GB/T 37138-2018 电力信息系统安全等级保护实施指南.pdf

3星(超过75%的资源)
所需积分/C币:42 2019-06-14 16:48:29 2.5MB PDF
182
收藏 收藏
举报

GB/T 37138-2018 电力信息系统安全等级保护实施指南,最新版
GB/T37138-2018 6,2,4现场测评 10 6.2.5分析与报告编制………………………………………………………………………………………11 6.3电力监控系统安全防护评估………………………………………………………………………12 3.1评估形式选择 12 6.3.2评估准备……………………………………………………………………………………………12 6,3,3现场评估 音量Dt量生量 13 6.3.4分析与报告编制 13 7安全整改 ………………………14 7,1安全整改的流程…………………………………………………… ……………………14 7.2整改方案制定 …………14 7.3安全整改实施……………………………………………………………………………………15 7.4安全整改验收…………………………………………………………………………………16 8退运… 16 8.1电力信息系统退运阶段的流程………………………………………………………………16 8,2信息转移、暂存和清狳… ………………16 8.3设备迁移或退运 17 8.4存储介质的清除或销毁… 17 参考文献…………………………………………………………………………………………………19 GB/T37138—2018 前言 本标准按照GB/T1.1—209给出的规则起草 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任 本标准由国家能源局提出 本标准由全国电力监管标准化技术委员会(SAC/TC296)归口 本标准起草单位:国家能源局信息中心、中国南方电网公司、国家电力投资集团公司、中国长江三峡 集团公司、全球能源互联网硏究院有限公司、北京卓识网安技术股份有限公司、中国电力科学研究院有 限公司、国网电力科学研究院有限公司、国电南京自动化股份有限公司、南方电网科学研究院有限责任 公司、中国软件评测屮心。 本标准主要起草人:梁建勇、胡红升、王保喜、陈雪鸿、阴玉清、李焕、叶世超、陶文伟、王静、李旸照、 张錋、毛澍、房磊、赵婷、焦安春、高艳坤、于学军、李凌、刘育辰、吴国华、秦学嘉、丁晓玉、刘寅、张敏、 郁宝坤、张五一、许爱东、陈华军、蒙家晓、周锋、郝鑫 GB/T37138-2018 引言 为规范电力信息系统安全等级保护实施的流程、内睿和方法,加强电力信息系统的安全管理,防范 网络攻击对电力信息系统造成的侵害,保障电力系统的安全稳定运行,依据国家和行业有关政策,制定 本标准。 在对电力信息系统实施网络安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其 他有关网络安全等级保护的标准开展工作。 GB/T37138-2018 电力信息系统安全等级保护实施指南 范围 本标准规定了电力信息系统安全等级保护实施的基本原则、角色和职责,以及定级与备案、测评与 评估、安全整改、退运等基本活动。 本标准适用于指导电力信息系统安全等级保护的实施。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20984信息安全技术信息安全风险评估规范 GB/T2239信息安全技术信息系统安全等级保护基本要求 GB/T25058信息安全技术信息系统安全等级保护实施指南 GB/T25069信息安全技术术语 3术语和定义 GB/T25069和GB/T25058界定的以及下列术语和定义适用于本文件。 3.1 电力信息系统 electric power information systen 与电力企业的生产控制、管理运营相关的信息系统 注:根据信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素,可分为管理信息系统和电力监 控系统。 3.2 管理信息系统 management information system 支持电力企业管理经营的信息系统, 注:包括门户网站系统、财务管理系统、人力资源管理系统等。 3.3 电力监控系统 electric power supervision and control system 用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为 基础支撑的通信及数据网络等 注;包括电力数据采集与监控系统、能量管理糸统、变电站自动化糸统、换流站计算机監控糸统、发电丿ˆ计算机监控 系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、氕荷涇制系统、水调自动化系统和 水电梯级调度自动讹系统、电能量计量系统、实时电力市场的辅助控制系统、电力调度数据网络等 3.4 生产控制大区 production control zone 由具有数据采集与控制功能、纵向联接使用专用网络或专用通道的电力监控系统枃成的安全区域。 注:一般包括控制区和非控制区 GB/T37138-2018 3.5 管理信息大区 management information zone 生产控制大区之外的,主要由企业管理、办公自动化系统及信息网络构成的安全区域 4等级保护实施概述 4.1基本原则 电力信息系统安全等级保护的核心是对电力信息系统分等级、按标准步行规划、建设、使用。电力 信息系统安全等级保护实施过程应满足GB/T25058中对等级保护实施的基本原则,电力监控系统除 此之外还应遵循以下特定原则。 4.1.1结构优先原则 电力监控系统安全防护应坚持“安全分区、网络专用、横向隔离、纵向认証”的总体原则。以结构安 全为防护重点,通过优化结构,强化边界防护,实施纵深防御。 4.1.2联合防护原则 根据电力监控系统在厂网两端的特点和安全保护等级需求,应采用统一分关定级,同步完善厂网两 端电力信息系统的安全防护,通过划分统·的安全区,实现厂网两湍边界之间的隔离、认证及统·监视。 4.1.3安全可控原则 关键装置(如:电力专用横向单向隔离裴置、电力专用纵向加密认证裝置)应经国家有关机构安全检 测认证。电力监控系统在设备选型及配置时,不应选用经国家相关管理部门检测认定并经电力行业主 管(监管)部门通报存在漏洞和风险的系统及设备,生产控制大区除安全接入区外不应选用具有无线通 信功能的设备,电力监控系统在新建、改建、扩建时宜进行安全性测试 4.1.4立体防御原则 电力监控系统网络安全防护应逐步建立包括基础设施安全、体系结构安全、系统本体安全、可信安 仝免痰、安全应急措施、全面安全管理等措施形成的多维栅格状立体防护体系 4.2角色和职责 4.2.1电力信息系统运行单位 电力信息系统运行单位负责依照国家及电力行业网络安全等级保护的管理规范和技术标准,确定 电力信息系统的安全保护等级,并在规定的时间内向当地设区的市级以上公安机关备案 按照国家及电力行业网络安全等级保护管理规范和技术标准,进行电力信息系统安全保护的规划 设计;使用符合国家及电力行业有关规定,满足电力信息系统安全保护等级需求的信息技术产品和网络 安全产品.开展电力信息系统安全建设或者整改工作。 制定、落实各项安全管理制度,定期对电力信息系统的安全状况、安全保护制度及相应措施的落实 情况进行自查,选择符合国家及电力行业相关规定的等级测评机构,定期进行等级测评和安全防护 评估。 制定不同等级信息安全事件的响应、处置预案,对电力信息系统的信息安全事件分等级进行应急处 置,并定期开展应急演练;按照网络与信息安全通报制度的规定,建立健全本单位信息通报机制,开展信 息安全通报预警匚作,及时向电力行业主管(监管)部门、属地监管机构报告有关情况。 GB/T37138-2018 加强信息安全从业人员考核和管理,从业人员定期接受相应旳政策规范和专业技能培训,并经培训 合格后上岗。 4.2.2电力调度机构 电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂涉网部分的电力监控系 统安全防护的技术监督。 电力调度机构、发电厂、变电站等运行单位的电力监控系统安全防护实施方案应在经本企业的上级 专业管理部门和信息安全管理部门审阅后报相应电力调度机构的审核,方案实施完成后应由上述机构 验收。 接入电力调度数据网络的设备和应用系统,其接人技术方案和安全防护措施应经直接负责的电力 调度机构同意。 建立健全电力监控系统安全的联合防护和应急札制,制定应急预案。电力调度机构负责统一指挥 调度范围内的电力监控系统安全应急处置。 4.2,3电力信息系统安全服务机构 根据电力信息系统运行单位的委托依照国家及电力信息系统安全等级保护的管理规范和技术标 准,协助电力信息系统运行单位完成等级保护建设及整改工作,包括电力信息系统的安全保护等级确 定、安仝需求分析、安全总体规划、安全建设和安全改造实施、服务支撑平台提供等。 4.2.4电力信息系统安全等级测评机构 电力信息系统安全等级测评机构根据电力信息系统运行单位的委托,协助电力企业按照国家及电 力行业网络安全等级保护的管理规范和技术标准,对已经完成等级保护建设的电力信息系统进行等级 测评及安全防护评估,按要求对测评报告进行评审和备案;对信息安全产品供应商提供的产品进行安全 测评。 电力信息系统安全等级测评机构应履行相应的义务,包括遵守国家有关法律法规和技术标准,提供 安全、客观、公正的检测评估服务,保证测评的质量和效果;保守在测评活动中知悉的国家秘密、商业秘 密、业务敏感数据和个人隐私,防范测评凤险;对测评人员进行安全保密敩育,与其签订安全保密责任 书,规定应履行的安全保密义务和承担的法律责任,并负责检査落实 电力信息系统安仝等级测评机构可根据信息系统运行单位安全保障需求,提供信息安全咨询、应急 保障、安全运维、安全监理等服务。 4.2.5电力信息系统安全产品供应商 电力信息系统安全产品供应商负责按照国家及电力信息系统安全等级保护的管理规范和技术标 准,开发符合等级保护相关要求的网络安全产品,接受安全测评:按照国家有关要求销售网络安全产品 并提供相关服务。 电力信息系统专用产品供应商除应做好上述工作外,还应以合同条款或者保密协议的方式保证其 所提供的设备及系统符合政策法规的要求,在设备及系统的全生命周期内对其负责;并按照国家有关要 求做好保密工作,防范关键技术和设备的扩散 4.2.6电力信息系统供应商 电力信息系统供应商应按照电力信息系统安全等级保护的管理规范和技术标准,开发符合等保 护相关要求的电力信息系统,不得设置恶意程序,并按照等级保护相关要求对所开发的电力信息系统进 行部署,并提供相关服务。一旦发现其产品和服务存在安全缺陷、漏洞等风險时,应立即采取补救措旌 GB/T37138-2018 按照规定及时告知用户并向有关主管部门报告 电力信息系统供应商应为其产品、服务持续提供安全维护;在规定的期限内,不得终止提供安全 维护。 电力信息系统供应商提供的产品、服务具有数据采集功能的,应将所采集的数据类型和需求向运行 单位说明,并取得同意后方可实施 在设选型及配置时,不应选用经国家相关管理部门检测认定并经电力行业主管(监管)部门通报 存在漏洞和风险的系统及设备;对于已投入运行的系统及设备,应按照电力行业主管(监管)部门的要求 及时配合运行单位进行整改。 42.7电力信息系统设计单位 电力信息系统设计单位规划设计管理信息系统、电力监控系统、智能设备、通信及数据网络吋,应明 确系统的安全保护需求,设计合理的安全总休方案,制定安全实施计划,负责安全建设工程的技术攴撑。 在设计过程屮,应充分考虑系统整体结构方面与电力信息系统安全防护原则的一致性,与GB/T22239 及行业基本要求在技术类各安全层面、控制点、要求项的一致性。 4.2.8主管部门 参见GB/T25058。 4.3实施的基本活动 电力信总系统安全等级保护实施基本流程见(B/25058。根据电力信息系统监管实际,电力信 息系统实施等级保护的基本活动见图1。 电力信息系统定级 定级 备案 总体安全规划 安全设计与实施 安全运行与维护 测评与评估 安全整改 电力信息系统终止 退适 图1电力信息系统安全等级保护实施基本活动 在安全运行与维护阶段,电力信息系统因需求变化等原因导致局部调整,而其安全保护等级并未改 变,应从安全运行与维拉阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级 保护的要求;当电力信息系统发生重大变更导致安全保护等级变化时,应从安全运行与维护阶段进人等 级俣护对象定级与备案阶段,重新开始一轮网络安全等级保护的实施过程 4 GB/T37138-2018 5定级与备案 5.1定级与备案阶段的流程 电力信息系统运行单位应按照国家和行业有关标准和管理规范,确定所管辖电力信息系统的安全 保护等级,组织专家评审,经本企业的上级信息安全管理部门或组织审核、批准后,报公安机关备案,获 取《信息系统安全等级保护备案证明》,主管部门有备案要求的,应将定缀备案结果报送其备案 对于新建电力信息系统,第二级及以上电力信息系统,按照国家及行业有关要求(原则上在系统投 入运行后30日内),电力信息系统运行单位到公安机关办理备案手续 对于在运电力信息系统,按照国家及行业有关要求(原则上在安全保护等级确定后30日内),第二 级及以上电力信息系统运行单位到公安机关办理备案手续 电力信息系统定级与备案阶段的工作流程见图2。 输入 主要过程 输出 电力行业及电力信息系统 电力行业信息系统安全等级 特点 电力行业定级工作 保护定级拍导意见 电力行业信息系流安全等级 保护定级者导意见 电力行业信恳安全等级保护 管坦办法 等级保护对象分析 等级保护对象总体描述文件 电力监控系统安全防护规定 及相关配套文件 电力行业信息系统安全等级 相关部门审核意见 保护定级指号意见 安全保护等级确定 等级保护对象安全保护等级 等级保护对象总体插述文件 定级报告 定级报告 相关部门审核意见 等级保护对象安全总体方案 备案证明 安全等级摸底测评报告 定级结果备案 报送主管部门材料 图2电力信息系统定级与备案阶段流程 52定级对象分析 52.1电力信息系统分析 本活动的目标是通过收集了解有关电力信息系统的信息并对信息进行综合分析和整理,分析运行 单位的主要社会功能/职能及作用,确定履行主要社会功能/职能所依赖的电力信息系统,整理电力信息 系统处理的业务及服务范围,最后依据分析和整理的内容,依据电力行业定级指导意见,形成单位内电 力信息系统的总体描述性文档 参与角色为运行单位,电力信息系统安全服务机构 活动输入为单位情况说明文档,电力信息系统的立项、建设和管理文档,电力行业定级指导意见。 本活动主要包括以下子活动内容:

...展开详情
试读 24P GB/T 37138-2018  电力信息系统安全等级保护实施指南.pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
一个资源只可评论一次,评论内容不能少于5个字
xiaobin_17 谢谢分享,是最新版的规程。
2020-09-15
回复
feike1984 电力监控系统等级保护及安全评估工作规范
2019-10-16
回复
您会向同学/朋友/同事推荐我们的CSDN下载吗?
谢谢参与!您的真实评价是我们改进的动力~
  • 分享达人

关注 私信
上传资源赚钱or赚积分
最新推荐
GB/T 37138-2018 电力信息系统安全等级保护实施指南.pdf 42积分/C币 立即下载
1/24
GB/T 37138-2018  电力信息系统安全等级保护实施指南.pdf第1页
GB/T 37138-2018  电力信息系统安全等级保护实施指南.pdf第2页
GB/T 37138-2018  电力信息系统安全等级保护实施指南.pdf第3页
GB/T 37138-2018  电力信息系统安全等级保护实施指南.pdf第4页
GB/T 37138-2018  电力信息系统安全等级保护实施指南.pdf第5页

试读结束, 可继续读3页

42积分/C币 立即下载