广东电网公司全力开展信息安全等级保护工作为重要业务系统安全提供了有效保障
发布时间:2011-10-18   作者:佚名

广东电网公司作为目前全国最大的省级电网公司,高度重视信息安全保障体系建设工作,目前已基本建成全省电网统一的信息安全保障体系。2007 年以来,在广东省公安厅和南方电网公司等部门的指导下,广东电网公司按照国家信息安全等级保护工作的总体部署和要求,认真组织全公司开展等级保护工作,有效提高了重要信息系统安全保护能力,有效保障了供电业务安全。特别是以等级保护工作为抓手,通过组织开展信息系统定级备案、等级测评和安全建设整改等工作,实现了公司信息网络安全工作常态化、规范化、制度化。公司在2010年和2011年,顺利完成了亚运会和大运会两项重要体育赛事的信息安全保障工作,实现“三个零”(信息安全零事件、信息系统运行零事故、重要数据网络零泄露)的工作目标。


一、高度重视、精心组织,形成有本单位特色的信息安全等级保护总体思路和实施方法


广东电网公司领导充分认识到开展信息安全等级保护工作的重要性和紧迫性,高度重视此项工作,始终坚持将信息安全等级保护工作纳入企业信息化工作的整体布局中,将信息安全等级保护工作与信息化工作同步规划、同步实施、同步考核。2007年以来,公司在信息安全等级保护工作方面共投入约6000人/日的工作量,并在公司信息中心安排了8人专职负责等级保护测评等相关工作。


针对信息安全等级保护工作专业性和政策性强等特点,公司依据国家等级保护总体要求并结合自身组织机构特点,不断探索,形成一套具有公司特色的等级保护总体思路和实施方法,编制印发了《广东电网公司信息安全等级保护实施方案》,提出等级保护工作的总体思路,狠抓等级保护培训教育,以信息系统定级为基础,强化规划设计、加大测评力度,统抓管理与技术建设。整体工作遵照定级备案、设计、信息安全建设(整改)、等级测评、深化应用等几个方面进行,并对相关工作持续改进,形成了从计划、实施到检测、改进的信息安全工作循环模型。


二、统筹部署、分步实施,初步建立起信息系统安全防护体系


(一)加强培训,提升信息安全素质。广东电网非常重视信息安全等级保护理论知识培训工作,积极筹办并参加公安机关、国家电监会、南方电网公司的各类信息安全等级保护培训班,对应用安全防护技术、渗透攻击技术、网络安全等内容进行研讨与实战演练。充分利用动漫、视频、海报、门户专栏、宣传册等各种平台和媒体,开展信息安全法律法规、基础知识等内容的宣传教育,提高员工信息安全意识。


(二)定期梳理,系统定级备案全面准确。广东电网公司按照“企业自主定级、聘请专家评审、主管部门审批、公安机关监督”的原则,开展信息系统定级备案工作。2008年,公司对本单位的信息系统进行了全面梳理,完成第一批共1569 个信息系统的定级工作(其中二级系统1246个、三级系统322个、四级系统1个)。2010年,公司完成第二批6个二级系统的定级和备案工作。2011 年,公司再次组织对各单位信息系统进行了全面梳理,邀请广东省公安厅及南方电网公司的相关专家对梳理的31类信息系统的安全保护级别进行审定,并组织开展第三批信息系统系统的定级备案工作。截至目前,广东电网共完成1120个系统补充定级工作,并向公安机关办理了备案。


(三)开展测评,提升系统安全防护水平。广东电网公司在系统定级、备案的基础上,2009 年统一组织对已备案管理的信息系统进行全面检查,制定整改方案,明确整改目标。2010年和2011年,公司聘请符合国家规定的第三方测评机构,对第二级以上信息系统进行等级测评工作,结果显示,公司已定级备案的信息系统均具备较高的安全防护水平,基本符合国家信息系统安全等级保护要求,具备较强的抵御风险能力。


(四)加强整改,提升安全防范能力。针对等级测评中发现的问题,广东电网公司全面开展安全建设和整改工作,逐步构建了“五道安全防线,八项控制措施”的全方位立体式信息安全防护体系。生产控制系统按照“安全分区、网络专用、横向隔离、纵向认证”的基本原则,制定了广东电网二次系统安全防护的实施方案,并认真组织落实。建成了专用的电力调度数据网,完成了与电力调度数据网互联的所有站点电力二次系统安全防护建设或改造工作。业务系统进行了安全分区,安全大区之间的网络边界通过电力专用隔离装置实现了安全隔离、控制区的纵向网络边界通过电力专用加密认证装置实现了网络数据传输的机密性和完整性保护。


三、明确职责、完善机制,深入推进信息安全等级保护工作开展


(一)明确职责分工,建立协调配合的工作机制。广东电网公司按照 “一体化”的工作思路,明确各部门(各单位)的职责分工,建立了自上而下、协调配合的工作机制。公司负责信息系统等级保护工作的各部门间职责清晰、分工明确;行政与技术部门相互配合、相互支撑,形成合力;条块管理相结合,责任到人、利于管理。


(二)建立年度测评机制,将信息安全等级测评工作常态化。等级测评是等级保护工作中的重要环节,为确保等级测评工作的顺利开展,广东电网公司建立了等级保护年度测评工作机制,在组织和资金方面给予有力保障,并将等级保护工作纳入到公司信息化日常工作中,成为年度的常态化工作。


(三)建立信息安全评价机制,提高整体安全保障水平。为更有效的推动信息安全建设,评价信息安全建设成效,广东电网公司建立了信息安全评价机制。基于等级测评的基础数据,公司对各测评指标进行分析和量化,计算出反映各单位信息安全水平的综合评价指标,用以评估每个单位的信息安全工作整体水平,并进行横向比较和差异性分析。2009年到2011年,公司连续三年开展信息安全评价工作,使各单位信息安全水平均大幅度提升。同时,信息安全评价通过横向、纵向的对比分析,对于公司及时发现信息安全建设中存在的问题,调整和制定信息安全建设策略,提高整体安全保障水平,发挥了重要作用。

文章来源:中国信息安全等级保护网
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号