GB/T 37138-2018電力信息系統(tǒng)安全等級保護(hù)實(shí)施指南

ICS3524050

F07..

中華人民共和國國家標(biāo)準(zhǔn)

GB/T37138—2018

電力信息系統(tǒng)安全等級保護(hù)實(shí)施指南

Implementationguideforcybersecurityclassifiedprotectionofelectricpower

informationsystem

2018-12-28發(fā)布2019-07-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T37138—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

等級保護(hù)實(shí)施概述

4………………………2

基本原則

4.1……………2

結(jié)構(gòu)優(yōu)先原則

4.1.1…………………2

聯(lián)合防護(hù)原則

4.1.2…………………2

安全可控原則

4.1.3…………………2

立體防御原則

4.1.4…………………2

角色和職責(zé)

4.2…………………………2

電力信息系統(tǒng)運(yùn)行單位

4.2.1………………………2

電力調(diào)度機(jī)構(gòu)

4.2.2…………………3

電力信息系統(tǒng)安全服務(wù)機(jī)構(gòu)

4.2.3…………………3

電力信息系統(tǒng)安全等級測評機(jī)構(gòu)

4.2.4……………3

電力信息系統(tǒng)安全產(chǎn)品供應(yīng)商

4.2.5………………3

電力信息系統(tǒng)供應(yīng)商

4.2.6…………3

電力信息系統(tǒng)設(shè)計(jì)單位

4.2.7………………………4

主管部門

4.2.8………………………4

實(shí)施的基本活動

4.3……………………4

定級與備案

5………………5

定級與備案階段的流程

5.1……………5

定級對象分析

5.2………………………5

電力信息系統(tǒng)分析

5.2.1……………5

定級對象確定

5.2.2…………………6

安全保護(hù)等級確定

5.3…………………7

定級審核和批準(zhǔn)

5.3.1、………………7

形成定級報(bào)告

5.3.2…………………7

定級結(jié)果備案

5.4………………………7

測評與評估

6………………7

測評與評估的流程

6.1…………………7

等級測評

6.2……………9

測評機(jī)構(gòu)選擇

6.2.1…………………9

測評準(zhǔn)備

6.2.2………………………9

方案編制

6.2.3………………………10

Ⅰ

GB/T37138—2018

現(xiàn)場測評

6.2.4………………………10

分析與報(bào)告編制

6.2.5………………11

電力監(jiān)控系統(tǒng)安全防護(hù)評估

6.3………………………12

評估形式選擇

6.3.1…………………12

評估準(zhǔn)備

6.3.2………………………12

現(xiàn)場評估

6.3.3………………………13

分析與報(bào)告編制

6.3.4………………13

安全整改

7…………………14

安全整改的流程

7.1……………………14

整改方案制定

7.2………………………14

安全整改實(shí)施

7.3………………………15

安全整改驗(yàn)收

7.4………………………16

退運(yùn)

8………………………16

電力信息系統(tǒng)退運(yùn)階段的流程

8.1……………………16

信息轉(zhuǎn)移暫存和清除

8.2、……………16

設(shè)備遷移或退運(yùn)

8.3……………………17

存儲介質(zhì)的清除或銷毀

8.4……………17

參考文獻(xiàn)

……………………19

Ⅱ

GB/T37138—2018

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由國家能源局提出

。

本標(biāo)準(zhǔn)由全國電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會歸口

(SAC/TC296)。

本標(biāo)準(zhǔn)起草單位國家能源局信息中心中國南方電網(wǎng)公司國家電力投資集團(tuán)公司中國長江三峽

:、、、

集團(tuán)公司全球能源互聯(lián)網(wǎng)研究院有限公司北京卓識網(wǎng)安技術(shù)股份有限公司中國電力科學(xué)研究院有

、、、

限公司國網(wǎng)電力科學(xué)研究院有限公司國電南京自動化股份有限公司南方電網(wǎng)科學(xué)研究院有限責(zé)任

、、、

公司中國軟件評測中心

、。

本標(biāo)準(zhǔn)主要起草人梁建勇胡紅升王保喜陳雪鴻陰玉清李煥葉世超陶文偉王靜李旸照

:、、、、、、、、、、

張錋毛澍房磊趙婷焦安春高艷坤于學(xué)軍李凌劉育辰吳國華秦學(xué)嘉丁曉玉劉寅張敏

、、、、、、、、、、、、、、

郁寶坤張五一許愛東陳華軍蒙家曉周鋒郝鑫

、、、、、、。

Ⅲ

GB/T37138—2018

引言

為規(guī)范電力信息系統(tǒng)安全等級保護(hù)實(shí)施的流程內(nèi)容和方法加強(qiáng)電力信息系統(tǒng)的安全管理防范

、,,

網(wǎng)絡(luò)攻擊對電力信息系統(tǒng)造成的侵害保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行依據(jù)國家和行業(yè)有關(guān)政策制定

,,,

本標(biāo)準(zhǔn)

。

在對電力信息系統(tǒng)實(shí)施網(wǎng)絡(luò)安全等級保護(hù)的過程中除使用本標(biāo)準(zhǔn)外在不同的階段還應(yīng)參照其

,,,

他有關(guān)網(wǎng)絡(luò)安全等級保護(hù)的標(biāo)準(zhǔn)開展工作

。

Ⅳ

GB/T37138—2018

電力信息系統(tǒng)安全等級保護(hù)實(shí)施指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了電力信息系統(tǒng)安全等級保護(hù)實(shí)施的基本原則角色和職責(zé)以及定級與備案測評與

、,、

評估安全整改退運(yùn)等基本活動

、、。

本標(biāo)準(zhǔn)適用于指導(dǎo)電力信息系統(tǒng)安全等級保護(hù)的實(shí)施

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范

GB/T20984

信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求

GB/T22239

信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南

GB/T25058

信息安全技術(shù)術(shù)語

GB/T25069

3術(shù)語和定義

和界定的以及下列術(shù)語和定義適用于本文件

GB/T25069GB/T25058。

31

.

電力信息系統(tǒng)electricpowerinformationsystem

與電力企業(yè)的生產(chǎn)控制管理運(yùn)營相關(guān)的信息系統(tǒng)

、。

注根據(jù)信息系統(tǒng)的責(zé)任單位業(yè)務(wù)類型和業(yè)務(wù)重要性及物理位置差異等各種因素可分為管理信息系統(tǒng)和電力監(jiān)

:、,

控系統(tǒng)

。

32

.

管理信息系統(tǒng)managementinformationsystem

支持電力企業(yè)管理經(jīng)營的信息系統(tǒng)

。

注包括門戶網(wǎng)站系統(tǒng)財(cái)務(wù)管理系統(tǒng)人力資源管理系統(tǒng)等

: