GB/T_37138-2018_电力信息系统安全等级保护实施指南.pdf

GB/T_37138-2018_电力信息系统安全等级保护实施指南.pdf
仅供个人学习
反馈
标准编号:
文件类型:.pdf
资源大小:0.6 M
标准类别:国家标准
资源ID:77596
免费资源

标准规范下载简介

GB/T_37138-2018_电力信息系统安全等级保护实施指南.pdf简介:

GB/T_37138-2018《电力信息系统安全等级保护实施指南》是中国国家标准,由国家标准化管理委员会和国家发展改革委联合发布,属于信息安全领域的标准。该指南主要针对电力信息系统(Electric Power Information System,EPIS)的安全等级保护提供具体的实施方法和指导。

电力信息系统安全等级保护是为了保障电力行业的信息安全,根据信息系统的重要程度和安全保护需求,将信息系统划分为不同的安全保护等级,包括一级至五级,每级都有不同的安全要求和控制措施。该指南详细阐述了各级保护的定义、范围、安全要求、风险评估、设计与实施、监控与维护、应急响应等关键环节的实施步骤和方法。

它为电力行业信息系统的设计、建设和管理提供了一个通用的框架,帮助相关机构确保信息安全,预防、检测和应对各种安全威胁,以保护电力系统的正常运行和数据安全。同时,它也符合国家信息安全等级保护相关政策和法规的要求,对于规范和提升电力信息系统安全管理水平具有重要意义。

GB/T_37138-2018_电力信息系统安全等级保护实施指南.pdf部分内容预览:

为规范电力信息系统安全等级保护实施的流程、内容和方法,加强电力信息系统的安全管理,防范 网络攻击对电力信息系统造成的侵害,保障电力系统的安全稳定运行,依据国家和行业有关政策,制定 本标准。 在对电力信息系统实施网络安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其 他有关网络安全等级保护的标准开展工作

GB/T371382018

《电气简图用图形符号 第2部分:符号要素、限定符号和其他常用符号 GB/T 4728.2-2005》电力信息系统安全等级保护实施指南

电力信息系统安全等级保护实施指南

本标准规定了电力信息系统安全等级保护实施的基本原则、角色和职责,以及定级与备案、测评与 评估、安全整改、退运等基本活动, 本标准适用于指导电力信息系统安全等级保护的实施

下列文件对于本文件的应用是必不可少的。凡是注目期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T20984 信息安全技术信息安全风险评估规范 GB/T22239 信息安全技术信息系统安全等级保护基本要求 GB/T25058 信息安全技术信息系统安全等级保护实施指南 GB/T25069 信息安全技术术语

GB/T25069和GB/T25058界定的以及下列术语和定义适用于本文件。 3.1 电力信息系统 electricpowerinformationsystem 与电力企业的生产控制、管理运营相关的信息系统, 注:根据信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素,可分为管理信息系统和电力监 控系统。 3.2 管理信息系统 management information system 支持电力企业管理经营的信息系统。 注:包括门户网站系统、财务管理系统、人力资源管理系统等 3.3 电力监控系统 electric power supervision and control system 用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为 基础支撑的通信及数据网络等。 注:包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控 系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和 水电梯级调度自动化系统、电能量计量系统、实时电力市场的辅助控制系统、电力调度数据网络等。

生产控制大区productioncontrolzone

由具有数据采集与控制功能、纵向联接使用专用网络或专用通道的电力监控系统构成的安全区

由具有数据采集与控制功能、纵向联接使用专用网络或专用通道的电力监控系统构成的安全区

GB/T371382018

电力信息系统安全等级保护的核心是对电力信息系统分等级、接标准进行规划、建设、使用。电力 信息系统安全等级保护实施过程应满足GB/T25058中对等级保护实施的基本原则,电力监控系统除 此之外还应遵循以下特定原则

4.1.1结构优先原则

电力监控系统安全防护应坚持“安 、网络专用、横向隔离、纵向认证”的总体原则。以结构安 全为防护重点,通过优化结构,强化边界防护,实施纵深防御

4.1.2联合防护原则

根据电力监控系统在厂网两端的特点和安全保护等级需求,应采用统一分类定级,同步完善厂网两 端电力信息系统的安全防护,通过划分统一的安全区,实现厂网两端边界之间的隔离、认证及统一监视

4.1.3 安全可控原则

关键装置(如:电力专用横向单向隔离装置、电力专用纵向加密认证装置)应经国家有关机构安全检 则认证。电力监控系统在设备选型及配置时,不应选用经国家相关管理部门检测认定并经电力行业主 管(监管)部门通报存在漏洞和风险的系统及设备,生产控制大区除安全接人区外不应选用具有无线通 信功能的设备,电力监控系统在新建、改建、扩建时宜进行安全性测试

4.1.4立体防御原则

免疫、安全应急措施、全面安全管理等措施形成的多维栅格状立体防护体系,

4.2.1电力信息系统运行单位

加强信息安全从业人员考核和管理,从业人员定期接受相应的政策规范和专业技能培训,并经培训 合格后上岗

4.2.2电力调度机构

电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂涉网部分的电力监控系 统安全防护的技术监督。 电力调度机构、发电厂、变电站等运行单位的电力监控系统安全防护实施方案应在经本企业的上级 专业管理部门和信息安全管理部门审阅后报相应电力调度机构的审核,方案实施完成后应由上述机构 验收。 接人电力调度数据网络的设备和应用系统,其接入技术方案和安全防护措施应经直接负责的电力 调度机构同意, 建立健全电力监控系统安全的联合防护和应急机制,制定应急预案。电力调度机构负责统一指挥 调度范围内的电力监控系统安全应急处置,

4.2.3电力信息系统安全服务机构

根据电力信息系统运行单位的委托, 办助电力信息系统运行单位完成等级保护 建设及整改工作,包括电力信息系统的安全保护等级 安全需求分析、安全总体规划、安全建设和安全 服务支撑平台提供等

4.2.4电力信息系统安全等级测评机构

电力信息系统安全等级测评机构根据电力信息系统运行单位的委托,协助电力企业按照国家及电 力行业网络安全等级保护的管理规范和技术标准,对已经完成等级保护建设的电力信息系统进行等级 测评及安全防护评估,按要求对测评报告进行评审和备案;对信息安全产品供应商提供的产品进行安全 测评。 电力信息系统安全等级测评机构应履行相应的义务,包括遵守国家有关法律法规和技术标准,提供 安全、客观、公正的检测评估服务,保证测评的质量和效果;保守在测评活动中知悉的国家秘密、商业秘 密、业务敏感数据和个人隐私,防范测评风险;对测评人员进行安全保密教育,与其签订安全保密责任 书,规定应履行的安全保密义务和承担的法律责任,并负责检查落实, 电力信息系统安全等级测评机构可根据信息系统运行单位安全保障需求,提供信息安全咨询、应急 保障、安全运维、安全监理等服务

4.2.5电力信息系统安全产品供应商

电力信息系统安全产品供应商负责接照国家及电力信息系统安全等级保护的管理规范和技术标 准,开发符合等级保护相关要求的网络安全产品,接受安全测评;按照国家有关要求销售网络安全产品 并提供相关服务。 电力信息系统专用产品供应商除应做好上述工作外,还应以合同条款或者保密协议的方式保证其 所提供的设备及系统符合政策法规的要求,在设备及系统的全生命周期内对其负责;并按照国家有关要 求做好保密工作,防范关键技术和设备的扩散,

4.2.6电力信息系统供应商

电力信息系统供应商应按照电力信息系统安全等级保护的管理规范和技术标准,开发符合等级 目关要求的电力信息系统,不得设置恶意程序,并按照等级保护相关要求对所开发的电力信息系统 部署,并提供相关服务。一旦发现其产品和服务存在安全缺陷、漏洞等风险时,应立即采取补救措

GB/T371382018

按照规定及时告知用户并向有关主管部门报告。 电力信息系统供应商应为其产品、服务持续提供安全维护;在规定的期限内,不得终止提供安全 维护。 电力信息系统供应商提供的产品、服务具有数据采集功能的,应将所采集的数据类型和需求向运行 单位说明,并取得同意后方可实施。 在设备选型及配置时,不应选用经国家相关管理部门检测认定并经电力行业主管(监管)部门通报 存在漏洞和风险的系统及设备;对于已投人运行的系统及设备,应按照电力行业主管(监管)部门的要求 及时配合运行单位进行整改,

4.2.7电力信息系统设计单位

电力信息系统设计单位规划设计管理信息系统、电力监控系统、智能设备、通信及数据网络时,应明 角系统的安全保护需求,设计合理的安全总体方案,制定安全实施计划,负责安全建设工程的技术支撑 主设计过程中,应充分考虑系统整体结构方面与电力信息系统安全防护原则的一致性,与GB/T22239 行业基本要求在技术类各安全层面、控制点、要求项的一致性

参见GB/T25058

图1电力信息系统安全等级保护实施基本活

在安全运行与维护阶段,电力信息系统因需求变化等原因导致局部调整,而其安全保护等级并未改 变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级 保护的要求;当电力信息系统发生重大变更导致安全保护等级变化时,应从安全运行与维护阶段进人等 级保护对象定级与备案阶段,重新开始一轮网络安全等级保护的实施过程

5.1定级与备案阶段的流程

GA 1551.3-2019 石油石化系统治安防控防范要求 第3部分:成品油和天然气销售企业.pdfGB/T371382018

电力信息系统运行单位应按照国家和行业有关标准和管理规范,确定所管辖电力信息系统的安全 保护等级,组织专家评审,经本企业的上级信息安全管理部门或组织审核、批准后,报公安机关备案,获 取《信息系统安全等级保护备案证明》,主管部门有备案要求的,应将定级备案结果报送其备案。 对于新建电力信息系统,第二级及以上电力信息系统,按照国家及行业有关要求(原则上在系统投 入运行后30日内),电力信息系统运行单位到公安机关办理备案手续。 对于在运电力信息系统,按照国家及行业有关要求(原则上在安全保护等级确定后30内),第二 级及以上电力信息系统运行单位到公安机关办理备案手续。 电力信息系统定级与备案阶段的工作流程见图2。

5.2.1电力信息系统分析

GB∕T 25043-2010 连续树脂基预浸料用多轴向经编增强材料图2电力信息系统定级与备案阶段流程

本活动的目标是通过收集了解有关电力信息系统的信息,并对信息进行综合分析和整理,分析运行 单位的主要社会功能/职能及作用,确定履行主要社会功能/职能所依赖的电力信息系统,整理电力信息 系统处理的业务及服务范围,最后依据分析和整理的内容,依据电力行业定级指导意见,形成单位内电 订信息系统的总体描述性文档 参与角色为运行单位,电力信息系统安全服务机构。 活动输人为单位情况说明文档,电力信息系统的立项、建设和管理文档,电力行业定级指导意见。 本活动主要包括以下子活动内容:

GB/T371382018

©版权声明
相关文章