搜索
国家电力监管委员会文件电监信息〔2007〕44号关于印发《电力行业信息系统等级保护定级工作指导意见》的通知各派出机构,各有关电力企业:为贯彻落实国家关于信息安全等级保护工作的要求,我会组织编制了《电力行业信息系统等级保护定级工作指导意见》,现印发你们,请参照执行。附件:《电力行业信息系统等级保护定级工作指导意见》二〇〇七年十一月十六日2电力行业信息系统安全等级保护定级工作指导意见国家电力监管委员会二〇〇七年十一月目录1引言...............................................12依据...............................................13术语和定义.........................................13.1信息系统........................................13.2等级保护对象....................................23.3客体............................................23.4系统服务........................................24工作组织...........................................25定级原理...........................................35.1信息系统安全保护等级............................35.2信息系统安全保护等级的定级要素..................45.2.1受侵害的客体................................45.2.2对客体的侵害程度............................45.3定级要素与等级的关系............................46定级方法...........................................56.1定级流程........................................56.2确定定级对象....................................626.2.1作为定级对象的基本特征......................66.2.2定级对象的识别方法..........................76.2.3定级对象信息系统边检和边界设备的确定方法...116.2.4电力行业信息系统安全等级保护定级对象分类...126.3确定受侵害的客体...............................136.4确定对客体的侵害程度...........................146.4.1侵害的客观方面.............................146.4.2综合判定侵害程度...........................156.5可能侵害的客体及侵害程度的确定方法.............176.6确定定级对象的安全保护等级.....................186.7关于定级过程的说明.............................197关于审批流程的说明................................238等级变更..........................................239电力行业信息系统安全等级保护定级参考..............2411引言为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发信息安全等级保护管理办法的通知》(公通字〔2007〕43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)和国家电力监管委员会《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)要求,指导电力行业信息系统安全保护定级工作,制定本意见。2依据《关于印发信息安全等级保护管理办法的通知》(公通字〔2007〕43号)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)3术语和定义3.1信息系统基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的系统。23.2等级保护对象信息系统安全等级保护工作直接作用的具体的信息和信息系统。3.3客体受法律保护的等级保护对象受到破坏时所侵害的社会关系,如国家安全,社会秩序、公共利益以及公民、法人或社会其他组织的合法权益。3.4客观方面对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。3.5系统服务信息系统为支撑其所承载业务而提供的程序化过程。4工作组织国家电力监管委员会(以下简称电监会):组织领导并统一协调电力行业信息系统安全等级保护定级工作,对信息系统运营使用单位的定级工作进行督促、检查和指导。电力行业信息系统安全等级保护定级工作专家组(以下简称专家组):对电力行业信息系统安全定级工作进行专家指导、咨询,对定级结果进行评审。各有关电力公司(电力行业网络与信息安全领导小组成员单3位):负责组织开展本单位(系统)信息系统安全等级保护定级工作。信息系统运营使用单位(以下简称运营使用单位):具体负责所运营、使用的信息系统的安全定级工作。技术支持单位:中国电力科学研究院信息安全研究所等单位为信息安全定级工作的技术支持单位,负责提供技术支持。5定级原理5.1信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。45.2信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。5.2.1受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:(1)公民、法人和其他组织的合法权益;(2)社会秩序、公共利益;(3)国家安全。5.2.2对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:(1)造成一般损害;(2)造成严重损害;(3)造成特别严重损害。5.3定级要素与等级的关系定级要素与信息系统安全保护等级的关系如表1所示。5表1定级要素与安全保护等级的关系对客体的侵害程度受侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级6定级方法6.1定级流程信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。确定信息系统安全保护等级的一般流程如下:(1)确定作为定级对象的信息系统;(2)确定业务信息安全受到破坏时所侵害的客体;(3)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;(4)依据表3,得到业务信息安全保护等级;(5)确定系统服务安全受到破坏时所侵害的客体;(6)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;(7)依据表4,得到系统服务安全保护等级;(8)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。上述步骤如图1确定等级一般流程所示。图1确定等级一般流程6.2确定定级对象一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护、有效控制信息安全建设成本、优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。6.2.1作为定级对象的基本特征(1)具有唯一确定的安全责任单位67作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。(2)具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。(3)承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。6.2.2定级对象的识别方法一般来讲单位信息系统可以划分为几个定级对象,如何划分系统是定级之前的主要问题。信息系统的划分没有绝对的对与错,只有合理与不合理,合理地划分信息系统有利于信息系统的8保护及安全规划,反之可能给将来的应用和安全保护带来不便,又可能需要重新进行信息系统的划分。由于信息系统的多样性,不同的信息系统在划分过程中所侧重考虑的划分依据会有所不同。通常,在信息系统划分过程中,应当结合信息系统的现状,从信息系统的管理机构、业务特点或物理位置等几个方面考虑对信息系统进行划分,当然也可以根据信息系统的实际情况,选择其他的划分依据,只要最终划分结果合理就可以。(1)安全责任单位依据安全责任单位的不同,划分信息系统。如果信息系统由不同的单位负责运行维护和管理,或者说信息系统的安全责任分属不同机构,则可以根据安全责任单位的不同划分成不同的信息系统。一个运行在局域网的信息系统,其安全责任单位一般只有一个,但对一个跨不同地域运行的信息系统来说,就可能存在不同的安全责任单位,此时可以考虑根据不同地域的信息系统的安全责任单位的不同,划分出不同的信息系统。在一个单位中,信息系统的业务管理和运行维护可能由不同部门负责,例如科技部门或信息中心负责信息系统所有设备和设施的运行、维护和管理,各业务部门负责其中的业务流程的制定和业务操作,信息系统的安全管理责任不仅指在信息系统的运行、维护和管理方面的责任,承担安全责任的不应是科技部门,而应当是该单位本身。一个运行在局域网的信息系统,其管理边界比较明确,但对9一个跨不同地域运行的信息系统,其管理边界可能有不同情况:如果不同地域运行的信息系统分属不同单位(如上级单位和下级单位)负责运行和管理,上下级单位的管理边界为本地的信息系统,则该信息系统可以划分为两个信息系统;如果不同地域运行的信息系统均由其上级单位直接负责运行和管理,运维人员由上级单位指派,安全责任由上级单位负责,则上级单位的管理边界应包括本地和远程的运行环境。(2)业务类型和业务重要性根据业务的类型、功能、阶段的不