ICS3524050

F07..

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T37138—2018

電力信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南

Implementationguideforcybersecurityclassifiedprotectionofelectricpower

informationsystem

2018-12-28發(fā)布2019-07-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T37138—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

等級(jí)保護(hù)實(shí)施概述

4………………………2

基本原則

4.1……………2

結(jié)構(gòu)優(yōu)先原則

4.1.1…………………2

聯(lián)合防護(hù)原則

4.1.2…………………2

安全可控原則

4.1.3…………………2

立體防御原則

4.1.4…………………2

角色和職責(zé)

4.2…………………………2

電力信息系統(tǒng)運(yùn)行單位

4.2.1………………………2

電力調(diào)度機(jī)構(gòu)

4.2.2…………………3

電力信息系統(tǒng)安全服務(wù)機(jī)構(gòu)

4.2.3…………………3

電力信息系統(tǒng)安全等級(jí)測(cè)評(píng)機(jī)構(gòu)

4.2.4……………3

電力信息系統(tǒng)安全產(chǎn)品供應(yīng)商

4.2.5………………3

電力信息系統(tǒng)供應(yīng)商

4.2.6…………3

電力信息系統(tǒng)設(shè)計(jì)單位

4.2.7………………………4

主管部門(mén)

4.2.8………………………4

實(shí)施的基本活動(dòng)

4.3……………………4

定級(jí)與備案

5………………5

定級(jí)與備案階段的流程

5.1……………5

定級(jí)對(duì)象分析

5.2………………………5

電力信息系統(tǒng)分析

5.2.1……………5

定級(jí)對(duì)象確定

5.2.2…………………6

安全保護(hù)等級(jí)確定

5.3…………………7

定級(jí)審核和批準(zhǔn)

5.3.1、………………7

形成定級(jí)報(bào)告

5.3.2…………………7

定級(jí)結(jié)果備案

5.4………………………7

測(cè)評(píng)與評(píng)估

6………………7

測(cè)評(píng)與評(píng)估的流程

6.1…………………7

等級(jí)測(cè)評(píng)

6.2……………9

測(cè)評(píng)機(jī)構(gòu)選擇

6.2.1…………………9

測(cè)評(píng)準(zhǔn)備

6.2.2………………………9

方案編制

6.2.3………………………10

Ⅰ

GB/T37138—2018

現(xiàn)場(chǎng)測(cè)評(píng)

6.2.4………………………10

分析與報(bào)告編制

6.2.5………………11

電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估

6.3………………………12

評(píng)估形式選擇

6.3.1…………………12

評(píng)估準(zhǔn)備

6.3.2………………………12

現(xiàn)場(chǎng)評(píng)估

6.3.3………………………13

分析與報(bào)告編制

6.3.4………………13

安全整改

7…………………14

安全整改的流程

7.1……………………14

整改方案制定

7.2………………………14

安全整改實(shí)施

7.3………………………15

安全整改驗(yàn)收

7.4………………………16

退運(yùn)

8………………………16

電力信息系統(tǒng)退運(yùn)階段的流程

8.1……………………16

信息轉(zhuǎn)移暫存和清除

8.2、……………16

設(shè)備遷移或退運(yùn)

8.3……………………17

存儲(chǔ)介質(zhì)的清除或銷(xiāo)毀

8.4……………17

參考文獻(xiàn)

……………………19

Ⅱ

GB/T37138—2018

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任

。。

本標(biāo)準(zhǔn)由國(guó)家能源局提出

。

本標(biāo)準(zhǔn)由全國(guó)電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC296)。

本標(biāo)準(zhǔn)起草單位國(guó)家能源局信息中心中國(guó)南方電網(wǎng)公司國(guó)家電力投資集團(tuán)公司中國(guó)長(zhǎng)江三峽

:、、、

集團(tuán)公司全球能源互聯(lián)網(wǎng)研究院有限公司北京卓識(shí)網(wǎng)安技術(shù)股份有限公司中國(guó)電力科學(xué)研究院有

、、、

限公司國(guó)網(wǎng)電力科學(xué)研究院有限公司國(guó)電南京自動(dòng)化股份有限公司南方電網(wǎng)科學(xué)研究院有限責(zé)任

、、、

公司中國(guó)軟件評(píng)測(cè)中心

、。

本標(biāo)準(zhǔn)主要起草人梁建勇胡紅升王保喜陳雪鴻陰玉清李煥葉世超陶文偉王靜李旸照

:、、、、、、、、、、

張錋毛澍房磊趙婷焦安春高艷坤于學(xué)軍李凌劉育辰吳國(guó)華秦學(xué)嘉丁曉玉劉寅張敏

、、、、、、、、、、、、、、

郁寶坤張五一許愛(ài)東陳華軍蒙家曉周鋒郝鑫

、、、、、、。

Ⅲ

GB/T37138—2018

引言

為規(guī)范電力信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的流程內(nèi)容和方法加強(qiáng)電力信息系統(tǒng)的安全管理防范

、,,

網(wǎng)絡(luò)攻擊對(duì)電力信息系統(tǒng)造成的侵害保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行依據(jù)國(guó)家和行業(yè)有關(guān)政策制定

,,,

本標(biāo)準(zhǔn)

。

在對(duì)電力信息系統(tǒng)實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)的過(guò)程中除使用本標(biāo)準(zhǔn)外在不同的階段還應(yīng)參照其

,,,

他有關(guān)網(wǎng)絡(luò)安全等級(jí)保護(hù)的標(biāo)準(zhǔn)開(kāi)展工作

。

Ⅳ

GB/T37138—2018

電力信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了電力信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的基本原則角色和職責(zé)以及定級(jí)與備案測(cè)評(píng)與

、,、

評(píng)估安全整改退運(yùn)等基本活動(dòng)

、、。

本標(biāo)準(zhǔn)適用于指導(dǎo)電力信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/T20984

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

GB/T22239

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南

GB/T25058

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069

3術(shù)語(yǔ)和定義

和界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069GB/T25058。

31

.

電力信息系統(tǒng)electricpowerinformationsystem

與電力企業(yè)的生產(chǎn)控制管理運(yùn)營(yíng)相關(guān)的信息系統(tǒng)

、。

注根據(jù)信息系統(tǒng)的責(zé)任單位業(yè)務(wù)類(lèi)型和業(yè)務(wù)重要性及物理位置差異等各種因素可分為管理信息系統(tǒng)和電力監(jiān)

:、,

控系統(tǒng)

。

32

.

管理信息系統(tǒng)managementinformationsystem

支持電力企業(yè)管理經(jīng)營(yíng)的信息系統(tǒng)

。

注包括門(mén)戶網(wǎng)站系統(tǒng)財(cái)務(wù)管理系統(tǒng)人力資源管理系統(tǒng)等

: