關于加強網絡與信息安全保障工作的意見

2013-10-31 10:04:36 EP電力信息化網　點擊量：評論 (0)

隨著信息技術的廣泛應用，網絡與信息系統的基礎性、全局性作用日益增強，網絡與信息安全已成為電網安全的重要組成部分。近年來，國家電網公司的網絡與信息安全保障工作取得了一定成效，并多次受到了國家有

隨著信息技術的廣泛應用，網絡與信息系統的基礎性、全局性作用日益增強，網絡與信息安全已成為電網安全的重要組成部分。近年來，國家電網公司的網絡與信息安全保障工作取得了一定成效，并多次受到了國家有關部門的表彰。

　　但是必須看到，公司系統的網絡與信息安全保障工作在安全管理、技術防護、應急防范、資金投入、人員素質、規章制度、員工意識等方面仍存在一些亟待解決的問題。與此同時，有害信息傳播的方法和手段日趨多樣化，病毒入侵和網絡攻擊仍時有發生，安全形勢比較嚴峻，已影響到公司信息化建設的健康發展，甚至威脅到電網的安全。為了貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》，按照電網安全生產的要求強化網絡與信息安全的管理，進一步提高公司網絡與信息安全保障工作的能力和水平，結合公司系統的實際情況，現提出以下要求。

一、加強對網絡與信息安全保障工作的領導，建立健全信息安全管理責任制

　　各單位要進一步加強網絡與信息安全工作的組織領導工作，明確工作界面和職責，歸口管理與分工協作相結合，健全信息安全管理責任制，將網絡與信息安全工作納入安全生產責任制進行考核，對在網絡與信息安全保障工作中表現突出的先進單位和個人進行表彰和獎勵。各單位主要負責人作為本單位網絡與信息安全第一責任人，要切實加強各級信息安全管理責任制的完善和考核。各單位信息化領導小組要加大對網絡與信息安全重大事項的指導和協調力度。信息化管理部門作為本單位網絡與信息安全管理工作的歸口管理部門，應進一步履行起責任，做好本單位及下屬單位網絡與信息安全的指導、協調、檢查、監督和考核工作。其它各部門要在各自的職責范圍內，分工協作，相互溝通，配合信息化管理部門共同做好網絡與信息安全保障工作。

二、聯合防護，協同處置，共同做好電力系統的網絡與信息安全保障工作

公司系統各單位間通過國家電網公司通信網絡系統和國家電力調度數據網、國家電網公司信息網相互連接，同時由于歷史原因和業務需要公司與中國南方電網有限公司、五大發電集團公司等其它電力企業的信息系統之間同樣存在大量網絡連接和數據交換，由于網絡與信息安全事件存在網絡性、易于傳播的特點，因此各單位一方面要在公司的統一領導和部署下，分級管理，逐級負責，做好本單位的網絡與信息安全保障工作;另一方面要與上下級單位、公司系統其它單位、其它電力企業主動溝通，規范接口關系，明確各自職責，加強分工協作，統一步調，聯合進行防護，共同做好電力系統的網絡與信息安全保障工作，確保電網和并網電廠的安全穩定運行。

三、認真貫徹國家和公司有關規定，加強網絡與信息安全制度和標準建設，強化網絡和信息系統的運行管理和上網信息的流程管理

　　在目前各單位網絡與信息系統的安全防護整體水平還不是很高的現實情況下，尤其要通過強化管理措施來彌補技術上的不足。要按照"三分技術，七分管理"的原則，加強在公司系統應用和貫徹實施有關國際標準和國家標準的研究，加快網絡與信息安全各項制度的建設，盡快形成一套較完善的有關網絡與信息安全工作的規章制度和標準，并對制度的執行情況定期進行檢查，強化執行情況的監督和考核。

　　要嚴格執行國家經貿委30號令《電網和電廠計算機監控系統及調度數據網絡安全防護規定》，確保計算機監控系統與管理信息系統的有效隔離，確保電力調度專用數據網絡與互聯網的物理隔離，及時補充、完善已有的網絡與信息安全防范措施和應急處置預案，加強防范不法分子對電網和電廠計算機監控系統及調度專用數據網絡的攻擊和破壞。

　　按照《國家電網公司調度數據網運行管理規定》、《電力系統通信管理規程》、《國家電網公司信息網運行管理規定(試行)》、《國家電網公司信息網絡運行管理規程(試行)》、《國家電網公司數據備份與管理規定》等公司有關規定的要求，加強信息系統投運、更新、升級、改造過程中的安全管理，安全測試后才能上線運行;規范信息系統的操作，實行流程化管理和工作票管理制度，建立和完善系統的運行日志和操作記錄;加強對信息上網的管理，制定嚴格的工作流程;做好信息系統，尤其是重要信息系統的數據備份和介質管理工作。

四、統籌規劃，突出重點，實行信息安全等級保護

　　要加強科學規劃，不斷完善通信、網絡、數據存儲和備份等信息基礎設施，加強安全技術措施的建設，改進系統的安全功能。在新建、擴建、改建電網項目時，同步考慮配套網絡與信息系統的建設，做到"同步設計、同步施工、同步投產使用"。將網絡與信息安全建設作為信息化建設的有機組成部分，與信息化建設同步規劃、同步建設。

　　要綜合平衡安全成本和風險，按照國家有關實行信息安全等級保護的要求和規定，結合電網和本單位的特點，研究制定網絡與信息系統的安全等級保護制度，合理劃分安全區域，界定信息系統的安全等級，制定各安全等級的安全區域和信息系統應采取的安全策略、安全措施及安全管理制度。按照"突出重點，逐步完善"的原則，綜合平衡安全成本和風險，首先重點做好關鍵區域、關鍵系統的安全保護，逐步完善重要和一般區域、信息系統的安全保護措施。公司也將制定安全防護的總體方案以進一步加強對公司網絡與信息安全工作的指導。

五、建設和完善信息安全監控體系，強化網絡與信息安全信息通報機制和應急處置機制

　　信息安全監控是及時發現和處置網絡攻擊，防止計算機病毒和有害信息傳播，對網絡和系統實施保護的重要手段。公司系統各單位要根據實際情況建立和完善信息安全監控系統，并及時進行更新，還沒有安裝網絡防病毒系統的單位必須制定計劃盡快落實。

　　各單位要明確網絡與信息安全信息通報和應急處置工作中的有關部門和人員，在去年"十六大"和今年"兩會"網絡與信息安全保障工作的基礎上進一步完善不同部門、單位間的信息安全信息共享和相互通報制度以及下級單位向上級單位的報告制度，明確和規范各自的界面和職責，建立相互間的溝通和協調渠道，形成整個公司系統的上下聯動、反應迅速、快速處理的網絡與信息安全信息共享和事件的發現通報、預警和處置機制，并與其它電力企業相互協作，形成整個電力系統網絡與信息安全事件的通報機制。發生網絡與信息安全重大事件，各單位在按原有管理渠道進行通報的同時要及時向公司科技信息部報告。

　　加強網絡和信息系統應急處置預案的制定，根據系統運行的實際情況及時補充和完善，定期進行預案的演練，保證預案的時效性和可操作性。

六、推動信息安全評估工作，廣泛開展自查自評

　　信息安全風險評估是信息安全建設的起點和基礎，各單位要充分重視網絡與信息系統的安全評估工作，并把它作為安全工作的基礎來抓，安全評估工作要貫穿到系統建設的可研、設計、驗收、上線運行、升級改造的全過程，并同本單位的工作總結、安全檢查等結合起來，作為一項經常性工作，建立健全長效機制。不斷提高網絡與信息系統的安全水平。自評估應作為網絡與信息系統安全評估工作的主要方式。要加快信息安全評估隊伍和技術條件的建設，為安全評估工作提供強有力的技術和人才保證。

七、保證網絡與信息安全資金投入

　　各單位要建立穩定的資金渠道，按照網絡與信息系統建設規模的一定比例，保證網絡與信息安全的資金投入。信息安全建設資金應列入本單位的預算，網絡與信息系統的運行維護費用要在年度成本預算中單獨列支。同時，在科技項目中加強對網絡與信息安全保障體系關鍵技術的研究。

八、加快網絡與信息安全人才培養，提高全體員工的網絡與信息安全意識

　　做好網絡與信息安全工作，必須有一批高素質的網絡與信息安全管理和技術人才，同時也必須得到全體員工的積極參與和支持。

　　要加快網絡與信息安全管理和技術人才的培養工作，明確網絡與信息安全專責人員的編制和崗位，逐步建立上崗前培訓和定期培訓制度。

　　要加強對全體員工的網絡與信息安全意識教育。采用多種形式(如在網站上開設信息安全專欄，舉辦網絡與信息安全知識講座等)廣泛宣傳網絡與信息安全知識，普及關于網絡與信息安全的基本常識和基本技能。網絡與信息安全防范工作的有關要求應寫入員工的工作守則，其表現應納入員工的崗位責任制。

九、加強電網企業網絡與信息安全技術的研究開發工作

　　公司所屬各科研院所要密切關注安全新技術的發展趨勢和各種新技術、新業務的應用對網絡與信息安全的影響，加強對適合于電網企業的網絡與信息安全技術及其應用的研究開發，加快研制電力信息安全產品，全面提高咨詢和服務能力，更好地起到開發與技術創新中心、技術咨詢與服務中心、人才培養中心、成果轉化中心的作用。

　　公司將逐步實現關鍵信息安全產品的評測制度。