DLT 2203-2020标准规范下载简介
DLT 2203-2020 发电厂监控系统信息安全管理导则.pdf简介:
DLT 2203-2020,全称为《火力发电厂监控系统信息安全技术导则》,是中国电力工业协会(China Electric Power Association, CEA)发布的一项行业标准。该标准主要针对火力发电厂的监控系统信息安全管理工作,提供了一套详细的指导原则。
DLT 2203-2020涵盖了电厂监控系统信息安全的各个环节,包括但不限于信息安全策略的制定、信息系统的安全防护、数据安全、网络安全、访问控制、安全审计、应急响应和持续改进等方面。其目的是为了确保电厂监控系统的稳定运行,防止因信息安全问题导致的电力生产中断或数据泄露,保障电力系统的安全和可靠性。
具体内容包括了信息安全管理体系的建立、信息安全风险评估、安全防护措施的实施、安全事件的管理和应急响应等,对于提高电厂监控系统的安全防护能力,保障电力生产运行的连续性和稳定性具有重要的指导意义。
DLT 2203-2020 发电厂监控系统信息安全管理导则.pdf部分内容预览:
8.2.5.4人员考核与审查应满足以下要求
8.2.6安全教育和培训
信息安全教育包括信息安全意识的培养教育和安全技术培训,应满足以下要求: a)应让信息系统相关员工明晰信息的敏感性和信息安全的重要性,认识其自身的责任和安全违例 的后果,以及应掌握的信息安全基本知识和技能等; b)应制订并实施安全教育和培训计划,培养信息系统各类人员安全意识,并提供对安全政策和操 作规程的认识教育和训练等; C 等级保护3级及以上的发电厂监控系统适用:针对不同岗位,制订不同的专业培养计划,包括 安全知识、安全技术、安全标准、安全要求、法律责任和业务控制措施等; d)等级保护3级及以上的发电厂监控系统适用:应定期对不同岗位的人员进行技能考核
8.2.7第三方人员安全管理
第三方人员安全管理应满足以下要求: a)应与硬件和软件维护人员、咨询人员、临时性的短期职位人员DBJ50∕T-375-2020 轻质石膏楼板顶棚和墙体内保温工程技术标准,以及辅助人员和外部服务人员 等第三方人员签署不同安全责任的安全协议或保密协议;规定各类人员的活动范围,进入计算 机房需要得到批准,并有专人负责;第三方人员需进行逻辑访问时,应划定范围并经过负责人 批准,必要时应有人监督或陪同。 b)应在第三方人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配满足 其工作需要的最小权限,并登记备案。 c)第三方人员离场后应及时清除其所有的访问权限。 d)等级保护3级及以上的发电厂监控系统适用:获得系统访问授权的第三方人员应签署安全协议 或保密协议,不应进行非授权操作,不应复制和泄露任何敏感信息。 e)等级保护3级及以上的发电厂监控系统适用:在不允许第三方人员进入或进行逻辑访问的区 域,如确有必要,可采用由发电企业内部人员代为操作的方式,对结果进行必要的过滤后再提 供给第三方人员,并进行审计;必要时,对上述过程进行风险评估和记录备案,并对相应风险 采取必要的安全补救措施。
DL/T2203—2020
DL/T22032020
B.3.1产品采购和使用
产品采购和使用应满足以下要求: a)应确保信息安全产品的采购和使用符合国家的有关规定。 b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。 c)发电企业在发电厂监控系统设备选型及配置时,应禁止选用经国家相关管理部门检测认定并经 通报存在漏洞和风险的系统及设备;对于已经投入运行的系统及设备,应按照国家相关管理部 门的要求及时进行整改,同时应加强相关系统及设备的运行管理和安全防护;生产大区中除安 全接入区外,应禁止选用具有无线通信功能的设备。 d)等级保护3级及以上的发电厂监控系统适用:必要时应预先对产品进行选型测试,确定产品的 候选范围,并定期审定和更新候选产品名单。
8.3.2服务供应商的选择
服务供应商应满足以下要求: a)应确保服务供应商的选择符合国家的有关规定: b)应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的信息安全责任和义 务,确保产品安全可控; 等级保护3级及以上的发电厂监控系统适用:应定期监视、评审和审核服务供应商提供的服 务,并对其变更服务内容加以控制。
8.3.3软件开发与测试
.3.1自行软件开发应满足以下要求: a)应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; b)应确保在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测; c)等级保护3级及以上的发电厂监控系统适用:应制定软件开发管理制度,明确说明开发过程的 控制方法和人员行为准则; d) 等级保护3级及以上的发电厂监控系统适用:应制定代码编写安全规范,要求开发人员遵照规 范编写代码: e) 等级保护3级及以上的发电厂监控系统适用:应具备软件设计的相关文档和使用指南,并对文 档使用进行控制; f) 等级保护3级及以上的发电厂监控系统适用:应对程序资源库的修改、更新、发布进行授权和 批准,并严格进行版本控制; g) 等级保护3级及以上的发电厂监控系统适用:应确保开发人员为专职人员,开发人员的开发活 动受到控制、监视和审查。 3.2 外包软件开发应满足以下要求: a)应在软件交付前检测其中可能存在的恶意代码和安全漏洞; b)应保证开发单位提供软件设计文档和使用指南; C) 应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在全生命周期内 有关保密、禁止关键技术扩散和设备行业专用等方面的内容; d 等级保护3级及以上的发电厂监控系统适用:应保证开发单位提供软件源代码,并审查软件中 可能存在的后门和隐蔽信道。
8.3.3.1自行软件开发应满足以下要求:
DL/T22032020
.3.3测试管理过程中应制定测试验收方案,并依据测试验收方案实施测试验收,形成测试
8.3.4工程实施与验收交付
8.3.4.1工程实施应满足以下要求: a)应制定或授权专门的部门或人员负责工程实施过程的管理; b) 应制定工程实施方案,控制安全工程实施过程; c)等级保护3级及以上的发电厂监控系统适用:应根据工程需要委托第三方工程监理控制项目的 实施过程。 3.3.4.2应根据工程需要对发电厂监控系统的建设和改造项目进行安全测试验收,并在测试验收前制定 相关测试和接收标准,在接收前对系统进行测试,内容包括对组件、系统、业务应用等的安全性进行 测试
3.3.4.3系统交付应满足以下要求:
a)应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b)应对负责运维的技术人员进行相应的,与信息安全相关的运维技能培训; c)应确认提供建设过程中的文档和指导用户进行运维的文档。
8.3.5系统启用和退运
5.1系统启用应满足以
8.3.5.2系统退运管理应满足以下要求
8.4.1环境安全管理
1.1物理环境安全管理应满足以下要求: a) 应配置物理环境安全的责任部门和管理人员,建立有关物理环境安全方面的规章制度,并符合 GB/T20271—2006中6.1.1的规定; b)应对物理环境划分不同保护等级的安全区域进行管理,应制定对物理安全设施进行检验、配 置、安装、运行的有关制度和保障措施,实行关键物理设施的登记制度,并符合GB/T 20271—2006中6.2.1的规定; c)等级保护3级及以上的发电厂监控系统适用:应对物理环境中所有安全区域进行标记管理,包 括不同安全保护等级的办公区域、机房、介质库房等,介质库房的管理可以遵照同等级的机房 的要求,并符合GB/T202712006中6.3.1的规定。 1.2控制设备室安全管理应满足以下要求: a) )应明确控制设备室安全管理的责任人,制定控制设备室安全管理制度。
DL/T2203—2020
DL/T2203—2020
b)所有来访人员应经过批准,登记记录妥善保存以备查;获准进入控制设备室的来访人员,其活 动范围和操作行为应受到限制,并有接待人员负责和陪同。 C 等级保护3级及以上的发电厂监控系统适用:进出机房的人员应经过门禁设施的监控和记录, 应有防止绕过门禁设施的手段;门禁系统的电子记录应妥善保存以备查;进入控制设备室的人 员应佩戴相应证件或身份标识,未经批准不应移动计算机相关设备或带离机房。 4.1.3办公环境安全管理应满足以下要求: a) 设置有网络终端的办公环境应防止利用终端系统窃取敏感信息或非法访问;工作人员下班后, 终端计算机应关闭;存放敏感文件或信息载体的文件柜应上锁或设置密码;工作人员调离部 门或更换办公室时,应立即交还办公室钥匙;设立独立的会客接待室,不在办公环境接待来访 人员。 b) 等级保护3级及以上的发电厂监控系统适用:工作人员离开座位应将桌面上含有敏感信息的纸 件文档、移动介质等放在抽屉或文件柜内,终端计算机应退出登录状态、采用屏幕保护口令保 护或关机。
8.4.2.1资产清单管理应满足以下要求:
a)应编制并维护与发电厂监控系统相关的资产清单,宜包括以下内容: 1)信息资产:应用数据、系统数据、安全数据等数据库和数据文档;系统文件、用户手册、 培训资料、操作和支持程序、持续性计划、备用系统安排、存档信息。 2)软件资产:应用软件、系统软件、开发工具和实用程序。 3)有形资产:计算机设备、监控系统及设备、通信设备、存储介质、其他技术装备和机房。 4)应用业务相关资产:由监控系统控制的或与监控系统密切相关的应用业务的各类资产,由 于监控系统或信息的泄露或破坏,这些资产会受到相应的损坏。 5)服务:计算和通信服务、通用设备,如供暖、照明、供电和空调等。 b)应清晰识别每项资产的拥有权、责任人、安全分类及资产所在地位置等。 3.4.2.2对发电厂监控系统内分属不同业务范围的各类信息资产,应根据业务应用的具体情况与安全性 要求进行分类分级和标识,并对信息资产进行规范化分类管理。 B.4.2.3数据存储介质应满足以下要求: a)应对脱机存放的各类介质(包括信息资产和软件资产的介质)进行控制和保护,以防止被盗、 被毁、被修改,以及信息的非法泄露;介质的归档和查询应有记录,对存档介质的目录清单应 定期盘点;介质应储放在安全的环境中防止损坏;对于需要送出维修或销毁的介质,应防止信 息的非法泄露。 b)等级保护3级及以上的发电厂监控系统适用:应根据需要对重要介质的数据和软件加密存储; 对重要的信息介质的借阅、拷贝、分发传递应履行相关审批手续后方可执行,并且各种处理过 程应登记在册,介质的分发传递采取保护措施;需要带出工作环境的介质,其信息应受到保 护;对存放在介质库中的介质应定期进行完整性和可用性检查,确认其数据或软件没有受到损 带主生
8.4.2.3数据存储介质应满足以下要求:
铁路基本建设工程设计概(预)算费用定额(国铁科法[2017]31号 国家铁路局2017年5月6日).pdf8.4.2.4监控系统设备管理应满足以下要求
DL/T22032020
生和使用效率;应建立设备管理登记系统,提供资产分类标识、授权与访问控制、变更管理、 全审计等功能,为整个系统提供基础技术支撑。
8.5.1用户与安全机制管理
8.5.1.1用户分类管理应满足以下要求:
8.5.2运行操作管理
8.5.2.1服务器操作管理应满足以下要求:
《先张法预应力混凝土板桩》QJHJC 00 1019-2019DL/T22032020