作者:  | 日期:2008-07-10 | 来自: | 浏览:  

 嘉兴市电力局开展信息安全等级保护工作情况

嘉兴市电力局十分重视信息安全等级保护工作，根据《电力行业信息系统等级保护定级工作指导意见》、《关于公司信息系统安全等级保护定级的通知》和上级业务部门的工作部署，成立了由局一把手任组长的信息安全工作领导小组，落实了上至局领导、下至班组（个人）的信息安全责任，明确了电力行业信息安全等级保护的工作组织、法律依据、定级原理、定级方法和定级流程，建立了一整套基于ISO/IEC 27001:2005信息安全管理标准的信息安全管理体系，并在人力物力上加大倾斜，积极完成了局属30个相关业务系统的自定级、评审、备案工作，等级保护工作取得了初步成效。2007年全年，嘉兴市电力局未发生一、二类信息安全事件，信息系统广域网络覆盖率、广域网络及本地网络运行率、应用子系统平均运行率、信息事件处理率5个运行类指标均为100%。主要做法是：

一是明确系统的运维、管理部门，确保系统功能描述准确。该局明确信息系统安全等级保护定级工作由业务部门和运维部门共同承担。业务部门为信息安全定级责任部门，负责业务系统的功能确定、权限审核、版本升级等工作。运维部门负责信息网络、服务器操作系统、应用软件的运行和维护，并协助业务部门完成等级保护定级工作。

二是理顺了信息安全管理流程。该局对局属信息系统进行资产识别、风险评估、体系运行的PDCA（质量管理体系）过程管理，实现了持续改进。该成果已在浙江省电力系统全面推广。

三是系统业务表述清晰完整。明确了系统的管理、运维部门，每个系统的业务内容、数据流向分别都由负责的管理、运维部门提供，使得系统定级报告中业务内容翔实，数据流向清晰，系统受损后侵害的客体和程度非常明了，为专家组进行定级评审提供了方便。

四是自主定级、评审依据充分。该局按照国家电力公司“统一定级、统一审批、分别备案”的原则，积极配合电力二次系统安全等级保护定级专家组的工作。今年1月11日至12日，专家组对局属电力二次系统安全等级保护定级材料进行了评审，并一致认为嘉兴市电力局信息系统定级材料充分、详实，定级意见准确。

五是备案工作积极主动。在国家电力公司专家组评审以后，嘉兴市电力局主动将所有信息安全等级保护工作定级备案材料整理成册，及时向嘉兴市公安局网监部门进行备案。所属220kv变电站监控系统、220kv集控站系统等23个系统被定为三级系统，电能量计量系统、通讯设备网管系统等7个系统被定为二级系统。

六是将等级保护工作和风险评估、春秋季信息安全大检查和技术监督结合起来，以检查促建设。坚持每季的运行分析会，优化各项应用、配置，及时解决运行中出现的问题。认真分析自然灾害对信息系统的影响，多次开展了信息网络突发事件应急演练，既积累了经验又锻炼了专业队伍。目前，市电力局正在开展ISO/IEC 20000 IT服务业管理体系的建设和认证工作，确保信息系统的安全运行。