電力行業(yè)如何開展等級保護測評
等保2.0新標準出現(xiàn),等級保護開展工作的范圍向網(wǎng)絡相關的周邊延伸。其中,電力行業(yè)也是其中之一。由于現(xiàn)代化社會,無論是互聯(lián)網(wǎng),還是工業(yè)生產(chǎn),電力都是基礎。因此,一旦電力行業(yè)出現(xiàn)問題,容易出現(xiàn)連環(huán)性的工業(yè)停產(chǎn)、以及影響居民的正常生活,需要引起重視。那么,開展電力行業(yè)的等級保護測評工作,有什么標準規(guī)范可以參考呢?
國能安全[2014]318號文《電力行業(yè)信息安全等級保護管理辦法》對中國電力行業(yè)的信息安全等級保護工作,做了明確規(guī)定。包括總則、等級劃分與保護、等級保護的實施與管理、信息安全等級保護的密碼管理、法律責任、附則等六個章節(jié)。
電力行業(yè)信息安全等級保護測評工作,除了參考《GB/T22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求》之外,還應參考《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》、《電力監(jiān)控系統(tǒng)安全防護規(guī)定》、《電力監(jiān)控系統(tǒng)安全防護整體方案》等電力行業(yè)標準規(guī)范。國家能源局要求電力行業(yè)信息安全等級保護工作,跟電力監(jiān)控系統(tǒng)安全防護評估工作,同步開展實施,“一次測評、兩份報告”,報告應采用電力行業(yè)專用模板。所以,社會上一般的信息安全等級保護測評機構,一般很難達到電力行業(yè)的專業(yè)性技術要求。
那么,選擇電力行業(yè)的測評機構或者第三方公司時,需要注意查看以下內容:
《電力行業(yè)信息安全等級保護管理辦法》第十九條對承擔第二級及以上電力信息系統(tǒng)的測評機構提出了明確要求。1)因為電力行業(yè)信息系統(tǒng)尤其是電力監(jiān)控系統(tǒng)的專業(yè)特殊性,測評機構應從事電力信息系統(tǒng)相關檢測評估工作至少兩年以上,并無違法記錄;2)從事電力信息系統(tǒng)等級保護測評工作的技術人員、測評機構必須在國家能源局備案,必須通過國家能源局的考核評估。
管理辦法的第十二條要求:第三級及以上電力信息系統(tǒng)的測評報告,應組織電力行業(yè)信息安全等級保護專家評審,并報國家能源局備案。目前,社會上的信息安全測評機構,也沒有嚴格執(zhí)行該條款,損害了最終用戶的權益。
電力開展等級保護測評工作,不僅僅是因為國家要求你這樣做,更是一家合格的電力供給公司需要自主做好的一項的工作。因為,電力和水,一旦短缺,很容易影響人們的生活。長時間無法提供的話,容易帶來社會恐慌,后果很嚴重。