电力系统信息安全风险评估工作探讨

信息安全风险评估是信息安全管理的基础性工作。是实现信息系统安全水平持续改进的重要手段。主要介绍信息安全风险评估的目的与意义、评估原则、评估策略。评估流祖，可指导、规范和促进各单位开展信息安全风险评估工作，加强信息安全的全过程动态管理，进一步提高信息安全保障水平。     

中国电力科学研究院信息安全实验室检测公告（2013年第2号）

中国电力科学研究院信息安全实验室是电力行业信息安全领域权威检测机构,是国家电网公司唯一指定的信息安全检测机构,同时也是中国信息安全认证中心授权的“IT产品信息安全认证”检测实验室。测评业务领域包括：信息技术产品安全测评、信息安全产品测砰、应朋软件安全测评、信息安全风险评估、信息系统等级保护测评、其他信息安全相关测评等。     

关于加强网络与信息安全保障工作的意见

随着信息技术的广泛应用，网络与信息系统的基础性、全局性作用日益增强，网络与信息安全已成为电网安全的重要组成部分。近年来，国家电网公司的网络与信息安全保障工作取得了一定成效，并多次受到了国家有关部门的表彰。     

中国电力科学研究院信息安全实验室检测公告

(2013年第2号)中国电力科学研究院信息安全实验室是电力行业信息安全领域权威检测机构,是国家电网公司唯一指定的信息安全检测机构,同时也是中国信息安全认证中心授权的"IT产品信息安全认证"检测实验室。测评业务领域包括:信息技术产品安全测评、信息安全产品测评、应用软件安全测评、信息安全风险评估、信息系统等级保护测评、     

浅谈信息安全风险评估及在电力系统的应用

信息安全风险评估是建立信息安全管理体系的基础和前提。介绍和分析了信息安全风险评估的原理、方法、相关标准,并结合在电力系统的风险评估工作实践,探讨了风险评估过程中经常遇到的问题。     

国家电网公司直属单位信息安全规划研究

国家电网公司直属单位与下属省电力公司的业务不同,关注的信息安全风险也不尽相同,其信息安全工作有自己的特点。文章以国家电网公司一直属金融单位为例,从信息安全管理体系、技术体系、运行体系3个方面详细叙述了该单位的信息安全规划及实施步骤。该规划既能满足国家电网公司和行业监管机构的信息安全要求,又能够防范金融企业信息系统面临的安全风险,对其他直属单位的信息安全工作有参考作用。     

地区级供电企业言息安全风险评估研究

论述了建立地区级供电企业信息安全风险评估模型的必要性,并通过研究国内外风险评估及信息安全理论,提出了一种以业务系统为核心,结构ISO27001信息安全管理体系,国家等级保护制度,国家电网公司SG186总体防护方案,适用于供电企业的信息安全风险评估模型。通过浙江省某地区电力局进行的风险评估,详细阐述了该模型的具体实施过程。     

基于ISO 7001的电力信息安全风险评估模型

目前,电力信息安全风险评估逐步受到重视。文章结合广东电网公司实施信息安全风险评估的经验,提出基于ISO27001的信息安全风险评估模型。该模型依据国际通用的信息安全管理体系ISO27001,引入信息安全三元理论,能够从管理、运行、技术3个层面全面评估信息安全风险。     

国家电网公司年度信息安全工作获电力行业网络与信息安全领导小组表彰

2012年12月13日至14日,电力行业网络与信息安全领导小组工作会议在南京召开,国家电网公司年度信息安全工作获得表彰,其中公司信息通信部荣获先进集体,信息通信部有关人员获得信息安全通报工作先进个人称号。会议分析了当前国家与行业的信息安全态势,传达了国务院关于信息安全的若干要求,讨论了电力行业网络与信息安全下一步重点工作．     

安全危机迫在眉睫全面应对持续改进——中国电力科学研究院信息工作办公室副主任、国家电网公司信息安全实验室主任高昆仑

高昆仑(1972-),男,中国电力科学研究院信息工作办公室副主任、国家电网公司信息安全实验室主任,从事电力系统信息化领域工作,近年来重点研究电力系统信息安全,是全国电力二次系统安全防护专家组成员,国家信息安全等级保护评审委员会专家、风险评估推进工作专家组成员,承担国家信息安全领域863课题、“十五”重大科技攻关课题2项,并获国家科技进步二等奖1次,中国电力科学技术奖一等奖1次、二等奖1次。     

电力信息安全主动防御一体化平台研究

电力企业开展风险评估、安全防护工作已有多年[1],取得了一定的经验。文章根据多年信息安全防护工作实践,分析了电力企业信息安全防护现状和面临的问题,研究并设计了一个电力信息安全主动防御一体化平台,以降低信息安全运行维护成本、提高信息安全防护能力。该平台主要由安全测评、安全加固等基础组件和安全态势分析与预测、安全策略规划与调整、解决方案设计与执行、风险评价与监控等高级应用组件组成。     

“信息安全管理与风险评估”课程建设思考

根据北京信息科技大学定位、办学特色和人才培养目标,依据应用型信息安全人才特点和北京信息科技大学信息安全专业人才培养目标与定位,结合"信息安全管理与风险评估"课程教学体会,阐述"信息安全管理与风险评估"课程建设教学改革的内容分析实践教学模式,初步探讨专业交叉融合的教学实践方式,为突出信息安全专业特色以及形成专业交叉渗透提供思路和方法。     

国家电网公司信息化同业对标管理系统投入试运行

国家电网公司为了规范公司信息化管理，希望借鉴国内外相关行业信息化管理的先进经验，以及公司生产对标的方法和思路，通过可量化的信息化对标指标，对信息化管理、系统运行、信息安全、人才队伍建设、信息化科技项目研究、信息化建设等方面进行考评，它是全面促进公司信息化工作的一种手段。     

国家电网公司信息工作办公室成立

国家电网公司党组高度重视信息化建设和管理，于近日专门成立了信息工作办公室。信息工作办公室的主要职责是：贯彻国家有关信息化工作的政策法规；制定公司信息化发展规划和年度计划并组织实施；指导和协调公司系统各单位的信息化规划、年度计划的编制与实施；负责组织、管理并推进公司信息化建设；负责公司网络与信息安全保障管理；制定公司信息化工作的标准、规程、制度和办法；协调和处理信息化工作中的重大问题。     

基于模糊综合评判的电力风险评估方法的研究

风险评估技术能够检测信息系统面临的风险,是实现信息系统等级保护的重要基础和依据.文中以信息安全管理标准ISO/IEC 27000系列为基础构建电力系统信息安全风险评估指标体系,建立电力系统风险评估模型,并且采用多层次模糊综合评判算法计算风险值.首先确定信息系统的保护级别,然后利用ISO/IEC 27005划分信息安全风险因素指标,构建多层次风险因素,设定不同权重和评判集,计算出风险值,并且给出了应用实例验证算法.     

ISO/IEC信息安全管理标准在电网企业中的应用

随着信息技术被广泛地应用于电力行业,信息已经成为现代供电企业的一种重要资产,网络与信息安全问题越来越引起人们的关注.解决网络与信息安全问题不仅要从技术方面着手,同时更应加强其管理工作.嘉兴电力引入ISO/IEC 17799和ISO/IEC 27001这2个信息安全管理标准,对网络与信息安全进行全面规划,建立信息安全管理体系,通过系统的信息安全管理方法来实现信息安全的可控、能控、在控,成效显著.     

信息安全风险评估在核电企业的有效应用

文章结合国家政策、行业规范以及核电企业对信息安全的特殊要求,论述了核电企业开展风险评估的必要性及迫切性;以特定的安全模型为参考基础,通过一定的防护手段,协调平衡威胁、脆弱性及风险三者之间的关系;重点分析了核电企业开展信息安全风险评估的具体实施方法与流程.通过论述得出风险评估是提高企业信息安全保障水平的重要手段之一.     

风险评估在IT系统生命周期中的作用和实践

近年来,信息安全风险评估越来越多的应用于政府、机关、企事业单位的信息安全保障工作中。在简要介绍信息安全风险评估概念的基础上,论述了风险评估与IT系统生命周期的关系,重点研究了在信息系统规划设计阶段、建设验收阶段、运行维护阶段、废弃阶段的风险评估工作方法和工作重点。最后介绍了全过程评估方法在浙江省电力公司"全省大集中的营销管理及决策系统"(简称营销系统)建设过程中的实践。     

国家电网公司信息网运行管理规定(试行)

第一条为确保国家电网公司信息网(SGInet：State GridIrffolma—tion Network，以下简称国家电网信息网)的安全、可靠、稳定运行，保障国家电网公司各类信息在网上的正常运转，加强国家电网信息网的规范化运行管理，制定本规定。     

机房搬迁中全过程安全技术督查的PDAS方法实践

2008年11月,国家电网公司颁布了《国家电网公司信息安全技术督查工作规定》,嘉兴电力局以此为依据,联合浙江省电力试验研究院（简称浙电试院）,尝试信息机房搬迁的全过程安全技术督查。通过对质量管理PDCA方法的消化吸收,形成信息安全技术督查的PDAS系统方法,完成对机房搬迁过程5个阶段的督查工作,确保搬迂工作的顺利进行。