信息安全等级保护测评工作介绍.pptVIP

信息安全等级保护测评工作介绍 国网电力科学研究院/电力行业信息安全等级保护第三测评实验室 二〇一五年四月 1 目录 2 信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。 什么是信息安全等级保护 一、信息安全等级保护概述 1994年，《中华人民共和国计算机信息系统安全保护条例 》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定” 。 1999年，强制性国家标准－《计算机信息系统安全保护等级划分准则》GB-17859）。 2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南” 。 2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》（66号文件） 2006年1月，公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法》（公通字[2006]7号） 2011年9月，国家电监会印发《关于组织开展电力行业重要管理信息安全等级保护测评试点工作的通知》，要求统一组织开展重要管理信息系统试点测评。 同年，《电力行业信息系统安全等级保护基本要求》出台，至今已更新至V11.0 相关法律法规 一、信息安全等级保护概述 安全保护等级的划分 一、信息安全等级保护概述 （一）定级原则 坚持“自主定级、自主保护”与国家监管相结合的原则 （二）确定需要定级的系统 （1）省辖市以上党政机关的重要网站和办公信息系统； （2）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统； （3）电力、铁路、银行、海关、税务、民航、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统； （4）涉及国家秘密的信息系统。 等级保护等级的划分 一、信息安全等级保护概述 7 电力行业系统定级情况 2010年，随着信息化SG186工程竣工，公司信息系统由三级向两级并逐渐向一级部署过渡，系统集中集成程度大幅提高，智能电网对客户服务安全交互服务能力要求更高，按照公安部和电监会要求，2012年2月，按照营销系统和ERP系统级别由2级调整为3级、变电站二次系统不再作为独立系统定级、新建智能电网调度技术支持系统作为整体统一定级的原则，重新梳理定级984套信息系统，管理信息系统调整为545套，其中3级系统127套，2级系统418套，电力二次系统调整为4级系统31套，3级系统379套。国家能源局印发《关于对国家电网公司信息系统安全等级保护定级调整的批复》（信息办函[2012]90号）同意公司定级调整结果。 定级对象 系统级别 总部 区域（省） 地市 内部门户（网站）系统 2 对外门户（网站）系统 3 2 邮件系统 2 公司广域网(SGInet) 2 ERP管理系统 3 财务（资金）管理系统 3 2 营销管理系统 3 2 电力市场交易系统 3 无 生产管理信息系统 2 协同办公系统（办公自动化系统） 3 2 人力资源管理系统 2 物资管理系统 2 项目管理系统 2 综合管理系统 2 定级对象 系统级别 总部 区域(省) 地市 1.智能电网调度技术支持系统实时监控与预警 4 无 2.智能电网调度技术支持系统调度计划与安全校核 3 无 3.智能电网调度技术支持系统（地调） 无 3 4.通信设备资源管理系统 3 无 5.通信设备网管系统 3 无 6.调度自动化系统 无 3 7.能量管理系统 4 无 8.广域相量测量系统 3 无 9.电能量计量系统 3 无 10.电力调度数据网络 3 无 11.调度交易计划系统 3 无 12.电网动态预警系统 3 无 13.其他投入运行系统 3 无 一、信息安全等级保护概述 初步确定信息系统等级 1、确定定级对象 2、确定业务信息安全受到破坏时所侵害的客体 5、确定系统服务安全受到破坏时所侵害的客体 3、综合评定对客体的侵害程度 6、综合评定对客体的侵害程度 依据表1 依据表2 业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公