电力系统信息安全等级保护探讨

◆刘秉男 周伦伦 马千里

（海通证券股份有限公司北京分公司 北京 100044）

电力系统信息安全等级保护探讨

◆刘秉男 周伦伦 马千里

（海通证券股份有限公司北京分公司 北京 100044）

本文对电力系统信息安全等级保护工作进行了概述，指出信息安全在电力行业的重要作用；概述了信息安全等级保护，简述了主管部门及政策法规，论述了电力系统中信息安全等级测评的应用。电力系统的等级测评有利于维护电力系统安全，确保电网运行安全。

电力系统；信息安全；等级保护

0 引言

国家重要能源工业之一的电力行业，直接关系到工农业生产以及人们的生活，是一个国家经济发展的基础。在电力系统中，信息安全无疑至关重要。等级保护能够确保电力信息安全。电力系统等级保护充分利用管理与技术的措施，提高电力信息系统的安全预防能力，保障电力信息系统的可靠、安全、稳定运行。

1 信息安全等级保护概述

信息安全等级保护针对国际的秘密信息、法人以及其他组织或者个人信息（包括专有信息以及公开信息）等。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

信息安全的等级保护分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息安全等级保护能够使得信息安全保障能力以及信息安全水平不断提高，使得国家的安全、公共利益等得到保障，确保国家信息化建设的稳步推进。

2 行业主管部门及主要法律法规

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，其等级划分、等级测评等环节均受到党和政府有关部门的有效监管，具体如下：

国家发展和改革委员会：主要负责信息产业政策、产业规划的研究制定、行业的管理与规划等。工业和信息化部：主要负责信息产业的规划、政策和标准的制定及实施、统筹推进工业领域信息化发展等。公安部：负责信息安全等级保护工作的监督、检查、指导。国家能源局：主要负责全国电力监管工作，建立统一的电力监管体系，制定电力监管规章，制定电力市场运行规则，参与电力技术、安全、定额和质量标准的制定并监督检查，颁发和管理电力业务许可证等。

表1 相关的支持政策和法规

大做强、提升对国家信息安全保障的支撑能力这两大历史任务。2011 年《中华人民共和国国民经济和社会发展第十二个五年规划纲要》加强网络与信息安全保障；健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系，实施信息安全等级保护、风险评估等制度。确保基础信息网络和重点信息系统安全。推进信息安全保密基础设施建设，确保国家网络与信息安全。2009年《信息系统安全等级保护工作内容及具体要求》（公信安[2009]232号）围绕信息安全等级工作，介绍信息系统安全建设和改造过程中使用的主要标准之一。2008年《信息安全技术信息安全等级保护基本要求》、《信息安全技术信息安全等级保护定级指南》出台行业标准，编号分别为GB/T22239-2008、GB/T22240-2008。2007年《信息安全等级保护管理办法》（公通字[2007]43号文件）替代公通字[2006]7号文件，明确了等级保护的具体操作办法和各部委的职责，以及推进等级保护的具体事宜。2006年《信息安全等级保护管理办法》（试行）（公通字[2006]7号）规范信息安全等级保护定级备案、建设和等级测评三个环节管理，并明确第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评。2006年《2006-2020年国家信息化发展战略》将建设国家信息安全保障体系作为战略重点，并明确“促进我国信息安全技术和产业自主发展”。2003年《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”；“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。1994年《中华人民共和国计算机信息系统安全保护条例》（1994年国务院147号令）“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。