電力行業(yè)等級保護(hù)政策標(biāo)準(zhǔn)的解讀

趙偉

摘 要：該文主要解讀了《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法（國能安全[2014]317號）》和《電力行業(yè)信息安全等級保護(hù)管理辦法（國能安全[2014]318號）》兩個新近頒布的電力行業(yè)信息安全管理辦法文件。

關(guān)鍵詞：電力 信息安全防護(hù) 安全域 分級分域

中圖分類號：TM73 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2016）12（b）-0121-02

該文適用于能源行業(yè)信息安全監(jiān)管部門、各能源相關(guān)企業(yè)信息安全在崗人員、信息安全等級保護(hù)測評機(jī)構(gòu)的管理與技術(shù)人員等。

1 定級信息系統(tǒng)劃分方式

由于國家電網(wǎng)公司的信息系統(tǒng)涉及業(yè)務(wù)范圍廣，應(yīng)用面寬，為了體現(xiàn)重要業(yè)務(wù)應(yīng)用重點(diǎn)保護(hù)，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護(hù)工作原則，從管理、業(yè)務(wù)、物理位置和運(yùn)行環(huán)境等方面綜合分析，對信息系統(tǒng)進(jìn)行劃分。

從管理機(jī)構(gòu)角度劃分。不同管理機(jī)構(gòu)（總部、網(wǎng)省、地市公司）管理控制下的信息系統(tǒng)應(yīng)分開作為不同的定級對象。

從業(yè)務(wù)類型角度劃分。根據(jù)不同業(yè)務(wù)應(yīng)用的“相對獨(dú)立”性，劃分出信息系統(tǒng)的不同部分作為不同的定級對象。

2 定級信息系統(tǒng)分類

根據(jù)上述信息系統(tǒng)基本特征和信息系統(tǒng)劃分方式，結(jié)合國家電網(wǎng)公司工程一體化企業(yè)級信息系統(tǒng)定義，將國家電網(wǎng)公司信息系統(tǒng)劃分為一體化企業(yè)級信息集成平臺、財務(wù)管理、營銷及市場交易管理、安全生產(chǎn)管理、協(xié)同辦公、人力資源管理、物資管理、項(xiàng)目管理、綜合管理9類，總部、網(wǎng)?。ㄖ陛犑校⒌厥?層，共69個信息系統(tǒng)。

3 標(biāo)準(zhǔn)解讀

3.1 電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法

3.1.1 總則

解讀：《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》對電力行業(yè)管理部門、電力企業(yè)等單位在電力行業(yè)網(wǎng)絡(luò)與信息安全保護(hù)工作中的職責(zé)與工作內(nèi)容做出了明確規(guī)定。

第一章主要對電力行業(yè)網(wǎng)絡(luò)與信息安全的依據(jù)、目標(biāo)和原則等做出了具體闡述。

3.1.2 監(jiān)督管理職責(zé)

解讀：第二章主要明確了國家能源局及其派出機(jī)構(gòu)對電力行業(yè)網(wǎng)絡(luò)與信息安全工作的監(jiān)管責(zé)任。國家能源局主管電力行業(yè)網(wǎng)絡(luò)與信息安全工作，履行監(jiān)督管理職責(zé)，并明確了國家能源局監(jiān)督管理職責(zé)的主要內(nèi)容。能源局派出機(jī)構(gòu)根據(jù)授權(quán)，負(fù)責(zé)該轄區(qū)電力企業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理。

3.1.3 電力企業(yè)職責(zé)

解讀：第三章主要闡述電力企業(yè)在電力行業(yè)網(wǎng)絡(luò)與信息安全工作的職責(zé)，明確了該單位的網(wǎng)絡(luò)與信息安全工作的責(zé)任主體：電力企業(yè)（適用于兩大電網(wǎng)公司、五大發(fā)電集團(tuán)、中國核電和中廣核等兩家核電企業(yè)等）。網(wǎng)絡(luò)與信息安全的第一責(zé)任人：電力企業(yè)主要負(fù)責(zé)人。

3.1.4 監(jiān)督檢查

解讀：第四章主要闡述了國家能源局及其派出機(jī)構(gòu)對電力企業(yè)網(wǎng)絡(luò)與信息安全工作進(jìn)行監(jiān)督檢查的職責(zé)以及檢查時可采取的措施。

3.2 電力行業(yè)信息安全等級保護(hù)管理辦法

3.2.1 總則

解讀：《電力行業(yè)信息安全等級保護(hù)管理辦法》明確了電力行業(yè)信息安全等級保護(hù)制度的基本內(nèi)容、流程及工作要求，明確了信息系統(tǒng)運(yùn)營使用單位和主管部門、監(jiān)管部門在信息安全等級保護(hù)工作中的職責(zé)、任務(wù)，為開展信息安全等級保護(hù)工作提供了規(guī)范保障。

第一章為總則，闡述了電力行業(yè)開展等保的目的、電力行業(yè)管理部門和企業(yè)的職責(zé)與關(guān)系。

3.2.2 等級劃分與保護(hù)

解讀：第二章對電力行業(yè)信息安全等級的劃分和對應(yīng)等級的保護(hù)做了詳細(xì)闡述。簡言之，電力企業(yè)依據(jù)等級劃分規(guī)定自主確定相應(yīng)電力系統(tǒng)的安全保護(hù)等級，自主依據(jù)有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)對其進(jìn)行保護(hù)。等級劃分以信息系統(tǒng)的重要性為依據(jù)，通過評估系統(tǒng)受到破壞后對公民、法人和其他組織，社會秩序和公共利益，國家安全的損害程度，確定其重要性。對于自主定級有困難的，也可以咨詢電力行業(yè)保測評機(jī)構(gòu)等單位。

3.2.3 等級保護(hù)的實(shí)施與管理

解讀：第三章對電力行業(yè)等級保護(hù)的實(shí)施過程做了詳細(xì)闡述。電力信息系統(tǒng)運(yùn)營、使用單位應(yīng)按《實(shí)施指南》（GB/T 25058-2010）開展等保工作。具體包括定級、備案、安全建設(shè)/整改、等級測評、監(jiān)督檢查幾個方面。

系統(tǒng)的定級和備案由電力信息系統(tǒng)運(yùn)營、使用單位采用“自主定級、自主保護(hù)”的原則確定，各區(qū)域（?。﹥?nèi)的電力企業(yè)的系統(tǒng)定級結(jié)果報國家能源局派出機(jī)構(gòu)備案。

安全建設(shè)/整改（參見第十條）可請專業(yè)機(jī)構(gòu)等實(shí)施。

系統(tǒng)建設(shè)完成后需請符合規(guī)定（參見第十九條）第三方專業(yè)機(jī)構(gòu)進(jìn)行測評。

監(jiān)督檢查根據(jù)系統(tǒng)安全保護(hù)級別確定是自主保護(hù)還是上級監(jiān)管部門及其授權(quán)的派出機(jī)構(gòu)負(fù)責(zé)。

3.2.4 信息安全等級保護(hù)的密碼管理

解讀：第四章對等級保護(hù)的密碼管理進(jìn)行了詳細(xì)闡述。對涉及國家秘密的系統(tǒng)采用秘密保護(hù)，應(yīng)該報國家密碼管理局審批，并按要求涉及、使用和管理。

3.2.5 法律責(zé)任

解讀：第五章明確了電力信息系統(tǒng)等級保護(hù)工作中監(jiān)管部門、工作人員及各單位違反規(guī)定的懲處措施。

4 結(jié)語

《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法（國能安全[2014]317號）》和《電力行業(yè)信息安全等級保護(hù)管理辦法（國能安全[2014]318號）》，跟《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定（發(fā)改委2014年14號令）》和《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案（國能安全[2015]36號文）一同，構(gòu)成了電力行業(yè)信息安全防護(hù)體系文件，體現(xiàn)了電力行業(yè)標(biāo)準(zhǔn)跟國家標(biāo)準(zhǔn)的基本差異，突出了電力行業(yè)業(yè)務(wù)特色和管理特征。

參考文獻(xiàn)

[1] 王棟，劉識，王懷宇.電力行業(yè)三級信息系統(tǒng)等級保護(hù)典型設(shè)計(jì)研究[J].電力信息與通信技術(shù)，2012（8）：81-84.

[2] 楊燕.關(guān)于信息安全等級保護(hù)在電力信息系統(tǒng)中的應(yīng)用分析[J].工業(yè)，2016（11）：139.

[3] 范鷹.信息安全等級保護(hù)在電力信息系統(tǒng)中的應(yīng)用[J].低碳世界，2015（30）：59-60.