中华人民共和国国家标准
GB/T 36047-2018
Electric power information system security inspection standard
中国国家标准化管理委员会 中华人民共和国国家质量监督检验检疫总局 发布
目次
前言IV1范围2规范性引用文件3术语和定义4检查工作流程4.1检查准备 4.2检查实施4.3检查结果分析5检查内容和检查方法5.1组织体系5.2规章制度5.3资金保障 5.4人员安全管理5.5 服务外包管控5.6 关键信息资产管控5.7 信息系统建设安全管理5.8 5.9 应急管理 信息系统运行安全管理5.10 安全分区防御体系 105.11 网络安全防护 125.12 5.13 主机和设备安全防护 应用系统和数据安全防护 135.14 物理环境安全防护 14 155.15 业务连续性保护 16附录A(资料性附录) 风险分析方法 17A.1定性分析 17参考文献 A.2定量分析 18
前言
本标准按照GB/T1.1-2009给出的规则起草
本标准由国家电力监管委员会提出.
本标准由全国电力监管标准化技术委员会(SAC/TC296)归口.
本标准起草单位:国家能源局信息中心、国家能源局华北监管局、国家能源局浙江监管办公室.
本标准主要起草人:梁建勇、胡红升、周志明、陈雪鸿、黄瑞意、陈红建、王鹏、温红子、叶世超、李焕、谷双魁、刘韧、朱朝阳、李凌、朱世顺、张五一、刘雪梅、陈华军、郑晓岚、张硼、赵婷、毛湖.
引言
为规范电力信息系统安全的检查流程、内容和方法,防范网络与信息安全攻击对电力信息系统造成全和电力行业信息系统安全的规定和要求,制定本标准.
电力信息系统安全检查规范
1范围
本标准规定了电力信息安全检查工作的流程、方法和内容等.团(系统)范围内开展相关信息系统安全的自查工作. 本标准适用于行业网络与信息安全主管部门开展电力信息系统安全的检查工作和电力企业在本集
2规范性引用文件
下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文件.凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22239一2008信息安全技术信息系统安全等级保护基本要求 GB/T25069-2010信息安全技术术语
3术语和定义
和定义适用于本文件. GB/T5271.8GB17859-1999、GB/T22239-2008和GB/T25069-2010界定的以及下列术语
3.1
电力信息系统electricpower information system
注:根据信息系统的责任单位-业务类型和业务重要性及物理位置差异等各种因素,可分为管理信息类系统和生产 与电力企业的生产、运营、管理、控制相关的信息系统.控制类系统.
3.2
管理信息类系统management information system
支持电力企业的经营、管理和运营的信息系统.
注:如门户网站系统、电力营销管理系统、财务管理系统、人力资源管理系统、物流管理系统和质量管理系统等.本类系统往往部署于管理信息大区,与互联网的隔高强度为逻辑隔高或强于逻辑隔离但润于物理隔离.
3.3
生产控制类系统production control system
用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备.注:如电力调度数据网络、电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、原则上部署于生产控制大区,与互联网的隔高强度近似于物理隔离. 水调自动化系统和水电梯级调度自动化系统、电能量计量系统、实时电力市场的辅助控锅系统等,本类系统
'
控制区control area
具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安
