GB∕T 36047-2018 电力信息系统安全检查规范.pdfGB∕T 36047-2018 电力信息系统安全检查规范.pdf
GB/T36047—2018 目次 前言 1范围………………………41 2规范性引用文件 3术语和定义 4检查工作流程 重(重重11 日1111111,D111,I 4.1检查准备…… 4,2检查实施 :·.日,::::日:::日日 4.3检查结果分析…………………………………………………………………………………………3 5检查内容和检查方法 5.1组织体系 中。 ,·垂垂,,,普 规章制度………… 5.3资金保障……… 5.4人员安全管理 5.5服务外包管控 中·,平费中·中·费··鲁·鲁中·平 5,6关键信息资产管控… 5?信息系统建设安全管理………………………………………………………………………7 5.8信息系统运行安全管理 5.9应急管理……… ·::·::::·“.a::·.::·::a:“a:.:·a: 5.1C安全分区防御体系……………………………………………………………………………10 5,11网络安全防护 量勤画 ………………………12 5.12主机和设备安全防护… 13 5.13应用系统和数据安全防护 14 5.14物理环境安全防护……… 15 5,1:业务连续性保护… ·.···.···· 附录A(资料性附录)风险分析方法… ……………17 A.1定性分析 17 A,2定量分析……………………………………………………………………………………18 参考文献 ……………………25 GB/T36047—2018 前言 本标准按照GB/T1.1—209给出的规则起草。 本标准由国家电力监管委员会提出。 本标准由全国电力监管标准化技术委员会(SAC/TC296)归口。 本标准起草单位:国家能源局信息中心、国家能源局华北监管局、国家能源局浙江监管办公室 本标准主要起草人:梁建勇、胡红升、周志明、陈雪鸿、黄瑞意、陈红建、王、温红子、叶世超、李焕、 谷双魁、刘韧、朱朝阳、李凌、朱世顺、张五一、刘雪梅、陈华军、郑晓崑、张鍶、赵婷、毛澍。 GB/T36047—2018 引言 为规范电力信息系统安仝的检查流程、内容和方法,防范网络与信息安仝攻击对电力信息系统造成 的侵害,保障电力信息系统的安全稳定运行,保护国家关键信息基础设施的安全,依据国家有关信息安 全和电力行业信息系统安全的规定和要求,制定本标准 GB/T36047—2018 电力信息系统安全检查规范 本标准规定了电力信息安全检查工作的流程、方法和内容等 本标准适用于行业网络与信息安全主管部门开展电力信息系统安全的检查工作和电力企业在本集 团(系统)范围内开展相关信息系统安全的自查工作。 2规沁性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T5271.8信息技术词汇第8部分:安全 GB17859—1999汁算机信息系统安全保护等级划分准则 GB/T22239—2008信息实全技术信息系统安全等级保护基本要求 GB/T250692010信息安全技术术语 3术语和定义 GB/T5271.8、GB178591999,GB/T22392008和GB/T250692010界定的以及下列术语 和定义适用于本文件 电力信息系统 electric power information svstem 与电力企业的生产、运营、管理、控制相关的信息系统 注:根据信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素,可分为管理信息类系统和生产 控制类系统。 3.2 管理信息类系统 management informalion systen 支持电力企业的营、管理和运营的信息系统.。 注:如门户网站系统、电力营销管理系统、财务管理系统、人力资源管理系统、物流管理系统和质量管理系统等。本 类系统往往部署于管理信息大区,与互联网的隔离强度为逻辑隔离或强于逻辑隔离但弱于物理隔离。 生产控制类系统 production control system 用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备。 注:如电力调度数据网络、电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统 发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统负荷控制系统、 水调自动化系统和水电梯级调度自动化系统、电能量计量系统、实时电力市场的補助控制系统等。本类系统 原则上部署于生产控制大区,与互联网的隔离强度近似于物理隔离。 3.4 控制区 control area 具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安 GB/T36047—2018 全区域。 3.5 非控制区 non-control area 生产控制范围内,由在线运行但不直接参与控制、作为电力生产过程的必要环节、纵向联接使用电 力调度数据网的非实时子网的各业务系统构成的安全区域。 4检查工作流程 4.1检查准备 4.1.1明确检查工作依据 检查工作依据包括国家信息安全规范性文件及标准、行业信息安全规范性文件及标准、主管机构要 求等 4.1.2明确检查工作范围 检査工作范围包括被检查方、被检査系统、涉及的人员等,并通过调研形成信息系统安全检查工作 调研表 信息系统安仝检查匚作调研表可按包含以下要素进行设计; a)信息系统主葜功能、部署位置、闷络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等; b)业务主管部门、运维机构、系统开发商和集成商、上线运行及系统升级日期等 c)定级情况、数据集中情况、灾备情况等 4.1.3明确检査工作内容 检查工作内容由检查方依据有关信息安全主管单位要求、信息安全发展态势和企业的信息安全管 理工作开展情况等进行确定。检查内容由两部分组成,一部分为基本检查内容,见第5章;另外一部分 为补充检查内容,由检查方拟定 根据检查对象的不同,检查内容进一步细分为:通用检查项(标记为G冫、仅适用于管理信息类系统 的检查项〔标记为M)、仅适用于生产控制类系统的检査项(标记为P)。基本检査内容的选取方法分仝 覆盖汏、随机抽取法汏和亘点项抽取法:全覆盖法即区分被检査系统为管理信息类系统还是生产控制类系 统,选取相关仝部备选检查项作为检查内容;随机抽取法即从备选检查项中随机抽取检查内容;重点项 抽取法即从备选检査项中确定重点内容进行检查 制定信息系统安全检查方案和信息系统安全检查工作表。信息系统安全检查方案一般包含概述、 检査依据、技术思路、被检査系统的范围、业务情况、安全防护情况、检査内容和检查组成员、工作计划和 闪容安排等;信息系统安全检査工作表需列出所有检査内容 在现场检査开始前,检査方宜提前将信息系统安全检査方案下发至被檢査方,向被检査方介绍安全 检査的意义和目的、检查流程和工作方法,明确被检查方应提供的基夲资料,向被检查方说明检查工仵 自身的风险和规避方法。被检査方应积极配合,向检査方介绍本单位的信息化建设状况与发展情况,为 检查人员的信息收集提供支持和协调,并备份数据和系统,制定应急预案。 由检査方统一组织实施检査工作,确定实施现场检査工作的人员和设备;如委托第三方信息安全服 务杋构实施现场检査工作,检査方应在现场检査前对第三方服务机构及其委派人员的资质进行确认,并 安排专人陪同。 GB/T36047—2018 4.2检查实施 4.2.1检查实施过程工作内容 要依据检査方案开展现场检査工作,通过人员访谈、文档查阅、配置核査、安全测试等检查方法,考 耷信息系统的保护措施与本标准要求的符合情况,取得分析与总结活动所需的资料。 在现场检査过程中,检査方需辨别检査项的不适用,即检査项所防范的威胁在被检查方中是否存 在,如果不存在,则该检查项应标为不适用项。 检査方原则上不接触被检査设备,由被检査方配合人员根据操作规浧和检査需求对被检査对象进 行核査操作。在进行验证測试和工具测试前,检査方应与被检査方充分沟通,提前采取预防措施,避免 影响系统正常运行 被检查方应协助检查方完成业务相关内寳的问询、验证和测试,如对某些需要验证的内寳进行上机 操作、办助检査人员实旌工具测试并提供冇效建议、对检査结果进行确认、检査完成之后确认被检查系 统工作正常等。 检査方根据被检査系统实际情况如实填写信息系统安全检査工作表,检査完成后应由检査方和被 检查方共同签字确认。 4.2.2检查实施过程采用的方法 4.2.2.1人员访谈:检査人员通过与信息系统有关人员(个人或群体)进行交流、讨论等活动,获取证据 以证明信息系统安全防护措施是否有效的一种方法。 4.2.2.2文档査阅:检査人员通过对被检査方支撐信息系统安全建设与运维的安全管理制度、记录等文 档的核査,获取证据以证明信息系统安全的防护要求是否全面,防护规定是否得到执行。 4.2.2.3配置核査:检査人员通过对被检査对象的配置进行査验,获取证据以证明信息系统安全防护措 施是否有效的一种方法。 4.2.2.4安全测试:检查人员使用预定的方法、工具使被检查对象产生特定的行为,通过查阋、分析这些 行为的结果,获取证据以证明信息系统安全防护措施是否有效的·种方法。在检查中也可不重新实旌 安全测试而利用已有的安全测试结果。 4.3检查结果分析 检査结果分析是总结被检査系统整体安全防护能力的综合评价活动,根据现场检查结果和本标准 的相关要求,定位整个系统的安全防护现状与本标准安全要求之间的差,并分析这些差距导致被检登 系统面临的风险,从而给出检杳结论.形成检杳报告和改通知书 在检査结果分析阶段,检査方对检査结果进行整理,编制信息系统安全裣査报告和整改通知书,乜 可参见附录A的定量或定性风险分析方法,给出风险分析结果。 检査方应对检査过程中生成的过程文档进行归档保存,并严格管理。 5检查内容和检查方法 5.1组织体系 1.1第一责任人确立(G 5.1.1.1检查项包括:电力企业主要负责人是否为本单位网络与信息安全的第一责任人 5.1.1.2检查方法:文档查阅,查阋电力企业信息安全文件中电力企业主要负责人是否为本单位网络与 信息安全的第一责任人。 GB/T36047—2018 5.1.2信息安全责任落实(G冫 5.1.2.1检查项包括 a)是否设立信息安全管理工作的职能部门,是査设立安全主管、系统管理员、网络管理员、安全管 理员等岗位; b)是否以文件的形式明确责任部门、责任人员的职责 c)如有电力监控系统,是否将电力监控系统安全防护工作及其信息报送纳入日常安全生产管理 体系,落实分级负责的责任制 5.1.2.2检查方法:文档查阒,查阅信息安全责任部门、责任人员职责文件、日常安全生产管理体系职贡 文件 5.1.3专职机构及岗位设置(G) 5.1.3.1检查项包括:电力企业是否成立工作领导机构,并设立网络与信息安全闵位,定义闵位职责, 明确人员分工和技能要求,明确责任部门。 5.1.32检查方法: 人员访谈,询问电力企业是否设置信息安全工作领导机构,并设立网络与信息安全闵位,定义 岗位职责.明确人员分工和技能要求; b)文档査阅,査阅电J企业信息安全工作领导机构及岗位设置说眀文件 5.1.4安全人员配置(G) 5.1.41检查项包括:电力企业是否配备一定数量的专职信息安全工作人员。 5.1.4.2检査方法:文档查阅,査阅电力企业岗位职责说明及人员岗位职责分配说明。 5.2规章制度 5.2.1整体策略及总体方案制定(G 52.1.1检查项包括:电力企业是否制定符合国家及行业政策要求的信息安全工作整体策略和总体方 案,是否说明了信息安全工作总体目标、范围、防护框架和防护措施。 5.2.1.2检查方法:文档查阋,查阅电力企业信息安全整体策略和总体方案文档。 5.2.2制度制定及体系完整性(G) 52.2.1检査项包括:电力企业是否针对信息安全工作制定基本安全管理制度,并以此为基础形成涵盖 人员管理、资产管理、介质管理、建设安全管理、运行笮护管理、外包服务管理、培训教育等方面的制度 体系。 2.2.2检査方法:文档查阒,查阅电力企业的基本管理制度文件,查看其内容是否涵盖人员管理、资产 管理、介质管理、建设安全管理、运行维护管理、外包服务管理、培训教育等方面。 5.2.3操作规程制定(G) 5.2.3.1检査项包括:电力企业是否对信息安全运行维护人员执行的日常操作制定运维流程和操作 规程。 5.2.3.2检査方法:文档査阅,査阅电力企业制定的运维流程和操作规程文档。 5.2.4制度发布(G) 5.2.4.1检查项何括:电力企业是否通过正式、有效的方式发布信息安全管理制度 4