电力监控系统安全管理规定

生产管理Q/XNY-*。*-*-*北京京能新能源有限公司企业标准Q/XNY-*。*-*-*电力监控系统安全管理规定* * * *-* *-* *发布* * * *-* *-* *实施北京京能新能源有限公司命令先前三1范围12规范性参考文献13术语和定义1责任25管理活动的内容和方法36 .检查、评估和奖励6先前的评论本标准根据北京京能新能源有限公司(以下简称新能源公司)标准体系工作的要求编制。它是建立和实施企业标准体系的个体标准。目的是制定新能源公司各部门(包括分公司、风电场、光伏电站)电力监控系统安全工作的总体方针和安全策略，明确电力监控系统安全工作的总体目标、范围、原则和安全策略。是公司开展电力监控系统安全工作的纲领性文件。本标准由新能源公司提出，由安全生产部管理。本标准起草部门：生产运营部。本标准起草人：陈晓东。本标准修改人：陈晓东。本标准的评审者：余人和石民。本标准审查人：王。本标准批准人：张凤阳。本标准于20 *月首次发布。7生产管理Q/XNY-*。*-*-*电力监控系统安全管理规定1范围本标准规定了新能源公司电力监控系统安全工作的总体政策和安全策略。本标准适用于新能源公司部厅电力监控系统的安全工作。2规范性参考文件以下文件对本文件的应用至关重要。对于注明日期的参考文件，只有注明日期的版本适用于本文件。对于未注明日期的参考文件，最新版本(包括所有修订)适用于本文件。国务院令1994年第147号中华人民共和国计算机信息系统安全保护条例安20091429号关于开展信息安全等级保护安全建设整改工作的指导意见GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求国标202692006 信息安全技术 安全建设技术方案设计要求国家发展和改革委员会令2014年第14号电力监控系统安全防护规定国能证券201536号国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知国能证券2014317号电力行业网络与信息安全管理办法电力监管信息200744号电力行业信息系统等级保护定级工作指导意见Q/BEIH-219.10-03-2013 网络与信息安全管理规定3术语和定义以下术语和定义适用于本法规：3.1电源监控系统指基于计算机和网络技术的业务系统和智能设备，用于监控电力生产和供应过程，以及作为基本支撑的通信和数据网络。3.2信息这里特别提到在电力监控系统中存储、传输和处理的数字数据。3.3完整性包括数据完整性和系统完整性。数据完整性表征了数据的特征，即无论数据形式如何变化，数据的准确性和一致性都保持不变。系统完整性表征了在防止未授权用户修改或使用资源以及防止授权用户修改或错误使用资源的情况下，系统能够实现其操作目的的质量。3.4可用性一种安全属性，它描述了授权实体请求时数据或系统可以被访问和使用的程度。3.5访问控制根据特定规则控制实体间访问活动的安全机制可以防止未经授权使用资源。3.6安全审计根据判定规则的要求，审核安全相关事件，以日志的形式记录必要的信息，并制定相应的处理安全机制。3.7识别信息用于确认身份真实性的信息。3.8灵敏度表征资源价值或重要性的特征也可能包括其脆弱性。3.9风险评估通过全面分析信息系统的资产价值/重要性、威胁和脆弱性，对信息系统及其处理、传输和存储信息的保密性、完整性和可用性进行科学识别和评估，以确定信息系统安全风险的过程。3.10安全政策主要指信息系统安全管理的行动指南、路线、工作方法、指导原则或程序。3.11边境保护网络可以被视为一个独立的对象，通过自身的属性来维护内部服务的运行。其安全威胁来自内部和边界两个方面：内部安全威胁是指网络合法用户使用网络资源时发生的非法行为、误操作、恶意破坏等行为，以及非法外联。边界安全威胁是指由于网络与外界通信而引起的安全问题，如入侵、病毒和攻击等。边界保护的功能是防止内部合法用户的非法行为、误操作、恶意破坏等行为，防止内部合法用户的非法外联和网络边界外的入侵、病毒和攻击行为。责任4.1安全生产部4.1.1本标准归口管理部门负责本标准实施的监督、检查和评估。4.1.2负责电力行业网络和信息安全国家标准、法规和管理措施的实施。4.1.3负责新能源公司电力监控系统网络和信息安全。4.1.4建立健全新能源公司电力监控系统网络和信息安全管理系统。4.1.5协助新能源公司领导建立电力监控系统网络和信息安全工作领导机构，明确责任部门，设置专职和兼职岗位，明确岗位职责，明确人员分工和技能要求，建立健全网络和信息安全责任制。4.1.6新能源公司的电力监控系统网络和信息系统应按照电力监控系统的安全保护规定和国家信息安全等级保护系统的要求进行保护。4.1.7按照国家有关规定对新能源公司电力监控系统进行安全防护评估和信息安全等级评估，不符合要求的及时组织整改。4.1.8按照国家有关规定，开展新能源公司电力监控系统网络和信息安全风险评估，建立健全信息安全风险评估自我评估和检查评估制度，完善信息安全风险管理机制。4.1.9按照网络和信息安全通报制度的规定，建立健全新能源公司信息通报机制，开展信息安全通报和预警工作，及时向集团和国家能源局或其派出机构报告相关信息。4.1.10根据电力行业网络和信息安全应急预案，制定或修订新能源公司网络和信息安全应急预案，并定期开展应急演练。4.1.11建立电力监控系统网络和信息安全资金保障体系，有效保障电力监控系统信息系统的安全建设、运行维护、检查、等级评估和安全评估、应急响应等信息安全资金。4.1.12加强电力监控系统信息安全从业人员的考核和管理。组织新能源公司员工定期接受相关政策法规和专业技能培训，培训合格后上岗。4.1.13按照国家相关规定，建立健全电力监控系统容灾备份系统，监督风电场、光伏电站和集控中心有效备份关键系统和核心数据。4.2其他部厅4.2.1负责及时上报公司电力监控系统网络的实施情况和信息安全情况新能源公司电力监控系统网络和信息安全工作坚持“安全第一、预防为主、主动防御、综合防范”的总体方针，按照“谁主管谁负责、谁主管谁运行”的原则，实现网络和信息安全工作的可控性、可控性和持续控制。按照“安全分区、网络专用、横向隔离、纵向认证”的总体安全保护政策，实施信息系统安全等级保护分级制度。风电场、光伏电站和集控中心基于计算机和网络技术的电力生产业务监控系统分为生产控制区和管理信息区。生产控制区分为控制区(安全区一)和非控制区(安全区二)；管理信息区根据风电场、光伏电站和集控中心的实际安全要求划分安全区域。在生产控制区和管理信息区之间，必须设置一个经过国家指定部门测试和认证的专用水平单向电力安全隔离装置，以实现边境保护。5.2总体目标新能源公司电力监控系统网络和信息安全工作的总体目标是确保电力监控系统持续、稳定、可靠运行，确保信息内容的保密性、完整性和可用性，防止黑客和恶意代码对电力监控系统的攻击和侵害，确保电力系统安全稳定运行。5.3一般原则5.3.1基于安全要求的原则风电场、光伏电站和集控中心应根据电力监控系统的任务、信息数据的重要性、可能的威胁和风险分析安全要求，根据电力行业信息系统等级保护定级工作指导意见的要求确定相应的信息系统安全防护等级，符合相应等级的规范要求，并从整体角度适当平衡安全输入和效果。5.3.2主要领导负责原则安全生产部应建立由其统一组织的信息安全保障体系。负责提高员工的安全意识，组织有效的安全保证团队，动员和优化必要资源的配置，协调安全管理与各部门工作的关系，确保其实施和有效性。5.3.3充分参与的原则新能源公司总部、分公司及所属风电场和光伏电站的所有生产相关人员应普遍参与电力监控系统网络和信息的安全管理，并与相关方合作协调，共同确保电力监控系统网络和信息的安全。5.3.4系统方法原则新能源公司总部、分支机构、风电场和光伏电站应根据系统工程的要求，识别和理解信息安全的相关层次和过程，采用管理和技术相结合的方法，提高实现安全目标的有效性和效率。5.3.5持续改进原则安全管理是贯穿安全管理全生命周期的动态反馈过程。随着安全需求和系统脆弱性时空分布的变化、威胁程度的增加、系统环境的变化以及对系统安全认识的加深，新能源公司总部、分公司、风电场和光伏电站应及时审查、修改、调整甚至提升现有安全策略、风险接受水平和保护措施的安全管理水平，维护和不断提高信息安全管理系统的有效性。5.3.6依法行政原则信息安全管理主要体现在管理行为上。新能源公司总部、分公司及所属风电场、光伏电站应确保信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对于安全事故的处理，授权人应5.3.9分级保护原则根据分级标准确定信息系统的安全防护等级，实施分级防护；对于由多个子系统组成的大型信息系统，确定系统的基本安全防护等级，并根据实际安全需求分别确定每个子系统的安全防护等级，从而实现多级安全防护。5.3.10管理与技术并重原则坚持主动防御和综合防范，全面提高信息系统安全防护能力，立足国情，采取管理与技术相结合、科学管理和前瞻性技术相结合的方法，确保信息系统安全达到要求的目标。5.3.11自我保护与国家监督相结合的原则信息系统安全的自我保护与国家保护相结合。新能源公司总部、分支机构、风电场和光伏电站应负责自身信息系统的安全保护。政府相关部门有责任对信息系统安全进行指导、监督和检查，形成自我管理、自我检查、自我评估和国家监管相结合的管理模式，提高信息系统的安全防护能力和水平，确保国家信息安全。5.4总体安全政策5.4.1物理安全政策5.4.1.1的机房和办公室必须位于通过防震、防火、防雷验收的办公楼内。计算机房的窗户必须有防止雨水渗透的能力。5.4.1.2机房的位置不能是办公楼的地下室，也不适合在一楼或顶层。如果条件限制，机房必须采取防火、防水、防盗等措施。计算机房正上方的房间不能是耗水量大的房间。5.4.1.3必须登记进出机房，无人看管时必须上锁。进入5.4.1.4机房的工作人员必须由安全技术主管或机房管理员陪同。基本保护系统和设备，如监控和报警设备、防雷设备、消防设备、温湿度控制设备(如温湿度计、空调等。)和不间断电源供电系统必须部署在5.4.1.5计算机房内。5.4.2网络安全策略5.4.2.1网络必须在专用信道上使用独立的网络设备组网，并基于SDH/PDH光传输设备采用不同的信道和不同的纤芯，在物理层面上实现与其他网络和外部公共信息网络的安全隔离。5.4.2.2网络应采用MPLS-VPN技术、安全隧道技术、静态路由技术等技术，将网络划分为逻辑上相对独立的子网，分别对应监控系统的服务子系统，以保证实时服务的紧密性和高水平的网络服务质量。5.4.2.3网络之间的安全保护隔离强度应该与连