收藏
下载资源

电力行业信息系统安全等级保护定级工作指导意见

上传人:M****1 文档编号:457148797 上传时间:2022-09-23 格式:DOCX 页数:31 大小:72.23KB
返回 下载 相关 举报
电力行业信息系统安全等级保护定级工作指导意见_第1页
第1页 / 共31页
电力行业信息系统安全等级保护定级工作指导意见_第2页
第2页 / 共31页
电力行业信息系统安全等级保护定级工作指导意见_第3页
第3页 / 共31页
电力行业信息系统安全等级保护定级工作指导意见_第4页
第4页 / 共31页
电力行业信息系统安全等级保护定级工作指导意见_第5页
第5页 / 共31页
点击查看更多>>
资源描述

《电力行业信息系统安全等级保护定级工作指导意见》由会员分享,可在线阅读,更多相关《电力行业信息系统安全等级保护定级工作指导意见(31页珍藏版)》请在金锄头文库上搜索。

1、电力行业信息系统安全等级保护定级工作指导意见国家电力监管委员会二00七年十一月1引言22依据23术语和定义3信息系统3等级保护对象3客体3客观方面3系统服务34工作组织35定级原理4信息系统安全保护等级4信息系统安全保护等级的定级要素55.2.1受侵害的客体55.2.2对客体的侵害程度5定级要素与等级的关系66定级方法6定级流程6确定定级对象86.2.1作为定级对象的基本特征86.2.2定级对象的识别方法96.2.3定级对象信息系统边界和边界设备的确定方法136.2.4电力行业信息系统安全等级保护定级对象分类14确定受侵害的客体14确定对客体的侵害程度166.4.1侵害的客观方面166.4.2

2、综合判定侵害程度16可能侵害的客体及侵害程度的确定方法18确定定级对象的安全保护等级20关于定级过程的说明217关于审批流程的说明248等级变更259电力行业重要信息系统安全等级保护定级建议251引言为贯彻落实公安部、国家保密局、国家密码管理局、国务院 信息化工作办公室关于印发信息安全等级保护管理办法的通 知(公通字200743号)、关于开展全国重要信息系统安全 等级保护定级工作的通知(公信安2007861号)和国家电 力监管委员会关于开展电力行业信息系统安全等级保护定级工 作的通知(电监信息200734号)要求,指导电力行业信息 系统安全保护定级工作,制定本意见。2依据关于印发信息安全等级保

3、护管理办法的通知(公通字 200743 号)关于开展全国重要信息系统安全等级保护定级工作的通 知(公信安2007861号)关于开展电力行业信息系统安全等级保护定级工作的通 知(电监信息200734号)3术语和定义信息系统基于计算机或计算机网络,按照一定的应用目标和规则对信 息进行采集、加工、存储、传输、检索和服务的系统。等级保护对象信息系统安全等级保护工作直接作用的具体的信息和信息 系统。客体受法律保护的等级保护对象受到破坏时所侵害的社会关系, 如国家安全,社会秩序、公共利益以及公民、法人或社会其他组 织的合法权益。客观方面对客体造成侵害的客观外在表现,包括侵害方式和侵害结果 等。系统服务信息

4、系统为支撑其所承载业务而提供的程序化过程。4工作组织国家电力监管委员会:组织领导并统一协调电力行业信息系 统安全等级保护定级工作,对信息系统运营使用单位的定级工作 进行督促、检查和指导。电力行业信息系统安全等级保护定级工作专家组(以下简称 专家组):对电力行业信息系统安全定级工作进行专家指导、咨 询,对定级结果进行评审。各有关电力公司(电力行业网络与信息安全领导小组成员单 位):负责组织开展本单位(系统)信息系统安全等级保护定级 工作。信息系统运营使用单位(以下简称运营使用单位):具体负 责所运营、使用的信息系统的安全定级工作。技术支持单位:中国电力科学研究院信息安全研究所等单位 为信息安全定

5、级工作的技术支持单位,负责提供技术支持。5定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为 以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织 的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织 的合法权益产生严重损害,或者对社会秩序和公共利益造成损 害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造 成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造 成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国

6、家安全造成特别严重 损害。信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对 象受到破坏时所侵害的客体和对客体造成侵害的程度。5.2.1受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:(1)公民、法人和其他组织的合法权益;(2)社会秩序、公共利益;(3)国家安全。5.2.2对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由 于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对 客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、 危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以 下三种:(1

7、)造成一般损害;(2) 造成严重损害;(3) 造成特别严重损害。定级要素与等级的关系定级要素与信息系统安全保护等级的关系如表1所示。表1定级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级6定级方法定级流程信息系统安全包括业务信息安全和系统服务安全,与之相关 的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定 级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务 信息安全保护等级。从系统服务安全角度反映的

8、信息系统安全保护等级称系统 服务安全保护等级。确定信息系统安全保护等级的一般流程如下:(1) 确定作为定级对象的信息系统;(2)确定业务信息安全受到破坏时所侵害的客体;(3)根据不同的受侵害客体,从多个方面综合评定业务信 息安全被破坏对客体的侵害程度;(4)依据表3,得到业务信息安全保护等级;(5)确定系统服务安全受到破坏时所侵害的客体;(6)根据不同的受侵害客体,从多个方面综合评定系统服 务安全被破坏对客体的侵害程度;(7)依据表4,得到系统服务安全保护等级;(8)将业务信息安全保护等级和系统服务安全保护等级的 较高者确定为定级对象的安全保护等级。上述步骤如图1确定等级一般流程所示。图1确定

9、等级一般流程确定定级对象一个单位内运行的信息系统可能比较庞大,为了体现重要部 分重点保护,有效控制信息安全建设成本,优化信息安全资源配 置的等级保护原则,可将较大的信息系统划分为若干个较小的、 可能具有不同安全保护等级的定级对象。6.2.1作为定级对象的基本特征(1)具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单 位。如果一个单位的某个下级单位负责信息系统安全建设、运行 维护等过程的全部安全责任,则这个下级单位可以成为信息系统 的安全责任单位;如果一个单位中的不同下级单位分别承担信息 系统不同方面的安全责任,则该信息系统的安全责任单位应是这 些下级单位共同所属的单

10、位。(2)具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设 施按照一定的应用目标和规则组合而成的有形实体。应避免将某 个单一的系统组件,如服务器、终端、网络设备等作为定级对象。(3)承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流 程独立,且与其他业务应用没有数据交换,且独享所有信息处理 设备。定级对象承载“相对独立”的业务应用是指其业务应用的 主要业务流程独立,同时与其他业务应用有少量的数据交换,定 级对象可能会与其他业务应用共享一些设备,尤其是网络传输设 备。6.2.2定级对象的识别方法一般来讲单位信息系统可以划分为几个定级对象,如

11、何划分 系统是定级之前的主要问题。信息系统的划分没有绝对的对与 错,只有合理与不合理,合理地划分信息系统有利于信息系统的 保护及安全规划,反之可能给将来的应用和安全保护带来不便, 又可能需要重新进行信息系统的划分。由于信息系统的多样性, 不同的信息系统在划分过程中所侧重考虑的划分依据会有所不 同。通常,在信息系统划分过程中,应当结合信息系统的现状, 从信息系统的管理机构、业务特点或物理位置等几个方面考虑对 信息系统进行划分,当然也可以根据信息系统的实际情况,选择 其他的划分依据,只要最终划分结果合理就可以。(1)安全责任单位依据安全责任单位的不同,划分信息系统。如果信息系统由 不同的单位负责运

12、行维护和管理,或者说信息系统的安全责任分 属不同机构,则可以根据安全责任单位的不同划分成不同的信息 系统。一个运行在局域网的信息系统,其安全责任单位一般只有 一个,但对一个跨不同地域运行的信息系统来说,就可能存在不 同的安全责任单位,此时可以考虑根据不同地域的信息系统的安 全责任单位的不同,划分出不同的信息系统。在一个单位中,信息系统的业务管理和运行维护可能由不同 部门负责,例如科技部门或信息中心负责信息系统所有设备和设 施的运行、维护和管理,各业务部门负责其中的业务流程的制定 和业务操作,信息系统的安全管理责任不仅指在信息系统的运 行、维护和管理方面的责任,承担安全责任的不应是科技部门, 而

13、应当是该单位本身。一个运行在局域网的信息系统,其管理边界比较明确,但对 一个跨不同地域运行的信息系统,其管理边界可能有不同情况: 如果不同地域运行的信息系统分属不同单位(如上级单位和下级 单位)负责运行和管理,上下级单位的管理边界为本地的信息系 统,则该信息系统可以划分为两个信息系统;如果不同地域运行 的信息系统均由其上级单位直接负责运行和管理,运维人员由上 级单位指派,安全责任由上级单位负责,则上级单位的管理边界 应包括本地和远程的运行环境。(2)业务类型和业务重要性根据业务的类型、功能、阶段的不同,对信息系统进行划分, 不同类型的业务之间会存在重要程度、环境、用户数量等方面的 不同,这些不

14、同会带来安全需求和受破坏后的影响程度的差异, 例如,一个是以信息处理为主的系统,其重要性体现在信息的保 密性,而另一个是以业务处理为主的系统,其重要性体现在其所 提供服务的连续性,因此,可以按照业务类型的不同划分为不同 的信息系统。又比如,在整个业务流程中,核心处理系统的功能 重要性可能远大于终端处理系统,有需要时,可以将其划分为不 同的信息系统。归结起来,以下几种情况可能划分为不同等级的信息系统: 可能涉及不同客体的系统。例如对内服务与对外运营的业 务系统,对内服务的办公系统,一般来说其中的信息和提供的服 务是面向本单位的,涉及到的等级保护客体一般是本单位,而对 外运营的业务系统往往关系到其

15、他单位、个人或面向社会,因此 这两类业务可能涉及不同的客体,可能具有不同的安全保护等 级,可以考虑划分为不同的信息系统。又比如处理涉及国家秘密 信息的信息系统与处理一般单位敏感信息的信息系统应分开。 可能对客体造成不同程度损害的系统。例如全国大集中系 统数据中心的数据量和服务范围都远大于各省级节点和市级节 点,其受到破坏后的损害程度和影响范围也有很大差别,可能具 有不同的安全等级,可以考虑划分为不同的信息系统。 处理不同类型业务的系统。(3)分析物理位置的差异根据物理位置的不同,对信息系统进行划分。物理位置的不 同,信息系统面临的安全威胁就可能不同,不同物理位置之间通 信信道的不可信,使不同物理位置的信息系统也不能视为可以互 相访问的一个安全域,即使等级相同可能也需要划分为不同的信 息系统分别加以保护。因此,物理位置也可以作为信息系统划分的考虑因素之一。在进行信息系统的划分过程中,进行分析,可以选择上述三 个方面中的一个方面因素作为划分的依据,也可以综合几个方面 因素

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号