收藏我们

欢迎访问等保测评网!

等保服务热线:18122425657

当前位置:主页 > 等保标准 >

电力行业等保标准:电力行业如何过等保?

2020-07-09 14:25

就目前而言,电力行业等级保护工作可以依据的行业标准有:

1、《电力行业信息系统安全等级保护定级指导意见》

2、《电力行业信息安全等级保护基本要求》

3、《电力行业信息安全等级保护基本要求释义》

4、《电力二次系统安全等级保护要求》

5、《GBT36572-2018电力监控系统安全防护导则》

6、《智能电网信息安全防护总体方案》《SG-ERP防护方案》

7、国家能源局关于印发《电力行业网络与信息安全管理办法》的通知 国能安全[2014]317

8、国家能源局关于加强电力行业网络安全工作的指导意见 国能发安全〔201872

9、国家能源局关于印发《电力安全监管约谈办法》的通知 国能发安全〔201879

10、国家能源局关于印发《电力安全生产行动计划(2018-2020年)》的通知国能发安全〔201855

 

一、电力行业等级保护办理的一般流程

 

等级保护项目一般流程

 

二、电力行业信息系统如何进行等保定级备案

 

定级备案是等级保护办理流程的第一步。电力信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

 

定级流程如下图所示:

360截图20200617152723112

 

电力信息系统的安全保护等级分为以下四级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。(电力信息系统运营、使用单位自主保护)

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。(国家能源局及有关信息安全监管部门进行指导)

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。(国家能源局及有关信息安全监管部门进行监督、检查)

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。(国家能源局及有关信息安全监管部门进行强制监督、检查)

 

定级结果确定之后,电力信息系统运营、使用单位应向相应公安机关提交资料进行备案。办理电力信息系统安全保护等级备案手续时,应当填写公安部监制的《信息系统安全等级保护备案表》,第三级及以上信息系统应当同时提供以下材料:

①系统拓扑结构及说明;

②系统安全组织机构和管理制度;

③系统安全保护设施设计实施方案或者改建实施方案;

④系统使用的信息安全产品清单及其认证、销售许可证明;

⑤测评后符合系统安全保护等级的技术检测评估报告;

⑥信息系统安全保护等级专家评审意见;

⑦主管单位核准信息系统安全保护等级的意见。

 

在备案过程中,电力信息系统运营、使用单位应当按照公安机关的审核意见,对不符合等级保护要求的备案材料进行纠正后重新备案。

 

三、电力行业信息系统如何进行等保测评

 

电力行业各单位应选择具备专业资质的等级保护测评机构进行测评。测评机构应该符合以下条件:

①在中华人民共和国境内注册成立(港澳台地区除外);

②由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);

③从事电力信息系统相关检测评估工作两年以上,无违法记录;

④工作人员仅限于中国公民;

⑤法人及主要业务、技术人员无犯罪记录;

⑥使用的技术装备、设施应当符合国家对信息安全产品的要求;

⑦具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;

⑧对国家安全、社会秩序、公共利益不构成威胁;

⑨从事电力信息系统测评的技术人员应当通过国家能源局组织的电力系统专业技术培训和考核,开展电力信息系统测评的机构应向国家能源局备案且通过电力测评机构技术能力评估。

 

等保测评机构结束测评以后,要出具相应的测评报告。测评报告模板由公安机关提供。

 

四、接受监督、检查并按要求进行整改

 

电力信息系统运营、使用单位应当接受主管单位及公安机关不定期的安全监督、检查、指导,如实提供下列有关信息安全保护的信息资料及数据文件:

①信息系统备案事项变更情况;

②安全组织、人员、岗位职责的变动情况;

③信息安全管理制度、措施变更情况;

④信息系统运行状况记录;

⑤运营、使用单位及上级部门定期对信息系统安全状况的检查记录;

⑥对信息系统开展等级测评的技术测评报告;

⑦信息安全产品使用的变更情况;

⑧信息安全事件应急预案,信息安全事件应急处置结果报告;

⑨信息系统数据容灾备份情况。

⑩信息系统安全建设、整改结果报告。

 

五、电力行业信息安全等级保护的密码管理

 

电力信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护商用密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和技术标准。

 

电力信息系统运营、使用单位采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。

 

需要特别注意的是:电力信息系统中采用的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码和密码设备进行评测和监控。

等保快讯

推荐阅读