GB/T 38318-2019 电力监控系统网络安全评估指南
- 文档部分内容预览:
负责发起本单位的自评估工作,参加评估方案等文档的评审工作,配合检查评估实施工作,并根据 安全评估结果落实整改方案。系统投运前及发生重大变更实施上线安全评估时,运行单位总体负责相 关工作,可委托评估机构进行评估。 运行单位上级主管部门负责发起下属单位的自评估工作,监督下属单位安全评估实施过程,检查下 属单位安全评估整改落实情况
7.1.2.2调度机构
负责发起调管范围内的自评估工作,收集、汇总调管范围内各运行单位的自评估结果,参加评估方 案等文档的评审工作,组织实施调管范围内电力监控系统的自评估,配合开展调管范围内的检查评估, 根据安全评估结果督促、落实整改,
电力标准规范范本7.1.2.3系统供应商
负责系统设计、开发完成后实施型式安全评估,配合完成系统上线安全评估,在运行维护阶段支持、 配合安全评估工作,配合执行安全评估整改工作
7.1.2.4评估机构
负责编制安全评估实施方案,自行组织评审评估实施方案,实施安全评估,出具安全评估报告,提出 整改建议,自行组织评审评估结果 宜选择国家或行业有丰富经验的稳定、可靠、可控的评估机构
7.1.3评估工作形式
电力监控系统网络安全评估包括4种工作形式:自评估、检查评估、上线安全评估和型式安全评估。 具体要求包括: a)运行单位对本单位安全保护等级为第三级和第四级的电力监控系统定期组织开展自评估,评 估周期原则上不超过一年;安全保护等级为第二级的电力监控系统定期开展自评估,评估周期 原则上不超过一年。电力调度机构在定期收集、汇总调管范围内各运行单位自评估结果的基 础上,自行组织或委托评估机构开展调管范围内电力监控系统的自评估工作,省级以上调度机 构的自评估周期最长不超过三年,地级及以下调度机构自评估周期最长不超过两年。委托评 估机构定期开展的安全评估工作可结合等级保护工作进行。 b)业务主管部门根据实际情况对各运行单位的电力监控系统或调度机构调管范围内的电力监控 系统组织开展检查评估。 c)E 电力监控系统投运前或发生重大变更时,安全保护等级为第三级和第四级的电力监控系统,由 运行单位委托评估机构进行上线安全评估;安全保护等级为第二级的电力监控系统可自行组 织开展上线安全评估。 d)E 电力监控系统供应商在安全保护等级为第三级和第四级的电力监控系统设计、开发完成后,委 托评估机构进行型式安全评估;安全保护等级为第二级的电力监控系统可自行组织开展型式 安全评估。
电力监控系统网络安全评估实施流程分为4个阶段:启动准备阶段、现场实施阶段、风险分析阶段 和安全建议阶段。在安全评估实施完毕后,应根据评估结论进行安全整改。以上四种工作形式的安全 评估宜根据图1所示的实施流程制定相应的评估方案。
图1电力监控系统网络安全评估实施流程
电力监控系统网络安全评估涉及的评估方法主要包括: a)文档检查。检查被评估单位提交的有关文档(如系统配置文档、安全防护方案、自评估报告等) 是否符合相关标准和要求。 b)人工核查。根据评估方案和评估指导书,在合理的评估环境下,核查各项安全功能和防护能力 是否与提交文档一致,是否符合相关标准和要求等, 工具检查。根据评估方案,在被评估单位授权的前提下,选择适用的评估工具实施评估,工具
GB/T38318—2019
可包括网络评估工具、主机评估工具、资产识别工具等
应对评估资料和评估结果按照国家相关要求做好保密工作,可采取签订保密协议、最小接触原见 道德评估、人员保密管理、设备保密管理、文档保密管理等控制措施,明确问责和追责等处理办法 评估过程中产生、接触的所有记录、数据评估结果的安全、保密
应对安全评估实施过程进行风险控制,可采取严格操作的申请和监护、操作时间控制、制定应急 搭建运行系统模拟环境、关键业务系统采用人工评估、评估人员选取、评估现场安全培训等风险控 ,防止安全评估过程中引人的风险
根据电力监控系统安全防护特点,如下要求中任何一项未满足即为不合格: a) 分区分级(见8.3.1); b) 网络专用(见8.3.2); c) 横向隔离(见8.3.3); d) 纵向认证(见8.3.4)。 在上述基本要求都满足情况下,按照GB/T36572一2018的安全防护要求开展其他内容评估
全防护评估宜符合GB/T36572一2018中6.1的
评估实施主要包括以下内容: a)核查机房和设计方案、记录等文档,评估是否存在雨水渗透、因风导致的尘土严重、墙体或地面 破裂的情况,所在建筑物防震、防风、防雨及机房位置选择是否符合GB/T9361要求。如因客 观因素不能避免机房选择在建筑物的高层、地下室或机房上层、包含用水设备的区域隔壁,是 否采取有效补救措施(如对墙壁或楼板进行防渗透、防凝露、防裂加固,在水患区域部署水敏感 检测设备等)。 b 核查机房防护设施、设计方案等文档,评估机房防水、防潮、防火、防静电、防雷击、防盗窃、防破 坏措施是否符合GB/T9361要求。评估内容包括,但不限于: 1)是否采用密封或拆除窗户、墙壁粉刷防水涂层等方式防止漏水、渗水,是否部署精密空调 或除湿装置调节空气湿度,是否在地板下、窗户附近等区域安装水敏感检测仪表或元件, 与机房相关的给排水管道(用于机房空调、除湿机等)是否采用不易被水锈蚀和损坏的 材质;
GB/T383182019
2)是否将机房火火设备放置在显眼位置并定期检查、维护,火灾目动消防系统是否能利用烟 感、温感等装置检测火情、报警、灭火(场站可酌情考虑),机房、相关工作房间和辅助房(值 班室、非在运行设备及物资存放室等)内外壁是否采用防火涂料、隔热板等阻燃或不燃材 料建造或处理; 3)对机房内的主要设备和机柜等是否设置接地措施,是否使用防静电地板: 4)是否在机房所在建筑安装避雷装置,机房供电装置等位置是否安装防雷安保器(场站可酌 情考虑),是否设置交流电源地线; 5)是否将主要设备(服务器、通信设备、UPS、空调等)部署在机房内,并通过导轨、螺丝钉等 方式固定在机柜上,是否设置不易除去标记,通信电缆是否铺设在地板管道或线槽中,备 份存储介质、纸质档案等是否分类标识并存放在相应的区域,是否安装监控报警系统。 核查稳压器、过电压防护设备部署和工作状态,评估机房供电线路电压保护情况。 核查机房电力电缆线路,评估供电线路亢余或并行铺设情况。 核查备用供电系统,评估备用供电系统容量是否能保证机房内设备在外部电力中断下仍能短 期(一般情况下至少为两小时)正常运行。 核查机房、在运设备,评估生产控制大区机房与管理信息大区机房独立设置情况,是否存在机 房混用。 核查机房电子门禁系统、视频和环境监控系统、人员出入登记表,评估物理访问控制情况。评 估内容包括,但不限于: 1)是否在机房各出人口配置电子门禁系统及具备存储功能的视频和环境监控系统(等级保 护第四级安全区域配置第二道门禁); 2)人员出入登记表是否存在空缺,人员出人登记表宜包含进出人员身份、进入时间、离开时 间等信息。 核查机房关键设备或区域电磁屏蔽措施,评估电磁防护情况。评估内容包括,但不限于: 1)是否将动力电缆和通信线缆隔离铺设; 2)机柜等设施是否采用接地等防护措施防止外界电磁干扰和设备寄生耦合干扰: 3)等级保护第四级系统的重要设备是否放置于电磁屏蔽机柜内。 核查生产控制大区密码设施(对称密码、非对称密码、摘要算法、调度数字证书和安全标签等) 平估当前使用的密码设施是否有厂商提供的国象有关机构的检测报告或认证证书。
8.3.1.1评估要求
级宜符合GB/T36572—2018中6.2.2的要求
8.3.1.2评估实施
评估实施主要包括以下内容: a)核查电力监控系统网络拓扑图和网络设备,评估安全区划分情况。评估内容包括,但不限于 1) 网络拓扑图中所示的网络结构是否符合安全区划分要求; 2)生产控制大区是否有跨安全区纵向交叉连接等违规情况; 3)各安全区网络设备部署情况与网络拓扑图是否一致;
GB/T 383182019
4)是否有不同安全区的设备混用、违规连接等违规情况, b)核查电力监控系统网络拓扑图,生产控制大区的网络中如存在业务系统在与其终端的纵向连 接中使用无线通信网、电力企业其他数据网(非电力调度数据网)或者外部公用数据网的虚拟 专用网络方式(VPN)等进行通信的情况,评估是否按要求设立安全接入区 c)核查边界安全防护设备、网络设备等可管控通用网络服务(FTP、HTTP、SNMP、远程登录、电 子邮件等)的设备和系统,评估区域边界安全防护情况。评估内容包括,但不限于: 1)是否使用数据过滤、签名认证、访问控制策略、物理隔离等措施禁止通用网络服务穿越生 产控制大区和管理信息大区之间边界; 2) 是否存在设备生产厂商或其他外部企业(单位)远程连接发电厂生产控制大区中的监控系 统及设备的情况; 3) 发电厂生产控制大区因业务需求与地方行政部门进行数据传输时,其边界是否采用类似 生产控制大区与管理信息大区间的安全防护措施。 d)核查电力监控系统等级保护定级报告、专家论证和审定记录等相关文档,评估是否依照 GB178591999中第4章、GB/T222402008中5.5、GB/T25058一2010中5.3等国家标准 及行业相关要求进行合理定级,系统定级结果是否经过定级系统相关部门和安全技术专家的 论证和审定
8.3.2.1评估要求
网络专用宜符合GB/T36572—2018中6.2.3的要求
8.3.2.2评估实施
评估实施主要包括以下内容: a) 核查网络拓扑图、组网设计方案等相关文档,评估网络安全隔离情况。评估内容包括,但不 限于: 1)「 网络拓扑图中生产控制大区专用通道上是否使用独立的网络设备组网; 2)是否存在生产控制大区与其他网络直连、逻辑隔离或共用网络设备的情况; 3)网络设备的配置信息是否包含与其他通信网络相关的配置内容; 4)相关设计文档中生产控制大区组网方式和组网技术是否符合要求 b) 核查生产控制大区网络拓扑图、组网设计方案等相关文档,评估子网划分情况。评估内容包 括,但不限于: 1)子网划分、构造技术、边界隔离措施是否符合要求: 2)实时子网和非实时子网边界是否使用防火墙等逻辑隔离设备或措施进行隔离。 C) 核查各层协议对应的网络设备、加密认证相关措施,评估生产控制大区数据通信七层协议的安 全措施是否符合GB/Z25320(所有部分)的要求。评估内容包括,但不限于: 1)是否实现与其他网络的物理隔离; 2)是否存在默认路由,是否按照业务需求划分VLAN,是否关闭网络边界OSPF路由功能, 是否采用符合要求的虚拟专网、加密隧道技术; 3)是否使用符合国家要求的加密算法,是否使用调度数字证书实现安全认证
8.3.3.1评估要求
高离宜符合GB/T36572一2018中6.2.4的要求
8.3.3.2评估实施
GB/T383182019
评估实施主要包括以下内容: a)核查电力专用横向单向安全隔离装置和商提供的检测报告或认证证书,评估装置的检测认 证情况、部署位置及策略配置是否符合要求,反向安全隔离设施是否采取基于非对称密钥技术 的签名验证、内容过滤、有效性检查等安全措施,限定传输协议、返回字节数和文件类型; D) 核查生产控制大区内部的安全区之间具有访问控制功能的设备、防火墙或者相当功能的设施 评估访问控制设备或设施的部署位置及访问控制策略配置是否符合要求
8.3.4.1评估要求
(证宜符合GB/T36572一2018中6.2.5的要求
8.3.4.2评估实施
核查生产控制大区与广域网的纵向连接处部署的电力专用纵向加密认证装置或者加密认证网关及 相应设施、厂商提供的检测报告或认证证书,评估装置、网关及相应设施的检测认证情况、部署位置及策 略配置是否符合要求
8.3.5数字证书和安全标签
8.3.5.1评估要求
和安全标签宜符合GB/T36572—2018中6.2.6
8.3.5.2评估实施
核查基于公钥技术的分布式电力调度数字证书及安全标签,评估是否按照电力调度管理体系要求 进行配置,加密认证机制是否涵盖生产控制大区中的所有重要业务系统
.3.6防火墙和入侵检测
8.3.6.1评估要求
整和人侵检测宜符合GB/T36572—2018中6.2.7
8.3.6.2评估实施
评估实施主要包括以下内容: a)核查生产控制大区内不同系统间的防火墙等逻辑隔离措施,评估系统间逻辑隔离情况。评估 内容包括,但不限于: 1)逻辑隔离、访问控制、报文过滤等功能是否符合GB/T25068.3一2010中第6章、第7章的 要求;
GB/T38318—2019
2)策略配置是否合理有效; 3)是否存在未部署逻辑隔离措施的情况。 核查生产控制大区已部署的入侵检测措施,评估检测规则是否配置合理有效,是否有特征码 线更新前的测试记录,是否存在直接连接因特网在线更新的情况
8.3.7.1评估要求
8.3.7.2评估实施
核查生产控制大区恶意代码防范措施,评估是否有特征码离线更新前的测试记录,是否存在直接 特网在线更新的情况,是否存在与管理信息大区共用一套恶意代码防护措施的情况。
8.3.8.1评估要求
施安全防护宜符合GB/T36572—2018中6.2.9
8.3.8.2评估实施
核查拨号认证设施,评估安全防护措施是否符合要求。评估内容包括,但不限于: a)在无连接需求时是否处于断电关机状态: b)是否存在直接连接核心交换机的情况; 是否仅允许单用户登录,并采取严格监管审计措施; l)是否使用安全加固的操作系统,使用数字证书技术进行登录和访问认证; 是否通过国家有关机构安全检测认证,有厂商提供的认证证书或测试报告。
8.4.1.1评估要求
构成电力监控系统网络安全防护体系的各个模块的安全防护宜符合GB/T36572一2018 的要求。
8.4.1.2评估实施
核查新建或新开发的电力监控系统和不具备升级改造条件的在运系统,评估新建或新开发的电 系统是否符合GB/T36572一2018中6.3的要求,不具备升级改造条件的在运系统是否已通过 I落实安全管理制度和安全应急机制、加强安全管控、强化网络隔离等方式降低安全风险
8.4.2电力监控系统软件安全
8.4.2.1评估要求
电力监控系统软件安全防护宜符合GB/T36572一2018中6.3.2的要
8.4.2.2评估实施
GB/T383182019
评估实施主要包括以下内容: a)核查电力监控系统中的控制软件和厂商提供的检测报告或认证证书,评估是否通过了满足国 家或行业要求的权威机构安全检测认证及代码安全审计。 b) 核查电力监控系统软件,评估软件设计安全情况。评估内容包括,但不限于: 1)软件设计方案中是否包含安全防护理念和防护措施; 2)通过软件设计方案和逻辑结构图进行分析、判断,确认业务系统软件的各业务模块是否合 理部署在相应安全等级的安全区; 3)实时闭环控制核心模块是否得到有效防护。 核查内部专用维护设施和维护记录,评估软件运维安全情况。评估内容包括,但不限于: 1)是否对登录账号进行身份认证,并使用安全审计措施对维护过程实施全程监控; 2)是否存在通过因特网进行生产控制大区远程维护的情况
8.4.3操作系统和基础软件安全
8.4.3.1评估要求
操作系统和基础软件安全防护宜符合GB/T36572一2018中6.3.3的要求
8.4.3.2评估实施
评估实施主要包括以下内容: a) 核查重要电力监控系统中的操作系统、数据库、中间件等基础软件和厂商提供的检测报告或认 证证书,评估是否通过了国家有关机构的安全检测认证。 b) 核查生产控制大区业务系统的操作系统、数据库、中间件等基础软件,评估其安全可靠性是否 满足GB/T20272一2006中4.3和4.4的要求,身份鉴别、访间控制、安全审计等安全功能和策 略是否已启用并配置合理, 核查生产控制大区业务系统的操作系统和基础软件,评估软件安装更新情况。评估内容包括, 但不限于: 1)是否存在不必要的组件和应用程序; 是否在确保不影响业务运行前提下及时升级安装补丁; 3) 漏洞补丁安装前是否进行安全性和兼容性测试; 4) 是否存在直接连接因特网在线更新的情况
8.4.4计算机和网络及监控设备安全
8.4.4.1评估要求
8.4.4.2评估实施
各及监控设备安全防护宜符合GB/T36572—201
评估实施主要包括以下内容: a)核查电力监控系统中的计算机和网络设备、电力自动化设备、继电保护设备、安全稳定控制 备、IED、测控设备等厂商提供的检测报告或认证证书,评估是否通过了满足国家或行业要 的权威机构安全检测认证:
GB/T 383182019
b)核查生产控制大区的计算机和网络设备,评估是否符合GB/T21028一2007中第4章和第5 章、GB/T21050—2007中7.1和7.2、GB/T18336.2—2015中第7章要求,身份鉴别、访问控 制、安全审计等安全功能和策略是否已启用并合理配置; C 核查生产控制大区的计算机和网络设备,评估是否使用防撕封条等工具封团计算机和网络设 备的空闲网络端口和其他无用端口,除调度数字证书所需的USB接口外的其他不必要的移动 存储设备接口是否均拆除或封闭
8.4.5核心处理器芯片安全
8.4.5.1评估要求
理器芯片安全防护宜符合GB/T36572—2018中
8.4.5.2评估实施
核查重要电力监控系统中的处理器芯片和厂商提供的检测报告或认证证书,评估处理器芯片安全 青况。评估内容包括,但不限于: a)核心处理器芯片是否通过了国家有关机构的安全检测认证; b 处理器芯片设计方案或安全测试报告等文档中是否包含安全可靠的密码算法、真随机数发生 器、存储器加密、总线传输加密等安全防护措施的相关内容,是否符合GB/T22186一2016中 7.1要求。
可信安全免疫宜符合GB/T36572一2018中6.4的要求
备用措施宜符合GB/T36572—2018中7.1的要求
GB/T383182019
评估实施主要包括以下内容: a)核查地市及以上电网调度控制中心硬件设施、包含调控人员组织结构和人员职责等内容的文 档、发电厂和变电站的关键设备和备份数据等,评估是否在实时数据采集、自动化系统、调度场 所、调度控制职能、调控人员等层面存在单系统、单场地、单人单岗的无备用情况。 b)核查发电厂和变电站关键设备(控制器、可编程逻辑控制单元、工业以太网交换机、工控主机 等)、特别重要设备(如现场运行系统及设备关键部位)数据备份设施、备份介质,评估内容包 括,但不限于: 1)是否定期对数据进行备份,备份方式、备份频度等策略设置是否合理,是否按照策略执行 备份操作; 2)关键设备是否以双机或双工的方式实现允余备用; 3)特别重要设备是否配备自动化控制机制和手动操作设施两种控制方式,并对手动操作相 关设备设施有计划进行检修 核查各级电网调度控制中心、发电厂和变电站电力监控系统的监控措施、预警措施、人员巡视 要求和记录、故障处理流程等,评估内容包括,但不限于: 1)是否部署了运行状态监控和故障预警措施; 2)是否制定了人员巡视要求、故障处理流程等故障发现、处理、恢复相关的处理流程和管理 办法,人员巡视记录是否完整。
向应措施宜符合GB/T365722018中7.2的要求
评估实施主要包括以下内容:
a 核查各电力企业应急相关制度、应急处理预案、应急演练方案、应急演练记录等应急响应相关 文档,评估内容包括,但不限于: 1)应急相关制度是否合理、完整; 2) 是否制定了整体应急预案和针对各系统可行的应急预案; 3 是否定期修订应急制度和应急预案; 4)是否定期开展应急演练,演练记录是否详细完整。 b) 核查生产控制大区安全事件应急预案或包含相关内容的应急预案、应急操作手册、事件处理过 程记录,评估内容包括,但不限于:
GB/T38318—2019
1)安全事件应急预案中是否包含上报上级主管部门、断开网络连接等应急技术措施、开展调 查取证等相关内容,且符合相关要求; 2)应急操作手册中操作流程和操作方法等内容是否描述详细,且具有可操作性; 3)事件处理过程记录是否详细完整
评估实施主要包括以下内容: a)核查电力监控系统的横向单向安全隔离设施、内外网隔离设施、防火墙等,评估是否在外部公 共因特网、管理信息大区、生产控制大区的控制区及非控制区等横向边界部署相应安全措施, 是否在国调、网调、省调、地调、县调间,以及各级调度机构与其直调的发电厂、变电站之间的纵 向边界部署相应安全措施; b)核查网络安全监视措施,评估是否能根据部署要求实现主机设备、网络设备、安全设备等的信 息采集、安全审计、实时监视告警等功能
理体系宜符合GB/T365722018中8.1的要求!
评估实施主要包括以下内容: a)核查各电力企业安全工作总体方针等包含安全管理工作的职能部门、主要责任人等相关内容 的管理制度,评估内容包括,但不限于: 1)相关制度中是否明确了安全管理工作职能部门,负责安全防护工作的具体落实; 2)是否确认了电力企业主要责任人是本单位信息安全第一责任人,对本单位的网络与信息 安全负全面责任, b)核查各电力企业电力监控系统安全管理制度,评估内容包括,但不限于: 1)安全管理制度体系是否符合运营单位自身需求; 2) 是否制定了安全工作的总体方针和安全策略,落实了安全管理责任; 3) 日常安全生产管理制度中是否包含电力监控系统安全防护、向上级单位信息报送、所辖范 围内计算机和数据网络管理的相关内容。
10.2全体人员安全管理
绿化标准规范范本人员安全管理宜符合GB/T36572—2018中8.2的要求
全管理宜符合GB/T36572—2018中8.2的要求
评估实施主要包括以下内容: a)核查各电力企业安全管理职能部门组织结构、岗位职责等相关文档,评估内容包括,但不限于: 1)安全管理职能部门组织结构及相关文档中是否明确设立安全主管、安全管理等岗位,是否 配备一定数量的安全管理员、系统管理员和安全审计员,数字证书系统等关键系统及设备 配备了专门管理员,是否明确岗位职责、分工和技能要求; 2)是否存在安全管理员由其他岗位人员兼任的情况。 b)核查电力监控系统安全防护的管理、运行、维护、使用等人员录用时的审查记录、保密协议、人 员离岗管理制度、人员离岗后取消访问权限和回收软硬件设备的记录、各岗位人员安全技能及 安全认知考核记录、安全培训教育记录、厂家维护及评估检测等第三方人员访问管理制度和访 同受控区域记录等,评估是否符合GB/T22239一2019中有关安全管理人员的要求,评估内容 包括,但不限于: 1)在人员录用时是否进行身份、背景、专业资格等方面的审查; 2)大 是否与安全管理员、系统管理员、网络管理员等关键岗位的人员签署保密协议; 3 是否取消离岗人员访问权限和回收软硬件设备,关键岗位人员离岗前是否签订了保密 协议; 4)是否对各岗位人员定期开展安全意识教育和安全技术培训; 5)是否制定了厂家维护、评估检测等第三方人员访问管理制度或关规范
10.3全部设备及系统安全管理
评估实施主要包括以下内容: a)核查电力监控系统中全部业务系统软件模块和硬件设备(特别是安全防护设备)台账或资产清 单,评估中可考虑以下内容,但不限于: 1)设备台账或资产清单是否包括全部业务系统的软件模块和硬件设备,其中记录的软件模 块和硬件设备信息是否详细准确; 2)采购的安全防护设备和重要电力监控系统及设备中是否包含被国家相关部门检测通报存 在漏洞和风险的系统及设备(包括控制器、可编程逻辑控制单元、工业以太网交换机、工控 主机等)。 b)核查电力监控系统的相关系统、设备接人技术方案、接人申请单,评估已接人电力监控系统网 络的相关系统、设备是否制定接人技术方案,安全防护措施是否合理有效,是否经过安全管理 部门审核、批准。 c 核查安全风险评估报告、整改记录或报告,评估内容包括,但不限于: 1)是否以风险评估相关标准要求为依据,结合实际情况对本单位和下属单位已投运的电力 监控系统定期开展安全风险评估; 2)是否对评估中发现的间题及时进行整改
GB/T38318—2019
灰铸铁标准10.4全生命周期安全管理
评估实施主要包括以下内容: a)核查电力监控系统及设备的规划设计、研究开发、施工建设、安装调试、系统改造、运行管理、退 役报废等全生命周期各阶段的安全管理制度、操作流程图等安全管理措施相关文档,评估是否 制定了有针对性的详细可行的管理制度及相关文档,且定期修订。 b)核查软硬件产品采购合同、技术服务合同及相关文件,评估内容包括,但不限于: 1)供应商是否在软硬件产品采购合同或其他文件中明确保证所提供的设备及系统符合 GB/T36572一2018及国家和行业信息系统安全等级保护的相关规定,并在设备及系统 生命期内对此负责的相关承诺,是否包含开发制造单位承诺其产品无恶意安全隐惠并终 身负责的内容; 2)检测评估单位、规划设计单位是否在技术服务合同或其他文件中承诺对其工作终身负责。 c)核查保密协议、安全协议等相关文件,评估是否与重要电力监控系统及专用安全防护产品的开 发、使用人员签订保密协议,是否与产品的开发、使用及供应商签订保密协议或安全协议,明确 安全责任。 d)核查电力监控系统及设备运维单位的验收记录、验收意见等相关文档,评估安全防护专项验收 的验收记录、验收意见等相关文档是否齐全,是否存在未验收或验收未通过即已上线运行的 情况。 e)核查电力监控系统及设备运维单位的安全防护管理制度、运维操作流程、设备操作规程、运维 人员岗位职责、自评估报告、整改方案等文档,评估日常运维和安全防护管理情况,评估内容包 括,但不限于: 1)是否制定了日常运维和安全防护的相关管理制度、操作规程等管理措施,并依照执行,定 期修订; 2)是否定期开展运行分析和自评估工作,实现隐患排查整改闭环。 ) 核查系统和设备退役报废时含敏感信息的介质和重要安全设备的销毁记录等相关文档,评估 是否按照相关要求进行销毁
....- 电力标准
- 相关专题: 电力监控