xx发电厂信息系统安全等级保护测评执行方案
一、信息安全等级保护管理
该方案中提到《信息安全等级保护管理办法》(公通字[2007]43 号),该法规是信息安全等级保护的重要管理规定。信息系统运营、使用单位在进行信息系统备案后,都应当选择测评机构进行等级测评。等级测评是测评机构依据《信息系统安全等级保护测评要求》等管理规范和技术标准,检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程。
二、信息系统安全等级保护测评
等级测评是信息安全等级保护制度的重要环节。该方案中提到 xx 发电厂计算机监控系统的信息系统安全等级为第三级。依据《信息系统安全等级保护测评要求》,测评机构对信息系统安全等级保护状况进行安全测试,对信息安全管控能力进行考察和评价,从而判定信息系统是否具备 GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》中相应等级安全保护能力。
三、信息系统安全等级保护测评执行
测评执行过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。在测评过程中,信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备,每类应至少抽查两台作为测评对象。测评对象种类上基本覆盖、数量进行抽样,重点抽查主要的设备、设施、人员和文档等。
四、信息系统安全等级保护测评报告
等级测评报告是信息系统开展整改加固的重要指导性文件,也是信息系统备案的重要附件材料。若 xx 发电厂计算机监控系统等级测评结论为信息系统未达到相应等级的基本安全保护能力,xx 发电厂应当根据等级测评报告,制定方案进行整改,尽快达到相应等级的安全保护能力。
五、信息安全管理制度
该方案中提到 xx 发电厂信息安全法规和标准体系,涉及到 xx 发电厂计算机监控系统安全的所有管理制度和记录。信息安全管理制度是信息安全等级保护的重要组成部分。
六、信息安全等级保护的重要性
信息系统安全等级保护制度作为信息安全系统分级分类保护的一项国家标准,对于完善 xx 发电厂信息安全法规和标准体系,提高 xx 发电厂安全建设的整体水平,增强 xx 发电厂信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。
七、项目目标
该方案的项目目标是信息系统安全等级保护制度的实施,提高 xx 发电厂信息系统安全保护的整体性、针对性和时效性,为 xx 发电厂信息系统安全等级保护提供依据。
八、项目组织实施
该方案中提到黑龙江省公安厅国家电力监管委员会东北监管局下发的,《关于进一步开展黑龙江省电力行业信息安全等级保护检查等工作的通知》附件中,以下为推荐评测的几家机构名单。
九、项目工作进度安排
该方案中提到项目工作进度安排,包括方案上报审批、项目立项审批、项目实施、项目验收等阶段。
十、预期成果
该方案的预期成果是测评机构:a) 分析并判定单项测评结果和整体测评结果。b) 分析评价被测系统存在的风险情况。c) 根据测评结果形成等级测评报告。
