电力信息安全工作介绍_--陈雪鸿20150715.pptVIP

四、定级流程 * 五、电力行业定级对象 1、定级对象类别 根据电力行业实际，按照上述定级对象确定方式，综合考虑信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素，可将电力行业信息系统分为生产控制系统、生产管理系统、网站系统、管理信息系统、信息网络五大类。 * 2、电力行业等保客体侵害程度判定标准 （1）对公民、法人和其它组织的合法权益的危害程度。 一般损害：对信息系统所属单位造成一定的经济损失，或对个别公民、法人或其它组织的利益造成较低的损害。 严重损害：对信息系统所属单位造成严重的经济损失，或对个别公民、法人或其它组织的利益造成一定的损害。 特别严重损害：对信息系统所属单位造成重大的经济损失，或对个别公民、法人或其它组织的利益造成严重的损害。 * （2）对社会秩序、公共利益的危害程度。 一般损害：使电力生产面临明显的中断威胁，影响波及一个地市的部分地区，对公众利益造成一定损害，可能扰乱社会秩序。 严重损害：使电力生产面临严重的中断威胁，影响波及一个或多个地市的部分地区，对公众利益造成严重损害，对社会秩序造成一定的影响。 特别严重损害：使电网瓦解，发电机组停运，影响波及一个或多个地市的大部分地区，严重扰乱社会秩序，对电力行业造成巨大经济损失，对公众利益造成重大损害。 * （3）对国家安全的危害程度。 一般损害：使电网瓦解，发电机组停运，影响波及一个或多个地市的部分地区，明显影响社会安定。 严重损害：使电网瓦解，发电机组停运，影响波及一个或多个地市的大部分地区，对社会安定造成了严重的影响，明显影响国家安全。 特别严重损害：造成电网瓦解，发电机组停运，影响波及一个或多个省市的大部分地区，引起社会动荡，严重威胁国家安全。 * 3、信息系统类别与可能侵害的客体 信息系统类别 可能侵害的客体 生产控制系统 国家安全，社会秩序、公共利益，公民、法人和其他组织的合法权益 生产管理系统 国家安全、社会秩序、公共利益，公民、法人和其他组织的合法权益 管理信息系统 社会秩序、公共利益，公民、法人和其他组织的合法权益 网站系统 社会秩序、公共利益，公民、法人和其他组织的合法权益 信息网络 国家安全，社会秩序、公共利益，公民、法人和其他组织的合法权益 * 4、受侵害的客体与系统等级的对应关系 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 * 六、国家要求和行业定级指导思想对比 1、一级系统 国家要求 行业指导思想 一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统，中小学中的信息系统。 《电力行业信息系统等级保护定级工作指导意见》没做要求，基本原则是不出现一级。 * 2、二级系统 国家要求 行业指导思想 二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及工作秘密、商业秘密、敏感信息的办公系统等。 行业定级从二级起步。 * 3、三级系统 国家要求 行业指导思想 三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。 跨省骨干网络、从省到地市的生产控制信息系统、地市级以上重要生产管理信息系统、省级以上涉及敏感信息（包括工作秘密、商业秘密）的办公系统、地市级以上核心业务支撑平台（设施）、在线对外服务系统、部委（集团公司）对外网站定为三级。 * 4、四级系统 国家要求 行业指导思想 四级信息系统：适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力调度系统，银行、证券、保险、税务、海关等部门中的核心系统。 省级以上的核心生产控制信息系统定为四级。 闭环工业控制系统本次暂不考虑。 * 七、行业定级建议 1、编制背景 根据公安部等四部委印发的《信息安全等级保护管理办法》，电监会组织电力行业开展重要信息系统安全等级保护定级工作，在广泛征求各电力企业意见的基础上，经商公安部，提出以下定级建议（见《电力行业信息系统安全等级保护定级工作指导意见》之表5），未列出的信息系统请各单位根据实际自主确定信息系统安全保护等级。 * 2、生产控制系统 系统类别 系统名称 范围 建议等级 备注 生产控 制系统 能量管理系统 省级及以上 4 省级以下 3 变电站自动化系统 （含开关站、换流站） 220千伏及以上