等级保护定级备案

深入理解信息安全等级保护制度2009年7月——定级备案工作目录1等级保护定级原理及过程2电力信息系统定级3电力信息系统定级案例介绍•根据《管理办法》：有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。•根据《关于开展全国重要信息系统安全等级保护定级工作的通知》（以下简称《定级通知》）要求：各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的指导意见。•电力行业信息系统安全等级保护定级工作指导意见概述安全保护级别信息和信息系统受到破坏后的影响1自主保护级不会损害国家安全、社会秩序和公共利益。2指导保护级会对社会秩序和公共利益造成轻微损害，但不损害国家安全。3监督保护级会对国家安全、社会秩序和公共利益造成损害。4强制保护级会对国家安全、社会秩序和公共利益造成严重损害。5专控保护级会对国家安全、社会秩序和公共利益造成特别严重损害。等级保护定级原理等级保护定级要素•等级保护对象受到破坏时所侵害的客体•对客体造成侵害的程度受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级定级要素与安全保护等级的关系等级保护定级原理定级流程1、确定定级对象对象的三个条件具有唯一确定的安全责任单位满足信息系统的基本要素承载相对独立的业务应用1、确定定级对象定级对象的识别----系统划分安全责任单位业务类型和业务重要性•①可能涉及不同客体的系统。•②可能对客体造成不同程度损害的系统。•③处理不同类型业务的系统分析物理位置的差异1、确定定级对象定级对象信息系统边界和边界设备的确定方法网络/边界设备:当不同信息系统之间存在共用设备时，设备安全防护级别就高不就低.终端•服务器、网络设备及安全设备等属于哪个系统，终端就应归在哪个信息系统中管理终端•与服务器建立边界保护内部用户终端•不属于系统的边界范围内外部用户终端•识别信息–调查了解定级对象信息系统所处理的信息，了解单位对信息的三个安全属性的需求，了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响，对影响程度的描述应尽可能量化。•识别网络结构和边界–调查了解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接情况，目的是了解信息系统所处的单位内部网络环境和外部环境特点，以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。1、确定定级对象•识别主要的软硬件设备–调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等，设备所在网段，在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。•识别用户类型和分布–调查了解各系统的管理用户和一般用户，内部用户和外部用户，本地用户和远程用户等类型，了解用户或用户群的数量分布，判断系统服务中断或系统信息被破坏可能影响的范围和程度。•形成定级结果–取各类信息和服务的较高。1、确定定级对象2、确定受侵害客体侵害国家安全侵害社会秩序影响公共利益首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益3、确定侵害程度一般损害、严重损害、特别严重损害。信息安全的破坏•从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定信息系统服务•从直接的资金损失大小、间接的信息恢复费用等方面进行确定4、确定保护等级根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据下表业务信息安全保护等级矩阵表，即可得到业务信息安全保护等级。4、确定保护等级根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据下表系统服务安全保护等级矩阵表，即可得到系统服务安全保护等级。系统服务安全保护等级矩阵表系统所属类型业务信息类别系统服务范围业务依赖程度业务信息安全性业务服务保证性信息系统安全保护等级4、确定保护等级4、确定保护等级组织评审初步确定信息系统安全保护等级后，可以聘请专家进行评审。对拟确定为第四级以上信息系统的，由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级，形成定级报告。信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，可能影响到系统的安全保护等级时，应根据定级标准给出的定级方法重新定级。5、等级变更系统备案•时间要求：–已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。–新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。二级系统需要提交•《信息系统安全等级保护定级报告》•《信息系统安全等级保护备案表》三级系统还需要提交•系统拓扑结构及说明；•系统安全组织机构和管理制度；提交备案材料到当地公安机关：系统备案•公安审核–备案符合性审查–备案表完整性审查–定级准确性审查•审核结果–对符合等级保护要求的，颁发信息系统安全保护等级备案证明。–发现不符合《管理办法》及有关标准的，应当通知备案单位予以纠正。目录1等级保护定级备案原理及过程2电力信息系统定级3电力信息系统定级案例介绍信息系统类别可能侵害的客体生产控制系统国家安全，社会秩序、公共利益，公民、法人和其他组织的合法权益生产管理系统国家安全、社会秩序、公共利益，公民、法人和其他组织的合法权益管理信息系统社会秩序、公共利益，公民、法人和其他组织的合法权益网站系统社会秩序、公共利益，公民、法人和其他组织的合法权益信息网络国家安全，社会秩序、公共利益，公民、法人和其他组织的合法权益电力行业各类别信息系统受到破坏后可能侵害的客体电力信息系统定级电力信息系统定级①对公民、法人和其它组织的合法权益的危害程度•对信息系统所属单位造成一定的经济损失，或对个别公民、法人或其它组织的利益造成较低的损害②对社会秩序、公共利益的危害程度•使电力生产面临明显的中断威胁，影响波及一个地市的部分地区，对公众利益造成一定损害，可能扰乱社会秩序。③对国家安全的危害程度•使电网瓦解，发电机组停运，影响波及一个或多个地市的部分地区，明显影响社会安定。电力信息系统定级审批流程•按照“谁主管，谁负责”的原则–信息系统各运营使用单位填写备案表，报上一级主管部门审核，经审核批准后按要求到公安机关办理备案手续。电力公司•汇总本单位（系统）信息系统定级情况，与本单位（系统）信息系统安全定级工作总结报告一同报送电监会审核其它电力企业•负责汇总本单位（系统）信息系统定级情况，与本单位（系统）信息系统安全定级工作总结报告一同报送属地电力监管机构审核。各电力监管机构•汇总所辖区域内其它电力企业信息系统安全定级工作总结，并报电监会电力信息系统定级建议系统类别系统名称范围建议等级备注网站系统企业内部网站系统2企业对外网站系统集团公司本部3二级公司、网省公司及以下2电力监管门户网站系统电监会本部3电监会派出机构2信息网络电力调度数据网络3电力企业广域网2电力监管广域网2电力信息系统定级建议系统类别系统名称范围建议等级备注管理信息系统生产管理信息系统2电力市场信息系统3财务（资金）管理系统集团公司本部、二级公司、网省公司3二级公司、网省公司以下2营销管理系统2办公自动化（OA）系统集团公司本部3二级公司、网省公司及以下2邮件系统2人力资源管理系统2物资管理系统2项目管理系统2ERP系统2修造管理信息系统2施工管理信息系统2电力设计管理信息系统省院（或甲级资质）及以上设计单位3省院（或甲级资质）以下设计单位2电力监管信息系统3目录1等级保护定级原理及过程2电力信息系统定级3电力信息系统定级案例介绍财务管理信息系统系统承载业务情况业务类型管理控制业务描述承担投资管理、贷款管理、购电成本管理、应收应付、资产管理、成本费用管理、现金管理、税务管理、薪酬管理等相对独立的业务系统服务情况服务范围全省服务对象本部及下属各单位的财务部门及相关人员系统服务安全保护等级危害情况服务范围为本单位范围，即广东电网公司，它的服务对象是本单位内部人员，会对公民、法人和其他组织的合法权益产生严重损害，即会对广东电网公司造成严重损害。等级确认二级业务信息安全保护等级危害情况财务管理信息系统的业务信息受到破坏后，会对公民、法人等的合法权益和社会公众的合法权益产生严重损害，即会对广东电网公司造成特别严重损害。等级确认三级安全保护等级等级确认三级29工程项目管理信息系统系统承载业务情况业务类型生产作业业务描述工程管理信息系统实现工程项目全过程管理目标，对安全、质量、资金和进度进行及时有效控制，实现集工程项目规划、项目进度、投资计划、质量及安全管理、及投资完成分析与控制的纵向管理.系统服务情况服务范围全省服务对象公司工程部、计划发展部、生产技术部等相关部门系统服务安全保护等级危害情况影响相关部门正常工作的开展，使前期管理、资金管理、进度管理、等功能没法开展，导致业务能力下降，造成严重影响。等级确认二级业务信息安全保护等级危害情况工程项目管理信息系统相关信息中大部分为商业机密性质数据，属于企业极度敏感数据，一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害，将对企业生产造成极大影响。等级确认二级安全保护等级等级确认二级30GIS系统系统承载业务情况业务类型生产作业业务描述系统业务主要包含：GIS（地理信息系统）系统是目前记录与管理电网设备的主要系统，除了能够实时显示电网设备的逻辑关联外，还能够在地理沿布图上显示电力设备的地理位置，同时提供设备空间拓扑的追踪分析与运算。系统服务情况服务范围供电局服务对象供电局生技部、市场部、调度中心、工程建设部及区县局相关用户系统服务安全保护等级危害情况影响系统的主管部门和运行部门的日常工作的开展，使配电业务、设备台帐等工作无法开展，导致办公效率下降，造成严重影响。等级确认二级业务信息安全保护等级危害情况GIS系统相关信息中大部分为商业机密性质数据，属于企业极度敏感数据，一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害，将即会对审计部及相关人造成严重损害，对企业造成极大影响。等级确认二级安全保护等级等级确认二级31广东电网内控管理信息系统系统承载业务情况业务类型内部办公业务描述系统功能涵盖主网内控工作所涉及的各种业务，主要包括：风险战略管理、业务风险自我控制、监督评价奖惩机制等。系统服务情况服务范围全省服务对象公司审计部等部门系统服务安全保护等级危害情况影响公司审计部及各个地市局的审计部日常工作的开展，导致办公效率下降，造成严重影响。等级确认一级业务信息安全保护等级危害情况内控管理信息系统相关信息一旦遭到入侵、修改、增加、删除等不明侵害，将即会对审计部及相关人造成一般损害，对企业造成一般影响。等级确认一级安全保护等级等级确认一级32谢谢！