電網(wǎng)企業(yè)實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)

電網(wǎng)企業(yè)實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)

黃敬志

（廣東電網(wǎng)公司，廣州市東風(fēng)東路757號(hào)510600）

摘要：本文結(jié)合國(guó)家信息安全等級(jí)保護(hù)的有關(guān)規(guī)定和標(biāo)準(zhǔn)，對(duì)電網(wǎng)企業(yè)實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)工作的內(nèi)容和步驟進(jìn)行了詳細(xì)介紹，為同行業(yè)的相關(guān)工作提供參考。關(guān)鍵字：電網(wǎng)企業(yè)；信息安全等級(jí)保護(hù)

EnterpriseofElectricPowerGrid

EnforcestheSecurityClassificationProtectionforInformationSystem

Abstract：Thispapercombinewiththecountry’sregulationsandstandardsofsecurityclassificationprotection,introducesthecontentsandstepsoftheenterpriseofelectricpowergridenforcesthesecurityclassificationprotectionforinformationsystem,thisintroductioninordertoprovidesthereferenceforthetradetodothesimilarwork.

Keywords：theenterpriseofelectricpowergrid；securityclassificationprotection

0.概述

公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息化工作辦公室于201*年6月聯(lián)合發(fā)布了《信息安全等級(jí)保護(hù)管理辦法》，標(biāo)志著信息安全等級(jí)保護(hù)工作在全國(guó)范圍全面推進(jìn)

[1]

。

信息安全等級(jí)保護(hù)是國(guó)家信息安全保障工作的基本制度、基本策略、基本方法，是國(guó)家

層面制定的信息安全工作標(biāo)準(zhǔn)。目前，信息安全等級(jí)保護(hù)工作在國(guó)內(nèi)尚處于剛起步的階段，如何落實(shí)具體的工作，是各重點(diǎn)企業(yè)工作面臨的問題。電網(wǎng)企業(yè)作為關(guān)系國(guó)計(jì)民生的重要國(guó)有企業(yè)，在信息安全等級(jí)保護(hù)工作方面積極探索，并根據(jù)行業(yè)的特點(diǎn)制定了適合電網(wǎng)企業(yè)的規(guī)范、標(biāo)準(zhǔn)和實(shí)施指南，指導(dǎo)各單位全面落實(shí)國(guó)家的有關(guān)要求。1.信息安全等級(jí)保護(hù)的要求及標(biāo)準(zhǔn)

信息安全等級(jí)保護(hù)指的是：對(duì)涉及國(guó)計(jì)民生的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)按照其重要程度及實(shí)際安全需求，合理投入，分級(jí)進(jìn)行保護(hù)，分類指導(dǎo)，分階段實(shí)施，保障信息系統(tǒng)安全正常運(yùn)行和信息安全，提高信息安全綜合防護(hù)能力，保障國(guó)家安全，維護(hù)社會(huì)秩序和穩(wěn)定，保障并促進(jìn)信息化建設(shè)健康發(fā)展。

信息系統(tǒng)的運(yùn)行（或使用）單位根據(jù)信息和信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度；遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對(duì)信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達(dá)到的基本的安全保護(hù)水平等因素，對(duì)信息系統(tǒng)劃分為五個(gè)安全保護(hù)和監(jiān)管等級(jí)，實(shí)行分級(jí)保護(hù)。

按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》，信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施基本工作流程分為五個(gè)階段：信息系統(tǒng)定級(jí)、總體安全規(guī)劃、安全設(shè)計(jì)與實(shí)施、安全運(yùn)行與維護(hù)、信息系統(tǒng)終止。各階段的流程關(guān)系如下圖：

圖1信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的基本流程

2.信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施方法2.1.信息系統(tǒng)定級(jí)

按照《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)，定級(jí)工作主要按照《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-201*）的標(biāo)準(zhǔn)執(zhí)行，電網(wǎng)企業(yè)的系統(tǒng)定級(jí)，同時(shí)參照國(guó)家電力監(jiān)管委員會(huì)下發(fā)的《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見》執(zhí)行。

信息系統(tǒng)定級(jí)主要由兩個(gè)要素決定：系統(tǒng)受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度。其中，客體包括“公民、法人和其他組織的合法權(quán)益”、“社會(huì)秩序、公共利益”和“國(guó)家安全”三個(gè)方面，侵害程度包括“一般損害”、“嚴(yán)重?fù)p害”和“特別嚴(yán)重?fù)p害”三種級(jí)別。定級(jí)要素與信息系統(tǒng)安全保護(hù)等級(jí)的關(guān)系如表1所示。

表1定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系

受侵害的客體對(duì)客體的侵害程度一般損害公民、法人和其他組織的合法權(quán)益社會(huì)秩序、公共利益國(guó)家安全第一級(jí)第二級(jí)第三級(jí)嚴(yán)重?fù)p害第二級(jí)第三級(jí)第四級(jí)特別嚴(yán)重?fù)p害第二級(jí)第四級(jí)第五級(jí)為了定級(jí)更準(zhǔn)確，一般把信息系統(tǒng)安全分為業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩部分，并對(duì)兩部分分別定級(jí)，最后取定級(jí)的較高者為定級(jí)對(duì)象的安全保護(hù)等級(jí)。如辦公自動(dòng)化系統(tǒng)業(yè)務(wù)信息安全等級(jí)為二級(jí)，系統(tǒng)服務(wù)安全等級(jí)也是二級(jí)，那么辦公自動(dòng)化系統(tǒng)的定級(jí)就是二級(jí)；而省級(jí)電網(wǎng)公司的營(yíng)銷系統(tǒng)業(yè)務(wù)信息安全等級(jí)為二級(jí)，系統(tǒng)服務(wù)安全等級(jí)為一級(jí)，那么省級(jí)電網(wǎng)公司的營(yíng)銷系統(tǒng)定級(jí)就是二級(jí)。通常電網(wǎng)企業(yè)的信息系統(tǒng)定在四級(jí)以下，主要集中在一、二、三級(jí)。

定級(jí)是等級(jí)保護(hù)的第一階段工作，對(duì)后續(xù)階段工作影響很大，如果定級(jí)不準(zhǔn)過高會(huì)浪費(fèi)人力、物力、財(cái)力，而過低則會(huì)存在安全隱患同時(shí)使后續(xù)工作失去意義，可見定級(jí)工作的重要性。

2.2.安全建設(shè)或整改

信息系統(tǒng)的安全保護(hù)等級(jí)確定后，企業(yè)就按照有關(guān)規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級(jí)須要的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者整改工作�！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239201*）是安全建設(shè)或安全整改的重要依據(jù)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)對(duì)每一級(jí)別系統(tǒng)安全保護(hù)的基本要求進(jìn)行了描述，包括了技術(shù)要求和管理要求。

新建系統(tǒng)與已建在用的系統(tǒng)，本階段的工作有所不同。對(duì)于新建的信息系統(tǒng)，在系統(tǒng)的設(shè)計(jì)、規(guī)劃階段時(shí)就應(yīng)當(dāng)按照相應(yīng)等級(jí)的安全保護(hù)要求進(jìn)行建設(shè)；對(duì)于已建在用的信息系統(tǒng)，則應(yīng)進(jìn)行全面的差距評(píng)估，找出系統(tǒng)現(xiàn)狀與等級(jí)保護(hù)標(biāo)準(zhǔn)之間的差距，制定整改方案，并逐一進(jìn)行安全整改。2.3.等級(jí)測(cè)評(píng)

信息系統(tǒng)建設(shè)完成后，系統(tǒng)運(yùn)營(yíng)、使用單位須選擇等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)。系統(tǒng)測(cè)評(píng)按照《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》和《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》等標(biāo)準(zhǔn)進(jìn)行。由于等級(jí)測(cè)評(píng)等同于對(duì)系統(tǒng)的安全建設(shè)或整改工作進(jìn)行驗(yàn)收測(cè)試，而且對(duì)于新建系統(tǒng)，建議把等級(jí)測(cè)評(píng)納入到系統(tǒng)的驗(yàn)收測(cè)試工作中一并進(jìn)行，所以等級(jí)測(cè)評(píng)也可以被稱為驗(yàn)收測(cè)評(píng)。

等級(jí)測(cè)評(píng)工作重點(diǎn)分為兩部分：選擇等級(jí)測(cè)評(píng)機(jī)構(gòu)和完成等級(jí)測(cè)評(píng)工作。

選擇等級(jí)測(cè)評(píng)機(jī)構(gòu)工作必須嚴(yán)格按照相關(guān)的規(guī)定進(jìn)行，否則測(cè)評(píng)工作將得不到公安機(jī)關(guān)的認(rèn)可。等級(jí)測(cè)評(píng)機(jī)構(gòu)除了擁有相關(guān)信息安全服務(wù)資質(zhì)并在本地公安機(jī)關(guān)備案外，還需要向公安機(jī)關(guān)提供《承諾書》，承諾不承擔(dān)信息系統(tǒng)安全建設(shè)、整改、集成工作，不將等級(jí)測(cè)評(píng)任務(wù)分包、外包。上述要求，確保等級(jí)測(cè)評(píng)機(jī)構(gòu)與信息安全建設(shè)整改機(jī)構(gòu)呼吸之間的獨(dú)立性，保證了等級(jí)測(cè)評(píng)工作的公正性，所以等級(jí)測(cè)評(píng)機(jī)構(gòu)也稱為第三方測(cè)評(píng)機(jī)構(gòu)。

按照《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》，等級(jí)測(cè)評(píng)工作分為單元測(cè)評(píng)和整體測(cè)評(píng)兩個(gè)階段。單元測(cè)評(píng)階段是針對(duì)等級(jí)保護(hù)標(biāo)準(zhǔn)逐條進(jìn)行符合性檢查，得出“符合”、“部分符合”以及“不符合”的結(jié)論；整體測(cè)評(píng)階段是針對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的“部分符合”和“不符合”項(xiàng)，采取逐條判定的方法，從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整體測(cè)評(píng)的具體結(jié)果，并對(duì)系統(tǒng)結(jié)構(gòu)進(jìn)行整體安全測(cè)評(píng)。所以單元測(cè)評(píng)不符合的項(xiàng)目，如果站在整體角度看與其他測(cè)評(píng)項(xiàng)有關(guān)聯(lián)關(guān)系并且這個(gè)關(guān)聯(lián)關(guān)系能夠“彌補(bǔ)”該測(cè)評(píng)項(xiàng)的不足，那么系統(tǒng)的整體測(cè)評(píng)結(jié)果也能夠通過。2.4.系統(tǒng)備案

按照要求，定級(jí)為二級(jí)及以上的信息系統(tǒng)均應(yīng)到本地地市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)，第三級(jí)及以上的信息系統(tǒng)備案前，備案材料還要通過上級(jí)主管部門的審核，第一級(jí)的信息系統(tǒng)可以由運(yùn)行（使用）單位自行決定是否進(jìn)行備案。備案工作的重點(diǎn)是填寫備案登記表格和編寫系統(tǒng)定級(jí)報(bào)告，每個(gè)系統(tǒng)一份，經(jīng)蓋單位公章后遞交公安機(jī)關(guān)，公安機(jī)關(guān)將對(duì)備案材料進(jìn)行審核，認(rèn)為系統(tǒng)定級(jí)無誤之后會(huì)對(duì)每個(gè)定級(jí)系統(tǒng)頒發(fā)一份定級(jí)證書。

已建在用的系統(tǒng)與新建系統(tǒng)，本階段的工作有所不同。已建在用的系統(tǒng)，在定級(jí)之后30日內(nèi)，到所在地的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)，而新建的系統(tǒng)則在系統(tǒng)通過等保測(cè)評(píng)并投入運(yùn)行30日內(nèi)到所在地的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。2.5.系統(tǒng)運(yùn)行

信息系統(tǒng)的運(yùn)行階段占了系統(tǒng)生命階段的70%-80%。在系統(tǒng)運(yùn)行階段，信息安全的保障工作也十分重要。等級(jí)保護(hù)標(biāo)準(zhǔn)中不僅對(duì)系統(tǒng)運(yùn)行維護(hù)階段的信息安全工作進(jìn)行了規(guī)范要求，還對(duì)系統(tǒng)運(yùn)行階段的安全檢查和測(cè)評(píng)工作提出了具體的要求，按照《信息安全等級(jí)保護(hù)管理辦法》在系統(tǒng)正式投入運(yùn)行后，定位三級(jí)的系統(tǒng)每年至少進(jìn)行一次安全的自查和測(cè)評(píng)，四級(jí)系統(tǒng)每半年至少進(jìn)行一次自查和測(cè)評(píng)。2.6.持續(xù)改進(jìn)

信息安全等級(jí)保護(hù)工作是一項(xiàng)長(zhǎng)期的、持續(xù)完善的工作，本文描述的各個(gè)階段工作并不是完全獨(dú)立的。運(yùn)行當(dāng)中的系統(tǒng)的如果進(jìn)行了局部調(diào)整，或運(yùn)行環(huán)境發(fā)生了變化，但是系統(tǒng)級(jí)別沒有變化，那么須要重新進(jìn)行差距評(píng)估、整改和等級(jí)測(cè)評(píng)；如果系統(tǒng)發(fā)生較大的調(diào)整，甚至系統(tǒng)級(jí)別可能發(fā)生改變，那么就須要對(duì)系統(tǒng)重新進(jìn)行定級(jí)以及之后的所有相關(guān)的工作。當(dāng)系統(tǒng)能夠在定期的自查和測(cè)評(píng)過程中發(fā)現(xiàn)有問題，那么可以根據(jù)存在問題的大小，選擇局部調(diào)整或重新定級(jí)�？傮w來說，信息安全等級(jí)保護(hù)工作符合目前流行的“PDCA”閉環(huán)管理原則。

3.信息安全等級(jí)保護(hù)的重要意義

信息安全等級(jí)保護(hù)的實(shí)施，實(shí)現(xiàn)對(duì)重要信息系統(tǒng)的重點(diǎn)安全保障，推進(jìn)了信息安全保護(hù)工作的規(guī)范化、法制化建設(shè)，有效體現(xiàn)“適度安全、保護(hù)重點(diǎn)”的思想。國(guó)家出臺(tái)了一系列信息安全管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)意義重大，國(guó)內(nèi)的信息安全工作有據(jù)可依，明確了信息安全工作的目標(biāo)和重點(diǎn)，信息系統(tǒng)安全與否也有了一個(gè)衡量尺度，企業(yè)可以將有限的財(cái)力、物力、人力投入到重要信息系統(tǒng)安全保護(hù)中，改變傳統(tǒng)的安全管理“頭痛醫(yī)頭、腳痛醫(yī)腳”的情況，從而建立起全面的、立體的信息安全保障體系。4.結(jié)束語(yǔ)

廣東電網(wǎng)公司按照國(guó)家信息安全等級(jí)保護(hù)的有關(guān)規(guī)定和標(biāo)準(zhǔn)，結(jié)合電監(jiān)會(huì)對(duì)二次系統(tǒng)安全防護(hù)的規(guī)定，全面開展了信息安全等級(jí)保護(hù)工作。等保的實(shí)施，為公司信息安全保障體系的建設(shè)提供了標(biāo)準(zhǔn)，指明了方向。

[2]

擴(kuò)展閱讀：電網(wǎng)企業(yè)等級(jí)保護(hù)建設(shè)整改方案

電網(wǎng)企業(yè)等級(jí)保護(hù)建設(shè)整改方案

黃敬志

（廣東電網(wǎng)公司，廣州市東風(fēng)東路757號(hào)510600）

摘要：本文結(jié)合國(guó)家信息安全等級(jí)保護(hù)的有關(guān)規(guī)定和標(biāo)準(zhǔn)，對(duì)電網(wǎng)企業(yè)實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)工作的內(nèi)容和步驟進(jìn)行了詳細(xì)介紹，為同行業(yè)的相關(guān)工作提供參考。關(guān)鍵字：電網(wǎng)企業(yè)；信息安全等級(jí)保護(hù)

EnterpriseofElectricPowerGrid

EnforcestheSecurityClassificationProtectionforInformationSystem

Abstract：Thispapercombinewiththecountry’sregulationsandstandardsofsecurityclassificationprotection,introducesthecontentsandstepsoftheenterpriseofelectricpowergridenforcesthesecurityclassificationprotectionforinformationsystem,thisintroductioninordertoprovidesthereferenceforthetradetodothesimilarwork.

Keywords：theenterpriseofelectricpowergrid；securityclassificationprotection

0.概述

公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息化工作辦公室于201*年6月聯(lián)合發(fā)布了《信息安全等級(jí)保護(hù)管理辦法》，標(biāo)志著信息安全等級(jí)保護(hù)工作在全國(guó)范圍全面推進(jìn)

[1]

。

信息安全等級(jí)保護(hù)是國(guó)家信息安全保障工作的基本制度、基本策略、基本方法，是國(guó)家

層面制定的信息安全工作標(biāo)準(zhǔn)。目前，信息安全等級(jí)保護(hù)工作在國(guó)內(nèi)尚處于剛起步的階段，如何落實(shí)具體的工作，是各重點(diǎn)企業(yè)工作面臨的問題。電網(wǎng)企業(yè)作為關(guān)系國(guó)計(jì)民生的重要國(guó)有企業(yè)，在信息安全等級(jí)保護(hù)工作方面積極探索，并根據(jù)行業(yè)的特點(diǎn)制定了適合電網(wǎng)企業(yè)的規(guī)范、標(biāo)準(zhǔn)和實(shí)施指南，指導(dǎo)各單位全面落實(shí)國(guó)家的有關(guān)要求。1.信息安全等級(jí)保護(hù)的要求及標(biāo)準(zhǔn)

信息安全等級(jí)保護(hù)指的是：對(duì)涉及國(guó)計(jì)民生的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)按照其重要程度及實(shí)際安全需求，合理投入，分級(jí)進(jìn)行保護(hù)，分類指導(dǎo)，分階段實(shí)施，保障信息系統(tǒng)安全正常運(yùn)行和信息安全，提高信息安全綜合防護(hù)能力，保障國(guó)家安全，維護(hù)社會(huì)秩序和穩(wěn)定，保障并促進(jìn)信息化建設(shè)健康發(fā)展。

信息系統(tǒng)的運(yùn)行（或使用）單位根據(jù)信息和信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度；遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對(duì)信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達(dá)到的基本的安全保護(hù)水平等因素，對(duì)信息系統(tǒng)劃分為五個(gè)安全保護(hù)和監(jiān)管等級(jí)，實(shí)行分級(jí)保護(hù)。

按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》，信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施基本工作流程分為五個(gè)階段：信息系統(tǒng)定級(jí)、總體安全規(guī)劃、安全設(shè)計(jì)與實(shí)施、安全運(yùn)行與維護(hù)、信息系統(tǒng)終止。各階段的流程關(guān)系如下圖：

圖1信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的基本流程

2.信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施方法2.1.信息系統(tǒng)定級(jí)

按照《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)，定級(jí)工作主要按照《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-201*）的標(biāo)準(zhǔn)執(zhí)行，電網(wǎng)企業(yè)的系統(tǒng)定級(jí)，同時(shí)參照國(guó)家電力監(jiān)管委員會(huì)下發(fā)的《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見》執(zhí)行。

信息系統(tǒng)定級(jí)主要由兩個(gè)要素決定：系統(tǒng)受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度。其中，客體包括“公民、法人和其他組織的合法權(quán)益”、“社會(huì)秩序、公共利益”和“國(guó)家安全”三個(gè)方面，侵害程度包括“一般損害”、“嚴(yán)重?fù)p害”和“特別嚴(yán)重?fù)p害”三種級(jí)別。定級(jí)要素與信息系統(tǒng)安全保護(hù)等級(jí)的關(guān)系如表1所示。

表1定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系

受侵害的客體對(duì)客體的侵害程度一般損害公民、法人和其他組織的合法權(quán)益社會(huì)秩序、公共利益國(guó)家安全第一級(jí)第二級(jí)第三級(jí)嚴(yán)重?fù)p害第二級(jí)第三級(jí)第四級(jí)特別嚴(yán)重?fù)p害第二級(jí)第四級(jí)第五級(jí)為了定級(jí)更準(zhǔn)確，一般把信息系統(tǒng)安全分為業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩部分，并對(duì)兩部分分別定級(jí)，最后取定級(jí)的較高者為定級(jí)對(duì)象的安全保護(hù)等級(jí)。如辦公自動(dòng)化系統(tǒng)業(yè)務(wù)信息安全等級(jí)為二級(jí)，系統(tǒng)服務(wù)安全等級(jí)也是二級(jí)，那么辦公自動(dòng)化系統(tǒng)的定級(jí)就是二級(jí)；而省級(jí)電網(wǎng)公司的營(yíng)銷系統(tǒng)業(yè)務(wù)信息安全等級(jí)為二級(jí)，系統(tǒng)服務(wù)安全等級(jí)為一級(jí)，那么省級(jí)電網(wǎng)公司的營(yíng)銷系統(tǒng)定級(jí)就是二級(jí)。通常電網(wǎng)企業(yè)的信息系統(tǒng)定在四級(jí)以下，主要集中在一、二、三級(jí)。

定級(jí)是等級(jí)保護(hù)的第一階段工作，對(duì)后續(xù)階段工作影響很大，如果定級(jí)不準(zhǔn)過高會(huì)浪費(fèi)人力、物力、財(cái)力，而過低則會(huì)存在安全隱患同時(shí)使后續(xù)工作失去意義，可見定級(jí)工作的重要性。

2.2.安全建設(shè)或整改

信息系統(tǒng)的安全保護(hù)等級(jí)確定后，企業(yè)就按照有關(guān)規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護(hù)等級(jí)須要的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者整改工作�！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239201*）是安全建設(shè)或安全整改的重要依據(jù)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)對(duì)每一級(jí)別系統(tǒng)安全保護(hù)的基本要求進(jìn)行了描述，包括了技術(shù)要求和管理要求。

新建系統(tǒng)與已建在用的系統(tǒng)，本階段的工作有所不同。對(duì)于新建的信息系統(tǒng)，在系統(tǒng)的設(shè)計(jì)、規(guī)劃階段時(shí)就應(yīng)當(dāng)按照相應(yīng)等級(jí)的安全保護(hù)要求進(jìn)行建設(shè)；對(duì)于已建在用的信息系統(tǒng)，則應(yīng)進(jìn)行全面的差距評(píng)估，找出系統(tǒng)現(xiàn)狀與等級(jí)保護(hù)標(biāo)準(zhǔn)之間的差距，制定整改方案，并逐一進(jìn)行安全整改。2.3.等級(jí)測(cè)評(píng)

信息系統(tǒng)建設(shè)完成后，系統(tǒng)運(yùn)營(yíng)、使用單位須選擇等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)。系統(tǒng)測(cè)評(píng)按照《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》和《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》等標(biāo)準(zhǔn)進(jìn)行。由于等級(jí)測(cè)評(píng)等同于對(duì)系統(tǒng)的安全建設(shè)或整改工作進(jìn)行驗(yàn)收測(cè)試，而且對(duì)于新建系統(tǒng)，建議把等級(jí)測(cè)評(píng)納入到系統(tǒng)的驗(yàn)收測(cè)試工作中一并進(jìn)行，所以等級(jí)測(cè)評(píng)也可以被稱為驗(yàn)收測(cè)評(píng)。

等級(jí)測(cè)評(píng)工作重點(diǎn)分為兩部分：選擇等級(jí)測(cè)評(píng)機(jī)構(gòu)和完成等級(jí)測(cè)評(píng)工作。

選擇等級(jí)測(cè)評(píng)機(jī)構(gòu)工作必須嚴(yán)格按照相關(guān)的規(guī)定進(jìn)行，否則測(cè)評(píng)工作將得不到公安機(jī)關(guān)的認(rèn)可。等級(jí)測(cè)評(píng)機(jī)構(gòu)除了擁有相關(guān)信息安全服務(wù)資質(zhì)并在本地公安機(jī)關(guān)備案外，還需要向公安機(jī)關(guān)提供《承諾書》，承諾不承擔(dān)信息系統(tǒng)安全建設(shè)、整改、集成工作，不將等級(jí)測(cè)評(píng)任務(wù)分包、外包。上述要求，確保等級(jí)測(cè)評(píng)機(jī)構(gòu)與信息安全建設(shè)整改機(jī)構(gòu)呼吸之間的獨(dú)立性，保證了等級(jí)測(cè)評(píng)工作的公正性，所以等級(jí)測(cè)評(píng)機(jī)構(gòu)也稱為第三方測(cè)評(píng)機(jī)構(gòu)。

按照《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》，等級(jí)測(cè)評(píng)工作分為單元測(cè)評(píng)和整體測(cè)評(píng)兩個(gè)階段。單元測(cè)評(píng)階段是針對(duì)等級(jí)保護(hù)標(biāo)準(zhǔn)逐條進(jìn)行符合性檢查，得出“符合”、“部分符合”以及“不符合”的結(jié)論；整體測(cè)評(píng)階段是針對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的“部分符合”和“不符合”項(xiàng)，采取逐條判定的方法，從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整體測(cè)評(píng)的具體結(jié)果，并對(duì)系統(tǒng)結(jié)構(gòu)進(jìn)行整體安全測(cè)評(píng)。所以單元測(cè)評(píng)不符合的項(xiàng)目，如果站在整體角度看與其他測(cè)評(píng)項(xiàng)有關(guān)聯(lián)關(guān)系并且這個(gè)關(guān)聯(lián)關(guān)系能夠“彌補(bǔ)”該測(cè)評(píng)項(xiàng)的不足，那么系統(tǒng)的整體測(cè)評(píng)結(jié)果也能夠通過。2.4.系統(tǒng)備案

按照要求，定級(jí)為二級(jí)及以上的信息系統(tǒng)均應(yīng)到本地地市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)，第三級(jí)及以上的信息系統(tǒng)備案前，備案材料還要通過上級(jí)主管部門的審核，第一級(jí)的信息系統(tǒng)可以由運(yùn)行（使用）單位自行決定是否進(jìn)行備案。備案工作的重點(diǎn)是填寫備案登記表格和編寫系統(tǒng)定級(jí)報(bào)告，每個(gè)系統(tǒng)一份，經(jīng)蓋單位公章后遞交公安機(jī)關(guān)，公安機(jī)關(guān)將對(duì)備案材料進(jìn)行審核，認(rèn)為系統(tǒng)定級(jí)無誤之后會(huì)對(duì)每個(gè)定級(jí)系統(tǒng)頒發(fā)一份定級(jí)證書。

已建在用的系統(tǒng)與新建系統(tǒng)，本階段的工作有所不同。已建在用的系統(tǒng)，在定級(jí)之后30日內(nèi)，到所在地的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)，而新建的系統(tǒng)則在系統(tǒng)通過等保測(cè)評(píng)并投入運(yùn)行30日內(nèi)到所在地的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。2.5.系統(tǒng)運(yùn)行

信息系統(tǒng)的運(yùn)行階段占了系統(tǒng)生命階段的70%-80%。在系統(tǒng)運(yùn)行階段，信息安全的保障工作也十分重要。等級(jí)保護(hù)標(biāo)準(zhǔn)中不僅對(duì)系統(tǒng)運(yùn)行維護(hù)階段的信息安全工作進(jìn)行了規(guī)范要求，還對(duì)系統(tǒng)運(yùn)行階段的安全檢查和測(cè)評(píng)工作提出了具體的要求，按照《信息安全等級(jí)保護(hù)管理辦法》在系統(tǒng)正式投入運(yùn)行后，定位三級(jí)的系統(tǒng)每年至少進(jìn)行一次安全的自查和測(cè)評(píng)，四級(jí)系統(tǒng)每半年至少進(jìn)行一次自查和測(cè)評(píng)。2.6.持續(xù)改進(jìn)

信息安全等級(jí)保護(hù)工作是一項(xiàng)長(zhǎng)期的、持續(xù)完善的工作，本文描述的各個(gè)階段工作并不是完全獨(dú)立的。運(yùn)行當(dāng)中的系統(tǒng)的如果進(jìn)行了局部調(diào)整，或運(yùn)行環(huán)境發(fā)生了變化，但是系統(tǒng)級(jí)別沒有變化，那么須要重新進(jìn)行差距評(píng)估、整改和等級(jí)測(cè)評(píng)；如果系統(tǒng)發(fā)生較大的調(diào)整，甚至系統(tǒng)級(jí)別可能發(fā)生改變，那么就須要對(duì)系統(tǒng)重新進(jìn)行定級(jí)以及之后的所有相關(guān)的工作。當(dāng)系統(tǒng)能夠在定期的自查和測(cè)評(píng)過程中發(fā)現(xiàn)有問題，那么可以根據(jù)存在問題的大小，選擇局部調(diào)整或重新定級(jí)�？傮w來說，信息安全等級(jí)保護(hù)工作符合目前流行的“PDCA”閉環(huán)管理原則。

3.信息安全等級(jí)保護(hù)的重要意義

信息安全等級(jí)保護(hù)的實(shí)施，實(shí)現(xiàn)對(duì)重要信息系統(tǒng)的重點(diǎn)安全保障，推進(jìn)了信息安全保護(hù)工作的規(guī)范化、法制化建設(shè)，有效體現(xiàn)“適度安全、保護(hù)重點(diǎn)”的思想。國(guó)家出臺(tái)了一系列信息安全管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)意義重大，國(guó)內(nèi)的信息安全工作有據(jù)可依，明確了信息安全工作的目標(biāo)和重點(diǎn)，信息系統(tǒng)安全與否也有了一個(gè)衡量尺度，企業(yè)可以將有限的財(cái)力、物力、人力投入到重要信息系統(tǒng)安全保護(hù)中，改變傳統(tǒng)的安全管理“頭痛醫(yī)頭、腳痛醫(yī)腳”的情況，從而建立起全面的、立體的信息安全保障體系。4.結(jié)束語(yǔ)

廣東電網(wǎng)公司按照國(guó)家信息安全等級(jí)保護(hù)的有關(guān)規(guī)定和標(biāo)準(zhǔn)，結(jié)合電監(jiān)會(huì)對(duì)二次系統(tǒng)安全防護(hù)的規(guī)定，全面開展了信息安全等級(jí)保護(hù)工作。等保的實(shí)施，為公司信息安全保障體系的建設(shè)提供了標(biāo)準(zhǔn)，指明了方向。

[2]

友情提示：本文中關(guān)于《電網(wǎng)企業(yè)實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)》給出的范例僅供您參考拓展思維使用，電網(wǎng)企業(yè)實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)：該篇文章建議您自主創(chuàng)作。

來源：網(wǎng)絡(luò)整理 免責(zé)聲明：本文僅限學(xué)習(xí)分享，如產(chǎn)生版權(quán)問題，請(qǐng)聯(lián)系我們及時(shí)刪除。

《電網(wǎng)企業(yè)實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)》由互聯(lián)網(wǎng)用戶整理提供,轉(zhuǎn)載分享請(qǐng)保留原作者信息,謝謝!
鏈接地址：http://www.weilaioem.com/gongwen/706337.html

• 上一篇：201*年食品安全工作匯報(bào)
• 下一篇：國(guó)家電網(wǎng)公司信息安全風(fēng)險(xiǎn)評(píng)估管理暫行辦法