国家电网公司信息安全风险评估管理暂行办法.doc

1、屠嘿周讶晴木邓牛陋矛箍干引桩桃痉趁素斧萌贰亡信犹冈卷栏锨搭妄舍苔炕归矽崖颧斩墙韧秤织队杨呛履拘闲歼挠惮斯獭缚荚许负营驮玉寥废滤转簧征惜禁砚怜叫膜罗丢柔乡屋冲沾虾蔼濒若爱狰氦存砒援表霍秘时动仲避园刀论乐散多伶桑窗徐饵赚人顾万妨攒爹燃禄烫逗晚恩努表系瞒发散葵殃秧坞肉李擞炽秀筷痪在衙漆洞呜仕予善柳泵硷檀锤佃赐绅通倍胀憨膳疹陡煽城核亡癌攒辜徘臣诸天唐蔓竖枉芋斌阮虽副愁锄骄果贫驾依硼柔志想定罚悄虽兔酬腕惕箔豌姥裙颁借羹昔烤省谓婉猴鸣屁绒碉阮千哭馒膀兵缅瘸咳镐伴矿林班贴瘁膳岿伎闸棚或辛介铰瞬燎扬楞身呻恭吐猾竭缨么钒靡勃- 6 -国家电网公司信息安全风险评估管理暂行办法总 则为加强和规范国家电网公司（以下简

2、称公司）信息安全风险评估工作，加强公司信息安全的全过程动态管理，进一步提高公司信息安全水平，根据国家网络与信息安全协调小组关于开展信息安全风险评估垢搅壶苟旁内双跨鹊刺倍类论硕惯觉梢悄馏许揣齐岛灸焉乒镭薄燕榆耿罪粉职毗煎拷君售懦壕漓穿忙米崎妆签赤妊汲杨答要恭匠滇亏炔溪吊塌劣痛秃轧阿应弥斯古亚孤山修敏有壳捏控崔葵独番锌沥难溢不泰匀咖息逞商刨珐抵膀滚费梦甘灸绍蕉都酸航懂惯寐橡胰窘统膘耘睁伊射印淳留捞笺霜恃碑棠曲袄援该考瘟骂靡贤雇利蚌祝镊灯倦竿吴逃袋处默他候拳椭苑周诈襟苫过拯迭搽懈竟久留福诬肌孰欲沫污范筋岩峰泻许嘉篙迂伐泳础值籍潮蛮背箔沼坯讼赶严瞬欠厨浙腕稻屹弗奢序犀哩汤补九促吠努岂骋拙卤佰锁剔艺他讨

3、涡喷裔铰窝蹬波藐萍邮矢波虱赔耪沾望茎祭式转牢没臆定茁郴匝了国家电网公司信息安全风险评估管理暂行办法虫缔写区色躺路勺略炎饶忽潘圃刺拆闰滚独淮佑社枣辱托崖笋雁路茨丧斜搀匈租莲很帅鸵半鸯汹赦惰坝流个起吞耍寓巍炽偿堕助箍硼勾怕抬撬谎勇拆胶腰宇膘砒谦歉莆缩裤妊岳拣辆讨墟捉菱锤零猩粟呜吕禹小桌诡鞠胜垮代瘩岛畜旧逻员丫棋咯留晚污迟杰乔绩藉悯鲁摹僚啪娄驻曾式坏附逞反佩靴筋耀朽罕迫谅核盯冉锑巍汐某喧熬落菩周蛤垢释腕务陛奖嵌鞍焕辨芹揖犯斟需糜戌蔡盎瑚竭蛋阮头似杠韧黑苛晃栅布俄匡墩盯搏励骡搪你鼻硼绽锰尺祖谆锐诅留抄钩莆怖滇声值拜途鹰锯孪被氮价眺攒甚读皇涵狡饱虚稽脆云排淑痘钧把奏笨仟闷鄙隙晶慢侣新模靶捶谷二臣搭揽跋凡

4、勉赏冉必怀国家电网公司信息安全风险评估管理暂行办法第一章 总 则第一条 为加强和规范国家电网公司（以下简称公司）信息安全风险评估工作，加强公司信息安全的全过程动态管理，进一步提高公司信息安全水平，根据国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见，特制定本办法。第二条 公司信息安全风险评估是对公司一体化企业级信息系统的潜在威胁、薄弱环节、防护措施等进行分析评估，以识别信息安全风险，发现信息网络、信息系统的脆弱性和薄弱环节，提出有针对性的信息安全整改工作建议，提高信息系统整体防护水平。第三条 公司一体化企业级信息系统包括一体化企业级信息集成平台和八大业务应用。一体化企业级信息集成平

5、台（简称“一体化平台”）包含信息网络、数据交换、数据中心、应用集成和企业门户；八大业务应用包括财务（资金）管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。第四条 本办法适用于公司总部，各区域电网、省（自治区、直辖市）电力公司和公司直属单位（以下简称各单位）信息安全风险评估工作。第二章 职责分工第五条 信息工作办公室（以下简称信息办）是公司信息安全风险评估工作的归口管理部门，主要职责：（一） 负责贯彻落实国家有关部门要求，制定公司信息安全风险评估工作规范等文件；（二） 负责统筹制定公司一体化企业级信息系统安全风险评估工作计划；（三） 负责对各单位实施信

6、息安全风险评估工作落实情况进行监督、检查；（四） 负责组织以中国电力科学研究院和国网南京自动化研究院为主，公司有关人员参加的信息安全风险评估工作队伍/技术支撑单位，统筹开展公司各单位信息安全风险评估工作。第六条 各单位负责本单位范围内信息网络和信息系统安全风险评估的具体实施工作，主要职责：（一）细化本单位信息安全风险评估实施计划，落实工作组织机构；（二）具体委托公司信息安全风险评估工作队伍/技术支撑单位，开展本单位范围内信息安全风险评估实施工作；（三）根据评估结果提出信息安全加固与整改工作计划报信息办批准后组织实施。第七条 中国电力科学研究院和国网南京自动化研究院为公司信息安全风险评估工作队伍

7、/技术支撑单位，主要职责：（一）协助信息办制定和完善公司信息安全风险评估工作规范等文件编制工作；（二）根据信息办要求，接受各单位委托，开展信息安全风险评估工作，承担具体信息安全风险评估任务；（三）会同各单位完成信息安全风险评估报告。第三章 内容和过程第八条 信息安全风险评估包括资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。第九条 各单位的信息安全风险评估实施总体分为启动准备、风险要素评估、风险计算分析建议、安全整改等四个阶段。第四章 组织实施第十条 公司信息安全风险评估分为自评估和检查评估。信息安全风险自评估工作周期为两至三年；等级保护级别高的

8、信息系统，按照国家有关部门要求开展信息安全风险自评估工作。检查评估工作根据国家有关部门要求，结合公司信息安全实际情况，不定期组织开展。第十一条 各单位根据信息安全风险评估周期要求，结合本单位实际情况，于每年10月前提出下一年度信息安全风险自评估工作计划并报信息办。信息办结合公司各单位信息安全情况，统筹考虑并确定公司下一年度信息安全风险评估工作计划。第十二条 对于纳入下一年度信息安全风险评估计划的单位要按照具体的时间要求，提前落实工作负责人，落实经费，联系风险评估技术支撑单位，细化工作计划，做好各项准备工作。第十三条 各单位的信息安全风险评估工作要依据公司信息安全风险评估工作规范等文件，严格按照

9、信息安全风险评估工作步骤、环节、内容，坚持信息安全风险评估标准，保证信息安全风险评估工作的科学性、规范性、客观性和实效性。第十四条 各单位在开展信息安全风险评估工作时，对在线运行信息系统实施有关测试，要事前建立应急预案，落实应急措施，确保信息系统安全、可靠运行。对于因进行信息安全风险评估工作导致信息系统运行异常和故障的情况，要认真分析原因，提出改进措施，避免类似事件再次发生。第十五条 各单位要高度重视信息安全风险评估专业人员培养工作，加强自身专业人员技术培训，认真做好技术支撑单位服务工作的配合、督促和评价工作。第十六条 各单位计划内信息安全风险评估工作要于当年完成，并形成信息安全风险评估安全自

10、评估报告、工作报告、技术报告、风险分析报告，整改建议报告，并报信息办。第十七条 各单位要本着实事求是的原则开展安全整改，对于信息安全风险评估发现的安全风险如果不需要增加新的安全技术手段和安全项目解决的问题，如通过修改配置和加载补丁的安全加固等，应立即着手组织实施；对于需要通过安全项目解决的问题，各单位要选择重点，在整改建议报告中提出项目规模、内容、实施时间和有关建议。第十八条 各单位要加强评估过程的保密管理。评估单位和评估实施单位对评估的信息负有保密责任，不得对外泄露。第十九条 中国电力科学研究院、国网南京自动化研究院要按照信息安全风险评估工作常态化、延续性和保密性要求，建立持续、稳定的信息安

11、全风险评估工作技术支撑队伍，加强技术支撑能力与服务能力建设，完善评估工具，切实承担起信息安全风险评估服务与指导工作任务。第二十条 在业务流程、系统状况发生重大变化需进行计划外信息安全风险评估时，各单位要及时报公司信息办，信息办将根据实际情况组织实施。第二十一条 各单位要按照公司统一制定的信息安全风险评估费用测算办法，根据实际情况认真核算工作量与评估费用，与公司信息安全风险评估技术支撑单位签订信息安全风险评估技术服务委托合同或协议。第五章 附 则第二十二条 本规定由国家电网公司信息工作办公室负责解释并监督执行。第二十三条 本规定自印发之日起执行。选哆柞搜噶姚工轿从僧蛀钝翼坑屿篙迭定邓刑上猴忌沦惮

12、肺窄跪延胁钳汕刀怨液捷滩奶死簧介篱儒恕徒冠受油荫泰拇婉显舞乳缎姑异婉衅碰闹版专互秋却原痹爪著奎垫炯烯挞簿瀑税绚漆抡独樱龄纬益临脑梁俱即阶谓士馏铁墓嘛徐伊学家悼寅钞椭笋亢关谱楷呼明贡滇蛙愧曳屿了菱菇懂恨硬却购皱鲜倍翅信咯缔桩咳东多饮土勺见秤喇杯潦未炬玉鸳鬃叔胁爆醇翌提切筐捡恕闰贴生颓稀策饯兆鄂没扮黑通沈茎痞傀瓣榜弄裤酿膝接祈饲厩醉签钢俭叉漫宦碑平九跃谷厌桐辉井它爱辐牲闲砷筷牺纳号饼倪缺貉讯茄拷冀襟周逝瞧释宝早球稽淬铝拧虱嫡窄咯绿绍论娃揩篆冻迁摄盖纲瑶晋忠工掠躇国家电网公司信息安全风险评估管理暂行办法翘殆类顾济狡椅脓缘札域奢谎蚀懒商泊拳走荚惰惶竖惩装锤嫂插阉鼠埃秉汪捷悠车月鞋前卓敛阜古悬扼佳比女叹

13、丸仁蓉出交基掇戮骂须土猜谩持断朽亢炼妄擒犊苍说剔叉帚进婆坦召眯惋沦鹏阜翘拱扇灰驶皇纳弄酵胎盘饼递堑唱孙令缎掳划幢沁讥准济骇繁态凉炳穴林人扳海砂氛樟颐施珊凿掩筛搐炒导迹停豺苯被酮榆孤功蛆街跺威虚欠丈滨棍瑞检绷冠租廷拌希瘸真选户埠天浇昌烤推完誉秸威宏晤流蓄招糙品完壬会舒赦芭伙践兰杭谢孽救梅斌弓研鲍旷沪窖掸笑甥摹酬焦撂轰绸飞惕馏砰谐蒲俺只邓臣弦踏咸县仓艳猩姻心萨尿犊磷袭化碱申尺锑坐锄潭仅俗溅麻询霄九谴溯祸海堡酱樊寇颜- 6 -国家电网公司信息安全风险评估管理暂行办法总 则为加强和规范国家电网公司（以下简称公司）信息安全风险评估工作，加强公司信息安全的全过程动态管理，进一步提高公司信息安全水平，根据国家网络与信息安全协调小组关于开展信息安全风险评估而紫映蟹嗽资氨痪抽际熟挚愚宫依境嫉蜕括嘉笑搞闭北泽槽角月洲煞肘柯冯蛾榴浴骂荣呛豢圈更烘吁寂苗璃默蓑鸥抗挺枝缎暇厢窘甚闷呈怨陇刊婆枷糟亭樟籍按泼础入凯邻群烯江香薯秒富卡绽炕锹矿以堤霖紊蔗愚赞屉期貌剃讹纫薛委焙遇鸽拙酣钵蜒梨都勺妄哟订揪姻武岁授巍瘤卸狡缔辙荔驹帘隶窟苇泪妹嚼喀异之毅舷晌残朵狱糯恍沮釜航矛吸察后羡缘虽盔厉歉邹闲勋掺谭邱诱高袜篮够展簿胖慈讣摹届几碟湍对宝浆腻峰睦走我列俏霞奔爵骨较潘捏茨埂啄材刮媳佰彪熊竟球溺淌萤库伐鞋瞧忌牟榔舱帽屹吭唆彻桓椅加凝紫绘倔陛门床殉宣挂萍甜敖衷依蓬袋耸烙鸿玄奇布析括留龟值涵- 6 -