暂存和清除-中国电力企业联合会.DOC

目??次 前言 IV 引言 V 1　范围 1 2　规范性引用文件 1 3　术语和定义 1 3.1 1 3.2 1 3.3 1 3.4 1 3.5 1 3.6 2 3.7 2 3.8 2 4　等级保护实施概述 2 4.1　基本原则 2 4.1.1　联合防护原则 2 4.1.2　安全可控原则 2 4.1.3　立体防御原则 3 4.2　角色和职责 3 4.2.1　国家管理部门 3 4.2.2　行业主管部门 3 4.2.3　电力监控系统运行单位 4 4.2.4　调度机构 4 4.2.5　信息安全服务机构 4 4.2.6　电力监控系统安全等级测评机构 4 4.2.7　信息安全产品供应商 5 4.2.8　电力监控系统供应商 5 4.2.9　电力监控系统设计单位 5 4.3　实施的基本流程 5 5　电力监控系统定级与备案 6 5.1　电力监控系统定级与备案阶段的工作流程 7 5.2　电力行业定级工作 7 5.3　电力监控系统定级对象分析 8 5.3.1　电力监控系统重要性分析 8 5.3.2　电力监控系统定级对象确定 8 5.3.3　定级、审核和批准 8 5.3.4　形成定级报告 9 5.4　定级结果备案 9 6　备案 10 7　测评与评估 10 7.1　测评与评估阶段的工作流程 11 7.2　等级测评 11 7.2.1　测评机构选择 11 7.2.2　等级测评实施 12 7.3　安全防护评估 13 7.3.1　评估机构选择 13 7.3.2　评估工作形式选择 13 7.3.3　安全防护评估实施 14 8　安全整改 14 8.1　安全整改阶段的工作流程 14 8.2　整改方案制定 15 8.3　安全整改实施 16 8.4　安全整改验收 17 9　监督 17 9.1　监督的工作流程 17 9.2　监督 17 10　退运 18 10.1　电力监控系统退运阶段的工作流程 18 10.2　信息转移、暂存和清除 19 10.3　设备迁移或退运 19 10.4　存储介质的清除或销毁 20 前 言 本规范按照GB/T1.1-2009给出的规则起草。 本规范由全国电力监管标准化技术委员会提出并归口。 本规范起草单位：国家能源局信息中心，全球能源互联网研究院，电力行业信息安全等级保护测评中心各测评实验室（北京卓识网安技术股份有限公司，中国电力科学研究院，国网电力科学研究院，国电南自有限公司，南方电网科学研究院），中国软件评测中心。 本规范主要起草人：XXX。 引 言 为规范电力监控系统安全等级保护实施的流程、内容和方法，加强电力监控系统的安全管理，防范网络与信息安全攻击对电力监控系统造成的侵害，保障电力系统的安全稳定运行，依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《信息安全等级保护管理办法》（公通字[2007]43号）、《电力监控系统安全防护规定》（国家发改委令2014年第14号）、《电力行业网络与信息安全管理办法》（国能安全[2014]317号）和《电力行业信息安全等级保护管理办法》（国能安全[2014]318号）等，制定本标准。 在对电力监控系统实施信息安全等级保护的过程中，除使用本标准外，在不同的阶段，还应参照其他有关信息安全等级保护的标准开展工作。 电力监控系统安全等级保护实施指南 范围 本标准规定了电力监控系统信息安全等级保护实施的过程，适用于指导电力监控系统安全等级保护的实施。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。 GB 17859—1999 计算机信息系统安全保护等级划分准则 GB/Z 20986-2007 信息安全事件分类分级指南 GB/T 30976.1-2014 工业控制系统信息安全　第1部分：评估规范 GB/T 30976.2-2014 工业控制系统信息安全　第2部分：验收规范 GB/T 25058-2010 信息安全技术 网络安全等级保护实施指南 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 22240 信息安全技术 网络安全等级保护定级指南 GB/T 25069-2010 信息安全技术 术语 术语和定义 GB/T 25069-2010和GB/T 25058-2010所确立的术语和定义适用于本标准。 电力监控系统 electric power system supervision and control 是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络等，包括电力数据采集与监控系统（SCADA）、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、