电力行业信息系统安全等级保护定级工作指导意见

1、电力行业信息系统安全等级保护定级工作指导意见1引言 为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室 关于印发v信息安全等级保护管理办法的通知（公通字200743号）、关于开展全国重 要信息系统安全等级保护定级工作的通知（公信安2007861引言为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室关于 卬发信息安全等级保护管理办法的通知（公通字200743号）、关于开展全国重耍 信息系统安全等级保护定级工作的通知（公信安20071861号）和国家电力监管委员会关 于开展电力行业信息系统安全等级保护定级工作的通知（电监信息200734号）要求， 指导电力行业信

2、息系统安全保护定级工作，制定本意见。2依据关丁印发信息安全等级保护管理办法的通知（公通字：200743号）关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）关于开展电力行业信息系统安全等级保护定级工作的通知（电监信息200734号）3术语和定义3. 1信息系统基于计算机或计算机网络，按照一定的应用口标和规则对信息进行采集、加工、存储、 传输、检索和服务的系统。3. 2等级保护对象信息系统安全等级保护工作宜接作用的具体的信息和信息系统。3. 3客体受法律保护的等级保护对象受到破坏时所侵害的社会关系，如国家安全，社会秩序、 公共利益以及公民、法人或社会其他组织的合法权益。

3、3. 4客观方面对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。3. 5系统服务信息系统为支撑其所承载业务而提供的程序化过程。4工作组织国家电力监管委员会（以下简称电监会）：组织领导并统一协调电力行业信息系统安 全等级保护定级工作，对信息系统运营使用单位的定级工作进行督促、检查和指导。电力行业信息系统安全等级保护定级工作专家组（以下简称专家组）：对电力行业信 息系统安全定级工作进行专家指导、咨询，对定级结果进行评审。各有关电力公司（电力行业网络与信息安全领导小组成员单位）：负责组织开展本单 位（系统）信息系统安全等级保护定级工作。信息系统运营使用单位（以下简称运营使用单位）:具体负责所

4、运营、使用的信息系 统的安全定级工作。技术支持单位：中国电力科学研究院信息安全研究所等单位为信息安全定级工作的技 术支持单位，负责提供技术支持。5定级原理5. 1信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但 不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害, 或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家 安全造成损害。第四级，信息系统受到破坏

5、后，会对社会秩序和公共利益造成特别严重损害，或者对 国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。5. 2信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客 体和对客体造成侵害的程度。5. 2.1受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:（1）公民、法人和其他组织的合法权益；（2）社会秩序、公共利益；（3）国家安全。5. 2. 2对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对 等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对

6、象的破坏，通 过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：（1）造成一般损害；（2）造成严重损害；（3）造成特别严重损害。5. 3定级要素与等级的关系定级要素与信息系统安全保护等级的关系如表1所示。表1定级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级6定级方法6. 1定级流程信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的 侵害程度可能不同，因此，信息系统定级也应由业务信

7、息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。确定信息系统安全保护等级的一般流程如下：（1）确定作为定级对象的信息系统；（2）确定业务信息安全受到破坏吋所侵害的客体；（3）根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害 程度；（4）依据表3,得到业务信息安全保护等级；（5）确定系统服务安全受到破坏时所侵害的客体；（6）根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害 程度；（7）依据表4,得到系统服务安全保护等级；（8）将业务信

8、息安全保护等级和系统服务安全保护等级的较高者确定为定级对彖的安 全保护等级。上述步骤如图1确定等级一般流程所示。图1确定等级一般流程（略）6. 2确定定级对象一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护、有效控制信 息安全建设成本、优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若 干个较小的、可能具有不同安全保护等级的定级对象。6. 2. 1作为定级对象的基本特征（1）具有唯一确定的安全责任单位作为定级对彖的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下 级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成 为信息系统的安

9、全责任单位；如果一个单位屮的不同下级单位分别承担信息系统不同方面 的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。（2）貝有信息系统的基本要素作为定级对彖的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等 作为定级对象。(3) 承载单一或相对独立的业务应用定级对象承载“单一 “的业务应用是指该业务应用的业务流程独立，与其他业务应用 没有数据交换，且独享所有信息处理设备。定级对象承载“和对独立“的业务应用是指其 业务应用的主耍业务流程独立，同时与其他业务应用有少量的数据交换，定级对象

10、可能会 与其他业务应用共享一些设备，尤其是网络传输设备。6. 2. 2定级对象的识别方法一般来讲单位信息系统可以划分为儿个定级对象，如何划分系统是定级之前的主要问 题。信息系统的划分没有绝对的对与错，只有合理与不合理，合理地划分信息系统有利于 信息系统的保护及安全规划，反之可能给将來的应用和安全保护带來不便，又可能需要重 新进行信息系统的划分。由于信息系统的多样性，不同的信息系统在划分过程中所侧重考 虑的划分依据会有所不同。通常，在信息系统划分过程中，应当结合信息系统的现状，从 信息系统的管理机构、业务特点或物理位置等儿个方面考虑对信息系统进行划分，当然也 可以根据信息系统的实际情况，选择其他

11、的划分依据，只耍最终划分结果合理就可以。(1)安全责任单位依据安全责任单位的不同，划分信息系统。如杲信息系统由不同的单位负责运行维护 和管理，或者说信息系统的安全责任分屈不同机构，则可以根据安全责任单位的不同划分 成不同的信息系统。一个运行在局域网的信息系统，其安全责任单位一般只有一个，但对 一个跨不同地域运行的信息系统来说，就可能存在不同的安全责任单位，此时可以考虑根 据不同地域的信息系统的安全责任单位的不同，划分出不同的信息系统。在一个单位中，信息系统的业务管理和运行维护可能由不同部门负责，例如科技部门 或信息屮心负责信息系统所有设备和设施的运行、维护和管理，各业务部门负责其屮的业 务流程

12、的制定和业务操作，信息系统的安全管理责任不仅指在信息系统的运行、维护和管 理方面的责任，承担安全责任的不应是科技部门，而应当是该单位本身。一个运行在局域网的信息系统，其管理边界比较明确，但对一个跨不同地域运行的信 息系统，其管理边界可能有不同情况：如果不同地域运行的信息系统分属不同单位(如上 级单位和下级单位)负责运行和管理，上下级单位的管理边界为本地的信息系统，则该信 息系统可以划分为两个信息系统；如果不同地域运行的信息系统均由其上级单位直接负责 运行和管理，运维人员由上级单位指派，安全责任由上级单位负责，则上级单位的管理边 界应包括本地和远程的运行环境。(2) 业务类型和业务重要性根据业务

13、的类型、功能、阶段的不同，对信息系统进行划分，不同类型的业务z间会 存在重要程度、环境、用户数量等方面的不同，这些不同会带来安全需求和受破坏后的影 响程度的差异，例如，一个是以信息处理为主的系统，其重要性体现在信息的保密性，而 另一个是以业务处理为主的系统，其重要性体现在其所提供服务的连续性，因此，可以按 照业务类型的不同划分为不同的信息系统。又比如，在整个业务流程中，核心处理系统的 功能重要性可能远大于终端处理系统，有需要时，可以将其划分为不同的信息系统。归结起来，以下儿种情况可能划分为不同等级的信息系统：%1 可能涉及不同客体的系统。例如对内服务与对外运营的业务系统，对内服务的办公 系统，

14、一般來说其中的信息和提供的服务是面向木单位的，涉及到的等级保护客体一般是 本单位，而对外运营的业务系统往往关系到其他单位、个人或面向社会，因此这两类业务 可能涉及不同的客体，可能具有不同的安全保护等级，可以考虑划分为不同的信息系统。 又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。%1 可能对客体造成不同程度损害的系统。例如全国大集中系统数据中心的数据量和服 务范围都远大于各省级节点和市级节点，其受到破坏后的损害程度和影响范围也有很大差 别，可能具有不同的安全等级，可以考虑划分为不同的信息系统。%1 处理不同类型业务的系统。（3）分析物理位置的差异根据物理位置的不同

15、，对信息系统进行划分。物理位置的不同，信息系统面临的安全 威胁就可能不同，不同物理位置之间通信信道的不可信，使不同物理位置的信息系统也不 能视为可以互相访问的一个安全域，即使等级相同可能也需要划分为不同的信息系统分别 加以保护。因此，物理位置也可以作为信息系统划分的考虑因素z-o在进行信息系统的划分过程中，进行分析，可以选择上述三个方而中的一个方而因素 作为划分的依据，也可以综合儿个方面因素作为划分的依据。同时，还要结合信息系统的 现状，避免由于信息系统的划分而引起大量的网络改造和重复建设工作，影响原有系统的 正常运行。一般单位的信息系统建设和网络布局，一般都会或多或少考虑系统的特点、业 务重

16、耍性及不同系统z间的关系，进行信息系统的等级划分应尽可能以现有网络条件为基 础进行划分，以免引起不必要的网络改造和建设工作，影响原有系统的业务运行。此外，有些信息系统中不同业务的重要程度虽然会有所差异，但是由于业务之间联系 紧密，不容易拆分，可以作为一个信息系统按照同样级别保护。但是，如果其中某一个业 务对信息防护或服务保障性耍求较高，比如与互联网相连，可能会影响到其它的业务，就 应当将其从该信息系统中分离出來，单独定级而实施增强保护。经过合理划分，一个单位或机构的信息系统最终可能会划分为不同等级的多个信息系 统。同时，通过在信息系统划分阶段对各种系统服务业务信息、业务流程的深入分析，明 确了

17、各个信息系统之间的边界和逻辑关系以及他们各自的安全需求，有利于信息系统安全 保护的实施。6. 2. 3定级对象信息系统边界和边界设备的确定方法定级对彖确定后就需要确定定级对彖信息系统的边界和边界设备。由于定级对彖信息 系统有可能是单位信息系统的一部分，如果该信息系统与其他系统在网络上是独立的，没 有设备共用情况，边界则容易确定，但当不同信息系统之间存在共用设备时，应加以分析。由丁信息系统的边界保护一般在物理边界或网络边界上实现，系统边界一般不应岀现 在服务器内部。两个信息系统边界存在共用设备时，共用设备的安全保护措施按两个信息系统安全保 护等级较高者确定。例如，一个2级系统和一个3级系统之间有

18、一个防火墙或两个系统共 用一个核心交换机，此时防火墙和交换机可以作为两个系统的边界设备，但其安全保护措 施应满足3级系统的要求。终端设备一般包描系统管理终端、内部用户终端和外部用户终端。对于外部用户终端, 由于用户和设备一般都不在信息系统的管理边界内，这些终端设备不在信息系统的边界范 围内。信息系统的管理终端是与被管理设备相对应的，服务器、网络设备及安全设备等属 于哪个系统，终端就应归在哪个信息系统中。内部用户终端就比较复杂，内部用户终端往 往与多个系统相连，当信息系统进行等级化保护后，应尽可能为不同的信息系统分配不共 用的终端设备，以免在终端处形成不同等级信息系统的边界。但如果无法做到不同等

19、级的 信息系统使用不同的终端设备，则应将终端设备划分为其他的信息系统，并在服务器与内 部用户终端之间建立边界保护，对终端通过身份鉴别和访问控制等措施加以控制。处理涉密信息的终端必须划分到相应的信息系统屮，且不能与非涉密系统共用终端。6. 2. 4电力行业信息系统安全等级保护定级对彖分类根据电力行业实际，按照上述定级对象确定方式，综合考虑信息系统的责任单位、业 务类型和业务重要性及物理位置差界等各种因素，可将电力行业信息系统分为牛产控制系 统、生产管理系统、网站系统、管理信息系统、信息网络五大类。具体重要信息系统口录参见第9章。6. 3确定受侵害的客体定级对象受到破坏时所侵害的客体包描国家安全、

20、社会秩序、公众利益以及公民、法 人和其他组织的合法权益。侵害国家安全的事项包括以下方面:-影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益;-影响国家重要的安全保卫工作；影响国家经济竞争力和科技实力;-其他影响国家安全的事项。侵害社会秩序的事项包括以下方面：影响国家机关社会管理和公共服务的工作秩序；影响各种类型的经济活动秩序；一影响各行业的科研、生产秩序；影响公众在法律约束和道德规范卜的止常生活秩序等；其他影响社会秩序的事项。影响公共利益的事项包括以下方面：-影响社会成员使用公共设施；影响社会成员获取公开信息资源；-影响社会成员接受公共服务等方而

21、；-英他影响公共利益的事项。影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人 和其他组织所享有的一定的社会权利和利益。确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家 安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织 的合法权益。各单位可根据本单位业务特点，分析各类信息和各类信息系统与国家安全、社会秩序、 公共利益以及公民、法人和其他组织的合法权益的关系，从而确定木行业各类信息和各类 信息系统受到破坏时所侵害的客体。6. 4确定对客体的侵害程度6. 4. 1侵害的客观方面在客观方面，对客体的侵害行为外在表现为对定

22、级对象的破坏，其危害方式表现为对 信息安全的破坏和对信息系统服务的破坏，其中信息安全是指确保信息系统内信息的保密 性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以 完成预定的业务冃标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体 的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。信息安全和系统服务安全受到破坏后，可能产生以下危害后果：-影响行使工作职能;导致业务能力下降;-引起法律纠纷;-导致财产损失;-造成社会不良影响;-对其他组织和个人造成损失;其他影响。6. 4. 2综合判定侵害程度侵害程度是客观方面的不同外在表现程度，因此，

23、应首先根据不同的受侵害客体、不 同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑 的角度可能不同，例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务 覆盖的区域范围、用户人数或业务量等不同方面确定，业务信息安全被破坏导致的财物损 失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同的判别基准：如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利 益作为判断侵害程度的基准；如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体 利益作为判断侵害程度的

24、基准。不同危害后果的三种危害程度描述如下：一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，岀 现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低 损害。严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出 现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造 成较严重损害。特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重卜降且功 能无法执行，岀现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其 他组织和个人造成非常严重损害。信息安全和系统服务安全被破坏后对客体的侵

25、害程度，由对不同危害结果的危害程度 进行综合评定得岀。曲于各单位信息系统所处理的信息种类和系统服务特点各不相同，信 息安全和系统服务安全受到破坏后可能产生的危害结杲以及危害程度的计算方式均可能不同，各单位可根据本单位信息特点和系统服务特点，制定危害程度的综合评定方法，并给 出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。6. 5可能侵害的客体及侵害程度的确定方法（1）电力信息系统受到破坏后可能侵害的客体电力行业各类别信息系统受到破坏后可能侵害的客体参见表2。表2电力行业各类别信息系统受到破坏后可能侵害的客体信息系统类别可能侵害的客体生产控制系统国家安全，社会秩序、公共利益，公民、

26、法人和其他组织的合法权益生产管理系统国家安全、社会秩序、公共利益，公民、法人和其他组织的合法权益管理信息系统社会秩序、公共利益，公民、法人和其他组织的合法权益网站系统社会秩序、公共利益，公民、法人和其他组织的合法权益信息网络国家安全，社会秩序、公共利益，公民、法人和其他组织的合法权益（2）确定对客体的侵害程度电力行业信息系统受到破坏时，不同危害后果的三种危害程度描述如下：%1 对公民、法人和其它组织的合法权益的危害程度一般损害：对信息系统所屈单位造成一定的经济损失，或对个别公民、法人或其它组 织的利益造成较低的损害。严重损害：对信息系统所属单位造成严重的经济损失，或对个别公民、法人或其它组 织

27、的利益造成一定的损害。特别严重损害：对信息系统所属单位造成重大的经济损失，或对个别公民、法人或其 它组织的利益造成严重的损害。%1 对社会秩序、公共利益的危害程度一般损害：使电力生产面临明显的中断威胁，影响波及一个地市的部分地区，对公众 利益造成一定损害，可能扰乱社会秩序。严重损害：使电力生产面临严重的中断威胁，影响波及一个或多个地市的部分地区， 对公众利益造成严重损害，对社会秩序造成一定的影响。特别严重损害：使电网瓦解，发电机组停运，影响波及一个或多个地市的大部分地区, 严重扰乱社会秩序，对电力行业造成巨大经济损失，对公众利益造成重大损害。%1 对国家安全的危害程度一般损害：使电网瓦解，发电

28、机组停运，影响波及一个或多个地市的部分地区，明显 影响社会安定。严重损害：使电网瓦解，发电机组停运，影响波及一个或多个地市的大部分地区，对 社会安定造成了严重的影响，明显影响国家安全。特别严重损害：造成电网瓦解，发电机组停运，影响波及一个或多个省市的大部分地 区，引起社会动荡，严重威胁国家安全。6. 6确定定级对彖的安全保护等级根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表3业务 信息安全保护等级矩阵表，即可得到业务信息安全保护等级。表3业务信息安全保护等级矩阵表业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害 严重损害 特别严重损害公民、法人和其他组织的合法

29、权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表4系统 服务安全保护等级矩阵表，即可得到系统服务安全保护等级。表4系统服务安全保护等级矩阵表系统服务安全被破坏时所侵害的客体对和应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益 第二级 第三级 第四级国家安金第三级第四级第五级作为定级对彖的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保 护等级的较高者决定。6. 7关于定级过程的说明信息系统定级既可以在新系统规划、设计时

30、进行，也可在已建成系统中进行。对于新 建系统，尽管信息系统尚未建成，但信息系统的运营使用者应首先分析该信息系统处理哪 几种主要业务，预计处理的业务信息和服务安全被破坏所侵害的客体、以及根据可能的对 信息系统的损害方式判断可能的客体侵害程度等基本信息，确定信息系统的安全保护等级; 对于已建系统，可以通过系统基木情况调查、调查结果分析、等级确定、编制定级报告等 坏节完成定级工作。通过定级调查，可以了解单位信息系统的全貌，了解定级对象信息系统与单位其他信 息系统的关系。根据用户需求或工作需要，定级调查活动既可以针对单位整个信息系统进 行，也可在用户指定的范围内进行。(1) 识别单位基木信息调查了解对

31、目标系统负有安全责任的单位的性质、隶属关系、所属行业、业务范围、 地理位置等基本情况，以及其上级主管机构(如果有)的信息。了解单位基本信息有助丁判断单位的职能特点，单位所在行业及单位在行业所处的地 位和作用，由此判断单位主要信息系统的宏观定位。(2) 识别管理框架调查了解定级对象信息系统所在单位的组织管理结构、管理策略、部门设置和部门在 业务运行中的作用、岗位职责。了解信息系统的管理、使用、运维的责任部门，特别是当 该单位的信息系统存在分布于不同的物理区域的情况时，应了解不同区域系统运行的安全 管理责任。安全管理的责任单位就是等级保护备案工作的责任单位。了解管理框架还有利于将来对整个单位制定等

32、级保护管理框架及单个定级对象等级管 理策略。(3) 识别业务种类、流程和服务调查了解定级对彖信息系统内部处理多少种业务，各项业务具体要完成的工作内容、 服务目标和业务流程等。了解这些业务与单位职能的关联，单位对定级对象信息系统完成 业务使命的期待和依赖程度，由此判断该信息系统在单位的作用和影响程度。调查还应关注每个信息系统的业务流，以及不同信息系统之间的业务关系，因为不同 信息系统z间的业务关系和数据关系表明其他信息系统对该信息系统的服务的关联和依 赖。应重点了解定级对彖信息系统屮不同业务系统捉供的服务在影响履行单位职能方而具 体方式和程度，影响的区域范围、用户人数、业务量的具体数据以及对本单

33、位以外机构或 个人的影响等方面。（4）识别信息调查了解定级对象信息系统所处理的信息，了解单位对信息的三个安全属性的需求， 了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信 誉、人身安全等方面可能对国家、社会、本单位造成的影响，对影响程度的描述应尽可能 量化。了解数据信息还应关注信息系统的数据流，以及不同信息系统之间的数据交换或共享 关系。（5）识别网络结构和边界调查了解定级对象信息系统所在单位的整体网络状况和安全防护情况，包拈网络覆盖 范围（全国、全省或木地区），网络的构成（广域网、城域网或局域网等），内部网段/vlan 划分，网段/vijn划分与系统的关系，与上

34、级单位、下级单位、外部用户、合作单位等的网 络连接方式，与互联网的连接方式。目的是了解定级对象信息系统门身网络在单位整个网 络屮的位置，该信息系统所处的单位内部网络环境和外部环境特点，以及该信息系统的网 络安全保护与单位内部网络环境的安全保护的关系。（6）识别主耍的软硬件设备调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等, 设备所在网段，在系统中的功能和作用。信息系统的安全保护等级仅与其重要性有关，与 具体设备情况没有关系，但由于在划分信息系统时，不可避免地会涉及到设备共用问题， 调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。（7）识别用户类

35、型和分布调查了解各系统的管理用户和一般用户、内部用户和外部用户、本地用户和远程用户 等类型，了解用户或用户群的数量分布、各类用户可访问的数据信息类型和操作权限。了解用户类型和数量，有助于判断系统服务屮断或系统信息被破坏可能影响的范围和 程度。（8）形成定级结果定级人员需要将定级对象信息系统中的不同类型重要信息分别分析其安全性受到破坏 后所侵害的客体及对客体的侵害程度，取其中最高结果作为业务信息安全保护等级。再将定级对象信息系统屮的不同类型重要系统服务分别分析其受到破坏后所侵害的客 体及对客体的侵害程度，取其中最高结果作为业务服务安全保护等级。7关于审批流程的说明为进一步明确各级主管部门职责，按照“谁主管，谁负责“的原则，现将审批流程说 明如下：信息系统各运营使用单位按照本意见确定信息系统安全保护等级后，填写备案表，扌艮 上级主管部门审核，经审核批准后按要求到公安机关办理备案手续。各有关电力公司负责汇总本单位（系统）信息系统定级情况，与本单位（系统）信息 系统安全定级工作总结报告一同报送电监会审核。其它电力企业负责汇总木单位（系统）信息系统定级情况，与木单位（系统）信息系 统安全定级工作总结报告一同报送属地屯力监