国家电网公司信息安全风险评估管理暂行办法.doc

国家电网公司信息安全风险评估管理暂行办法第一章 总 则第一条 为加强和规范国家电网公司（以下简称公司）信息安全风险评估工作，加强公司信息安全的全过程动态管理，进一步提高公司信息安全水平，根据国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见，特制定本办法。第二条 公司信息安全风险评估是对公司一体化企业级信息系统的潜在威胁、薄弱环节、防护措施等进行分析评估，以识别信息安全风险，发现信息网络、信息系统的脆弱性和薄弱环节，提出有针对性的信息安全整改工作建议，提高信息系统整体防护水平。第三条 公司一体化企业级信息系统包括一体化企业级信息集成平台和八大业务应用。一体化企业级信息集成平台（简称“一体化平台”）包含信息网络、数据交换、数据中心、应用集成和企业门户；八大业务应用包括财务（资金）管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。第四条 本办法适用于公司总部，各区域电网、省（自治区、直辖市）电力公司和公司直属单位（以下简称各单位）信息安全风险评估工作。第二章 职责分工第五条 信息工作办公室（以下简称信息办）是公司信息安全风险评估工作的归口管理部门，主要职责：（一） 负责贯彻落实国家有关部门要求，制定公司信息安全风险评估工作规范等文件；（二） 负责统筹制定公司一体化企业级信息系统安全风险评估工作计划；（三） 负责对各单位实施信息安全风险评估工作落实情况进行监督、检查；（四） 负责组织以中国电力科学研究院和国网南京自动化研究院为主，公司有关人员参加的信息安全风险评估工作队伍/技术支撑单位，统筹开展公司各单位信息安全风险评估工作。第六条 各单位负责本单位范围内信息网络和信息系统安全风险评估的具体实施工作，主要职责：（一）细化本单位信息安全风险评估实施计划，落实工作组织机构；（二）具体委托公司信息安全风险评估工作队伍/技术支撑单位，开展本单位范围内信息安全风险评估实施工作；（三）根据评估结果提出信息安全加固与整改工作计划报信息办批准后组织实施。第七条 中国电力科学研究院和国网南京自动化研究院为公司信息安全风险评估工作队伍/技术支撑单位，主要职责：（一）协助信息办制定和完善公司信息安全风险评估工作规范等文件编制工作；（二）根据信息办要求，接受各单位委托，开展信息安全风险评估工作，承担具体信息安全风险评估任务；（三）会同各单位完成信息安全风险评估报告。第三章 内容和过程第八条 信息安全风险评估包括资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。第九条 各单位的信息安全风险评估实施总体分为启动准备、风险要素评估、风险计算分析建议、安全整改等四个阶段。第四章 组织实施第十条 公司信息安全风险评估分为自评估和检查评估。信息安全风险自评估工作周期为两至三年；等级保护级别高的信息系统，按照国家有关部门要求开展信息安全风险自评估工作。检查评估工作根据国家有关部门要求，结合公司信息安全实际情况，不定期组织开展。第十一条 各单位根据信息安全风险评估周期要求，结合本单位实际情况，于每年10月前提出下一年度信息安全风险自评估工作计划并报信息办。信息办结合公司各单位信息安全情况，统筹考虑并确定公司下一年度信息安全风险评估工作计划。第十二条 对于纳入下一年度信息安全风险评估计划的单位要按照具体的时间要求，提前落实工作负责人，落实经费，联系风险评估技术支撑单位，细化工作计划，做好各项准备工作。第十三条 各单位的信息安全风险评估工作要依据公司信息安全风险评估工作规范等文件，严格按照信息安全风险评估工作步骤、环节、内容，坚持信息安全风险评估标准，保证信息安全风险评估工作的科学性、规范性、客观性和实效性。第十四条 各单位在开展信息安全风险评估工作时，对在线运行信息系统实施有关测试，要事前建立应急预案，落实应急措施，确保信息系统安全、可靠运行。对于因进行信息安全风险评估工作导致信息系统运行异常和故障的情况，要认真分析原因，提出改进措施，避免类似事件再次发生。第十五条 各单位要高度重视信息安全风险评估专业人员培养工作，加强自身专业人员技术培训，认真做好技术支撑单位服务工作的配合、督促和评价工作。第十六条 各单位计划内信息安全风险评估工作要于当年完成，并形成信息安全风险评估安全自评估报告、工作报告、技术报告、风险分析报告，整改建议报告，并报信息办。第十七条 各单位要本着实事求是的原则开展安全整改，对于信息安全风险评估发现的安全风险如果不需要增加新的安全技术手段和安全项目解决的问题，如通过修改配置和加载补丁的安全加固等，应立即着手组织实施；对于需要通过安全项目解决的问题，各单位要选择重点，在整改建议报告中提出项目规模、内容、实施时间和有关建议。第十八条 各单位要加强评估过程的保密管理。评估单位和评估实施单位对评估的信息负有保密责任，不得对外泄露。第十九条 中国电力科学研究院、国网南京自动化研究院要按照信息安全风险评估工作常态化、延续性和保密性要求，建立持续、稳定的信息安全风险评估工作技术支撑队伍，加强技术支撑能力与服务能力建设，完善评估工具，切实承担起信息安全风险评估服务与指导工作任务。第二十条 在业务流程、系统状况发生重大变化需进行计划外信息安全风险评估时，各单位要及时报公司信息办，信息办将根据实际情况组织实施。第二十一条 各单位要按照公司统一制定的信息安全风险评估费用测算办法，根据实