 法律责任
第四十条 第三级以上信息系统运营、使用单位违反本办法规定，有下列行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果：
（一）未按本办法规定备案、审批的；
（二）未按本办法规定落实安全管理制度、措施的；
（三）未按本办法规定开展系统安全状况检查的；
（四）未按本办法规定开展系统安全技术测评的；
（五）接到整改通知后，拒不整改的；
（六）未按本办法规定选择使用信息安全产品和测评机构的；
（七）未按本办法规定如实提供有关文件和证明材料的；
（八）违反保密管理规定的；
（九）违反密码管理规定的；
（十）违反本办法其他规定的。
违反前款规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。
第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分；构成犯罪的，依法追究刑事责任。
第七章 附则
第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级；新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条 本办法所称“以上”包含本数（级）。
第四十四条 本办法自发布之日起施行，《信息安全等级保护管理办法（试行）》（公通字[2006]7号）同时废止。



附件2：


信息安全技术
信息系统安全等级保护定级指南

（报批稿）











全国信息安全标准化技术委员会




前　言
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位：
本标准主要起草人：



引 言
依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括：
——GB/T BBBBB-BBBB信息系统安全等级保护基本要求；
——GB/T CCCCC-CCCC信息系统安全等级保护实施指南；
——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。
本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。





















信息系统安全等级保护定级指南

1 范围
本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。
2 规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。
GB/T 5271.8 信息技术 词汇 第8部分：安全
GB17859-1999 计算机信息系统安全保护等级划分准则
3 术语和定义
GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。
3.1
等级保护对象 target of classified security
信息安全等级保护工作直接作用的具体的信息和信息系统。
3.2
客体object
受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
3.3
客观方面objective
对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。
3.4
系统服务 system service
信息系统为支撑其所承载业务而提供的程序化过程。
4 定级原理
4.1 信息系统安全保护等级
根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
4.2 信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
4.2.1 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面：
a) 公民、法人和其他组织的合法权益；
b) 社会秩序、公共利益；
c) 国家安全。
4.2.2 对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：
a) 造成一般损害；
b) 造成严重损害；
c) 造成特别严重损害。
4.3 定级要素与等级的关系
定级要素与信息系统安全保护等级的关系如表1所示。



表1 定级要素与安全保护等级的关系
受侵害的客体 对客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
5 定级方法
5.1 定级的一般流程
信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下：
a) 确定作为定级对象的信息系统；
b) 确定业务信息安全受到破坏时所侵害的客体；
c) 根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度；
d) 依据表2，得到业务信息安全保护等级；
e) 确定系统服务安全受到破坏时所侵害的客体；
f) 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度；
g) 依据表3，得到系统服务安全保护等级；
h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
上述步骤如图1确定等级一般流程所示。

图1 确定等级一般流程
5.2 确定定级对象
一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
作为定级对象的信息系统应具有如下基本特征：
a) 具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
b) 具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。
c) 承载单一或相对独立的业务应用
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。
5.3 确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面：
- 影响国家政权稳固和国防实力；
- 影响国家统一、民族团结和社会安定；
- 影响国家对外活动中的政治、经济利益；
- 影响国家重要的安全保卫工作；
- 影响国家经济竞争力和科技实力；
- 其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面：
- 影响国家机关社会管理和公共服务的工作秩序；
- 影响各种类型的经济活动秩序；
- 影响各行业的科研、生产秩序；
- 影响公众在法律约束和道德规范下的正常生活秩序等；
- 其他影响社会秩序的事项。
影响公共利益的事项包括以下方面：
- 影响社会成员使用公共设施；
- 影响社会成员获取公开信息资源；
- 影响社会成员接受公共服务等方面；
- 其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。
各行业可根据本行业业务特点，分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系，从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
5.4 确定对客体的侵害程度
5.4.1 侵害的客观方面
在客观方面，对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏，其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后，可能产生以下危害后果：
- 影响行使工作职能；
- 导致业务能力下降；
- 引起法律纠纷；
- 导致财产损失；
- 造成社会不良影响；
- 对其他组织和个人造成损失；
- 其他影响。
5.4.2 综合判定侵害程度
侵害程度是客观方面的不同外在表现的综合体现，因此，应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同，例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定，业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同的判别基准：
- 如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准；
- 如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下：
一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。
严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。
特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。
信息安全和系统服务安全被破坏后对客体的侵害程度，由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同，信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同，各行业可根据本行业信息特点和系统服务特点，制定危害程度的综合评定方法，并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
5.5 确定定级对象的安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2业务信息安全保护等级矩阵表，即可得到业务信息安全保护等级。
表2 业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2系统服务安全保护等级矩阵表，即可得到系统服务安全保护等级。
表3 系统服务安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
6 等级变更
在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应根据本标准第5章给出的定级方法重新定级。
附件3：

信息系统安全等级保护定级报告

一、XXX信息系统描述
简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。
二、XXX信息系统安全保护等级确定
（定级方法参见国家标准《信息系统安全等级保护定级指南》）
（一）业务信息安全保护等级的确定
1、业务信息描述
描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定
说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定
说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。
（二）系统服务安全保护等级的确定
1、系统服务描述
描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定
说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定
说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定
依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
（三）安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。
信息系统名称 安全保护等级 业务信息安全等级 系统服务安全等级
XXX信息系统 X X X

附件4：
备案表编号：




信息系统安全等级保护
备案表












备 案 单 位： （盖章）
备 案 日 期：

受理备案单位： （盖章）
受 理 日 期：

中华人民共和国公安部监制


填　表　说　明

一、 制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作本表；
二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以复印使用；
三、 保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档；
四、 本表中有选择的地方请在选项左侧“0”划“√”，如选择“其他”，请在其后的横线中注明详细内容；
五、 封面中备案表编号（由受理备案的公安机关填写并校验）：分两部分共11位，第一部分6位，为受理备案公安机关代码前六位（可参照行标GA380-2002）。第二部分5位，为受理备案的公安机关给出的备案单位的顺序编号；
六、 封面中备案单位：是指负责运营使用信息系统的法人单位全称；
七、 封面中受理备案单位：是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章；

不分页显示　　　总共2页　　1 [2]

　　下一页

中国人民银行


中国人民银行关于增发1997年三年期凭证式国债有关事项的通知
中国人民银行



中国人民银行各省、自治区、直辖市分行，深圳经济特区分行；各国有独资商业银行、其他商业银行和各城市合作银行：
根据财政部1997年第5号公告，为了做好增发1997年三年期凭证式国债的发行工作，现将有关事项通知如下：
一、发行条件
（一）增发的1997年三年期凭证式国债（以下简称增发国债）采用填制“国库券收款凭证”的方法发行。增发国债期限为三年，年利率9．18％，不计复利，逾期不加计利息。增发国债可以记名、挂失，但不得更名，不上市流通。
（二）增发国债全部面向社会发行，投资者购买时以百元为起点，购买金额超过百元的应按百元的整倍数发售，从购买之日起开始计息。
增发国债一经发行，持券人如需要兑现时可到原购买网点提前兑取本息（含发行期内）。提前兑取本息时，按实际有效持有天数和以下利率档次计付利息：持有时间不满半年的，一律不付息；持有时间满半年不满一年的按年利率5．40％计付利息；满一年不满二年的按年利率7．5
6％计付利息；满二年不满三年的按年利率8．01％计付利息；满三年的按年利率9．18％计付利息。提前兑取的按兑取本金2‰的比例收取手续费。
凡发行期间未售出和提前兑取的增发国债，经办单位仍可在控制指标内继续向社会按面值发售，但这部分国债的持券期限只能从购买日起计算到2000年12月31日止。
（三）增发国债从9月1日开始发行，12月31日截止。任务完成的可提前结束。发行款项按任务总额的一定比例分3次向财政部缴清，分别于9月30日、10月31日、11月28日前（含当日）缴入财政部在中国人民银行的指定帐户（以指定帐户收到款项时间为准），前两次
缴款数额每次不得低于任务数的30％，最高不得超过40％。财政部将按实际交款数额分别从9月1日、10月1日、11月1日开始计息。
（四）增发国债到期时由财政部负责还本付息，具体兑付办法另行下达。
（五）中国工商银行、中国农业银行、中国银行、中国建设银行和交通银行原承担的1997年凭证式国债发行工作，其发行期亦相应延长至12月31日。对于发行期后再次卖出的部分，其计息期也相应调整为：二年期的，从购买之日起最长计算到1999年12月31日止；三年
期的，从购买之日起最长计算到2000年12月31日止；五年期的，从购买之日起最长计算到2002年12月31日止。其余均不作变更。
二、发行方式
（一）增发国债采取包销和代销的方式发行，中国工商银行、中国农业银行、中国银行、中国建设银行为代销，与财政部签定代销协议；其他商业银行和城市合作银行为包销，与财政部签定包销合同。
（二）各银行要认真组织本系统的营业机构进行柜台销售，不得跨系统委托其他机构代销。各管辖行要视各地的发行进度适时调整任务，确保任务的完成。为了切实加强增发国债的监管工作，各银行分支机构须按中国人民银行的统计报表要求，定期向同级人民银行报送本单位销售的数
字。人民银行各分支行要定期对经办单位发售增发国债业务进行检查，监督其不得在规定的额度外超发，如发现有超发国债等违规行为的，应及时上报，并予以严肃处理。
三、凭证印制及调运
（一）对于增发国债所使用的凭证，中国工商银行、中国农业银行、中国银行、中国建设银行和交通银行仍可继续使用原1997年凭证式国债收款单。其他商业银行和城市合作银行按照中国人民银行统一规定的“1997年国库券收款凭证”统一格式（见附件1），自行组织印制。
印刷费按正常业务费用列支。“国债收款凭证”是国债购买者的债权证明，各发售单位必须严格管理，做好备案记录。凭证中所列的各项内容应填写准确、完整。
（二）投资者购券交款时需填写的购买单等凭证，由各银行自行设计印制。
四、发行期内的款项收纳与上划
（一）各商业银行代销和包销的增发国债，属自营业务，应设置相应的会计科目，分别核算发行和提前兑取的增发国债所收、付的款项，其会计核算手续由各行自行制定。不得使用代理发行、兑付国债的有关会计科目。
（二）各银行发售网点所收纳的国债款项应逐级上划至各主管部门，由其主管部门汇总后，按有关规定填制信（电）汇凭证缴入中央总金库。为了便于管理，“用途栏”中应注明本机构代码（见附件3）。
中央总金库户名、帐号如下：
户 名：财政部国债司
开户行：中国人民银行国库司
行 号：10051
帐 号：0215001－9702－3
（三）为了及时掌握发行进度，便于监管，各级银行应建立统计周报制度。在发行期内，各银行应每周向中国人民银行报送其实际发售数额。中国工商银行、中国农业银行、中国银行、中国建设银行和交通银行各分支行仍向同级人民银行报送实际发行额，由人民银行分支行层层汇总后
报送总行；各城市合作银行的实际发售数额由当地人民银行汇总后逐级报至人民银行总行（不并入ＦＡＸ通讯联网）；其他商业银行总行将所辖系统内增发国债实际发行累计数额汇总后直接报送中国人民银行，报送数字采用传真方式。金额报至万元。中国人民银行各省、自治区、直辖市及
深圳、大连、青岛、厦门、宁波市分行和其他商业银行（除国有独资商业银行和城市合作银行外）报送的报表时间为每周三（节假日顺延）8：00－15：30。第一次周报报送日为9月的第一个星期三，即9月3日。最后一次周报报送日为1998年1月的第一个星期三，即1月7日
。原报送五日报的单位从9月份起按上述规定改为周报。
联系电话：
ＦＡＸ通讯：（010）66016645；
传 真：（010）66016442；
电 话：（010）66015522转2758
大连、青岛、厦门、宁波市分行所在省分行要及时将此通知转发四市分行。
（四）中国人民银行应按下达的数额核对各单位上划的款项并报财政部，缴款结束后由财政部颁发确认书。财政部分三次将发行费拨付商业银行的指定帐户，各商业银行应将本系统收纳发行费的开户行、帐号报财政部国债司。
五、发行兑付费的拨付及分配比例
增发国债发行费为实际发行额的6．5‰，其中：各包销、代销机构6．2‰；人民银行系统0．25‰；财政部0．05‰。到期还本付息的兑付费为兑付本金的3‰。承销和代销机构的发行费由财政部在每次收到发行款项后5日内（以拨出时间为准，如遇节假日顺延）拨付各商业
银行。兑付费由财政部在到期时一次拨付各银行。
中国人民银行系统发行费在缴款工作全部结束后，由财政部一次拨付中国人民银行指定帐户。
增发国债的发行费和提前兑取时收取的手续费，主要用于该券种发行中的宣传、凭证调运、会议、培训、购置零星设备以及优秀工作人员的奖励。
六、本通知未尽事宜，各包销和代销机构可视本系统实际情况制定补充规定。
附件：1．一九九 年国库券收款凭证格式
2．1997年凭证式国债买卖计息办法
3．机构缴款代码表

附件1：

××××××银行 分行一九九 年国库券收款凭证
－－－－－－－－－－－－－－－－－－－－－－－－－－
科目：（贷） 199 年 月 日 Ｎｏ．0000000
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
｜ ｜
｜帐号＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿户名＿＿＿＿＿＿＿＿＿＿＿＿ ｜
｜缴款金额 ｜
｜（大写）－－－－－－－－－－－－－－－－－－－＄－－－－－－－ ｜第
｜ ｜一
｜年利率＿＿＿＿％ 计息天数＿＿＿＿天 ｜联
｜－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－｜
｜ ｜ ｜ 兑取日期 年 月 日 ｜备注： ｜经
｜持｜ ｜－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－｜ ｜收
｜单｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜百｜十｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜银
｜人｜ ｜ ｜万｜千｜百｜十｜元｜角｜分｜ 本 息 ｜ ｜ ｜万｜千｜百｜十｜元｜角｜分｜ ｜行
｜印｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜万｜万｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜贷
｜鉴｜ ｜ 利息 ｜－｜－｜－｜－｜－｜－｜－｜ ｜－｜－｜－｜－｜－｜－｜－｜－｜－｜ ｜方
｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ 合 计 ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜传
｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜票
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
兑取时： 复核 出纳 记帐 购买时： 复核 出纳 记帐
8．5×18．7 白纸红字

××××××银行 分行一九九 年国库券收款凭证
－－－－－－－－－－－－－－－－－－－－－－－－－－
199 年 月 日 Ｎｏ．0000000
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
｜ ｜
｜帐号＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿户名＿＿＿＿＿＿＿＿＿＿＿＿ ｜
｜缴款金额 经收行签章 ｜
｜（大写）－－－－－－－－－－－－－－－－－－－＄－－－－－－－ ｜第
｜ ｜二
｜年利率＿＿＿＿％ 计息天数＿＿＿＿天 ｜联
｜－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－｜
｜ ｜ ｜ 兑取日期 年 月 日 ｜备注： ｜给
｜持｜ ｜－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－｜ ｜缴
｜单｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜百｜十｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜款
｜人｜ ｜ ｜万｜千｜百｜十｜元｜角｜分｜ 本 息 ｜ ｜ ｜万｜千｜百｜十｜元｜角｜分｜ ｜人
｜印｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜万｜万｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜
｜鉴｜ ｜ 利息 ｜－｜－｜－｜－｜－｜－｜－｜ ｜－｜－｜－｜－｜－｜－｜－｜－｜－｜ ｜
｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ 合 计 ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜
｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
兑取时： 复核 出纳 记帐 购买时： 复核 出纳 记帐
8．5×18．7 带底纹

××××××银行 分行一九九 年国库券收款凭证
－－－－－－－－－－－－－－－－－－－－－－－－－－
199 年 月 日 Ｎｏ．0000000
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
｜ ｜
｜帐号＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿户名＿＿＿＿＿＿＿＿＿＿＿＿ ｜
｜缴款金额 ｜
｜（大写）－－－－－－－－－－－－－－－－－－－＄－－－－－－－ ｜第
｜ ｜三
｜年利率＿＿＿＿％ 计息天数＿＿＿＿天 ｜联
｜－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－｜
｜ ｜ ｜ 兑取日期 年 月 日 ｜备注： ｜经
｜持｜ ｜－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－｜ ｜收
｜单｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜百｜十｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜银
｜人｜ ｜ ｜万｜千｜百｜十｜元｜角｜分｜ 本 息 ｜ ｜ ｜万｜千｜百｜十｜元｜角｜分｜ ｜行
｜印｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜万｜万｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜留
｜鉴｜ ｜ 利息 ｜－｜－｜－｜－｜－｜－｜－｜ ｜－｜－｜－｜－｜－｜－｜－｜－｜－｜ ｜存
｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ 合 计 ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜
｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜ ｜
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
兑取时： 复核 出纳 记帐 购买时： 复核 出纳 记帐
8．5×18．7 白纸黑字

附件2：

1997年凭证式国债买卖计息办法
一、新增1997年三年期凭证式国债（以下简称增发国债）自1997年9月1日起发行，12月31日结束。
二、增发国债持有期限和年利率：
增发国债自1997年9月1日发行至12月31日止，期限三年，年利率9．18％；逾期不加计利息。凡在发行期内购买的增发国债到期兑付时，银行均按对月对日计息；如1997年9月5日购买的增发国债到2000年9月5日才算期满，按年利率9．18％计付利息。
三、凭证式国债不能更名，不上市流通。如需用款可以随时到原购买银行兑付，但不得部分提前兑付。
对于投资者提前兑取的凭证式国债，其他投资者仍可以到指定银行购买。购买日即为起息日，本期国债2000年12月31日为最后计息日。过期未办理兑付的一律不再加计利息。兑付时按投资人实际有效持有天数及第四条规定办理。
四、提前兑付增发国债的，按实际有效持有天数及相应的利率档次分档计付利息：
（一）持有时间不足半年的不计付利息，手续费从本金中扣除；
（二）持有时间满半年（含半年）不满一年的，按年利率5．40％计付利息；
（三）持有时间满一年（含一年）不满二年的，按年利率7．56％计付利息；
（四）持有时间满二年（含二年）不满三年的，按年利率8．01％计付利息。
五、提前兑取本期国债的，经办银行均按提前兑取国债本金的2‰收取手续费，到期兑付时不再收取手续费。

附件3：

机构缴款代码表
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
｜ 机构名称 ｜机构代码｜ 机构名称 ｜机构代码｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜中国工商银行 ｜1001｜深圳城市合作银行 ｜1031｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜中国农业银行 ｜1002｜郑州城市合作银行 ｜1032｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜中国银行 ｜1003｜重庆城市合作银行 ｜1033｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜中国建设银行 ｜1004｜昆明城市合作银行 ｜1034｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜交通银行 ｜1005｜哈尔滨城市合作银行 ｜1035｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜中信实业银行 ｜1006｜沈阳城市合作银行 ｜1036｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜中国光大银行 ｜1007｜宁波城市合作银行 ｜1037｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜中国投资银行 ｜1008｜厦门城市合作银行 ｜1038｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜华夏银行 ｜1009｜贵阳城市合作银行 ｜1039｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜上海浦东发展银行 ｜1010｜南宁城市合作银行 ｜1040｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜福建兴业银行 ｜1011｜合肥城市合作银行 ｜1041｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜招商银行 ｜1012｜芜湖城市合作银行 ｜1042｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜深圳发展银行 ｜1013｜安庆城市合作银行 ｜1043｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜中国民生银行 ｜1014｜汕头城市合作银行 ｜1044｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜北京城市合作银行 ｜1015｜鞍山城市合作银行 ｜1045｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜上海城市合作银行 ｜1016｜营口城市合作银行 ｜1046｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜南京城市合作银行 ｜1017｜锦州城市合作银行 ｜1047｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜广东发展银行 ｜1020｜辽阳城市合作银行 ｜1048｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜天津城市合作银行 ｜1021｜乐山城市合作银行 ｜1049｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜

｜石家庄城市合作银行 ｜1022｜柳州城市合作银行 ｜1050｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜杭州城市合作银行 ｜1023｜桂林城市合作银行 ｜1051｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜福州城市合作银行 ｜1024｜丹东城市合作银行 ｜1052｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜济南城市合作银行 ｜1025｜抚顺城市合作银行 ｜1053｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜青岛城市合作银行 ｜1026｜南通城市合作银行 ｜1054｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜珠海城市合作银行 ｜1027｜长沙城市合作银行 ｜1055｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜成都城市合作银行 ｜1028｜泉州城市合作银行 ｜1056｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜广州城市合作银行 ｜1029｜马鞍山城市合作银行 ｜1057｜
｜－－－－－－－－－－｜－－－－｜－－－－－－－－－－｜－－－－｜
｜西安城市合作银行 ｜1030｜ ｜ ｜
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－



1997年9月4日