立即注册
 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

CopyRight 2012-2014 DS文库版权所有
公司第三级信息系统等级保护测评与整改探讨
(0 次评价)97 人阅读0 次下载
1 公司第三级信息系统 等级保护测评与整改探讨 摘 要: 江苏常熟发电有限公司七个生产控制系统(#1DCS 系统~#6DCS 系统、SIS 系统)备案、定级为第三级信息 系统,根据国家信息安全等级保护制度规定,第三级及以上信息系统每年应委托有资质的测评机构对安全防护情况进行 测评,测评后根据不同风险类别还应制定整改方案,并进行整改。由于等级保护测评工作在我国开展较晚,特别是生产 控制系统的等级保护测评机构水平参差不齐,为了确保发电机组的安全生产,必须小心谨慎得选择测评机构及进行测评 工作。如何对生产控制系统进行定级、测评及整改,本文根据公司近几年的测评、整改情况,进行了探讨。 关键词:DCS 系统; SIS 系统;信息系统等级保护测评 引言 等级保护是我国关于信息安全的基本政策,《国家信息化领导小组关于加强信息安全保障工作的意见》(中 办发[2003]27 号)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制 度,制定信息安全等级保护的管理办法和技术指南” 。2007 年 6 月发布的关于印发《信息安全等级保护管理 办法》的通知(公通字[2007]43 号)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息 安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操 作办法。我公司于 2007 年 8 月对#1DCS 系统、#2DCS 系统、#3DCS 系统、#4DCS 系统、SIS 系统到江苏省公安 厅进行了三级系统备案,并于 2009 年取得了五个三级系统的定级报告。根据《关于推动信息安全等级保护测 评体系建设和开展等级测评工作的通知》 (公信安[2010]303 号) 、 《关于开展信息安全等级保护安全建设整改 工作的指导意见》(公信安[2009]1429 号)江苏常熟发电有限公司于 2012 年首次启动了第三级信息系统测评 工作。 信息系统测评方案 2011 年 4 月,我参加了由电监会组织的在厦门举办的电力行业信息安全等级保护培训班,学习了由公安 部信息安全等级保护评估中心编著的 《信息安全等级保护政策培训教程》 , 大致了解了信息安全等级保护制度 主要内容,熟悉了等级保护的主要环节:定级、备案、安全建设整改、等级测评和监督检查五个环节。 根据《信息系统安全等级保护基本要求》分为基本技术要求和基本管理要求两大类, 其中技术要求又分为物理安全、网络安全、主机安全、应用安全及数据安全及其备份恢复五个方面,管 理要求又分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。技术 要求主要包括身份鉴别、自主访问控制、强制访问控制、安全审计、完整性和保密性保护、边界防护、恶意 代码防范、密码技术应用等,以及物理环境和设施安全保护要求。管理要求主要包括确定安全策略,落实信 息安全责任制,建立安全组织机构,加强人员管理、系统建设和运行维护的安全管理。提出了机房安全管理、 网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、 安全监测、备份与恢复管理、应急处置管理、密码管理、安全审计管理等基本安全管理制度要求,提出了建

打分:

0 星

用户评论:

电力科技在线 (英文缩写etmtch) 在广大电力企事业单位的支持下,无疑更将电力科技的作用与价值推向更深、更高和更广。作为电力行业科技领域的专业媒体《电力科技在线》(www.etmtch.org.cn)更须肩负责任,进一步完成建设沟通和推广平台的同时,树立更有深意的目标,发挥推动电力科技在创新体制、制度、思维、技术以及成果应用的现实作用,为电力产业的智能化未来贡献更大的价值。

合作方式