電力監(jiān)控系統(tǒng)安全治理規(guī)定

千里之行，始于足下。第2頁(yè)/共2頁(yè)精品文檔推薦電力監(jiān)控系統(tǒng)安全治理規(guī)定北京京能新能源有限公司企業(yè)標(biāo)準(zhǔn)

Q/XNY-***.**-**-****

電力監(jiān)控系統(tǒng)安全治理規(guī)定

****-**-**公布****-**-**實(shí)施

北京京能新能源有限公司公布

目次

前言錯(cuò)誤!未指定書(shū)簽。

1范圍錯(cuò)誤!未指定書(shū)簽。

2規(guī)范性引用文件錯(cuò)誤!未指定書(shū)簽。

3術(shù)語(yǔ)和定義錯(cuò)誤!未指定書(shū)簽。

4職責(zé)錯(cuò)誤!未指定書(shū)簽。

5治理活動(dòng)內(nèi)容與辦法錯(cuò)誤!未指定書(shū)簽。

5.2總體目標(biāo)錯(cuò)誤!未指定書(shū)簽。

5.3總體原則錯(cuò)誤!未指定書(shū)簽。

6檢查、考核與獎(jiǎng)勵(lì)錯(cuò)誤!未指定書(shū)簽。

前言

本標(biāo)準(zhǔn)是依照北京京能新能源有限公司（以下簡(jiǎn)稱(chēng)新能源公司）標(biāo)準(zhǔn)體系工作的需要編制，是企業(yè)標(biāo)準(zhǔn)體系建立和實(shí)施的個(gè)性標(biāo)準(zhǔn)。目的是為新能源公司各部門(mén)（包括分公司、風(fēng)電場(chǎng)、光伏電站）制定電力監(jiān)控系統(tǒng)安全工作的總體方針和安全策略，明確電力監(jiān)控系統(tǒng)安全工作的總體目標(biāo)、范圍、原則和安全策略等，是公司開(kāi)展電力監(jiān)控系統(tǒng)安全工作的綱領(lǐng)性文件。

本標(biāo)準(zhǔn)由新能源公司提出，由安全生產(chǎn)部歸口治理。

本標(biāo)準(zhǔn)起草部門(mén)：生產(chǎn)運(yùn)行部。

本標(biāo)準(zhǔn)起草人：陳曉東。

本標(biāo)準(zhǔn)修改人：陳曉東。

本標(biāo)準(zhǔn)審核人：任昱、石敏。

本標(biāo)準(zhǔn)復(fù)核人：張紅義、王豐緒。

本標(biāo)準(zhǔn)批準(zhǔn)人：張鳳陽(yáng)。

本標(biāo)準(zhǔn)于20**年*月首次公布。

電力監(jiān)控系統(tǒng)安全治理規(guī)定

1范圍

本標(biāo)準(zhǔn)規(guī)定了新能源公司電力監(jiān)控系統(tǒng)安全工作的總體方針和安全策略。

本標(biāo)準(zhǔn)適用于新能源公司各部室所屬各部門(mén)的電力監(jiān)控系統(tǒng)安全工作。

2規(guī)范性引用文件

下列文件關(guān)于本文件的應(yīng)用是必別可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是別注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

國(guó)務(wù)院令1994年第147號(hào)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全愛(ài)護(hù)條例》

公信安[2009]1429號(hào)《對(duì)于開(kāi)展信息安全等級(jí)愛(ài)護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》

GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)愛(ài)護(hù)基本要求》GB/T20269—2006《信息安全技術(shù)安全建設(shè)技術(shù)方案設(shè)計(jì)要求》國(guó)家發(fā)改委令20XX年第14號(hào)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》國(guó)能安全[2015]36號(hào)《國(guó)家能源局對(duì)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范的通知》

國(guó)能安全[2014]317號(hào)《電力行業(yè)網(wǎng)絡(luò)與信息安全治理方法》

電監(jiān)信息[2007]44號(hào)《電力行業(yè)信息系統(tǒng)等級(jí)愛(ài)護(hù)定級(jí)工作指導(dǎo)意見(jiàn)》

Q/BEIH-219.10-03-2013《網(wǎng)絡(luò)與信息安全治理規(guī)定》

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本規(guī)定：

3.1電力監(jiān)控系統(tǒng)

指用于監(jiān)視和操縱電力生產(chǎn)及供應(yīng)過(guò)程的、基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備，以及做為基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡(luò)等。3.2信息

此處特指在電力監(jiān)控系統(tǒng)中存儲(chǔ)、傳輸、處理的數(shù)字化數(shù)據(jù)。

3.3完整性

包括數(shù)據(jù)完整性和系統(tǒng)完整性。數(shù)據(jù)完整性表征數(shù)據(jù)所具有的特性，即不管數(shù)據(jù)形式作何變化，數(shù)據(jù)的準(zhǔn)確性和一致性均保持別變的程度；系統(tǒng)完整性表征系統(tǒng)在防止非授權(quán)用戶(hù)修改或使用資源和防止授權(quán)用戶(hù)別正確地修改或使用資源的事情下，系統(tǒng)能履行其操作目的的品質(zhì)。

3.4可用性

表征數(shù)據(jù)或系統(tǒng)依照授權(quán)實(shí)體的請(qǐng)求可被拜訪(fǎng)與使用程度的安全屬性。

3.5拜訪(fǎng)操縱

按確定的規(guī)則，對(duì)實(shí)體之間的拜訪(fǎng)活動(dòng)舉行操縱的安全機(jī)制，能防止對(duì)資源的未授權(quán)使用。

3.6安全審計(jì)

按確定規(guī)則的要求，對(duì)與安全相關(guān)的事件舉行審計(jì)，以日志方式記錄必要信息，并作出相應(yīng)處理的安全機(jī)制。

3.7鑒不信息

用以確認(rèn)身份真實(shí)性的信息。

3.8敏感性

表征資源價(jià)值或重要性的特性，也也許包含這一資源的脆弱性。3.9風(fēng)險(xiǎn)評(píng)估

經(jīng)過(guò)對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值/重要性、信息系統(tǒng)所受到的威脅以及信息系統(tǒng)的脆弱性舉行綜合分析，對(duì)信息系統(tǒng)及其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等舉行科學(xué)識(shí)不和評(píng)價(jià)，確定信息系統(tǒng)安全風(fēng)險(xiǎn)的過(guò)程。

3.10安全策略

要緊指為信息系統(tǒng)安全治理制定的行動(dòng)方針、路線(xiàn)、工作方式、指導(dǎo)原則或程序。

3.11邊界防護(hù)

網(wǎng)絡(luò)能夠看作一具獨(dú)立的對(duì)象，經(jīng)過(guò)自身的屬性，維持內(nèi)部業(yè)務(wù)的運(yùn)轉(zhuǎn)。它的安全威脅來(lái)自?xún)?nèi)部與邊界兩個(gè)方面：內(nèi)部安全威脅是指網(wǎng)絡(luò)的合法用戶(hù)在使用網(wǎng)絡(luò)資源的時(shí)候，發(fā)生的別合規(guī)的行為、誤操作、惡意破壞等行為，以及非法外聯(lián)。邊界安全威脅是指網(wǎng)絡(luò)與外界互通引起的安全咨詢(xún)題，如入侵、病毒與攻擊。邊界防護(hù)的作用算是幸免內(nèi)部合法用戶(hù)發(fā)生別合規(guī)的行為、誤操作、惡意破壞等行為，防止內(nèi)部合法用戶(hù)非法外聯(lián)以及網(wǎng)絡(luò)邊界外的入侵、病毒與攻擊行為。

4職責(zé)

4.1安全生產(chǎn)部

4.1.1本標(biāo)準(zhǔn)的歸口治理部門(mén)，負(fù)責(zé)標(biāo)準(zhǔn)執(zhí)行事情的監(jiān)督、檢查、考核。

4.1.2負(fù)責(zé)貫徹執(zhí)行國(guó)家有關(guān)電力行業(yè)網(wǎng)絡(luò)與信息安全工作的標(biāo)準(zhǔn)、規(guī)定及治理方法等。

4.1.3負(fù)責(zé)新能源公司的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)與信息安全工作。

4.1.4建立健全新能源公司電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)與信息安全治理制度體系。

4.1.5協(xié)助新能源公司公司領(lǐng)導(dǎo)成立電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)機(jī)構(gòu)，明確責(zé)任部門(mén)，設(shè)立專(zhuān)兼職崗位，定義崗位職責(zé)，明確人員分工和技能要求,建立健全網(wǎng)絡(luò)與信息安全責(zé)任制。

4.1.6按照電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定及國(guó)家信息安全等級(jí)愛(ài)護(hù)制度的要求，對(duì)新能源公司的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)與信息系統(tǒng)舉行安全愛(ài)護(hù)。

4.1.7按照國(guó)家有關(guān)規(guī)定開(kāi)展新能源公司電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估和信息安全等級(jí)測(cè)評(píng)工作，未達(dá)到要求的及時(shí)組織舉行整改。

4.1.8按照國(guó)家有關(guān)規(guī)定開(kāi)展新能源公司電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估工作，建立健全信息安全風(fēng)險(xiǎn)評(píng)估的自評(píng)估和檢查評(píng)估制度，完善信息安全風(fēng)險(xiǎn)治理機(jī)制。

4.1.9按照網(wǎng)絡(luò)與信息安全通報(bào)制度的規(guī)定，建立健全新能源公司信息通報(bào)機(jī)制，開(kāi)展信息安全通報(bào)預(yù)警工作，及時(shí)向集團(tuán)及國(guó)家能源局或其派出機(jī)構(gòu)報(bào)告有關(guān)事情。

4.1.10按照電力行業(yè)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，制定或修訂新能源公司網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，定期開(kāi)展應(yīng)急演練。

4.1.11建立電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)與信息安全資金保障制度，有效保障電力監(jiān)控系統(tǒng)信息系統(tǒng)安全建設(shè)、運(yùn)維、檢查、等級(jí)測(cè)評(píng)和安全評(píng)估、應(yīng)急及其它的信息安全資金。

4.1.12加強(qiáng)電力監(jiān)控系統(tǒng)信息安全從業(yè)人員考核和治理。組織新能源公司從業(yè)人員定期同意相應(yīng)的政策規(guī)范和專(zhuān)業(yè)技能培訓(xùn)，并經(jīng)培訓(xùn)合格后上崗。

4.1.13按照國(guó)家有關(guān)規(guī)定，建立健全電力監(jiān)控系統(tǒng)容災(zāi)備份制度，監(jiān)督風(fēng)電場(chǎng)、光伏電站、集控中心對(duì)關(guān)鍵系統(tǒng)和核心數(shù)據(jù)舉行有效備份。

4.2其他部室

4.2.1負(fù)責(zé)及時(shí)上報(bào)公司本部電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)與信息安全工作執(zhí)行事情。

4.2.2負(fù)責(zé)配合公司執(zhí)行國(guó)家有關(guān)電力行業(yè)網(wǎng)絡(luò)與信息安全工作的標(biāo)準(zhǔn)、規(guī)定及治理方法等。

4.2.3負(fù)責(zé)配合協(xié)調(diào)公司本部對(duì)電力監(jiān)控系統(tǒng)應(yīng)急狀況的處置工作。

5治理活動(dòng)內(nèi)容與辦法

5.1總體方針

新能源公司電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)與信息安全工作堅(jiān)持“安全第一、預(yù)防為主，積極防備、綜合防范”的總體方針，按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則，實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全工作可控、能控、在控。根據(jù)“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的總體安全防護(hù)策略，執(zhí)行信息系統(tǒng)安全等級(jí)愛(ài)護(hù)定級(jí)制度。風(fēng)電場(chǎng)、光伏電站、集控中心內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的電力生產(chǎn)業(yè)務(wù)監(jiān)控系統(tǒng)分為生產(chǎn)操縱大區(qū)和治理信息大區(qū)。生產(chǎn)操縱大區(qū)分為操縱區(qū)（安全區(qū)Ⅰ）和非操縱區(qū)（安全區(qū)Ⅱ）；治理信息大區(qū)依照風(fēng)電場(chǎng)、光伏電站、集控中心實(shí)際安全需求劃分安全區(qū)。生產(chǎn)操縱大區(qū)與治理信息大區(qū)之間必須設(shè)置經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用橫向單向安全隔離裝置，實(shí)現(xiàn)邊界防護(hù)。

5.2總體目標(biāo)

新能源公司電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)與信息安全工作的總體目標(biāo)是確保電力監(jiān)控系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性，防范黑客及惡意代碼等對(duì)電力監(jiān)控系統(tǒng)的攻擊及侵害，保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行。

5.3總體原則

5.3.1基于安全需求原則

風(fēng)電場(chǎng)、光伏電站、集控中心應(yīng)依照電力監(jiān)控系統(tǒng)擔(dān)負(fù)的使命，依照信息數(shù)據(jù)的重要性，也許受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求，按照《電力行業(yè)信息系統(tǒng)等級(jí)愛(ài)護(hù)定級(jí)工作指導(dǎo)意見(jiàn)》要求確定相應(yīng)的信息系統(tǒng)安全愛(ài)護(hù)等級(jí)，遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果。

5.3.2要緊領(lǐng)導(dǎo)負(fù)責(zé)原則

安全生產(chǎn)部確立由其統(tǒng)一組織的信息安全保障體系，負(fù)責(zé)提高職員的安全意識(shí)，組織有效安全保障隊(duì)伍，調(diào)動(dòng)并優(yōu)化配置必要的資源，協(xié)調(diào)安全治理工作與各部門(mén)工作的關(guān)系，并確保其降實(shí)、有效。

5.3.3全員參與原則

新能源公司總部、分公司及所屬風(fēng)電場(chǎng)、光伏電站所有生產(chǎn)相關(guān)人員應(yīng)普遍參與電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)與信息的安全治理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)與信息安全。

5.3.4系統(tǒng)辦法原則

新能源公司總部、分公司及所屬風(fēng)電場(chǎng)、光伏電站應(yīng)按照系統(tǒng)工程的要求，識(shí)不和明白信息安全保障相互關(guān)聯(lián)的層面和過(guò)程，采納治理和技術(shù)結(jié)合的辦法，提高實(shí)現(xiàn)安全保障的目標(biāo)的有效性和效率。

5.3.5持續(xù)改進(jìn)原則

安全治理是一種動(dòng)態(tài)反饋過(guò)程，貫通整個(gè)安全治理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時(shí)空分布變化，威脅程度的提高，系統(tǒng)環(huán)境

的變化以及對(duì)系統(tǒng)安全認(rèn)識(shí)的深化等，新能源公司總部、分公司及所屬風(fēng)電場(chǎng)、光伏電站應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)同意程度和愛(ài)護(hù)措施舉行復(fù)查、修改、調(diào)整以至提升安全治理等級(jí)，維護(hù)和持續(xù)改進(jìn)信息安全治理體系的有效性。

5.3.6依法治理原則

信息安全治理工作要緊體現(xiàn)為治理行為，新能源公司總部、分公司及所屬風(fēng)電場(chǎng)、光伏電站應(yīng)保證信息系統(tǒng)安全治理主體合法、治理行為合法、治理內(nèi)容合法、治理程序合法。對(duì)安全事件的處理，應(yīng)由授權(quán)者適時(shí)公布準(zhǔn)確一致的有關(guān)信息，幸免帶來(lái)別良的社會(huì)妨礙。

5.3.7分權(quán)和授權(quán)原則

對(duì)特定職能或責(zé)任領(lǐng)域的治理功能實(shí)施分離、獨(dú)立審計(jì)等實(shí)行分權(quán)，幸免權(quán)力過(guò)分集中所帶來(lái)的隱患，以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)遇。任何實(shí)體（如用戶(hù)、治理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該實(shí)體需要完成其任務(wù)所必須的權(quán)限，別應(yīng)享有任何多余權(quán)限。

5.3.8選用成熟技術(shù)原則

成熟的技術(shù)具有較好的可靠性和穩(wěn)定性，采納新技術(shù)時(shí)要重視其成熟的程度，并應(yīng)首先局部試點(diǎn)然后逐步推廣，以減少或幸免也許浮現(xiàn)的失誤。

5.3.9分級(jí)愛(ài)護(hù)原則

按等級(jí)劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全愛(ài)護(hù)等級(jí)，實(shí)行分級(jí)愛(ài)護(hù)；對(duì)多個(gè)子系統(tǒng)構(gòu)成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全愛(ài)護(hù)等級(jí)，并依照實(shí)際安全需求，分不確定各子系統(tǒng)的安全愛(ài)護(hù)等級(jí)，實(shí)行多級(jí)安全愛(ài)護(hù)。

5.3.10治理與技術(shù)并重原則

堅(jiān)持積極防備和綜合防范，全面提高信息系統(tǒng)安全防護(hù)能力，立腳國(guó)情，采納治理與技術(shù)相結(jié)合，治理科學(xué)性和技術(shù)前瞻性結(jié)合的辦法，保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo)。

5.3.11自愛(ài)護(hù)和國(guó)家監(jiān)管結(jié)合原則

對(duì)信息系統(tǒng)安全實(shí)行自愛(ài)護(hù)和國(guó)家愛(ài)護(hù)相結(jié)合。新能源公司總部、分公司及所屬風(fēng)電場(chǎng)、光伏電站要對(duì)自個(gè)兒的信息系統(tǒng)安全愛(ài)護(hù)負(fù)責(zé)，政府相關(guān)部門(mén)有責(zé)任對(duì)信息系統(tǒng)的安全舉行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評(píng)和國(guó)家監(jiān)管相結(jié)合的治理模式，提高信息系統(tǒng)的安全愛(ài)護(hù)能力和水平，保障國(guó)家信息安全。

5.4總體安全策略

5.4.1物理安全策略

5.4.1.1機(jī)房和辦公室必須挑選在通過(guò)防震、防火、防雷擊驗(yàn)收合格的辦公大樓內(nèi)部，機(jī)房的窗戶(hù)需要有防雨水滲透的能力。

5.4.1.2機(jī)房的位置別能是辦公樓的地下室，且別宜在一層或是頂層，假如條件有限必須做好機(jī)房防火、防水及防盜等措施，機(jī)房的正上方別能是用水量大的房間。

5.4.1.3出入機(jī)房必須舉行登記，無(wú)人值守時(shí)必須上鎖。

5.4.1.4進(jìn)入機(jī)房的工作人員必須由安全技術(shù)主管或機(jī)房治理員全程陪同。

5.4.1.5機(jī)房?jī)?nèi)部必須部署基礎(chǔ)防護(hù)系統(tǒng)和設(shè)備，如監(jiān)控報(bào)警設(shè)備、防雷設(shè)備、消防滅火設(shè)備、溫濕度操縱設(shè)備（如溫濕度計(jì)、空調(diào)等）、UPS供電系統(tǒng)。

5.4.2網(wǎng)絡(luò)安全策略

5.4.2.1網(wǎng)絡(luò)必須在專(zhuān)用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，采納基于SDH/PDH制式光傳輸設(shè)備的別同通道、別同纖芯等方式，在物理層面上實(shí)現(xiàn)與其它網(wǎng)絡(luò)及外部公共信息網(wǎng)的安全隔離。

5.4.2.2網(wǎng)絡(luò)應(yīng)采納MPLS-VPN技術(shù)、安全隧道技術(shù)、靜態(tài)路由等技術(shù)將網(wǎng)絡(luò)分割為邏輯上相對(duì)獨(dú)立的子網(wǎng)，分不對(duì)應(yīng)監(jiān)控系統(tǒng)業(yè)務(wù)子系

統(tǒng)，保證實(shí)時(shí)業(yè)務(wù)的封閉性和高等級(jí)的網(wǎng)絡(luò)服務(wù)質(zhì)量。

5.4.2.3網(wǎng)絡(luò)之