收藏
下载资源 加入VIP,免费下载

华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书.docx

上传人:王** 文档编号:1009849 上传时间:2024-03-15 格式:DOCX 页数:17 大小:94.61KB
下载 相关 举报
华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书.docx_第1页
第1页 / 共17页
华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书.docx_第2页
第2页 / 共17页
华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书.docx_第3页
第3页 / 共17页
华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书.docx_第4页
第4页 / 共17页
华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书.docx_第5页
第5页 / 共17页
华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书.docx_第6页
第6页 / 共17页
华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书.docx_第7页
第7页 / 共17页
华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书.docx_第8页
第8页 / 共17页
华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书.docx_第9页
第9页 / 共17页
华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书.docx_第10页
第10页 / 共17页
亲,该文档总共17页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书.docx》由会员分享,可在线阅读,更多相关《华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书.docx(17页珍藏版)》请在优知文库上搜索。

1、华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书批准:审核:编制:华能嘉祥发电有限公司2023年09月目录1总则31.1引言31.2 总体要求和概况31.3 适用范围31.4标准和规范41. 5权利和职责41.6 项目工作范围51.7 服务周期或施工周期62技术规范62. 1项目实施原则62.6 实施要求62.7 等级保护测评内容82.8 电力监控系统安全防护评估内容102.9 测评及评估流程123项目服务商要求153.1 服务团队技术要求153.2 服务人员要求153.3 技术支持服务要求154工程管理164.1项目验收164.2 项目文档164.3 质量保证174.4 保密要求171

2、总则1.1 引言为了落实公安部、国家能源局关于电力监控系统安全等级保护要求,进一步增强电力监控系统安全防护能力,确保电力监控系统安全稳定运行,依据信息系统安全等级保护基本要求(GB/T22239-2008)、电力行业信息系统安全等级保护基本要求(电监信息201262号)、电力监控系统安全防护规定(国家发展改革委员会2014年第14号令)、电力行业网络与信息安全管理办法(国能安全2014317号)和电力行业信息安全等级保护管理办法(国能安全20141318号)等制度和标准要求,进行本次电力监控系统信息安全技术服务,内容包括等级保护测评、安全防护评估、安全审计等。1.2 总体要求和概况通过信息系统

3、安全测评工作促进系统安全整改与安全建设,保证电力监控系统安全防护体系的强壮性和有效性;加强信息系统安全建设、提升从业人员安全意识,为电力监控系统安全奠定良好基础,保证电力监控系统安全可靠运行并完成等级保护备案工作。华能嘉祥发电有限公司根据区域划分生产控制大区和管理信息大区,电力监控系统包含DCS、SlS及调度数据网等。根据三同时要求机组DCS系统完成国产化改造后重新备案并进行等保测评。PI系统升级改造为厂级监控SIS系统,完成定级、等保测评及备案。燃料管理信息系统完成等保测评及备案。配合信息中心完成信息内、外网安全风险评估工作,出具报告。1.3 适用范围本技术规范适用于信息安全技术服务项目的采

4、购,包括技术服务要求和验收要求。1.3.1 本技术规范提出的是最低限度的技术要求。凡本技术规范中未规定,但在相关国家标准、电力行业标准或IEC标准中有规定的规范条文,投标人应按相应标准的条文进行服务供应说明。1.3.2 如果投标人没有以书面形式对本技术规范的条文提出异议,则招标方认为投标人提供的服务完全符合本技术规范。1.3.3 本技术规范所建议使用的标准如与投标人所执行的标准不一致,投标人应按更严格标准的条文执行或按双方商定的标准执行。1.3.4 本项目涉及到的知识产权费用均已包含在报价中,因知识产权产生的纠纷由报价人自行承担或解决,采购人不承担相应责任。1.3.5 技术规范书经双方确认后,

5、作为合同的附件,与合同正文具有同等的法律效力。1.3.6 和规范下列文件中的条款通过本规范的引用而成为本规范的条款,除本技术规范书特别规定外,投标人所提供的测评标准均应遵循公安部、能源局相关文件要求和招标方的相关文件要求,所用的标准必须是其最新版本;如果这些标准内容矛盾时,应按最高标准的条款执行或按双方商定的标准执行;如果投标人选用本技术规范书规定以外的标准时,需提交与这种替换标准相当的或优于规定标准的证明,供招标方确认。 信息安全等级保护管理办法(公通字200743号) GB/T22239-2019信息安全技术信息系统安全等级保护基本要求 GA/T1389-2017信息安全技术信息系统安全等

6、级保护定级指南 GB/T25058-2019信息安全技术信息系统安全等级保护实施指南 GB/T28448信息安全技术信息系统安全等级保护测评要求 GB/T28449信息安全技术信息系统安全等级保护测评过程指南 关于开展电力行业信息系统安全等级保护定级工作的通知(电监信息(2007)34号) 电力行业信息系统安全等级保护基本要求(电监信息201262号) 电力行业网络与信息安全管理办法(国能安全2014317号) 电力行业信息安全等级保护管理办法(国能安全2014318号) 电力监控系统安全防护规定(国家发展改革委员会2014年第14号令) 电力监控系统安全防护总体方案国能安全201536号 发

7、电厂监控系统安全防护方案国能安全201536号 电力监控系统安全防护评估规范国能安全201536号1.3.7 和职责为切实保障本项目的工作质量,确保测评及评估工作达到预期目标,对招标方及项目实施方双方技术工作责任约定如下:1.5. 1招标方责任 负责测评实施过程中同相关单位和部门的协调。 为项目实施方提供良好的工作场地和环境。 按工作要求提供相关的资料和信息。 准备应急措施,负责实施过程中的紧急情况的处理。1.5.2项目实施方责任 按照招标方工作章程开展工作。 项目内容的变更及时与招标方代表沟通。 按照协议要求提供技术服务和成果。 确保信息安全技术服务工作质量。 配合招标方准备应急预案和实施过

8、程中的紧急情况处理。 负责按时完成所有工作。同时,双方都必须遵循保密要求。1.6 项目工作范围信息安全技术服务范围如下:(1)等级保护测评对象:火电机组分散控制系统DCS(330MW)安全等级保护测评为三级。燃料管理系统、SIS系统安全等级保护测评均为二级。(2)根据国家等级保护相关标准,安全等级保护测评应包括以下内容:安全技术测评:包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个方面的安全测评;安全管理测评:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。(3)电力监控系统安全防护评估的主要内容包括:资产评估、威胁评估、脆弱性

9、评估、现有安全措施有效性评估等。本次服务范围见下表:序号系统名称工程内容1DCS系统三级等保测评2SIS系统二级等保测评3燃料监管系统二级等保测评4电力监控系统安全防护评估电力监控系统安全防护评估1.7 服务周期或施工周期在合同签订后,根据发标方各系统实施时间要求,中标方入厂进行等级保护现场测评,并出具系统的等级保护测评报告,完成备案等全部相关事项;2技术规范2.1 项目实施原则本项目实施方案设计与具体实施应满足以下原则:2.1.1 保密性原则:项目实施方应与招标方签订保密协议,对服务的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据侵害招标方的权益,否则招标方有权

10、追究投标人的责任。2.1.2 2标准性原则:测评及评估方案的设计与实施应依据国家的相关标准进行。2.1.3规范性原则:项目实施方工作中的过程和文档,应具有规范性,便于项目跟踪和控制。2.1.4 可控性原则:项目的进度应符合进度安排,保证招标方对服务工作的可控性。2.1.5 整体性原则:测评及评估的范围和内容应系统、全面、规范,满足等级保护和安全防护评估的相关基本要求。2.1.6 最小影响原则:技术服务工作应尽可能小的影响在线系统和网络的正常运行,不能对现有运行系统造成影响。在线测评及评估应在招标方许可的条件下进行。2.2 实施要求投标人在签订合同后开工前应提供详细的信息安全技术服务的整体实施方

11、案,包括项目概述、等保测评方案、安全防护评估方案、项目实施方案、时间安排、阶段性文档提交和验收标准等。投标人应详细描述服务人员的组成、资质及各自职责的划分。2.3 2.1测评及评估方法测评及评估方法包括访谈、检查和测试三种方法,可细化为文档审查、配置检查、工具测试和实地察看等多种方法。如需在电力监控系统等级保护测评及安全防护评估实施过程中采用在线测评工具,各种工具软件由项目实施方推荐,经招标方确认后由项目实施方提供并在工作中使用。安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由项目实施方推荐,经确认后由项目实施方提供并在测评中使用。安全测评需要的运行环境

12、(如场地、网络环境等)由招标方提供,项目实施方应详细描述需要的运行环境的具体要求。2.2.2工作进度2.2.2.1筹划准备阶段工作周期:12周工作内容:对被测评及评估系统防护现状进行详细分析和调研,初步确定测评及评估实施方案、范围,收集材料,签署保密协议,组建测评及评估项目组,并进行进场实施前的安全教育工作,同时完成检测工具、装备配置等各项准备工作。2.2.2.2启动阶段工作周期:12个工作日工作内容:项目组进驻被测单位,收集分析信息资产资料、网络资料、业务系统资料和信息安全管理制度方针等相关测评所需材料,并召开启动会,就测评及评估工作具体事宜进行落实,包括确定测评及评估计划安排、测评及评估范

13、围、测评及评估内容和配合需求等。2.2.2.3现场测评工作周期:4-5个工作日工作内容:项目组从管理和技术两个方面入手,开展被测单位测评及评估工作,包括安全区划分、网络专用,评估管理和制度、基础网络、业务系统、通用服务、主机系统、数据库系统、现有安全措施等。测评及评估方法有顾问访谈、日志审计、人工查看、漏洞扫描等。现场工作结束后,测评及评估工作小组对现场测评情况进行初步整理汇总,向被测单位领导和系统管理员等汇报现场阶段工作情况。2.2.2.4结论分析报告编制阶段工作周期:34周工作内容:项目组对检测情况和采集的数据进行分类统计、风险计算、综合分析与评估,撰写被测单位系统等级保护测评报告及电力监

14、控系统安全防护评估报告。2. 2.2.5整改技术支持阶段工作内容:项目组针对现场测评及评估发现的问题,出具整改建议后,向被测单位提供整改技术咨询支持。3. 2.3风险控制测评及评估工作本身也会引入安全风险,必须加强测评及评估过程中的风险控制。项目实施前,双方应充分讨论并明确测评及评估对系统可能带来的风险和隐患,确定测评及评估对象、测评及评估方法和工具,并制定应急恢复措施。(1)操作的申请和监护测评及评估操作必须遵守现场运行规章制度,确保系统安全稳定运行。如需在线测试,按照相关工作规程,事前申请,并在专责人员的指导和监护下进行。(2)人员与数据管理重视保密工作,加强测评及评估过程中的保密管理,确

15、保参与测评工作人员的可靠、稳定,防止敏感信息泄漏。(3)测评对象选择优先选择备用设备(系统)或临时搭建的模拟环境进行测评及评估,避免影响在线系统运行。(4)制定应急预案根据被测系统情况,在测评及评估实施前制定应急预案,加强系统在线应急处置能力。(5)关键业务系统风险控制生产控制大区在线运行系统禁止采用渗透测试工具进行测评。2.3等级保护测评内容根据国家等级保护相关标准,本次项目的安全等级保护测评应包括以下内容:安全技术测评:包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个方面的安全测评;安全管理测评:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。2.3.1物理安全物理安全测评是对电力监控系统的机房和办公场所的物理环境安全防护情况进行测评,包括物理位置选择、物理访问控制、防盗窃和防破坏、

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 办公文档 > 规章制度

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!