标准规范下载简介
GB/T_37138-2018_电力信息系统安全等级保护实施指南.pdfGB/T 371382018
电力信息系统安全等级保护实施指南
DB37/T 4260-2020标准下载plementation guide for cyber security classified protection of electric pow information system
国家市场监督管理总局 发布 中国国家标准化管理委员会
GB/T37138—2018目 次前言引言IV1 范围2规范性引用文件3术语和定义等级保护实施概述4.1基本原则4.1.1结构优先原则4.1.2联合防护原则4.1.3安全可控原则4.1.4立体防御原则4.2角色和职责4.2.1电力信息系统运行单位4.2.2电力调度机构4.2.3电力信息系统安全服务机构4.2.4电力信息系统安全等级测评机构4.2.5电力信息系统安全产品供应商4.2.6电力信息系统供应商4.2.7电力信息系统设计单位4.2.8主管部门4.3实施的基本活动5定级与备案5.1定级与备案阶段的流程5.2定级对象分析5.2.1电力信息系统分析5.2.2定级对象确定5.3安全保护等级确定5.3.1定级、审核和批准5.3.2形成定级报告5.4定级结果备案6测评与评估6.1测评与评估的流程等级测评6.2.1测评机构选择6.2.2测评准备6.2.3方案编制10
GB/T371382018
6.2.4 现场测评 6.2.5 分析与报告编制 6.3电力监控系统安全防护评估…. 6.3.1 评估形式选择 6.3.2 评估准备 6.3.3 现场评估 6.3.4 分析与报告编制 3 安全整改 7.1 安全整改的流程 7.2 整改方案制定 7.3安全整改实施 7.4安全整改验收 退运 8.1电力信息系统退运阶段的流
3.1电力信息系统退运阶段的流程…. 8.2信息转移、暂存和清除 8.3设备迁移或退运 8.4存储介质的清除或销毁..
本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由国家能源局提出。 本标准由全国电力监管标准化技术委员会(SAC/TC296)归口。 本标准起草单位:国家能源局信息中心、中国南方电网公司、国家电力投资集团公司、中国长江三峡 集团公司、全球能源互联网研究院有限公司、北京卓识网安技术股份有限公司、中国电力科学研究院有 限公司、国网电力科学研究院有限公司、国电南京自动化股份有限公司、南方电网科学研究院有限责任 公司、中国软件评测中心。 本标准主要起草人:梁建勇、胡红升、王保喜、陈雪鸿、阴玉清、李焕、叶世超、陶文伟、王静、李肠照 张翎、毛澍、房磊、赵婷、焦安春、高艳坤、于学军、李凌、刘育辰、吴国华、秦学嘉、丁晓玉、刘寅、张敏、 郁宝坤、张五一、许爱东、陈华军、蒙家晓、周锋、郝鑫。
本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由国家能源局提出。 本标准由全国电力监管标准化技术委员会(SAC/TC296)归口。 本标准起草单位:国家能源局信息中心、中国南方电网公司、国家电力投资集团公司、中国长江三峡 集团公司、全球能源互联网研究院有限公司、北京卓识网安技术股份有限公司、中国电力科学研究院有 限公司、国网电力科学研究院有限公司、国电南京自动化股份有限公司、南方电网科学研究院有限责任 公司、中国软件评测中心。 本标准主要起草人:梁建勇、胡红升、王保喜、陈雪鸿、阴玉清、李焕、叶世超、陶文伟、王静、李肠照 张翎、毛澍、房磊、赵婷、焦安春、高艳坤、于学军、李凌、刘育辰、吴国华、秦学嘉、丁晓玉、刘寅、张敏
GB/T371382018
为规范电力信息系统安全等级保护实施的流程、内容和方法,加强电力信息系统的安全管理,防范 网络攻击对电力信息系统造成的侵害,保障电力系统的安全稳定运行,依据国家和行业有关政策,制定 本标准。 在对电力信息系统实施网络安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其 他有关网络安全等级保护的标准开展工作
GB/T371382018
电力信息系统安全等级保护实施指南
电力信息系统安全等级保护实施指南
本标准规定了电力信息系统安全等级保护实施的基本原则、角色和职责,以及定级与备案、测评与 评估、安全整改、退运等基本活动, 本标准适用于指导电力信息系统安全等级保护的实施
下列文件对于本文件的应用是必不可少的。凡是注目期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T20984 信息安全技术信息安全风险评估规范 GB/T22239 信息安全技术信息系统安全等级保护基本要求 GB/T25058 信息安全技术信息系统安全等级保护实施指南 GB/T25069 信息安全技术术语
GB/T25069和GB/T25058界定的以及下列术语和定义适用于本文件。 3.1 电力信息系统 electricpowerinformationsystem 与电力企业的生产控制、管理运营相关的信息系统, 注:根据信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素,可分为管理信息系统和电力监 控系统。 3.2 管理信息系统 management information system 支持电力企业管理经营的信息系统。 注:包括门户网站系统、财务管理系统、人力资源管理系统等 3.3 电力监控系统 electric power supervision and control system 用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为 基础支撑的通信及数据网络等。 注:包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控 系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和 水电梯级调度自动化系统、电能量计量系统、实时电力市场的辅助控制系统、电力调度数据网络等。
生产控制大区productioncontrolzone
由具有数据采集与控制功能、纵向联接使用专用网络或专用通道的电力监控系统构成的安全区
由具有数据采集与控制功能、纵向联接使用专用网络或专用通道的电力监控系统构成的安全区
GB/T371382018
电力信息系统安全等级保护的核心是对电力信息系统分等级、接标准进行规划、建设、使用。电力 信息系统安全等级保护实施过程应满足GB/T25058中对等级保护实施的基本原则,电力监控系统除 此之外还应遵循以下特定原则
4.1.1结构优先原则
电力监控系统安全防护应坚持“安 、网络专用、横向隔离、纵向认证”的总体原则。以结构安 全为防护重点,通过优化结构,强化边界防护,实施纵深防御
4.1.2联合防护原则
根据电力监控系统在厂网两端的特点和安全保护等级需求,应采用统一分类定级,同步完善厂网两 端电力信息系统的安全防护,通过划分统一的安全区,实现厂网两端边界之间的隔离、认证及统一监视
4.1.3 安全可控原则
关键装置(如:电力专用横向单向隔离装置、电力专用纵向加密认证装置)应经国家有关机构安全检 则认证。电力监控系统在设备选型及配置时,不应选用经国家相关管理部门检测认定并经电力行业主 管(监管)部门通报存在漏洞和风险的系统及设备,生产控制大区除安全接人区外不应选用具有无线通 信功能的设备,电力监控系统在新建、改建、扩建时宜进行安全性测试
4.1.4立体防御原则
免疫、安全应急措施、全面安全管理等措施形成的多维栅格状立体防护体系,
4.2.1电力信息系统运行单位
加强信息安全从业人员考核和管理,从业人员定期接受相应的政策规范和专业技能培训,并经培训 合格后上岗
4.2.2电力调度机构
电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂涉网部分的电力监控系 统安全防护的技术监督。 电力调度机构、发电厂、变电站等运行单位的电力监控系统安全防护实施方案应在经本企业的上级 专业管理部门和信息安全管理部门审阅后报相应电力调度机构的审核,方案实施完成后应由上述机构 验收。 接人电力调度数据网络的设备和应用系统,其接入技术方案和安全防护措施应经直接负责的电力 调度机构同意, 建立健全电力监控系统安全的联合防护和应急机制,制定应急预案。电力调度机构负责统一指挥 调度范围内的电力监控系统安全应急处置,
4.2.3电力信息系统安全服务机构
根据电力信息系统运行单位的委托, 办助电力信息系统运行单位完成等级保护 建设及整改工作,包括电力信息系统的安全保护等级 安全需求分析、安全总体规划、安全建设和安全 服务支撑平台提供等
4.2.4电力信息系统安全等级测评机构
电力信息系统安全等级测评机构根据电力信息系统运行单位的委托,协助电力企业按照国家及电 力行业网络安全等级保护的管理规范和技术标准,对已经完成等级保护建设的电力信息系统进行等级 测评及安全防护评估,按要求对测评报告进行评审和备案;对信息安全产品供应商提供的产品进行安全 测评。 电力信息系统安全等级测评机构应履行相应的义务,包括遵守国家有关法律法规和技术标准,提供 安全、客观、公正的检测评估服务,保证测评的质量和效果;保守在测评活动中知悉的国家秘密、商业秘 密、业务敏感数据和个人隐私,防范测评风险;对测评人员进行安全保密教育,与其签订安全保密责任 书,规定应履行的安全保密义务和承担的法律责任,并负责检查落实, 电力信息系统安全等级测评机构可根据信息系统运行单位安全保障需求,提供信息安全咨询、应急 保障、安全运维、安全监理等服务
4.2.5电力信息系统安全产品供应商
电力信息系统安全产品供应商负责接照国家及电力信息系统安全等级保护的管理规范和技术标 准,开发符合等级保护相关要求的网络安全产品,接受安全测评;按照国家有关要求销售网络安全产品 并提供相关服务。 电力信息系统专用产品供应商除应做好上述工作外,还应以合同条款或者保密协议的方式保证其 所提供的设备及系统符合政策法规的要求,在设备及系统的全生命周期内对其负责;并按照国家有关要 求做好保密工作,防范关键技术和设备的扩散,
4.2.6电力信息系统供应商
电力信息系统供应商应按照电力信息系统安全等级保护的管理规范和技术标准,开发符合等级 目关要求的电力信息系统,不得设置恶意程序,并按照等级保护相关要求对所开发的电力信息系统 部署,并提供相关服务。一旦发现其产品和服务存在安全缺陷、漏洞等风险时,应立即采取补救措
GB/T371382018
按照规定及时告知用户并向有关主管部门报告。 电力信息系统供应商应为其产品、服务持续提供安全维护;在规定的期限内,不得终止提供安全 维护。 电力信息系统供应商提供的产品、服务具有数据采集功能的,应将所采集的数据类型和需求向运行 单位说明,并取得同意后方可实施。 在设备选型及配置时,不应选用经国家相关管理部门检测认定并经电力行业主管(监管)部门通报 存在漏洞和风险的系统及设备;对于已投人运行的系统及设备,应按照电力行业主管(监管)部门的要求 及时配合运行单位进行整改,
4.2.7电力信息系统设计单位
电力信息系统设计单位规划设计管理信息系统、电力监控系统、智能设备、通信及数据网络时,应明 角系统的安全保护需求,设计合理的安全总体方案,制定安全实施计划,负责安全建设工程的技术支撑 主设计过程中,应充分考虑系统整体结构方面与电力信息系统安全防护原则的一致性,与GB/T22239 行业基本要求在技术类各安全层面、控制点、要求项的一致性
参见GB/T25058
图1电力信息系统安全等级保护实施基本活
在安全运行与维护阶段,电力信息系统因需求变化等原因导致局部调整,而其安全保护等级并未改 变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级 保护的要求;当电力信息系统发生重大变更导致安全保护等级变化时,应从安全运行与维护阶段进人等 级保护对象定级与备案阶段,重新开始一轮网络安全等级保护的实施过程
GB∕T 41129-2021 绿色展台评价指南.pdf5.1定级与备案阶段的流程
GB/T371382018
电力信息系统运行单位应按照国家和行业有关标准和管理规范,确定所管辖电力信息系统的安全 保护等级,组织专家评审,经本企业的上级信息安全管理部门或组织审核、批准后,报公安机关备案,获 取《信息系统安全等级保护备案证明》,主管部门有备案要求的,应将定级备案结果报送其备案。 对于新建电力信息系统,第二级及以上电力信息系统,按照国家及行业有关要求(原则上在系统投 入运行后30日内),电力信息系统运行单位到公安机关办理备案手续。 对于在运电力信息系统,按照国家及行业有关要求(原则上在安全保护等级确定后30内),第二 级及以上电力信息系统运行单位到公安机关办理备案手续。 电力信息系统定级与备案阶段的工作流程见图2。
5.2.1电力信息系统分析
土建施工方案通用施工组织设计图2电力信息系统定级与备案阶段流程
本活动的目标是通过收集了解有关电力信息系统的信息,并对信息进行综合分析和整理,分析运行 单位的主要社会功能/职能及作用,确定履行主要社会功能/职能所依赖的电力信息系统,整理电力信息 系统处理的业务及服务范围,最后依据分析和整理的内容,依据电力行业定级指导意见,形成单位内电 订信息系统的总体描述性文档 参与角色为运行单位,电力信息系统安全服务机构。 活动输人为单位情况说明文档,电力信息系统的立项、建设和管理文档,电力行业定级指导意见。 本活动主要包括以下子活动内容: