等级保护定级指南(第十二期).pptVIP

行业等级保护定级 一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。 行业等级保护定级 三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。 四级信息系统：适用于重要领域、重要部门信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。 行业等级保护定级 电力行业等级保护定级 系统类别 系统名称 范围 建议等级 备注 生产控制系统 能量管理系统 省级及以上 4 ? 省级以下 3 ? 变电站自动化系统 220千伏及以上 3 含开关站、换流站 220千伏以下 2 配网自动化系统 ? 3 ? 电力负荷管理系统 ? 3 ? 火电机组控制系统DCS 单机容量300兆瓦及以上 3 含辅机控制系统 单机容量300兆瓦以下 2 水电厂监控系统 总装机1000兆瓦及以上 3 ? 总装机1000兆瓦以下 2 ? 梯级调度监测系统 总装机2000兆瓦及以上 3 若无控制功能则为生产管理系统 总装机2000兆瓦以下 2 电力行业等级保护定级 某科研院所定级 1.支撑网络： (1)科技网骨干网：主要对全国范围内的用户提供系统服务，受到破坏时将对社会秩序、公共利益造成严重损害，保护等级建议定为三级。 (2)院属单位城域网：主要对院属单位提供系统服务，受到破坏时将对法人合法权益造成严重损害，保护等级建议定为二级。 2.科研应用系统： (1)一般科研应用系统：承载普通科研信息和数据，主要服务于内部或外部用户，受损后仅对公民、法人和其它组织的合法权益造成一般损害，保护等级建议定为一级。 (2)较重要科研应用系统：承载较为重要的科研信息和数据，内部或外部用户依赖性强（访问量大），一旦受损将对公共利益造成一般损害，或对公民、法人和其它组织的合法权益造成严重损害，保护等级建议定为二级。 3)尖端科研应用系统：承载尖端科研信息和数据，主要服务于内部或外部特殊用户，受损后至国家安全（国家竞争力）构成威胁，应定为重要信息系统。 某科研院所定级 3.办公管理系统： (1)ARP院级管理系统：承载重要科研数据，为全院科研活动提供管理平台，受损后将对公共利益造成严重损害，保护等级应定为三级。 (2)ARP所级管理系统：保护等级建议定为二级。 (3)其它办公管理系统，保护等级建议定为一级。 4．宣传性网站：主要承载宣传信息，根据受损后对不同客体造成不同性质的影响进行划分，院网站保护等级定为二级；院属单位网站可和其它拟定为一级的信息系统合并。 5.涉密信息系统：依据《管理办法》及国家必威体育官网网址标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测试指南》定级，秘密、机密、绝密三个等级的保护水平不低于信息安全等级保护第三级、第四级、第五级的标准。按照有关规定，涉密信息系统应与其它网络进行物理隔离。 6．其它信息系统：应根据承载业务信息或系统服务受损后对不同客体造成不同性质的影响进行划分，定级时要严格把握一般信息系统与重要信息系统之间的界限。 重点回顾 等级保护共有几个等级，名称分别是？P5 等级保护定级思路 P9 等级保护定级参照标准 P12 等级保护定级维度（三类客体、三级程度）P13 三个安全等级SAG P18 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。 * 例如对内服务与对外运营的业务系统，对内服务的办公系统，一般来说其中的信息和提供的服务是面向本单位的，涉及到的等级保护客体一般是本单位，而对外运营的业务系统往往关系到其他单位、个人或面向社会，因此这两类业务可能涉及不同的客体，可能具有不同的安全保护等级，可以考虑划分为不同的信息系统。又比如处理涉及国家秘密信息的信息系统与处理一般单