返回
国家电网公司信息安全风险评估管理暂行办法

国家电网公司信息安全风险评估管理暂行办法

ID:40802490

大小:46.00 KB

页数:6页

时间:2019-08-07

国家电网公司信息安全风险评估管理暂行办法_第1页
国家电网公司信息安全风险评估管理暂行办法_第2页
国家电网公司信息安全风险评估管理暂行办法_第3页
国家电网公司信息安全风险评估管理暂行办法_第4页
国家电网公司信息安全风险评估管理暂行办法_第5页
资源描述:

《国家电网公司信息安全风险评估管理暂行办法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、国家电网公司信息安全风险评估管理暂行办法第一章总则第一条为加强和规范国家电网公司(以下简称公司)信息安全风险评估工作,加强公司信息安全的全过程动态管理,进一步提高公司信息安全水平,根据国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》,特制定本办法。第二条公司信息安全风险评估是对公司一体化企业级信息系统的潜在威胁、薄弱环节、防护措施等进行分析评估,以识别信息安全风险,发现信息网络、信息系统的脆弱性和薄弱环节,提出有针对性的信息安全整改工作建议,提高信息系统整体防护水平。第三条公司一体化企业级信息系统包括一体化企业级信息集成平台和八大业务应用。一体化企业级信息集成平台(简称

2、“一体化平台”)包含信息网络、数据交换、数据中心、应用集成和企业门户;八大业务应用包括财务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。第四条-6--本办法适用于公司总部,各区域电网、省(自治区、直辖市)电力公司和公司直属单位(以下简称各单位)信息安全风险评估工作。第一章职责分工第一条信息工作办公室(以下简称信息办)是公司信息安全风险评估工作的归口管理部门,主要职责:(一)负责贯彻落实国家有关部门要求,制定公司信息安全风险评估工作规范等文件;(二)负责统筹制定公司一体化企业级信息系统安全风险评估工作计划;(三)负责对各单位实施信息安

3、全风险评估工作落实情况进行监督、检查;(四)负责组织以中国电力科学研究院和国网南京自动化研究院为主,公司有关人员参加的信息安全风险评估工作队伍/技术支撑单位,统筹开展公司各单位信息安全风险评估工作。第二条各单位负责本单位范围内信息网络和信息系统安全风险评估的具体实施工作,主要职责:(一)细化本单位信息安全风险评估实施计划,落实工作组织机构;(二)具体委托公司信息安全风险评估工作队伍/技术支撑单位,开展本单位范围内信息安全风险评估实施工作;-6--(三)根据评估结果提出信息安全加固与整改工作计划报信息办批准后组织实施。第一条中国电力科学研究院和国网南京自动化研究院为公司信息安全风险评估工

4、作队伍/技术支撑单位,主要职责:(一)协助信息办制定和完善公司信息安全风险评估工作规范等文件编制工作;(二)根据信息办要求,接受各单位委托,开展信息安全风险评估工作,承担具体信息安全风险评估任务;(三)会同各单位完成信息安全风险评估报告。第一章内容和过程第二条信息安全风险评估包括资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。第三条各单位的信息安全风险评估实施总体分为启动准备、风险要素评估、风险计算分析建议、安全整改等四个阶段。第二章组织实施第四条公司信息安全风险评估分为自评估和检查评估。-6--信息安全风险自评估工作周期为两至三年;等级

5、保护级别高的信息系统,按照国家有关部门要求开展信息安全风险自评估工作。检查评估工作根据国家有关部门要求,结合公司信息安全实际情况,不定期组织开展。第一条各单位根据信息安全风险评估周期要求,结合本单位实际情况,于每年10月前提出下一年度信息安全风险自评估工作计划并报信息办。信息办结合公司各单位信息安全情况,统筹考虑并确定公司下一年度信息安全风险评估工作计划。第二条对于纳入下一年度信息安全风险评估计划的单位要按照具体的时间要求,提前落实工作负责人,落实经费,联系风险评估技术支撑单位,细化工作计划,做好各项准备工作。第三条各单位的信息安全风险评估工作要依据公司信息安全风险评估工作规范等文件,

6、严格按照信息安全风险评估工作步骤、环节、内容,坚持信息安全风险评估标准,保证信息安全风险评估工作的科学性、规范性、客观性和实效性。第四条各单位在开展信息安全风险评估工作时,对在线运行信息系统实施有关测试,要事前建立应急预案,落实应急措施,确保信息系统安全、可靠运行。对于因进行信息安全风险评估工作导致信息系统运行异常和故障的情况,要认真分析原因,提出改进措施,避免类似事件再次发生。第五条-6--各单位要高度重视信息安全风险评估专业人员培养工作,加强自身专业人员技术培训,认真做好技术支撑单位服务工作的配合、督促和评价工作。第一条各单位计划内信息安全风险评估工作要于当年完成,并形成信息安全风

7、险评估安全自评估报告、工作报告、技术报告、风险分析报告,整改建议报告,并报信息办。第二条各单位要本着实事求是的原则开展安全整改,对于信息安全风险评估发现的安全风险如果不需要增加新的安全技术手段和安全项目解决的问题,如通过修改配置和加载补丁的安全加固等,应立即着手组织实施;对于需要通过安全项目解决的问题,各单位要选择重点,在整改建议报告中提出项目规模、内容、实施时间和有关建议。第三条各单位要加强评估过程的保密管理。评估单位和评估实施单位对评估的信

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。