電網(wǎng)企業(yè)實施信息系統(tǒng)安全等級保護
電網(wǎng)企業(yè)實施信息系統(tǒng)安全等級保護
黃敬志
(廣東電網(wǎng)公司,廣州市東風(fēng)東路757號510600)
摘要:本文結(jié)合國家信息安全等級保護的有關(guān)規(guī)定和標(biāo)準(zhǔn),對電網(wǎng)企業(yè)實施信息系統(tǒng)安全等級保護工作的內(nèi)容和步驟進行了詳細(xì)介紹,為同行業(yè)的相關(guān)工作提供參考。關(guān)鍵字:電網(wǎng)企業(yè);信息安全等級保護
EnterpriseofElectricPowerGrid
EnforcestheSecurityClassificationProtectionforInformationSystem
Abstract:Thispapercombinewiththecountry’sregulationsandstandardsofsecurityclassificationprotection,introducesthecontentsandstepsoftheenterpriseofelectricpowergridenforcesthesecurityclassificationprotectionforinformationsystem,thisintroductioninordertoprovidesthereferenceforthetradetodothesimilarwork.
Keywords:theenterpriseofelectricpowergrid;securityclassificationprotection
0.概述
公安部、國家保密局、國家密碼管理局和國務(wù)院信息化工作辦公室于201*年6月聯(lián)合發(fā)布了《信息安全等級保護管理辦法》,標(biāo)志著信息安全等級保護工作在全國范圍全面推進
[1]
。信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法,是國家
層面制定的信息安全工作標(biāo)準(zhǔn)。目前,信息安全等級保護工作在國內(nèi)尚處于剛起步的階段,如何落實具體的工作,是各重點企業(yè)工作面臨的問題。電網(wǎng)企業(yè)作為關(guān)系國計民生的重要國有企業(yè),在信息安全等級保護工作方面積極探索,并根據(jù)行業(yè)的特點制定了適合電網(wǎng)企業(yè)的規(guī)范、標(biāo)準(zhǔn)和實施指南,指導(dǎo)各單位全面落實國家的有關(guān)要求。1.信息安全等級保護的要求及標(biāo)準(zhǔn)
信息安全等級保護指的是:對涉及國計民生的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)按照其重要程度及實際安全需求,合理投入,分級進行保護,分類指導(dǎo),分階段實施,保障信息系統(tǒng)安全正常運行和信息安全,提高信息安全綜合防護能力,保障國家安全,維護社會秩序和穩(wěn)定,保障并促進信息化建設(shè)健康發(fā)展。
信息系統(tǒng)的運行(或使用)單位根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度;針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達(dá)到的基本的安全保護水平等因素,對信息系統(tǒng)劃分為五個安全保護和監(jiān)管等級,實行分級保護。
按照《信息系統(tǒng)安全等級保護實施指南》,信息系統(tǒng)安全等級保護實施基本工作流程分為五個階段:信息系統(tǒng)定級、總體安全規(guī)劃、安全設(shè)計與實施、安全運行與維護、信息系統(tǒng)終止。各階段的流程關(guān)系如下圖:
圖1信息系統(tǒng)安全等級保護實施的基本流程
2.信息系統(tǒng)安全等級保護實施方法2.1.信息系統(tǒng)定級
按照《信息安全等級保護管理辦法》,信息系統(tǒng)的安全保護等級分為五級,定級工作主要按照《信息系統(tǒng)安全等級保護定級指南》(GB/T22240-201*)的標(biāo)準(zhǔn)執(zhí)行,電網(wǎng)企業(yè)的系統(tǒng)定級,同時參照國家電力監(jiān)管委員會下發(fā)的《電力行業(yè)信息系統(tǒng)安全等級保護定級工作指導(dǎo)意見》執(zhí)行。
信息系統(tǒng)定級主要由兩個要素決定:系統(tǒng)受到破壞時所侵害的客體和對客體造成侵害的程度。其中,客體包括“公民、法人和其他組織的合法權(quán)益”、“社會秩序、公共利益”和“國家安全”三個方面,侵害程度包括“一般損害”、“嚴(yán)重?fù)p害”和“特別嚴(yán)重?fù)p害”三種級別。定級要素與信息系統(tǒng)安全保護等級的關(guān)系如表1所示。
表1定級要素與安全保護等級的關(guān)系
受侵害的客體對客體的侵害程度一般損害公民、法人和其他組織的合法權(quán)益社會秩序、公共利益國家安全第一級第二級第三級嚴(yán)重?fù)p害第二級第三級第四級特別嚴(yán)重?fù)p害第二級第四級第五級為了定級更準(zhǔn)確,一般把信息系統(tǒng)安全分為業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩部分,并對兩部分分別定級,最后取定級的較高者為定級對象的安全保護等級。如辦公自動化系統(tǒng)業(yè)務(wù)信息安全等級為二級,系統(tǒng)服務(wù)安全等級也是二級,那么辦公自動化系統(tǒng)的定級就是二級;而省級電網(wǎng)公司的營銷系統(tǒng)業(yè)務(wù)信息安全等級為二級,系統(tǒng)服務(wù)安全等級為一級,那么省級電網(wǎng)公司的營銷系統(tǒng)定級就是二級。通常電網(wǎng)企業(yè)的信息系統(tǒng)定在四級以下,主要集中在一、二、三級。
定級是等級保護的第一階段工作,對后續(xù)階段工作影響很大,如果定級不準(zhǔn)過高會浪費人力、物力、財力,而過低則會存在安全隱患同時使后續(xù)工作失去意義,可見定級工作的重要性。
2.2.安全建設(shè)或整改
信息系統(tǒng)的安全保護等級確定后,企業(yè)就按照有關(guān)規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護等級須要的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者整改工作!缎畔⑾到y(tǒng)安全等級保護基本要求》(GB/T22239201*)是安全建設(shè)或安全整改的重要依據(jù)標(biāo)準(zhǔn),該標(biāo)準(zhǔn)對每一級別系統(tǒng)安全保護的基本要求進行了描述,包括了技術(shù)要求和管理要求。
新建系統(tǒng)與已建在用的系統(tǒng),本階段的工作有所不同。對于新建的信息系統(tǒng),在系統(tǒng)的設(shè)計、規(guī)劃階段時就應(yīng)當(dāng)按照相應(yīng)等級的安全保護要求進行建設(shè);對于已建在用的信息系統(tǒng),則應(yīng)進行全面的差距評估,找出系統(tǒng)現(xiàn)狀與等級保護標(biāo)準(zhǔn)之間的差距,制定整改方案,并逐一進行安全整改。2.3.等級測評
信息系統(tǒng)建設(shè)完成后,系統(tǒng)運營、使用單位須選擇等級測評機構(gòu)對系統(tǒng)進行等級測評。系統(tǒng)測評按照《信息系統(tǒng)安全等級保護測評要求》和《信息系統(tǒng)安全等級保護測評過程指南》等標(biāo)準(zhǔn)進行。由于等級測評等同于對系統(tǒng)的安全建設(shè)或整改工作進行驗收測試,而且對于新建系統(tǒng),建議把等級測評納入到系統(tǒng)的驗收測試工作中一并進行,所以等級測評也可以被稱為驗收測評。
等級測評工作重點分為兩部分:選擇等級測評機構(gòu)和完成等級測評工作。
選擇等級測評機構(gòu)工作必須嚴(yán)格按照相關(guān)的規(guī)定進行,否則測評工作將得不到公安機關(guān)的認(rèn)可。等級測評機構(gòu)除了擁有相關(guān)信息安全服務(wù)資質(zhì)并在本地公安機關(guān)備案外,還需要向公安機關(guān)提供《承諾書》,承諾不承擔(dān)信息系統(tǒng)安全建設(shè)、整改、集成工作,不將等級測評任務(wù)分包、外包。上述要求,確保等級測評機構(gòu)與信息安全建設(shè)整改機構(gòu)呼吸之間的獨立性,保證了等級測評工作的公正性,所以等級測評機構(gòu)也稱為第三方測評機構(gòu)。
按照《信息系統(tǒng)安全等級保護測評過程指南》,等級測評工作分為單元測評和整體測評兩個階段。單元測評階段是針對等級保護標(biāo)準(zhǔn)逐條進行符合性檢查,得出“符合”、“部分符合”以及“不符合”的結(jié)論;整體測評階段是針對單項測評結(jié)果的“部分符合”和“不符合”項,采取逐條判定的方法,從安全控制間、層面間和區(qū)域間出發(fā)考慮,給出整體測評的具體結(jié)果,并對系統(tǒng)結(jié)構(gòu)進行整體安全測評。所以單元測評不符合的項目,如果站在整體角度看與其他測評項有關(guān)聯(lián)關(guān)系并且這個關(guān)聯(lián)關(guān)系能夠“彌補”該測評項的不足,那么系統(tǒng)的整體測評結(jié)果也能夠通過。2.4.系統(tǒng)備案
按照要求,定級為二級及以上的信息系統(tǒng)均應(yīng)到本地地市級以上公安機關(guān)辦理備案手續(xù),第三級及以上的信息系統(tǒng)備案前,備案材料還要通過上級主管部門的審核,第一級的信息系統(tǒng)可以由運行(使用)單位自行決定是否進行備案。備案工作的重點是填寫備案登記表格和編寫系統(tǒng)定級報告,每個系統(tǒng)一份,經(jīng)蓋單位公章后遞交公安機關(guān),公安機關(guān)將對備案材料進行審核,認(rèn)為系統(tǒng)定級無誤之后會對每個定級系統(tǒng)頒發(fā)一份定級證書。
已建在用的系統(tǒng)與新建系統(tǒng),本階段的工作有所不同。已建在用的系統(tǒng),在定級之后30日內(nèi),到所在地的市級以上公安機關(guān)辦理備案手續(xù),而新建的系統(tǒng)則在系統(tǒng)通過等保測評并投入運行30日內(nèi)到所在地的市級以上公安機關(guān)辦理備案手續(xù)。2.5.系統(tǒng)運行
信息系統(tǒng)的運行階段占了系統(tǒng)生命階段的70%-80%。在系統(tǒng)運行階段,信息安全的保障工作也十分重要。等級保護標(biāo)準(zhǔn)中不僅對系統(tǒng)運行維護階段的信息安全工作進行了規(guī)范要求,還對系統(tǒng)運行階段的安全檢查和測評工作提出了具體的要求,按照《信息安全等級保護管理辦法》在系統(tǒng)正式投入運行后,定位三級的系統(tǒng)每年至少進行一次安全的自查和測評,四級系統(tǒng)每半年至少進行一次自查和測評。2.6.持續(xù)改進
信息安全等級保護工作是一項長期的、持續(xù)完善的工作,本文描述的各個階段工作并不是完全獨立的。運行當(dāng)中的系統(tǒng)的如果進行了局部調(diào)整,或運行環(huán)境發(fā)生了變化,但是系統(tǒng)級別沒有變化,那么須要重新進行差距評估、整改和等級測評;如果系統(tǒng)發(fā)生較大的調(diào)整,甚至系統(tǒng)級別可能發(fā)生改變,那么就須要對系統(tǒng)重新進行定級以及之后的所有相關(guān)的工作。當(dāng)系統(tǒng)能夠在定期的自查和測評過程中發(fā)現(xiàn)有問題,那么可以根據(jù)存在問題的大小,選擇局部調(diào)整或重新定級。總體來說,信息安全等級保護工作符合目前流行的“PDCA”閉環(huán)管理原則。
3.信息安全等級保護的重要意義
信息安全等級保護的實施,實現(xiàn)對重要信息系統(tǒng)的重點安全保障,推進了信息安全保護工作的規(guī)范化、法制化建設(shè),有效體現(xiàn)“適度安全、保護重點”的思想。國家出臺了一系列信息安全管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)意義重大,國內(nèi)的信息安全工作有據(jù)可依,明確了信息安全工作的目標(biāo)和重點,信息系統(tǒng)安全與否也有了一個衡量尺度,企業(yè)可以將有限的財力、物力、人力投入到重要信息系統(tǒng)安全保護中,改變傳統(tǒng)的安全管理“頭痛醫(yī)頭、腳痛醫(yī)腳”的情況,從而建立起全面的、立體的信息安全保障體系。4.結(jié)束語
廣東電網(wǎng)公司按照國家信息安全等級保護的有關(guān)規(guī)定和標(biāo)準(zhǔn),結(jié)合電監(jiān)會對二次系統(tǒng)安全防護的規(guī)定,全面開展了信息安全等級保護工作。等保的實施,為公司信息安全保障體系的建設(shè)提供了標(biāo)準(zhǔn),指明了方向。
[2]
擴展閱讀:電網(wǎng)企業(yè)等級保護建設(shè)整改方案
電網(wǎng)企業(yè)等級保護建設(shè)整改方案
黃敬志
(廣東電網(wǎng)公司,廣州市東風(fēng)東路757號510600)
摘要:本文結(jié)合國家信息安全等級保護的有關(guān)規(guī)定和標(biāo)準(zhǔn),對電網(wǎng)企業(yè)實施信息系統(tǒng)安全等級保護工作的內(nèi)容和步驟進行了詳細(xì)介紹,為同行業(yè)的相關(guān)工作提供參考。關(guān)鍵字:電網(wǎng)企業(yè);信息安全等級保護
EnterpriseofElectricPowerGrid
EnforcestheSecurityClassificationProtectionforInformationSystem
Abstract:Thispapercombinewiththecountry’sregulationsandstandardsofsecurityclassificationprotection,introducesthecontentsandstepsoftheenterpriseofelectricpowergridenforcesthesecurityclassificationprotectionforinformationsystem,thisintroductioninordertoprovidesthereferenceforthetradetodothesimilarwork.
Keywords:theenterpriseofelectricpowergrid;securityclassificationprotection
0.概述
公安部、國家保密局、國家密碼管理局和國務(wù)院信息化工作辦公室于201*年6月聯(lián)合發(fā)布了《信息安全等級保護管理辦法》,標(biāo)志著信息安全等級保護工作在全國范圍全面推進
[1]
。信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法,是國家
層面制定的信息安全工作標(biāo)準(zhǔn)。目前,信息安全等級保護工作在國內(nèi)尚處于剛起步的階段,如何落實具體的工作,是各重點企業(yè)工作面臨的問題。電網(wǎng)企業(yè)作為關(guān)系國計民生的重要國有企業(yè),在信息安全等級保護工作方面積極探索,并根據(jù)行業(yè)的特點制定了適合電網(wǎng)企業(yè)的規(guī)范、標(biāo)準(zhǔn)和實施指南,指導(dǎo)各單位全面落實國家的有關(guān)要求。1.信息安全等級保護的要求及標(biāo)準(zhǔn)
信息安全等級保護指的是:對涉及國計民生的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)按照其重要程度及實際安全需求,合理投入,分級進行保護,分類指導(dǎo),分階段實施,保障信息系統(tǒng)安全正常運行和信息安全,提高信息安全綜合防護能力,保障國家安全,維護社會秩序和穩(wěn)定,保障并促進信息化建設(shè)健康發(fā)展。
信息系統(tǒng)的運行(或使用)單位根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度;針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達(dá)到的基本的安全保護水平等因素,對信息系統(tǒng)劃分為五個安全保護和監(jiān)管等級,實行分級保護。
按照《信息系統(tǒng)安全等級保護實施指南》,信息系統(tǒng)安全等級保護實施基本工作流程分為五個階段:信息系統(tǒng)定級、總體安全規(guī)劃、安全設(shè)計與實施、安全運行與維護、信息系統(tǒng)終止。各階段的流程關(guān)系如下圖:
圖1信息系統(tǒng)安全等級保護實施的基本流程
2.信息系統(tǒng)安全等級保護實施方法2.1.信息系統(tǒng)定級
按照《信息安全等級保護管理辦法》,信息系統(tǒng)的安全保護等級分為五級,定級工作主要按照《信息系統(tǒng)安全等級保護定級指南》(GB/T22240-201*)的標(biāo)準(zhǔn)執(zhí)行,電網(wǎng)企業(yè)的系統(tǒng)定級,同時參照國家電力監(jiān)管委員會下發(fā)的《電力行業(yè)信息系統(tǒng)安全等級保護定級工作指導(dǎo)意見》執(zhí)行。
信息系統(tǒng)定級主要由兩個要素決定:系統(tǒng)受到破壞時所侵害的客體和對客體造成侵害的程度。其中,客體包括“公民、法人和其他組織的合法權(quán)益”、“社會秩序、公共利益”和“國家安全”三個方面,侵害程度包括“一般損害”、“嚴(yán)重?fù)p害”和“特別嚴(yán)重?fù)p害”三種級別。定級要素與信息系統(tǒng)安全保護等級的關(guān)系如表1所示。
表1定級要素與安全保護等級的關(guān)系
受侵害的客體對客體的侵害程度一般損害公民、法人和其他組織的合法權(quán)益社會秩序、公共利益國家安全第一級第二級第三級嚴(yán)重?fù)p害第二級第三級第四級特別嚴(yán)重?fù)p害第二級第四級第五級為了定級更準(zhǔn)確,一般把信息系統(tǒng)安全分為業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩部分,并對兩部分分別定級,最后取定級的較高者為定級對象的安全保護等級。如辦公自動化系統(tǒng)業(yè)務(wù)信息安全等級為二級,系統(tǒng)服務(wù)安全等級也是二級,那么辦公自動化系統(tǒng)的定級就是二級;而省級電網(wǎng)公司的營銷系統(tǒng)業(yè)務(wù)信息安全等級為二級,系統(tǒng)服務(wù)安全等級為一級,那么省級電網(wǎng)公司的營銷系統(tǒng)定級就是二級。通常電網(wǎng)企業(yè)的信息系統(tǒng)定在四級以下,主要集中在一、二、三級。
定級是等級保護的第一階段工作,對后續(xù)階段工作影響很大,如果定級不準(zhǔn)過高會浪費人力、物力、財力,而過低則會存在安全隱患同時使后續(xù)工作失去意義,可見定級工作的重要性。
2.2.安全建設(shè)或整改
信息系統(tǒng)的安全保護等級確定后,企業(yè)就按照有關(guān)規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)安全保護等級須要的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者整改工作!缎畔⑾到y(tǒng)安全等級保護基本要求》(GB/T22239201*)是安全建設(shè)或安全整改的重要依據(jù)標(biāo)準(zhǔn),該標(biāo)準(zhǔn)對每一級別系統(tǒng)安全保護的基本要求進行了描述,包括了技術(shù)要求和管理要求。
新建系統(tǒng)與已建在用的系統(tǒng),本階段的工作有所不同。對于新建的信息系統(tǒng),在系統(tǒng)的設(shè)計、規(guī)劃階段時就應(yīng)當(dāng)按照相應(yīng)等級的安全保護要求進行建設(shè);對于已建在用的信息系統(tǒng),則應(yīng)進行全面的差距評估,找出系統(tǒng)現(xiàn)狀與等級保護標(biāo)準(zhǔn)之間的差距,制定整改方案,并逐一進行安全整改。2.3.等級測評
信息系統(tǒng)建設(shè)完成后,系統(tǒng)運營、使用單位須選擇等級測評機構(gòu)對系統(tǒng)進行等級測評。系統(tǒng)測評按照《信息系統(tǒng)安全等級保護測評要求》和《信息系統(tǒng)安全等級保護測評過程指南》等標(biāo)準(zhǔn)進行。由于等級測評等同于對系統(tǒng)的安全建設(shè)或整改工作進行驗收測試,而且對于新建系統(tǒng),建議把等級測評納入到系統(tǒng)的驗收測試工作中一并進行,所以等級測評也可以被稱為驗收測評。
等級測評工作重點分為兩部分:選擇等級測評機構(gòu)和完成等級測評工作。
選擇等級測評機構(gòu)工作必須嚴(yán)格按照相關(guān)的規(guī)定進行,否則測評工作將得不到公安機關(guān)的認(rèn)可。等級測評機構(gòu)除了擁有相關(guān)信息安全服務(wù)資質(zhì)并在本地公安機關(guān)備案外,還需要向公安機關(guān)提供《承諾書》,承諾不承擔(dān)信息系統(tǒng)安全建設(shè)、整改、集成工作,不將等級測評任務(wù)分包、外包。上述要求,確保等級測評機構(gòu)與信息安全建設(shè)整改機構(gòu)呼吸之間的獨立性,保證了等級測評工作的公正性,所以等級測評機構(gòu)也稱為第三方測評機構(gòu)。
按照《信息系統(tǒng)安全等級保護測評過程指南》,等級測評工作分為單元測評和整體測評兩個階段。單元測評階段是針對等級保護標(biāo)準(zhǔn)逐條進行符合性檢查,得出“符合”、“部分符合”以及“不符合”的結(jié)論;整體測評階段是針對單項測評結(jié)果的“部分符合”和“不符合”項,采取逐條判定的方法,從安全控制間、層面間和區(qū)域間出發(fā)考慮,給出整體測評的具體結(jié)果,并對系統(tǒng)結(jié)構(gòu)進行整體安全測評。所以單元測評不符合的項目,如果站在整體角度看與其他測評項有關(guān)聯(lián)關(guān)系并且這個關(guān)聯(lián)關(guān)系能夠“彌補”該測評項的不足,那么系統(tǒng)的整體測評結(jié)果也能夠通過。2.4.系統(tǒng)備案
按照要求,定級為二級及以上的信息系統(tǒng)均應(yīng)到本地地市級以上公安機關(guān)辦理備案手續(xù),第三級及以上的信息系統(tǒng)備案前,備案材料還要通過上級主管部門的審核,第一級的信息系統(tǒng)可以由運行(使用)單位自行決定是否進行備案。備案工作的重點是填寫備案登記表格和編寫系統(tǒng)定級報告,每個系統(tǒng)一份,經(jīng)蓋單位公章后遞交公安機關(guān),公安機關(guān)將對備案材料進行審核,認(rèn)為系統(tǒng)定級無誤之后會對每個定級系統(tǒng)頒發(fā)一份定級證書。
已建在用的系統(tǒng)與新建系統(tǒng),本階段的工作有所不同。已建在用的系統(tǒng),在定級之后30日內(nèi),到所在地的市級以上公安機關(guān)辦理備案手續(xù),而新建的系統(tǒng)則在系統(tǒng)通過等保測評并投入運行30日內(nèi)到所在地的市級以上公安機關(guān)辦理備案手續(xù)。2.5.系統(tǒng)運行
信息系統(tǒng)的運行階段占了系統(tǒng)生命階段的70%-80%。在系統(tǒng)運行階段,信息安全的保障工作也十分重要。等級保護標(biāo)準(zhǔn)中不僅對系統(tǒng)運行維護階段的信息安全工作進行了規(guī)范要求,還對系統(tǒng)運行階段的安全檢查和測評工作提出了具體的要求,按照《信息安全等級保護管理辦法》在系統(tǒng)正式投入運行后,定位三級的系統(tǒng)每年至少進行一次安全的自查和測評,四級系統(tǒng)每半年至少進行一次自查和測評。2.6.持續(xù)改進
信息安全等級保護工作是一項長期的、持續(xù)完善的工作,本文描述的各個階段工作并不是完全獨立的。運行當(dāng)中的系統(tǒng)的如果進行了局部調(diào)整,或運行環(huán)境發(fā)生了變化,但是系統(tǒng)級別沒有變化,那么須要重新進行差距評估、整改和等級測評;如果系統(tǒng)發(fā)生較大的調(diào)整,甚至系統(tǒng)級別可能發(fā)生改變,那么就須要對系統(tǒng)重新進行定級以及之后的所有相關(guān)的工作。當(dāng)系統(tǒng)能夠在定期的自查和測評過程中發(fā)現(xiàn)有問題,那么可以根據(jù)存在問題的大小,選擇局部調(diào)整或重新定級?傮w來說,信息安全等級保護工作符合目前流行的“PDCA”閉環(huán)管理原則。
3.信息安全等級保護的重要意義
信息安全等級保護的實施,實現(xiàn)對重要信息系統(tǒng)的重點安全保障,推進了信息安全保護工作的規(guī)范化、法制化建設(shè),有效體現(xiàn)“適度安全、保護重點”的思想。國家出臺了一系列信息安全管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)意義重大,國內(nèi)的信息安全工作有據(jù)可依,明確了信息安全工作的目標(biāo)和重點,信息系統(tǒng)安全與否也有了一個衡量尺度,企業(yè)可以將有限的財力、物力、人力投入到重要信息系統(tǒng)安全保護中,改變傳統(tǒng)的安全管理“頭痛醫(yī)頭、腳痛醫(yī)腳”的情況,從而建立起全面的、立體的信息安全保障體系。4.結(jié)束語
廣東電網(wǎng)公司按照國家信息安全等級保護的有關(guān)規(guī)定和標(biāo)準(zhǔn),結(jié)合電監(jiān)會對二次系統(tǒng)安全防護的規(guī)定,全面開展了信息安全等級保護工作。等保的實施,為公司信息安全保障體系的建設(shè)提供了標(biāo)準(zhǔn),指明了方向。
[2]
友情提示:本文中關(guān)于《電網(wǎng)企業(yè)實施信息系統(tǒng)安全等級保護》給出的范例僅供您參考拓展思維使用,電網(wǎng)企業(yè)實施信息系統(tǒng)安全等級保護:該篇文章建議您自主創(chuàng)作。
來源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享,如產(chǎn)生版權(quán)問題,請聯(lián)系我們及時刪除。