书 书 书犐犆犛 ２９ ． ２４０ ． ０１ 犉 ２１ 中华人民共和国国家标准 犌犅 ／ 犜 ３８３１８ — ２０１９ 电力监控系统网络安全评估指南 犆狔犫犲狉狊犲犮狌狉犻狋狔犪狊狊犲狊狊犿犲狀狋犵狌犻犱犲犳狅狉犲犾犲犮狋狉犻犮狆狅狑犲狉狊狔狊狋犲犿狊狌狆犲狉狏犻狊犻狅狀犪狀犱犮狅狀狋狉狅犾 ２０１９  １２  １０ 发布 ２０２０  ０７  ０１ 实施 国家市场监督管理总局 国家标准化管理委员会 发布书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ２ …………………………………………………………………………………………………… ５ 　 评估内容 ２ ………………………………………………………………………………………………… ６ 　 系统生命周期各阶段的安全评估 ３ ……………………………………………………………………… 　 ６．１ 　 评估概述 ３ …………………………………………………………………………………………… 　 ６．２ 　 规划阶段 ３ …………………………………………………………………………………………… 　 ６．３ 　 设计阶段 ３ …………………………………………………………………………………………… 　 ６．４ 　 实施阶段 ３ …………………………………………………………………………………………… 　 ６．５ 　 运行维护阶段 ３ ……………………………………………………………………………………… 　 ６．６ 　 废弃阶段 ３ …………………………………………………………………………………………… ７ 　 评估流程及方法 ３ ………………………………………………………………………………………… 　 ７．１ 　 总体要求 ３ …………………………………………………………………………………………… 　 ７．２ 　 评估流程 ５ …………………………………………………………………………………………… 　 ７．３ 　 评估方法 ５ …………………………………………………………………………………………… 　 ７．４ 　 评估注意事项 ６ ……………………………………………………………………………………… ８ 　 安全防护技术评估 ６ ……………………………………………………………………………………… 　 ８．１ 　 基本要求 ６ …………………………………………………………………………………………… 　 ８．２ 　 基础设施安全 ６ ……………………………………………………………………………………… 　 ８．３ 　 体系结构安全 ７ ……………………………………………………………………………………… 　 ８．４ 　 本体安全 １０ …………………………………………………………………………………………… 　 ８．５ 　 可信安全免疫 １２ ……………………………………………………………………………………… ９ 　 应急备用措施评估 １３ ……………………………………………………………………………………… 　 ９．１ 　 冗余备用 １３ …………………………………………………………………………………………… 　 ９．２ 　 应急响应 １３ …………………………………………………………………………………………… 　 ９．３ 　 多道防线 １４ …………………………………………………………………………………………… １０ 　 安全管理评估 １４ ………………………………………………………………………………………… 　 １０．１ 　 安全管理体系 １４ …………………………………………………………………………………… 　 １０．２ 　 全体人员安全管理 １４ ……………………………………………………………………………… 　 １０．３ 　 全部设备及系统安全管理 １５ ……………………………………………………………………… 　 １０．４ 　 全生命周期安全管理 １６ …………………………………………………………………………… Ⅰ 犌犅 ／ 犜 ３８３１８ — ２０１９ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由中国电力企业联合会提出 。 本标准由全国电力系统管理及其信息交换标准化技术委员会 （ ＳＡＣ ／ ＴＣ８２ ） 归口 。 本标准起草单位 ： 中国电力科学研究院有限公司 、 全球能源互联网研究院有限公司 、 国家能源局 、 国家电网有限公司 、 中国南方电网有限责任公司 、 国家电力投资集团公司 、 中国华电集团有限公司 、 中国华能集团公司 、 中国长江三峡集团公司 、 国家电网公司华东分部 、 国网宁夏电力公司 、 国网吉林省电力有限公司 、 国网山东省电力公司 、 国网重庆市电力公司 、 国网江苏省电力有限公司 、 南瑞集团信息通信技术分公司 、 北京科东电力控制系统有限责任公司 、 广东电网公司电力科学研究院 。 本标准主要起草人 ： 张涛 、 李凌 、 马媛媛 、 郑义 、 郭旭 、 费稼轩 、 黄秀丽 、 高可 、 陈雪鸿 、 王景欣 、 陶洪铸 、 朱朝阳 、 林为民 、 刘楠 、 单松玲 、 杨维永 、 张亮 、 张宏杰 、 胡可为 、 刘勇 、 欧睿 、 裴培 、 马骁 、 陶文伟 、 梁智强 、 余勇 、 詹雄 、 刘森 、 刘莹 、 郑晓 ? 、 梁潇 、 王静 、 张珂 、 李照 、 陈刚 、 刘行 、 刘寅 、 张骞 、 石聪聪 、 张小建 。 Ⅲ 犌犅 ／ 犜 ３８３１８ — ２０１９ 引 　　 言 　　 本标准与 ＧＢ ／ Ｔ３６５７２ — ２０１８ 配套使用 。 Ⅳ 犌犅 ／ 犜 ３８３１８ — ２０１９ 电力监控系统网络安全评估指南 １ 　 范围 本标准规定了电力监控系统网络安全评估工作的评估内容 、 系统生命周期各阶段的安全评估 、 评估 流程及方法 、 安全防护技术评估 、 应急备用措施评估 、 安全管理评估 。 本标准适用于各电力企业电力监控系统规划阶段 、 设计阶段 、 实施阶段 、 运行维护阶段和废弃阶段 的网络安全防护评估工作 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ９３６１ 　 计算机场地安全要求 ＧＢ１７８５９ — １９９９ 　 计算机信息系统 　 安全保护等级划分准则 ＧＢ ／ Ｔ１８３３６．２ — ２０１５ 　 信息技术 　 安全技术 　 信息技术安全性评估准则 　 第 ２ 部分 ： 安全功能 组件 ＧＢ ／ Ｔ２０２７２ — ２００６ 　 信息安全技术 　 操作系统安全技术要求 ＧＢ ／ Ｔ２０９８４ — ２００７ 　 信息安全技术 　 信息安全风险评估规范 ＧＢ ／ Ｔ２１０２８ — ２００７ 　 信息安全技术 　 服务器安全技术要求 ＧＢ ／ Ｔ２１０５０ — ２００７ 　 信息安全技术 　 网络交换机安全技术要求 （ 评估保证级 ３ ） ＧＢ ／ Ｔ２２１８６ — ２０１６ 　 信息安全技术 　 具有中央处理器的 ＩＣ 卡芯片安全技术要求 ＧＢ ／ Ｔ２２２３９ — ２０１９ 　 信息安全技术 　 网络安全等级保护基本要求 ＧＢ ／ Ｔ２２２４０ — ２００８ 　 信息安全技术 　 信息系统安全等级保护定级指南 ＧＢ ／ Ｔ２５０５８ — ２０１０ 　 信息安全技术 　 信息系统安全等级保护实施指南 ＧＢ ／ Ｔ２５０６８．３ — ２０１０ 　 信息技术 　 安全技术 　 ＩＴ 网络安全 　 第 ３ 部分 ： 使用安全网关的网间通信 安全保护 ＧＢ ／ Ｚ２５３２０ （ 所有部分 ） 　 电力系统管理及其信息交换 　 数据和通信安全 ＧＢ ／ Ｔ３１５０９ — ２０１５ 　 信息安全技术 　 信息安全风险评估实施指南 ＧＢ ／ Ｔ３６５７２ — ２０１８ 　 电力监控系统网络安全防护导则 ３ 　 术语和定义 ＧＢ ／ Ｔ３６５７２ — ２０１８ 和 ＧＢ ／ Ｔ２０９８４ — ２００７ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 自评估 　 狊犲犾犳犪狊狊犲狊狊犿犲狀狋 运行单位对本单位电力监控系统组织实施的安全评估 ， 以及调度机构在调度管辖范围内 （ 以下简称 “ 调管范围内 ”） 各运行单位自评估结果基础上 ， 对调管范围内电力监控系统组织实施的安全评估 。 １ 犌犅 ／ 犜 ３８３１８ — ２０１９ ３ ． ２ 检查评估 　 犻狀狊狆犲犮狋犻狅狀犪狊狊犲狊狊犿犲狀狋 由被评估单位的业务主管部门组织或委托安全评估机构 ， 依据有关标准和管理规定 ， 对电力监控系 统进行的具有强制性的安全评估 。 ３ ． ３ 上线安全评估 　 狅狀犾犻狀犲犻犿狆犾犲犿犲狀狋犪狋犻狅狀狊犲犮狌