电力行业信息系统安全等级保护定级指导意见
(修订稿)
2013年12月1日
目 次
1 引言 ................................................................................. 1 2 依据 ................................................................................. 1 3 术语和定义 ........................................................................... 1 3.1 等级保护对象 target of classified security ......................................... 1 3.2 客体object ......................................................................... 1 3.3 客观方面objective .................................................................. 1 3.4 系统服务 system service ............................................................ 1 4 工作组织 ............................................................................. 1 5 定级原理 ............................................................................. 2 5.1 电力信息系统安全保护等级 ........................................................... 2 5.2 电力信息系统安全保护等级的定级要素 ................................................. 2 5.2.1 受侵害的客体 ..................................................................... 2 5.2.2 对客体的侵害程度 ................................................................. 2 5.3 定级要素与等级的关系 ............................................................... 2 6 定级方法 ............................................................................. 3 6.1 定级的一般流程 ..................................................................... 3 6.2 确定定级对象 ....................................................................... 4 6.3 确定受侵害的客体 ................................................................... 5 6.3.1 侵害的客观方面 ................................................................... 6 6.3.2 综合判定侵害程度 ................................................................. 6 6.4 确定定级对象的安全保护等级 ......................................................... 7 7 等级评审、核准和备案 ................................................................. 8 8 等级变更 ............................................................................. 8 9 电力行业重要信息系统安全等级保护定级建议 ............................................. 8 10 附录 ................................................................................ 9
I
电力行业信息系统安全定级指导意见
1 引言
为落实国家信息安全等级保护制度,更有效的指导电力行业信息系统安全保护定级工作,结合几
年来电力行业信息安全等级保护工作开展情况,修定本意见。 2
依据
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008) 《电力二次系统安全防护规定》(电监会5号令)
《电力行业信息系统安全等级保护基本要求》(电监信息[2012]62号) 3
术语和定义
3.1 等级保护对象 target of classified security
信息安全等级保护工作直接作用的具体的信息和信息系统。 3.2 客体object
受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如、社会秩序、公共利益以及公民、法人或其他组织的合法权益。 3.3 客观方面objective
对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。 3.4 系统服务 system service
信息系统为支撑其所承载业务而提供的程序化过程。 4
工作组织
国家能源局:组织领导并统一协调电力行业信息系统安全等级保护定级工作,对信息系统运营使用单位的定级工作进行督促、检查和指导。
国家能源局派出机构:组织领导协调辖区内电力企业信息系统安全等级保护定级工作,对信息系统运营使用单位的定级工作进行督促、检查和指导。
电力行业信息系统安全等级保护定级工作专家组(以下简称专家组):对电力行业信息系统安全定级工作进行专家指导、咨询,对定级结果进行评审。
各有关电力公司:负责组织开展本单位(系统)信息系统安全等级保护定级工作。 信息系统运营使用单位:具体负责所运营、使用的信息系统的安全定级工作。
1
国家能源局信息中心:为电力行业信息系统安全等级保护定级工作提供技术指导、支撑和服务。 5
定级原理
5.1 电力信息系统安全保护等级
根据等级保护相关管理文件,电力信息系统的安全保护等级分为以下四级:
第一级,电力信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害、社会秩序和公共利益。
第二级,电力信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害。
第三级,电力信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对造成损害。
第四级,电力信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对造成严重损害。
5.2 电力信息系统安全保护等级的定级要素
电力信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 5.2.1
受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面: a) 公民、法人和其他组织的合法权益; b) 社会秩序、公共利益; c) 。 5.2.2
对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种: a) 造成一般损害; b) 造成严重损害; c) 造成特别严重损害。 5.3 定级要素与等级的关系
2
定级要素与信息系统安全保护等级的关系如表1所示。
表1 定级要素与安全保护等级的关系
受侵害的客体 公民、法人和其他组织的合法权益 社会秩序、公共利益 一般损害 第一级 第二级 第三级 对客体的侵害程度 严重损害 第二级 第三级 第四级 特别严重损害 第二级 第四级 6 定级方法
6.1 定级的一般流程
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。 确定信息系统安全保护等级的一般流程如下: a) 确定作为定级对象的信息系统;
b) 确定业务信息安全受到破坏时所侵害的客体;
c) 根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度; d) 依据表2,得到业务信息安全保护等级; e) 确定系统服务安全受到破坏时所侵害的客体; f)
根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
g) 依据表3,得到系统服务安全保护等级;
h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等
级。
3
上述步骤如图1确定等级一般流程所示。
1、确定定级对象 2、确定业务信息安全受到破坏时所侵害的客体 5、确定系统服务安全受到破坏时所侵害的客体 3、综合评定对客体的侵害程度 依据表2 6、综合评定对客体的侵害程度 依据表3 4、业务信息安全等级 7、系统服务安全等级 8、定级对象的安全保护等级
图1 确定等级一般流程
6.2 确定定级对象
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
作为定级对象的信息系统应具有如下基本特征:
a) 具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
b) 具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按
照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
c) 承载单一或相对的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务
流程,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相
4
对”的业务应用是指其业务应用的主要业务流程,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
6.3 确定受侵害的客体
定级对象受到破坏时所侵害的客体包括、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害的事项包括以下方面: - - - - - -
影响国家政权稳固和国防实力; 影响国家统一、民族团结和社会安定; 影响国家对外活动中的政治、经济利益; 影响国家重要的安全保卫工作; 影响国家经济竞争力和科技实力; 其他影响的事项。
侵害社会秩序的事项包括以下方面: - - - - -
影响国家机关社会管理和公共服务的工作秩序; 影响各种类型的经济活动秩序; 影响各行业的科研、生产秩序;
影响公众在法律约束和道德规范下的正常生活秩序等; 其他影响社会秩序的事项。
影响公共利益的事项包括以下方面: - - - -
影响社会成员使用公共设施; 影响社会成员获取公开信息资源; 影响社会成员接受公共服务等方面; 其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
5
电力行业可根据本行业业务特点,分析各类信息和各类信息系统与、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。 6.3.1
侵害的客观方面
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后,可能产生以下危害后果: - - - - - - - 6.3.2
影响行使工作职能; 导致业务能力下降; 引起法律纠纷; 导致财产损失; 造成社会不良影响; 对其他组织和个人造成损失; 其他影响。 综合判定侵害程度
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准: -
如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准; -
如果受侵害客体是社会秩序、公共利益或,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下:
6
- 一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
- 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
- 特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
6.4 确定定级对象的安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。
表2 业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体 公民、法人和其他组织的合法权益 社会秩序、公共利益 一般损害 第一级 第二级 第三级 对相应客体的侵害程度 严重损害 第二级 第三级 第四级 特别严重损害 第二级 第四级 根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。
表3 系统服务安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体 公民、法人和其他组织的合法权益 一般损害 第一级 7
对相应客体的侵害程度 严重损害 第二级 特别严重损害 第二级 社会秩序、公共利益 第二级 第三级 第三级 第四级 第四级
作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
7
等级评审、核准和备案
电力信息系统运营使用单位按照本意见在初步确定信息系统安全保护等级后,可以邀请专家评审,并出具专家评审意见。对拟确定为第三级的跨省联网生产控制系统和第四级信息系统应邀请电力行业信息系统安全等级保护定级工作专家组评审。
电力信息系统运营使用单位按照本意见确定信息系统安全保护等级后,编制定级报告、填写备案表、定级结果汇总表,按照属地化管理原则报国家能源局派出机构进行核准。电力集团公司本部信息系统定级结果报国家能源局信息中心进行核准。
电力信息系统定级结果经国家能源管理机构核准后,按《信息安全等级保护备案实施细则》由电力信息系统运营使用单位到相应机关公共信息网络安全安全监察部门进行备案,取得由统一监制的《信息系统安全等级保护备案证明》。 8
等级变更
在电力信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应根据本标准第5章给出的定级方法重新定级。 9
电力行业重要信息系统安全等级保护定级建议
考虑电力企业信息系统现状及未来发展趋势,在广泛征求各电力企业意见的基础上,提出定级建议(见附录),未列出的信息系统请各单位根据实际自主确定信息系统安全保护等级。
8
10 附录
电力信息系统定级建议
系统类别 系统名称 范围 省级及以上 省级以下 220千伏及以上 220千伏以下 安全保护等级 第四级 第三级 第三级 第二级 第三级 第二级 第三级 第三级 第三级 第三级 第三级 第三级 第三级 第二级 第二级 第三级 典型功能 备注 能量管理系统EMS 变电站自动化系统 属于电网企业且作为能量管理系统子站的,不作为系统定级 调度生产管理系统 电能量计量系统 省级及以上 省级以下 广域监测系统WAMS 电力负荷管理系统 需求侧管理系统电网类 DSM 配电网管理系统DMS 地理信息系统GIS 配电自动化系统DAS 水调自动化系统 梯级水调自动化系统 总装机2000兆梯级调度监控系统 瓦及以上 总装机2000兆瓦以下 总装机1000兆第二级 水电厂计算机监控系瓦及以上 统 第三级 总装机1000兆瓦以下 第二级 第二级 大坝自动监测系统 单机容量300兆瓦及以上,火电厂机组分散控制系统DCS 发电类 或热电联产单机容量200兆瓦以上 第三级 单机容量300兆瓦以下 火电厂升压站网络计220千伏及以上 算机监控系统NCS 220千伏以下 第二级 第三级 第二级 9
总装机1000兆火电厂厂级监控信息瓦及以上 系统SIS 第三级 总装机1000兆瓦以下 第二级 火电厂厂用电气监控管理系统ECMS 火电厂继电保护和故障录波信息管理系统 核电厂分散控制系统DCS 第二级 第二级 第三级 核电站环境监测系统 风电场风功率预测系统 光伏电站监控系统 第二级 第二级 第二级 第二级 第二级 第三级 第二级 第三级 第二级 风电场风机监控系统 雷电(气象)监测系统 ERP 电力市场交易系统 电力营销管理系统 企业资源计划系统省级及以上 省级以下 集团公司本部、二级公司、网省公司 财务(资金)管理系统 二级公司、网省公司以下 运维综合监管系统 综合管理系统 第二级 第二级 第二级 第二级 第二级 第二级 第二级 第二级 第二级 第三级 管理信息邮件系统 类 人力资源管理系统 物资管理系统 项目管理系统 修造管理信息系统 施工管理信息系统 省院(或甲级资质)及以上电力设计管理信息设计单位 系统 省院(或甲级资质)以下设计单位 生产管理系统MIS 第三级 第二级 第二级 10
办公自动化系统OA 内部网站系统 第二级 第二级 集团公司本部 第三级 互联网网站系统 二级公司、网省公司及以下 第二级
11
因篇幅问题不能全部显示,请点此查看更多更全内容