关于加强网络与信息安全保障工作的意见

2013-10-31 10:04:36 EP电力信息化网　点击量：评论 (0)

随着信息技术的广泛应用，网络与信息系统的基础性、全局性作用日益增强，网络与信息安全已成为电网安全的重要组成部分。近年来，国家电网公司的网络与信息安全保障工作取得了一定成效，并多次受到了国家有

随着信息技术的广泛应用，网络与信息系统的基础性、全局性作用日益增强，网络与信息安全已成为电网安全的重要组成部分。近年来，国家电网公司的网络与信息安全保障工作取得了一定成效，并多次受到了国家有关部门的表彰。

　　但是必须看到，公司系统的网络与信息安全保障工作在安全管理、技术防护、应急防范、资金投入、人员素质、规章制度、员工意识等方面仍存在一些亟待解决的问题。与此同时，有害信息传播的方法和手段日趋多样化，病毒入侵和网络攻击仍时有发生，安全形势比较严峻，已影响到公司信息化建设的健康发展，甚至威胁到电网的安全。为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》，按照电网安全生产的要求强化网络与信息安全的管理，进一步提高公司网络与信息安全保障工作的能力和水平，结合公司系统的实际情况，现提出以下要求。

一、加强对网络与信息安全保障工作的领导，建立健全信息安全管理责任制

　　各单位要进一步加强网络与信息安全工作的组织领导工作，明确工作界面和职责，归口管理与分工协作相结合，健全信息安全管理责任制，将网络与信息安全工作纳入安全生产责任制进行考核，对在网络与信息安全保障工作中表现突出的先进单位和个人进行表彰和奖励。各单位主要负责人作为本单位网络与信息安全第一责任人，要切实加强各级信息安全管理责任制的完善和考核。各单位信息化领导小组要加大对网络与信息安全重大事项的指导和协调力度。信息化管理部门作为本单位网络与信息安全管理工作的归口管理部门，应进一步履行起责任，做好本单位及下属单位网络与信息安全的指导、协调、检查、监督和考核工作。其它各部门要在各自的职责范围内，分工协作，相互沟通，配合信息化管理部门共同做好网络与信息安全保障工作。

二、联合防护，协同处置，共同做好电力系统的网络与信息安全保障工作

公司系统各单位间通过国家电网公司通信网络系统和国家电力调度数据网、国家电网公司信息网相互连接，同时由于历史原因和业务需要公司与中国南方电网有限公司、五大发电集团公司等其它电力企业的信息系统之间同样存在大量网络连接和数据交换，由于网络与信息安全事件存在网络性、易于传播的特点，因此各单位一方面要在公司的统一领导和部署下，分级管理，逐级负责，做好本单位的网络与信息安全保障工作;另一方面要与上下级单位、公司系统其它单位、其它电力企业主动沟通，规范接口关系，明确各自职责，加强分工协作，统一步调，联合进行防护，共同做好电力系统的网络与信息安全保障工作，确保电网和并网电厂的安全稳定运行。

三、认真贯彻国家和公司有关规定，加强网络与信息安全制度和标准建设，强化网络和信息系统的运行管理和上网信息的流程管理

　　在目前各单位网络与信息系统的安全防护整体水平还不是很高的现实情况下，尤其要通过强化管理措施来弥补技术上的不足。要按照"三分技术，七分管理"的原则，加强在公司系统应用和贯彻实施有关国际标准和国家标准的研究，加快网络与信息安全各项制度的建设，尽快形成一套较完善的有关网络与信息安全工作的规章制度和标准，并对制度的执行情况定期进行检查，强化执行情况的监督和考核。

　　要严格执行国家经贸委30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》，确保计算机监控系统与管理信息系统的有效隔离，确保电力调度专用数据网络与互联网的物理隔离，及时补充、完善已有的网络与信息安全防范措施和应急处置预案，加强防范不法分子对电网和电厂计算机监控系统及调度专用数据网络的攻击和破坏。

　　按照《国家电网公司调度数据网运行管理规定》、《电力系统通信管理规程》、《国家电网公司信息网运行管理规定(试行)》、《国家电网公司信息网络运行管理规程(试行)》、《国家电网公司数据备份与管理规定》等公司有关规定的要求，加强信息系统投运、更新、升级、改造过程中的安全管理，安全测试后才能上线运行;规范信息系统的操作，实行流程化管理和工作票管理制度，建立和完善系统的运行日志和操作记录;加强对信息上网的管理，制定严格的工作流程;做好信息系统，尤其是重要信息系统的数据备份和介质管理工作。

四、统筹规划，突出重点，实行信息安全等级保护

　　要加强科学规划，不断完善通信、网络、数据存储和备份等信息基础设施，加强安全技术措施的建设，改进系统的安全功能。在新建、扩建、改建电网项目时，同步考虑配套网络与信息系统的建设，做到"同步设计、同步施工、同步投产使用"。将网络与信息安全建设作为信息化建设的有机组成部分，与信息化建设同步规划、同步建设。

　　要综合平衡安全成本和风险，按照国家有关实行信息安全等级保护的要求和规定，结合电网和本单位的特点，研究制定网络与信息系统的安全等级保护制度，合理划分安全区域，界定信息系统的安全等级，制定各安全等级的安全区域和信息系统应采取的安全策略、安全措施及安全管理制度。按照"突出重点，逐步完善"的原则，综合平衡安全成本和风险，首先重点做好关键区域、关键系统的安全保护，逐步完善重要和一般区域、信息系统的安全保护措施。公司也将制定安全防护的总体方案以进一步加强对公司网络与信息安全工作的指导。

五、建设和完善信息安全监控体系，强化网络与信息安全信息通报机制和应急处置机制

　　信息安全监控是及时发现和处置网络攻击，防止计算机病毒和有害信息传播，对网络和系统实施保护的重要手段。公司系统各单位要根据实际情况建立和完善信息安全监控系统，并及时进行更新，还没有安装网络防病毒系统的单位必须制定计划尽快落实。

　　各单位要明确网络与信息安全信息通报和应急处置工作中的有关部门和人员，在去年"十六大"和今年"两会"网络与信息安全保障工作的基础上进一步完善不同部门、单位间的信息安全信息共享和相互通报制度以及下级单位向上级单位的报告制度，明确和规范各自的界面和职责，建立相互间的沟通和协调渠道，形成整个公司系统的上下联动、反应迅速、快速处理的网络与信息安全信息共享和事件的发现通报、预警和处置机制，并与其它电力企业相互协作，形成整个电力系统网络与信息安全事件的通报机制。发生网络与信息安全重大事件，各单位在按原有管理渠道进行通报的同时要及时向公司科技信息部报告。

　　加强网络和信息系统应急处置预案的制定，根据系统运行的实际情况及时补充和完善，定期进行预案的演练，保证预案的时效性和可操作性。

六、推动信息安全评估工作，广泛开展自查自评

　　信息安全风险评估是信息安全建设的起点和基础，各单位要充分重视网络与信息系统的安全评估工作，并把它作为安全工作的基础来抓，安全评估工作要贯穿到系统建设的可研、设计、验收、上线运行、升级改造的全过程，并同本单位的工作总结、安全检查等结合起来，作为一项经常性工作，建立健全长效机制。不断提高网络与信息系统的安全水平。自评估应作为网络与信息系统安全评估工作的主要方式。要加快信息安全评估队伍和技术条件的建设，为安全评估工作提供强有力的技术和人才保证。

七、保证网络与信息安全资金投入

　　各单位要建立稳定的资金渠道，按照网络与信息系统建设规模的一定比例，保证网络与信息安全的资金投入。信息安全建设资金应列入本单位的预算，网络与信息系统的运行维护费用要在年度成本预算中单独列支。同时，在科技项目中加强对网络与信息安全保障体系关键技术的研究。

八、加快网络与信息安全人才培养，提高全体员工的网络与信息安全意识

　　做好网络与信息安全工作，必须有一批高素质的网络与信息安全管理和技术人才，同时也必须得到全体员工的积极参与和支持。

　　要加快网络与信息安全管理和技术人才的培养工作，明确网络与信息安全专责人员的编制和岗位，逐步建立上岗前培训和定期培训制度。

　　要加强对全体员工的网络与信息安全意识教育。采用多种形式(如在网站上开设信息安全专栏，举办网络与信息安全知识讲座等)广泛宣传网络与信息安全知识，普及关于网络与信息安全的基本常识和基本技能。网络与信息安全防范工作的有关要求应写入员工的工作守则，其表现应纳入员工的岗位责任制。

九、加强电网企业网络与信息安全技术的研究开发工作

　　公司所属各科研院所要密切关注安全新技术的发展趋势和各种新技术、新业务的应用对网络与信息安全的影响，加强对适合于电网企业的网络与信息安全技术及其应用的研究开发，加快研制电力信息安全产品，全面提高咨询和服务能力，更好地起到开发与技术创新中心、技术咨询与服务中心、人才培养中心、成果转化中心的作用。

　　公司将逐步实现关键信息安全产品的评测制度。