第一篇:电力行业信息安全管理的需求
电力行业信息安全管理的需求
电力行业是一个国家的重要基础产业。电力行业的首要目标是要确保整个电网的稳定运行和持续发展。因此电力行业对信息系统特别是以计算机技术、传感器技术、自动控制技术为主导的电力控制系统存在很大的依赖性。
电力行业信息安全需求主要来自于以下几个方面:
1)电力行业需要为用户提供稳定、可靠的供电服务(即使在发生灾难时),这加大了对信息系统特别是电力控制系统的依赖性;
2)电力网络本身的巨大复杂性,导致存在更多潜在的脆弱性、更多暴露的访问控制点和管理的复杂性,信息安全隐患显著增加;
3)由通信线路损坏、传感器失效导致的电力系统通信失效可能性急剧增大;
4)电力系统和信息技术的客观脆弱性,如使用不安全的网路协议等,导致电力控制系统存在固有的安全隐患。
以下电力特定的环境和操作事件具有影响电力行业信息系统安全的极大可能性:
1)电力调度控制系统依赖于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备,例如电力数据采集与监控系统、变电站自动化系统、配电自动化系统、负荷控制系统等,而电力行业信息安全事件则可能来自这些不同系统或设备的故障,并由此可能通过网络迅速扩大到其他的系统或设备;
2)电力网络协议和电力网络拓扑结构的复杂性和结构设计的不合理性可能导致严重的信息安全事件;
3)熟练的业务处理能力是确保电力调度安全有效的必然要求,因此电力行业信息安全人员业务素质也是导致信息安全事件的重大因素。
现有的以ISO/IEC 27001为标准的ISMS在一定程度上为满足电力行业的信息安全管理需求发挥了重要作用,可以针对电力行业的特点帮助电力企业建设有效的信息安全管理机制,并可以实现持续改进,有效应对不断出现的各种安全风险。
第二篇:电力行业网络与信息安全管理办法
国家能源局关于印发
《电力行业网络与信息安全管理办法》的通知
国能安全〔2014〕317号
各派出机构,各有关电力企业:
为了规范电力行业网络与信息安全的监督管理,国家能源局制定了《电力行业网络与信息安全管理办法》,现印发你们,请依照执行。
国家能源局
2014年7月2日
电力行业网络与信息安全管理办法
第一章 总 则
第一条 为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。
第二条 电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。
第三条 电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。
第二章 监督管理职责
—1—
第四条 国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。
第五条 国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:
(一)组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;
(二)组织制定电力行业网络与信息安全的发展战略和总体规划;
(三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施;
(四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理;
(五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作;
(六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作;
(七)组织开展电力行业网络与信息安全的技术研发工作;
(八)电力行业网络与信息安全监督管理的其它事项。
第三章 电力企业职责
第六条 电力企业是本单位网络与信息安全的责任主体,负责本单位的网络与信息安全工作。
第七条 电力企业主要负责人是本单位网络与信息安全的第一责任人。电力企业应当建立健全网络与信息安全管理制度体系, 成立工作领导机构,明确责任部门,设立专兼职岗位,定义岗位职责,明确人员分工和技能要求, 建立健全网络与信息安全责任制。
第八条 电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求,对本单位的网络与信息系统进行安全保护。
第九条 电力企业应当选用符合国家有关规定、满足网络与信息安全要求的信息技术产品和服务,开展信息系统安全建设或改建工作。
第十条 电力企业规划设计信息系统时,应明确系统的安全保护需求,设计合理的总体安全方案,制定安全实施计划,负责信息系统安全建设工程的实施。
第十一条 电力企业应当按照国家有关规定开展电力监控系统安全防护评估和信息安全等级测评工作,未达到要求的应当及时进行整改。
第十二条 电力企业应当按照国家有关规定开展信息安全风险评估工作,建立健全信息安全风险评估的自评估和检查评估制度,完善信息安全风险管理机制。
第十三条 电力企业应当按照网络与信息安全通报制度的规定,建立健全本单位信息通报机制,开展信息安全通报预警工作,及时向国家能源局或其派出机构报告有关情况。
第十四条 电力企业应当按照电力行业网络与信息安全应急预案,制定或修订本单位网络与信息安全应急预案,定期开展应急演练。
第十五条 电力企业发生信息安全事件后,应当及时采取有效措施降低损害程度,防止事态扩大,尽可能保护好现场,按规定做好信息上报工作。
第十六条 电力企业应当按照国家有关规定,建立健全容灾备份制度,对关键系统和核心数据进行有效备份。
第十七条 电力企业应当建立网络与信息安全资金保障制度,有效保障信息系统安全建设、运维、检查、等级测评和安全评估、应急及其它的信息安全资金。
第十八条 电力企业应当加强信息安全从业人员考核和管理。从业人员应当定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。
第四章 监督检查
第十九条 国家能源局及其派出机构依法对电力企业网络与信息安全
工作进行监督检查。
第二十条 国家能源局及其派出机构进行监督检查和事件调查时,可以采取下列措施:
(一)进入电力企业进行检查;
(二)询问相关单位的工作人员,要求其对有关检查事项作出说明;
(三)查阅、复制与检查事项有关的文件、资料,对可能被转移、隐匿、损毁的文件、资料予以封存;
(四)对检查中发现的问题,责令其当场改正或者限期改正。
第五章 附 则
第二十一条 本办法由国家能源局负责解释。
第二十二条 本办法自发布之日起实施,有效期五年。2007年12月4日原国家电力监管委员会发布的《电力行业网络与信息安全监督管理暂行规定》(电监信息〔2007〕50号)同时废止。
第三篇:德国电力行业安全管理介绍
德国电力行业安全管理介绍
2000年9月1日~15日,国家电力公司组织考察团赴欧洲进行了以安全管理为主的访问考察。目的是了解发达国家的电力安全管理情况,学习他们在市场经济条件下安全管理的好方法和经验。在欧洲期间,考察团对德国联合电力公司(VEAG公司:负责新联邦洲的发、输电业务)及其所属的电厂进行了专业访问。通过情况介绍、现场参观和互相交流讨论,对德国电力企业安全管理情况,例如安全管理体制、机构设置和人员配置、职责范围、规章制度、事故调查及处理以及确保电力生产安全的组织和技术措施等有了一定的认识,对于在市场经济条件下安全管理方面出现的新问题了解到了一些可供借鉴的经验,现将这次安全管理考察情况介绍如下。!N& |* [.S, V 1 安全管理机构设置及日常工作出于对安全工作的重视,德国的各电力企业均设有专门的安全管理机构和人员。在VEAG公司,总部设有独立的人身安全管理处,定编4人,具体负责VEAG公司的电网、电厂、基建和多种经营企业的人身安全管理。该管理处由管理人事的董事主管,直接对董事会负责。对于设备安全,实行谁主管谁负责,上至董事,下至基层单位职工都要对设备安全负责。在公司电网部和发电部的生产管理处各设1~2名工程师从事设备安全的管理工作。在公司基层,一般只设一个专职安全工程师,负责日常的安全工作,直接对一把手负责。* 6对核电厂,安全问题尤其重要,因此巴伐利亚Isar核电厂专门设置了安全部和辐射防护部。安全部负责劳动保护、消防及核电站核反应堆的安全保卫,共有员工60~70人。辐射防护部主要负责与核泄漏有关方面的事务及环境监测等。这2个部和销售部由电厂一把手直接管理,由此可见核电厂对安全工作的重视程度。8 S3 Vw7 G'
安全部门和人员主要行使以下职能:!?8 `1 z$ B1 V/ ?* I3 p
(1)贯彻执行国家有关安全的法律和行业安全技术规程、技术标准,根据自身情况制定本公司、本企业的安全管理规则,并监督执行; $ T# ^2 _' D;S: _4 C(2)根据国家规定的权限,组织并参与事故的调查与处理,研究反事故对策,对事故进行统计分析并上报; 8 @' Y% @+ Y“ t0 l.h
(3)现场安全监察; 0 J, z(S.|: j+ V$ f{
(5)环境监测。
(4)制定职工安全教育和安全技术培训计划;.I2 _, C# _* g 2 安全法规与安全规章制度
在德国,安全管理法规制度比较健全,国家有专门的劳动安全法和环保法;各行业根据行业特点制定安全技术规范;各企业都有自己的具体安全规程。从人身安全方面来看,安全法规制度可分为以下几个层次:q(W, ?* o: Z* X
在VEAG公司编制安全规章制度的指导思想是:制定尽可能完善、具体的安全规章制度供基层单位执行。为保证企业制定的安全规章制度与国家法律相一致,且不发生疏漏,VEAG公司正计划专门聘请法律方面的专家或专业公司就自身的安全规程制度进行咨询,从而保证企业安全规程的正确性、严密性和与法律要求的一致性。6 ~
在安全规程的执行上,强调以人为本的个人负责制,即在每个职员从事电力生产工作的同时,必须根据相应规程对安全负责,按章行事,从而避免或尽最大可能减少事故的发生。3 事故防范措施 ” p8 v;t1 f8 a8 j
在德国的电力企业中,为防止发生事故,采取了一系列防范措施,除有工作票、操作票、工作许可制度等组织措施外,特别重视安全技术措施,在资金上也舍得投入。其指导思想是:人员总会有过失,要通过在设备上采取措施(例如提高设备自动化程度,减少人员直接操作设备,装设闭锁或其他防护措施),使某些人员过失不致引起事故。在这次考察活动中,留下深刻印象的有以下几个方面: 2 y9 H# R.c-X: e-^4 ^;iH
(1)电网安全
德国电力供应的可靠性具有与其现代化、高效率的工业社会相称的高水平。在德国以至整个西欧,保证电网安全的重大措施之一是:在电网规划、电网运行方式安排和运行中,对电网的非正常状态下的安全性按n-1标准进行检验。在某些极端情况下,还要考虑n-2情况下是否会发生电网稳定破坏、电网参数越限、电力供应中断、发生机组失稳等。特别注意在电网规划设计阶段优化电网结构,给运行创造条件,在n-1情况下通过合理安排电网的运行方式确保电网的安全运行。
此外,为提高供电可靠性,在110 kV电网中,中性点采取不直接接地运行,对架空线路较多采用经消弧线圈接地的运行方式。
(2)防止高处坠落
在参观的几个电厂里,有好几处检修现场,有些工作量并不大,但检修用的脚手架搭设得非常规范,脚手板摆设整齐且绑扎牢固,护栏高度和密度严格按要求装设,上、下脚手架的梯子也牢固与脚手架固定。1 w)r^* x;j7 ~9 ~0 a.D
(3)防止人员误操作
防止误操作主要采取两种技术措施:一是装设防误闭锁装置,型式以电气闭锁为主;二是提高设备的自动化程度,减少人员直接操作设备的机会。由于技术措施得力,值班人员遵章操作,故所到之处均未听说过发生误操作事故。
(4)安全标志)E/ l0 H![-b, e`$ w
所参观之处,现场很少见到安全标语、口号,但现场安全指南较多。如在消防器材存放处,张贴有发生火险后应采取的措施,按步骤详细注明了处置办法,使人一目了然,明白应该做些什么和怎么做。在现场急救设施旁则贴有发生人身伤害事故时的处理方法,也是一步一步详细注明。此外,现场逃生通道保证绝对畅通,逃生通道的标志随处可见。
(5)现场救护设施
在生产现场,都固定存放着现场急救设施,如呼吸器、急救药品、防护用具,甚至有担架。在发生人身伤害事故时,使受伤人员能及时得到救护,尽量减少伤害程度。
(6)核电厂的安全设施
由于核电厂安全至关重要,在Isar核电厂只要与安全有关的设施均装设4套,一套运行,3套备用,以确保万无一失。反应堆按防8级地震设计,其内部可移动部件、工器具、桌椅等全部用绑带捆扎固定,防止互相撞击。反应堆最外层为2 m厚的钢筋混凝土,可承受飞机的撞击。考虑到电厂送电线路的重要性,对出线塔采取了用大水泥柱做塔脚并加装铁丝网等措施,防止他人误登杆塔。
在安全组织措施上值得一提的是,该厂对进入现场的工作人员采用计算机管理。将能进入核电厂检修的人员、任务、工作时间等资料输入计算机。当计算机检测到当天无此项任务或因超过规定工作时间而未列入当 天允许进入电厂名单的人员,由计算机控制的门则不能打开。因此,无关人员和可能因工作时间过长受辐射超标的人员是无法进入生产现场的。这对保证人身和设备安全起到了重要作用。$ w!^/ d* x% d!F+ J5 V# n事故调查与处理
对人身事故、重大设备事故和环保事故的调查和处理完全依据国家和行业有关法律和标准进行。当地政府的有关部门,如**局、**、劳动局、技术监督公司都将参加事故调查。在一般设备事故的调查和处理上,德国电力企业采取的是重调查分析事故原因和制定防范对策,轻处罚的原则。
他们处理事故的哲学思想是:人总是会犯错误,因此要允许人犯错误,也要允许他们改正错误。对不是故意破坏的人为过失事故,鼓励当事人讲出事实**。正因为不处罚或处罚很轻,对当事人无负面影响,当事人愿意讲出事故**,这就有利于研究采取切实可行的防范措施,杜绝类似
事故的再发生。如果加重处罚,人们就不愿讲真话,工作时就紧张,反而易出事故。例如在Isar核电厂,在一次检修中曾经发生过轴承掉入核反应堆的严重事件,导致电厂停产10天。事故发生后,厂方认真了解事故发生的经过,组织人员多方面分析事故原因,如设计、安全措施、作业人员当天的思想动态等,并根据不同的因素采取相应的措施,有效地防止了类似事故的再发生。而对当事人并未给予处罚。当然,如果经过分析,该事故责任人确实不适合从事某项工作,则将考虑调换工作岗位。如果触犯了法律,将依法处理。
(|$ D)S# ?y“ Y1 i/ e
在VEAG公司发生非故意破坏的人为责任事故后,除认真分析事故原因采取防范措施外,有关领导还将找当事人谈话,使其在今后的工作中多加注意,如果再发生类似事故才给予处分。据介绍这与以前**德国时期的处理方法大不相同,经过十多年的实践证明,这种处理方式有利于事故的防范。在VEAG公司,人身事故从1991年的32.1人次/千人下降到1999年的8.7人次/千人(人身事故的统计范围为工休3天以上的生产工伤事故和上下班途中发生的交通事故),下降幅度达到72.8%。
关于事故报告,特别强调及时报告。在Lippendorf火电厂的主控室见到一张事故报告程序表,表中列出了发生某种事故后,要根据事故类型和严重程度,按程序表上的次序立即电话报告本厂、VEAG总部以及当地政府有关部门、保险公司的有关人员。
值得一提的是,在VEAG公司,对安全情况好的基层单位也要给予奖励。原则是以精神鼓励为主,辅以物质奖励。中介机构多方介入企业安全管理
在德国,除政府有关部门根据法律对企业的安全生产进行监督外,一些中介机构也以不同的方式从不同的角度介入企业的安全管理。从人身安全方面,企业职工的工伤保险是强制性的,电力企业职工按规定全部在工伤事故保险联合会精密机械和电气分部投保。该保险机构将定期和不定期地对电力企业进行检查,监督企业的负责人和员工是否遵守国家有关劳动保护和人身安全的法律。除此之外,该保险机构还根据精密机械和电气行业的特点,制定了一些安全标准和规范。电力企业必须遵守这些规范,并按规定接受他们的监督和检查。一旦发生人身事故,该保险机构将直接参与人身事故的调查和处理。
从设备安全 来说: 德国有一个涉及到各行各业的技术监督公司,专门从事设备的技术监督工作。他们受政府的委托,定期对电力企业特别是核电厂的各种设备及辐射情况进行检测,并进行安全评估。另外,也受企业委托对企业内的设备进行检测,并给出检测报告。例如对于电力企业的基建工程和检修的外包工程,往往是由该公司承担检验任务,对设备安全性和工程质量做出评价。8 I2 P: C$ z# g)S* C# C, r
中介机构还受政府部门的指派或企业的邀请定期或不定期对企业进行风险评估(安全性评价)。这样做的好处是:(1)形成了企业内部的安全生产由政府、中介机构、企业自身三家共管的机制,使安全监督更加完善有效;(2)中介机构站在中间立场,能够公平、公正、客观地监督企业的安全行为以及外来施工、检修队伍工作质量是否符合国家和行业的有关标准,指出企业安全生产上和外包工程中存在的问题。0 L+ I& B)V4 ” y: B4 }与安全生产密切相关的两项工作 # z!T/ T, u.P' |/ i
技术培训工作和质量管理与安全生产密切相关,正因为如此,这次所到的几个单位都对这两项工作极为重视。他们的体会和经验是抓好这两项工作,是搞好安全生产的基础。
在技术培训方面,通常是企业决策层组织有关部门编制培训计划,并组织实施。对新进来的工人要先送到专业学校进行专业理论培训,再回到企业进行专业实践培训,然后才能上岗工作。对在岗人员则主要是在企业内部进行技术培训。培训内容中有两项是必不可少的:一是安全教育,二是事故预防和自我保护及应急措施。在Isar核电厂,对运行人员的培训抓得很紧,他们实行五班三倒制,以5周为1个周期,在这个周期中,3个班负责运行,1个班休息,1个班则
集中进行业务培训。
对外来施工检修人员,在开工前也要进行安全教育,采取的形式多种多样。Isar核电厂根据本厂的具体情况摄制了安全教育影片。当有外来检修队伍时,则要组织他们观看,使他们熟悉该厂有关的设备情况、危险部位和 安全注意事项。外来人员在看懂后要签字确认才能开始工作。在以后的工作中,外来人员如有严重违反厂内安全规定的行为,厂方有权将其逐出厂外。;z1 {6 A“ T2 _-l在质量管理方面,主 要是贯彻ISO 9001,ISO 9004。在VEAG公司,其管理总部(相当于我们的网、省公司本部)据此制定了本企业质量管理规定并对下属企业的安全、质量以及环境保护进行监督。在每个基层企业内部则有专门的工作小组负责生产中的质量监控。5 m/ U9 ]: Z;n4 7 ~* k$ k.b7 J;K
质量管理包括两个方面内容,一是检验外来产品、外包工程的施工、检修质量。对于购置的大型设备,均要派出专家组驻厂监造;对于外包的基建或维修工程,则大多数委托技术监督公司来进行质量检验。二是监督企业内部的生产、检修质量,包括电能质量、本企业人员的工作质量等。体会与建议
(1)通过对德国几家电力企业的考察,体会最深的是:德国电力企业对安全工作极为重视,从言语到行动上处处体现了安全就是效益的思想。特别是在市场经济的条件下,充分认识到搞好安全生产是提高企业经济效 益的前提。VEAG公司在由**德国时期的国有企业向私有化转轨的过程中,安全工作不仅没有削弱,反而得到了加强。主要表现在:一是在大幅度裁员的情况下,保留了安全管理机构和足够的管理人员;二是在转轨过程中系统地制定了安全规范和制度,按法律和制度规范每个职工的行为;三是公司高层管理人员明确主要任务是抓安全和效益,到基层单位检查工作主要检查生产任务完成情况和安全生产情况;四是大规模进行设备更新改造,除供热机组外,500 MW以下的燃煤机组全部停运,新建大容量机组均采用新技术和冗余设计,并在环保方面大量投入。10年来的实践证明,他们取得了成功的经验,事故大幅度下降。对于安全管理和监督,要强调员工对安全生产直接的责任,在完成生产任务的同时,必须保证自身安全和设备安全。同时,要健全机构,完善制度,保证在电力体制改革过程中安全监督工作力度不减。
(2)职工技术素质高低、安全意识如何直接影响企业的安全生产水平。因此抓好职工的教育与培训具有特殊意义。这项工作必须引起国内电力企业决策层的高度重视,一要认真组织制订培训计划;二要按培训计划认真搞好职工的培训工作,避免流于形式,使技术培训和安全教育真正收到实效。
(3)提高安全生产水平,要依靠科技进步。VEAG公司减少事故的重要措施之一是提高设备的自动化程度,尽量减少人员过失引起的事故。与德国电力企业相比,我国电力企业中违章现象较为突出,更应该多在设备上采取技术措施,防止人员过失4 `5 w& T;`$ d/ B;m4 g4 [s4 U7 A
造成事故。
(4)随着市场经济的发展,社会中介机构参与企业的安全管理是必然趋势。建议探讨利用社会力量参与监督、管理企业安全生产的方法和途径。% J” a9 C0 x% A9 x;Y* c
提高电力企业的安全生产水平。
第四篇:信息安全体系建设需求[模版]
信息安全体系建设需求
一、信息安全体系建设第一期工作目标
(一)第一期工作的总体目标:
1)
2)
3)
4)
5)明确集团总部信息安全管理的目标 对目标进行分解,制定目标达成的蓝图规划 完善信息安全体系 在信息管理部实施 达到国资委A级要求
(二)本项目的具体目标如下:
1)了解信息安全现状,收集信息安全的需求,在集团总部进行全面的风险评估,明确集团总部信息安全整体目标,制定信息安全目标达成蓝图规划。
2)
3)在集团总部建立信息安全组织体系架构、明确信息安全职责,保持信息安全组织的良好运作。完善、发布集团总部各项信息安全体系制度,使集团信息安全管理工作规范化,并通过多种手段来促进信息安全制度在信息管理部落实,达到国资委信息安全A级要求,并通过ISO 27001认证。
4)通过各种形式的宣传推广活动,增强员工的安全意识和责任意识,尽量减少用户的无意识信息泄露行为。
5)建立信息安全的规划、建设、运行、检查与改进的循环管理机制,通过持续的改进和提升,使集团信息安全管理水平的持续提高。
第五篇:信息安全管理
概述
1、信息安全定义:在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭至破坏、更改和泄露
2、分类:实体安全、运行安全、信息安全、管理安全
3、信息安全保障:人员、技术、管理
4、管理活动的五个基本要素:
谁来管:管理主体,回答由谁管的问题;
管什么:管理客体,回答管什么的问题;
怎么管:组织的目的要求,回答如何管的问题;
靠什么管:组织环境或条件,回答在什么情况下管的问题。
管得怎么样:管理能力和效果,回答管理成效问题。
5、信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。
6、信息安全管理是信息安全保障体系建设的重要组成部分
7、信息安全管理的内容:安全方针和策略;组织安全;资产分类与控制;人员安全;物理与环境安全;通信、运行与操作安全;访问控制;
点击咨询 