信息安全等级保护测评.pptx

信息安全等级保护测评工作介绍国网电力科学研究院/电力行业信息安全等级保护第三测评实验室二〇一五年四月1目录21信息安全等级保护概述3信息安全等级测评内容介绍2信息安全等级测评概述4现场工作安排5附录信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。什么是信息安全等级保护一、信息安全等级保护概述1994年,《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年,强制性国家标准-《计算机信息系统安全保护等级划分准则》GB-17859)。2003年,中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004年,公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》(66号文件)2006年1月,公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法》(公通字[2006]7号)2011年9月,国家电监会印发《关于组织开展电力行业重要管理信息安全等级保护测评试点工作的通知》,要求统一组织开展重要管理信息系统试点测评。同年,《电力行业信息系统安全等级保护基本要求》出台,、信息安全等级保护概述安全保护等级的划分一、信息安全等级保护概述(一)定级原则坚持“自主定级、自主保护”与国家监管相结合的原则(二)确定需要定级的系统(1)省辖市以上党政机关的重要网站和办公信息系统;(2)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;(3)电力、铁路、银行、海关、税务、民航、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统;(4)涉及国家秘密的信息系统。等级保护等级的划分一、信息安全等级保护概述7电力行业系统定级情况2010年,随着信息化SG186工程竣工,公司信息系统由三级向两级并逐渐向一级部署过渡,系统集中集成程度大幅提高,智能电网对客户服务安全交互服务能力要求更高,按照公安部和电监会要求,2012年2月,按照营销系统和ERP系统级别由2级调整为3级、变电站二次系统不再作为独立系统定级、新建智能电网调度技术支持系统作为整体统一定级的原则,重新梳理定级984套信息系统,管理信息系统调整为545套,其中3级系统127套,2级系统418套,电力二次系统调整为4级系统31套,3级系统379套。国家能源局印发《关于对国家电网公司信息系统安全等级保护定级调整的批复》(信息办函[2012]90号)同意公司定级调整结果。公司管理信息系统定级表定级对象系统级别总部区域(省)地市内部门户(网站)系统2对外门户(网站)系统32邮件系统2公司广域网()2ERP管理系统3财务(资金)管理系统32营销管理系统32电力市场交易系统3无生产管理信息系统2协同办公系统(办公自动化系统)32人力资源管理系统2物资管理系统2项目管理系统2综合管理系统2公司电力二次系统定级表定级对象系统级别总部区域(省)(地调)、信息安全等级保护概述初步确定信息系统等级1、确定定级对象2、确定业务信息安全受到破坏时所侵害的客体5、确定系统服务安全受到破坏时所侵害的客体3、综合评定对客体的侵害程度6、综合评定对客体的侵害程度依据表1依据表2业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级