电力行业信息系统安全等级保护定级工作指导意见.pdf

电力行业信息系统安全等级保护 定级工作指导意见 国家电力监管委员会 二〇〇七年十一月 目 录 1 引言 1 2 依据 1 3 术语和定义 1 3.1 信息系统 1 3.2 等级保护对象 2 3.3 客体 2 3.4 系统服务2 4 工作组织 2 5 定级原理 3 5.1 信息系统安全保护等级 3 5.2 信息系统安全保护等级的定级要素 4 5.2.1 受侵害的客体 4 5.2.2 对客体的侵害程度 4 5.3 定级要素与等级的关系4 6 定级方法 5 6.1 定级流程5 6.2 确 级对象 6 6.2.1 作为定级对象的基本特征 7 6.2.2 定级对象的识别方法 7 6.2.3 定级对象信息系统边检和边界设备的确定方法 11 6.2.4 电力行业信息系统安全等级保护定级对象分类 13 6.3 确定受侵害的客体 13 6.4 确定对客体的侵害程度 14 6.4.1 侵害的客观方面 14 6.4.2 综合判定侵害程度 15 6.5 可能侵害的客体及侵害程度的确定方法 17 6.6 确 级对象的安全保护等级 19 6.7 关于定级过程的说明20 7 关于审批流程的说明 23 8 等级变更 24 9 电力行业信息系统安全等级保护定级参考 24 2 1 引言 为贯彻落实公安部、国家保密局、国家密码管理局、国务院 信息化工作办公室《关于印发信息安全等级保护管理办法 的 通知》（公通字〔2007 〕43 号）、《关于开展全国重要信息系统安 全等级保护定级工作的通知》（公信安 〔2007 〕861 号）和国家电 力监管委员会 《关于开展电力行业信息系统安全等级保护定级工 作的通知》（电监信息〔2007 〕34 号）要求，指导电力行业信息 系统安全保护定级工作，制定本意见。 2 依据 《关于印发信息安全等级保护管理办法的通知》（公通字 〔2007 〕43 号） 《关于开展全国重要信息系统安全等级保护定级工作的通 知》（公信安〔2007 〕861 号） 《关于开展电力行业信息系统安全等级保护定级工作的通 知》（电监信息〔2007 〕34 号） 3 术语和定义 3.1 信息系统 基于计算机或计算机网络 ，按照一定的应用目标和规则对信 息进行采集、加工、存储、传输、检索和服务的系统。 1 3.2 等级保护对象 信息系统安全等级保护工作直接作用的具体的信息和信息 系统。 3.3 客体 受法律保护的等级保护对象受到破坏时所侵害的社会关系 ， 如国家安全 ，社会秩序、公共利益以及公民、法人或社会其他组 织的合法权益。 3.4 客观方面 对客体造成侵害的客观外在表现 ，包括侵害方式和侵害结果 等。 3.5 系统服务 信息系统为支撑其所承载业务而提供的程序化过程。 4 工作组织 国家电力监管委员会：组织领导并统一协调电力行业信息系 统安全等级保护定级工作 ，对信息系统运营使用单位的定级工作 进行督促、检查和指导。 电力行业信息系统安全等级保护定级工作专家组 （以下简称 专家组）：对电力行业信息系统安全定级工作进行专家指导、咨 询，对定级结果进行评审。 各有关电力公司 （电力行业网络与信息安全领导小组成员单 2 位）：负责组织开展本单位（系统）信息系统安全等级保护定级 工作。 信息系统运营使用单位（以下简称运营使用单位）：具体负 责所运营、使用的信息系统的安全定级工作。 技术支持单位：中国电力科学研究院信息安全研究所等单位 为信息安全定级工作的技术支持单位，负责提供技术支持。 5 定级原理 5.1 信息系统安全保护等级 根据等级保护相关管理文件 ，信息系统的安全保护等级分为 以下五级： 第一级，信息系统受到