• <strike id="a3iqs"></strike>

      <progress id="a3iqs"><big id="a3iqs"></big></progress>

        等級測評

        等級測評

        在電力行業信息安全等級保護測評中心的統一部署下,依據國家信息安全等級保護政策和標準以及電力行業的統一要求,對電力行業內等保定級系統進行測評,以確定信息系統安全保護能力是否達到相應等級基本要求,識別安全等級差距,為信息系統進行等級保護規劃、設計、實施、運維提供全面的技術支持和監管保障,推動電力行業信息安全工作的全面、深入開展。

        1、為什么要開展等級測評工作?

          等級保護包含:定級、備案、測評、建設整改、監督檢查5個環節,每個環節環環相扣;等級測評結果是建設整改、監督檢查的關鍵依據。等級測評是依據《信息系統安全等級保護測評要求》等技術標準,確定信息系統安全保護能力是否達到相應等級基本要求的過程,是落實信息安全等級保護制度的關鍵步驟。等級測評依據的是國家技術標準,落實的是國家信息安全政策,等級測評的結果是國家信息安全監管部門依法行使監督、檢查管理的技術依據,具有明顯的技術權威評判性質。

        2、電力系統如何開展等級測評工作?

          電力行業是關系到國家安全和社會穩定的基礎性行業,電力行業信息化程度相對較高,是首批國家信息安全等級保護的重點行業。電力行業的網絡與信息安全是電力安全的重要組織部分,與電力生產安全工作相銜接。電力生產系統實時在線運行,對系統可靠性、安全性要求高;同時,電力行業獨特的安全需求也對等保測評工作中可能帶來的安全風險提出了非常高的可控要求。因此,電力行業的等級測評工作應體現電力行業特色,同時對測評機構以及測評過程應嚴格控制。
        電力行業信息安全測評中心采取測試、評審分離的工作模式,嚴把評審關,測試則委托電力行業內具備等保測評資格的實驗室,按照電力行業統一的電力行業等保實施細則、工作流程和指南等規范性文件開展工作。

        3、如何選擇能夠承擔信息系統安全等級保護測評具有國家有關資質的測評機構?

          根據《信息安全等級保護管理辦法》第十四條規定,信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。目前公安部授權電監會信息中心組建電力行業信息安全等級保護測評中心,作為電力行業唯一的信息系統安全等級保護測評實施單位。《信息安全等級保護管理辦法》在第二十二條明確了對于等級保護測評機構的要求條件。

        4、等級保護測評的適用對象?

          按照國家等級保護要求,《信息安全等級保護管理辦法》(公通字[2003]43號)中明確規定,第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評。信息系統運營、使用單位及其主管部門應當每年至少進行一次自查,第四級信息系統應當每半年至少進行一次自查,第五級信息系統應當依據特殊安全需求進行自查。經測評或自查,信息系統安全狀況未達到安全保護等級要求的,運用、使用單位應當指定方案進行整改。” 同時,用戶單位在辦理信息系統安全保護等級備案手續時,第三級及以上信息系統應當同時提供測評后符合系統安全保護等級的技術測評報告。

        5、信息系統安全等級保護測評的收費標準?

          按照公安部規定的收費標準進行,電力行業各個測評實驗室實行統一的收費標準。

        6、在系統建設階段如何進行系統保護方案設計?

          根據等級保護要求進行信息系統安全的設計是系統建設前必須完成的工作。設計分為總體安全設計和詳細安全設計。總體設計指導全局,一般針對整個單位,詳細設計指導具體項目的建設實施。具體系統保護方案設計的方法和實施步驟請參考《信息系統安全等級保護實施指南》內“總體安全設計”章節。

        7、對于已建成并投入運行的系統如何找出現有安全防護與相應等級基本要求的差距?

        對于信息系統目前保護措施與《基本要求》之間的差距,主要根據以下三個方面的分析評估:
        7.1、根據確定的安全保護等級,參照前述的安全需求分析方法,確定本系統的總體安全需求,其中包括經過調整的等級保護基本要求和本單位的特殊安全需求。
        7.2、由信息系統的運營使用單位自己組織人員或由第三方評估機構采用等級測評方法對信息系統安全保護現狀與等級保護基本要求進行符合性評估,得到與相應等級要求的差距項。
        7.3、針對滿足特殊安全需求(包括采用高等級的控制措施和采用其它標準的要求的)的安全措施進行符合性評估,得到與滿足特殊安全需求的差距項。

        8、如何根據差距分析結果設計系統的改建方案?

          系統改建方案設計的主要依據是安全需求分析的結果,和對信息系統目前保護措施與《基本要求》的差距的分析和評估。因而改建實施方案設計包括以下四個方面的內容:
        8.1、確定系統改建的安全需求
        8.2、差距原因分析
        8.3、分類處理的改建措施。
        8.4、改建措施詳細設計。

        9、信息系統安全等級保護管理設計主要考慮哪些內容?

          結合系統實際安全管理需要和技術建設內容,確定安全管理建設的范圍和內容,同時注意與信息系統安全總體方案的一致性。安全管理設計的內容主要考慮:安全管理機構和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。

        10、具有哪些不符合情況之一的,運營使用單位須進行整改?

        具有下列情形之一的,公安機關通知其運營使用單位限期整改:
        (一) 未按照《管理辦法》開展信息系統定級工作的;
        (二) 信息系統安全保護等級定級不準確的;
        (三) 未按《管理辦法》規定備案的;
        (四) 備案材料與備案單位、備案系統不符合的;
        (五) 未按要求及時提交《信息系統安全等級保護備案登記表》表四的有關內容的;
        (六) 系統發生變化,安全保護等級未及時進行調整并重新備案的;
        (七) 未按《管理辦法》規定落實安全管理制度、技術措施的;
        (八) 未按《管理辦法》規定開展安全建設整改和安全技術測評的;
        (九) 未按《管理辦法》規定選擇使用信息安全產品和測評機構的;
        (十) 未定期開展自查的;
        (十一) 違反《管理辦法》其他規定的。

        乐都彩票