《核能行业网络安全同行评估绩效目标与准则》（征求意见稿）.docx

1

T/CNEAXXXX—XXXX

核能行业网络安全同行评估绩效目标与准则

1范围

本文件规定了核能行业网络安全同行评估绩效目标与准则，为核能行业开展网络安全评估，兼顾网络安全三同步原则、本体安全要求、常态化、实战化和体系化等因素，构建网络安全评估领域，明确各领域的评估安全绩效目标与准则。

本文件适用于核能行业开展网络安全同行评估工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T22240—2020《信息安全技术网络安全等级保护定级指南》GB/T22239—2019《信息安全技术网络安全等级保护基本要求》GB/T28448—2019《信息安全技术网络安全等级保护测评要求》GB/T28449—2018《信息安全技术网络安全等级保护测评指南》GB/T39786—2021《信息安全技术信息系统密码应用基本要求》GB/T43206—2023《信息安全技术信息系统密码应用测评要求》GB/T36572—2018《电力监控系统网络安全防护导则》

GB/T38318—2019《电力监控系统网络安全评估指南》

GB/T37980—2019《信息安全技术工业控制系统安全检查指南》GB/T41241-2022《核电厂工业控制系统网络安全管理要求》

GB/T25069—2022《信息安全技术术语》

GB/T31722-2015《信息技术安全技术信息安全风险管理》GB/T20984-2022《信息安全技术信息安全风险评估方法》

DL/T2614-2023《电力行业网络安全等级保护基本要求》DL/T2613-2023《电力行业网络安全等级保护测评指南》

3术语和定义

GB/T22240-2020、GB/T22239-2019、GB/T28449-2018、GB/T39786-2021、GB/T43206-2023、GB/T36572-2018、GB/T38318—2019、GB/T37980—2019、GB/T41241-2022、GB/T25069—2022、GB/T31722-2015、GB/T20984-2022、DL/T2614-2023和DL/T2613-2023界定的以及下列术语和定义适用于本文件。为了便于使用以下重复列出了GB/T22239-2019中的一些术语和定义。

3.1

网络安全CyberSecurity

2

T/CNEAXXXX—XXXX

通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，是网络处于稳定可靠运行的状态，以及保障网络数据的完整性、必威体育官网网址性、可用性的能力。

[GB/T22239-2019，定义3.1]3.2

安全保护能力SecurityProtectionAbility

能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。[GB/T22239-2019，定义3.1]

3.3

评估准则AssessmentCriteria

用于衡量和评价特定对象或活动是否达到预期标准的一套规则或指标。

4网络安全同行评估业绩目标领域划分

核能行业网络安全同行评估业绩目标与准则是网络安全同行评估的核心，业绩目标是基于网络安全等级保护2.0基本要求上，体现聚焦管理、增强网络安全领导力、着力网络安全管理改进的本质要求，符合“三分技术、七分管理”的客观规律和内在要求，切实从“人的意识和行为以及管理缺陷”的角度，促进和支撑网络安全等级保护系列标准落地生根的新的探索。业绩目标分为9大领域、71个子领域，整体架构如下图1所示。

图1业绩目标整体架构图

5领导力业绩目标与准则

5.1网络安全观和承诺

以总体国家安全观为指导，准确认识和把握网络安全的特点和规律，研究确定企业网络安全观，对

3

T/CNEAXXXX—XXXX

企业安全工作目标和方针做出承诺。该目标要求的负责人是企业网信领导（主要负责人）。评估准则：

a.以习近平总书记的网络安全观为指导，认识网络安全工作的特点，准确把握和谋划网络安全工作（一级及以上系统）；

b.经常审视外部网络安全形势和威胁，评估自身网络安全风险、隐患和威胁（一级及以上系统）；

c.确定网络安全工作目标，对网络安全工作方针和政策做出承诺（一级及以上系统）。

5.2网络安全组织与责任

按照《网络安全法》和上级主管部门的要求，结合企业自身安全管控需要，设置明确网络安全工作领导、管理和专业技