定级篇 | 工业控制系统等保2.0定级备案经验分享

2023-06-27 来源：

我们在上期《科普篇——工业控制系统等保2.0经典20问及解答》中为大家汇总了工业控制系统等保2.0常见的20个问题及解答，包含等级保护工作的各个阶段。

本期我们将通过梳理定级备案工作阶段的工作思路，向大家分享威斯尼斯人wns2299cn在等保定级、备案工作中的经验积累。

1.工业控制系统和传统IT系统有所差异，须单独划分定级对象

工业控制系统定级时将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级，各要素不单独定级；生产管理要素可单独定级。对于大型工业控制系统，可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。比如：某电力企业工业网具有 DCS 系统、SIS 系统，其中 DCS 系统使用的国电智深、西门子、艾默生自动化厂商，此时定级对象可划分为4个，分别是国电智深 DCS 系统、西门子 DCS 系统、艾默生 DCS 系统、SIS 系统。

传统 IT 信息系统定级时将数据管理、信息存储、信息传输、信息处理等功能当做一个整体对象定级。比如：某医疗医院具有 HIS、LIS、PACS 系统、OA系统，其中 HIS 系统的数据库、网络设备、服务器、应用系统组件，此时定级对象可划分为 HIS 系统、LIS 系统、PACS 系统、OA 系统。

2.工业控制系统等保2.0定级对象关键点总结

当工业企业的信息系统涉及工业互联网云平台时，则应区分为服务提供方与租户方，各自分别作为定级对象。特别注意：工业互联网云平台等级≥工业互联网云平台部署的系统等级，工业互联网云平台先定级测评，再将已定级的系统向云平台迁移，云平台定级时参考定级指南。如工业互联网云平台中部署的某工业控制系统定级为3级，则工业互联网云平台应至少定级为3级。

当工业企业的信息系统涉及大数据平台/系统时，除安全责任主体相同的平台/应用可以整体定级外，其他应单独定级。数据资源里涉及大量个人信息以及为个人提供公共服务的平台/系统，建议其平台/系统安全保护等级不低于三级。

当工业企业的信息系统涉及物联网系统时，各种感知层识别设备、网络传输层设备、应用层处理设备之间数据互相交互，作为一个整体对象进行定级。

当工业企业的信息系统涉及移动互联时，应将移动终端、移动应用、无线网络移动APP等要素与相关有线网络业务系统作为一个整体对象定级。

3.初步确定等级应根据定级责任主体和定级要素初步确认定级对象的安全保护等级

定级对象的安全主要包括业务信息安全和系统服务安全，并根据定级要素与安全保护等级的关系进行定级，采用“定级过低不允许、定级过高不可取”的原则。最终安全等级较高者确认为定级对象的安全保护等级。具体参考如下定级方法流程示意图：

微信图片_20230627172148.png