电网企业等级保护建设整改方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电网企业等级保护建设整改方案
黄敬志
(广东电网公司,广州市东风东路757号 510600)
摘要:本文结合国家信息安全等级保护的有关规定和标准,对电网企业实施信息系统安全等级保护工作的内容和步骤进行了详细介绍,为同行业的相关工作提供参考。
关键字:电网企业;信息安全等级保护
Enterprise of Electric Power Grid
Enforces the Security Classification Protection for Information System Abstract:This paper combine with the country’s regulations and standards of security classification protection, introduces the contents and steps of the enterprise of electric power grid enforces the security classification protection for information system, this introduction in order to provides the reference for the trade to do the similar work.
Key words:the enterprise of electric power grid;security classification protection
0.概述
公安部、国家保密局、国家密码管理局和国务院信息化工作办公室于2007年6月联合发布了《信息安全等级保护管理办法》,标志着信息安全等级保护工作在全国范围全面推进[1]。
信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法,是国家层面制定的信息安全工作标准。目前,信息安全等级保护工作在国内尚处于刚起步的阶段,如何落实具体的工作,是各重点企业工作面临的问题。电网企业作为关系国计民生的重要国有企业,在信息安全等级保护工作方面积极探索,并根据行业的特点制定了适合电网企业的规范、标准和实施指南,指导各单位全面落实国家的有关要求。
1.信息安全等级保护的要求及标准
信息安全等级保护指的是:对涉及国计民生的基础信息网络和重要信息系统按照其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,保障信息系统安全正常运行和信息安全,提高信息安全综合防护能力,保障国家安全,维护社会秩序和稳定,保障并促进信息化建设健康发展。
信息系统的运行(或使用)单位根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的
合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素,对信息系统划分为五个安全保护和监管等级,实行分级保护。
按照《信息系统安全等级保护实施指南》,信息系统安全等级保护实施基本工作流程分为五个阶段:信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止。各阶段的流程关系如下图:
图1 信息系统安全等级保护实施的基本流程
2.信息系统安全等级保护实施方法
2.1.信息系统定级
按照《信息安全等级保护管理办法》,信息系统的安全保护等级分为五级,定级工作主要按照《信息系统安全等级保护定级指南》(GB/T22240-2008)的标准执行,电网企业的系统定级,同时参照国家电力监管委员会下发的《电力行业信息系统安全等级保护定级工作指导意见》执行。
信息系统定级主要由两个要素决定:系统受到破坏时所侵害的客体和对客体造成侵害的程度。其中,客体包括“公民、法人和其他组织的合法权益”、“社会秩序、公共利益”和“国家安全”三个方面,侵害程度包括“一般损害”、“严重损害”和“特别严重损害”三种级别。定级要素与信息系统安全保护等级的关系如表1所示。
表1 定级要素与安全保护等级的关系
为了定级更准确,一般把信息系统安全分为业务信息安全和系统服务安全两部分,并对两部分分别定级,最后取定级的较高者为定级对象的安全保护等级。如办公自动化系统业务信息安全等级为二级,系统服务安全等级也是二级,那么办公自动化系统的定级就是二级;而省级电网公司的营销系统业务信息安全等级为二级,系统服务安全等级为一级,那么省级电网公司的营销系统定级就是二级。通常电网企业的信息系统定在四级以下,主要集中在一、二、三级。
定级是等级保护的第一阶段工作,对后续阶段工作影响很大,如果定级不准——过高会浪费人力、物力、财力,而过低则会存在安全隐患同时使后续工作失去意义,可见定级工作的重要性。
2.2.安全建设或整改
信息系统的安全保护等级确定后,企业就按照有关规范和技术标准,使用符合国家有关规定、满足信息系统安全保护等级须要的信息技术产品,开展信息系统安全建设或者整改工作。《信息系统安全等级保护基本要求》(GB/T 22239—2008)是安全建设或安全整改的重要依据标准,该标准对每一级别系统安全保护的基本要求进行了描述,包括了技术要求和管理要求。
新建系统与已建在用的系统,本阶段的工作有所不同。对于新建的信息系统,在系统的设计、规划阶段时就应当按照相应等级的安全保护要求进行建设;对于已建在用的信息系统,则应进行全面的差距评估,找出系统现状与等级保护标准之间的差距,制定整改方案,并逐一进行安全整改。
2.3.等级测评
信息系统建设完成后,系统运营、使用单位须选择等级测评机构对系统进行等级测评。系统测评按照《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》等标准进行。由于等级测评等同于对系统的安全建设或整改工作进行验收测试,而且对于新建系统,建议把等级测评纳入到系统的验收测试工作中一并进行,所以等级测评也可以被称为验收测评。
等级测评工作重点分为两部分:选择等级测评机构和完成等级测评工作。
选择等级测评机构工作必须严格按照相关的规定进行,否则测评工作将得不到公安机关