关键词:信息系统、安全等级测评、备案
作者:刘乐
单位名称:新疆风能有限责任公司
注:本文系作者投稿。
引言
随着现代网络技术的快速发展,网络安全越来越受到各行各业的重点关注,尤其是关系到国计民生的电力行业更是应该重点关注网络安全。为此国家相关部门为了指导和规范电力行业网络安全的工作,先后出台了《电力系统安全防护规定》(国家发展和改革委员会令2014年第14号)以及根据14号令国家能源局制定的《电力监控系统安全防护总体方案》(国能安全[2015]36号)。而风电行业需要根据上述文件和相关要求,对所属场站的信息系统进行等级保护测评和风险评估。而为了确保等级保护测评和风险评估的顺利完成,需要到风电场所在地所属的公安局进行信息系统安全等级保护备案。为尽可能一次性完成备案,需要对备案的相关流程、所需填写的表格、报告等有一个清楚的认知。
1 备案流程
1.1 风电场备案等级的初步确定
在填写备案资料之前,需要对进行备案的场站的备案等级进行确定,因为不同的等级所需准备的资料和要求略有不同。为了指导电力行业进行备案等级的准确评定,电监会下发了《电力行业重要信息系统安全等级保护定级建议》,可根据此文件针对场站整体评级或局部评级的需求进行等级初步划分。现选取与风电有关的内容如表1(已将火电、水电、核电等与风电无关的内容删除):
1.2 《定级报告》填写
定级报告顾名思义就是对所需备案场站的业务信息系统的等级进行评定后所出具的报告。定级报告应包含的内容如下:
(1)业务信息系统的投运时间和立项建设单位以及当前负责运行维护的责任单位。在填写时立项建设单位应写场站所属公司全称,责任单位可写系统所属场站的调度名称。
(2)对业务信息系统进行一个简单的描述。如:系统的构成、功能、所接业务、所属的网络分区以及网络拓扑图。如果是对系统整体定级,例如变电站自动化系统,填写时应该按照风电场自动化设备安全分区的要求进行分区介绍,列出分区所属的系统、设备、业务等。
(3)填写时应对电场进行一个整体的介绍,如:发电量、电压等级、包含的业务系统、国家能源局36号文件建议的定级等级等。
(4)业务信息安全保护等级的确定。信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。所以最后应分别针对信息安全和系统服务安全进行分开评级并取其高者。信息安全的评级可参考表2,系统服务安全评级可参考表3。
(5)最后应在定级报告的封面或第一页盖公司的公章,已证实此报告的真实性和有效性。
1.3 《信息系统安全等级保护备案表》填写
《信息系统安全等级保护备案表》是由公安部公共信息网络安全监察局根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定监制的。填表时应该按照相关要求进行填写,以便一次性通过备案。填表时有以下几点值得注意:
(1)封面中备案表编号是由受理备案的公安机关填写并校验的,其他单位填写无效。
(2)封面中备案单位是指负责运营使用信息系统的法人单位全称,所以填写时名称应按照营业执照上的单位全称填写,否则备案系统无法查询到相关信息。
(3)备案表一共有四张表,表一为《单位信息》、表二为《信息系统基本信息》、表三为《信息系统定级信息》、表四为《第三级以上信息系统提交材料情况》。所以在填写时,如果定级二级系统则填写表1、表2、表3。如果定级三级系统则还应该填写表4,并准备表4要求的备案资料。
(4)填写备案表时内容应与定级报告保持一致,避免出现重大错误。
(5)如遇同一法人单位名下有多个场站,填表时也应分开填写独立成册,不可混杂在一起(定级报告也应分别出具)。
(6)表格填写好后在封面盖法人单位公章使之生效。
1.4 业务信息系统定级备案
在《定级报告》和《信息系统安全等级保护备案表》填写完成后,就可以到场站所在地所属公安局进行备案。前去备案时应注意以下几项:
(1)备案表和定级报告纸质版一式两份(均需要盖章)。
(2)36号文件纸质版一份(可选取所需的前几页)。
(3)与受理公安部门取得联系,约定时间、地点和其他事项。
(4)备案成功后,受理公安部门会颁发一份加盖公章的纸质版《信息系统安全等级保护备案证明》,需将其带回留存。
2 结束语
定级备案成功后便可在等级保护网上查询到备案单位的信息,等级保护测评和风险评估的相关工作才能正常进行。因此为了备案一次性通过,需认真按照要求填写上述表格、报告,如遇问题及时向公安相关业务部门或专业的厂家人员请教。
参考文献:
[1]《电力系统安全防护规定》(国家发展和改革委员会令2014年第14号)
[2]《电力监控系统安全防护总体方案》(国能安全[2015]36号)
0 条