xx发电厂信息系统安全等级保护测评执行方案.docVIP

xx发电厂 信息系统安全等级保护测评执行方案 批 准： 审 定： 审 核： 编 制： xx发电厂信息通讯部 2015 批准意见: 审定意见: 审查意见: 校核意见: xx发电厂信息系统安全等级保护测评执行方案 立项原因 xx发电厂计算机监控系统的信息系统安全等级为第三级。依据《信息安全等级保护管理办法》（公通字[2007]43号），信息系统运营、使用单位在进行信息系统备案后，都应当选择测评机构进行等级测评。等级测评是测评机构依据《信息系统安全等级保护测评要求》等管理规范和技术标准，检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程，是落实信息安全等级保护制度的重要环节。并且xx发电厂发电业务许可证年检时应具有信息系统安全等级保护第三级备案证明。 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本方案。 二、项目目标 信息系统安全等级保护制度作为信息安全系统分级分类保护的一项国家标准，对于完善xx发电厂信息安全法规和标准体系，提高xx发电厂安全建设的整体水平，增强xx发电厂信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。 在xx发电厂计算机监控系统运维过程中定期委托测评机构开展等级测评，对信息系统安全等级保护状况进行安全测试，对信息安全管控能力进行考察和评价，从而判定信息系统是否具备GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》中相应等级安全保护能力。而且，等级测评报告是信息系统开展整改加固的重要指导性文件，也是信息系统备案的重要附件材料。若xx发电厂计算机监控系统等级测评结论为信息系统未达到相应等级的基本安全保护能力，xx发电厂应当根据等级测评报告，制定方案进行整改，尽快达到相应等级的安全保护能力。 三、项目详细工作内容 在xx发电厂计算机监控系统信息系统测评时，信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备，每类应至少抽查两台作为测评对象。 等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。 第三级信息系统的等级测评，测评对象种类上基本覆盖、数量进行抽样，重点抽查主要的设备、设施、人员和文档等。可以抽查的测评对象种类主要考虑以下几个方面： 1．办公楼四楼主机房（包括其环境、设备和设施等）和厂房三楼机房，应将放置了服务于信息系统的局部或对信息系统的局部安全性起重要作用的设备、设施的机房选取作为测评对象；? 2．存储xx发电厂计算机监控系统重要数据的介质的存放环境；? 3．xx发电厂办公场地； 4．xx发电厂计算机监控系统整个系统的网络拓扑结构；? 5．xx发电厂计算机监控系统安全设备，包括防火墙、入侵检测设备和防病毒网关等；? 6．xx发电厂边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；? 7．对整个xx发电厂计算机监控系统或其局部的安全性起作用的网络互联设备，如核心交换机、路由器等；? 8．承载xx发电厂计算机监控系统主要业务或数据的服务器（包括其操作系统和数据库）；? 9．xx发电厂信息安全主管人员、各方面的负责人员、具体负责安全管理的负责人；? 10. 涉及到xx发电厂计算机监控系统安全的所有管理制度和记录。 四、组织实施 在黑龙江省公安厅国家电力监管委员会东北监管局下发的，《关于进一步开展黑龙江省电力行业信息安全等级保护检查等工作的通知》附件中，以下为推荐评测的几家机构名单。 五、项目工作进度安排 1、方案上报审批 2015年11月3日-2015年11月17日。 2、项目立项审批 2015年11月18日-2015年12月2日。 3、项目实施 2015年12月全月。 4、项目验收 2015年12月末。 六、预期成果 测评机构： a) 分析并判定单项测评结果和整体测评结果。?b) 分析评价被测系统存在的风险情况。?c) 根据测评结果形成等级测评结论。? 测评委托单位(xx发电厂)： a) 签收测评报告。 xx发电厂在信息系统建设、整改时，计算机监控系统通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全问题，并在此基础上确定系统的整改安全需求。 七、项目实施预算 序号 项目名称 测评机