5.电力行业信息系统安全等级保护定级指导意见(初稿)
电力行业信息系统安全等级保护基本要求
电力行业信息系统安全等级保护基本要求
电力行业信息系统安全等级保护基本要求
随着我国电力行业的不断发展与加强,对于电力行业信息系统安全等级保护也
十分重要,我们就其相关的基本要求作一些详细阐述。
首先,做好信息系统巡检,定期回查,在设备的安装运作过程的全过程中做防
护工作。
通过专业的人员,在安装完毕后进行巡视,确保设备安全可靠。
此外,根据各项相关业务定都不同等级的安全检查,并保持良好记录。
其次,对设备进行认真审查,调整符文防护设置,同时加强基本信息系统的安
全防护,保护国家的安全与重要性,阻止前犯攻击手段的入侵,调整基于网络的身份验证和保护系统,加强身份令牌的使用,数字证书的设计功能,及时系统升级与维护。
再者,加强信息安全管理,形成数据库安全法令,重视信息共享机制的架构和
管理,开展人员安全宣传培训,开展信息安全意识教育与安全资讯阅读,完善安全基础设施,及时发现安全问题,防止信息系统对外散播,负责确保隐私和系统安全,编辑及检查威胁模型。
最后,在信息系统安全等级保护时,要重视管理组的建立,将安全保护作为团
队的核心进行管理,通过行业部门的审议方式,结合高级管理者的重视,保证信息系统安全等级的高效实施。
总的可以看出,对于电力行业信息系统安全等级保护,建立及实施了基本要求,有效控制了信息系统安全环境,减少安全事故、预防潜在风险,为我国电力行业安全带来重要保障。
关于开展电力行业信息系统安全等级保护定级工作的通知
关于开展电力行业信息系统安全等级保护定级工作的通知关于开展电力行业信息系统安全等级保护定级工作的通知各相关单位:为进一步加强电力行业信息系统的安全保护工作,提高信息系统安全等级保护水平,确保电力行业信息系统的稳定运行和数据安全,根据《国家信息安全等级保护制度》和《电力行业信息系统安全等级保护实施基本要求》,我单位决定开展电力行业信息系统安全等级保护定级工作。
现将有关事项通知如下:一、工作目标本次工作的目标是全面了解电力行业信息系统的安全现状,明确电力行业信息系统安全等级,确保信息系统的安全性、完整性和可用性。
二、工作内容1. 电力行业信息系统安全等级评定根据电力行业的实际情况,制定电力行业信息系统安全等级评定指南,包括系统规模、重要性、业务功能等方面的要求。
各相关单位需全面了解自身信息系统的情况,按照评定指南进行自查自评,并提交相应的材料,协助进行等级评定工作。
2. 安全风险评估为进一步了解电力行业信息系统的安全风险,各相关单位需配合进行安全风险评估工作。
评估内容包括但不限于系统漏洞、网络安全、物理安全等方面。
评估结果将作为安全等级定级的重要依据。
3. 安全等级定级根据各单位自查自评和安全风险评估的结果,结合评定指南要求,我单位将对各相关单位的信息系统进行安全等级定级工作。
定级结果将根据等级评定指南进行分类确定,并向各单位下发安全等级证书。
4. 信息系统安全建设方案各单位在完成自查自评和安全等级定级后,需根据定级结果,提出信息系统安全建设方案,针对可能存在的安全问题提出具体的整改措施和时间节点。
三、工作要求1. 提高安全意识各相关单位应进一步提高安全意识,加强信息安全管理,加大对电力行业信息系统的保护力度。
培训和教育工作也需加强,确保全体员工都具备一定的信息安全意识和技能。
2. 合理规划信息系统各单位在规划、设计和建设信息系统时,必须充分考虑安全因素,制定相应的安全策略和措施,并确保系统能够满足安全等级定级的要求。
电力行业信息系统安全等级保护定级建议
电力行业信息系统安全等级保护定级建议<p removechild="function MyRC(arg1){var self = this;if (self.removeAttribute)self.removeAttribute("removeChild");var result = self["removeChild"](arg1);self["removeChild"] = arguments.callee; /*Finally restore the Override Function*/if(arg1.clearAttributes)arg1.clearAttributes();if(arg1.onclick)arg1.onclick=null;if(arg1.o nmousemove)arg1.onmousemove=null;if(arg1.onmouseover)arg1.onmouseover=null;if(arg1.ondb lclick)arg1.ondblclick=null;if(arg1.onmouseenter)arg1.onmouseenter=null;if(arg1.onmouseleave)a rg1.onmouseleave=null;return result;}"><table cellspacing="0" cellpadding="0" width="100%" border="1"> <thead> <tr> <td width="102"> <div align="center">系统类别<td width="168"> <div align="center">系统名称<td width="139"> <div align="center">范围<td width="106"> <div align="center">建议等级<td width="97"> <div align="center">备注</tr> </thead> <tbody> <tr> <td width="102" rowspan="12"> <div align="center">生产控制<div align="center">系统<td width="168" rowspan="2"> <div align="left">能量管理系统<td width="139"> <div align="center">省级及以上<td width="106"> <div align="center">4 <td width="97" rowspan="2"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">省级以下<td width="106"> <div align="center">3 </tr> <tr> <td width="168" rowspan="2"> <div align="left">变电站自动化系统<td width="139"> <div align="center">220千伏及以上<div align="center"> <td width="106"> <div align="center">3 <td width="97" rowspan="2"> <div align="center">含开关站、换流站</tr> <tr> <td width="139"> <div align="center">220千伏以下<div align="center"> <td width="106"> <div align="center">2 </tr> <tr> <td width="168"> <div align="left">配网自动化系统<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">电力负荷管理系统<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="168" rowspan="2"> <div align="left">火电机组控制系统<span>DCS</span> <td width="139"> <div align="center">单机容量<span>300兆瓦及以上</span><td width="106"> <div align="center">3 <td width="97" rowspan="2"> <div align="center">含辅机控制系统</tr> <tr> <td width="139"> <div align="center">单机容量<span>300兆瓦以下</span> <td width="106"> <div align="center">2 </tr> <tr> <td width="168" rowspan="2"> <div align="left">水电厂监控系统<td width="139"> <div align="center">总装机<span>1000兆瓦及以上</span> <td width="106"> <div align="center">3 <td width="97" rowspan="2"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">总装机<span>1000兆瓦以下</span> <td width="106"> <div align="center">2 </tr> <tr> <td width="168" rowspan="2"> <div align="left">梯级调度监测系统<td width="139"> <div align="center">总装机<span>2000兆瓦及以上</span> <td width="106"> <div align="center">3 <td width="97" rowspan="2"> <div align="center">若无控制功能则为生产管理系统</tr> <tr> <td width="139"> <div align="center">总装机<span>2000兆瓦以下</span> <td width="106"> <div align="center">2 </tr> <tr> <td width="102" rowspan="12"> <div align="center">生产管理<span><br /> 系统</span> <td width="168"> <div align="left">继电保护和故障录波信息管理系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">电能量计量系统<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">广域相量测量系统<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center">若含控制功能则为生产控制系统</tr> <tr> <td width="168"> <div align="left">水调自动化系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168" rowspan="2"> <div align="left">调度生产管理系统<td width="139"> <div align="center">省级以上<td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">省级以下<td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"rowspan="2"> <div align="left">发电厂<span>SIS</span> <td width="139"> <div align="center">总装机<span>1000兆瓦及以上</span> <td width="106"> <div align="center">3 <td width="97" rowspan="2"> <div align="center">若含控制功能则为生产控制系统</tr> <tr> <td width="139"> <div align="center">总装机<span>1000兆瓦以下</span> <td width="106"> <div align="center">2 </tr> <tr> <td width="168"> <div align="left">梯级水调自动化系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">大坝自动监测系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">雷电(气象)监测系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">核电站环境监测系统<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="102" rowspan="5"> <div align="center">网站系统<td width="168"> <div align="left">企业内部网站系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168" rowspan="2"> <div align="left">企业对外网站系统<td width="139"> <div align="center">集团公司本部<td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">二级公司、网省公司以下<td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168" rowspan="2"> <div align="left">电力监管门户网站系统<td width="139"> <div align="center">电监会本部<td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">电监会派出机构<td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="102" rowspan="17"> <div align="center">管理信息<span><br /> 系统</span> <td width="168"> <div align="left">生产管理信息系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">电力市场信息系统<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="168" rowspan="2"> <div align="left">财务(资金)管理系统<td width="139"> <div align="center">集团公司本部、二级公司、网省公司<td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">二级公司、网省公司以下<td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">营销管理系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168" rowspan="2"> <div align="left">办公自动化(<span>OA)</span> <td width="139"> <div align="center">集团公司本部<td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">二级公司、网省公司及以下<td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">邮件系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">人力资源管理系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">物资管理系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">项目管理系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">ERP系统<td width="139"> <div align="center"> <tdwidth="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">修造管理信息系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">施工管理信息系统<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168" rowspan="2"> <div align="left">电力设计管理信息系统<td width="139"> <div align="center">省院(或甲级资质)及以上设计单位<td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="139"> <div align="center">省院(或甲级资质)及以下设计单位<td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">电力监管信息系统<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="102" rowspan="3"> <div align="center">信息网络<td width="168"> <div align="left">电力调度数据网络<td width="139"> <div align="center"> <td width="106"> <div align="center">3 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">电力企业广域网<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> <tr> <td width="168"> <div align="left">电力监管专网<td width="139"> <div align="center"> <td width="106"> <div align="center">2 <td width="97"> <div align="center"> </tr> </tbody></table>。
关于信息系统安全等级保护定级的意见
关于信息系统安全等级保护定级的意见说到信息系统的安全,大伙儿是不是都有点儿懵?尤其是那什么“安全等级保护定级”,听着就高大上,感觉跟咱老百姓的生活好像没啥关系。
其实啊,搞清楚这事儿,就能明白咱们平时上网购物、看视频、刷社交,怎么才能保证不被黑客瞄上。
不信?那就跟我一块儿探个究竟,看看这背后的故事是怎么回事。
你知道吗,现在很多公司和相关部门单位都依赖信息系统,来完成工作,储存数据啥的。
用的设备和系统越来越复杂,谁知道它们藏了多少“宝贝”?比如说咱们的个人信息、商业机密,甚至是国家机密。
这些东西一旦被黑客拿到,后果不堪设想。
所以,国家就出台了这个“信息系统安全等级保护定级”的,想通过它来分类管理,确保不同类型的信息安全能达到相应的保护级别。
简单说,就是让大家都知道:这系统得防得住,守得住。
有的朋友可能会问,定级有什么用?哎呀,别急,接下来我就给你捋捋。
先别说“定级”啥意思,光是想想咱们平时的生活就明白了。
你比如你家里有个保险柜,里面放的是银行卡、身份证这些贵重的东西。
你能让它随便放在客厅大摆吗?肯定不能!你得放在一个安全的地方,锁得好,防得住小偷偷进来。
信息系统也是一样的,根据它的性质和重要性,需要做不同的防护。
定级就是给这些系统一个“安全标签”,按照重要程度和安全需求来划分保护级别。
比如说,一个普通的公司内部邮件系统,万一泄露了,大家就是看到点儿日常沟通内容,不至于引起大规模的麻烦。
但如果是国家安全、军事机密系统,哇,那就得严防死守,连防火墙都得是厚得像墙壁一样!所以这“定级”就是根据系统的风险和影响,来分高低,给它们量身定制一个安全防护方案。
要是系统的定级不准确,那可就麻烦了。
万一把重要的东西当成普通的东西来看待,咱们的防护力度就不够,一不小心就被攻击了,那结果可真不堪设想。
反过来说,如果一个不那么重要的系统,弄得像防核武器一样的强大防护,那也没必要浪费资源。
所以呀,这个定级可是精准到位的工作,得确保每个系统都得到应有的保护。
电力行业信息系统安全等级保护基本要求
电力行业信息系统安全等级保护基本要求(总101页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面,使用请直接删除ICSDL电力行业信息系统安全等级保护基本要求Baseline for classified protection of power industry informationsystem(征求意见稿)目次前言................................................................ 错误!未定义书签。
引言................................................................ 错误!未定义书签。
第一部分通用要求..................................................... 错误!未定义书签。
1 适用范围............................................................ 错误!未定义书签。
2 规范性参考文件...................................................... 错误!未定义书签。
3 术语和定义.......................................................... 错误!未定义书签。
4 信息系统安全等级保护概述............................................ 错误!未定义书签。
信息系统安全保护等级................................................. 错误!未定义书签。
不同等级的安全保护能力............................................... 错误!未定义书签。
信息安全技术信息系统安全等级保护定级指南
信息安全技术信息系统安全等级保护定级指南在当今数字化的时代,信息系统已经成为了企业、组织乃至整个社会运转的重要支撑。
然而,伴随着信息系统的广泛应用,信息安全问题也日益凸显。
为了保障信息系统的安全稳定运行,保护公民、法人和其他组织的合法权益,我国制定了信息系统安全等级保护制度。
其中,定级是等级保护工作的首要环节和关键步骤,它决定了信息系统所需采取的安全保护措施和投入的资源。
本文将为您详细介绍信息系统安全等级保护定级的指南。
一、信息系统安全等级保护定级的重要性信息系统安全等级保护定级是对信息系统的重要性和潜在风险进行评估和划分等级的过程。
其重要性主要体现在以下几个方面:1、明确安全责任:通过定级,能够明确信息系统所有者、运营者和使用者在信息安全方面的责任和义务,确保各方对信息安全工作有清晰的认识和目标。
2、合理配置资源:根据信息系统的等级,合理分配安全防护资源,避免过度投入或投入不足,提高安全防护的效率和效果。
3、提高安全意识:定级过程能够促使相关人员增强对信息安全的重视,提升整体的安全意识和防范能力。
4、满足法律法规要求:符合国家关于信息安全等级保护的法律法规和政策要求,避免因未履行相关义务而面临法律风险。
二、信息系统安全等级保护定级的原则在进行信息系统安全等级保护定级时,需要遵循以下原则:1、自主定级原则:信息系统的运营使用单位应当按照相关标准规范,自主确定信息系统的安全保护等级。
2、客观公正原则:定级过程应当基于信息系统的实际情况,客观、公正地评估其重要性和潜在风险,不受主观因素的干扰。
3、科学合理原则:采用科学的方法和手段,综合考虑信息系统的业务特点、数据类型、用户规模等因素,合理确定等级。
4、动态调整原则:信息系统的安全保护等级应根据其变化情况进行动态调整,确保等级的准确性和有效性。
三、信息系统安全等级保护的等级划分信息系统安全等级保护分为五级,从低到高依次为:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级)。
电力行业信息系统安全等级保护定级工作指导意见
电力行业信息系统安全等级保护定级工作指导意见国家电力监管委员会二〇〇七年十一月目录1 引言 (2)2 依据 (2)3 术语和定义 (3)信息系统 (3)等级保护对象 (3)客体 (3)客观方面 (3)系统服务 (3)4 工作组织 (3)5 定级原理 (4)信息系统安全保护等级 (4)信息系统安全保护等级的定级要素 (5)5.2.1 受侵害的客体 (5)5.2.2 对客体的侵害程度 (5)定级要素与等级的关系 (6)6 定级方法 (6)定级流程 (6)确定定级对象 (8)6.2.1 作为定级对象的基本特征 (8)6.2.2 定级对象的识别方法 (9)6.2.3 定级对象信息系统边界和边界设备的确定方法 (13)6.2.4 电力行业信息系统安全等级保护定级对象分类 (14)确定受侵害的客体 (14)确定对客体的侵害程度 (16)6.4.1 侵害的客观方面 (16)6.4.2 综合判定侵害程度 (16)可能侵害的客体及侵害程度的确定方法 (18)确定定级对象的安全保护等级 (20)关于定级过程的说明 (21)7 关于审批流程的说明 (24)8 等级变更 (25)9 电力行业重要信息系统安全等级保护定级建议 (25)1 引言为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)和国家电力监管委员会《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)要求,指导电力行业信息系统安全保护定级工作,制定本意见。
2 依据《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)3 术语和定义信息系统基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的系统。
电力行业信息系统安全等级保护定级建议
省级以下
2
发电厂SIS
总装机1000兆瓦及以上
3
若含控制功能则为生产控制系统
总装机1000兆瓦以下
2
梯级水调自动化系统
2
大坝自动监测系统
2
雷电(气象)监测系统
2
核电站环境监测系统
3
网站系统
企业内部网站系统
2
企业对外网站系统
集团公司本部
3
二级公司、网省公司以下
2
电力监管门户网站系统
电监会本部
3
电监会派出机构
2
管理信息
系统
生产管理信息系统
2
电力市场信息系统
3
财务(资金)管理系统
集团公司本部、二级公司、网省公司
3
二级公司、网省公司以下
2
营销管理系统
2
办公自动化(OA)
集团公司本部
3
二级公司、网省公司及以下
2
邮件系统
2
人力资源管理系统
2
物资管理系统
2
项目管理系统
2
ERP系统
2
修造管理信息系统
2
施工管理信息系统
水电厂监控系统
总装机1000兆瓦及以上
3
总装机1000兆瓦以下
2
梯级调度监测系统
总装机2000兆瓦及以上
3
若无控制功能则为生产管理系统
总装机2000兆瓦以下
2
生产管理
系统
继电保护和故障录波信息管理系统
2
电能量计量系统
3
广域相量测量系统
3
若含控制功能则为生产控制系统
水调自动化系统
2
调度生产管理系统
信息安全等级保护定级指南
信息安全等级保护定级指南The document was finally revised on 2021附件2信息系统安全保护等级定级指南(试用稿)公安部二〇〇五年十二月目次信息系统安全保护等级定级指南1范围本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。
有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统,该系统的安全保护等级定为5级,不再使用本指南的方法定级。
各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。
2术语和定义下列术语和定义适用于本指南。
2.1 业务信息(Business Information)为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。
2.2 业务信息安全性(Security of Business Information)保证业务信息机密性、完整性和可用性程度的表征。
2.3 业务服务保证性(Assurance of Business Service)保证信息系统完成业务使命程度的表征。
业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。
2.4 信息系统(Information System)基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。
2.5 业务子系统(Business Subsystem)由信息系统的一部分组件构成,是信息系统中能够承载某项业务工作的子系统。
3定级对象如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。
如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。
信息系统是进行等级确定和等级保护管理的最终对象。
3.1 信息系统的划分一个组织机构内可能运行一个或多个信息系统,这些信息系统的安全保护等级可以是相同的,也可以是不同的。
电力行业信息系统安全等级保护基本要求修订稿
电力行业信息系统安全等级保护基本要求 WEIHUA system office room 【WEIHUA 16H-WEIHUA WEIHUA8Q8-ICSDL电力行业信息系统安全等级保护基本要求Baseline for classified protection of power industry information system(征求意见稿)电力行业网络与信息安全领导小组办公室目次前言 (V)引言 (VI)第一部分通用要求 (1)1适用范围 (1)2规范性参考文件 (1)3术语和定义 (1)4信息系统安全等级保护概述 (1)信息系统安全保护等级 (1)不同等级的安全保护能力 (1)总体要求、基本技术要求和基本管理要求 (2)基本技术要求的三种类型 (2)第二部分:管理信息系统类要求 (4)5 总体要求 (4)总体技术要求 (4)总体管理要求 (4)6第一级基本要求 (5)技术要求 (5)物理安全 (5)网络安全 (5)主机安全 (6)应用安全 (6)数据安全及备份恢复 (7)管理要求 (7)安全管理制度 (7)安全管理机构 (7)人员安全管理 (7)系统建设管理 (8)系统运维管理 (9)7第二级基本要求 (10)技术要求 (10)物理安全 (10)网络安全 (11)主机安全 (13)应用安全 (14)数据安全 (15)管理要求 (15)安全管理制度 (15)安全管理机构 (16)人员安全管理 (16)系统建设管理 (17)系统运维管理 (19)8第三级基本要求 (21)技术要求 (22)物理安全 (22)网络安全 (23)主机安全 (25)应用安全 (27)数据安全 (29)管理要求 (29)安全管理制度 (29)安全管理机构 (30)人员安全管理 (31)系统建设管理 (32)系统运维管理 (35)第三部分:生产控制信息系统类要求 (40)9 总体要求 (40)总体技术要求 (40)总体管理要求 (40)10第一级基本要求 (41)技术要求 (41)物理安全 (41)网络安全 (41)主机安全 (42)应用安全 (42)数据安全及备份恢复 (42)管理要求 (42)安全管理制度 (42)安全管理机构 (43)人员安全管理 (43)系统建设管理 (44)系统运维管理 (45)11第二级基本要求 (46)技术要求 (46)物理安全 (46)网络安全 (47)主机安全 (48)应用安全 (49)数据安全 (50)管理要求 (51)安全管理制度 (51)安全管理机构 (51)人员安全管理 (52)系统建设管理 (52)系统运维管理 (54)12第三级基本要求 (56)技术要求 (56)物理安全 (56)网络安全 (58)主机安全 (60)应用安全 (61)数据安全 (63)管理要求 (63)安全管理制度 (63)安全管理机构 (64)人员安全管理 (65)系统建设管理 (66)系统运维管理 (68)13第四级基本要求 (71)技术要求 (71)物理安全 (72)网络安全 (73)主机安全 (75)应用安全 (76)数据安全 (78)管理要求 (78)安全管理制度 (78)安全管理机构 (79)人员安全管理 (80)系统建设管理 (81)系统运维管理 (84)附录A 关于信息系统整体安全保护能力的要求 (88)附录B 基本安全要求的选择和使用 (90)参考文献 (92)前言本标准的附录A和附录B是规范性附录。
电力行业信息系统安全等级保护定级工作指导意见
电力行业信息系统安全等级保护定级工作指导意见国家电力监管委员会二〇〇七年十一月目录1 引言错误!未定义书签。
2 依据错误!未定义书签。
3 术语和定义错误!未定义书签。
信息系统错误!未定义书签。
等级保护对象错误!未定义书签。
客体错误!未定义书签。
系统服务错误!未定义书签。
4 工作组织错误!未定义书签。
5 定级原理错误!未定义书签。
信息系统安全保护等级错误!未定义书签。
信息系统安全保护等级的定级要素错误!未定义书签。
受侵害的客体错误!未定义书签。
对客体的侵害程度错误!未定义书签。
定级要素与等级的关系错误!未定义书签。
6 定级方法错误!未定义书签。
定级流程错误!未定义书签。
确定定级对象错误!未定义书签。
作为定级对象的基本特征错误!未定义书签。
定级对象的识别方法错误!未定义书签。
定级对象信息系统边检和边界设备的确定方法错误!未定义书签。
电力行业信息系统安全等级保护定级对象分类错误!未定义书签。
确定受侵害的客体错误!未定义书签。
确定对客体的侵害程度错误!未定义书签。
侵害的客观方面错误!未定义书签。
综合判定侵害程度错误!未定义书签。
可能侵害的客体及侵害程度的确定方法错误!未定义书签。
确定定级对象的安全保护等级错误!未定义书签。
关于定级过程的说明错误!未定义书签。
7 关于审批流程的说明错误!未定义书签。
8 等级变更错误!未定义书签。
9 电力行业信息系统安全等级保护定级参考错误!未定义书签。
1 引言为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)和国家电力监管委员会《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)要求,指导电力行业信息系统安全保护定级工作,制定本意见。
2 依据《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)3 术语和定义信息系统基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的系统。
国家能源局 电力行业等级保护定级指南
国家能源局电力行业等级保护定级指南《国家能源局电力行业等级保护定级指南指南说明》嗨,新手朋友!今天咱们来唠唠国家能源局电力行业等级保护定级指南这个事儿。
一、基本注意事项首先啊,你得知道这个定级可不是瞎定的。
就像咱们盖房子,得先知道这房子是用来干啥的,是住人的小房子还是要盖个高楼大厦呢?这电力行业等级保护定级呀,要基于对电力系统、数据和业务的全面了解。
我一开始就觉得,不就是定个级嘛,没那么复杂,结果发现大错特错。
这时候你要全面梳理电力企业内部的信息资产,这包括硬件设备,像什么服务器啊,电力设备那些;还有软件系统,各种各样的电力运营系统。
不能漏了任何一个有价值的东西。
拿我之前的经历来说,有一次梳理,我就差点遗漏了一个看似不起眼但实际很关键的辅助系统,到后来才发现这系统要是出问题,也会影响整个电力业务流程。
二、实用建议在定级的时候呢,要根据重要性和受到破坏后的影响程度来分级。
这里有个诀窍,你可以先画个简单的表格,横向列上可能受到的损失类型,比如经济损失、社会影响、电力稳定运行影响这一类的;纵向呢列出各个信息资产。
然后逐一分析每个资产在受到破坏时在不同方面产生的影响大小。
就像给人看病一样,得把各个症状都分析清楚了才能确诊是个啥病,这定级也是这个道理。
同时,多参考同行业的案例。
看别人是怎么做定级的,比如说别的电力企业有类似的系统,他们定的啥级,为啥这么定。
这就是站在巨人的肩膀上嘛。
我当时就是这么做的,发现真的省了不少事儿。
三、容易忽视的点我跟你说啊,可别小瞧了一些基础的辅助设备或者不太常用的功能模块。
有时候大家都把注意力放在核心业务系统上,觉得那些小设备或者不太起眼的功能无所谓。
但是你想想,假如是一个小小的传感器出了问题,也许它就影响了整个电力设备的监控数据准确性,进而可能影响到其他重要的操作决策呢。
所以啊,每个环节,哪怕再小,都要在你的考虑范围之内。
还有啊,这定级不是定完就完事儿的。
要根据实际情况动态调整。
电力行业信息安全系统等级保护定级工作指导意见
电力行业信息安全系统等级保护定级工作指导意见1. 概述电力行业信息安全系统是保障电力生产、传输及管理过程中信息安全的重要组成部分。
为了有效管理和保护电力行业信息系统的安全,制定本指导意见,明确信息系统定级的方法、步骤和要求,并为后续的安全保护工作提供指导。
2. 定义2.1 信息系统等级保护信息系统等级保护是指根据信息系统的风险等级,确定相应的安全保护措施和技术要求,以保护信息系统的机密性、完整性和可用性。
2.2 信息系统等级信息系统等级是根据信息系统的安全需求和风险评估结果,将信息系统划分为不同的等级。
3. 系统等级划分3.1 风险评估对电力行业信息系统进行全面的风险评估,包括对信息泄露、数据篡改、系统中断等方面进行评估,确定信息系统所面临的安全风险。
3.2 安全需求分析根据风险评估结果,结合电力行业的特点和安全要求,分析确定信息系统的安全需求,包括机密性、完整性、可用性等方面。
3.3 等级划分根据安全需求的不同,将信息系统划分为不同的等级,可分为第一级(最高级)、第二级、第三级等。
4. 定级步骤4.1 收集信息收集与信息系统相关的资料和文件,包括系统架构、应用程序、数据流程图等。
4.2 风险评估根据收集到的信息,进行风险评估工作,确定信息系统的各项安全风险。
4.3 分析安全需求根据风险评估的结果和电力行业的特点,分析确定信息系统的安全需求。
4.4 确定等级根据安全需求和现有的定级标准,确定信息系统的等级。
4.5 制定保护计划根据信息系统的等级,制定相应的保护计划和措施,包括物理安全、网络安全、权限控制等。
5. 监督与评估对已定级的信息系统进行定期的监督和评估,确保保护计划的有效实施和安全措施的有效性。
6. 培训与宣传加强对电力行业信息系统安全定级工作的培训和宣传,提高相关人员对信息安全的认识和意识。
7. 附则7.1 根据电力行业信息系统的发展和变化,本指导意见可进行适当的修订和调整。
7.2 本指导意见自发布之日起实施。
关于重要信息系统安全等级保护定级的几点意见
关于重要信息系统安全等级保护定级的几点意见来源:admin 发布日期:2012-02-05国家信息安全保护等级专家评审委员会主任沈昌祥院士自7月20日全国重要信息系统安全等级保护定级工作电视电话会议以来,重要信息系统安全等级保护定级工作(以下简称“定级工作”)在各部门、各单位积极部署开展起来。
近两个月来,我受国家信息安全等级保护协调小组办公室的邀请,参加了对教育部、卫生部等部委的调研、指导定级工作。
同时,应有关部委的邀请参加了奥组委、铁道部、发改委等部门信息系统定级评审工作,与有关专家对相关部门的信息系统进行分析、研究,并评审所确定的信息系统安全保护等级。
在上述工作过程中,我感到许多单位对定级工作高度重视,有些部委成立了由主要领导挂帅的等级保护领导(协调)机构,确定专门的责任部门牵头负责此项工作,认真研究部署,积极采取有力措施,结合行业实际,制定出台了定级工作的指导意见或实施方案,克服时间紧、任务重、工作新的不利因素,稳步、扎实推进定级工作。
通过定级工作的开展,许多信息系统运营使用单位和主管部门对信息安全等级保护工作的重要性、紧迫性有了充分认识。
同时,公安机关作为牵头部门,积极发挥职能作用,不断增强服务保障意识,与相关单位加强协调配合,不断加强对定级工作的监督、检查和指导,为全面贯彻落实国家信息安全等级保护制度提供了有力保障。
在调研、定级评审过程中,也发现当前定级工作还存在少数部门信息系统定级不合理、不准确问题。
结合工作中掌握的一些具体情况,我认为主要有以下几方面原因:一是有些部门未能站在国家安全、社会稳定的高度统筹考虑信息系统等级,而仅从行业和信息系统自身安全角度考虑。
二是有些部门认为信息系统级别定高,要花费更多的资金,单位负担加重。
三是有些部门对本行业下级单位定级指导不力,同类信息系统下级部门定级偏低,特别是一些重要行业地市级单位的系统级别偏低。
四是少数部门领导对定级工作重视不够,还有些部门以信息系统运维单位为主进行定级,业务单位参与定级不够。
电力行业信息系统安全等级保护流程工作指导意见
电力行业信息系统安全等级保护流程工作指导意见背景电力行业的信息系统安全对于保障电力供应和维护行业稳定运行至关重要。
为了保护电力行业信息系统的安全,需要建立一套安全等级保护流程工作指导意见。
目标本指导意见的目标是为电力行业的信息系统安全等级保护流程提供详细的工作指导,确保信息系统的安全性和可靠性。
流程概述1. 评估:对电力行业的信息系统进行安全评估,包括风险评估、脆弱性评估和安全需求评估。
2. 等级划分:根据评估结果,将信息系统划分为不同的安全等级。
3. 安全控制措施:根据安全等级,制定相应的安全控制措施,包括物理安全、网络安全、访问控制等。
4. 实施:按照制定的安全控制措施进行实施,并进行监控和管理。
5. 评价和改进:定期评价信息系统的安全性,并根据评估结果不断改进安全措施。
具体步骤1. 评估- 进行风险评估,分析潜在的安全威胁和漏洞。
- 进行脆弱性评估,发现系统中存在的弱点和漏洞。
- 进行安全需求评估,确定信息系统的安全需求和目标。
2. 等级划分根据评估结果,将信息系统划分为适当的安全等级,可以根据保密性、完整性和可用性进行划分。
3. 安全控制措施根据各个安全等级,制定相应的安全控制措施,并确保措施的合理性和可行性。
控制措施可以包括以下方面:- 物理安全:保护信息系统的物理环境,包括访问控制、视频监控等。
- 网络安全:保护信息系统的网络通信,包括防火墙、入侵检测系统等。
- 访问控制:控制信息系统的访问权限,包括身份验证、权限管理等。
4. 实施按照制定的安全控制措施进行实施,并进行监控和管理。
确保安全措施的有效性和实施的及时性。
5. 评价和改进定期评价信息系统的安全性,包括安全事件的发生情况、安全措施的有效性等,并根据评估结果不断改进安全措施,提升信息系统的安全级别。
结论通过建立和遵循电力行业信息系统安全等级保护流程工作指导意见,可以有效提升电力行业的信息系统安全性,保障电力供应和维护行业稳定运行。
电力行业信息系统安全等级保护定级工作指导意见
护 等 级 ;5 确 定 系 统 服 务 安 全 受 () 到 破 坏 时 所 侵 害 的 客 体 ;6 根 据 () 不 同 的 受 侵 害 客 体 ,从 多 个 方 面 综 合 评 定 系 统 服 务 安 全 被 破 坏 对 客 体 的 侵 害 程 度 ; 7 依 据 表 4, () 得 到 系 统 服 务 安 全 保 护 等 级 ;( 8) 将业 务信息 安全 保护等 级 和系统 服 务 安 全 保 护 等 级 的较 高 者 确 定
122 对客 体的侵 害程度 ..
对 客 体 的 侵 害 程 度 由 客 观 方 面 的 不 同 外 在 表 现 综 合 决 定 。 于 对 客 体 的 侵 害 是 通 过 对 等 级 保 护 对 象 的破 坏 实 现 的 , 由
因 此 , 客 体 的侵 害 外 在 表 现 为 对 等 级 保 护 对 象 的破 坏 , 过 对 通
电 力 系统 信 息 安 全 问题 、 发 相 应 的 应 用 系统 、 定 电力 系统 信 息 遭 受 外 部 攻 击 时 的 防 范 与 系统 恢 复措 施 等 信 息安 全 . 开 制
战 略 是 当前信 息化 工 作 的 重要 内容 。电 力 系统信 息 安 全 已经成 为 电力 企 业 生 产 、 营 和 管理 的 重要 组成 部 分 。为 贯彻 t 经
1 受侵 害的客 体 1 2
等 级 保 护 对 象 受 到 破 坏 时 所 侵 害 的 客 体 包 括 以 下 3个 方 面 :1 公 民 、 人 和 其 他 组 织 的 合 法 权 益 ;2 社 会 秩 序 、 共 ( ) 法 ( ) 公
电力行业等保定级指南
电力行业等保定级指南《电力行业等保定级指南》嘿,新手朋友。
想跟你说说电力行业的等保定级的事儿。
这可是个很重要的内容呢,我刚接触的时候也是一头雾水。
一、基本注意事项首先啊,得明白等保定级是为了保障电力系统安全的。
就像是给电力系统的安全上了几级锁一样。
咱们要知道不同等级对应着不同的安全要求。
你看,如果把电力系统比作一个大房子,那等保定级就是决定这个房子安全防护强弱程度的标准。
在开始进行等保定级前,基础数据一定要收集准确。
我当时就是没太重视这个,后来发现很多工作都得返工重新核对数据,那真叫一个头疼。
数据就像盖房子的砖块,少一块或者坏一块,房子就盖不牢。
二、实用建议在评估等保的时候啊,多参考一些已经成功定级的案例。
这就好比你考试前看那些优秀答卷一样。
比如说,你能看到他们对不同电力设备是怎么按照要求分类进行评估的。
我记得有一次我看到一个案例,人家对于电力监控系统的等保定级就特别细致,按照不同的功能模块分别评估风险,我就借鉴了这个方法,自己的评估工作顺利多了。
还有重要的一点,要和相关部门多沟通。
像电力企业里信息部门、安全部门等,因为他们每个部门对电力系统的不同方面都有自己的见解。
三、容易忽视的点要注意,不同地区对于等保定级可能存在一些特殊要求或者一些细则上的差别。
我当时就以为全国都一样呢,差点闹了大笑话。
有些小地方的特殊电力情况可能不在通用的那套标准里,所以在做的时候一定要了解本地的政策和规定。
另外,更新和维护计划在等保定级过程中也容易被忽视。
你想啊,电力系统不是静止不动的,一直在运行和发展,要是没有设定好后续的更新和维护计划,可能刚开始的等保定级做得好好的,过不了多久就不符合要求了。
四、特殊情况比如说在一些老旧的电力设施上进行等保定级。
这可不像新设备那样有完整的说明书啊什么的。
这种时候,你得更小心地去检查设备的实际运行情况,可能得结合一些老员工的经验来判断它存在的安全风险。
还有像一些电力系统涉及到军事、重要的国家级设施等特殊用电场景,那等保定级的标准就更严格,审核流程可能也更复杂,审查的部门可能也不止咱们电力行业内部的相关部门。
5.电力行业信息系统安全等级保护定级指导意见(初稿)
电力行业信息系统安全等级保护定级指导意见(修订稿)2013年12月1日目次1 引言 (1)2 依据 (1)3 术语和定义 (1)3.1 等级保护对象 target of classified security (1)3.2 客体object (1)3.3 客观方面objective (1)3.4 系统服务 system service (1)4 工作组织 (1)5 定级原理 (2)5.1 电力信息系统安全保护等级 (2)5.2 电力信息系统安全保护等级的定级要素 (2)5.2.1 受侵害的客体 (2)5.2.2 对客体的侵害程度 (2)5.3 定级要素与等级的关系 (2)6 定级方法 (3)6.1 定级的一般流程 (3)6.2 确定定级对象 (4)6.3 确定受侵害的客体 (5)6.3.1 侵害的客观方面 (6)6.3.2 综合判定侵害程度 (6)6.4 确定定级对象的安全保护等级 (7)7 等级评审、核准和备案 (8)8 等级变更 (8)9 电力行业重要信息系统安全等级保护定级建议 (8)10 附录 (9)电力行业信息系统安全定级指导意见1引言为落实国家信息安全等级保护制度,更有效的指导电力行业信息系统安全保护定级工作,结合几年来电力行业信息安全等级保护工作开展情况,修定本意见。
2依据《信息安全等级保护管理办法》(公通字[2007]43号)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)《电力二次系统安全防护规定》(电监会5号令)《电力行业信息系统安全等级保护基本要求》(电监信息[2012]62号)3术语和定义3.1等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。
3.2客体object受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
电力行业加快组织开展信息安全等级保护定级工作
信息安全等级保护工作简报第(10)期国家信息安全等级保护工作协调小组办公室2007年8月29日电力行业加快组织开展信息安全等级保护定级工作为贯彻落实《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》要求,提高电力行业网络和信息系统的安全保障能力和水平,国家电力监管委员会(以下简称电监会)作为电力行业网络与信息安全监督管理部门,结合行业特点,近期印发了《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2007]34号,以下简称《通知》),组织国家电网公司、南方电网公司、华能、大唐、华电、国电、中电投集团公司以及各有关电力公司开展重要信息系统安全等级保护定级工作。
一是明确了定级工作的组织。
为在电力行业有效贯彻落实国家信息安全等级保护制度,《通知》中明确了定级工作的组织机构及职责分工。
电监会成立电力行业网络与信息安全领导小组,统一协调领导电力行业信息系统安全等级保护定级工作,领导小组下设办公室,具体负责定级工作的组织开展,监督、指导信息系统运营使用单位的定级工作。
同时,成立了电力行业信息系统安全等级保护定级工作专家组,就定级工作提供指导、咨询,对定级结果进行评审。
此外,《通知》要求各电力公司确定等级保护责任部门,负责组织开展本公司信息系统安全等级保护定级工作。
二是明确了定级工作的内容。
第一,各电力公司责任部门要组织本系统的信息系统运营使用单位,开展对所属网络和信息系统的摸底调查工作,全面掌握信息网络和信息系统的数量、分布、业务类型、系统结构、应用或服务范围等基本情况。
第二,各电力公司在摸底调查的基础上,按照要求确定各定级对象,初步确定其安全保护等级,起草定级报告,并由各电力公司责任部门汇总后统一报送领导小组办公室。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
第三,领导小组办公室印发《电力行业信息系统安全等级保护定级实施指南》(以下简称《实施指南》),指导各电力公司和信息系统运营使用单位的定级工作,组织专家对上报的定级报告进行分类评审。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电力行业信息系统安全等级保护定级指导意见(修订稿)2013年12月1日目次1 引言 (1)2 依据 (1)3 术语和定义 (1)3.1 等级保护对象 target of classified security (1)3.2 客体object (1)3.3 客观方面objective (1)3.4 系统服务 system service (1)4 工作组织 (1)5 定级原理 (2)5.1 电力信息系统安全保护等级 (2)5.2 电力信息系统安全保护等级的定级要素 (2)5.2.1 受侵害的客体 (2)5.2.2 对客体的侵害程度 (2)5.3 定级要素与等级的关系 (2)6 定级方法 (3)6.1 定级的一般流程 (3)6.2 确定定级对象 (4)6.3 确定受侵害的客体 (5)6.3.1 侵害的客观方面 (6)6.3.2 综合判定侵害程度 (6)6.4 确定定级对象的安全保护等级 (7)7 等级评审、核准和备案 (8)8 等级变更 (8)9 电力行业重要信息系统安全等级保护定级建议 (8)10 附录 (9)电力行业信息系统安全定级指导意见1引言为落实国家信息安全等级保护制度,更有效的指导电力行业信息系统安全保护定级工作,结合几年来电力行业信息安全等级保护工作开展情况,修定本意见。
2依据《信息安全等级保护管理办法》(公通字[2007]43号)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)《电力二次系统安全防护规定》(电监会5号令)《电力行业信息系统安全等级保护基本要求》(电监信息[2012]62号)3术语和定义3.1等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。
3.2客体object受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
3.3客观方面objective对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
3.4系统服务 system service信息系统为支撑其所承载业务而提供的程序化过程。
4工作组织国家能源局:组织领导并统一协调电力行业信息系统安全等级保护定级工作,对信息系统运营使用单位的定级工作进行督促、检查和指导。
国家能源局派出机构:组织领导协调辖区内电力企业信息系统安全等级保护定级工作,对信息系统运营使用单位的定级工作进行督促、检查和指导。
电力行业信息系统安全等级保护定级工作专家组(以下简称专家组):对电力行业信息系统安全定级工作进行专家指导、咨询,对定级结果进行评审。
各有关电力公司:负责组织开展本单位(系统)信息系统安全等级保护定级工作。
信息系统运营使用单位:具体负责所运营、使用的信息系统的安全定级工作。
国家能源局信息中心:为电力行业信息系统安全等级保护定级工作提供技术指导、支撑和服务。
5定级原理5.1电力信息系统安全保护等级根据等级保护相关管理文件,电力信息系统的安全保护等级分为以下四级:第一级,电力信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,电力信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,电力信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,电力信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
5.2电力信息系统安全保护等级的定级要素电力信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
5.2.1受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:a)公民、法人和其他组织的合法权益;b)社会秩序、公共利益;c)国家安全。
5.2.2对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:a)造成一般损害;b)造成严重损害;c)造成特别严重损害。
5.3定级要素与等级的关系定级要素与信息系统安全保护等级的关系如表1所示。
表1 定级要素与安全保护等级的关系6定级方法6.1定级的一般流程信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:a)确定作为定级对象的信息系统;b)确定业务信息安全受到破坏时所侵害的客体;c)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;d)依据表2,得到业务信息安全保护等级;e)确定系统服务安全受到破坏时所侵害的客体;f)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;g)依据表3,得到系统服务安全保护等级;h)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
上述步骤如图1确定等级一般流程所示。
图1 确定等级一般流程6.2确定定级对象一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
作为定级对象的信息系统应具有如下基本特征:a)具有唯一确定的安全责任单位。
作为定级对象的信息系统应能够唯一地确定其安全责任单位。
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
b)具有信息系统的基本要素。
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
c)承载单一或相对独立的业务应用。
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。
定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
6.3确定受侵害的客体定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面:-影响国家政权稳固和国防实力;-影响国家统一、民族团结和社会安定;-影响国家对外活动中的政治、经济利益;-影响国家重要的安全保卫工作;-影响国家经济竞争力和科技实力;-其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:-影响国家机关社会管理和公共服务的工作秩序;-影响各种类型的经济活动秩序;-影响各行业的科研、生产秩序;-影响公众在法律约束和道德规范下的正常生活秩序等;-其他影响社会秩序的事项。
影响公共利益的事项包括以下方面:-影响社会成员使用公共设施;-影响社会成员获取公开信息资源;-影响社会成员接受公共服务等方面;-其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
电力行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
6.3.1侵害的客观方面在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。
由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后,可能产生以下危害后果:-影响行使工作职能;-导致业务能力下降;-引起法律纠纷;-导致财产损失;-造成社会不良影响;-对其他组织和个人造成损失;-其他影响。
6.3.2综合判定侵害程度侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。
对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:-如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;-如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下:-一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
-严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
-特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。
由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。