浅谈电力调度系统等级保护制度体系建设..docVIP

浅谈电力调度系统等级保护制度体系建设 　　【摘要】 随着等级保护建设整改工作的深入，建立规范、高效、安全的信息系统运行维护和管理体系，将等级保护中的管理制度与本单位自身的安全生产、班组文化等制度结合，能够更全面的提高电力调度系统运维管理层次，实现信息系统、数据资源集成整合和综合高效利用，支撑实现电力调度的信息化发展目标 【关键词】 等级保护 电力调度 管理制度 引言 我单位开展了信息安全等级保护安全建设整改、等级测评等工作。然而，随着整改进程的深入，建立规范、高效、安全的信息系统运行维护和管理体系，如何将等级保护中的管理制度与本单位自身的安全生产、班组文化等制度结合，给管理工作带来了新的挑战，通过建立等级保护管理制度体系能够更全面的提高电力调度系统运维管理层次，实现信息系统、数据资源集成整合和综合高效利用，支撑实现电力调度的信息化发展目标。本文结合笔者在信息安全管理中的实践和理解，对等级保护管理体系在工作中的应用提出一些个人的想法，供读者借鉴 一、建立等级保护制度体系目的和意义 为更好的提高信息安全保障能力和水平，依据《信息安全等级保护管理办法》（公通字[2007]43号）、国家电网公司《信息系统安全等级保护建设的实施指导意见》（信息运安[2009]27号）、《SG186工程信息系统安全等级保护验收标准（试行）》（信息运安[2009]44号）、《关于加强电力二次系统安全防护和等级保护工作的通知》（调自〔2012〕65号）等要求。进一步加强电力调度系统重要信息系统的安全保护，落实国网公司关于信息安全等级保护和安全防护体系建设的总体要求，我单位开展了信息安全等级测评和整 改工作 二、等级保护管理制度体系分析 等级保护管理制度体系提供了对组织机构中信息系统全生存周期过程实施符合安全等级责任要求的管理，包括落实安全管理机构及人员，明确角色与职责，制定安全规划、开发安全策略、实施风险管理、进行监控、检查，处理安全事件等，具体落实在要求则体现在等级保护测评指标中，等级保护管理要求如图1所示 三、等级保护管理体系建设实践 在具体落实管理体系过程中，应结合原有的信息化管理制度，贯彻建立管理制度文件层级化和流程化管理概念，将方针策略、管理制度、操作规程和记录表单等文件科学的管理运作；将信息化安全管理方针策略定义为一层策略文件；将沟通管理、信息化人员管理、授权与审批管理、文件规范性管理、介质管理、资产管理、网络管理、系统管理、安全事件与应急管理、备份与恢复管理等方面定义为二层制度文件，落实一层文件中涉及的各方面运维和安全管理内容；将信息化运维管理的操作指导规范等定义为三层流程文件，支撑二层制度文件的具体操作；将所有信息化运维相关的表格定义为四层表格文件，落实并规范化所有运维操作，融合和动态的管理当前使用的管理制度体系结构，如图2所示 3.1安全管理的原则 1）基于安全需求原则：组织机构应根据其信息系统担负的使命，积累的信息资产的重要性，可能受到的威胁及面临的风险分析安全需求，遵从相应等级的规范要求，从全局上恰当地平衡安全投入与效果； 2）主要领导负责原则：主要领导应确立其组织统一的信息安全保障的宗旨和政策，负责提高员工的安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，并确保其落实、有效； 3）全员参与原则：信息系统所有相关人员应普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统安全； 4）持续改进原则：安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期，随着安全需求和系统脆弱性的分布变化，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系； 5）分权和授权原则：对特定职能或责任领域的管理功能实施分离、独立审计等实行分权，避免权力过分集中所带来的隐患，以减小未授权的修改或滥用系统资源的机会 3.2管理制度体系框架构建 3.2.1工作目标 建立安全管理组织并落实各个部门信息安全责任人，明确组织内各机构人员责任和工作职能，确定信息安全管理体系方针策略，编制形成信息安全方针策略文件 3.2.2建立信息安全管理组织 （1）建立信息安全管理组织架构 信息安全领导机构：供电公司信息化领导小组，主要负责对单位信息安全制定总体安全策略、监督和协调各项安全措施在单位的执行情况、设立落实信息安全责任。由供电公司分管领导担任组长，小组成员为各个部门负责人组成 （2）明确各相关机构和岗位角色的责任和职能 建立相应的职责文件，明确各相应领导、部门、岗位的职责。调度通信中心应设立信息安全工作的各关键岗位，如安全管理员、网