GB/T 37138-2018电力信息系统安全等级保护实施指南

ICS3524050

F07..

中华人民共和国国家标准

GB/T37138—2018

电力信息系统安全等级保护实施指南

Implementationguideforcybersecurityclassifiedprotectionofelectricpower

informationsystem

2018-12-28发布2019-07-01实施

国家市场监督管理总局发布

中国国家标准化管理委员会

GB/T37138—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

等级保护实施概述

4………………………2

基本原则

4.1……………2

结构优先原则

4.1.1…………………2

联合防护原则

4.1.2…………………2

安全可控原则

4.1.3…………………2

立体防御原则

4.1.4…………………2

角色和职责

4.2…………………………2

电力信息系统运行单位

4.2.1………………………2

电力调度机构

4.2.2…………………3

电力信息系统安全服务机构

4.2.3…………………3

电力信息系统安全等级测评机构

4.2.4……………3

电力信息系统安全产品供应商

4.2.5………………3

电力信息系统供应商

4.2.6…………3

电力信息系统设计单位

4.2.7………………………4

主管部门

4.2.8………………………4

实施的基本活动

4.3……………………4

定级与备案

5………………5

定级与备案阶段的流程

5.1……………5

定级对象分析

5.2………………………5

电力信息系统分析

5.2.1……………5

定级对象确定

5.2.2…………………6

安全保护等级确定

5.3…………………7

定级审核和批准

5.3.1、………………7

形成定级报告

5.3.2…………………7

定级结果备案

5.4………………………7

测评与评估

6………………7

测评与评估的流程

6.1…………………7

等级测评

6.2……………9

测评机构选择

6.2.1…………………9

测评准备

6.2.2………………………9

方案编制

6.2.3………………………10

Ⅰ

GB/T37138—2018

现场测评

6.2.4………………………10

分析与报告编制

6.2.5………………11

电力监控系统安全防护评估

6.3………………………12

评估形式选择

6.3.1…………………12

评估准备

6.3.2………………………12

现场评估

6.3.3………………………13

分析与报告编制

6.3.4………………13

安全整改

7…………………14

安全整改的流程

7.1……………………14

整改方案制定

7.2………………………14

安全整改实施

7.3………………………15

安全整改验收

7.4………………………16

退运

8………………………16

电力信息系统退运阶段的流程

8.1……………………16

信息转移暂存和清除

8.2、……………16

设备迁移或退运

8.3……………………17

存储介质的清除或销毁

8.4……………17

参考文献

……………………19

Ⅱ

GB/T37138—2018

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由国家能源局提出

。

本标准由全国电力监管标准化技术委员会归口

(SAC/TC296)。

本标准起草单位国家能源局信息中心中国南方电网公司国家电力投资集团公司中国长江三峡

:、、、

集团公司全球能源互联网研究院有限公司北京卓识网安技术股份有限公司中国电力科学研究院有

、、、

限公司国网电力科学研究院有限公司国电南京自动化股份有限公司南方电网科学研究院有限责任

、、、

公司中国软件评测中心

、。

本标准主要起草人梁建勇胡红升王保喜陈雪鸿阴玉清李焕叶世超陶文伟王静李旸照

:、、、、、、、、、、

张錋毛澍房磊赵婷焦安春高艳坤于学军李凌刘育辰吴国华秦学嘉丁晓玉刘寅张敏

、、、、、、、、、、、、、、

郁宝坤张五一许爱东陈华军蒙家晓周锋郝鑫

、、、、、、。

Ⅲ

GB/T37138—2018

引言

为规范电力信息系统安全等级保护实施的流程内容和方法加强电力信息系统的安全管理防范

、,,

网络攻击对电力信息系统造成的侵害保障电力系统的安全稳定运行依据国家和行业有关政策制定

,,,

本标准

。

在对电力信息系统实施网络安全等级保护的过程中除使用本标准外在不同的阶段还应参照其

,,,

他有关网络安全等级保护的标准开展工作

。

Ⅳ

GB/T37138—2018

电力信息系统安全等级保护实施指南

1范围

本标准规定了电力信息系统安全等级保护实施的基本原则角色和职责以及定级与备案测评与

、,、

评估安全整改退运等基本活动

、、。

本标准适用于指导电力信息系统安全等级保护的实施

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术信息安全风险评估规范

GB/T20984

信息安全技术信息系统安全等级保护基本要求

GB/T22239

信息安全技术信息系统安全等级保护实施指南

GB/T25058

信息安全技术术语

GB/T25069

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069GB/T25058。

31

.

电力信息系统electricpowerinformationsystem

与电力企业的生产控制管理运营相关的信息系统

、。

注根据信息系统的责任单位业务类型和业务重要性及物理位置差异等各种因素可分为管理信息系统和电力监

:、,

控系统

。

32

.

管理信息系统managementinformationsystem

支持电力企业管理经营的信息系统

。

注包括门户网站系统财务管理系统人力资源管理系统等

: