鲍勃BOB体育前言
网络新安实验室今年以来一直高度重视自身能力建设,已成功获得信息安全等级保护评估机构认可资格、CNAS17020(信息安全)检验机构认可资格、CNAS17025实验检测机构认可资格和国家注册信息安全官。培训机构认可资质等9项国家级权威信息安全业务资质。
鲍勃BOB体育网络安全实验室,成功申请广东省计算机与网络安全协会副会长,中国计算机学会计算机安全专业委员会常务委员,中国计算机学会高性能计算专业委员会委员,全国信息安全标准化技术委员会委员及其他国家权威学会/协会会员。
Network Security LAB基于多年信息安全技术研究与评估经验,解读电力行业信息安全等级保护的政策标准。
鲍勃BOB体育电力行业信息系统安全等级保护工作是电力行业信息安全等级保护标准的实施和应用。除了信息安全等级保护评价的政策要求和国家标准外,电力行业信息系统安全等级保护评价的依据还包括以下电力行业主要标准和规范:
《关于开展电力行业信息系统安全分级工作的通知》(电建信息[2007]34号)
《电力行业网络与信息安全管理办法》(国能安[2014]317号)
鲍勃BOB体育《电力行业信息安全等级保护管理办法》(国能安[2014]318号)
《电力监控系统安全保护规定》
《电力行业信息系统安全等级保护分级指南》
电力行业信息安全等级保护的基本要求
电力行业信息安全等级保护基本要求解读
本文主要回顾了《电力行业网络与信息安全管理办法》(国能安[2014]317号)和《电力行业信息安全等级保护管理办法》(国能安[2014]318号)文件解读,让读者快速了解电力行业信息安全与等级保护工作的内容及各方责任。
本文适用于能源行业信息安全监管部门、各类能源相关企业信息安全人员、信息安全等级保护评价机构管理技术人员。
第1部分:电力行业网络与信息安全管理办法
解读:《电力行业网络与信息安全管理办法》明确了电力行业管理部门、电力企业等单位在电力行业网络和信息安全保护中的职责和工作内容。信息安全。
第一章主要阐述了电力行业网络与信息安全的基础、目标和原则。
第 1 章一般原则
第一条 为加强对电力行业网络与信息安全的监督管理,规范电力行业网络与信息安全,根据《人民政府条例》,制定本办法。 《中华民国计算机信息系统安全保护条例》及国家有关规定。
第二条 电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任制,提高网络与信息安全防护能力,确保网络与信息安全,促进信息化工作健康发展。
第三条电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责、统筹兼顾、突出重点”的原则。
第二章监督管理职责
解读:第二章主要明确了国家能源局及其派出机构对电力行业网络与信息安全的监管责任。国家能源局主管电力行业网络与信息安全工作,履行监督管理职责电力行业安全标准,明确了国家能源局监督管理职责的主要内容。能源局派出机构根据授权,负责辖区内电力企业网络和信息安全的监督管理工作。
第四条国家能源局是电力工业网络和信息安全的主管部门,履行电力工业网络和信息安全的监督管理职责。根据国家能源局授权,国家能源局派出机构具体负责辖区内电力企业网络和信息安全监督管理工作。
第五条国家能源局依法履行电力行业网络与信息安全监督管理职责。主要内容如下:
(一)组织贯彻落实国家关于基础信息网络和重要信息系统安全保障的方针政策和重大部署,与电力生产安全监督管理工作挂钩;
(二)组织制定电力行业网络与信息安全发展战略和总体规划;
(三)组织开展电力行业网络和信息安全等级保护、风险评估、信息通报、应急响应、事故调查处理、工控设备安全检测、专业化管理、容灾备份、安全审核、信任体系建设等方面的政策法规和技术规范,并监督执行;
(四)组织制定电力行业网络与信息安全应急预案,监督指导电力企业网络与信息安全应急工作,组织或参与信息调查处理安全事件;
(五)组织建立电力行业网络与信息安全工作考核考核机制,督促电力企业落实网络与信息安全责任,保障网络与信息安全资金,落实网络与信息安全工程建设;
(六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训和考核等;
(七)组织电力行业网络与信息安全技术研发;
(八)其他有关电力行业网络与信息安全监督管理的事项。
第三章电力企业责任
解读:第三章主要阐述电力企业在电力行业网络与信息安全工作中的职责,明确本单位网络与信息安全工作的责任主体:电力企业(适用于两大电网公司、五大发电集团、中核、中广核等两大核电公司等)。网络与信息安全第一责任人:电力公司主要负责人。遵守的规章制度:信息安全等级保护制度和电力监控系统安全保护规定。开展的工作:电力监控系统安全防护评估、信息安全等级评估、信息安全风险评估、建立信息安全通报制度、制定应急预案等。
第六条电力企业是本单位网络和信息安全的责任主体,负责本单位的网络和信息安全工作。
第七条电力企业的主要负责人是本单位网络和信息安全的第一责任人。电力企业要建立健全网络与信息安全管理制度,建立工作领导机构,明确责任部门,设置专兼职岗位,明确岗位职责,明确人员分工和技能要求,建立完善网络和信息安全责任体系。
第八条电力企业应当按照电力监控系统安全防护的规定和国家信息安全等级保护制度的要求,保护本单位的网络和信息系统。
第9条电力企业应选择符合相关州法规并符合网络和信息安全要求的信息技术产品和服务,并执行信息系统安全构建或重建。
第十条电力企业在规划设计信息系统时,应当明确系统的安全防护要求,设计合理的安全总体方案,制定安全实施方案,负责信息系统的实施。安全建设项目。
第十一条 电力企业应当按照国家有关规定对电力监控系统进行安全防护评估和信息安全等级评估,不符合要求的,应当及时整改。
第十二条电力企业应当按照国家有关规定开展信息安全风险评估,建立健全信息安全风险评估自评和检查评估制度,健全信息安全风险管理机制。
第十三条 电力企业应当按照网络和信息安全通报制度的规定,建立健全自身的信息通报机制,开展信息安全通报预警工作,并将有关情况向有关部门报告。国家能源局或其派出机构及时处理。
第十四条电力企业应当根据电力行业网络和信息安全应急预案,制定或者修订本单位网络和信息安全应急预案,并定期进行应急演练。
第十五条 信息安全事件发生后,电力企业应当及时采取有效措施,减轻危害程度,防止事态扩大,尽可能保护现场,做好根据需要报告信息。
第十六条电力企业应当按照国家有关规定建立健全容灾备份系统,有效备份关键系统和核心数据。
第十七条电力企业应当建立网络和信息安全资金保障体系,有效保障信息系统安全建设、运行维护、检查、评级评价和安全评估、应急响应等信息安全资金。
第十八条电力企业应当加强对信息安全从业人员的考核和管理。从业人员应定期接受相应的政策规范和专业技能培训,培训合格后上岗。
第四章监督检查
释义:第四章主要阐述了国家能源局及其派出机构对电力企业网络和信息安全工作进行监督检查的职责以及在检查过程中可以采取的措施。
第十九条国家能源局及其派出机构依法对电力企业网络和信息安全工作进行监督检查。
第二十条国家能源局及其派出机构在进行监督检查和事故调查时,可以采取下列措施:
(一)进入电力公司检查;
(二)请相关单位工作人员说明相关检查项目;
(三)查看、复制与检查事项有关的文件资料,对可能转移、隐匿、毁损的文件资料予以封存;
(四)对检查中发现的问题,责令其当场或限期改正。
第五章附则
第二十一条本办法由国家能源局负责解释。
第二十二条本办法自发布之日起施行,有效期五年。 2007年12月4日,原国家电力监管委员会发布的《电力行业网络和信息安全监督管理暂行规定》(电监信息[2007]50号)同时废止。
第二部分电力行业信息安全等级保护管理办法
解读:《电力行业信息安全等级保护管理办法》明确了电力行业信息安全等级保护体系的基本内容、流程和工作要求,明确了信息系统运行信息安全层面的使用单位、主管部门和监管部门。保护工作中的职责任务为开展信息安全分级保护提供了规范保障。
第一章总则,阐述了电力行业实行平等保障的目的、电力行业管理部门与企业的职责和关系。
第 1 章一般原则
第一条规范电力行业信息安全等级保护管理,提高电力信息系统安全能力和水平,维护国家安全、社会稳定和社会公共利益,保障和促进建设的信息化。根据《系统安全保护条例》和《信息安全等级保护管理办法》,制定本办法。
第二条 国家能源局按照国家信息安全等级保护管理规定和技术标准要求,对电力行业信息系统运营者和用户的信息安全等级保护工作进行监督检查和指导。电力行业信息安全分级保护管理规范和技术标准,组织电力企业对信息系统实施分级安全保护,对分级保护工作的实施进行监督管理。
根据国家能源局授权,国家能源局派出机构负责监督管理辖区内电力企业信息系统安全等级保护的实施情况。
第三条电力信息系统运营者和用户应当按照本办法和相关标准规范,履行信息安全等级保护的义务和责任。
第二章分类与保护
解读:第二章详细阐述了电力行业信息安全等级的划分及相应等级的保护。电力行业信息安全等级保护坚持独立分类、独立保护的原则。总之,电力企业根据分级规定自主确定相应电力系统的安全防护等级,并按照相关管理规定和技术标准进行自主保护。分类以信息系统的重要性为依据,通过评价系统受损后对公民、法人和其他组织、社会秩序和公共利益、国家安全的损害程度来确定其重要性。对于独立分级有困难的,也可以咨询电力行业等保险评估机构等单位。
第四条 电力行业信息安全等级保护坚持自我平衡、自我保护的原则。电力信息系统的安全防护等级应当根据信息系统在国家安全、经济建设和社会生活中的重要程度,以及公民、法人和其他组织对国家安全、社会秩序的合法权益、信息系统被破坏后的公共利益和公民、法人和其他组织。确定危害程度和其他因素。
第五条电力信息系统的安全防护等级分为以下四个等级:
第一层,信息系统被破坏后,会对公民、法人和其他组织的合法权益造成损害,但不会损害国家安全、社会秩序和公共利益。
第二级,信息系统被破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全的。
第三层级,信息系统遭到破坏,将严重损害社会秩序和公共利益,或对国家安全造成损害。
四级:当信息系统遭到破坏时,将对社会秩序和公共利益造成特别严重的损害,或对国家安全造成严重损害。
第六条电力信息系统运营者和用户应当对信息系统进行分级保护,国家能源局和相关信息安全监管部门对其信息安全分级保护工作进行监督管理。
运行和使用一级电力信息系统的单位应当按照国家有关管理规范和技术标准进行保护。
二级电力信息系统的运行和使用单位应当按照国家有关管理规范和技术标准进行保护。国家能源局和相关信息安全监管部门应当指导本级信息系统的信息安全等级保护工作。
运行和使用三级电力信息系统的单位应当按照国家有关管理规范和技术标准进行保护。国家能源局和相关信息安全监管部门应当对本级信息系统的信息安全等级保护情况进行监督检查。
四级电力信息系统运行使用单位按照国家有关管理规范、技术标准和特殊业务需要进行保护。国家能源局和相关信息安全监管部门应当对本级信息系统的信息安全等级保护进行强制监督检查。
第三章分级保护的实施与管理
解读:第三章阐述了电力行业分级保护的实施过程。电力信息系统运行人员和用户应按照《实施导则》(GB/T 25058-2010))进行维护工作。具体包括分级、备案、安全建设/整改、分级评价和监督检查。 .
系统分级和备案由电力信息系统运营者和用户按照“自我分级、自我保护”的原则确定,各地区(省)电力公司的系统分级结果由报国家能源局调度机构备案。
安全建设/整改(见第十条)可由专业机构实施。
系统建设完成后,需由符合规定(见第十九条)的第三方专业机构进行评估。
监督检查根据系统安全防护等级确定是自我保护还是上级监管部门及其授权派出机构的责任。
二级系统至少每两年进行一次自检,三级系统至少每年一次,四级系统至少每六个月进行一次。国家能源局及其派出机构组织专家对三级及以上信息系统评价报告进行评审。国家能源局及其派出机构每年至少检查一次重要的三级(生产控制)和四级电力信息系统。
第七条电力信息系统运营者和用户应当按照《信息系统安全分级保护实施指南》(GB/T 25058-2010))执行分级保护工作。电力信息系统运营者和用户应当按照本办法、《信息系统安全等级保护分级导则》(GB/T 22240-2008)和《电力行业信息系统安全等级分级指南》。
第八条 中央企业所属电力集团公司应当汇总本单位运营使用的信息系统分级结果,报国家能源局电力安全监管司备案。各地区(省)电力企业应当汇总本单位运营使用的信息系统分级结果,报国家能源局派出机构备案。
第九条电力信息系统的安全防护等级确定后电力行业安全标准,运行单位和用户单位应当按照国家信息安全等级保护管理规定和技术标准电力行业安全标准,使用符合国家有关规定的信息技术产品。并满足信息系统安全防护等级要求,进行电力信息系统的安全建设或改造。
第十条 电力信息系统建设过程中,运营单位和用户单位应当遵循《计算机信息系统安全防护等级划分导则》(GB17859-1999),《电力信息系统基本安全等级保护》信息安全技术信息系统要求》(GB/T22239-2008)、《电力行业信息系统安全等级保护基本要求》等标准或规范,参考《信息系统等级保护安全设计要求》 》(GB/T25070-2010)、《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基本安全技术要求》(GB/ T20270-2006),《信息安全技术》安全技术操作系统安全技术要求》(GB/T20272-2006)电力行业安全标准电力行业安全标准,信息安全技术数据库管理系统S安全技术要求”(GB/T20273-2006),信息安全技术服务器安全技术要求”(GB/T 21028-2007),“信息安全技术终端计算机系统安全等级技术要求” (GA/T671-2006)等技术标准同时构建满足该级别要求的信息安全设施。
第十一条 电力信息系统运行和使用单位参照《信息安全技术信息系统安全管理要求》(GB/T20269-2006)、《电力信息安全工程管理要求》 《信息安全技术信息系统》(GB/T20269-2006)、GB/T20282-2006)、《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-200< @8),《电力行业信息系统安全等级保护基本要求》等标准或规范要求,制定并实施符合本系统安全保护等级要求的安全管理体系。
第12条完成电力信息系统完成后,操作或用户部门或其主管部门应选择符合这些措施规定条件的评估机构,并应按照“ 《信息安全技术信息系统安全等级保护评价流程》(GB/T 28449-2012)、《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)、 《信息系统安全等级保护评价要求》(GB/T 28448-2012)、《电力行业信息系统安全等级保护基本要求》等标准或规范,定期开展电力信息等级保护评价电力监控系统信息安全等级评价工作应与电力监控系统安全防护评价工作相关。港湾已同步。
电力信息系统的运行和使用单位应当定期对信息系统的安全状况以及安全保护制度和措施的落实情况进行自查。二级生产控制信息系统和重要生产管理信息系统至少每两年自查一次,三级信息系统至少每年自查一次,四级信息系统自查一次。至少每六个月进行一次自检。检查。
经评估或自查,信息系统安全状况不符合安全防护等级要求的,运营单位和用户单位应制定整改方案。
国家能源局及其派出机构将组织专家对三级及以上信息系统评价报告进行审核。
第十三条 已经运行(运营)的二级及以上电力信息系统,应当在安全防护等级确定之日起30日内,运行和使用单位应当到公安机关所在地公安机关备案。市级设区备案。手续。
新建二级以上电力信息系统,应当自投入运行之日起30日内,向所在地市级以上公安机关备案。
For a power group company belonging to a central enterprise, its power information system operating across provinces or across the country in a unified network shall be filed with the Ministry of Public Security by the power group company. Branch systems of information systems operating and applied across provinces or across the country in a unified network shall be filed with the local public security organs at or above the city level with districts.
Article 14 When going through the filing procedures for the security protection level of the power information system, the "Information System Security Level Protection Recording Form" supervised by the Ministry of Public Security shall be filled out, and the third-level and above information systems shall also provide the following materials:
(一)System topology and description;
(二)System security organization and management system;
(三)System safety protection facility design implementation plan or reconstruction implementation plan;
(四)The list of information security products used by the system and its certification and sales license;
(五)Technical inspection and evaluation report that conforms to the system security protection level after evaluation;
(六)Information system security protection level expert review opinion;
(七)The opinion of the National Energy Administration and its dispatched agencies on the approval of the security protection level of the information system.
During the filing process, the filing materials that do not meet the requirements of graded protection shall be corrected and then filed again in accordance with the review opinions of the public security organs.
Article 15 The National Energy Administration and its dispatched agencies shall inspect the information security level protection of the operation and user units of the third-level and above power information systems. According to the "Administrative Measures for Information Security Level Protection", the important third-level (production control) and fourth-level power information systems should be inspected at least once a year.
The main inspection items are:
(一)Whether the information system security requirements have changed, and whether the original protection level is accurate;
(二)The implementation of the safety management system and measures of the operation and user units;
(三)Inspection of information system security status by operating and user units and their competent departments;
(四)Whether the system security level assessment meets the requirements;
(五)Whether the use of information security products meets the requirements;
(六)Information system security rectification;
(七)The compliance of the filing materials with the operation, user units, and information systems;
(八)Other matters that should be subject to supervision and inspection.
Article 16 The power information system operators and users shall accept the safety supervision, inspection and guidance of the National Energy Administration and its designated specialized agencies, and truthfully provide the following information security protection to the National Energy Administration and its designated specialized agencies information and data files:
(一)Changes in information system filing items;
(二)Changes in security organization, personnel, and job responsibilities;
(三)Changes in information security management systems and measures;
(四)Information system health record;
(五)Operations, users and superior departments regularly check records of information system security status;
(六)Technical evaluation report on information system level evaluation;
(七)Changes in the use of information security products;
(八)Information security incident emergency plan, information security incident emergency response result report;
(九)Information system data disaster recovery status.
(十)Information system security construction, rectification result report.
Article 17 The power system operators and users shall make rectifications in accordance with the requirements of the information security level protection work inspection and rectification notice, and in accordance with the information security level protection management regulations and technical standards. When necessary, the National Energy Administration and its dispatched agencies may conduct spot checks on the rectification situation.
Article 18 The power information system shall choose to use information security products that have passed national testing and certification.
Article 19 The second-level and above power information systems shall select a level-protection evaluation agency that meets the following conditions for evaluation:
(一)Incorporated in the People's Republic of China (except Hong Kong, Macao and Taiwan);
(二)Enterprises and institutions invested by Chinese citizens, Chinese legal persons or the state (except Hong Kong, Macao and Taiwan);
(三)Have been engaged in power information system related testing and evaluation work for more than two years, no illegal record;
(四)The staff is limited to Chinese citizens;
(五)Legal person and main business and technical personnel have no criminal record;
(六)The technical equipment and facilities used shall meet the national requirements for information security products;
(七)Have complete security management systems such as confidentiality management, project management, quality management, personnel management and training and education;
(八)Does not pose a threat to national security, social order, or public interests;
(九)Technical personnel engaged in electric power information system evaluation shall pass the professional technical training and evaluation of electric power system organized by the National Energy Administration, and institutions conducting electric power information system evaluation shall file with the National Energy Administration and pass the electric power evaluation agency Technical Capability Assessment.
Article 20 Institutions engaged in the evaluation of the safety level of power information systems shall perform the following obligations:
(一)Comply with relevant national laws, regulations and technical standards, provide safe, objective and fair testing and evaluation services to ensure the quality and effect of evaluation;
(二)Keep the state secrets, business secrets and personal privacy known in the assessment activities to prevent assessment risks;
(三)Educate the assessors on safety and confidentiality, sign a safety and confidentiality responsibility letter with them, specify the safety and confidentiality obligations and legal responsibilities that should be performed, and be responsible for inspection and implementation.
Article 21 The electric power information system involving state secrets shall be protected in accordance with the management regulations and technical standards of the state secrecy work department on the hierarchical protection of classified information systems, and in light of the actual situation of the system. Non-confidential power information systems shall not handle state secret information.
Chapter Four: Password Management of Information Security Level Protection
Interpretation: Chapter 4 elaborates on the password management of hierarchical protection. If a system involving state secrets is to be protected by secrets, it shall be reported to the State Cryptography Administration for approval, and requirements for involvement, use and management shall be made.
Article 22 If the power information system operators and users use passwords for graded protection, they shall comply with the "Administrative Measures for Information Security Graded Protection Commercial Encryption", "Information Security Graded Protection Commercial Encryption Technical Requirements" and other password management regulations and technical standard.
Article 23 The configuration, use and management of passwords in the security level protection of power information systems shall strictly comply with the relevant regulations on the management of national passwords.
Article 24 If the power information system operators and users use passwords to protect information and information systems involving state secrets, they shall be reported to the State Encryption Administration for approval, and the design, implementation, use, operation and maintenance of passwords shall be Routine management, etc., shall be carried out in accordance with the relevant regulations and standards of the national password management; if passwords are used to protect information and information systems that do not involve state secrets, they must comply with the Regulations on the Management of Commercial Passwords and the relevant regulations and standards for classified and hierarchical protection of passwords , the equipment and use of its passwords shall be filed with the national encryption management agency.
Article 25 If the power information system operators and users use cryptographic technology to construct and rectify the system-level protection of power information systems, they must use cryptographic products approved for use or sale by the national cryptographic management department for security protection. Encryption products imported from abroad or developed without authorization shall not be used; imported information technology products containing encryption functions shall not be used without approval.
Article 26 The testing and evaluation of ciphers and cipher equipment used in the power information system shall be undertaken by an evaluation agency recognized by the State Cryptography Administration, and no other department, unit or individual shall conduct evaluation and monitoring of ciphers and cipher equipment.
鲍勃BOB体育Article 27 When the password management departments at all levels inspect and evaluate the configuration, use and management of passwords in the power information system level protection work, the relevant power enterprises shall actively cooperate. Questions reported in the inspection and evaluation shall be rectified in a timely manner in accordance with the relevant provisions of the national password management.