发布时间 : 星期五 文章国家电网公司信息安全风险评估管理暂行办法更新完毕开始阅读337d62b50342a8956bec0975f46527d3240ca6cc
国家电网公司信息安全风险评估
管理暂行办法
第一章 总 则
第一条 为加强和规范国家电网公司(以下简称公司)信息安全风险评估工作,加强公司信息安全的全过程动态管理,进一步提高公司信息安全水平,根据国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》,特制定本办法。
第二条 公司信息安全风险评估是对公司一体化企业级信息系统的潜在威胁、薄弱环节、防护措施等进行分析评估,以识别信息安全风险,发现信息网络、信息系统的脆弱性和薄弱环节,提出有针对性的信息安全整改工作建议,提高信息系统整体防护水平。
第三条 公司一体化企业级信息系统包括一体化企业级信息集成平台和八大业务应用。一体化企业级信息集成平台(简称“一体化平台”)包含信息网络、数据交换、数据中心、应用集成和企业门户;八大业务应用包括财务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。
第四条 本办法适用于公司总部,各区域电网、省(自治区、直辖市)电力公司和公司直属单位(以下简称各单位)
- 1 --
信息安全风险评估工作。
第二章 职责分工
第五条 信息工作办公室(以下简称信息办)是公司信息安全风险评估工作的归口管理部门,主要职责:
(一) 负责贯彻落实国家有关部门要求,制定公司信息安全风险评估工作规范等文件;
(二) 负责统筹制定公司一体化企业级信息系统安全风险评估工作计划;
(三) 负责对各单位实施信息安全风险评估工作落实情况进行监督、检查;
(四) 负责组织以中国电力科学研究院和国网南京自动化研究院为主,公司有关人员参加的信息安全风险评估工作队伍/技术支撑单位,统筹开展公司各单位信息安全风险评估工作。
第六条 各单位负责本单位范围内信息网络和信息系统安全风险评估的具体实施工作,主要职责:
(一)细化本单位信息安全风险评估实施计划,落实工作组织机构;
(二)具体委托公司信息安全风险评估工作队伍/技术支撑单位,开展本单位范围内信息安全风险评估实施工作;
(三)根据评估结果提出信息安全加固与整改工作计划
- 2 --
报信息办批准后组织实施。
第七条 中国电力科学研究院和国网南京自动化研究院为公司信息安全风险评估工作队伍/技术支撑单位,主要职责:
(一)协助信息办制定和完善公司信息安全风险评估工作规范等文件编制工作;
(二)根据信息办要求,接受各单位委托,开展信息安全风险评估工作,承担具体信息安全风险评估任务;
(三)会同各单位完成信息安全风险评估报告。
第三章 内容和过程
第八条 信息安全风险评估包括资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。
第九条 各单位的信息安全风险评估实施总体分为启动准备、风险要素评估、风险计算分析建议、安全整改等四个阶段。
第四章 组织实施
第十条 公司信息安全风险评估分为自评估和检查评估。信息安全风险自评估工作周期为两至三年;等级保护级
- 3 --
别高的信息系统,按照国家有关部门要求开展信息安全风险自评估工作。检查评估工作根据国家有关部门要求,结合公司信息安全实际情况,不定期组织开展。
第十一条 各单位根据信息安全风险评估周期要求,结合本单位实际情况,于每年10月前提出下一年度信息安全风险自评估工作计划并报信息办。信息办结合公司各单位信息安全情况,统筹考虑并确定公司下一年度信息安全风险评估工作计划。
第十二条 对于纳入下一年度信息安全风险评估计划的单位要按照具体的时间要求,提前落实工作负责人,落实经费,联系风险评估技术支撑单位,细化工作计划,做好各项准备工作。
第十三条 各单位的信息安全风险评估工作要依据公司信息安全风险评估工作规范等文件,严格按照信息安全风险评估工作步骤、环节、内容,坚持信息安全风险评估标准,保证信息安全风险评估工作的科学性、规范性、客观性和实效性。
第十四条 各单位在开展信息安全风险评估工作时,对在线运行信息系统实施有关测试,要事前建立应急预案,落实应急措施,确保信息系统安全、可靠运行。对于因进行信息安全风险评估工作导致信息系统运行异常和故障的情况,要认真分析原因,提出改进措施,避免类似事件再次发生。
第十五条 各单位要高度重视信息安全风险评估专业
- 4 --