5.电力行业信息系统安全等级保护定级指导意见(初稿).pdfVIP

电力行业信息系统安全等级保护定级指导意见 （修订稿） 2013年12月1日 目 次 1 引言1 2 依据1 3 术语和定义 1 3.1 等级保护对象 target of classified security 1 3.2 客体object1 3.3 客观方面objective1 3.4 系统服务 system service 1 4 工作组织1 5 定级原理 2 5.1 电力信息系统安全保护等级2 5.2 电力信息系统安全保护等级的定级要素 2 5.2.1 受侵害的客体2 5.2.2 对客体的侵害程度 2 5.3 定级要素与等级的关系 2 6 定级方法 3 6.1 定级的一般流程 3 6.2 确定定级对象 4 6.3 确定受侵害的客体 5 6.3.1 侵害的客观方面6 6.3.2 综合判定侵害程度 6 6.4 确定定级对象的安全保护等级 7 7 等级评审、核准和备案 8 8 等级变更 8 9 电力行业重要信息系统安全等级保护定级建议 8 10 附录9 I 电力行业信息系统安全定级指导意见 1 引言 为落实国家信息安全等级保护制度，更有效的指导电力行业信息系统安全保护定级工作，结合几 年来电力行业信息安全等级保护工作开展情况，修定本意见。 2 依据 《信息安全等级保护管理办法》（公通字[2007]43 号） 《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008 ） 《电力二次系统安全防护规定》（电监会5 号令） 《电力行业信息系统安全等级保护基本要求》（电监信息[2012]62 号） 3 术语和定义 3.1 等级保护对象 target of classified security 信息安全等级保护工作直接作用的具体的信息和信息系统。 3.2 客体object 受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益 以及公民、法人或其他组织的合法权益。 3.3 客观方面objective 对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。 3.4 系统服务 system service 信息系统为支撑其所承载业务而提供的程序化过程。 4 工作组织 国家能源局：组织领导并统一协调电力行业信息系统安全等级保护定级工作，对信息系统运营使 用单位的定级工作进行督促、检查和指导。 国家能源局派出机构：组织领导协调辖区内电力企业信息系统安全等级保护定级工作，对信息系 统运营使用单位的定级工作进行督促、检查和指导。 电力行业信息系统安全等级保护定级工作专家组( 以下简称专家组) ：对电力行业信息系统安全定级 工作进行专家指导、咨询，对定级结果进行评审。 各有关电力公司：负责组织开展本单位(系统)信息系统安全等级保护定级工作。 信息系统运营使用单位：具体负责所运营、使用的信息系统的安全定级工作。 1 国家能源局信息中心：为电力行业信息系统安全等级保护定级工作提供技术指导、支撑和服务。 5 定级原理 5.1 电力信息系统安全保护等级 根据等级保护相关管理文件，电力信息系统的安全保护等级分为以下四级： 第一级，电力信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害 国家安全、社会秩序和公共利益。 第二级，电力信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者 对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，电力信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造 成损害。 第四级，电力信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安 全造成严重损害。 5.2 电力信息系统安全保护等级的定级要素 电力信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对 客体造成侵害的程度。 5.2.1 受侵害的客体 等级保护对象受