电力行业信息系统安全等级保护 定级工作指导意见 国家电力监管委员会 二〇〇七年十一月 目 录 1 引言 ............................................... 1 2 依据 ............................................... 1 3 术语和定义 ......................................... 1 3.1 信息系统 ........................................ 1 3.2 等级保护对象 .................................... 2 3.3 客体 ............................................ 2 3.4 系统服务 ........................................ 2 4 工作组织 ........................................... 2 5 定级原理 ........................................... 3 5.1 信息系统安全保护等级 ............................ 3 5.2 信息系统安全保护等级的定级要素 .................. 4 5.2.1 受侵害的客体 ................................ 4 5.2.2 对客体的侵害程度 ............................ 4 5.3 定级要素与等级的关系 ............................ 4 6 定级方法 ........................................... 5 6.1 定级流程 ........................................ 5 6.2 确定定级对象 .................................... 6 6.2.1 作为定级对象的基本特征 ...................... 7 6.2.2 定级对象的识别方法 .......................... 7 6.2.3 定级对象信息系统边检和边界设备的确定方法 ....11 6.2.4 电力行业信息系统安全等级保护定级对象分类 ....13 6.3 确定受侵害的客体 ................................13 6.4 确定对客体的侵害程度 ............................14 6.4.1 侵害的客观方面 ..............................14 6.4.2 综合判定侵害程度 ............................15 6.5 可能侵害的客体及侵害程度的确定方法 ..............17 6.6 确定定级对象的安全保护等级 ......................19 6.7 关于定级过程的说明 ..............................20 7 关于审批流程的说明 .................................23 8 等级变更 ...........................................24 9 电力行业信息系统安全等级保护定级参考 ...............24 2 1 引言 为贯彻落实公安部、国家保密局、国家密码管理局、国务院 信息化工作办公室《关于印发<信息安全等级保护管理办法>的 通知》（公通字〔2007〕43 号）、 《关于开展全国重要信息系统安 全等级保护定级工作的通知》 （公信安〔2007〕861 号）和国家电 力监管委员会《关于开展电力行业信息系统安全等级保护定级工 作的通知》 （电监信息〔2007〕34 号）要求，指导电力行业信息 系统安全保护定级工作，制定本意见。 2 依据 《关于印发<信息安全等级保护管理办法>的通知》 （公通字 〔2007〕43 号） 《关于开展全国重要信息系统安全等级保护定级工作的通 知》 （公信安〔2007〕861 号） 《关于开展电力行业信息系统安全等级保护定级工作的通 知》 （电监信息〔2007〕34 号） 3 术语和定义 3.1 信息系统 基于计算机或计算机网络，按照一定的应用目标和规则对信 息进行采集、加工、存储、传输、检索和服务的系统。 1 3.2 等级保护对象 信息系统安全等级保护工作直接作用的具体的信息和信息 系统。 3.3 客体 受法律保护的等级保护对象受到破坏时所侵害的社会关系， 如国家安全，社会秩序、公共利益以及公民、法人或社会其他组 织的合法权益。 3.4 客观方面 对客体造成侵害的客观外在表现，包括侵害方式和侵害结果 等。 3.5 系统服务 信息系统为支撑其所承载业务而提供的程序化过程。 4 工作组织 国家电力监管委员会：组织领导并统一协调电力行业信息系 统安全等级保护定级工作，对信息系统运营使用单位的定级工作 进行督促、检查和指导。 电力行业信息系统安全等级保护定级工作专家组（以下简称 专家组）：对电力行业信息系统安全定级工作进行专家指导、咨 询，对定级结果进行评审。 各有关电力公司（电力行业网络与信息安全领导小组成员单 2 位）：负责组织开展本单位（系统）信息系统安全等级保护定级 工作。 信息系统运营使用单位（以下简称运营使用单位）：具体负 责所运营、使用的信息系统的安全定级工作。 技术支持单位：中国电力科学研究院信息安全研究所等单位 为信息安全定级工作的技术支持单位，负责提供技术支持。 5 定级原理 5.1 信息系统安全保护等级 根据等级保护相关管理文件，信息系统的安全保护等级分为 以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织 的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织 的合法权益产生严重损害，或者对社会秩序和公共利益造成损 害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造 成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造 成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重 损害。 3 5.2 信息系统安全保护等级的定级要素 信息系统的安全保护等级由两个定级要素决定：等级保护对 象受到破坏时所侵害的客体和对客体造成侵害的程度。 5.2.1 受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面： （1）公民、法人和其他组织的合法权益； （2）社会秩序、公共利益； （3）国家安全。 5.2.2 对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由 于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对 客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、 危害后果和危害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以 下三种： （1）造成一般损害； （2）造成严重损害； （3）造成特别严重损害。 5.3 定级要素与等级的关系 定级要素与信息系统安全保护等级的关系如表 1 所示。 4 表 1 定级要素与安全保护等级的关系 对客体的侵害程度 受侵害的客体 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 6 定级方法 6.1 定级流程 信息系统安全包括业务信息安全和系统服务安全，与之相关 的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定 级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级称业务 信息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称系统 服务安全保护等级。 确定信息系统安全保护等级的一般流程如下： （1）确定作为定级对象的信息系统； （2）确定业务信息安全受到破坏时所侵害的客体； （3）根据不同的受侵害客体，从多个方面综合评定业务信 息安全被破坏对客体的侵害程度； （4）依据表 3，得到业务信息安全保护等级； 5 （5）确定系统服务安全受到破坏时所侵害的客体； （6）根据不同的受侵害客体，从多个方面综合评定系统服 务安全被破坏对客体的侵害程度； （7）依据表 4，得到系统服务安全保护等级； （8）将业务信息安全保护等级和系统服务安全保护等级的 较高者确定为定级对象的安全保护等级。 上述步骤如图 1 确定等级一般流程所示。 图 1 确定等级一般流程 6.2 确定定级对象 一个单位内运行的信息系统可能比较庞大，为了体现重要部 分重点保护，有效控制信息安全建设成本，优化信息安全资源配 置的等级保护原则，可将较大的信息系统划分为若干个较小的、 可能具有不同安全保护等级的定级对象。 6 6.2.1 作为定级对象的基本特征 （1）具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单 位。如果一个单位的某个下级单位负责信息系统安全建设、运行 维护等过程的全部安全责任，则这个下级单位可以成为信息系统 的安全责任单位；如果一个单位中的不同下级单位分别承担信息 系统不同方面的安全责任，则该信息系统的安全责任单位应是这 些下级单位共同所属的单位。 （2）具有信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设 施按照一定的应用目标和规则组合而成的有形实体。应避免将某 个单一的系统组件，如服务器、终端、网络设备等作为定级对象。 （3）承载单一或相对独立的业务应用 定级对象承载“单一”的业务应用是指该业务应用的业务流 程独立，且与其他业务应用没有数据交换，且独享所有信息处理 设备。定级对象承载“相对独立”的业务应用是指其业务应用的 主要业务流程独立，同时与其他业务应用有少量的数据交换，定 级对象可能会与其他业务应用共享一些设备，尤其是网络传输设 备。 6.2.2 定级对象的识别方法 一般来讲单位信息系统可以划分为几个定级对象，如何划分 7 系统是定级之前的主要问题。信息系统的划分没有绝对的对与 错，只有合理与不合理，合理地划分信息系统有利于信息系统的 保护及安全规划，反之可能给将来的应用和安全保护带来不便， 又可能需要重新进行信息系统的划分。由于信息系统的多样性， 不同的信息系统在