搜索
电力行业信息系统安全等级保护定级工作指导意见国家电力监管委员会二〇〇七年十一月目录1引言...............................................................................................................12依据...............................................................................................................13术语和定义..................................................................................................13.1信息系统................................................................................................13.2等级保护对象.......................................................................................23.3客体.........................................................................................................23.4系统服务................................................................................................24工作组织......................................................................................................25定级原理......................................................................................................35.1信息系统安全保护等级....................................................................35.2信息系统安全保护等级的定级要素.............................................45.2.1受侵害的客体................................................................................45.2.2对客体的侵害程度.......................................................................45.3定级要素与等级的关系....................................................................46定级方法......................................................................................................56.1定级流程................................................................................................56.2确定定级对象.......................................................................................66.2.1作为定级对象的基本特征.........................................................76.2.2定级对象的识别方法...................................................................76.2.3定级对象信息系统边检和边界设备的确定方法..............116.2.4电力行业信息系统安全等级保护定级对象分类..............136.3确定受侵害的客体...........................................................................136.4确定对客体的侵害程度..................................................................146.4.1侵害的客观方面..........................................................................146.4.2综合判定侵害程度.....................................................................156.5可能侵害的客体及侵害程度的确定方法...................................176.6确定定级对象的安全保护等级.....................................................196.7关于定级过程的说明.......................................................................207关于审批流程的说明.............................................................................238等级变更....................................................................................................249电力行业信息系统安全等级保护定级参考....................................24编辑版word1引言为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发信息安全等级保护管理办法的通知》(公通字〔2007〕43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)和国家电力监管委员会《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)要求,指导电力行业信息系统安全保护定级工作,制定本意见。2依据《关于印发信息安全等级保护管理办法的通知》(公通字〔2007〕43号)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)3术语和定义3.1信息系统基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的系统。编辑版word3.2等级保护对象信息系统安全等级保护工作直接作用的具体的信息和信息系统。3.3客体受法律保护的等级保护对象受到破坏时所侵害的社会关系,如国家安全,社会秩序、公共利益以及公民、法人或社会其他组织的合法权益。3.4客观方面对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。3.5系统服务信息系统为支撑其所承载业务而提供的程序化过程。4工作组织国家电力监管委员会:组织领导并统一协调电力行业信息系统安全等级保护定级工作,对信息系统运营使用单位的定级工作进行督促、检查和指导。电力行业信息系统安全等级保护定级工作专家组(以下简称专家组):对电力行业信息系统安全定级工作进行专家指导、咨询,对定级结果进行评审。各有关电力公司(电力行业网络与信息安全领导小组成员单编辑版word位):负责组织开展本单位(系统)信息系统安全等级保护定级工作。信息系统运营使用单位(以下简称运营使用单位):具体负责所运营、使用的信息系统的安全定级工作。技术支持单位:中国电力科学研究院信息安全研究所等单位为信息安全定级工作的技术支持单位,负责提供技术支持。5定级原理5.1信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。编辑版word5.2信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。5.2.1受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:(1)公民、法人和其他组织的合法权益;(2)社会秩序、公共利益;(3)国家安全。5.2.2对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:(1)造成一般损害;(2)造成严重损害;(3)造成特别严重损害。5.3定级要素与等级的关系定级要素与信息系统安全保护等级的关系如表1所示。编辑版word表1定级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级6定级方法6.1定级流程信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。确定信息系统安全保护等级的一般流程如下:(1)确定作为定级对象的信息系统;(2)确定业务信息安全受到破坏时所侵害的客体;(3)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;(4)依据表3,得到业务信息安全保护等级;编辑版word(5)确定系统服务安全受到破坏时所侵害的客体;(6)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;(7)依据表4,得到系统服务安全保护等级;(8)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。上述步骤如图1确定等级一般流程所示。图1确定等级一般流程6.2确定定级对象一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。编辑版word6.2.1作为定级对象的基本特征(1)具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任