工业控制系统和传统IT系统有所差异,须单独划分定级对象
工业控制系统定级时将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。比如:某电力企业工业网具有 DCS 系统、SIS 系统,其中 DCS 系统使用的国电智深、西门子、艾默生自动化厂商,此时定级对象可划分为4个,分别是国电智深 DCS 系统、西门子 DCS 系统、艾默生 DCS 系统、SIS 系统。
传统 IT 信息系统定级时将数据管理、信息存储、信息传输、信息处理等功能当做一个整体对象定级。比如:某医疗医院具有 HIS、LIS、PACS 系统、OA系统,其中 HIS 系统的数据库、网络设备、服务器、应用系统组件,此时定级对象可划分为 HIS 系统、LIS 系统、PACS 系统、OA 系统。
工业控制系统等保2.0定级对象关键点总结
当工业企业的信息系统涉及工业互联网云平台时,则应区分为服务提供方与租户方,各自分别作为定级对象。特别注意:工业互联网云平台等级≥工业互联网云平台部署的系统等级,工业互联网云平台先定级测评,再将已定级的系统向云平台迁移,云平台定级时参考定级指南。如工业互联网云平台中部署的某工业控制系统定级为3级,则工业互联网云平台应至少定级为3级。
当工业企业的信息系统涉及大数据平台/系统时,除安全责任主体相同的平台/应用可以整体定级外,其他应单独定级。数据资源里涉及大量个人信息以及为个人提供公共服务的平台/系统,建议其平台/系统安全保护等级不低于三级。
当工业企业的信息系统涉及物联网系统时,各种感知层识别设备、网络传输层设备、应用层处理设备之间数据互相交互,作为一个整体对象进行定级。
当工业企业的信息系统涉及移动互联时,应将移动终端、移动应用、无线网络移动APP等要素与相关有线网络业务系统作为一个整体对象定级。
初步确定等级应根据定级责任主体和定级要素初步确认定级对象的安全保护等级
定级对象的安全主要包括业务信息安全和系统服务安全,并根据定级要素与安全保护等级的关系进行定级,采用“定级过低不允许、定级过高不可取”的原则。最终安全等级较高者确认为定级对象的安全保护等级。具体参考如下定级方法流程示意图:
专家评审及主管部门核准要点
主管部门审批:具备上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。未具备上级主管部门的行业,不需要主管部门审批。
专家评审:对于三级及以上工业控制系统需组织信息安全专家和业务专家(至少三位),对定级的合理性进行评审,出具专家评审意见。
特别注意:当公民、法人和其他组织的合法权益造成特别严重损害时,在新的正式发布标准《GBT22240-2020信息安全技术网络安全等级保护定级指南》要求中,安全保护等级仍然为二级。
工业控制系统等保2.0备案资料提交注意事项
备案时效:定级为二级及以上信息系统应当在安全保护等级确定后30日内,到当地公安机关网安大队办理备案手续。新建第二级以上信息系统,在投入运行后30日内,到当地公安机关网监部门办理备案手续。
备案材料准备:备案材料需准备定级报告、备案表等相关材料。备案材料需电子版和纸质版(盖单位公章)。
其他事项:各地方的备案材料要求、审核时长会有差异情况。具体详情可咨询长扬相关专家,对工业控制系统进行辅助定级备案工作。
以工业控制SCADA系统为例的定级实操
(一)业务信息安全等级的确定
工业控制SCADA系统受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害。具体该系统的业务信息安全等级确定如下图:
(二)系统服务安全保护等级的确定
SCADA系统受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害,也会对社会秩序和公共利益造成严重损害。具体该系统的业务信息安全等级确定如下图:
(三)安全保护等级的确定