等级保护定级指南.ppt

业务信息安全等级 系统服务安全等级 安全等级确定 四个主要因素决定等级 系统所属类型 业务信息类别 系统服务范围 业务依赖程度 业务信息安全性 业务服务保证性 信息系统安全保护等级 侵害的程度如何？（对客体造成侵害的程度） 一般损害 严重损害 特别严重损害 受到破坏时侵害了什么？（客体） 公民、法人 社会秩序、公共利益 国家安全 等级保护组合可能性 安全等级 信息系统保护要求的组合 第一级 S1A1G1 第二级 S1A2G2，S2A2G2，S2A1G2 第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4 行业等级保护定级 一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。 行业等级保护定级 三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。 四级信息系统：适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。 电力行业等级保护定级 系统类别 系统名称 范围 建议等级 备注 生产控制系统 能量管理系统 省级及以上 4 ? 省级以下 3 ? 变电站自动化系统 220千伏及以上 3 含开关站、换流站 220千伏以下 2 配网自动化系统 ? 3 ? 电力负荷管理系统 ? 3 ? 火电机组控制系统DCS 单机容量300兆瓦及以上 3 含辅机控制系统 单机容量300兆瓦以下 2 水电厂监控系统 总装机1000兆瓦及以上 3 ? 总装机1000兆瓦以下 2 ? 梯级调度监测系统 总装机2000兆瓦及以上 3 若无控制功能则为生产管理系统 总装机2000兆瓦以下 2 电力行业等级保护定级 某科研院所定级 1.支撑网络： (1)科技网骨干网：主要对全国范围内的用户提供系统服务，受到破坏时将对社会秩序、公共利益造成严重损害，保护等级建议定为三级。 (2)院属单位城域网：主要对院属单位提供系统服务，受到破坏时将对法人合法权益造成严重损害，保护等级建议定为二级。 2.科研应用系统： (1)一般科研应用系统：承载普通科研信息和数据，主要服务于内部或外部用户，受损后仅对公民、法人和其它组织的合法权益造成一般损害，保护等级建议定为一级。 (2)较重要科研应用系统：承载较为重要的科研信息和数据，内部或外部用户依赖性强（访问量大），一旦受损将对公共利益造成一般损害，或对公民、法人和其它组织的合法权益造成严重损害，保护等级建议定为二级。 3)尖端科研应用系统：承载尖端科研信息和数据，主要服务于内部或外部特殊用户，受损后至国家安全（国家竞争力）构成威胁，应定为重要信息系统。 某科研院所定级 3.办公管理系统： (1)ARP院级管理系统：承载重要科研数据，为全院科研活动提供管理平台，受损后将对公共利益造成严重损害，保护等级应定为三级。 (2)ARP所级管理系统：保护等级建议定为二级。 (3)其它办公管理系统，保护等级建议定为一级。 4．宣传性网站：主要承载宣传信息，根据受损后对不同客体造成不同性质的影响进行划分，院网站保护等级定为二级；院属单位网站可和其它拟定为一级的信息系统合并。 5.涉密信息系统：依据《管理办法》及国家必威体育官网网址标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测试指南》定级，秘密、机密、绝密三个等级的保护水平不低于信息安全等级保护第三级、第四级、第五级的标准。按照有关规定，涉密信息系统应与其它网络进行物理隔离。 6．其它信息系统：应根据承载业务信息或系统服务受损后对不同客体造成不同性质的影响进行划分，定级时要严格把握一般信息系统与重要信息系统之间的界限。 重点回顾 等级保护共有几个等级，名称分别是？P5 等级保护定级思路 P9 等级保护定级参照标准 P12 等级保护定级维度（三类客体、三级程度）P13 三个安全等级SAG P18 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络