电网企业实施信息系统安全等级保护

电网企业实施信息系统安全等级保护
黄敬志
（广东电网公司，广州市东风东路757号 510600）
摘要：本文结合国家信息安全等级保护的有关规定和标准，对电网企业实施信息系统安全等级保护工作的内容和步骤进行了详细介绍，为同行业的相关工作提供参考。

关键字：电网企业；信息安全等级保护
Enterprise of Electric Power Grid
Enforces the Security Classification Protection for Information System Abstract：This paper combine with the country’s regulations and standards of security classification protection, introduces the contents and steps of the enterprise of electric power grid enforces the security classification protection for information system, this introduction in order to provides the reference for the trade to do the similar work.
Key words：the enterprise of electric power grid；security classification protection
0.概述
公安部、国家保密局、国家密码管理局和国务院信息化工作办公室于2007年6月联合发布了《信息安全等级保护管理办法》，标志着信息安全等级保护工作在全国范围全面推进[1]。

信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法，是国家层面制定的信息安全工作标准。

目前，信息安全等级保护工作在国内尚处于刚起步的阶段，如何落实具体的工作，是各重点企业工作面临的问题。

电网企业作为关系国计民生的重要国有企业，在信息安全等级保护工作方面积极探索，并根据行业的特点制定了适合电网企业的规范、标准和实施指南，指导各单位全面落实国家的有关要求。

1.信息安全等级保护的要求及标准
信息安全等级保护指的是：对涉及国计民生的基础信息网络和重要信息系统按照其重要程度及实际安全需求，合理投入，分级进行保护，分类指导，分阶段实施，保障信息系统安全正常运行和信息安全，提高信息安全综合防护能力，保障国家安全，维护社会秩序和稳定，保障并促进信息化建设健康发展。

信息系统的运行（或使用）单位根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的
合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素，对信息系统划分为五个安全保护和监管等级，实行分级保护。

按照《信息系统安全等级保护实施指南》，信息系统安全等级保护实施基本工作流程分为五个阶段：信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止。

各阶段的流程关系如下图：
图1 信息系统安全等级保护实施的基本流程
2.信息系统安全等级保护实施方法
2.1.信息系统定级
按照《信息安全等级保护管理办法》，信息系统的安全保护等级分为五级，定级工作主要按照《信息系统安全等级保护定级指南》（GB/T22240-2008）的标准执行，电网企业的系统定级，同时参照国家电力监管委员会下发的《电力行业信息系统安全等级保护定级工作指导意见》执行。

信息系统定级主要由两个要素决定：系统受到破坏时所侵害的客体和对客体造成侵害的程度。

其中，客体包括“公民、法人和其他组织的合法权益”、“社会秩序、公共利益”和“国家安全”三个方面，侵害程度包括“一般损害”、“严重损害”和“特别严重损害”三种级别。

定级要素与信息系统安全保护等级的关系如表1所示。

表1 定级要素与安全保护等级的关系
为了定级更准确，一般把信息系统安全分为业务信息安全和系统服务安全两部分，并对两部分分别定级，最后取定级的较高者为定级对象的安全保护等级。

如办公自动化系统业务信息安全等级为二级，系统服务安全等级也是二级，那么办公自动化系统的定级就是二级；而省级电网公司的营销系统业务信息安全等级为二级，系统服务安全等级为一级，那么省级电网公司的营销系统定级就是二级。

通常电网企业的信息系统定在四级以下，主要集中在一、二、三级。

定级是等级保护的第一阶段工作，对后续阶段工作影响很大，如果定级不准——过高会浪费人力、物力、财力，而过低则会存在安全隐患同时使后续工作失去意义，可见定级工作的重要性。

2.2.安全建设或整改
信息系统的安全保护等级确定后，企业就按照有关规范和技术标准，使用符合国家有关规定、满足信息系统安全保护等级须要的信息技术产品，开展信息系统安全建设或者整改工作。

《信息系统安全等级保护基本要求》（GB/T 22239—2008）是安全建设或安全整改的重要依据标准，该标准对每一级别系统安全保护的基本要求进行了描述，包括了技术要求和管理要求。

新建系统与已建在用的系统，本阶段的工作有所不同。

对于新建的信息系统，在系统的设计、规划阶段时就应当按照相应等级的安全保护要求进行建设；对于已建在用的信息系统，则应进行全面的差距评估，找出系统现状与等级保护标准之间的差距，制定整改方案，并逐一进行安全整改。

2.3.等级测评
信息系统建设完成后，系统运营、使用单位须选择等级测评机构对系统进行等级测评。

系统测评按照《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》等标准进行。

由于等级测评等同于对系统的安全建设或整改工作进行验收测试，而且对于新建系统，建议把等级测评纳入到系统的验收测试工作中一并进行，所以等级测评也可以被称为验收测评。

等级测评工作重点分为两部分：选择等级测评机构和完成等级测评工作。

选择等级测评机构工作必须严格按照相关的规定进行，否则测评工作将得不到公安机关
的认可。

等级测评机构除了拥有相关信息安全服务资质并在本地公安机关备案外，还需要向公安机关提供《承诺书》，承诺不承担信息系统安全建设、整改、集成工作，不将等级测评任务分包、外包。

上述要求，确保等级测评机构与信息安全建设整改机构呼吸之间的独立性，保证了等级测评工作的公正性，所以等级测评机构也称为第三方测评机构。

按照《信息系统安全等级保护测评过程指南》，等级测评工作分为单元测评和整体测评两个阶段。

单元测评阶段是针对等级保护标准逐条进行符合性检查，得出“符合”、“部分符合”以及“不符合”的结论；整体测评阶段是针对单项测评结果的“部分符合”和“不符合”项，采取逐条判定的方法，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果，并对系统结构进行整体安全测评。

所以单元测评不符合的项目，如果站在整体角度看与其他测评项有关联关系并且这个关联关系能够“弥补”该测评项的不足，那么系统的整体测评结果也能够通过。

2.4.系统备案
按照要求，定级为二级及以上的信息系统均应到本地地市级以上公安机关办理备案手续，第三级及以上的信息系统备案前，备案材料还要通过上级主管部门的审核，第一级的信息系统可以由运行（使用）单位自行决定是否进行备案。

备案工作的重点是填写备案登记表格和编写系统定级报告，每个系统一份，经盖单位公章后递交公安机关，公安机关将对备案材料进行审核，认为系统定级无误之后会对每个定级系统颁发一份定级证书。

已建在用的系统与新建系统，本阶段的工作有所不同。

已建在用的系统，在定级之后30日内，到所在地的市级以上公安机关办理备案手续，而新建的系统则在系统通过等保测评并投入运行30日内到所在地的市级以上公安机关办理备案手续。

2.5.系统运行
信息系统的运行阶段占了系统生命阶段的70%-80%。

在系统运行阶段，信息安全的保障工作也十分重要。

等级保护标准中不仅对系统运行维护阶段的信息安全工作进行了规范要求，还对系统运行阶段的安全检查和测评工作提出了具体的要求，按照《信息安全等级保护管理办法》在系统正式投入运行后，定位三级的系统每年至少进行一次安全的自查和测评，四级系统每半年至少进行一次自查和测评。

2.6.持续改进
信息安全等级保护工作是一项长期的、持续完善的工作，本文描述的各个阶段工作并不是完全独立的。

运行当中的系统的如果进行了局部调整，或运行环境发生了变化，但是系统级别没有变化，那么须要重新进行差距评估、整改和等级测评；如果系统发生较大的调整，
甚至系统级别可能发生改变，那么就须要对系统重新进行定级以及之后的所有相关的工作。

当系统能够在定期的自查和测评过程中发现有问题，那么可以根据存在问题的大小，选择局部调整或重新定级。

总体来说，信息安全等级保护工作符合目前流行的“PDCA”闭环管理原则。

3.信息安全等级保护的重要意义
信息安全等级保护的实施，实现对重要信息系统的重点安全保障，推进了信息安全保护工作的规范化、法制化建设[2]，有效体现“适度安全、保护重点”的思想。

国家出台了一系列信息安全管理标准和技术标准意义重大，国内的信息安全工作有据可依，明确了信息安全工作的目标和重点，信息系统安全与否也有了一个衡量尺度，企业可以将有限的财力、物力、人力投入到重要信息系统安全保护中，改变传统的安全管理“头痛医头、脚痛医脚”的情况，从而建立起全面的、立体的信息安全保障体系。

4.结束语
广东电网公司按照国家信息安全等级保护的有关规定和标准，结合电监会对二次系统安全防护的规定，全面开展了信息安全等级保护工作。

等保的实施，为公司信息安全保障体系的建设提供了标准，指明了方向。