电力二次系统网络与信息安全管理制度
电力行业网络与信息安全监督管理暂行规定
电力行业网络与信息安全监督管理暂行规定文章属性•【制定机关】国家电力监管委员会(已撤销)•【公布日期】2007.12.04•【文号】电监信息[2007]50号•【施行日期】2007.12.04•【效力等级】部门规范性文件•【时效性】失效•【主题分类】电力及电力工业正文*注:本篇法规已被:国家能源局关于印发《电力行业网络与信息安全管理办法》的通知(发布日期:2014年7月2日,实施日期:2014年7月2日)废止电力行业网络与信息安全监督管理暂行规定(电监信息[2007]50号2007年12月4日国家电力监管委员会)第一条为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《电力监管条例》、《中华人民共和国计算机信息系统安全保护条例》和国家有关规定,结合《电力二次系统安全防护规定》,制定本规定。
第二条电力行业网络与信息安全工作的目标是,建立健全电力行业网络与信息安全保障体系和工作责任体系,提高电力行业网络与信息安全防护能力,保障电力行业网络与信息安全,促进电力行业信息化健康发展。
第三条电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点,整合资源、形成合力,以我为主、兼收并蓄”的原则。
第四条国家电力监管委员会及其派出机构(以下简称电力监管机构)履行电力行业网络与信息安全监督管理职责、电力企业开展网络与信息安全工作,适用本规定。
第五条国家电力监管委员会(以下简称电监会)统一领导电力行业网络与信息安全监督管理工作,依法履行以下职责:(一)组织落实党中央、国务院关于国家基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;(二)组织制定电力行业网络与信息安全的发展战略和总体规划;(三)制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事故调查与处理、专业人员管理、容灾备份、信任体系建设等政策规定;(四)组织制定电力行业网络与信息安全等级保护、风险评估、容灾备份、信任体系建设等技术规范;(五)组织制定电力行业网络与信息安全应急预案和应急协调预案,组织协调电力行业网络与信息安全应急救援服务队伍,支持网络与信息安全应急救援工作;(六)组织开展电力行业网络与信息安全信息通报、应急处置和应急协调、监督检查、事故调查与处理、专业人员技能培训考核认定等工作,组织建设电力行业网络信任系统;(七)电力行业网络与信息安全监督管理的其它事项。
电力二次系统安全防护管理制度范文
电力二次系统安全防护管理制度范文第一章总则第一条为规范电力二次系统的安全防护管理工作,保障电力系统的正常运行,特制定本制度。
第二条电力二次系统安全防护管理制度适用于电力系统中的所有二次设备,包括变电站、配电房、开关站等二次设备。
第三条电力二次系统安全防护管理的基本原则是“安全第一、预防为主、综合治理、持续改进”。
第四条二次设备的安全防护管理责任由设备所在单位负责,相关人员必须按照本制度的要求,认真履行安全防护管理职责。
第五条电力二次系统安全防护管理的具体技术标准、要求和方法等,应根据国家现行标准、规范以及本单位的实际情况进行制定和修订,并进行定期宣传、培训。
第二章电力二次系统的安全防护措施第六条电力二次系统的安全防护措施应依据相关法律法规和技术标准来制定,包括但不限于以下内容:(一)安全定位标识:在二次设备的发点、备用点、母线、断路器等位置醒目标示安全重点区域。
(二)安全警示标志:在电源进线、隔离开关、电流互感器等设备附近,设置安全警示标志,警示人员注意安全。
(三)电气专业防护措施:采用合适的绝缘材料、套管、绝缘板等进行电气设备的绝缘和防护。
(四)火灾防护措施:采用阻燃材料和防火墙等措施,减少火灾发生的风险。
(五)防护装置的安装:按照安全要求,合理安装电气保护装置,如漏电保护器、过载保护器等。
第七条电力二次系统的安全防护措施应定期检查维护,并及时修复存在的问题。
第八条设备所在单位应组织相关人员进行安全防护知识和技能培训,增强员工的安全防护意识和应急处理能力。
第九条设备所在单位应每年至少一次进行电力二次系统的全面安全检查,发现问题要及时整改。
第十条设备所在单位应与消防、安全监督、电力管理等部门密切合作,共同维护电力二次系统的安全运行。
第三章责任第十一条设备所在单位应制定电力二次系统安全防护管理责任制度,明确各级责任人员的职责和义务。
第十二条设备所在单位的主要责任人负有最直接的安全管理责任,应切实履行安全防护工作的领导责任。
国家电网公司网络与信息系统安全管理办法
国家电网公司网络与信息系统安全管理办法第一章总则第一条为加强和规范国家电网公司(以下简称“公司”)网络与信息系统安全工作,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力,实现网络与信息系统安全的可控、能控、在控,依据国家有关法律、法规、规定及公司有关制度,制定本办法。
第二条本办法所称网络与信息系统是指公司电力通信网及其承载的管理信息系统和电力二次系统。
第三条本办法适用于公司总(分)部及所属各级单位的网络与信息系统安全管理工作。
第四条网络与信息系统安全防护目标是保障电力生产监控系统及电力调度数据网络的安全,保障管理信息系统及通信、网络的安全,落实信息系统生命周期全过程安全管理,实现信息安全可控、能控、在控.防范对电力二次系统、管理信息系统的恶意攻击及侵害,抵御内外部有组织的攻击,防止由于电力二次系统、管理信息系统的崩溃或瘫痪造成的电力系统事故。
第五条公司网络与信息系统安全工作坚持“三纳入一融合”原则,将等级保护纳入网络与信息系统安全工作中,将网络与信息系统安全纳入信息化日常工作中,将网络与信息系统安全纳入公司安全生产管理体系中,将网络与信息系统安全融入公司安全生产中。
在规划和建设网络与信息系统时,信息通信安全防护措施应按照“三同步"原则,与网络与信息系统建设同步规划、同步建设、同步投入运行.第六条管理信息系统安全防护坚持“双网双机、分区分域、安全接入、动态感知、全面防护、准入备案"的总体安全策略,执行信息安全等级保护制度。
其中“双网双机”指信息内外网间采用逻辑强隔离设备进行隔离,并分别采用独立的服务器及桌面主机;“分区分域”指依据等级保护定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;“安全接入”指通过采用终端加固、安全通道、认证等措施保障终端接入公司信息内外网安全;“动态感知”指对公司网络、信息系统、终端及设备等安全状态进行全面动态监测,实现事前预警、事中监测和事后审计;“全面防护”指对物理、网络边界、主机、应用和数据等进行深度防护,加强安全基础设施建设,覆盖防护各层次、各环节、各对象;“准入备案"指对所有接入公司网络的各类网络、应用、系统、终端、设备进行准入及备案管理.第七条电力二次系统安全防护按照“安全分区、网络专用、横向隔离、纵向认证”的防护原则,并遵照原国家电力监管委员会《电力二次系统安全防护规定》及《电力二次系统安全防护总体方案》等相关文件执行。
二次系统安全防护管理制度
二次系统安全防护管理制度生产技术部二次系统安全防护管理制度一、总则1、为了保证本厂电力监控系统及电力调度数据网络旳安全,抵御黑客、病毒、恶意代码等多种形式旳恶意破坏和袭击,尤其是抵御集团式旳袭击,防止电力二次系统瓦解和瘫痪,以及由此导致旳电力系统事故或,建立山西兆光发电厂电力二次系统安全防护体系,特此制定本制度。
2、本制度明确了山西兆光发电厂电力二次系统安全防护旳职责与分工、平常运行与管理、技术管理、工程实行、接入管理、安全评估、应急处理、保密工作等内容,山西兆光电厂各级部门应严格遵守。
3、本厂按照“谁主管谁负责,谁经营谁负责”旳原则,建立电力二次系统安全管理制度,将电力全防护及其信息报送纳入平常安全生产管理体系,贯彻分级负责旳责任制。
4、本制度使用于本厂电力二次系统旳规划设计、项目审查、工程实行、系统改造、运行管理等。
5、根据《电网和电厂计算机监控系统及调度数据网络安全防护旳规定》(国家经贸委[2023]第30号令);国家电力监管委员会《电力二次系统安全防护规定》(电监会5号令);国家电监会《电力二次系统安全防护总体方案》等6个配套文献(电监安全[2023]34号);二、职责分工各级有关部门旳安全职责1、生产技术部附则建立本厂内波及电力调度旳二次系统安全防护体系并报调度中心审查。
2、仪电维护部附则本厂内波及电力调度旳二次系统安全防护方案旳贯彻、有关工程实行工作。
3、发电部及仪电维护部负责本厂内波及到电力调度旳二次系统安全防护设施旳巡视工作。
4、发电部及仪电维护部各二次系统安全防护专责人员负责配合调度中心对波及及电力调度旳二次系统安全防护进行评估。
5、仪电维护部负责配合调度中心处理电力二次系统安全防护应急事件和平常出现旳问题。
6、生产技术部负责定期向调度中心报送电力二次系统安全防护状况,并及时上报电力二次系统安全防护出现旳异常现象。
各级有关人员旳安全职责1、本厂主管安全生产旳领导为本厂所管辖二次系统旳安全防护第一负责人。
电力二次系统安全防护规定报告
电力二次系统安全防护规定报告文档编制序号:[KK8UY-LL9IO69-TTO6M3-MTOL89-FTT688]【最新资料,Word版,可自由编辑!】第一章总则第一条为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发,建立电力二次系统安全防护体系,保障电力系统的安全稳定运行,根据《》和国家有关规定,制定本规定。
第二条电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障和电力调度数据网络的安全。
第三条电力二次系统的规划设计、项目审查、工程实施、系统改造、运行管理等应当符合本规定的要求。
第二章技术措施第四条发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。
生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。
根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。
第五条电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。
电力调度数据网划分为的实时子网和非实时子网,分别连接控制区和非控制区。
第六条在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。
生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、或者相当功能的设施,实现逻辑隔离。
第七条在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。
第八条安全区边界应当采取必要的安全防护措施,禁止任何穿越生产控制大区和管理信息大区之间边界的通用网络服务。
生产控制大区中的业务系统应当具有高安全性和高可靠性,禁止采用安全风险高的通用网络服务功能。
电力行业网络安全管理办法
电力行业网络安全管理办法为进一步规范工作流程、加强工作协调、提升工作效能,国家能源局对《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)、《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)进行修订,形成了《电力行业网络安全管理办法(修订征求意见稿)》《电力行业网络安全等级保护管理办法(修订征求意见稿)》,本次修改的电力行业两个管理办法具体有哪些内容呢,一起来了解下吧。
一新增条款解读:《电力行业网络安全管理办法(修订征求意见稿)》与《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)相比较新增条款内容如下:1、第一章总则中明确了本管理办法适用电力企业的范围,只要是在我国境内的电力企业均应该遵守本办法的规定。
2、第二章监督管理职责中明确了国家能源局及各省级能源主管部门具有对电力行业关键信息基础设施实施安全保护和监督管理的责任以及工作职责范围。
包含网络安全等级保护、关键信息基础设施安全保护、数据安全、网络安全审查、风险评估、监测预警、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面,更重要的是明确指出电力行业应建设网络安全仿真验证环境(靶场)系统以及应对电力监控系统开展自评估工作,同时定期向国家能源局及其派出机构、地方能源主管部门汇报技术监督工作的开展情况。
3、第三章电力企业职责明确了电力行业应明确安全管理责任人及设立专门的安全管理机构,将网络安全保护制度纳入安全生产管理体系。
电力监控系统生产控制大区的接入涉网安全产品需经电力调度机构同意。
电力企业在规划设计时要遵循安全技术措施“同步规划、同步建设、同步使用”的三同步原则,关键信息基础设施运营者应优先选择安全可靠的网络产品和服务,信息系统建设完成后要经过第三方网络安全服务机构的测试才可以投入使用。
电力企业除了开展网络安全风险评估、等保测评外,还需进行关键信息基础设施安全检测和风险评估、商用密码应用安全性评估、网络安全审查等工作,及时了解网络产品安全漏洞,发现安全漏洞应及时验证与修补。
电力安全信息管理制度
电力安全信息管理制度
是指为了保障电力安全,减少电力事故的发生,在电力生产、输送、使用过程中,建立一套科学的信息管理制度。
其主要内容包括以下几个方面:
1. 信息采集与监测:建立完善的电力安全信息采集与监测系统,对各个环节中的安全风险进行实时监测和预警,及时获取相关安全信息。
2. 信息分析与评估:对采集到的电力安全信息进行分析与评估,判断电力安全风险的等级和影响范围,制定相应的应对措施。
3. 信息共享与传递:建立电力安全信息共享平台,实现不同部门、单位之间的信息共享与传递,提高信息的效率和及时性。
4. 信息记录与归档:对重要的电力安全信息进行记录和归档,建立电力安全信息档案,以备查证和分析研究。
5. 信息保密与管理:建立电力安全信息的保密制度,确保安全信息的机密性和完整性,防止信息泄露和滥用。
6. 信息应用与监督:将电力安全信息运用于相关部门和单位的决策和管理中,监督各个环节的实施情况,并及时纠正存在的问题。
通过建立和完善电力安全信息管理制度,可以提高电力安全管理的科学性和有效性,减少电力事故的发生,保障人们的生命财产安全。
第 1 页共 1 页。
电力二次系统安全防护管理制度
电力二次系统安全防护管理制度前言随着信息化技术的快速发展,我国电力行业的二次系统设备越来越智能化,涉及到的数据和业务也越来越复杂和庞大。
因此,建立和完善电力二次系统安全防护管理制度,保障电力行业信息安全和正常生产运营将变得更加重要与必要。
一、安全防护技术1. 安全设备安全设备是保障系统安全的一个必要手段,对系统进行物理、逻辑隔离和保护。
在二次系统中,常用的安全设备主要有:防火墙、网关、交换机、路由器等。
防火墙的作用是隔离外网和内网,限制外部进入内部系统信息,并且通过协议过滤、应用层过滤等技术,防范和减轻网络攻击对系统的危害。
网关主要是处理与外网、内网之间的数据传递和转换,可以实现数据的路由选择、数据格式的转换以及安全认证等功能。
交换机和路由器主要是实现内部网络中不同设备之间的通讯与协作,可以通过设定ACL、端口绑定等技术进行访问策略的限制,减少非法访问造成的损失。
2. 数据加密数据加密是信息安全中的一个重要概念,对于电力行业二次系统来说,也非常重要。
在数据传输时使用加密技术可以保证数据的安全性,防止被黑客攻击、窃取或篡改。
常用的加密技术有:SSL、TLS、IPSec、DES、AES等。
二、安全防护管理1. 安全管理机构建立安全管理机构,明确安全职责与管理制度。
通常由专业的安全人员负责系统的安全维护和管理,对系统进行主动安全监控和实时响应,及时发现和解决系统安全问题,降低风险。
2. 安全防护策略制定一系列的安全策略与规范,对内部用户和外部访问者进行访问控制,规范用户使用行为和操作。
建立完善的数据备份与恢复机制,对关键数据和设备进行备份,做到在突发情况下及时恢复。
3. 安全培训教育加强员工安全培训教育,提高员工的安全意识和技能。
培训内容包括网络安全知识、信息安全政策和规定以及安全管理流程等内容,使员工能够正确的使用系统,防范风险和提高信息安全防护技能。
4. 安全监控与评估实行24小时安全监控,及时监测异常事件的发生。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电力系统二次系统网络与信息安全管理制度批准:审核:编制:XXXXXXXXXX有限公司目录一、总则 (3)二、术语和定义 (3)三、人员管理: (4)(一)、网络与信息安全专(兼)职人员管理 (4)(二)、要害岗位人员管理 (4)(三)、第三方人员管理 (4)四、电力二次系统信息安全等级保护管理 (4)五、电力二次系统安全防护管理 (4)(一)电力二次系统安全防护基本要求 (4)(二)电力二次系统安全防护工程实施管理 (5)六、电力二次系统运维安全管理 (5)(一)机房环境安全管理 (5)(二)信息资产管理 (5)(三)设备安全管理 (5)(四)数据安全管理 (6)(五)介质安全管理 (6)(六)网络安全管理 (6)(七)电力专用安全防护设备管理 (6)(八)调度数字证书系统安全管理 (7)(九)防火墙安全管理 (7)(十)入侵检测系统安全管理 (7)(十一)操作系统安全管理 (7)(十二)数据库安全管理 (7)(十三)应用系统安管理 (8)(十四)病毒、恶意代码防护管理 (8)(十五)补丁安全管理 (8)(十六)账户和口令管理 (8)(十七)权限管理 (8)(十八)安全配置变更管理 (9)(十九)网络与信息安全事件处置 (9)(二十)应急预案管理 (9)七、电力二次系统网络与信息安全检查和评估管理 (9)八、回顾 (10)九、培训 (10)十、考核 (10)电力二次系统网络与信息安全管理制度一、总则1、目的:为保障电力二次系统网络与信息安全,依据有关法律、法规及信息安全标准,特制定本规定。
2、内容:本规定明确了电力二次系统网络与信息安全管理的相关单位及部门职责、管理内容和方法。
3、适用范围:本规定适用于电力二次系统网络与信息安全规划设计、项目审查、工程实施、系统改造、运行维护管理。
发电厂等从事电力二次系统网络与安全防护专业管理和运行维护管理的相关人员,均应遵守本规定。
4、规范性引用文件中华人民共和国国务院令147 号中华人民共和国计算机信息系统安全保护条例公通字[2007]43 号信息安全等级保护管理办法国家电力监管委员会5号令电力二次系统安全防护规定电监安全[2006]34号电力二次系统安全防护总体方案GB17859-1999 计算机信息系统安全保护等级划分准则GB/T 22239-2008 信息系统安全等级保护基本要求GB/T 22240-2008 信息系统安全等级保护定级指南GB/T20269-2006 信息安全技术信息系统安全管理要求GB/T20270-2006 信息安全技术网络基础安全技术要求GB/T20271-2006 信息安全技术信息系统通用安全技术要求GB/T20272-2006 信息安全技术操作系统安全技术要求GB/T20273-2006 信息安全技术数据库管理系统安全技术要求GB/T20282-2006 信息安全技术信息系统安全工程管理要求GB/T 19715-1.2 2005 /ISO/IEC TR 13335:2000 信息技术安全管理指南GB/T 19716-2005/ISO/IEC 17799:2000 信息安全管理实用规则GB/T 18336-2001 /ISO/IEC 15408-1999 信息技术安全性评估准则二、术语和定义1、电力二次系统在本规定所指电力二次系统包含电力监控系统、电力调度管理信息系统、电力通信及调度数据网络等。
2、电力监控系统在本规定是指用于监视和控制电网及电厂生产运行过程的、基于计算机和网络技术的业务处理系统及智能设备等。
包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、电能量计量计费系统、实时电力市场系统、继电保护管理信息系统等。
3、电力调度管理信息系统指电力调度业务使用的管理信息系统。
4、电力调度数据网络指各级电力调度专用广域数据网络、电力生产专线网络等。
5、电力专用安全防护设备指横向正向隔离装置、横向反向隔离装置、纵向加密认证装置、纵向加密认证装置管理系统、安全拨号服务器等。
6、网络与信息安全事件指电力二次系统受到入侵或攻击、感染病毒或恶意代码,导致系统主要功能失效或引发电网“误调”或“误控”,以及系统被非法用户访问、关键数据被篡改、丢失或泄密等。
7、运行维护部门指广东电网电力调度通信中心(以下简称“调通中心”)、地区供电局、发电厂等负责电力二次系统运行维护的生产部门。
8、主管部门指调通中心、地区供电局、发电厂负责电力二次系统网络与信息安全的专业归口管理部门。
各单位主管部门一般应为负责调度自动化专业的运行维护部门。
9、网络与信息安全专(兼)职人员指运行维护部门负责电力二次系统网络与信息安全工作的系统安全管理员、系统安全审计员。
10 要害岗位人员指运行维护部门负责二次系统运行维护工作的系统管理员、网络管理员、应用开发人员、系统维护人员、业务操作人员。
11、第三方人员指电力二次系统的软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商的人员。
三、人员管理:(一)、网络与信息安全专(兼)职人员管理1、单位应与受聘的网络与信息安全专(兼)职人员签署任期内保密协议。
2、网络与信息安全专(兼)职人员调离岗位,必须严格办理调离手续,并与其签署调离后的保密协议。
涉及单位核心技术的信息安全人员调离单位,必须进行离岗审计。
3、系统安全管理员、系统安全审计员岗位不得互兼,但可根据实际需要实行岗位轮换。
4、网络与信息安全专(兼)职人员的配备和变更情况,应向上一级单位信息安全主管部门报告、备案。
5、网络与信息安全专(兼)职人员离岗后,必须即刻更换有关的操作密码并注销其用户。
(二)、要害岗位人员管理1、单位应与受聘的要害岗位人员签署任期内保密协议。
2、要害岗位人员调离岗位,必须严格办理调离手续,并与其签署调离后的保密协议。
涉及单位核心技术的信息安全人员调离单位,必须进行离岗审计。
3、要害岗位人员配备必须实行“权限分散、不得交叉覆盖”的原则。
系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员不应兼任系统管理员。
4、要害岗位人员离岗后,必须即刻更换有关的操作密码并注销其用户。
5、人员离岗前取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;收回其访问权限和各种证件、设备之后方可办理调离手续。
(三)、第三方人员管理1、第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。
2、对第三方人员的物理访问和逻辑访问应实施访问控制,应向主管领导提出申请,经批准后根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权,。
3、第三方人员自带设备接入二次系统必须得到现场运行维护部门负责人的特别授权,笔记本电脑、掌上电脑接入前应经由现场运行维护部门安全管理人员对其进行杀毒处理,且必须在指定区域、指定端口、通过指定方式接入。
带有无线网络的设备禁止接入二次系统。
4、第三方人员的现场工作应在二次系统运行维护部门指定人员的陪同和监督下进行。
5、第三方人员工作结束后,运行维护部门应对其操作进行审计,并及时更换有关的操作密码。
四、电力二次系统信息安全等级保护管理1、调通中心、地区供电局、发电厂应依据国家颁布的《信息安全等级保护管理办法》和国家电力监管委员会《电力行业信息系统安全等级保护定级工作指导意见》对电力二次系统进行安全保护定级。
2、各单位的主管部门负责本单位电力二次系统信息安全等级保护管理。
3、安全保护等级为第二级及以上的系统,应当在系统投入运行后30日内到所在地的公安机关办理备案手续。
安全保护等级为三级及以上系统办理备案手续前,其系统备案材料必须报上级主管部门审核批准。
6、电力二次系统应按相应信息安全等级保护的要求,落实安全保护措施。
7、等级为三级的电力二次系统应当每年至少进行一次等级测评,等级为四级的信息系统应当每半年至少进行一次等级测评。
对其它等级的信息系统每年开展一次安全检查。
8、信息系统等级测评工作应由具有国家相关技术资质和安全资质的测评单位承担。
五、电力二次系统安全防护管理(一)电力二次系统安全防护基本要求1、发电厂电力二次系统安全防护必须遵守国家电力监管委员会[2004]5号令发布的《电力二次系统安全防护规定》和[2006]34号文印发的《电力二次系统安全防护总体方案》的规定,并符合电网电力二次系统安全防护实施规范的要求。
2、新建的发电厂、变电站(集控站)在并入电网前须完成电力二次系统网络信息安全防护建设。
3、运行中的发电厂、变电站(集控站)不满足电力二次系统安全防护规定的,应实施技术改造。
(二)、电力二次系统安全防护工程实施管理1、电力二次系统安全防护应随电力二次系统同步设计、同步施工、同步验收、同步投运。
2、电力二次系统网络信息安全防护设施的基建、运行、改造、检修、投退役等流程参照电力二次系统有关规定执行。
3、发电厂、变电站的电力二次系统安全防护实施方案必须经过上级主管部门和相应调度机构的审核,方案实施完成后应当由上述机构参与的验收。
4、电力二次系统安全防护工程由第三方实施时,工程建设单位必须与第三方签署保密协议。
5、电力二次系统设备和应用系统接入管理6、电力二次系统网络与信息安全防护设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的测评和认证的产品,并须获得电网公司颁发的入网许可,在许可的范围内使用。
7、各单位在购买网络与信息安全防护产品时,应在合同中要求产品供应商承诺对其所提供产品的安全功能有效性负责。
8、新建或改造的应用系统接入二次系统前,应委托公正的第三方测试单位对系统进行安全性测试,系统安全测试过程应详细记录,并根据测试结果,出具安全性测试报告。
系统的责任单位应指定或授权相关部门负责系统安全测试管理,并组织相关部门和相关人员对系统测试报告进行审定。
9、电力二次系统设备和应用系统接入电力调度数据网前,其接入技术方案和安全控制措施须经直接负责的电力调度机构核准。
六、电力二次系统运维安全管理(一)机房环境安全管理1、电力二次系统机房安全管理由运行维护部门负责;日常机房安全工作由机房值班人员负责。
2、机房应配置自动监控设施(包括机房温湿度监控、消防监控、防水监控、录像监控、机房供配电系统监控),监控设施应能准确反映机房物理环境的变化情况,具备记录异常情况以及自动报警功能。
3、机房应配置电子门禁系统,鉴别、控制和记录进入机房的人员。
4、机房安全监控记录保存期至少为三个月。
5、严禁进入机房人员携带易燃、易爆等危险品及与工作无关的物品(包括个人手提包等)。
6、持有进入机房磁卡的人员不得携带其他无关人员进入机房;对经过运行维护部门负责人批准进入机房的来访人员,必须由运行维护部门指派专人全程陪同;机房的值班人员应检查来访者是否佩带临时出入证,并做好来访人员登记(增加登记表)。