等级保护定级备案.pdf

深入理解信息安全等级 保护制度 ——定级备案工作 2009年7月 目录 1 等级保护定级原理及过程 2 电力信息系统定级 3 电力信息系统定级案例介绍 概述 • 根据《管理办法》：有主管部门的，应当经主管部门审 核批准。跨省或者全国统一联网运行的信息系统可以由 主管部门统一确定安全保护等级。 • 根据《关于开展全国重要信息系统安全等级保护定级工 作的通知》（以下简称《定级通知》）要求：各行业主 管部门要根据行业特点提出指导本地区、本行业定级工 作的指导意见。 • 电力行业信息系统安全等级保护定级工作指导意见 等级保护定级原理 安全保护级别 信息和信息系统受到破坏后的影响 1 自主保护级 不会损害国家安全、社会秩序和公共利益。 2 指导保护级 会对社会秩序和公共利益造成轻微损害， 但不损害国家安全。 3 监督保护级 会对国家安全、社会秩序和公共利益造成 损害。 4 强制保护级 会对国家安全、社会秩序和公共利益造成 严重损害。 5 专控保护级 会对国家安全、社会秩序和公共利益造成 特别严重损害。 等级保护定级要素 • 等级保护对象受到 破坏时所侵害的客 体 • 对客体造成侵害的 程度 等级保护定级原理 定级要素与安全保护等级的关系 对客体的侵害程度 受侵害的客体 特别严重 一般损害 严重损害 损害 公民、法人和其他组织的合 第一级 第二级 第二级 法权益 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 定级流程 1、确定定级对象 对象的三个条件 具有唯一确定的安全责任单位 满足信息系统的基本要素 承载相对独立的业务应用 1、确定定级对象 定级对象的识别系统划分 安全责任单位 业务类型和业务重要性 •①可能涉及不同客体的系统。 •②可能对客体造成不同程度损害的系统。 •③处理不同类型业务的系统 分析物理位置的差异 1、确定定级对象 定级对象信息系统边界和边界设备的确定方法  网络/边界设备: 当不同信息系统之间存在共用设备时，设备 安全防护级别就高不就低.  终端 管理终端 •服务器、网络设备及安全设备等属于哪个系统，终端就应归在哪 个信息系统中 内部用户终端 •与服务器建立边界保护 外部用户终端