等级测评

等级测评

在电力行业信息安全等级保护测评中心的统一部署下,依据国家信息安全等级保护政策和标准以及电力行业的统一要求,对电力行业内等保定级系统进行测评,以确定信息系统安全保护能力是否达到相应等级基本要求,识别安全等级差距,为信息系统进行等级保护规划、设计、实施、运维提供全面的技术支持和监管保障,推动电力行业信息安全工作的全面、深入开展。

1、为什么要开展等级测评工作?

  等级保护包含:定级、备案、测评、建设整改、监督检查5个环节,每个环节环环相扣;等级测评结果是建设整改、监督检查的关键依据。等级测评是依据《信息系统安全等级保护测评要求》等技术标准,确定信息系统安全保护能力是否达到相应等级基本要求的过程,是落实信息安全等级保护制度的关键步骤。等级测评依据的是国家技术标准,落实的是国家信息安全政策,等级测评的结果是国家信息安全监管部门依法行使监督、检查管理的技术依据,具有明显的技术权威评判性质。

2、电力系统如何开展等级测评工作?

  电力行业是关系到国家安全和社会稳定的基础性行业,电力行业信息化程度相对较高,是首批国家信息安全等级保护的重点行业。电力行业的网络与信息安全是电力安全的重要组织部分,与电力生产安全工作相衔接。电力生产系统实时在线运行,对系统可靠性、安全性要求高;同时,电力行业独特的安全需求也对等保测评工作中可能带来的安全风险提出了非常高的可控要求。因此,电力行业的等级测评工作应体现电力行业特色,同时对测评机构以及测评过程应严格控制。
电力行业信息安全测评中心采取测试、评审分离的工作模式,严把评审关,测试则委托电力行业内具备等保测评资格的实验室,按照电力行业统一的电力行业等保实施细则、工作流程和指南等规范性文件开展工作。

3、如何选择能够承担信息系统安全等级保护测评具有国家有关资质的测评机构?

  根据《信息安全等级保护管理办法》第十四条规定,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。目前公安部授权电监会信息中心组建电力行业信息安全等级保护测评中心,作为电力行业唯一的信息系统安全等级保护测评实施单位。《信息安全等级保护管理办法》在第二十二条明确了对于等级保护测评机构的要求条件。

4、等级保护测评的适用对象?

  按照国家等级保护要求,《信息安全等级保护管理办法》(公通字[2003]43号)中明确规定,第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。经测评或自查,信息系统安全状况未达到安全保护等级要求的,运用、使用单位应当指定方案进行整改。” 同时,用户单位在办理信息系统安全保护等级备案手续时,第三级及以上信息系统应当同时提供测评后符合系统安全保护等级的技术测评报告。

5、信息系统安全等级保护测评的收费标准?

  按照公安部规定的收费标准进行,电力行业各个测评实验室实行统一的收费标准。

6、在系统建设阶段如何进行系统保护方案设计?

  根据等级保护要求进行信息系统安全的设计是系统建设前必须完成的工作。设计分为总体安全设计和详细安全设计。总体设计指导全局,一般针对整个单位,详细设计指导具体项目的建设实施。具体系统保护方案设计的方法和实施步骤请参考《信息系统安全等级保护实施指南》内“总体安全设计”章节。

7、对于已建成并投入运行的系统如何找出现有安全防护与相应等级基本要求的差距?

对于信息系统目前保护措施与《基本要求》之间的差距,主要根据以下三个方面的分析评估:
7.1、根据确定的安全保护等级,参照前述的安全需求分析方法,确定本系统的总体安全需求,其中包括经过调整的等级保护基本要求和本单位的特殊安全需求。
7.2、由信息系统的运营使用单位自己组织人员或由第三方评估机构采用等级测评方法对信息系统安全保护现状与等级保护基本要求进行符合性评估,得到与相应等级要求的差距项。
7.3、针对满足特殊安全需求(包括采用高等级的控制措施和采用其它标准的要求的)的安全措施进行符合性评估,得到与满足特殊安全需求的差距项。

8、如何根据差距分析结果设计系统的改建方案?

  系统改建方案设计的主要依据是安全需求分析的结果,和对信息系统目前保护措施与《基本要求》的差距的分析和评估。因而改建实施方案设计包括以下四个方面的内容:
8.1、确定系统改建的安全需求
8.2、差距原因分析
8.3、分类处理的改建措施。
8.4、改建措施详细设计。

9、信息系统安全等级保护管理设计主要考虑哪些内容?

  结合系统实际安全管理需要和技术建设内容,确定安全管理建设的范围和内容,同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑:安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。

10、具有哪些不符合情况之一的,运营使用单位须进行整改?

具有下列情形之一的,公安机关通知其运营使用单位限期整改:
(一) 未按照《管理办法》开展信息系统定级工作的;
(二) 信息系统安全保护等级定级不准确的;
(三) 未按《管理办法》规定备案的;
(四) 备案材料与备案单位、备案系统不符合的;
(五) 未按要求及时提交《信息系统安全等级保护备案登记表》表四的有关内容的;
(六) 系统发生变化,安全保护等级未及时进行调整并重新备案的;
(七) 未按《管理办法》规定落实安全管理制度、技术措施的;
(八) 未按《管理办法》规定开展安全建设整改和安全技术测评的;
(九) 未按《管理办法》规定选择使用信息安全产品和测评机构的;
(十) 未定期开展自查的;
(十一) 违反《管理办法》其他规定的。