趙偉

摘 要：該文主要解讀了《電力行業(yè)網(wǎng)絡與信息安全管理辦法（國能安全[2014]317號）》和《電力行業(yè)信息安全等級保護管理辦法（國能安全[2014]318號）》兩個新近頒布的電力行業(yè)信息安全管理辦法文件。

關鍵詞：電力 信息安全防護 安全域 分級分域

中圖分類號：TM73 文獻標識碼：A 文章編號：1674-098X（2016）12（b）-0121-02

該文適用于能源行業(yè)信息安全監(jiān)管部門、各能源相關企業(yè)信息安全在崗人員、信息安全等級保護測評機構的管理與技術人員等。

1 定級信息系統(tǒng)劃分方式

由于國家電網(wǎng)公司的信息系統(tǒng)涉及業(yè)務范圍廣，應用面寬，為了體現(xiàn)重要業(yè)務應用重點保護，有效控制信息安全建設成本，優(yōu)化信息安全資源配置的等級保護工作原則，從管理、業(yè)務、物理位置和運行環(huán)境等方面綜合分析，對信息系統(tǒng)進行劃分。

從管理機構角度劃分。不同管理機構（總部、網(wǎng)省、地市公司）管理控制下的信息系統(tǒng)應分開作為不同的定級對象。

從業(yè)務類型角度劃分。根據(jù)不同業(yè)務應用的“相對獨立”性，劃分出信息系統(tǒng)的不同部分作為不同的定級對象。

2 定級信息系統(tǒng)分類

根據(jù)上述信息系統(tǒng)基本特征和信息系統(tǒng)劃分方式，結合國家電網(wǎng)公司工程一體化企業(yè)級信息系統(tǒng)定義，將國家電網(wǎng)公司信息系統(tǒng)劃分為一體化企業(yè)級信息集成平臺、財務管理、營銷及市場交易管理、安全生產(chǎn)管理、協(xié)同辦公、人力資源管理、物資管理、項目管理、綜合管理9類，總部、網(wǎng)省（直轄市）、地市3層，共69個信息系統(tǒng)。

3 標準解讀

3.1 電力行業(yè)網(wǎng)絡與信息安全管理辦法

3.1.1 總則

解讀：《電力行業(yè)網(wǎng)絡與信息安全管理辦法》對電力行業(yè)管理部門、電力企業(yè)等單位在電力行業(yè)網(wǎng)絡與信息安全保護工作中的職責與工作內容做出了明確規(guī)定。

第一章主要對電力行業(yè)網(wǎng)絡與信息安全的依據(jù)、目標和原則等做出了具體闡述。

3.1.2 監(jiān)督管理職責

解讀：第二章主要明確了國家能源局及其派出機構對電力行業(yè)網(wǎng)絡與信息安全工作的監(jiān)管責任。國家能源局主管電力行業(yè)網(wǎng)絡與信息安全工作，履行監(jiān)督管理職責，并明確了國家能源局監(jiān)督管理職責的主要內容。能源局派出機構根據(jù)授權，負責該轄區(qū)電力企業(yè)網(wǎng)絡與信息安全監(jiān)督管理。

3.1.3 電力企業(yè)職責

解讀：第三章主要闡述電力企業(yè)在電力行業(yè)網(wǎng)絡與信息安全工作的職責，明確了該單位的網(wǎng)絡與信息安全工作的責任主體：電力企業(yè)（適用于兩大電網(wǎng)公司、五大發(fā)電集團、中國核電和中廣核等兩家核電企業(yè)等）。網(wǎng)絡與信息安全的第一責任人：電力企業(yè)主要負責人。

3.1.4 監(jiān)督檢查

解讀：第四章主要闡述了國家能源局及其派出機構對電力企業(yè)網(wǎng)絡與信息安全工作進行監(jiān)督檢查的職責以及檢查時可采取的措施。

3.2 電力行業(yè)信息安全等級保護管理辦法

3.2.1 總則

解讀：《電力行業(yè)信息安全等級保護管理辦法》明確了電力行業(yè)信息安全等級保護制度的基本內容、流程及工作要求，明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護工作中的職責、任務，為開展信息安全等級保護工作提供了規(guī)范保障。

第一章為總則，闡述了電力行業(yè)開展等保的目的、電力行業(yè)管理部門和企業(yè)的職責與關系。

3.2.2 等級劃分與保護

解讀：第二章對電力行業(yè)信息安全等級的劃分和對應等級的保護做了詳細闡述。簡言之，電力企業(yè)依據(jù)等級劃分規(guī)定自主確定相應電力系統(tǒng)的安全保護等級，自主依據(jù)有關管理規(guī)定和技術標準對其進行保護。等級劃分以信息系統(tǒng)的重要性為依據(jù)，通過評估系統(tǒng)受到破壞后對公民、法人和其他組織，社會秩序和公共利益，國家安全的損害程度，確定其重要性。對于自主定級有困難的，也可以咨詢電力行業(yè)保測評機構等單位。

3.2.3 等級保護的實施與管理

解讀：第三章對電力行業(yè)等級保護的實施過程做了詳細闡述。電力信息系統(tǒng)運營、使用單位應按《實施指南》（GB/T 25058-2010）開展等保工作。具體包括定級、備案、安全建設/整改、等級測評、監(jiān)督檢查幾個方面。

系統(tǒng)的定級和備案由電力信息系統(tǒng)運營、使用單位采用“自主定級、自主保護”的原則確定，各區(qū)域（?。﹥鹊碾娏ζ髽I(yè)的系統(tǒng)定級結果報國家能源局派出機構備案。

安全建設/整改（參見第十條）可請專業(yè)機構等實施。

系統(tǒng)建設完成后需請符合規(guī)定（參見第十九條）第三方專業(yè)機構進行測評。

監(jiān)督檢查根據(jù)系統(tǒng)安全保護級別確定是自主保護還是上級監(jiān)管部門及其授權的派出機構負責。

3.2.4 信息安全等級保護的密碼管理

解讀：第四章對等級保護的密碼管理進行了詳細闡述。對涉及國家秘密的系統(tǒng)采用秘密保護，應該報國家密碼管理局審批，并按要求涉及、使用和管理。

3.2.5 法律責任

解讀：第五章明確了電力信息系統(tǒng)等級保護工作中監(jiān)管部門、工作人員及各單位違反規(guī)定的懲處措施。

4 結語

《電力行業(yè)網(wǎng)絡與信息安全管理辦法（國能安全[2014]317號）》和《電力行業(yè)信息安全等級保護管理辦法（國能安全[2014]318號）》，跟《電力監(jiān)控系統(tǒng)安全防護規(guī)定（發(fā)改委2014年14號令）》和《電力監(jiān)控系統(tǒng)安全防護總體方案（國能安全[2015]36號文）一同，構成了電力行業(yè)信息安全防護體系文件，體現(xiàn)了電力行業(yè)標準跟國家標準的基本差異，突出了電力行業(yè)業(yè)務特色和管理特征。

參考文獻

[1] 王棟，劉識，王懷宇.電力行業(yè)三級信息系統(tǒng)等級保護典型設計研究[J].電力信息與通信技術，2012（8）：81-84.

[2] 楊燕.關于信息安全等級保護在電力信息系統(tǒng)中的應用分析[J].工業(yè)，2016（11）：139.

[3] 范鷹.信息安全等級保護在電力信息系統(tǒng)中的應用[J].低碳世界，2015（30）：59-60.