GB/T 37138-2018 标准规范下载简介
GB/T 37138-2018 电力信息系统安全等级保护实施指南简介:
GB/T 37138-2018《电力信息系统安全等级保护实施指南》是中国国家标准化管理委员会发布的关于电力信息系统安全等级保护的实施指南。此标准的出台,是为了适应电力行业信息化建设和信息安全保护的需要,进一步规范和指导电力信息系统的安全保护工作。
该标准基于信息安全等级保护(Information Security Protection Level,简称ISPL)的原则,为电力信息系统的安全保护提供了具体、详实的实施步骤和要求。它将电力信息系统的安全保护划分为五个等级,从一级到五级,等级越高,保护要求越严格。每个等级都对应了一系列的安全控制要求,包括物理安全、网络安全、主机安全、应用安全、数据安全、操作安全、系统建设与维护安全等多个方面。
此外,该标准还对电力信息系统的定级、设计、实施、运行、审计等环节提供了详细的指导,旨在帮助电力企业建立和完善信息安全管理体系,提高电力信息系统的安全防护能力,有效防止和应对各种安全威胁。
总的来说,GB/T 37138-2018《电力信息系统安全等级保护实施指南》为电力行业信息安全提供了重要的技术依据和实施规范,对保障电力系统的稳定运行和信息安全具有重要意义。
GB/T 37138-2018 电力信息系统安全等级保护实施指南部分内容预览:
本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由国家能源局提出。 本标准由全国电力监管标准化技术委员会(SAC/TC296)归口。 本标准起草单位:国家能源局信息中心、中国南方电网公司、国家电力投资集团公司、中国长江三峡 集团公司、全球能源互联网研究院有限公司、北京卓识网安技术股份有限公司、中国电力科学研究院有 限公司、国网电力科学研究院有限公司、国电南京自动化股份有限公司、南方电网科学研究院有限责任 公司、中国软件评测中心。 本标准主要起草人:梁建勇、胡红升、王保喜、陈雪鸿、阴玉清、李焕、叶世超、陶文伟、王静、李旸照, 张翎、毛澍、房磊、赵婷、焦安春、高艳坤、于学军、李凌、刘育辰、吴国华、秦学嘉、丁晓玉、刘寅、张敏、 郁宝坤、张五一、许爱东、陈华军、蒙家晓、周锋、郝鑫
为规范电力信息系统安全等级保护实施的流程、内容和方法,加强电力信息系统的安全管理,防范 网络攻击对电力信息系统造成的侵害,保障电力系统的安全稳定运行,依据国家和行业有关政策,制定 本标准。 在对电力信息系统实施网络安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其 他有关网络安全等级保护的标准开展工作
GB/T371382018
DB34∕T 1930-2013 预置混凝土护坡砌块电力信息系统安全等级保护实施指南
本标准规定了电力信息系统安全等级保护实施的基本原则、角色和职责,以及定级与备案、测评与 评估、安全整改、退运等基本活动。 本标准适用于指导电力信息系统安全等级保护的实施
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T 20984 信息安全技术信息安全风险评估规范 GB/T 22239 信息安全技术信息系统安全等级保护基本要求 GB/T25058 信息安全技术信息系统安全等级保护实施指南 GB/T 25069 信息安全技术术语
GB/T25069和GB/T25058界定的以及下列术语和定义适用于本文件, 3.1 电力信息系统 electricpowerinformationsystem 与电力企业的生产控制、管理运营相关的信息系统, 注:根据信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素,可分为管理信息系统和电力监 控系统。 3.2 管理信息系统 managementinformation system 支持电力企业管理经营的信息系统。 注:包括门户网站系统、财务管理系统、人力资源管理系统等。 3.3 电力监控系统 electricpower supervision and controlsystem 用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为 基础支撑的通信及数据网络等。 注:包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控 系统、配电自动化系统、微机继电保护和安全自动装置、产域相量测量系统、负荷控制系统、水调自动化系统和 水电梯级调度自动化系统、电能量计量系统、实时电力市场的辅助控制系统、电力调度数据网络等。
生产控制大区productioncontrolzone
由具有数据采集与控制功能、纵向联接使用专用网络或专用通道的电力监控系统构成的安全区
GB/T371382018
加强信息安全从业人员考核和管理,从业人员定期接受相应的政策规范和专业技能培训,并经培训 合格后上岗
4.2.2电力调度机构
电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂涉网部分的电力监控系 统安全防护的技术监督。 电力调度机构、发电厂、变电站等运行单位的电力监控系统安全防护实施方案应在经本企业的上级 专业管理部门和信息安全管理部门审阅后报相应电力调度机构的审核,方案实施完成后应由上述机构 验收。 接入电力调度数据网络的设备和应用系统,其接人技术方案和安全防护措施应经直接负责的电力 调度机构同意 建立健全电力监控系统安全的联合防护和应急机制,制定应急预案。电力调度机构负责统一指挥 调度范围内的电力监控系统安全应急处置
4.2.3电力信息系统安全服务机构
协助电力信息系统运行单位完成等级保护建设及整改工作,包括电力信息系统的安全保护等级 安全需求分析、安全总体规划、安全建设和安全改造实施、服务支撑平台提供等
4.2.4电力信息系统安全等级测评机构
电力信息系统安全等级测评机构根据电力信息系统运行单位的委托,协助电力企业按照国家及电 力行业网络安全等级保护的管理规范和技术标准,对已经完成等级保护建设的电力信息系统进行等级 测评及安全防护评估,按要求对测评报告进行评审和备案;对信息安全产品供应商提供的产品进行安全 则评。 电力信息系统安全等级测评机构应履行相应的义务,包括遵守国家有关法律法规和技术标准,提供 安全、客观、公正的检测评估服务,保证测评的质量和效果;保守在测评活动中知悉的国家秘密、商业秘 密、业务敏感数据和个人隐私,防范测评风险;对测评人员进行安全保密教育,与其签订安全保密责任 书,规定应履行的安全保密义务和承担的法律责任,并负责检查落实。 电力信息系统安全等级测评机构可根据信息系统运行单位安全保障需求,提供信息安全咨询、应急 保障、安全运维、安全监理等服务
4.2.5电力信息系统安全产品供应商
电力信息系统安全产品供应商负责按照国家及电力信息系统安全等级保护的管理规范和技术标 准,开发符合等级保护相关要求的网络安全产品,接受安全测评;按照国家有关要求销售网络安全产品 并提供相关服务。 电力信息系统专用产品供应商除应做好上述工作外,还应以合同条款或者保密协议的方式保证其 所提供的设备及系统符合政策法规的要求,在设备及系统的全生命周期内对其负责;并按照国家有关要 求做好保密工作,防范关键技术和设备的扩散
4.2.6电力信息系统供应商
电力信息系统供应商应按照电力信息系统安全等级保护的管理规范和技术标准,开发符合等级 目关要求的电力信息系统,不得设置恶意程序,并按照等级保护相关要求对所开发的电力信息系统 部署,并提供相关服务。一旦发现其产品和服务存在安全缺陷、漏洞等风险时,应立即采取补救措
按照规定及时告知用户并向有关主管部门报告。 电力信息系统供应商应为其产品、服务持续提供安全维护;在规定的期限内,不得终止提供安全 维护。 电力信息系统供应商提供的产品、服务具有数据采集功能的,应将所采集的数据类型和需求向运行 单位说明,并取得同意后方可实施。 在设备选型及配置时,不应选用经国家相关管理部门检测认定并经电力行业主管(监管)部门通报 存在漏洞和风险的系统及设备;对于已投入运行的系统及设备,应按照电力行业主管(监管)部门的要求 及时配合运行单位进行整改,
4.2.7电力信息系统设计单位
电力信息系统设计单位规划设计管理信息系统、电力监控系统、智能设备、通信及数据网络时,应明 角系统的安全保护需求,设计合理的安全总体方案,制定安全实施计划,负责安全建设工程的技术支撑。 主设计过程中,应充分考虑系统整体结构方面与电力信息系统安全防护原则的一致性,与GB/T22239 及行业基本要求在技术类各安全层面、控制点、要求项的一致性
参见GB/T25058
图1电力信息系统安全等级保护实施基本活动
在安全运行与维护阶段,电力信息系统因需求变化等原因导致局部调整,而其安全保护等级并未改 变,应从安全运行与维护阶段进人安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级 保护的要求;当电力信息系统发生重大变更导致安全保护等级变化时,应从安全运行与维护阶段进人等 级保护对象定级与备案阶段,重新开始一轮网络安全等级保护的实施过程。
某五层框架结构住宅楼设计全套图纸及计算书2700平米左右5.1定级与备案阶段的流程
GB/T371382018
电力信息系统运行单位应按照国家和行业有关标准和管理规范,确定所管辖电力信息系统的安全 保护等级,组织专家评审,经本企业的上级信息安全管理部门或组织审核、批准后,报公安机关备案,获 取《信息系统安全等级保护备案证明》,主管部门有备案要求的,应将定级备案结果报送其备案。 对于新建电力信息系统,第二级及以上电力信息系统,按照国家及行业有关要求(原则上在系统投 入运行后30日内),电力信息系统运行单位到公安机关办理备案手续。 对于在运电力信息系统,接照国家及行业有关要求(原则上在安全保护等级确定后30目内),第二 级及以上电力信息系统运行单位到公安机关办理备案手续。 电力信息系统定级与备案阶段的工作流程见图2。
5.2.1电力信息系统分析
图2电力信息系统定级与备案阶段流程
本活动的目标是通过收集了解有关电力信息系统的信息,并对信息进行综合分析和整理,分析运行 位的主要社会功能/职能及作用,确定履行主要社会功能/职能所依赖的电力信息系统,整理电力信息 系统处理的业务及服务范围,最后依据分析和整理的内容,依据电力行业定级指导意见,形成单位内电 寸信息系统的总体描述性文档, 参与角色为运行单位,电力信息系统安全服务机构。 活动输人为单位情况说明文档,电力信息系统的立项、建设和管理文档,电力行业定级指导意见, 本活动主要包括以下子活动内容
GBJ 114-1988 采暖通风与空气调节制图标准GB/T 371382018