国家电网报:完善网络安全管理体系

发布日期:2017-07-10 信息来源:中国电力财务有限公司

作为电力行业的金融企业,中国电力财务有限公司把贯彻落实《网络安全法》作为抓手,以新核心业务系统实施上线为契机,落实“三同步”要求,完善网络安全管理体系,确保国家电网公司资金安全。

宣贯《网络安全法》 提升安全意识

“《网络安全法》第27条规定,任何单位和个人不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动……”这是中国电财每位员工进入单位电梯后就会听到的声音。《网络安全法》颁布后,中国电财通过多媒体、印发手册、召开培训会等多种手段积极宣贯《网络安全法》。

5月26日,在《网络安全法》即将施行之际,中国电财的会议室座无虚席。特邀的国家网信办有关专家正在向全员做《网络安全法》解读的专题培训。“今天的讲座为我们从法律层面深入解析了即将实施的《网络安全法》及其核心要义,具有很强的针对性和指导性。”该公司副总经理在会后说道。

通过一系列的宣贯活动,中国电财全员的安全意识逐渐从“要我安全”转变为“我要安全”。陆续有部门和个人主动进行桌面安全自查,索要第三方服务人员网络安全承诺书等,全员的安全意识得到显著增强。

实施“三同步” 助推安全管理

网络安全风险的未知远远大于已知,尤其在系统建设阶段,忽视安全问题最容易埋下隐患。如何在系统建设初期就采取措施,合理规避风险?《网络安全法》第27条提出的“三同步”原则(同步规划、同步建设、同步使用)很具指导意义。

中国电财开展的新一代核心业务系统就是以“三同步”原则来进行的。2015年,中国电财正式立项,开展新一代核心业务系统建设。为保障新核心相关系统上线后安全稳定运行,中国电财制订了信息安全全生命周期管控计划并严格执行。新核心系统项目启动阶段,开展系统定级备案梳理工作,提前确定系统等级,并根据等级保护定级情况,形成独立的安全防护方案;系统开发实施阶段,完成非功能需求差异分析及非功能需求说明书编制;系统完成设计研发和内部测试后,组织各系统研发单位开展第三方安全测试工作,严禁系统“带病上线”。

中国电财每年定期梳理信息系统定级、备案、测评、整改情况,确保在运二级以上系统100%安全备案,并按照国家电网公司等级保护相关要求,每两年开展一次等级保护测评,三级系统每年开展一次等级保护测评。截至目前,该公司已完成相关安全类测评52次,测评中发现的漏洞隐患均已闭环整改。

落实多举措 保障网络安全

“各部门、各单位必须高度重视网络与信息安全工作,全面学习贯彻国家《网络安全法》。”这是在年度信息化工作落实会议上,中国电财主要负责人特别提出的要求。

中国电财党委高度重视网络与信息安全工作,成立了由董事长、党委书记任组长的网络与信息安全领导小组,召开会议专门研究部署有关工作。在2月16日的信息化工作落实会上,该公司印发了《关于落实国家网络安全法进一步强化公司信息网络安全的通知》文件,提出了15项信息与网络安全保障重点工作措施。

中国电财不断完善网络安全制度体系,以《网络安全法》实施为契机,组织修订信息安全管理办法、信息系统全生命周期安全工作规程、应急预案、账号权限管理办法等各项安全制度,并积极联系各安全厂商,了解相关安全预警和防护设备,落实《网络安全法》提出的用户信息保护、监测预警、信息通报及应急处理制度,确保网络与信息安全,保障国家电网公司资金安全。