DLT1527-2016 用电信息安全防护技术规范

DLT1527-2016 用电信息安全防护技术规范
仅供个人学习
反馈
标准编号:
文件类型:.pdf
资源大小:2.9M
标准类别:电力标准
资源ID:41457
免费资源

标准规范下载简介

DLT1527-2016 用电信息安全防护技术规范简介:

DLT1527-2016《用电信息安全防护技术规范》是中国电力行业对于用电信息系统的安全防护提出的一项标准。它是在2016年发布,全称为《电力用户用电信息采集系统安全防护技术规范》。该规范主要针对电力用户用电信息采集系统(如智能电表、用电监控系统等)的安全设计、建设和运行,规定了系统的安全架构、数据安全、网络安全、物理安全、访问控制、系统审计和应急响应等方面的要求。

DLT1527-2016关注的用电信息安全包括防止未经授权的访问、保护数据的完整性和保密性、防止数据破坏或篡改、确保系统的可用性,以及防止电力系统的非法操作等。其目的是为了保障电力系统的正常运行,防止信息泄露,维护用户的隐私和企业的商业利益。

遵循这一规范,电力企业能够提升其用电信息系统的安全性,保护电力用户的合法权益,同时也符合国家信息安全法规的要求。

DLT1527-2016 用电信息安全防护技术规范部分内容预览:

A.3.5外部人员访问管理

外部人员访问管理应满足如下要求: )应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登 )对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定

A.4系统安全建设管理

半山豪苑宝石别墅图纸A.4.2 安全方案设讯

安全方案设计应满足如下要求:

DL/T15272016

a)应根据系统的安全防护目标选择基本安全措施,并依据风险分析的结果补充和调整安全措施。 b)应指定和授权专门的部门对信息系统的安全建设进行总体规划,制订近期和远期的安全建设工 作计划。 C 应根据信息系统的安全子域划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、 安全管理策略、总体建设规划和详细设计方案,并形成配套文件。 d 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建 设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后, 才能正式实施, e) 应根据等级测评、安全评估的结果每年定期调整和修订总体安全策略、安全技术框架、安全管 理策略、总体建设规划、详细设计方案等相关配套文件。

A.4.3产品采购和使用

产品采购和使用应满足如下要求: a)应确保安全产品采购和使用符合国家的有关规定。 b)应确保密码产品采购和使用符合国家密码主管部门的要求。 c)应指定或授权专门的部门负责产品的采购。 d)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。 e)电力系统专用信息安全产品应经行业主管部门指定的安全机构测评方可采购使用。

A.4.4自行软件开发

自行软件开发应满足如下要求: a)应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受 到控制。 b)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。 c)应制定代码编写安全规范,要求开发人员参照规范编写代码。 d)应确保提供软件设计的相关文档和使用指南,并由专人负责保管。 e)应确保对程序资源库的修改、更新、发布进行授权和批准。

A.4.5外包软件开发

外包软件开发应满足如下要求: a)应根据开发要求检测软件质量。 b)应在软件安装之前检测软件包中可能存在的恶意代码。 c)应要求开发单位提供软件设计的相关文档和使用指南。 d)外包开发的软件应在本单位存有源代码备份,并已通过软件后门等安全性检测

工程实施应满足要求: a)应指定或授权专门的部门或人员负责工程实施过程的管理。 b)应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程 c)应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。

测试与验收应满足如下要求

DL/T 15272016

a 应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告。 在测试验收前应根据设计方案或合同要求等制定测试验收方案,在测试验收过程中应详细记录 测试验收结果,并形成测试验收报告。 应对系统测试验收的控制方法和人员行为准则进行书面规定。 d)应指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收 工作。 e) 应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。

系统交付应满足如下要求: 应制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点。 应对负责系统运行维护的技术人员每年进行相应的技能培训,对安全教育和培训的情况和结果 进行记录并归档保存。 c)应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。 d)应对系统交付的控制方法和人员行为准则进行书面规定。 e)应指定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交付工作,

A.4.10 系统测评

系统测评应满足如下要求: a)在系统运行过程中,应至少每年对系统进行一次等级测评,发现不符合相应等级保护标准要求 的及时整改。 b) 应在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全 改造,发现不符合相应等级保护标准要求的及时整改。 应选择具有国家相关技术资质和安全资质,经电力行业信息安全测评中心批准的测评单位进行 等级测评。 d 应指定或授权专门的部门或人员负责等级测评的管理

A.4.11安全服务商选择

安全服务商选择应满足如下要求: a)应选择符合国家及行业有关规定的安全服务商开展安全服务。 b)应与选定的安全服务商签订安全协议,明确安全责任。 c)应与服务商签订安全服务合同,明确技术支持和服务承诺。

A.5系统安全运维管理

环境管理应满足如下要求: a 应指定专门的部门或人员定期对机房供配电、空调及温度、湿度控制等设施进行维护管理。 b)应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等 工作进行管理。 ) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面 的管理作出规定。 d· 应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交 还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状 态和桌面上没有包含敏感信息的纸质文件等。

资产管理应满足如下要求: a)应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和 使用的行为。 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。 d)应对信息分类与标识方法做出规定,并对信息的使用、传输和存储等进行规范化管理

介质管理应满足如下要求: a)应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面做出规定。 b)应建立移动存储介质安全管理制度,对移动存储介质的使用进行管控。 应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理。 d 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进 行登记记录,并根据存档介质的目录清单定期盘点。 e 应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质 进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性 较高的存储介质未经批准不得自行销毁。 应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同。 名 对重要数据或软件采用加密介质存储,并根据所承载数据和软件的重要程度对介质进行分类和 标识管理,

设备管理应满足如下要求: a) 应对信息系统相关的各种设备(包括备份和穴余设备)、线路等指定专门的部门或人员定期进 行维护管理,每年至少维护一次。 b) 应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、 采购、发放和领用等过程进行规范化管理。 c 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员

的责任、涉外维修和服务的审批、维修过程的监督控制等。 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作 规程实现主要设备(包括备份和穴余设备)的启动(停止)、加电(断电)等操作。 应确保信息处理设备必须经过审批才能带离机房或办公地点。

A.5.5监控管理和安全管理中心

监控管理和安全管理中心应满足如下要求: a 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报 警《供热系统节能改造技术规范 GB/T50893-2013》,形成记录并妥善保存。 b 应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采 取必要的应对措施。 c) 应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中 管理。

A.5.6网络安全管理

网络安全管理应满足如下要求: 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理 工作。 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令 更新周期等方面作出规定。 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份。 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞及时修补。 应实现设备的最小服务配置,并对配置文件进行定期离线备份。 应保证所有与外部系统的连接均得到授权和批准。 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入。 应定期检香违反规定 违反网络安全策略的行为

A.5.7系统安全管理

系统安全管理应满足如下要求: 应根据业务需求和系统安全分析确定系统的访问控制策略。 b) 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。 C 应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件 进行备份后,方可实施系统补丁程序的安装。 d 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面做出 具体规定。 e 应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限 设定应当遵循最小授权原则。 f 应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、 参数的设置和修改等内容,严禁进行未经授权的操作。 g 应定期对运行日志和审计数据进行分析,以便及时发现异常行为

A.5.8恶意代码防范管

恶意代码防范管理应满足如下要求!

DL/T15272016

DB51∕T 2599-2019 公路明(棚)洞勘察设计指南DL/T15272016

©版权声明
相关文章