一、方案背景
随着网络技术、信息技术在电力系统的广泛应用, 网络与信息系统已经成为电力系统生产、运营、管理和可持续发展的基础设施。电力信息系统的安全与稳定运行已经成为电力生产安全和电网安全的重要影响因素。而风险评估服务能在安全事件发生之前做到防患于未然,确保电力行业的系统安全性和业务连续性。
近年来国家重点推动了电力、铁路、民航等行业重要信息系统和基础信息网络的风险评估工作,并出台了《信息安全风险评估指南》、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)等一系列标准及政策。同时,电力行业也结合自身行业特点制定了《国家电网公司网络与信息安全风险评估规范》、《电网管理信息系统信息安全评估实施指南》等行业标准和政策。
二、方案内容
BJCA根据风险评估相关的国家及电力行业标准和政策,密切结合电力行业的业务特点及安全现状,开展符合电力行业特点的风险评估服务。
电力行业风险评估的流程及内容如下图所示。
1、启动准备:BJCA将结合电力行业的业务特点和系统现状,确定评估范围、制定评估方案和工作计划、进行人员的培训、评估工具的准备等工作内容。
2、现场评估:此阶段结合电力行业的业务特点,以业务系统为主线,进行资产、威胁、脆弱性、安全措施的识别机赋值,发现存在的问题及严重程度。
3、风险分析:通过现场评估阶段的资产数据整理,并按照电力行业的风险计算方法进行风险计算,在此基础上,分析各种风险要素、以及被评估系统的实际情况,从而决定对风险采取接受、消除或转移等处理方式的过程。
4、安全建议:根据风险决策中提出的安全防护需求,经过合理的统计和归纳,形成安全解决方案建议。
三、方案特点
1、紧密结合电力行业的业务特点及安全需求,制定符合行业特点的风险评估方案
2、深刻理解国家及电力行业风险评估相关标准和政策,指导电力行业满足合规性要求
3、内容全面涵盖电力行业信息系统技术与管理各个层面,为电力行业开展和完善信息化建设提供全面的指导性建议
4、拥有专业的电力行业风险评估服务团队,确保电力行业风险评估服务的质量
四、客户收益
1、提高电力行业的公众形象,确保电力行业为公众服务的业务连续性及安全性。
2、帮助电力机构了解信息系统的安全现状,减少安全事件的发生,降低信息系统安全方面的投入成本。
3、为电力行业开展信息安全建设和整改建设提供依据和指导建议。