GB/T 36047-2018電力信息系統(tǒng)安全檢查規(guī)范

ICS27010

F07.

中華人民共和國國家標準

GB/T36047—2018

電力信息系統(tǒng)安全檢查規(guī)范

Electricpowerinformationsystemsecurityinspectionstandard

2018-03-15發(fā)布2018-10-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T36047—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

檢查工作流程

4……………2

檢查準備

4.1……………2

檢查實施

4.2……………3

檢查結果分析

4.3………………………3

檢查內(nèi)容和檢查方法

5……………………3

組織體系

5.1……………3

規(guī)章制度

5.2……………4

資金保障

5.3……………5

人員安全管理

5.4………………………5

服務外包管控

5.5………………………6

關鍵信息資產(chǎn)管控

5.6…………………7

信息系統(tǒng)建設安全管理

5.7……………7

信息系統(tǒng)運行安全管理

5.8……………8

應急管理

5.9……………9

安全分區(qū)防御體系

5.10………………10

網(wǎng)絡安全防護

5.11……………………12

主機和設備安全防護

5.12……………13

應用系統(tǒng)和數(shù)據(jù)安全防護

5.13………………………14

物理環(huán)境安全防護

5.14………………15

業(yè)務連續(xù)性保護

5.15…………………16

附錄資料性附錄風險分析方法

A()……………………17

定性分析

A.1…………………………17

定量分析

A.2…………………………18

參考文獻

……………………25

Ⅰ

GB/T36047—2018

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由國家電力監(jiān)管委員會提出

。

本標準由全國電力監(jiān)管標準化技術委員會歸口

(SAC/TC296)。

本標準起草單位國家能源局信息中心國家能源局華北監(jiān)管局國家能源局浙江監(jiān)管辦公室

:、、。

本標準主要起草人梁建勇胡紅升周志明陳雪鴻黃瑞意陳紅建王鵬溫紅子葉世超李煥

:、、、、、、、、、、

谷雙魁劉韌朱朝陽李凌朱世順張五一劉雪梅陳華軍鄭曉崑張錋趙婷毛澍

、、、、、、、、、、、。

Ⅲ

GB/T36047—2018

引言

為規(guī)范電力信息系統(tǒng)安全的檢查流程內(nèi)容和方法防范網(wǎng)絡與信息安全攻擊對電力信息系統(tǒng)造成

、,

的侵害保障電力信息系統(tǒng)的安全穩(wěn)定運行保護國家關鍵信息基礎設施的安全依據(jù)國家有關信息安

,,,

全和電力行業(yè)信息系統(tǒng)安全的規(guī)定和要求制定本標準

,。

Ⅳ

GB/T36047—2018

電力信息系統(tǒng)安全檢查規(guī)范

1范圍

本標準規(guī)定了電力信息安全檢查工作的流程方法和內(nèi)容等

、。

本標準適用于行業(yè)網(wǎng)絡與信息安全主管部門開展電力信息系統(tǒng)安全的檢查工作和電力企業(yè)在本集

團系統(tǒng)范圍內(nèi)開展相關信息系統(tǒng)安全的自查工作

()。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術詞匯第部分安全

GB/T5271.88:

計算機信息系統(tǒng)安全保護等級劃分準則

GB17859—1999

信息安全技術信息系統(tǒng)安全等級保護基本要求

GB/T22239—2008

信息安全技術術語

GB/T25069—2010

3術語和定義

和界定的以及下列術語

GB/T5271.8、GB17859—1999、GB/T22239—2008GB/T25069—2010

和定義適用于本文件

。

31

.

電力信息系統(tǒng)electricpowerinformationsystem

與電力企業(yè)的生產(chǎn)運營管理控制相關的信息系統(tǒng)

、、、。

注根據(jù)信息系統(tǒng)的責任單位業(yè)務類型和業(yè)務重要性及物理位置差異等各種因素可分為管理信息類系統(tǒng)和生產(chǎn)

:、,

控制類系統(tǒng)

。

32

.

管理信息類系統(tǒng)managementinformationsystem

支持電力企業(yè)的經(jīng)營管理和運營的信息系統(tǒng)

、。

注如門戶網(wǎng)站系統(tǒng)電力營銷管理系統(tǒng)財務管理系統(tǒng)人力資源管理系統(tǒng)物流管理系統(tǒng)和質量管理系統(tǒng)等本

:、、、、。

類系統(tǒng)往往部署于管理信息大區(qū)與互聯(lián)網(wǎng)的隔離強度為邏輯隔離或強于邏輯隔離但弱于物理隔離

,。

33

.

生產(chǎn)控制類系統(tǒng)productioncontrolsystem

用于監(jiān)視和控制電網(wǎng)及電廠生產(chǎn)運行過程的基于計算機及網(wǎng)絡技術的業(yè)務處理系統(tǒng)及智能設備

、。

注如電力調度數(shù)