《电力监控系统安全管理规定》由会员分享,可在线阅读,更多相关《电力监控系统安全管理规定(15页珍藏版)》请在金锄头文库上搜索。
1、北京京能新能源有限公司企业标准发布电力监控系统安全管理规定实施* * *Q/XNY-发布III北京京能新能源有限公司.言1 范围2 规范性引用文件 3 术语和定义 4一职责5 管理活动内容与方法 6 检查、考核与奖励 本标准是根据北京京能新能源有限公司(以下简称新能源公司)标准体系工作的需要 编制,是企业标准体系建立和实施的个性标准。目的是为新能源公司各部门(包括分公司、 风电场、光伏电站)制定电力监控系统安全工作的总体方针和安全策略,明确电力监控系统 安全工作的总体目标、范围、原则和安全策略等,是公司开展电力监控系统安全工作的纲领 性文件。本标准由新能源公司提出,由安全生产部归口管理本标准起
2、草部门:生产运行部。本标准起草人:陈晓东。本标准修改人:陈晓东。 本标准审核人:任 昱、石 敏 本标准复核人:张红义、王丰绪。本标准批准人:张凤阳。本标准于 20* 年* 月首次发布。电力监控系统安全管理规定1 范围本标准规定了新能源公司电力监控系统安全工作的总体方针和安全策略。 本标准适用于新能源公司各部室所属各部门的电力监控系统安全工作。2 规范性引用文件下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅注日 期的版本适用于本文件。凡是不注日期的引用文件,其最新版本 (包括所有的修改 单)适用于本文件。国务院令 1994 年第 147 号 中华人民共和国计算机信息系统安 全
3、保护条例公信安 20091429 号 关于开展信息安全等级保护安全建设整改工作的指 导意见GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求GB/T 20269 2006信息安全技术 安全建设技术方案设计要求国家发改委令 2014 年第 14 号 电力监控系统安全 防护规定国能安全 201536 号国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和 评估规范的通知国能安全 2014317 号 电力行业网络与信息安全管理办法电监信息 200744 号 电力行业信息系统等级保护定级工作指导意见Q/BEIH-219.10-03-2013 网络与信息安全管理规定3 术
4、语和定义下列术语和定义适用于本规定:3.1 电力监控系统指用于监视和控制电力生产及供应过程的、 基于计算机及网络技术的业务系 统及智能设备,以及做为基础支撑的通信及数据网络等。3.2 信息此处特指在电力监控系统中存储、传输、处理的数字化数据。3.3 完整性包括数据完整性和系统完整性。 数据完整性表征数据所具有的特性, 即无论 数据形式作何变化, 数据的准确性和一致性均保持不变的程度; 系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资 源的情况下,系统能履行其操作目的的品质。3.4 可用性表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。3.5 访问
5、控制按确定的规则, 对实体之间的访问活动进行控制的安全机制, 能防止对资源 的未授权使用。3.6 安全审计按确定规则的要求, 对与安全相关的事件进行审计, 以日志方式记录必要信 息,并作出相应处理的安全机制。3.7 鉴别信息用以确认身份真实性的信息。3.8 敏感性表征资源价值或重要性的特性,也可能包含这一资源的脆弱性。3.9 风险评估通过对信息系统的资产价值 / 重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析,对信息系统及其处理、 传输和存储的信息的保密性、 完整性和可用性等进行科学识别和评价,确定信息系统安全风险的过程。3.10 安全策略主要指为信息系统安全管理制定的行动方针、
6、路线、工作方式、指导原则或程序。3.11 边界防护网络可以看作一个独立的对象, 通过自身的属性,维持内部业务的运转。它 的安全威胁来自内部与边界两个方面: 内部安全威胁是指网络的合法用户在使用 网络资源的时候,发生的不合规的行为、误操作、恶意破坏等行为,以及非法外 联。边界安全威胁是指网络与外界互通引起的安全问题,如入侵、病毒与攻击。边界防护的作用就是避免内部合法用户发生不合规的行为、 误操作、恶意破坏等行 为,防止内部合法用户非法外联以及网络边界外的入侵、病毒与攻击行为。4 职责4.1 安全生产部4.1.1 本标准的归口管理部门,负责标准执行情况的监督、检查、考核。4.1.2 负责贯彻执行国
7、家有关电力行业网络与信息安全工作的标准、规定及管理办法等。4.1.3 负责新能源公司的电力监控系统网络与信息安全工作。4.1.4 建立健全新能源公司电力监控系统网络与信息安全管理制度体系。4.1.5 协助新能源公司公司领导成立电力监控系统网络与信息安全工作领导机构,明确责任部门,设立专兼职岗位, 定义岗位职责, 明确人员分工和技能要求建立健全网络与信息安全责任制4.1.6 按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求, 对新能源公司的电力监控系统网络与信息系统进行安全保护。4.1.7 按照国家有关规定开展新能源公司电力监控系统安全防护评估和信息安 全等级测评工作,未达到要求的及
8、时组织进行整改。4.1.8 按照国家有关规定开展新能源公司电力监控系统网络与信息安全风险评估工作,建立健全信息安全风险评估的自评估和检查评估制度, 完善信息安全风险 管理机制。4.1.9 按照网络与信息安全通报制度的规定,建立健全新能源公司信息通报机制, 开展信息安全通报预警工作, 及时向集团及国家能源局或其派出机构报告有关情 况。4.1.10 按照电力行业网络与信息安全应急预案, 制定或修订新能源公司网络与 信息安全应急预案,定期开展应急演练。4.1.11 建立电力监控系统网络与信息安全资金保障制度, 有效保障电力监控系 统信息系统安全建设、运维、检查、等级测评和安全评估、应急及其它的信息安
9、 全资金。4.1.12 加强电力监控系统信息安全从业人员考核和管理。 组织新能源公司从业 人员定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。按照国家有关规定, 建立健全电力监控系统容灾备份制度,监督风电场、 光伏 电站、集控中心对关键系统和核心数据进行有效备份。4.2 其他部室4.2.1 负责及时上报公司本部电力监控系统网络与信息安全工作执行情况。4.2.2 负责配合公司执行国家有关电力行业网络与信息安全工作的标准、规定 及管理办法等。4.2.3 负责配合协调公司本部对电力监控系统应急状况的处置工作。5 管理活动内容与方法5.1 总体方针新能源公司电力监控系统网络与信息安全工作坚持
10、“安全第一、预防为主, 积极防御、综合防范”的总体方针,按照“谁主管谁负责,谁运营谁负责”的原 则,实现网络与信息安全工作可控、能控、在控。依照“安全分区、网络专用、 横向隔离、纵向认证”的总体安全防护策略, 执行信息系统安全等级保护定级制 度。风电场、光伏电站、 集控中心内部基于计算机和网络技术的电力生产业务监 控系统分为生产控制大区和管理信息大区。生产控制大区分为控制区 (安全区I)和非控制区(安全区:);管理信息大区根据风电场、光伏电站、集控中心实际 安全需求划分安全区。 生产控制大区与管理信息大区之间必须设置经国家指定 部门检测认证的电力专用横向单向安全隔离装置,实现边界防护。5.2
11、总体目标新能源公司电力监控系统网络与信息安全工作的总体目标是确保电力监控系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防范黑客及 恶意代码等对电力监控系统的攻击及侵害,保障电力系统的安全稳定运行。5.3 总体原则5.3.1 基于安全需求原则风电场、光伏电站、集控中心应根据电力监控系统担负的使命,根据信息数据的重要性, 可能受到的威胁及面临的风险分析安全需求,按照电力行业信息 系统等级保护定级工作指导意见 要求确定相应的信息系统安全保护等级, 遵从 相应等级的规范要求,从全局上恰当地平衡安全投入与效果。5.3.2 主要领导负责原则安全生产部确立由其统一组织的信息安全保障体系,
12、负责提高员工的安全意 识,组织有效安全保障队伍, 调动并优化配置必要的资源, 协调安全管理工作与 各部门工作的关系,并确保其落实、有效。5.3.3 全员参与原则新能源公司总部、 分公司及所属风电场、 光伏电站所有生产相关人员应普遍 参与电力监控系统网络与信息的安全管理,并与相关方面协同、协调, 共同保障电 力监控系统网络与信息安全。5.3.4 系统方法原则新能源公司总部、分公司及所属风电场、光伏电站应按照系统工程的要求, 识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法, 提高实现安全保障的目标的有效性和效率。5.3.5 持续改进原则安全管理是一种动态反馈过程, 贯穿整个安
13、全管理的生存周期, 随着安全需 求和系统脆弱性的时空分布变化, 威胁程度的提高, 系统环境的变化以及对系统 安全认识的深化等,新能源公司总部、分公司及所属风电场、 光伏电站应及时地将 现有的安全策略、风险接受程度和保护措施进行复查、修改、 调整以至提升安全管 理等级,维护和持续改进信息安全管理体系的有效性。5.3.6 依法管理原则信息安全管理工作主要体现为管理行为, 新能源公司总部、 分公司及所属风 电场、光伏电站应保证信息系统安全管理主体合法、管理行为合法、管理内容合 法、管理程序合法。 对安全事件的处理, 应由授权者适时发布准确一致的有关信 息,避免带来不良的社会影响。5.3.7 分权和授
14、权原则对特定职能或责任领域的管理功能实施分离、 独立审计等实行分权, 避免权 力过分集中所带来的隐患, 以减小未授权的修改或滥用系统资源的机会。 任何实体 (如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权 限,不应享有任何多余权限。5.3.8 选用成熟技术原则成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程 度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。5.3.9 分级保护原则按等级划分标准确定信息系统的安全保护等级,实行分级保护; 对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求, 分别确定各子系统的安全保
15、护等级,实行多级安全保护。管理与技术并重原则坚持积极防御和综合防范, 全面提高信息系统安全防护能力,立足国情,采 用管理与技术相结合, 管理科学性和技术前瞻性结合的方法, 保障信息系统的安 全性达到所要求的目标。自保护和国家监管结合原则对信息系统安全实行自保护和国家保护相结合。 新能源公司总部、 分公司及 所属风电场、 光伏电站要对自己的信息系统安全保护负责, 政府相关部门有责任 对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结 合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。5.4 总体安全策略5.4.1 物理安全策略。5.4.2 网络安全策略5.4.2.1 网络必须在专用通道上使用独立的网络设备组网,采用基于 SDH/PDH 制式光 传输设备的不同通道、 不同纤芯等方式, 在物理层面上实现与其它网络及外部公共 信息网的安全隔离。应采用 MPLS-VPN 技术、安全隧道技术、静态路由等技术将网络分割为逻辑上相 对独立的子网, 分别对应监控系
