铁路行业信息安全等级保护研究

Word第第页铁路行业信息安全等级保护研究公安部于2023年开头等级爱护测评体系的建设，2023年以来，对国家和地方等级爱护协调小组推举的测评机构开展力量评估工作，到目前为止，已完成120多家测评机构的申请和评估，并颁发了《信息平安等级爱护测评机构》推举证书。120多家机构按国家和地方两级管理，国家级目前有7家，其中有4家主要承当行业内的测评工作，分别是电力、金融、教育和广电。

2电力行业等级爱护测评机构的借鉴作用

国家信息平安等级爱护工作协调小组鼓舞具有信息系统特色的行业申请等级爱护测评机构，旨在对具有行业特色、平安建设状况又不便向外界透露的信息系统开展本行业的等级测评工作。在电力、金融、教育和广电4大行业中，电力行业信息平安等级爱护测评中心是最早获批国家级测评机构的单位，其胜利阅历对其它行业开展信息平安测评工作具有重要的借鉴作用。电力行业等级爱护测评中心设有3个测评试验室，分别挂靠在国网电力科学讨论院、中国电力科学讨论院、华电卓识测评中心。3个试验室均为法人单位，承接测评业务，测评业务指导统一归口电力行业信息平安等级爱护测评中心。各测评单位的主要职能有：技术讨论、平安测评、风险评估、业务询问服务、行业相关标准及规范编制等，对电力行业信息平安等级爱护工作的开展起到引领和推动作用。电力行业信息系统数量多，工业掌握类信息系统占多数，其中三级系统有1700多个，四级系统有40～50个，根据公安部的要求，测评中心对本行业的三级、四级系统定期开展等级爱护测评工作。

3建立铁路行业等级爱护测评机构的必要性

铁路行业的业务与电力行业非常相像，都属于国家的重要基础设施。电力行业的信息系统主要是电网掌握类系统，属工业掌握专业，信息平安要求高；铁路行业信息化工作主要为行车掌握、客货运输供应重要支撑，信息系统涉及掌握和实时交易处理等，具有明显的行业特点，专业性要求高。因此，借鉴电力行业等级爱护测评机构在本行业信息平安工作中起到的作用，有必要在铁路行业内部建立正规的信息平安技术队伍，对铁路行业的网络与信息平安工作的开展起支撑作用。

3.1行业测评机构的优势

如上所述，铁路行业的信息系统有着行业运行特点和专业特别要求，客、货运输交易及管理类系统涉及国计民生，列车运行掌握类系统与老百姓的生命平安息息相关，行业内的测评机构依托其自身长期的专业学问的积累，具有以下几个方面的优势：

〔1〕行业测评机构简单理解行业信息系统的业务并把控平安风险行业测评机构的从业人员大多是有着行业信息系统研发阅历的科研人员，熟识系统的功能特点和应用背景，长期从事行业信息平安服务工作，对行业信息系统的平安风险把握较精确。

〔2〕便于培育行业内的信息平安服务技术力气行业测评机构通过长期积累，在技术装备上能得到不断提升，通过构建与实际生产系统全都的模拟仿真测试环境，可以有效跟踪生产应用系统的平安风险；长期从事行业内的信息平安等级爱护测评工作也给测评机构的检测人员供应良好的行业应用平台，积累服务阅历和技术阅历；通过组织培训班等形式，又可以将测评机构积累的丰富阅历以技术研讨会的形式在行业内信息平安从业人员中传授，有效提高行业内信息平安整体技术服务水平。

〔3〕行业测评机构队伍稳定且人员可控性强公安部要求从事信息平安等级爱护测评工作的人员要可控，对从事四级系统〔重要系统〕以上的测评人员进行严格管理。行业测评机构一般都是国企，主要从事行业内的信息平安技术讨论、等级爱护测评服务等相关工作，人员除签订劳动服务合同，与单位定期签订保密协议外，机构也会对员工在职业进展、工资待遇、培训教育机会等方面赐予慎重支配，使得测评人员保持较高的稳定性和可控性。

3.2行业测评机构的作用

〔1〕行业信息平安技术支撑信息平安测评第三方机构有着丰富的信息平安专业学问，熟识国家、行业各层级的标准和规范，通过长期在铁路行业内开展测评、询问等服务性工作，了解行业应用系统的业务特点，把握行业信息系统平安的普遍性和特别性要求，可以为行业单位供应定制化的信息平安解决方案，对行业信息平安工作的'开展起到主动的技术支撑作用。

〔2〕行业标准规范制定依据公安部《关于开展信息平安等级爱护平安建设整改工作的指导看法》〔公信安[2023]1429号〕的要求，重点行业信息系统主管部门可以根据等级爱护国家标准，结合行业特点，确定行业信息系统平安等级爱护的详细指标。在不低于等级爱护国标基本要求的状况下，结合铁路行业信息系统平安爱护的特别需求，在行业主管部门的指导下制定铁路行业的相关标准、规范或细则，指导铁路行业信息系统平安建设、整改与测评工作。

〔3〕信息系统全生命周期测评服务信息系统全生命周期包含5个基本阶段：规划、设计、实施、运维和废弃。行业测评机构可以在信息系统生命周期各阶段为用户供应有针对性的信息平安服务，使等级爱护工作贯穿于信息系统生命周期的各个阶段。规划阶段测评机构可以关心用户识别危急源和平安风险，确定系统应到达的平安目标，供应定级指导；设计阶段帮助提出系统需满意的平安指标，在关键节点供应平安测评服务；实施阶段测评机构供应漏洞扫描、渗透性测试、源代码平安检查等深度平安检测，并依据测评结果供应平安建设整改建议；运维阶段等级爱护测评的目的是掌控信息系统运行期间的平安风险，按国家标准要求定期开展等级爱护测评，遇网络结构调整、应用系统升级改造等重大变更时进行等级爱护测评；业务废弃阶段行业测评机构可为用户供应软、硬件等资产及残留信息的废弃处置方案，防止系统废弃可能引入的新的风险。

〔4〕信息平安询问与评估服务由于测评机构熟识信息平安相关的标准和规范，实践阅历丰富，可以依据用户的需要开展定制化的询问服务，如等级爱护合规性询问与评估服务，风险管理询问服务，平安体系建设询问与评估服务，软件源代码平安询问服务等。

〔5〕行业信息平安持续改良力量培育测评机构在实施某一测评任务时，一般需要在测评前期、中期和后期与用户进行充分的沟通，通过技术沟通、设计联络等方式，提高用户对等级爱护基本概念、平安指标的理解以及测评方法、检测工具的运用，在完成测评任务的同时，也关心用户提升信息平安自测力量。行业测评机构还可通过技术讲座等形式，对用户单位信息平安分管领导、系统运维人员和业务部门关键岗位人员进行培训，通过培训增添用户信息平安意识和运维人员专业技术水平，使用户具备对信息系统进行平安持续改良的力量。

3.3行业信息平安测评工作的需要

铁路行业目前已投入使用的信息系统按大系统分有上百个，每个大系统根据应用范围又分为铁路总公司级系统、铁路局/地区中心系统和站段级系统，这些系统一般实行统一规划、统一设计、分系统建设的模式投入使用，各级系统采纳不同的等级爱护定级，在开展信息系统测评时，一般需要将大系统拆分为不同的子系统分开测评，每年可参加评测的信息系统数量不低。按1个铁路总公司、18个铁路局、上千个车站规模考虑，铁路每年可参评的信息系统数量大约有上万个左右。因此，成立铁路行业信息平安等级爱护专业测评机构不仅是信息系统平安保障的需要，也是建立健全完善的铁路运输整体平安体系的需要。

4结束语

信息平安等级爱护建设是一项长期任务，作为行业的第三方测评机构