电力行业等级保护政策标准的解读
2017-04-20赵伟
赵伟
摘 要:该文主要解读了《电力行业网络与信息安全管理办法(国能安全[2014]317号)》和《电力行业信息安全等级保护管理办法(国能安全[2014]318号)》两个新近颁布的电力行业信息安全管理办法文件。
关键词:电力 信息安全防护 安全域 分级分域
中图分类号:TM73 文献标识码:A 文章编号:1674-098X(2016)12(b)-0121-02
该文适用于能源行业信息安全监管部门、各能源相关企业信息安全在岗人员、信息安全等级保护测评机构的管理与技术人员等。
1 定级信息系统划分方式
由于国家电网公司的信息系统涉及业务范围广,应用面宽,为了体现重要业务应用重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护工作原则,从管理、业务、物理位置和运行环境等方面综合分析,对信息系统进行划分。
从管理机构角度划分。不同管理机构(总部、网省、地市公司)管理控制下的信息系統应分开作为不同的定级对象。
从业务类型角度划分。根据不同业务应用的“相对独立”性,划分出信息系统的不同部分作为不同的定级对象。
2 定级信息系统分类
根据上述信息系统基本特征和信息系统划分方式,结合国家电网公司工程一体化企业级信息系统定义,将国家电网公司信息系统划分为一体化企业级信息集成平台、财务管理、营销及市场交易管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理9类,总部、网省(直辖市)、地市3层,共69个信息系统。
3 标准解读
3.1 电力行业网络与信息安全管理办法
3.1.1 总则
解读:《电力行业网络与信息安全管理办法》对电力行业管理部门、电力企业等单位在电力行业网络与信息安全保护工作中的职责与工作内容做出了明确规定。
第一章主要对电力行业网络与信息安全的依据、目标和原则等做出了具体阐述。
3.1.2 监督管理职责
解读:第二章主要明确了国家能源局及其派出机构对电力行业网络与信息安全工作的监管责任。国家能源局主管电力行业网络与信息安全工作,履行监督管理职责,并明确了国家能源局监督管理职责的主要内容。能源局派出机构根据授权,负责该辖区电力企业网络与信息安全监督管理。
3.1.3 电力企业职责
解读:第三章主要阐述电力企业在电力行业网络与信息安全工作的职责,明确了该单位的网络与信息安全工作的责任主体:电力企业(适用于两大电网公司、五大发电集团、中国核电和中广核等两家核电企业等)。网络与信息安全的第一责任人:电力企业主要负责人。
3.1.4 监督检查
解读:第四章主要阐述了国家能源局及其派出机构对电力企业网络与信息安全工作进行监督检查的职责以及检查时可采取的措施。
3.2 电力行业信息安全等级保护管理办法
3.2.1 总则
解读:《电力行业信息安全等级保护管理办法》明确了电力行业信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
第一章为总则,阐述了电力行业开展等保的目的、电力行业管理部门和企业的职责与关系。
3.2.2 等级划分与保护
解读:第二章对电力行业信息安全等级的划分和对应等级的保护做了详细阐述。简言之,电力企业依据等级划分规定自主确定相应电力系统的安全保护等级,自主依据有关管理规定和技术标准对其进行保护。等级划分以信息系统的重要性为依据,通过评估系统受到破坏后对公民、法人和其他组织,社会秩序和公共利益,国家安全的损害程度,确定其重要性。对于自主定级有困难的,也可以咨询电力行业保测评机构等单位。
3.2.3 等级保护的实施与管理
解读:第三章对电力行业等级保护的实施过程做了详细阐述。电力信息系统运营、使用单位应按《实施指南》(GB/T 25058-2010)开展等保工作。具体包括定级、备案、安全建设/整改、等级测评、监督检查几个方面。
系统的定级和备案由电力信息系统运营、使用单位采用“自主定级、自主保护”的原则确定,各区域(省)内的电力企业的系统定级结果报国家能源局派出机构备案。
安全建设/整改(参见第十条)可请专业机构等实施。
系统建设完成后需请符合规定(参见第十九条)第三方专业机构进行测评。
监督检查根据系统安全保护级别确定是自主保护还是上级监管部门及其授权的派出机构负责。
3.2.4 信息安全等级保护的密码管理
解读:第四章对等级保护的密码管理进行了详细阐述。对涉及国家秘密的系统采用秘密保护,应该报国家密码管理局审批,并按要求涉及、使用和管理。
3.2.5 法律责任
解读:第五章明确了电力信息系统等级保护工作中监管部门、工作人员及各单位违反规定的惩处措施。
4 结语
《电力行业网络与信息安全管理办法(国能安全[2014]317号)》和《电力行业信息安全等级保护管理办法(国能安全[2014]318号)》,跟《电力监控系统安全防护规定(发改委2014年14号令)》和《电力监控系统安全防护总体方案(国能安全[2015]36号文)一同,构成了电力行业信息安全防护体系文件,体现了电力行业标准跟国家标准的基本差异,突出了电力行业业务特色和管理特征。
参考文献
[1] 王栋,刘识,王怀宇.电力行业三级信息系统等级保护典型设计研究[J].电力信息与通信技术,2012(8):81-84.
[2] 杨燕.关于信息安全等级保护在电力信息系统中的应用分析[J].工业,2016(11):139.
[3] 范鹰.信息安全等级保护在电力信息系统中的应用[J].低碳世界,2015(30):59-60.
