收藏
下载资源

电力行业信息系统安全等级保护定级工作指导意见资料

上传人:w****i 文档编号:95272397 上传时间:2019-08-16 格式:DOC 页数:30 大小:203KB
返回 下载 相关 举报
电力行业信息系统安全等级保护定级工作指导意见资料_第1页
第1页 / 共30页
电力行业信息系统安全等级保护定级工作指导意见资料_第2页
第2页 / 共30页
电力行业信息系统安全等级保护定级工作指导意见资料_第3页
第3页 / 共30页
电力行业信息系统安全等级保护定级工作指导意见资料_第4页
第4页 / 共30页
电力行业信息系统安全等级保护定级工作指导意见资料_第5页
第5页 / 共30页
点击查看更多>>
资源描述

《电力行业信息系统安全等级保护定级工作指导意见资料》由会员分享,可在线阅读,更多相关《电力行业信息系统安全等级保护定级工作指导意见资料(30页珍藏版)》请在金锄头文库上搜索。

1、电力行业信息系统安全等级保护定级工作指导意见国家电力监管委员会二七年十一月28目 录1 引言12 依据13 术语和定义13.1 信息系统13.2 等级保护对象23.3 客体23.4 系统服务24 工作组织25 定级原理35.1 信息系统安全保护等级35.2 信息系统安全保护等级的定级要素45.2.1 受侵害的客体45.2.2 对客体的侵害程度45.3 定级要素与等级的关系46 定级方法56.1 定级流程56.2 确定定级对象66.2.1 作为定级对象的基本特征76.2.2 定级对象的识别方法76.2.3 定级对象信息系统边检和边界设备的确定方法116.2.4 电力行业信息系统安全等级保护定级对

2、象分类136.3 确定受侵害的客体136.4 确定对客体的侵害程度146.4.1 侵害的客观方面146.4.2 综合判定侵害程度156.5可能侵害的客体及侵害程度的确定方法176.6 确定定级对象的安全保护等级196.7 关于定级过程的说明207 关于审批流程的说明238 等级变更249 电力行业信息系统安全等级保护定级参考241 引言为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室关于印发的通知(公通字200743号)、关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号)和国家电力监管委员会关于开展电力行业信息系统安全等级保护定级工作的通知(电监信

3、息200734号)要求,指导电力行业信息系统安全保护定级工作,制定本意见。2 依据关于印发的通知(公通字200743号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号)关于开展电力行业信息系统安全等级保护定级工作的通知(电监信息200734号)3 术语和定义3.1 信息系统基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的系统。3.2 等级保护对象信息系统安全等级保护工作直接作用的具体的信息和信息系统。3.3 客体受法律保护的等级保护对象受到破坏时所侵害的社会关系,如国家安全,社会秩序、公共利益以及公民、法人或社会其他组织

4、的合法权益。3.4 客观方面 对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。3.5 系统服务信息系统为支撑其所承载业务而提供的程序化过程。4 工作组织国家电力监管委员会:组织领导并统一协调电力行业信息系统安全等级保护定级工作,对信息系统运营使用单位的定级工作进行督促、检查和指导。电力行业信息系统安全等级保护定级工作专家组(以下简称专家组):对电力行业信息系统安全定级工作进行专家指导、咨询,对定级结果进行评审。各有关电力公司(电力行业网络与信息安全领导小组成员单位):负责组织开展本单位(系统)信息系统安全等级保护定级工作。信息系统运营使用单位(以下简称运营使用单位):具体负责所运营、使

5、用的信息系统的安全定级工作。技术支持单位:中国电力科学研究院信息安全研究所等单位为信息安全定级工作的技术支持单位,负责提供技术支持。5 定级原理5.1 信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩

6、序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。5.2 信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。5.2.1 受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:(1)公民、法人和其他组织的合法权益;(2)社会秩序、公共利益;(3)国家安全。5.2.2 对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式

7、、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:(1)造成一般损害;(2)造成严重损害;(3)造成特别严重损害。5.3 定级要素与等级的关系定级要素与信息系统安全保护等级的关系如表1所示。表1 定级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级6 定级方法6.1 定级流程信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两

8、方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。确定信息系统安全保护等级的一般流程如下:(1)确定作为定级对象的信息系统;(2)确定业务信息安全受到破坏时所侵害的客体;(3)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;(4)依据表3,得到业务信息安全保护等级;(5)确定系统服务安全受到破坏时所侵害的客体;(6)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;(7)依据表4,得到系统服务安全保护等级;(8)将业务信息安全保护等级和系统服务安

9、全保护等级的较高者确定为定级对象的安全保护等级。上述步骤如图1确定等级一般流程所示。图1 确定等级一般流程6.2 确定定级对象一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。6.2.1 作为定级对象的基本特征(1)具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分

10、别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。(2)具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。(3)承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。

11、6.2.2 定级对象的识别方法一般来讲单位信息系统可以划分为几个定级对象,如何划分系统是定级之前的主要问题。信息系统的划分没有绝对的对与错,只有合理与不合理,合理地划分信息系统有利于信息系统的保护及安全规划,反之可能给将来的应用和安全保护带来不便,又可能需要重新进行信息系统的划分。由于信息系统的多样性,不同的信息系统在划分过程中所侧重考虑的划分依据会有所不同。通常,在信息系统划分过程中,应当结合信息系统的现状,从信息系统的管理机构、业务特点或物理位置等几个方面考虑对信息系统进行划分,当然也可以根据信息系统的实际情况,选择其他的划分依据,只要最终划分结果合理就可以。(1)安全责任单位依据安全责任

12、单位的不同,划分信息系统。如果信息系统由不同的单位负责运行维护和管理,或者说信息系统的安全责任分属不同机构,则可以根据安全责任单位的不同划分成不同的信息系统。一个运行在局域网的信息系统,其安全责任单位一般只有一个,但对一个跨不同地域运行的信息系统来说,就可能存在不同的安全责任单位,此时可以考虑根据不同地域的信息系统的安全责任单位的不同,划分出不同的信息系统。在一个单位中,信息系统的业务管理和运行维护可能由不同部门负责,例如科技部门或信息中心负责信息系统所有设备和设施的运行、维护和管理,各业务部门负责其中的业务流程的制定和业务操作,信息系统的安全管理责任不仅指在信息系统的运行、维护和管理方面的责

13、任,承担安全责任的不应是科技部门,而应当是该单位本身。一个运行在局域网的信息系统,其管理边界比较明确,但对一个跨不同地域运行的信息系统,其管理边界可能有不同情况:如果不同地域运行的信息系统分属不同单位(如上级单位和下级单位)负责运行和管理,上下级单位的管理边界为本地的信息系统,则该信息系统可以划分为两个信息系统;如果不同地域运行的信息系统均由其上级单位直接负责运行和管理,运维人员由上级单位指派,安全责任由上级单位负责,则上级单位的管理边界应包括本地和远程的运行环境。(2)业务类型和业务重要性根据业务的类型、功能、阶段的不同,对信息系统进行划分,不同类型的业务之间会存在重要程度、环境、用户数量等

14、方面的不同,这些不同会带来安全需求和受破坏后的影响程度的差异,例如,一个是以信息处理为主的系统,其重要性体现在信息的保密性,而另一个是以业务处理为主的系统,其重要性体现在其所提供服务的连续性,因此,可以按照业务类型的不同划分为不同的信息系统。又比如,在整个业务流程中,核心处理系统的功能重要性可能远大于终端处理系统,有需要时,可以将其划分为不同的信息系统。归结起来,以下几种情况可能划分为不同等级的信息系统:可能涉及不同客体的系统。例如对内服务与对外运营的业务系统,对内服务的办公系统,一般来说其中的信息和提供的服务是面向本单位的,涉及到的等级保护客体一般是本单位,而对外运营的业务系统往往关系到其他

15、单位、个人或面向社会,因此这两类业务可能涉及不同的客体,可能具有不同的安全保护等级,可以考虑划分为不同的信息系统。又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。可能对客体造成不同程度损害的系统。例如全国大集中系统数据中心的数据量和服务范围都远大于各省级节点和市级节点,其受到破坏后的损害程度和影响范围也有很大差别,可能具有不同的安全等级,可以考虑划分为不同的信息系统。处理不同类型业务的系统。(3)分析物理位置的差异根据物理位置的不同,对信息系统进行划分。物理位置的不同,信息系统面临的安全威胁就可能不同,不同物理位置之间通信信道的不可信,使不同物理位置的信息系统也不能视为可以互相访问的一个安全域,即使等级相同可能也需要划分为不同的信息系统分别加以保护。因此,物理位置也可以作为信息系统划分的考虑因素之一。在进行信息系统的划分过程中,进行分

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号