中国南方电网有限责任公司信息安全保障体系(正式版本)

南方电网信息安全保障体系中国南方电网有限责任公司信息安全保障体系中国南方电网有限责任公司二〇〇九年一月南方电网信息安全保障体系I目录1总则.......................................................................................................................................11.1背景...........................................................................................................................11.2适用范围...................................................................................................................21.3参考文献...................................................................................................................22南网安全防护对象...............................................................................................................32.1计算环境...................................................................................................................32.2区域边界...................................................................................................................32.3网络与基础设施.......................................................................................................53南网安全目标与指导思想...................................................................................................63.1总体安全目标...........................................................................................................63.2安全建设的指导思想...............................................................................................63.3安全体系的设计原则...............................................................................................74南网信息安全保障体系框架...............................................................................................85安全防护要求.......................................................................................................................95.1安全组织要求...........................................................................................................95.2安全技术要求.........................................................................................................135.3安全管理要求.........................................................................................................266信息安全技术要求实现.....................................................................................................356.1信息安全技术防护总体结构.................................................................................356.2安全防护方案.........................................................................................................376.3实施原则与计划.....................................................................................................477安全运行保障.....................................................................................................................497.1安全评估.................................................................................................................497.2安全监管.................................................................................................................517.3应急响应.................................................................................................................537.4持续改进.................................................................................................................54附录1：南方电网安全保障体系遵循的安全技术标准规范..................................................56附录2：南方电网安全保障体系遵循的等级保护要求..........................................................57南方电网信息安全保障体系11总则1.1背景随着信息化的全面推进，经济和社会对网络与信息系统的依赖程度迅速增加，保障基础网络与重要信息系统安全的任务越来越凸显重要。在十六届四中全会通过的《关于加强党的执政能力的决议》中，将信息安全与政治安全、经济安全、文化安全并列为四大主题之一，网络与信息安全已成为国家安全的重要组成部分。中共中央办公厅、国务院办公厅印发《2006-2020年国家信息化发展战略》指出“到2020年，国家信息安全保障水平大幅提高”和“全面加强国家信息安全保障体系，大力增强国家信息安全保障能力”，是我国信息化发展的战略目标和战略重点。2007年，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室共同发布了《信息安全等级保护管理办法》（公通字[2007]43号）和《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号），确立了安全等级保护作为国家信息安全的基本制度，并明确指出“铁路、银行、海关、税务、民航、电力、证券、保险等重要行业率先开展信息系统的安全保护等级工作”。国资发[2007]8号文《关于加强中央企业信息化工作的指导意见》指出“推进中央企业信息化，是我国信息化发展战略的重要内容，是促进企业发展方式根本性转变的必然选择”。并要求“把信息安全放在企业信息化的重要位置，要正确处理好加快信息化发展与保障安全的关系。对处于国家重要行业中的中央企业，如军工企业、电力行业等，尤其要强调信息安全”。国家电力监督管理委员会依据《电力安全生产监管办法》（电监会2号令），专门成立电力行业网络与信息安全领导小组，统一领导电力行业网络与信息安全监督管理工作，组织落实国家基础信息网络和重要信息系统安全保障工作的方针、政策和各项重大部署，并要求“努力推进电力行业网络与信息安全工作。加快推进电力行业网络与信息安全法规体系及标准规范建设，建立电力行业信息安全等级保护制度，确保重要时段电力行业网络与信息安全”。中国南方电网公司（简称“公司”）作为国有特大型骨干企业，供电范围覆盖南方五省（区），面积约100万平方公里，承担着为国民经济和人民生活提供安全可靠优质的电力供应与服务的重大使命。公司高度重视信息化建设与信息安全保障体系建设，随着公司信息化推进，在公司范围内广泛使用了办公自动化系统、财务管理系统、电力营销管理系统、生产管理系统等信息系统，公司的经营管理对网络与信息系统的依赖程度不断提高，南方电网信息安全保障体系2日常工作基本上离不开网络与管理信息系统，因此网络与信息系统的安全越来越显得重要，网络与信息安全影响到公司的形象和日常经营管理工作，也影响着公司信息化的进程。由此《南方电网公司“十一五”信息化发展规划》明确指出了“以信息资源为核心，以网络和信息安全为基础，努力在加快信息化发展中解决信息安全问题，以信息安全保证信息化发展”，要求信息安全保障与信息化建设并重，坚持信息系统安全与信息化建设同步规划、同步建设、同步投入运行。综观国家、电监会、国资委和公司自身对信息安全迫切需求，公司组织研究并制定南方电网公司信息安全保障体系，指导南方电网公司的网络与信息安全建设。1.2适用范围国家电力监管委员会第5号令公布的《电力二次系统安全防护规定》对生产控制大区（调度数据网）已有较为明确和详细的安全策略要求，所以本信息安全保障体系范围为管理信息大区（综合数据网络内的企业管理信息系统），不涉及生产控制大区（调度数据网）。本体系适用于公司总部，各分、子公司及其下属单位（以下简称公司各单位）。本体系指导和规范各单位管理信息大区的信息安全建设。61.3参考文献本文参考的国家信息安全政策法规、信息安全标准以及电力行业相关规范。1.《2006-2020年国家信息化发展战略》（中办发[2006]11号）2.《关于加强中央企业信息化工作的指导意见》(国资发[2007]8号)3.《信息安全等级保护管理办法》（公通字[2007]43号）4.《电力二次系统安全防护规定》(电监会5号令)5.《信息安全技术信息系统安全等级保护基本要求》（GB/T