ICS3524050

F07..

中華人民共和國國家標準

GB/T37138—2018

電力信息系統安全等級保護實施指南

Implementationguideforcybersecurityclassifiedprotectionofelectricpower

informationsystem

2018-12-28發(fā)布2019-07-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T37138—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

等級保護實施概述

4………………………2

基本原則

4.1……………2

結構優(yōu)先原則

4.1.1…………………2

聯合防護原則

4.1.2…………………2

安全可控原則

4.1.3…………………2

立體防御原則

4.1.4…………………2

角色和職責

4.2…………………………2

電力信息系統運行單位

4.2.1………………………2

電力調度機構

4.2.2…………………3

電力信息系統安全服務機構

4.2.3…………………3

電力信息系統安全等級測評機構

4.2.4……………3

電力信息系統安全產品供應商

4.2.5………………3

電力信息系統供應商

4.2.6…………3

電力信息系統設計單位

4.2.7………………………4

主管部門

4.2.8………………………4

實施的基本活動

4.3……………………4

定級與備案

5………………5

定級與備案階段的流程

5.1……………5

定級對象分析

5.2………………………5

電力信息系統分析

5.2.1……………5

定級對象確定

5.2.2…………………6

安全保護等級確定

5.3…………………7

定級審核和批準

5.3.1、………………7

形成定級報告

5.3.2…………………7

定級結果備案

5.4………………………7

測評與評估

6………………7

測評與評估的流程

6.1…………………7

等級測評

6.2……………9

測評機構選擇

6.2.1…………………9

測評準備

6.2.2………………………9

方案編制

6.2.3………………………10

Ⅰ

GB/T37138—2018

現場測評

6.2.4………………………10

分析與報告編制

6.2.5………………11

電力監(jiān)控系統安全防護評估

6.3………………………12

評估形式選擇

6.3.1…………………12

評估準備

6.3.2………………………12

現場評估

6.3.3………………………13

分析與報告編制

6.3.4………………13

安全整改

7…………………14

安全整改的流程

7.1……………………14

整改方案制定

7.2………………………14

安全整改實施

7.3………………………15

安全整改驗收

7.4………………………16

退運

8………………………16

電力信息系統退運階段的流程

8.1……………………16

信息轉移暫存和清除

8.2、……………16

設備遷移或退運

8.3……………………17

存儲介質的清除或銷毀

8.4……………17

參考文獻

……………………19

Ⅱ

GB/T37138—2018

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由國家能源局提出

。

本標準由全國電力監(jiān)管標準化技術委員會歸口

(SAC/TC296)。

本標準起草單位國家能源局信息中心中國南方電網公司國家電力投資集團公司中國長江三峽

:、、、

集團公司全球能源互聯網研究院有限公司北京卓識網安技術股份有限公司中國電力科學研究院有

、、、

限公司國網電力科學研究院有限公司國電南京自動化股份有限公司南方電網科學研究院有限責任

、、、

公司中國軟件評測中心

、。

本標準主要起草人梁建勇胡紅升王保喜陳雪鴻陰玉清李煥葉世超陶文偉王靜李旸照

:、、、、、、、、、、

張錋毛澍房磊趙婷焦安春高艷坤于學軍李凌劉育辰吳國華秦學嘉丁曉玉劉寅張敏

、、、、、、、、、、、、、、

郁寶坤張五一許愛東陳華軍蒙家曉周鋒郝鑫

、、、、、、。

Ⅲ

GB/T37138—2018

引言

為規(guī)范電力信息系統安全等級保護實施的流程內容和方法加強電力信息系統的安全管理防范

、,,

網絡攻擊對電力信息系統造成的侵害保障電力系統的安全穩(wěn)定運行依據國家和行業(yè)有關政策制定

,,,

本標準

。

在對電力信息系統實施網絡安全等級保護的過程中除使用本標準外在不同的階段還應參照其

,,,

他有關網絡安全等級保護的標準開展工作

。

Ⅳ

GB/T37138—2018

電力信息系統安全等級保護實施指南

1范圍

本標準規(guī)定了電力信息系統安全等級保護實施的基本原則角色和職責以及定級與備案測評與

、,、

評估安全整改退運等基本活動

、、。

本標準適用于指導電力信息系統安全等級保護的實施

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術信息安全風險評估規(guī)范

GB/T20984

信息安全技術信息系統安全等級保護基本要求

GB/T22239

信息安全技術信息系統安全等級保護實施指南

GB/T25058

信息安全技術術語

GB/T25069

3術語和定義

和界定的以及下列術語和定義適用于本文件

GB/T25069GB/T25058。

31

.

電力信息系統electricpowerinformationsystem

與電力企業(yè)的生產控制管理運營相關的信息系統

、。

注根據信息系統的責任單位業(yè)務類型和業(yè)務重要性及物理位置差異等各種因素可分為管理信息系統和電力監(jiān)

:、,

控系統

。

32

.

管理信息系統managementinformationsystem

支持電力企業(yè)管理經營的信息系統

。

注包括門戶網站系統財務管理系統人力資源管理系統等

: