电力行业开展等级保护测评工作,需要参考哪些标准规范

2019-08-26 15:11:33 万方科技 52

  等保2.0新标准出现,等级保护开展工作的范围向网络相关的周边延伸。其中,电力行业也是其中之一。由于现代化社会,无论是互联网,还是工业生产,电力都是基础。因此,一旦电力行业出现问题,容易出现连环性的工业停产、以及影响居民的正常生活,需要引起重视。那么,开展电力行业的等级保护测评工作,有什么标准规范可以参考呢?

  国能安全[2014]318号文《电力行业信息安全等级保护管理办法》对中国电力行业的信息安全等级保护工作,做了明确规定。包括总则、等级划分与保护、等级保护的实施与管理、信息安全等级保护的密码管理、法律责任、附则等六个章节。

  电力行业信息安全等级保护测评工作,除了参考《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求》之外,还应参考《电力行业信息系统安全等级保护基本要求》、《电力监控系统安全防护规定》、《电力监控系统安全防护整体方案》等电力行业标准规范。国家能源局要求电力行业信息安全等级保护工作,跟电力监控系统安全防护评估工作,同步开展实施,“一次测评、两份报告”,报告应采用电力行业专用模板。所以,社会上一般的信息安全等级保护测评机构,一般很难达到电力行业的专业性技术要求。

  那么,选择电力行业的测评机构或者第三方公司时,需要注意查看以下内容:

  《电力行业信息安全等级保护管理办法》第十九条对承担第二级及以上电力信息系统的测评机构提出了明确要求。1)因为电力行业信息系统尤其是电力监控系统的专业特殊性,测评机构应从事电力信息系统相关检测评估工作至少两年以上,并无违法记录;2)从事电力信息系统等级保护测评工作的技术人员、测评机构必须在国家能源局备案,必须通过国家能源局的考核评估。

  管理办法的第十二条要求:第三级及以上电力信息系统的测评报告,应组织电力行业信息安全等级保护专家评审,并报国家能源局备案。目前,社会上的信息安全测评机构,也没有严格执行该条款,损害了最终用户的权益。

  电力开展等级保护测评工作,不仅仅是因为国家要求你这样做,更是一家合格的电力供给公司需要自主做好的一项的工作。因为,电力和水,一旦短缺,很容易影响人们的生活。长时间无法提供的话,容易带来社会恐慌,后果很严重。