电力行业信息系统安全等级保护定级工作指导意见
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电力行业信息系统安全等级保护定级工作指导意见
国家电力监管委员会
二〇〇七年十一月
目录
1 引言 (1)
2 依据 (1)
3 术语和定义 (1)
3.1 信息系统 (1)
3.2 等级保护对象 (2)
3.3 客体 (2)
3.4 系统服务 (2)
4 工作组织 (2)
5 定级原理 (3)
5.1 信息系统安全保护等级 (3)
5.2 信息系统安全保护等级的定级要素 (4)
5.2.1 受侵害的客体 (4)
5.2.2 对客体的侵害程度 (4)
5.3 定级要素与等级的关系 (4)
6 定级方法 (5)
6.1 定级流程 (5)
6.2 确定定级对象 (6)
6.2.1 作为定级对象的基本特征 (7)
6.2.2 定级对象的识别方法 (7)
6.2.3 定级对象信息系统边检和边界设备的确定方法 (11)
6.2.4 电力行业信息系统安全等级保护定级对象分类 (13)
6.3 确定受侵害的客体 (13)
6.4 确定对客体的侵害程度 (14)
6.4.1 侵害的客观方面 (14)
6.4.2 综合判定侵害程度 (15)
6.5可能侵害的客体及侵害程度的确定方法 (17)
6.6 确定定级对象的安全保护等级 (19)
6.7 关于定级过程的说明 (20)
7 关于审批流程的说明 (23)
8 等级变更 (24)
9 电力行业信息系统安全等级保护定级参考 (24)
1 引言
为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)和国家电力监管委员会《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)要求,指导电力行业信息系统安全保护定级工作,制定本意见。
2 依据
《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)
3 术语和定义
3.1 信息系统
基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的系统。
3.2 等级保护对象
信息系统安全等级保护工作直接作用的具体的信息和信息系统。
3.3 客体
受法律保护的等级保护对象受到破坏时所侵害的社会关系,如国家安全,社会秩序、公共利益以及公民、法人或社会其他组织的合法权益。
3.4 客观方面
对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
3.5 系统服务
信息系统为支撑其所承载业务而提供的程序化过程。
4 工作组织
国家电力监管委员会:组织领导并统一协调电力行业信息系统安全等级保护定级工作,对信息系统运营使用单位的定级工作进行督促、检查和指导。
电力行业信息系统安全等级保护定级工作专家组(以下简称专家组):对电力行业信息系统安全定级工作进行专家指导、咨询,对定级结果进行评审。
各有关电力公司(电力行业网络与信息安全领导小组成员单
位):负责组织开展本单位(系统)信息系统安全等级保护定级工作。
信息系统运营使用单位(以下简称运营使用单位):具体负责所运营、使用的信息系统的安全定级工作。
技术支持单位:中国电力科学研究院信息安全研究所等单位为信息安全定级工作的技术支持单位,负责提供技术支持。
5 定级原理
5.1 信息系统安全保护等级
根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
5.2 信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
5.2.1 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:(1)公民、法人和其他组织的合法权益;
(2)社会秩序、公共利益;
(3)国家安全。
5.2.2 对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
(1)造成一般损害;
(2)造成严重损害;
(3)造成特别严重损害。
5.3 定级要素与等级的关系
定级要素与信息系统安全保护等级的关系如表1所示。