电力行业信息系统安全等级保护定级指导意见 （修订稿） 2013年12月1日 目 次 1 引言 .................................................................................1 2 依据 .................................................................................1 3 术语和定义 ...........................................................................1 3.1 等级保护对象 target of classified security .........................................1 3.2 客体 object .........................................................................1 3.3 客观方面 objective ..................................................................1 3.4 系统服务 system service ............................................................1 4 工作组织 .............................................................................1 5 定级原理 .............................................................................2 5.1 电力信息系统安全保护等级 ...........................................................2 5.2 电力信息系统安全保护等级的定级要素 .................................................2 5.2.1 受侵害的客体 .....................................................................2 5.2.2 对客体的侵害程度 .................................................................2 5.3 定级要素与等级的关系 ...............................................................2 6 定级方法 .............................................................................3 6.1 定级的一般流程 .....................................................................3 6.2 确定定级对象 .......................................................................4 6.3 确定受侵害的客体 ...................................................................5 6.3.1 侵害的客观方面 ...................................................................6 6.3.2 综合判定侵害程度 .................................................................6 6.4 确定定级对象的安全保护等级 .........................................................7 7 等级评审、核准和备案 .................................................................8 8 等级变更 .............................................................................8 9 电力行业重要信息系统安全等级保护定级建议 .............................................8 10 附录 ................................................................................9 I 电力行业信息系统安全定级指导意见 1 引言 为落实国家信息安全等级保护制度，更有效的指导电力行业信息系统安全保护定级工作，结合几 年来电力行业信息安全等级保护工作开展情况，修定本意见。 2 依据 《信息安全等级保护管理办法》 （公通字[2007]43 号） 《信息安全技术 信息系统安全等级保护定级指南》 （GB/T 22240-2008） 《电力二次系统安全防护规定》 （电监会 5 号令） 《电力行业信息系统安全等级保护基本要求》 （电监信息[2012]62 号） 3 术语和定义 3.1 等级保护对象 target of classified security 信息安全等级保护工作直接作用的具体的信息和信息系统。 3.2 客体 object 受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益 以及公民、法人或其他组织的合法权益。 3.3 客观方面 objective 对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。 3.4 系统服务 system service 信息系统为支撑其所承载业务而提供的程序化过程。 4 工作组织 国家能源局：组织领导并统一协调电力行业信息系统安全等级保护定级工作，对信息系统运营使 用单位的定级工作进行督促、检查和指导。 国家能源局派出机构：组织领导协调辖区内电力企业信息系统安全等级保护定级工作，对信息系 统运营使用单位的定级工作进行督促、检查和指导。 电力行业信息系统安全等级保护定级工作专家组(以下简称专家组)：对电力行业信息系统安全定级 工作进行专家指导、咨询，对定级结果进行评审。 各有关电力公司：负责组织开展本单位(系统)信息系统安全等级保护定级工作。 信息系统运营使用单位：具体负责所运营、使用的信息系统的安全定级工作。 1 国家能源局信息中心：为电力行业信息系统安全等级保护定级工作提供技术指导、支撑和服务。 5 定级原理 5.1 电力信息系统安全保护等级 根据等级保护相关管理文件，电力信息系统的安全保护等级分为以下四级： 第一级，电力信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害 国家安全、社会秩序和公共利益。 第二级，电力信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者 对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，电力信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造 成损害。 第四级，电力信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安 全造成严重损害。 5.2 电力信息系统安全保护等级的定级要素 电力信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对 客体造成侵害的程度。 受侵害的客体 5.2.1 等级保护对象受到破坏时所侵害的客体包括以下三个方面： a) 公民、法人和其他组织的合法权益； b) 社会秩序、公共利益； c) 国家安全。 对客体的侵害程度 5.2.2 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对 象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和 危害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种： a) 造成一般损害； b) 造成严重损害； c) 造成特别严重损害。 5.3 定级要素与等级的关系 2 定级要素与信息系统安全保护等级的关系如表 1 所示。 表1 定级要素与安全保护等级的关系 对客体的侵害程度 6 受侵害的客体 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 定级方法 6.1 定级的一般流程 信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能 不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。 确定信息系统安全保护等级的一般流程如下： a) 确定作为定级对象的信息系统； b) 确定业务信息安全受到破坏时所侵害的客体； c) 根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度； d) 依据表2，得到业务信息安全保护等级； e) 确定系统服务安全受到破坏时所侵害的客体； f) 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度； g) 依据表3，得到系统服务安全保护等级； h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等 级。 3 上述步骤如图1确定等级一般流程所示。 1、确定定级对象 2、确定业务信息安全受到破坏时 5、确定系统服务安全受到破坏时 所侵害的客体 所侵害的客体 3、综合评定对客体的侵害程度 6、综合评定对客体的侵害程度 依据表 2 依据表 3 4、业务信息安全等级 7、系统服务安全等级 8、定级对象的安全保护等级 图1 确定等级一般流程 6.2 确定定级对象 一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设 成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不 同安全保护等级的定级对