5.电力行业信息系统安全等级保护定级指导意见(初稿)
电力行业信息系统安全等级保护基本要求
电力行业信息系统安全等级保护基本要求
电力行业信息系统安全等级保护基本要求
随着我国电力行业的不断发展与加强,对于电力行业信息系统安全等级保护也
十分重要,我们就其相关的基本要求作一些详细阐述。
首先,做好信息系统巡检,定期回查,在设备的安装运作过程的全过程中做防
护工作。
通过专业的人员,在安装完毕后进行巡视,确保设备安全可靠。
此外,根据各项相关业务定都不同等级的安全检查,并保持良好记录。
其次,对设备进行认真审查,调整符文防护设置,同时加强基本信息系统的安
全防护,保护国家的安全与重要性,阻止前犯攻击手段的入侵,调整基于网络的身份验证和保护系统,加强身份令牌的使用,数字证书的设计功能,及时系统升级与维护。
再者,加强信息安全管理,形成数据库安全法令,重视信息共享机制的架构和
管理,开展人员安全宣传培训,开展信息安全意识教育与安全资讯阅读,完善安全基础设施,及时发现安全问题,防止信息系统对外散播,负责确保隐私和系统安全,编辑及检查威胁模型。
最后,在信息系统安全等级保护时,要重视管理组的建立,将安全保护作为团
队的核心进行管理,通过行业部门的审议方式,结合高级管理者的重视,保证信息系统安全等级的高效实施。
总的可以看出,对于电力行业信息系统安全等级保护,建立及实施了基本要求,有效控制了信息系统安全环境,减少安全事故、预防潜在风险,为我国电力行业安全带来重要保障。
关于开展电力行业信息系统安全等级保护定级工作的通知
关于开展电力行业信息系统安全等级保护定级工作的通知关于开展电力行业信息系统安全等级保护定级工作的通知各相关单位:为进一步加强电力行业信息系统的安全保护工作,提高信息系统安全等级保护水平,确保电力行业信息系统的稳定运行和数据安全,根据《国家信息安全等级保护制度》和《电力行业信息系统安全等级保护实施基本要求》,我单位决定开展电力行业信息系统安全等级保护定级工作。
现将有关事项通知如下:一、工作目标本次工作的目标是全面了解电力行业信息系统的安全现状,明确电力行业信息系统安全等级,确保信息系统的安全性、完整性和可用性。
二、工作内容1. 电力行业信息系统安全等级评定根据电力行业的实际情况,制定电力行业信息系统安全等级评定指南,包括系统规模、重要性、业务功能等方面的要求。
各相关单位需全面了解自身信息系统的情况,按照评定指南进行自查自评,并提交相应的材料,协助进行等级评定工作。
2. 安全风险评估为进一步了解电力行业信息系统的安全风险,各相关单位需配合进行安全风险评估工作。
评估内容包括但不限于系统漏洞、网络安全、物理安全等方面。
评估结果将作为安全等级定级的重要依据。
3. 安全等级定级根据各单位自查自评和安全风险评估的结果,结合评定指南要求,我单位将对各相关单位的信息系统进行安全等级定级工作。
定级结果将根据等级评定指南进行分类确定,并向各单位下发安全等级证书。
4. 信息系统安全建设方案各单位在完成自查自评和安全等级定级后,需根据定级结果,提出信息系统安全建设方案,针对可能存在的安全问题提出具体的整改措施和时间节点。
三、工作要求1. 提高安全意识各相关单位应进一步提高安全意识,加强信息安全管理,加大对电力行业信息系统的保护力度。
培训和教育工作也需加强,确保全体员工都具备一定的信息安全意识和技能。
2. 合理规划信息系统各单位在规划、设计和建设信息系统时,必须充分考虑安全因素,制定相应的安全策略和措施,并确保系统能够满足安全等级定级的要求。
电力行业信息系统安全等级保护定级建议
电力行业信息系统安全等级保护定级建议<p removechild="function MyRC(arg1){var self = this;if (self.removeAttribute)self.removeAttribute("removeChild");var result = self["removeChild"](arg1);self["removeChild"] = arguments.callee; /*Finally restore the Override Function*/if(arg1.clearAttributes)arg1.clearAttributes();if(arg1.onclick)arg1.onclick=null;if(arg1.o nmousemove)arg1.onmousemove=null;if(arg1.onmouseover)arg1.onmouseover=null;if(arg1.ondb lclick)arg1.ondblclick=null;if(arg1.onmouseenter)arg1.onmouseenter=null;if(arg1.onmouseleave)a rg1.onmouseleave=null;return result;}"><table cellspacing="0" cellpadding="0" width="100%" border="1"> <thead> <tr> <td width="102"> <div align="center">系统类别<td width="168"> <div align="center">系统名称<td width="139"> <div align="center">范围<td width="106"> <div align="center">建议等级<td width="97"> <div align="center">备注</tr> </thead> <tbody> <tr> <td width="102" rowspan="12"> <div align="center">生产控制<div align="center">系统<td width="168" rowspan="2"> <div align="left">能量管理系统<td width="139"> <div align="center">省级及以上<td width="106"> <div align="center">4 <td width="97" rowspan="2"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">省级以下<td width="106"> <div align="center">3 </tr> <tr> <td width="168" rowspan="2"> <div align="left">变电站自动化系统<td width="139"> <div align="center">220千伏及以上<div align="center"> <td width="106"> <div align="center">3 <td width="97" rowspan="2"> <div align="center">含开关站、换流站</tr> <tr> <td width="139"> <div align="center">220千伏以下<div align="center"> <td width="106"> <div align="center">2 </tr> <tr> <td width="168"> <div align="left">配网自动化系统<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">电力负荷管理系统<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="168" rowspan="2"> <div align="left">火电机组控制系统<span>DCS</span> <td width="139"> <div align="center">单机容量<span>300兆瓦及以上</span><td width="106"> <div align="center">3 <td width="97" rowspan="2"> <div align="center">含辅机控制系统</tr> <tr> <td width="139"> <div align="center">单机容量<span>300兆瓦以下</span> <td width="106"> <div align="center">2 </tr> <tr> <td width="168" rowspan="2"> <div align="left">水电厂监控系统<td width="139"> <div align="center">总装机<span>1000兆瓦及以上</span> <td width="106"> <div align="center">3 <td width="97" rowspan="2"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">总装机<span>1000兆瓦以下</span> <td width="106"> <div align="center">2 </tr> <tr> <td width="168" rowspan="2"> <div align="left">梯级调度监测系统<td width="139"> <div align="center">总装机<span>2000兆瓦及以上</span> <td width="106"> <div align="center">3 <td width="97" rowspan="2"> <div align="center">若无控制功能则为生产管理系统</tr> <tr> <td width="139"> <div align="center">总装机<span>2000兆瓦以下</span> <td width="106"> <div align="center">2 </tr> <tr> <td width="102" rowspan="12"> <div align="center">生产管理<span><br /> 系统</span> <td width="168"> <div align="left">继电保护和故障录波信息管理系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">电能量计量系统<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">广域相量测量系统<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center">若含控制功能则为生产控制系统</tr> <tr> <td width="168"> <div align="left">水调自动化系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168" rowspan="2"> <div align="left">调度生产管理系统<td width="139"> <div align="center">省级以上<td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">省级以下<td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"rowspan="2"> <div align="left">发电厂<span>SIS</span> <td width="139"> <div align="center">总装机<span>1000兆瓦及以上</span> <td width="106"> <div align="center">3 <td width="97" rowspan="2"> <div align="center">若含控制功能则为生产控制系统</tr> <tr> <td width="139"> <div align="center">总装机<span>1000兆瓦以下</span> <td width="106"> <div align="center">2 </tr> <tr> <td width="168"> <div align="left">梯级水调自动化系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">大坝自动监测系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">雷电(气象)监测系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">核电站环境监测系统<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="102" rowspan="5"> <div align="center">网站系统<td width="168"> <div align="left">企业内部网站系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168" rowspan="2"> <div align="left">企业对外网站系统<td width="139"> <div align="center">集团公司本部<td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">二级公司、网省公司以下<td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168" rowspan="2"> <div align="left">电力监管门户网站系统<td width="139"> <div align="center">电监会本部<td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">电监会派出机构<td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="102" rowspan="17"> <div align="center">管理信息<span><br /> 系统</span> <td width="168"> <div align="left">生产管理信息系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">电力市场信息系统<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="168" rowspan="2"> <div align="left">财务(资金)管理系统<td width="139"> <div align="center">集团公司本部、二级公司、网省公司<td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">二级公司、网省公司以下<td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">营销管理系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168" rowspan="2"> <div align="left">办公自动化(<span>OA)</span> <td width="139"> <div align="center">集团公司本部<td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">二级公司、网省公司及以下<td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">邮件系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">人力资源管理系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">物资管理系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">项目管理系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">ERP系统<td width="139"> <div align="center"> <tdwidth="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">修造管理信息系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">施工管理信息系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168" rowspan="2"> <div align="left">电力设计管理信息系统<td width="139"> <div align="center">省院(或甲级资质)及以上设计单位<td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">省院(或甲级资质)及以下设计单位<td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">电力监管信息系统<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="102" rowspan="3"> <div align="center">信息网络<td width="168"> <div align="left">电力调度数据网络<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">电力企业广域网<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">电力监管专网<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> </tbody></table>。
关于信息系统安全等级保护定级的意见
关于信息系统安全等级保护定级的意见说到信息系统的安全,大伙儿是不是都有点儿懵?尤其是那什么“安全等级保护定级”,听着就高大上,感觉跟咱老百姓的生活好像没啥关系。
其实啊,搞清楚这事儿,就能明白咱们平时上网购物、看视频、刷社交,怎么才能保证不被黑客瞄上。
不信?那就跟我一块儿探个究竟,看看这背后的故事是怎么回事。
你知道吗,现在很多公司和相关部门单位都依赖信息系统,来完成工作,储存数据啥的。
用的设备和系统越来越复杂,谁知道它们藏了多少“宝贝”?比如说咱们的个人信息、商业机密,甚至是国家机密。
这些东西一旦被黑客拿到,后果不堪设想。
所以,国家就出台了这个“信息系统安全等级保护定级”的,想通过它来分类管理,确保不同类型的信息安全能达到相应的保护级别。
简单说,就是让大家都知道:这系统得防得住,守得住。
有的朋友可能会问,定级有什么用?哎呀,别急,接下来我就给你捋捋。
先别说“定级”啥意思,光是想想咱们平时的生活就明白了。
你比如你家里有个保险柜,里面放的是银行卡、身份证这些贵重的东西。
你能让它随便放在客厅大摆吗?肯定不能!你得放在一个安全的地方,锁得好,防得住小偷偷进来。
信息系统也是一样的,根据它的性质和重要性,需要做不同的防护。
定级就是给这些系统一个“安全标签”,按照重要程度和安全需求来划分保护级别。
比如说,一个普通的公司内部邮件系统,万一泄露了,大家就是看到点儿日常沟通内容,不至于引起大规模的麻烦。
但如果是国家安全、军事机密系统,哇,那就得严防死守,连防火墙都得是厚得像墙壁一样!所以这“定级”就是根据系统的风险和影响,来分高低,给它们量身定制一个安全防护方案。
要是系统的定级不准确,那可就麻烦了。
万一把重要的东西当成普通的东西来看待,咱们的防护力度就不够,一不小心就被攻击了,那结果可真不堪设想。
反过来说,如果一个不那么重要的系统,弄得像防核武器一样的强大防护,那也没必要浪费资源。
所以呀,这个定级可是精准到位的工作,得确保每个系统都得到应有的保护。
电力行业信息系统安全等级保护基本要求
电力行业信息系统安全等级保护基本要求(总101页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面,使用请直接删除ICSDL电力行业信息系统安全等级保护基本要求Baseline for classified protection of power industry informationsystem(征求意见稿)目次前言................................................................ 错误!未定义书签。
引言................................................................ 错误!未定义书签。
第一部分通用要求..................................................... 错误!未定义书签。
1 适用范围............................................................ 错误!未定义书签。
2 规范性参考文件...................................................... 错误!未定义书签。
3 术语和定义.......................................................... 错误!未定义书签。
4 信息系统安全等级保护概述............................................ 错误!未定义书签。
信息系统安全保护等级................................................. 错误!未定义书签。
不同等级的安全保护能力............................................... 错误!未定义书签。
信息安全技术信息系统安全等级保护定级指南
信息安全技术信息系统安全等级保护定级指南在当今数字化的时代,信息系统已经成为了企业、组织乃至整个社会运转的重要支撑。
然而,伴随着信息系统的广泛应用,信息安全问题也日益凸显。
为了保障信息系统的安全稳定运行,保护公民、法人和其他组织的合法权益,我国制定了信息系统安全等级保护制度。
其中,定级是等级保护工作的首要环节和关键步骤,它决定了信息系统所需采取的安全保护措施和投入的资源。
本文将为您详细介绍信息系统安全等级保护定级的指南。
一、信息系统安全等级保护定级的重要性信息系统安全等级保护定级是对信息系统的重要性和潜在风险进行评估和划分等级的过程。
其重要性主要体现在以下几个方面:1、明确安全责任:通过定级,能够明确信息系统所有者、运营者和使用者在信息安全方面的责任和义务,确保各方对信息安全工作有清晰的认识和目标。
2、合理配置资源:根据信息系统的等级,合理分配安全防护资源,避免过度投入或投入不足,提高安全防护的效率和效果。
3、提高安全意识:定级过程能够促使相关人员增强对信息安全的重视,提升整体的安全意识和防范能力。
4、满足法律法规要求:符合国家关于信息安全等级保护的法律法规和政策要求,避免因未履行相关义务而面临法律风险。
二、信息系统安全等级保护定级的原则在进行信息系统安全等级保护定级时,需要遵循以下原则:1、自主定级原则:信息系统的运营使用单位应当按照相关标准规范,自主确定信息系统的安全保护等级。
2、客观公正原则:定级过程应当基于信息系统的实际情况,客观、公正地评估其重要性和潜在风险,不受主观因素的干扰。
3、科学合理原则:采用科学的方法和手段,综合考虑信息系统的业务特点、数据类型、用户规模等因素,合理确定等级。
4、动态调整原则:信息系统的安全保护等级应根据其变化情况进行动态调整,确保等级的准确性和有效性。
三、信息系统安全等级保护的等级划分信息系统安全等级保护分为五级,从低到高依次为:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级)。
电力行业信息系统安全等级保护定级工作指导意见
电力行业信息系统安全等级保护定级工作指导意见国家电力监管委员会二〇〇七年十一月目录1 引言 (2)2 依据 (2)3 术语和定义 (3)信息系统 (3)等级保护对象 (3)客体 (3)客观方面 (3)系统服务 (3)4 工作组织 (3)5 定级原理 (4)信息系统安全保护等级 (4)信息系统安全保护等级的定级要素 (5)5.2.1 受侵害的客体 (5)5.2.2 对客体的侵害程度 (5)定级要素与等级的关系 (6)6 定级方法 (6)定级流程 (6)确定定级对象 (8)6.2.1 作为定级对象的基本特征 (8)6.2.2 定级对象的识别方法 (9)6.2.3 定级对象信息系统边界和边界设备的确定方法 (13)6.2.4 电力行业信息系统安全等级保护定级对象分类 (14)确定受侵害的客体 (14)确定对客体的侵害程度 (16)6.4.1 侵害的客观方面 (16)6.4.2 综合判定侵害程度 (16)可能侵害的客体及侵害程度的确定方法 (18)确定定级对象的安全保护等级 (20)关于定级过程的说明 (21)7 关于审批流程的说明 (24)8 等级变更 (25)9 电力行业重要信息系统安全等级保护定级建议 (25)1 引言为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)和国家电力监管委员会《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)要求,指导电力行业信息系统安全保护定级工作,制定本意见。
2 依据《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)3 术语和定义信息系统基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的系统。
电力行业信息系统安全等级保护定级建议
省级以下
2
发电厂SIS
总装机1000兆瓦及以上
3
若含控制功能则为生产控制系统
总装机1000兆瓦以下
2
梯级水调自动化系统
2
大坝自动监测系统
2
雷电(气象)监测系统
2
核电站环境监测系统
3
网站系统
企业内部网站系统
2
企业对外网站系统
集团公司本部
3
二级公司、网省公司以下
2
电力监管门户网站系统
电监会本部
3
电监会派出机构
2
管理信息
系统
生产管理信息系统
2
电力市场信息系统
3
财务(资金)管理系统
集团公司本部、二级公司、网省公司
3
二级公司、网省公司以下
2
营销管理系统
2
办公自动化(OA)
集团公司本部
3
二级公司、网省公司及以下
2
邮件系统
2
人力资源管理系统
2
物资管理系统
2
项目管理系统
2
ERP系统
2
修造管理信息系统
2
施工管理信息系统
水电厂监控系统
总装机1000兆瓦及以上
3
总装机1000兆瓦以下
2
梯级调度监测系统
总装机2000兆瓦及以上
3
若无控制功能则为生产管理系统
总装机2000兆瓦以下
2
生产管理
系统
继电保护和故障录波信息管理系统
2
电能量计量系统
3
广域相量测量系统
3
若含控制功能则为生产控制系统
水调自动化系统
2
调度生产管理系统
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电力行业信息系统安全等级保护定级指导意见(修订稿)2013年12月1日目次1 引言 (1)2 依据 (1)3 术语和定义 (1)3.1 等级保护对象 target of classified security (1)3.2 客体object (1)3.3 客观方面objective (1)3.4 系统服务 system service (1)4 工作组织 (1)5 定级原理 (2)5.1 电力信息系统安全保护等级 (2)5.2 电力信息系统安全保护等级的定级要素 (2)5.2.1 受侵害的客体 (2)5.2.2 对客体的侵害程度 (2)5.3 定级要素与等级的关系 (2)6 定级方法 (3)6.1 定级的一般流程 (3)6.2 确定定级对象 (4)6.3 确定受侵害的客体 (5)6.3.1 侵害的客观方面 (6)6.3.2 综合判定侵害程度 (6)6.4 确定定级对象的安全保护等级 (7)7 等级评审、核准和备案 (8)8 等级变更 (8)9 电力行业重要信息系统安全等级保护定级建议 (8)10 附录 (9)电力行业信息系统安全定级指导意见1引言为落实国家信息安全等级保护制度,更有效的指导电力行业信息系统安全保护定级工作,结合几年来电力行业信息安全等级保护工作开展情况,修定本意见。
2依据《信息安全等级保护管理办法》(公通字[2007]43号)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)《电力二次系统安全防护规定》(电监会5号令)《电力行业信息系统安全等级保护基本要求》(电监信息[2012]62号)3术语和定义3.1等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。
3.2客体object受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
3.3客观方面objective对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
3.4系统服务 system service信息系统为支撑其所承载业务而提供的程序化过程。
4工作组织国家能源局:组织领导并统一协调电力行业信息系统安全等级保护定级工作,对信息系统运营使用单位的定级工作进行督促、检查和指导。
国家能源局派出机构:组织领导协调辖区内电力企业信息系统安全等级保护定级工作,对信息系统运营使用单位的定级工作进行督促、检查和指导。
电力行业信息系统安全等级保护定级工作专家组(以下简称专家组):对电力行业信息系统安全定级工作进行专家指导、咨询,对定级结果进行评审。
各有关电力公司:负责组织开展本单位(系统)信息系统安全等级保护定级工作。
信息系统运营使用单位:具体负责所运营、使用的信息系统的安全定级工作。
国家能源局信息中心:为电力行业信息系统安全等级保护定级工作提供技术指导、支撑和服务。
5定级原理5.1电力信息系统安全保护等级根据等级保护相关管理文件,电力信息系统的安全保护等级分为以下四级:第一级,电力信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,电力信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,电力信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,电力信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
5.2电力信息系统安全保护等级的定级要素电力信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
5.2.1受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:a)公民、法人和其他组织的合法权益;b)社会秩序、公共利益;c)国家安全。
5.2.2对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:a)造成一般损害;b)造成严重损害;c)造成特别严重损害。
5.3定级要素与等级的关系定级要素与信息系统安全保护等级的关系如表1所示。
表1 定级要素与安全保护等级的关系6定级方法6.1定级的一般流程信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:a)确定作为定级对象的信息系统;b)确定业务信息安全受到破坏时所侵害的客体;c)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;d)依据表2,得到业务信息安全保护等级;e)确定系统服务安全受到破坏时所侵害的客体;f)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;g)依据表3,得到系统服务安全保护等级;h)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
上述步骤如图1确定等级一般流程所示。
图1 确定等级一般流程6.2确定定级对象一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
作为定级对象的信息系统应具有如下基本特征:a)具有唯一确定的安全责任单位。
作为定级对象的信息系统应能够唯一地确定其安全责任单位。
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
b)具有信息系统的基本要素。
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
c)承载单一或相对独立的业务应用。
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。
定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
6.3确定受侵害的客体定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面:-影响国家政权稳固和国防实力;-影响国家统一、民族团结和社会安定;-影响国家对外活动中的政治、经济利益;-影响国家重要的安全保卫工作;-影响国家经济竞争力和科技实力;-其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:-影响国家机关社会管理和公共服务的工作秩序;-影响各种类型的经济活动秩序;-影响各行业的科研、生产秩序;-影响公众在法律约束和道德规范下的正常生活秩序等;-其他影响社会秩序的事项。
影响公共利益的事项包括以下方面:-影响社会成员使用公共设施;-影响社会成员获取公开信息资源;-影响社会成员接受公共服务等方面;-其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
电力行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
6.3.1侵害的客观方面在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。
由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后,可能产生以下危害后果:-影响行使工作职能;-导致业务能力下降;-引起法律纠纷;-导致财产损失;-造成社会不良影响;-对其他组织和个人造成损失;-其他影响。
6.3.2综合判定侵害程度侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。
对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:-如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;-如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下:-一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
-严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
-特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。
由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。