财政部、国家税务总局关于印发《关于执行〈企业会计制度〉和相关会计准则有关问题解答(三)》的通知
作者:法律资料网 时间:2024-07-11 06:31:02 浏览:9091
来源:法律资料网
财政部、国家税务总局关于印发《关于执行〈企业会计制度〉和相关会计准则有关问题解答(三)》的通知
财政部、国家税务总局
关于印发《关于执行〈企业会计制度〉和相关会计准则有关问题解答(三)》的通知
颁布单位 财政部 国家税务总局
颁布日期 2003-08-22
文 号 财会(2003)29 号
类 别 会计管理
附件:
关于执行《企业会计制度》和相关会计准则问题解答(三)
近年来,随着《企业会计制度》及相关会计准则(以下简称“会计制度及相关准则”)的陆续发布实施,有关会计要素的确认和计量原则发生了一些变化;同时,国家税收政策改革过程中,根据市场经济的发展和企业的现实情况也对企业所得税法规作出了一些调整。由此,使得会计制度及相关准则中就收益、费用和损失的确认、计量标准与企业所得税法规的规定产生了某些差异。对于因会计制度及相关准则就有关收益、费用或损失的确认、计量标准与税法规定的差异,其处理原则为:企业在会计核算时,应当按照会计制度及相关准则的规定对各项会计要素进行确认、计量、记录和报告,按照会计制度及相关准则规定的确认、计量标准与税法不一致的,不得调整会计账簿记录和会计报表相关项目的金额。企业在计算当期应交所得税时,应在按照会计制度及相关准则计算的利润总额(即,“利润表”中的“利润总额”,下同)的基础上,加上(或减去)会计制度及相关准则与税法规定就某项收益、费用或损失确认和计量等的差异后,调整为应纳税所得额,并据以计算当期应交所得税。
由于会计与税收的目的不同,对某项收益、费用和损失的确认、计量标准与税法的规定会存在一定的差异,但如果差异过大,会增加纳税人进行纳税调整的成本。为此,经协调,国家税务总局最近下发了《关于执行〈企业会计制度〉需要明确的有关所得税问题的通知》(国税发[2003]45号),对贯彻执行《企业会计制度》需要调整的若干所得税政策作了进一步明确。现就企业执行会计制度及相关准则,并结合国税发[2003]45号文件中涉及的有关问题,对下列交易或事项的会计处理与税法规定的差异所涉及的企业所得税纳税调整事宜解答如下(下列各项解答仅为就某一交易或事项有关会计处理及其涉及的所得税纳税调整事项的说明,不包括除该交易或事项以外的其他所得税纳税调整事项):
一、问:企业对外捐赠资产在计算所得税时应如何进行会计处理及进行纳税调整?
答:按照会计制度及相关准则规定,企业将自产、委托加工的产成品和外购的商品、原材料、固定资产、无形资产和有价证券等用于捐赠,应将捐赠资产的账面价值及应交纳的流转税等相关税费,作为营业外支出处理;按照税法规定,企业将自产、委托加工的产成品和外购的商品、原材料、固定资产、无形资产和有价证券等用于捐赠,应分解为按公允价值视同对外销售和捐赠两项业务进行所得税处理,即税法规定企业对外捐赠资产应视同销售计算交纳流转税及所得税。捐赠行为所发生的支出除符合税法规定的公益救济性捐赠,可在按应纳税所得额的一定比例范围内税前扣除外,其他捐赠支出一律不得在税前扣除。
(一)企业对外捐赠资产的会计处理
企业在将自产、委托加工的产成品和外购的商品、原材料、固定资产、无形资产和有价证券等用于捐赠时,应按捐出资产的账面价值及涉及的应交增值税、消费税等相关税费(不含所得税,下同),借记“营业外支出”科目,按捐出资产已计提的减值准备,借记有关资产减值准备科目,按捐出资产的账面余额,贷记“原材料”、“库存商品”、“无形资产”等科目,按捐出资产涉及的应交增值税、消费税等相关税费,贷记“应交税金”等科目。涉及捐出固定资产的,应首先通过“固定资产清理”科目,对捐出固定资产的账面价值、发生的清理费用及应交纳的相关税费等进行核算,再将“固定资产清理”科目的余额转入“营业外支出”科目。
企业对捐出资产已计提了减值准备的,在捐出资产时,应同时结转已计提的资产减值准备。
(二)纳税调整及相关所得税的会计处理
1.纳税调整金额的计算
因会计制度及相关准则与税法规定就捐赠资产应计入损益的金额不同而产生的差异为永久性差异,无论是按应付税款法还是按纳税影响会计法核算所得税的企业,均应按照当期应交的所得税确认为当期的所得税费用。企业在计算捐赠当期的应纳税所得额时,应在按照会计制度及相关准则计算的利润总额的基础上,加上按以下公式计算的因捐赠事项产生的纳税调整金额:
因捐赠事项产生的纳税调整金额={按税法规定认定的捐出资产的公允价值-[按税法规定确定的捐出资产的成本(或原价)-按税法规定已计提的累计折旧(或累计摊销额)]-捐赠过程中发生的清理费用及缴纳的可从应纳税所得额中扣除的除所得税以外的相关税费}+因捐赠事项按会计规定计入当期营业外支出的金额-税法规定允许税前扣除的公益救济性捐赠金额
企业在按照会计制度及相关准则计算的利润总额的基础上加上按照上述公式计算的纳税调整金额,即为当期应纳税所得额。
2.计算当期应交所得税和确认当期所得税费用有关的会计处理
企业应按当期应纳税所得额与现行所得税税率计算的应交所得税金额,确认为当期所得税费用及当期应交所得税,借记“所得税”科目,贷记“应交税金-应交所得税”科目。
二、问:企业接受捐赠资产应如何进行会计处理及进行纳税调整?
答:按照会计制度及相关准则规定,企业接受捐赠取得的资产,应按会计制度及相关准则的规定确定其入账价值。同时,企业按税法规定确定的接受捐赠资产的入账价值在扣除应交纳的所得税后,计入资本公积,即对接受捐赠的资产,不确认收入,不计入企业接受捐赠当期的利润总额;按照税法规定,企业接受捐赠的资产,应将按税法规定确定的入账价值确认为捐赠收入,并入当期应纳税所得额,计算缴纳企业所得税。企业取得的非货币性资产捐赠收入金额较大,并入一个纳税年度缴税确有困难的,经主管税务机关审核确认,可以在不超过5年的期间内均匀计入各年度应纳税所得额。
上述“接受捐赠资产按税法规定确定的入账价值”是指根据有关凭据等确定的、应计入应纳税所得额的接受捐赠非货币性资产的价值和由捐赠企业代为支付的增值税进项税额,不含按会计制度及相关准则规定应计入受赠资产成本的由受赠企业另外支付或应付的相关税费;如接受捐赠的资产为货币性资产,则指实际收到的金额。“接受捐赠资产按会计制度及相关准则规定确定的入账价值”是指按会计制度及相关准则规定计入受赠资产成本的金额,包括接受捐赠非货币性资产的价值(不含可抵扣的增值税进项税额)和因接受捐赠资产另外支付的构成受赠资产成本的相关税费;如接受捐赠的资产为货币性资产,则指实际收到的金额。这里的货币性资产指现金、银行存款及其他货币资金,除货币性资产以外的资产为非货币性资产。
(一)企业接受捐赠资产的会计处理
企业接受捐赠资产按税法规定确定的入账价值,应通过“待转资产价值”科目核算。企业应在“待转资产价值”科目下设置“接受捐赠货币性资产价值”和“接受捐赠非货币性资产价值”两个明细科目。
企业取得的货币性资产捐赠,应按实际取得的金额,借记“现金”或“银行存款”等科目,贷记“待转资产价值-接受捐赠货币性资产价值”科目;企业取得的非货币性资产捐赠,应按会计制度及相关准则规定确定入账价值,借记“库存商品”、“固定资产”、“无形资产”、“长期股权投资”等科目,一般纳税人如涉及可抵扣的增值税进项税额的,按可抵扣的增值税进项税额,借记“应交税金-应交增值税(进项税额)”科目,按接受捐赠资产按税法规定确定的入账价值,贷记“待转资产价值-接受捐赠非货币性资产价值”科目,按企业因接受捐赠资产支付或应付的金额,贷记“银行存款”、“应交税金”等科目。
(二)纳税调整及相关所得税的会计处理
1.纳税调整金额的计算
企业应在当期利润总额的基础上,加上因接受捐赠资产产生的应计入当期应纳税所得额的接受捐赠资产按税法规定确定的入账价值或是经主管税务机关审核确认当期应计入应纳税所得额的待转捐赠非货币性资产价值部分,计算出当期应纳税所得额。
2.计算当期应交所得税和确认当期所得税费用有关的会计处理
企业在计算当期应交所得税和所得税费用时,应按以下规定进行会计处理:
(1)如果接受捐赠资产按税法规定确定的入账价值全部计入当期应纳税所得额的,企业应按已记入“待转资产价值”科目的账面余额,借记“待转资产价值-接受捐赠货币性资产价值(或接受捐赠非货币性资产价值)”科目,按接受捐赠资产按税法规定确定的入账价值与现行所得税税率计算的应交所得税,或接受捐赠资产按税法规定确定的入账价值在抵减当期亏损后(包括企业以前年度发生的尚在税法规定允许抵扣期间内的亏损,下同)的余额与现行所得税税率计算的应交所得税,贷记“应交税金-应交所得税”科目,按其差额,贷记“资本公积-其他资本公积(或接受捐赠非现金资产准备)”科目。
执行本问题解答后,取消“资本公积”科目的“接受现金捐赠”明细科目,并将“资本公积-接受现金捐赠”明细科目的余额全部转入“其他资本公积”明细科目。
(2)如果企业接受捐赠的非货币性资产金额较大,经批准可以在不超过5年的期间内分期平均计入各年度应纳税所得额的,各期计算交纳所得税时,企业应按经主管税务机关审核确认当期应计入应纳税所得额的待转捐赠非货币性资产价值部分,借记“待转资产价值”科目,按当期计入应纳税所得额的待转捐赠非货币性资产价值与现行所得税税率计算的应交所得税,或按当期计入应纳税所得额的待转捐赠非货币性资产价值在抵减当期亏损后的余额与现行所得税税率计算的应交所得税金额,贷记“应交税金-应交所得税”科目,按其差额,贷记“资本公积-接受捐赠非现金资产准备”科目。
三、问:企业发生的销售退回涉及的所得税应如何进行会计处理和纳税调整?
答:按照会计制度及相关准则规定,企业销售商品发生的销售退回,其相关的收入、成本等一般应直接冲减退回当期的销售收入和销售成本等。属于资产负债表日后事项涉及的报告年度所属期间的销售退回,应当作为资产负债表日后调整事项,调整报告年度相关的收入、成本等;按照税法规定,企业发生的销售退回,只要购货方提供退货的适当证明,可冲减退货当期的销售收入。企业年终申报纳税汇算清缴前发生的属于资产负债表日后事项的销售退回,所涉及的应纳税所得额的调整,应作为报告年度的纳税调整。企业年度申报纳税汇算清缴后发生的属于资产负债表日后事项的销售退回所涉及的应纳税所得额的调整,应作为本年度的纳税调整。除属于资产负债表日后事项的销售退回,可能因发生于报告年度申报纳税汇算清缴后,相应产生会计与税法对销售退回相关的收入、成本等确认时间不同以外,对于其他的销售退回,会计制度及相关准则的规定与税法规定是一致的。
上述“报告年度”是指上年度。例如,某上市公司2002年度的财务报告经董事会批准于2003年3月25日报出,则这里的报告年度为2002年度,下同;上述“本年度”是指报告年度的下一个年度,如本例中的“本年度”是指2003年度。
因资产负债表日后销售退回可能涉及报告年度申报纳税汇算清缴前或申报纳税汇算清缴后,企业对资产负债表日后至财务报告批准报出日之间发生的销售退回,其所涉及的会计处理及对所得税的影响应分别以下情况处理:
(一)资产负债表日后事项中涉及报告年度所属期间的销售退回发生于报告年度所得税汇算清缴之前,则应按资产负债表日后有关调整事项的会计处理方法,调整报告年度会计报表相关的收入、成本等,并相应调整报告年度的应纳税所得额,以及报告年度应交的所得税。
企业应按应冲减的收入,借记“以前年度损益调整(调整主营业务收入或其他业务收入)”科目,按可冲回的增值税销项税额,借记“应交税金-应交增值税(销项税额)”科目,按应退回或已退回的价款,贷记“应收账款”或“银行存款”等科目;按退回商品的成本,借记“库存商品”等科目,贷记“以前年度损益调整(调整主营业务成本或其他业务支出)”科目;按应调整的消费税等其他相关税费,借记“应交税金”等科目,贷记“以前年度损益调整(调整相关的税金及附加)”科目;如涉及到调整应交所得税和所得税费用的,还应借记“应交税金-应交所得税”科目,贷记“以前年度损益调整(调整所得税费用)”科目。经上述调整后,将“以前年度损益调整”科目的余额转入“利润分配-未分配利润”科目,借记“利润分配-未分配利润”科目,贷记“以前年度损益调整”科目。
(二)资产负债表日后事项中涉及报告年度所属期间的销售退回发生于报告年度所得税汇算清缴之后,但在报告年度财务报告批准报出日之前,按照会计制度及相关准则的规定,虽然销售退回发生于报告年度所得税汇算清缴之后,但由于报告年度财务报告尚未批准报出,仍然属于资产负债表日后事项,其销售退回仍应作为资产负债表日后调整事项进行账务处理,并调整报告年度会计报表相关的收入、成本等;按照税法规定在此期间的销售退回所涉及的应交所得税的调整应作为本年度的纳税调整事项。
1.对于报告年度所得税费用的计量应当根据企业采用的所得税会计处理方法分别确定:
(1)企业采用应付税款法核算所得税的,对于报告年度所得税汇算清缴后至报告年度财务报告批准报出日之间发生的属于报告年度销售退回的所得税影响,不调整报告年度的所得税费用和应交所得税。
(2)企业采用纳税影响会计法核算所得税的,应按照可调整本年度应纳税所得额、属于报告年度的销售退回对报告年度利润总额的影响数与现行所得税税率计算的金额,借记“递延税款”科目,贷记“以前年度损益调整(调整所得税费用)”科目。即,报告年度所得税汇算清缴以后至报告年度财务报告批准报出日之间发生的属于报告年度销售退回的所得税影响,应相应调整报告年度会计报表的所得税费用。
2.所得税汇算清缴以后发生的属于资产负债表日后事项的销售退回对本年度所得税费用计量的影响,应视所采用的所得税会计处理方法分别确定:
(1)企业采用应付税款法核算所得税的,在计算本年度应纳税所得额时,应按本年度实现的利润总额,减去报告年度所得税汇算清缴后至报告年度财务报告批准报出日之间发生的销售退回影响的报告年度利润总额的金额,作为本年度应纳税所得额,并按本年度应交的所得税,确认本年度所得税费用。
(2)企业采用纳税影响会计法核算所得税的,在计算本年度应纳税所得额和应交所得税时,应同时转回因报告年度所得税汇算清缴后至报告年度财务报告批准报出日之间发生的属于报告年度的销售退回相应确认的递延税款金额。企业应按本年度实现的利润总额,减去报告年度所得税汇算清缴后至报告年度财务报告批准报出日之间发生的销售退回影响的报告年度利润总额的金额,作为本年度应纳税所得额,并按应纳税所得额和现行所得税税率计算的应交所得税,确认为本年度应交的所得税。企业应按本年度应交所得税加上本年度转回的报告年度销售退回已确认的递延税款借方金额,确认为当期所得税费用,同时转回有关的递延税款。
例如,某股份有限公司2002年度的财务报告于2003年4月20日经董事会批准对外报出,2002年度的所得税汇算清缴于2003年2月15日完成。2003年4月5日发生2002年度销售的商品退回,因该公司2002年度所得税汇算清缴已经结束,按照税法规定该部分销售退回应减少的应纳税所得额在2003年度所得税汇算清缴时与2003年度的其他应纳税所得额一并计算,但在对外提供2002年度财务报告时,按会计制度及相关准则的规定,该部分销售退回应当调整2002年度会计报表相关的收入、成本、利润等。
四、问:企业提取和转回的各项资产减值准备应如何进行纳税调整?
答:企业在正常经营过程中,涉及的各项资产的减值准备应按以下规定进行纳税调整:
(一)提取减值准备当期的处理
按照会计制度及相关准则的规定,企业应当定期或者至少于每年年度终了,对各项资产进行全面检查,并根据谨慎性原则的要求,合理地预计各项资产可能发生的损失,对可能发生的各项资产损失计提资产减值准备。包括:坏账准备、短期投资跌价准备、存货跌价准备、长期投资减值准备、固定资产减值准备、在建工程减值准备、无形资产减值准备和委托贷款减值准备等,提取的各项资产减值准备计入当期损益,在计算当期利润总额时扣除;按照税法规定,企业所得税前允许扣除的项目,原则上必须遵循真实发生的据实扣除原则,除国家税收规定外,企业根据财务会计制度等规定提取的任何形式的准备金(包括资产准备、风险准备等)不得在企业所得税前扣除。
1.纳税调整金额的计算
因会计制度及相关准则规定应计提各项资产减值准备的期间与税法规定允许在计算应纳税所得额时扣除的各项资产损失的期间不同而产生的差异,作为可抵减时间性差异。在计算当期应纳税所得额时,企业应在按照会计制度及相关准则规定计算的当期利润总额的基础上,加上按照税法规定不允许从当期应纳税所得额中扣除但按会计制度及相关准则规定计入计提当期损益的各项资产减值准备金额,调整为当期应纳税所得额。
2.计算当期应交所得税和确认当期所得税费用有关的会计处理
企业应按当期应纳税所得额和现行所得税税率计算的金额确认为当期应交的所得税。在确认当期的所得税费用时,应当视企业采用的所得税会计处理方法分别确定:
(1)企业采用应付税款法核算所得税的,应按照当期应交的所得税确认为当期的所得税费用,借记“所得税”科目,贷记“应交税金-应交所得税”科目。
(2)企业采用纳税影响会计法核算所得税的,按会计制度及相关准则要求计提的各项资产减值准备不允许在计算应纳税所得额时扣除的部分,应作为可抵减时间性差异,并确认为递延税款的借方。企业应按当期因计提各项资产减值准备产生的可抵减时间性差异和现行所得税税率计算的金额,借记“递延税款”科目,按当期应交所得税与确认的递延税款借方金额的差额,借记“所得税”科目,按当期应交的所得税,贷记“应交税金-应交所得税”科目。
(二)计提减值准备后资产的折旧或摊销额差异的处理
按照会计制度及相关准则的规定,固定资产、无形资产计提减值准备后,应当按照计提减值准备后的账面价值及尚可使用寿命或尚可使用年限(含预计净残值等的变更,下同)重新计算确定折旧率、折旧额或摊销额;按照税法规定,企业已提取减值准备的固定资产、无形资产,如果申报纳税时已调增应纳税所得额,可按提取减值准备前的账面价值确定可扣除的折旧额或摊销额。
1.纳税调整金额的计算
因固定资产、无形资产计提减值准备后重新确定的折旧额或摊销额影响当期利润总额的金额,与可在应纳税所得额中抵扣的折旧额或摊销额的差额,应当从企业的利润总额中减去或加上后,计算出企业当期应纳税所得额。
2.计算当期应交所得税和确认当期所得税费用有关的会计处理
企业应按当期应纳税所得额和现行所得税税率计算的金额确认为当期应交的所得税。企业在确认当期的所得税费用时,应视所采用的所得税会计处理方法分别确定:
(1)企业采用应付税款法核算所得税的,应按照当期应交的所得税确认为当期的所得税费用,借记“所得税”科目,贷记“应交税金-应交所得税”科目。
(2)企业采用纳税影响会计法核算所得税的,应按当期应交所得税加上或减去因计提各项资产减值准备后计入当期利润总额的折旧额或摊销额,与按税法规定在计算应纳税所得额时可以抵扣的折旧额或摊销额的差异的所得税影响金额,借记“所得税”科目,按计提各项资产减值准备后计入当期利润总额的折旧额或摊销额与按税法规定在计算应纳税所得额时可以抵扣的折旧额或摊销额之间差异的所得税影响金额,贷记或借记“递延税款”科目,按当期应交的所得税,贷记“应交税金-应交所得税”科目。
(三)已计提减值准备的资产价值恢复的处理
如果已计提减值准备的各项资产价值得以恢复,因资产价值恢复而转回的各项资产减值准备,按照会计制度及相关准则的规定应计入当期损益,并增加企业的利润总额;按照税法规定,企业已提取减值、跌价或坏账准备的资产,如果在纳税申报时已调增应纳税所得额,因价值恢复而转回的减值准备应允许企业进行纳税调整,即原计提减值准备时已调增应纳税所得额的部分,在价值恢复时,因价值恢复而增加当期利润总额的金额,不计入恢复当期的应纳税所得额。
1.纳税调整金额的计算
对于已计提减值准备的各项资产因价值恢复产生的纳税调整金额为价值恢复当期按照会计制度及相关准则规定计入损益的金额。
2.计算当期应交所得税和确认当期所得税费用有关的会计处理
企业在确认当期所得税费用时,应视所采用的所得税会计处理方法分别确定:
(1)企业采用应付税款法核算所得税的,应按照当期实现的利润总额减去因资产价值恢复而转回计入损益的各项资产减值准备后计算的当期应纳税所得额,与现行所得税税率计算的应交所得税,确认当期的所得税费用和应交所得税,借记“所得税”科目,贷记“应交税金-应交所得税”科目。
(2)企业采用纳税影响会计法核算所得税的,按照当期应交所得税和当期转回的各项资产减值准备的所得税影响金额合计数,借记“所得税”科目,按照当期实现的利润总额减去转回计入损益的各项资产减值准备金额确定的当期应纳税所得额及现行所得税税率计算的应交所得税,贷记“应交税金-应交所得税”科目,按当期转回的各项资产减值准备的所得税影响金额,贷记“递延税款”科目。
因资产减值准备转回而调整固定资产、无形资产账面价值,按会计制度规定按尚可使用寿命或尚可使用年限重新确定的折旧额和摊销额,与按照税法规定按提取减值准备前的账面价值确定的折旧额和摊销额之间的差额,其纳税调整及相关会计处理应比照上述有关提取减值准备后的资产折旧、摊销的方法处理。
(四)处置已计提减值准备的资产的处理
企业处置已计提减值准备的各项资产,按照会计制度及相关准则规定确定的处置损益计入当期损益,其计算公式如下:
处置资产计入利润总额的金额=处置收入-[按会计规定确定的资产成本(或原价)-按会计规定计提的累计折旧(或累计摊销额)-处置资产已计提的减值准备余额]-处置过程中发生的按会计规定计入损益的相关税费(不含所得税)
按照税法规定,企业已提取减值、跌价或坏账准备的资产,如果申报纳税时已调增应纳税所得额,转让处置有关资产而转回的减值准备应允许企业进行纳税调整,即转回的准备部分不计入应纳税所得额,其计算公式如下:
处置资产计入应纳税所得额的金额=处置收入-[按税法规定确定的资产成本(或原价)-按税法规定计提的累计折旧(或累计摊销额)]-处置过程中发生的按税法规定可扣除的相关税费(不含所得税)
1.纳税调整金额的计算
因上述按会计制度及相关准则规定计算的在处置已计提减值准备的各项资产时计入利润总额的损益,与按税法规定计算的应计入应纳税所得额之间的差额应按以下公式计算:
因处置已计提减值准备的各项资产产生的纳税调整金额=处置资产计入应纳税所得额的金额-处置资产计入利润总额的金额
2.计算当期应交所得税和确认当期所得税费用有关的会计处理
企业在确认当期所得税费用时,应视所采用的所得税会计处理方法分别确定:
(1)企业按应付税款法核算所得税的,应在按会计制度及相关准则确定的利润总额的基础上加上按上述规定计算的因处置已计提减值准备的各项资产产生的纳税调整金额,如处置的为固定资产或无形资产,还应加上(或减去)处置当期按会计制度及相关准则规定确定的折旧额或摊销额等影响当期利润总额的金额与按税法规定确定的折旧额或摊销额等的差额,计算出当期应纳税所得额,并按当期应纳税所得额与现行所得税税率计算的当期应交所得税,借记“所得税”科目,贷记“应交税金-应交所得税”科目。
(2)企业采用纳税影响会计法核算所得税的,应在按会计制度及相关准则确定的利润总额的基础上加上按上述规定计算的纳税调整金额,如处置的为固定资产或无形资产,还应加上(或减去)处置当期按会计制度及相关准则规定确定的折旧额或摊销额等影响当期利润总额的金额与按税法规定确定的折旧额或摊销额等的差额,计算出当期应纳税所得额,并按当期应纳税所得额与现行所得税税率计算出当期应交所得税。按当期应交所得税加上(或减去)因处置有关资产而转回的递延税款,借记“所得税”科目,按当期因处置有关资产而转回的递延税款金额,贷记或借记“递延税款”科目,按当期应交的所得税,贷记“应交税金-应交所得税”科目。
因处置已计提减值准备的各项资产而转回的资产减值准备,按照税法规定可以纳税调整的部分,以及按会计制度及相关准则规定计提的折旧或摊销额等与按税法规定在计算应纳税所得额时允许抵扣的折旧额或摊销额等的差额,其所得税费用的确认及相关的纳税调整应比照上述转回各项资产减值准备、因计提资产减值准备产生的折旧额或摊销额等的所得税影响的相关规定进行处理。
(五)属于资产负债表日后事项的资产减值准备的处理
企业在年度资产负债表日至财务报告批准报出日之间发生的涉及资产减值准备的调整事项,如发生于报告年度所得税汇算清缴之前,应按上述规定调整报告年度的应交所得税;如发生于报告年度所得税汇算清缴之后,应将与资产减值准备有关的事项产生的纳税调整金额,作为本年度的纳税调整事项,相应调整本年度应交所得税,相关的会计处理按照会计制度及相关准则有关资产负债表日后事项的规定办理。
五、问:对于发生永久性或实质性损害的资产应如何进行会计处理及进行纳税调整?
答:企业对于发生永久性或实质性损害的资产,应按以下规定进行会计处理和纳税调整:
按照《企业会计制度》第五十四条第二款、第五十九条、第六十条规定,企业如判断某项资产发生永久性或实质性损害,应当将其账面价值直接计入当期损益(含按其账面价值计提的减值准备计入当期损益);按照税法规定,企业的各项资产当有确凿证据表明已发生永久或实质性损害时,扣除变价收入、可收回金额及责任和保险赔偿后,应确认为财产损失。对于发生永久性或实质性损害的资产,会计处理与税收规定就变价收入、责任和保险赔偿的核算是一致的,其主要差别在于因会计制度及相关准则与税法规定不同而产生的发生永久性或实质性损害资产账面价值、折旧额或摊销额的差异(含因发生永久性或实质性损害的资产由于以前期间计提减值准备及因此而产生的折旧或摊销额的差异),以及会计制度和相关准则与税法规定就此项损失计入利润总额和应纳税所得额的时间不同,导致在发生永久性或实质性损害的当期计入利润总额和应纳税所得额的金额不同。
(一)纳税调整金额的计算
经税务机关确认可从应纳税所得额中扣除的永久性或实质性损害的资产价值,与按照会计制度及相关准则规定确认应计入当期损益的永久性或实质性损害的资产价值的差额应进行纳税调整。其纳税调整金额应按以下公式计算:
因永久性或实质性损失资产产生的纳税调整金额=发生永久性或实质性损失的资产变价净收入+责任和保险赔偿-[按税法规定确定的资产成本(或原价)-按税法规定计提的累计折旧(或累计摊销额)]+按会计规定计入当期损益的永久性或实质性损失的资产价值
(二)计算当期应交所得税及确认当期所得税费用有关的会计处理
企业在确认当期所得税费用时,应视所采用的所得税会计处理方法分别确定:
1.企业采用应付税款法核算所得税的,应在当期利润总额的基础上加上按上述公式计算的纳税调整金额计算当期应纳税所得额,并按当期应纳税所得额与现行所得税税率计算的当期应交所得税,借记“所得税”科目,贷记“应交税金-应交所得税”科目。
2.企业采用纳税影响会计法核算所得税的,应在当期利润总额的基础上加上按上述公式计算的纳税调整金额计算出当期应纳税所得额,并按当期应纳税所得额与现行所得税税率计算当期应交的所得税。企业应当按照当期应交所得税加上或减去因资产发生永久性或实质性损害而应转回的相关递延税款的借方或贷方金额,借记“所得税”科目,按照应纳税所得额与现行所得税税率计算的当期应交所得税金额,贷记“应交税金-应交所得税”科目,按照当期转回的时间性差异的所得税影响金额,贷记或借记“递延税款”科目。
六、问:企业为减资等目的回购本公司股票,如何进行会计处理及纳税调整?
答:按照《企业会计制度》规定,企业为减资等目的,在公开市场上回购本公司股票,属于所有者权益变化,回购价格与所对应股本之间的差额不计入损益;税法规定,企业为减资等目的回购本公司股票,回购价格与发行价格之间的差额,属于企业权益的增减变化,不属于资产转让损益,不得从应纳税所得额中扣除,也不计入应纳税所得额。对企业为减资等目的回购本公司股票,会计处理与税法规定一致,无须进行纳税调整。
企业回购本公司股票相关的会计处理为:企业应按回购股份的面值,借记“股本”科目,按股票发行时原记入资本公积的溢价部分,借记“资本公积-股本溢价”科目,回购价格超过上述“股本”及“资本公积-股本溢价”科目的部分,应依次借记“盈余公积”、“利润分配-未分配利润”等科目,按实际支付的购买价款,贷记“银行存款”等科目;如回购价格低于回购股份所对应的股本,则应按回购股份的面值,借记“股本”科目,按实际回购价格,贷记“银行存款”科目,按其差额,贷记“资本公积-其他资本公积”科目。
七、问:企业发给停止实物分房以前参加工作未享受福利分房待遇的无房老职工的一次性住房补贴资金,如何进行会计处理及纳税调整?
答:企业发给停止实物分房以前参加工作未享受福利分房待遇的无房老职工的一次性住房补贴资金的会计处理应按《财政部关于印发〈企业住房制度改革中有关会计处理问题的规定〉的通知》(财会[2001]5号)执行。按照该规定,企业发给停止实物分房以前参加工作未享受福利分房待遇的无房老职工的一次性住房补贴资金不影响发放当期损益,在计算利润总额时,不予扣除。按照税法规定,企业发给停止实物分房以前参加工作的未享受福利分房待遇的无房老职工的一次性住房补贴资金,省级人民政府未规定标准的,由省一级国税局、地税局参照其他省份及有关部门标准协商确定。即,企业发给停止实物分房以前参加工作的未享受福利分房待遇的无房老职工的一次性住房补贴资金,符合国家规定标准的部分可在计算应纳税所得额时扣除。另外,按照国税发[2001]39号文件的规定,企业按省级人民政府规定发给停止实物分房以前参加工作的未享受过福利分房待遇的无房老职工的一次性住房补贴资金,经税务机关审核可在不少于3年的期间内均匀扣除。
(一)对于发放给无房老职工的一次性住房补贴按税法规定允许在发放当期按国家规定的标准自应纳税所得额中扣除的,在计算应纳税所得额时,应在按照会计制度及相关准则规定计算的利润总额的基础上扣除按国家规定的标准发放的一次性住房补贴后确定的应纳税所得额,并按当期应纳税所得额与现行所得税税率计算的应交所得税金额,确认当期所得税费用。
(二)对于发放给无房老职工的一次性住房补贴金额较大,经税务机关审核可在不少于3年的期间内均匀扣除的,每个会计期末,应在按照会计制度及相关准则确定的当期利润总额的基础上,减去按国家规定发放的一次性住房补贴中按税法规定可在当期扣除的金额作为当期应纳税所得额,并按当期应纳税所得额与现行所得税税率计算的应交所得税金额,确认为当期所得税费用。
八、问:企业对按权益法核算的长期股权投资所产生的股权投资差额及处置长期股权投资损益应如何进行会计处理及纳税调整?
答:企业对于按权益法核算的长期股权投资应按以下规定进行会计处理及纳税调整:
(一)会计制度及相关准则规定与税法规定的差异
对于长期股权投资的处理,会计制度及相关准则规定与税法规定的主要差异在于:
1.企业以非货币性交易取得的长期股权投资,按会计制度及相关准则规定与税法规定确定的初始投资成本不同。按照会计制度及相关准则规定,以非货币性交易取得的长期股权投资,应以换出资产的账面价值及应交纳的相关税费作为取得的长期股权投资的初始投资成本。按照税法规定,企业以经营活动的部分非货币性资产对外投资,应在投资交易发生时,将其分解为按公允价值销售有关非货币性资产和投资两项经济业务进行所得税处理,并按规定计算确认资产转让所得或损失。
2.对于按权益法核算的长期股权投资产生的股权投资差额的处理不同。企业对取得的长期股权投资按权益法核算时,按照会计制度及相关准则规定,对于长期股权投资的初始投资成本大于应享有被投资单位所有者权益份额之间的差额,应作为股权投资差额处理,并按一定的期间摊销计入损益。对于长期股权投资的初始投资成本小于应享有被投资单位所有者权益份额的差额,在调整长期股权投资成本的同时,作为资本公积处理,不计入损益;按照税法规定,企业为取得另一企业的股权支付的全部代价,属股权投资支出,不得计入投资企业的当期费用,不论长期股权投资支出大于或小于应享有被投资单位所有者权益份额之间的差额,均不得通过折旧或摊销方式分期计入投资企业的费用或收益。即,税法规定不确认任何由于长期股权投资的公允价值与按持股比例计算的占被投资单位所有者权益份额不同而产生的股权投资差额。按权益法核算的长期股权投资,其产生的股权投资差额的借方余额,在按会计制度及相关准则规定分期摊销,抵减投资收益时,在计算应纳税所得额时不允许扣除。按权益法核算的长期股权投资,其投资成本小于应享有被投资单位所有者权益份额之间的差额,也不计入应纳税所得额。
对于被投资企业由于接受捐赠等原因而引起的资本公积的增减变动,按照会计制度及相关准则规定,投资企业按持股比例计算的份额,相应增加本企业的资本公积,不确认损益。按照税法规定,对于被投资企业资本公积的增减变动,不增加投资企业的应纳税所得额。因此,对于投资企业享有的被投资企业资本公积的增减变动,会计处理与税收规定不存在差异。对于企业在处置长期股权投资时,按税法规定确定的长期股权投资的成本与按会计制度及相关准则确定的处置时长期股权投资的账面价值的差异,应按本问题解答中有关处置长期股权投资有关的纳税调整规定执行。
(二)纳税调整金额的计算
1.股权投资差额摊销产生的纳税调整金额
对于按权益法核算的长期股权投资按会计制度及相关准则规定产生的股权投资差额的借方余额,分期摊销抵减投资收益与税法规定在计算应纳税所得额时不允许扣除的差异,应作为时间性差异,企业应视所采用的所得税会计处理方法分别确定。
企业持有的长期股权投资,在股权投资差额的借方余额按会计制度及相关准则摊销期间,应在按会计制度及相关准则规定计算的利润总额的基础上加上当期按会计制度及相关准则规定对股权投资差额借方余额摊销时计入投资收益的金额,作为当期应纳税所得额,即纳税调整金额为当期按会计制度及相关准则规定计入损益的股权投资差额的摊销金额。
2.处置长期股权投资时的纳税调整金额
企业在处置长期股权投资当期,应按以下规定确定纳税调整金额:
按税法规定应计入当期应纳税所得额的处置损益=长期股权投资处置净收入-按税法规定确定的被处置长期股权投资的账面余额
按会计制度及相关准则规定计入当期损益的处置损益=长期股权投资处置净收入-按会计规定确定的处置时长期股权投资的账面价值
纳税调整金额=按税法规定应计入当期应纳税所得额的处置损益-按会计制度及相关准则规定计入当期损益的处置损益
(三)计算当期应交所得税及确认当期所得税费用有关的会计处理
1.持有长期股权投资期间计算应交所得税和所得税费用的会计处理
企业在持有按权益法核算的长期股权投资期间,对于股权投资差额借方余额按会计制度及相关准则进行的摊销,应视所采用的所得税会计处理方法分别确定:
(1)企业采用应付税款法核算所得税的,应按上述规定在按会计制度及相关准则规定计算的利润总额的基础上加上当期股权投资差额借方余额的摊销金额,计算出当期应纳税所得额,并按当期应纳税所得额与现行所得税税率计算的应交所得税金额,借记“所得税”科目,贷记“应交税金-应交所得税”科目。
(2)企业采用纳税影响会计法核算所得税的,应按当期应交所得税与当期股权投资差额摊销的所得税影响金额之差作为当期的所得税费用,借记“所得税”科目,按当期股权投资差额借方余额摊销的所得税影响,借记“递延税款”科目,按会计制度及相关准则规定计算的利润总额加上当期股权投资差额借方余额的摊销金额计算的当期应纳税所得额与现行所得税税率计算的当期应交所得税,贷记“应交税金-应交所得税”科目。
2.处置长期股权投资当期计算当期应交所得税和所得税费用的会计处理
企业在处置所持有的长期股权投资当期,应视所采用的所得税会计处理方法的不同,分别确定:
(1)企业按应付税款法核算所得税的,应按会计制度及相关准则确定的利润总额的基础上加上按上述规定计算的因处置长期股权投资产生的纳税调整金额,计算出当期应纳税所得额,并按当期应纳税所得额与现行所得税税率计算的当期应交所得税,借记“所得税”科目,贷记“应交税金-应交所得税”科目。
(2)企业采用纳税影响会计法核算所得税的,应在按会计制度及相关准则确定的利润总额的基础上加上按上述规定计算的纳税调整金额,计算出当期应纳税所得额,并按当期应纳税所得额与现行所得税税率计算出当期应交所得税。按当期应交所得税加上或减去当期转回的时间性差异的所得税影响金额,借记“所得税”科目,按当期转回的时间性差异的所得税影响金额,贷记或借记“递延税款”科目,按当期应交的所得税,贷记“应交税金-应交所得税”科目。
九、其他有关问题
(一)本规定适用于行《企业会计制度》及相关准则的企业所涉及上述交易或事项的会计处理及相关纳税调整;对于未执行《企业会计制度》和相关准则的企业,在涉及本问题解答中相关事项的会计处理及纳税调整时,应比照本问题解答的规定办理。
企业对涉及到本问题解答中的有关交易或事项,应按《企业会计制度》及相关准则和本问题解答中规定的原则确认所得税费用和应交所得税金额。如果报告年度的所得税汇算清缴发生于报告年度财务报告批准报出日之前,对于所得税汇算清缴时涉及的需调整报告年度所得税费用的,应通过“以前年度损益调整”科目进行会计核算并调整报告年度会计报表相关项目;如果报告年度所得税汇算清缴发生于报告年度财务报告批准报出日之后,对于所得税汇算清缴时涉及的需调整报告年度所得税费用的,应通过“以前年度损益调整”科目进行核算并相应调整本年度会计报表相关项目的年初数。
(二)企业采用纳税影响会计法核算所得税的,在产生可抵减时间性差异并需确认递延税款借方金额时,应当遵循谨慎性原则,合理预计在可抵减时间性差异转回期间内(一般为3年)是否有足够的应纳税所得额予以抵减。如果在转回可抵减时间性差异的期间内有足够的应纳税所得额予以抵减的,则可确认递延税款借方金额,否则,应于产生可抵减时间性差异的当期确认为当期所得税费用。
(三)在本问题解答发布并实施之后,现行会计制度及相关准则中对相关问题的规定与本问题解答不一致的,按本问题解答的规定执行。
中华人民共和国主席令(六届第35号)
全国人民代表大会常务委员会
中华人民共和国主席令(六届第35号)
根据中华人民共和国第六届全国人民代表大会常务委员会第十四次会议1986年1月20日的决定:
一、任命司马义·艾买提为国家民族事务委员会主任。
免去杨静仁的国家民族事务委员会主任职务。
二、任命艾知生为广播电影电视部部长。
免去艾知生的广播电视部部长职务。
中华人民共和国主席 李先念
1986年1月20日
关于开展保险业信息系统安全等级保护定级工作的通知
中国保险监督管理委员会办公厅
关于开展保险业信息系统安全等级保护定级工作的通知
保监厅发〔2007〕45号
各保监局,各保险公司、保险资产管理公司,中国保险行业协会:
为贯彻落实国家信息安全等级保护制度,按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)要求,中国保监会将在保险行业内开展信息系统安全等级保护定级工作。现将有关事项通知如下:
一、等级保护定级工作的要求及组织方式
各单位应按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求和“自主定级、自主保护”的工作原则,成立相应的领导及实施机构,结合本单位的实际情况,准确开展信息系统等级保护定级工作。
保监会成立等级保护定级工作领导小组,统一领导、解决保险行业信息安全等级保护定级工作中的重大问题;保监会等级保护定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。
各保监局负责本局内独立运行的信息系统等级保护定级工作,并对各自辖区内的保险公司分支机构的等级保护定级工作进行指导审核。
各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。
二、定级工作安排及定级范围
(一)定级工作安排
为稳妥做好等级保护定级工作,拟在保险行业内分步分批实施。
保险行业第一批定级单位包括:保监会及各保监局,中国保险行业协会,中国人民保险集团公司、中国人寿保险(集团)公司、中国再保险(集团)公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险(集团)股份有限公司、中国太平洋(集团)股份有限公司及其下属各子公司和分公司。
其余公司作为第二批定级单位(具体时间安排另行通知)。
(二)定级范围
1、保险监管部门监管、办公及网站等重要信息系统;保险公司和中国保险行业协会经营、管理、办公等重要信息系统。(以下简称“重要信息系统”)
2、涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
三、主要工作步骤
第一阶段:自主定级(9月20日前完成)
各单位按要求成立相关定级实施机构,对本系统内的重要信息系统和涉密信息系统展开摸底调查,全面掌握信息网络和信息系统的数量、分布、业务类型、系统结构、应用或服务范围等基本情况,按照《信息安全等级保护管理办法》(以下简称“《管理办法》”,附件1)和《信息系统安全等级保护定级指南》(附件2)的要求,确定定级对象并初步确定保护等级,形成定级报告(报告模板见附件3)。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
第二阶段:审核(9月25日前完成)
各保监局将各自独立运行的重要信息系统和涉密信息系统的定级报告报保监会审核。
各公司对本公司内的重要信息系统和涉密信息系统定级进行统一审核,对跨省联网运行且由公司总部统一确定等级的,由总公司将重要信息系统和涉密信息系统的定级报告报保监会审核 (有集团或控股公司的,由集团或控股公司将定级报告统一报保监会审核);保险公司分公司将经过总公司审核的,且在分公司独立运行的重要信息系统和涉密系统定级报告报当地保监局审核。
保险行业协会将所确定的重要信息系统和涉密信息系统的定级报告报保监会审核。
保监会及各保监局在接到定级报告审核文件后,对不符合要求的于5个工作日内要求其改正,审核通过者不再单独答复。
第三阶段:备案(9月30日前完成)
根据《管理办法》,各单位定级报告通过保监会或保监局审核后,对重要信息系统安全等级确定为二级以上的信息系统应到公安部网站下载《信息系统安全等级保护备案表》(见附件4)和辅助备案工具,并持填写的备案表和利用辅助备案工具生成的备案电子数据文件,到公安机关办理备案手续(保险行业协会确定的信息系统、保险总公司统一定级的跨省联网运营的信息系统,向公安部备案;保险公司分公司将总公司定级的跨省联网在当地运行、应用的分支系统以及在当地分公司独立运行的信息系统,向当地省级公安机关备案)。备案完成后,各级单位将备案证明复印件报相对应的保险监管机构存档。
涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(见附件5),按照属地化管理原则,将所确定的涉密信息系统,报送相对应的保密部门备案。备案完成后,各级单位将备案证明复印件报相对应的保险监管机构存档。
第四阶段:总结工作(10月15日前完成)
各单位应对等级保护定级工作进行总结,并报保监会等级保护定级工作领导小组。保监会根据定级工作开展的情况和定级工作报告,总结工作经验,研究并启动第二批等级保护定级工作。
联 系 人:李春亮、王晓鹏
联系电话:010-66286602
附件:1、信息安全等级保护管理办法
2、信息安全技术信息系统安全等级保护定级指南
3、信息系统安全等级保护定级报告
4、信息系统安全等级保护备案表
5、涉及国家秘密的信息系统分级保护备案表
二○○七年九月六日
附件1:
信息安全等级保护管理办法
(公通字[2007]43号)
第一章 总则
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条 信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章 等级划分与保护
第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条 信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章 等级保护的实施与管理
第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
第十二条 在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671 -2006)等技术标准同步建设符合该等级要求的信息安全设施。
第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第十六条 办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条 信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门应当对下列事项进行检查:
(一)信息系统安全需求是否发生变化,原定保护等级是否准确;
(二)运营、使用单位安全管理制度、措施的落实情况;
(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四)系统安全等级测评是否符合要求;
(五)信息安全产品使用是否符合要求;
(六)信息系统安全整改情况;
(七)备案材料与运营、使用单位、信息系统的符合情况;
(八)其他应当进行监督检查的事项。
第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:
(一)信息系统备案事项变更情况;
(二)安全组织、人员的变动情况;
(三)信息安全管理制度、措施变更情况;
(四)信息系统运行状况记录;
(五)运营、使用单位及主管部门定期对信息系统安全状况的检查记录;
(六)对信息系统开展等级测评的技术测评报告;
(七)信息安全产品使用的变更情况;
(八)信息安全事件应急预案,信息安全事件应急处置结果报告;
(九)信息系统安全建设、整改结果报告。
第二十条 公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)从事相关检测评估工作两年以上,无违法记录;
(四)工作人员仅限于中国公民;
(五)法人及主要业务、技术人员无犯罪记录;
(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁。
第二十三条 从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第四章 涉及国家秘密信息系统的分级保护管理
第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。
第二十五条 涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条 涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。
第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。
第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。
第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级保护的密码管理
第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条 信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条 运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。
第六章 法律责任
第四十条 第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一)未按本办法规定备案、审批的;
(二)未按本办法规定落实安全管理制度、措施的;
(三)未按本办法规定开展系统安全状况检查的;
(四)未按本办法规定开展系统安全技术测评的;
(五)接到整改通知后,拒不整改的;
(六)未按本办法规定选择使用信息安全产品和测评机构的;
(七)未按本办法规定如实提供有关文件和证明材料的;
(八)违反保密管理规定的;
(九)违反密码管理规定的;
(十)违反本办法其他规定的。
违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。
第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第七章 附则
第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条 本办法所称“以上”包含本数(级)。
第四十四条 本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7号)同时废止。
附件2:
信息安全技术
信息系统安全等级保护定级指南
(报批稿)
全国信息安全标准化技术委员会
前 言
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:
本标准主要起草人:
引 言
依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:
——GB/T BBBBB-BBBB信息系统安全等级保护基本要求;
——GB/T CCCCC-CCCC信息系统安全等级保护实施指南;
——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。
本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
信息系统安全等级保护定级指南
1 范围
本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2 规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术 词汇 第8部分:安全
GB17859-1999 计算机信息系统安全保护等级划分准则
3 术语和定义
GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。
3.1
等级保护对象 target of classified security
信息安全等级保护工作直接作用的具体的信息和信息系统。
3.2
客体object
受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
3.3
客观方面objective
对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
3.4
系统服务 system service
信息系统为支撑其所承载业务而提供的程序化过程。
4 定级原理
4.1 信息系统安全保护等级
根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
4.2 信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
4.2.1 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a) 公民、法人和其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全。
4.2.2 对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a) 造成一般损害;
b) 造成严重损害;
c) 造成特别严重损害。
4.3 定级要素与等级的关系
定级要素与信息系统安全保护等级的关系如表1所示。
表1 定级要素与安全保护等级的关系
受侵害的客体 对客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
5 定级方法
5.1 定级的一般流程
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:
a) 确定作为定级对象的信息系统;
b) 确定业务信息安全受到破坏时所侵害的客体;
c) 根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
d) 依据表2,得到业务信息安全保护等级;
e) 确定系统服务安全受到破坏时所侵害的客体;
f) 根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
g) 依据表3,得到系统服务安全保护等级;
h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
上述步骤如图1确定等级一般流程所示。
图1 确定等级一般流程
5.2 确定定级对象
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
作为定级对象的信息系统应具有如下基本特征:
a) 具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
b) 具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
c) 承载单一或相对独立的业务应用
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
5.3 确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面:
- 影响国家政权稳固和国防实力;
- 影响国家统一、民族团结和社会安定;
- 影响国家对外活动中的政治、经济利益;
- 影响国家重要的安全保卫工作;
- 影响国家经济竞争力和科技实力;
- 其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:
- 影响国家机关社会管理和公共服务的工作秩序;
- 影响各种类型的经济活动秩序;
- 影响各行业的科研、生产秩序;
- 影响公众在法律约束和道德规范下的正常生活秩序等;
- 其他影响社会秩序的事项。
影响公共利益的事项包括以下方面:
- 影响社会成员使用公共设施;
- 影响社会成员获取公开信息资源;
- 影响社会成员接受公共服务等方面;
- 其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
5.4 确定对客体的侵害程度
5.4.1 侵害的客观方面
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后,可能产生以下危害后果:
- 影响行使工作职能;
- 导致业务能力下降;
- 引起法律纠纷;
- 导致财产损失;
- 造成社会不良影响;
- 对其他组织和个人造成损失;
- 其他影响。
5.4.2 综合判定侵害程度
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:
- 如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
- 如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下:
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
5.5 确定定级对象的安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。
表2 业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。
表3 系统服务安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
6 等级变更
在信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应根据本标准第5章给出的定级方法重新定级。
附件3:
信息系统安全等级保护定级报告
一、XXX信息系统描述
简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、XXX信息系统安全保护等级确定
(定级方法参见国家标准《信息系统安全等级保护定级指南》)
(一)业务信息安全保护等级的确定
1、业务信息描述
描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定
说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定
说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全保护等级的确定
1、系统服务描述
描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定
说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定
说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定
依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。
信息系统名称 安全保护等级 业务信息安全等级 系统服务安全等级
XXX信息系统 X X X
附件4:
备案表编号:
信息系统安全等级保护
备案表
备 案 单 位: (盖章)
备 案 日 期:
受理备案单位: (盖章)
受 理 日 期:
中华人民共和国公安部监制
填 表 说 明
一、 制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表;
二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;
三、 保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;
四、 本表中有选择的地方请在选项左侧“0”划“√”,如选择“其他”,请在其后的横线中注明详细内容;
五、 封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;
六、 封面中备案单位:是指负责运营使用信息系统的法人单位全称;
七、 封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章;
不分页显示 总共2页 1 [2]
下一页
