电力监控系统安全管理规定
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4.1.9按照网络与信息安全通报制度的规定,建立健全新能源公司信息通报机制,开展信息安全通报预警工作,及时向集团及国家能源局或其派出机构报告有关情况。
4.1.10按照电力行业网络与信息安全应急预案,制定或修订新能源公司网络与信息安全应急预案,定期开展应急演练。
4.1.11建立电力监控系统网络与信息安全资金保障制度,有效保障电力监控系统信息系统安全建设、运维、检查、等级测评和安全评估、应急及其它的信息安全资金。
3.2信息
此处特指在电力监控系统中存储、传输、处理的数字化数据。
3.3完整性
包括数据完整性和系统完整性。数据完整性表征数据所具有的特性,即无论数据形式作何变化,数据的准确性和一致性均保持不变的程度;系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,系统能履行其操作目的的品质。
4职责
4.1安全生产部
4.1.1本标准的归口管理部门,负责标准执行情况的监督、检查、考核。
4.1.2负责贯彻执行国家有关电力行业网络与信息安全工作的标准、规定及管理办法等。
4.1.3负责新能源公司的电力监控系统网络与信息安全工作。
4.1.4建立健全新能源公司电力监控系统网络与信息安全管理制度体系。
4.1.5协助新能源公司公司领导成立电力监控系统网络与信息安全工作领导机构,明确责任部门,设立专兼职岗位,定义岗位职责,明确人员分工和技能要求,建立健全网络与信息安全责任制。
本标准由新能源公司提出,由安全生产部归口管理。
本标准起草部门:生产运行部。
本标准起草人:陈晓东。
本标准修改人:陈晓东。
本标准审核人:任昱、石敏。
本标准复核人:张红义、王丰绪。
本标准批准人:张凤阳。
本标准于20**年*月首次发布。
电力监控系统安全管理规定
1范围
本标准规定了新能源公司电力监控系统安全工作的总体方针和安全策略。
4.1.6按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求,对新能源公司的电力监控系统网络与信息系统进行安全保护。
4.1.7按照国家有关规定开展新能源公司电力监控系统安全防护评估和信息安全等级测评工作,未达到要求的及时组织进行整改。
4.1.8按照国家有关规定开展新能源公司电力监控系统网络与信息安全风险评估工作,建立健全信息安全风险评估的自评估和检查评估制度,完善信息安全风险管理机制。
3.11边界防护
网络可以看作一个独立的对象,通过自身的属性,维持内部业务的运转。它的安全威胁来自内部与边界两个方面:内部安全威胁是指网络的合法用户在使用网络资源的时候,发生的不合规的行为、误操作、恶意破坏等行为,以及非法外联。边界安全威胁是指网络与外界互通引起的安全问题,如入侵、病毒与攻击。边界防护的作用就是避免内部合法用户发生不合规的行为、误操作、恶意破坏等行为,防止内部合法用户非法外联以及网络边界外的入侵、病毒与攻击行为。
5.3.4系统方法原则
新能源公司总部、分公司及所属风电场、光伏电站应按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率。
5.3.5持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,新能源公司总部、分公司及所属风电场、光伏电站应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。
5.4.2.2网络应采用MPLS-VPN技术、安全隧道技术、静态路由等技术将网络分割为逻辑上相对独立的子网,分别对应监控系统业务子系统,保证实时业务的封闭性和高等级的网络服务质量。
5.4.2.3网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。安全级别相同的网络互联,必须在网络边界部署防火墙、IPS等安全设备;安全级别不同的网络连接,必须在网络边界部署相应的横向且单向的隔离设备。
5.3.6依法管理原则
信息安全管理工作主要体现为管理行为,新能源公司总部、分公司及所属风电场、光伏电站应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响。
5.3.7分权和授权原则
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。
5.4总体安全策略
5.4.1物理安全策略
5.4.1.1机房和办公室必须选择在经过防震、防火、防雷击验收合格的办公大楼内部,机房的窗户需要有防雨水渗透的能力。
5.4.1.2机房的位置不能是办公楼的地下室,且不宜在一层或是顶层,如果条件有限必须做好机房防火、防水及防盗等措施,机房的正上方不能是用水量大的房间。
4.1.12加强电力监控系统信息安全从业人员考核和管理。组织新能源公司从业人员定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。
4.1.13按照国家有关规定,建立健全电力监控系统容灾备份制度,监督风电场、光伏电站、集控中心对关键系统和核心数据进行有效备份。
4.2其他部室
4.2.1负责及时上报公司本部电力监控系统网络与信息安全工作执行情况。
北京xx新能源有限公司企业标准
Q/XNY-***.**-**-****
电力监控系统安全管理规定
****-**-**发布****-**-**实施
北京xx新能源有限公司发布
目次
前言
本标准是根据北京xx新能源有限公司(以下简称新能源公司)标准体系工作的需要编制,是企业标准体系建立和实施的个性标准。目的是为新能源公司各部门(包括分公司、风电场、光伏电站)制定电力监控系统安全工作的总体方针和安全策略,明确电力监控系统安全工作的总体目标、范围、原则和安全策略等,是公司开展电力监控系统安全工作的纲领性文件。
3.8敏感性
表征资源价值或重要性的特性,也可能包含这一资源的脆弱性。
3.9风险评估
通过对信息系统的资产价值/重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析,对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价,确定信息系统安全风险的过程。
3.10安全策略
主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。
4.2.2负责配合公司执行国家有关电力行业网络与信息安全工作的标准、规定及管理办法等。
4.2.3负责配合协调公司本部对电力监控系统应急状况的处置工作。
5管理活动内容与方法
5.1总体方针
新能源公司电力监控系统网络与信息安全工作坚持“安全第一、预防为主,积极防御、综合防范”的总体方针,按照“谁主管谁负责,谁运营谁负责”的原则,实现网络与信息安全工作可控、能控、在控。依照“安全分区、网络专用、横向隔离、纵向认证”的总体安全防护策略,执行信息系统安全等级保护定级制度。风电场、光伏电站、集控中心内部基于计算机和网络技术的电力生产业务监控系统分为生产控制大区和管理信息大区。生产控制大区分为控制区(安全区Ⅰ)和非控制区(安全区Ⅱ);管理信息大区根据风电场、光伏电站、集控中心实际安全需求划分安全区。生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,实现边界防护。
3.4可用性
表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。
3.5访问控制
按确定的规则,对实体之间的访问活动进行控制的安全机制,能防止对资源的未授权使用。
3.6安全审计
按确定规则的要求,对与安全相关的事件进行审计,以日志方式记录必要信息,并作出相应处理的安全机制。
3.7鉴别信息
用以确认身份真实性的信息。
国能安全[2014]317号《电力行业网络与信息安全管理办法》
电监信息[2007]44号《电力行业信息系统等级保护定级工作指导意见》
Q/BEIH-219.10-03-2013《网络与信息安全管理规定》
3术语和定义
下列术语和定义适用于本规定:
3.1电力监控系统
指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支撑的通信及数据网络等。
5.3.8选用成熟技术原则
成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。
5.3.9分级保护原则
按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护。
5.4.1.3出入机房必须进行登记,无人值守时必须上锁。
5.4.1.4进入机房的工作人员必须由安全技术主管或机房管理员全程陪同。
5.4.1.5机房内部必须部署基础防护系统和设备,如监控报警设备、防雷设备、消防灭火设备、温湿度控制设备(如温湿度计、空调等)、UPS供电系统。
5.4.2网络安全策略
5.4.2.1网络必须在专用通道上使用独立的网络设备组网,采用基于SDH/PDH制式光传输设备的不同通道、不同纤芯等方式,在物理层面上实现与其它网络及外部公共信息网的安全隔离。
5.4.2.4网络接入必须采用严格的接入控制措施,保证业务系统接入的可信性。数据网络与业务系统边界采用必要的访问控制措施,对通信方式与通信业务类型进行控制;在业务区与网络的纵向交接处应当采取相应的安全隔离、加密、认证等防护措施。
5.4.2.5网络设备必须采用不同电源的双路供电,重要网络设备同时应配备应急UPS电源。
本标准适用于新能源公司各部室所属各部门的电力监控系统安全工作。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅源自文库日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
国务院令1994年第147号《中华人民共和国计算机信息系统安全保护条例》
5.3.2主要领导负责原则
安全生产部确立由其统一组织的信息安全保障体系,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效。
5.3.3全员参与原则
新能源公司总部、分公司及所属风电场、光伏电站所有生产相关人员应普遍参与电力监控系统网络与信息的安全管理,并与相关方面协同、协调,共同保障电力监控系统网络与信息安全。
5.2总体目标
新能源公司电力监控系统网络与信息安全工作的总体目标是确保电力监控系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防范黑客及恶意代码等对电力监控系统的攻击及侵害,保障电力系统的安全稳定运行。
5.3总体原则
5.3.1基于安全需求原则
风电场、光伏电站、集控中心应根据电力监控系统担负的使命,根据信息数据的重要性,可能受到的威胁及面临的风险分析安全需求,按照《电力行业信息系统等级保护定级工作指导意见》要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果。
5.3.10管理与技术并重原则
坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。
5.3.11自保护和国家监管结合原则
对信息系统安全实行自保护和国家保护相结合。新能源公司总部、分公司及所属风电场、光伏电站要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。
公信安[2009]1429号《关于开展信息安全等级保护安全建设整改工作的指导意见》
GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》
GB/T 20269—2006《信息安全技术安全建设技术方案设计要求》
国家发改委令2014年第14号《电力监控系统安全防护规定》
国能安全[2015]36号《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》
4.1.10按照电力行业网络与信息安全应急预案,制定或修订新能源公司网络与信息安全应急预案,定期开展应急演练。
4.1.11建立电力监控系统网络与信息安全资金保障制度,有效保障电力监控系统信息系统安全建设、运维、检查、等级测评和安全评估、应急及其它的信息安全资金。
3.2信息
此处特指在电力监控系统中存储、传输、处理的数字化数据。
3.3完整性
包括数据完整性和系统完整性。数据完整性表征数据所具有的特性,即无论数据形式作何变化,数据的准确性和一致性均保持不变的程度;系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,系统能履行其操作目的的品质。
4职责
4.1安全生产部
4.1.1本标准的归口管理部门,负责标准执行情况的监督、检查、考核。
4.1.2负责贯彻执行国家有关电力行业网络与信息安全工作的标准、规定及管理办法等。
4.1.3负责新能源公司的电力监控系统网络与信息安全工作。
4.1.4建立健全新能源公司电力监控系统网络与信息安全管理制度体系。
4.1.5协助新能源公司公司领导成立电力监控系统网络与信息安全工作领导机构,明确责任部门,设立专兼职岗位,定义岗位职责,明确人员分工和技能要求,建立健全网络与信息安全责任制。
本标准由新能源公司提出,由安全生产部归口管理。
本标准起草部门:生产运行部。
本标准起草人:陈晓东。
本标准修改人:陈晓东。
本标准审核人:任昱、石敏。
本标准复核人:张红义、王丰绪。
本标准批准人:张凤阳。
本标准于20**年*月首次发布。
电力监控系统安全管理规定
1范围
本标准规定了新能源公司电力监控系统安全工作的总体方针和安全策略。
4.1.6按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求,对新能源公司的电力监控系统网络与信息系统进行安全保护。
4.1.7按照国家有关规定开展新能源公司电力监控系统安全防护评估和信息安全等级测评工作,未达到要求的及时组织进行整改。
4.1.8按照国家有关规定开展新能源公司电力监控系统网络与信息安全风险评估工作,建立健全信息安全风险评估的自评估和检查评估制度,完善信息安全风险管理机制。
3.11边界防护
网络可以看作一个独立的对象,通过自身的属性,维持内部业务的运转。它的安全威胁来自内部与边界两个方面:内部安全威胁是指网络的合法用户在使用网络资源的时候,发生的不合规的行为、误操作、恶意破坏等行为,以及非法外联。边界安全威胁是指网络与外界互通引起的安全问题,如入侵、病毒与攻击。边界防护的作用就是避免内部合法用户发生不合规的行为、误操作、恶意破坏等行为,防止内部合法用户非法外联以及网络边界外的入侵、病毒与攻击行为。
5.3.4系统方法原则
新能源公司总部、分公司及所属风电场、光伏电站应按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率。
5.3.5持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,新能源公司总部、分公司及所属风电场、光伏电站应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。
5.4.2.2网络应采用MPLS-VPN技术、安全隧道技术、静态路由等技术将网络分割为逻辑上相对独立的子网,分别对应监控系统业务子系统,保证实时业务的封闭性和高等级的网络服务质量。
5.4.2.3网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。安全级别相同的网络互联,必须在网络边界部署防火墙、IPS等安全设备;安全级别不同的网络连接,必须在网络边界部署相应的横向且单向的隔离设备。
5.3.6依法管理原则
信息安全管理工作主要体现为管理行为,新能源公司总部、分公司及所属风电场、光伏电站应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响。
5.3.7分权和授权原则
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。
5.4总体安全策略
5.4.1物理安全策略
5.4.1.1机房和办公室必须选择在经过防震、防火、防雷击验收合格的办公大楼内部,机房的窗户需要有防雨水渗透的能力。
5.4.1.2机房的位置不能是办公楼的地下室,且不宜在一层或是顶层,如果条件有限必须做好机房防火、防水及防盗等措施,机房的正上方不能是用水量大的房间。
4.1.12加强电力监控系统信息安全从业人员考核和管理。组织新能源公司从业人员定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。
4.1.13按照国家有关规定,建立健全电力监控系统容灾备份制度,监督风电场、光伏电站、集控中心对关键系统和核心数据进行有效备份。
4.2其他部室
4.2.1负责及时上报公司本部电力监控系统网络与信息安全工作执行情况。
北京xx新能源有限公司企业标准
Q/XNY-***.**-**-****
电力监控系统安全管理规定
****-**-**发布****-**-**实施
北京xx新能源有限公司发布
目次
前言
本标准是根据北京xx新能源有限公司(以下简称新能源公司)标准体系工作的需要编制,是企业标准体系建立和实施的个性标准。目的是为新能源公司各部门(包括分公司、风电场、光伏电站)制定电力监控系统安全工作的总体方针和安全策略,明确电力监控系统安全工作的总体目标、范围、原则和安全策略等,是公司开展电力监控系统安全工作的纲领性文件。
3.8敏感性
表征资源价值或重要性的特性,也可能包含这一资源的脆弱性。
3.9风险评估
通过对信息系统的资产价值/重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析,对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价,确定信息系统安全风险的过程。
3.10安全策略
主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。
4.2.2负责配合公司执行国家有关电力行业网络与信息安全工作的标准、规定及管理办法等。
4.2.3负责配合协调公司本部对电力监控系统应急状况的处置工作。
5管理活动内容与方法
5.1总体方针
新能源公司电力监控系统网络与信息安全工作坚持“安全第一、预防为主,积极防御、综合防范”的总体方针,按照“谁主管谁负责,谁运营谁负责”的原则,实现网络与信息安全工作可控、能控、在控。依照“安全分区、网络专用、横向隔离、纵向认证”的总体安全防护策略,执行信息系统安全等级保护定级制度。风电场、光伏电站、集控中心内部基于计算机和网络技术的电力生产业务监控系统分为生产控制大区和管理信息大区。生产控制大区分为控制区(安全区Ⅰ)和非控制区(安全区Ⅱ);管理信息大区根据风电场、光伏电站、集控中心实际安全需求划分安全区。生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,实现边界防护。
3.4可用性
表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。
3.5访问控制
按确定的规则,对实体之间的访问活动进行控制的安全机制,能防止对资源的未授权使用。
3.6安全审计
按确定规则的要求,对与安全相关的事件进行审计,以日志方式记录必要信息,并作出相应处理的安全机制。
3.7鉴别信息
用以确认身份真实性的信息。
国能安全[2014]317号《电力行业网络与信息安全管理办法》
电监信息[2007]44号《电力行业信息系统等级保护定级工作指导意见》
Q/BEIH-219.10-03-2013《网络与信息安全管理规定》
3术语和定义
下列术语和定义适用于本规定:
3.1电力监控系统
指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支撑的通信及数据网络等。
5.3.8选用成熟技术原则
成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。
5.3.9分级保护原则
按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护。
5.4.1.3出入机房必须进行登记,无人值守时必须上锁。
5.4.1.4进入机房的工作人员必须由安全技术主管或机房管理员全程陪同。
5.4.1.5机房内部必须部署基础防护系统和设备,如监控报警设备、防雷设备、消防灭火设备、温湿度控制设备(如温湿度计、空调等)、UPS供电系统。
5.4.2网络安全策略
5.4.2.1网络必须在专用通道上使用独立的网络设备组网,采用基于SDH/PDH制式光传输设备的不同通道、不同纤芯等方式,在物理层面上实现与其它网络及外部公共信息网的安全隔离。
5.4.2.4网络接入必须采用严格的接入控制措施,保证业务系统接入的可信性。数据网络与业务系统边界采用必要的访问控制措施,对通信方式与通信业务类型进行控制;在业务区与网络的纵向交接处应当采取相应的安全隔离、加密、认证等防护措施。
5.4.2.5网络设备必须采用不同电源的双路供电,重要网络设备同时应配备应急UPS电源。
本标准适用于新能源公司各部室所属各部门的电力监控系统安全工作。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅源自文库日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
国务院令1994年第147号《中华人民共和国计算机信息系统安全保护条例》
5.3.2主要领导负责原则
安全生产部确立由其统一组织的信息安全保障体系,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效。
5.3.3全员参与原则
新能源公司总部、分公司及所属风电场、光伏电站所有生产相关人员应普遍参与电力监控系统网络与信息的安全管理,并与相关方面协同、协调,共同保障电力监控系统网络与信息安全。
5.2总体目标
新能源公司电力监控系统网络与信息安全工作的总体目标是确保电力监控系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防范黑客及恶意代码等对电力监控系统的攻击及侵害,保障电力系统的安全稳定运行。
5.3总体原则
5.3.1基于安全需求原则
风电场、光伏电站、集控中心应根据电力监控系统担负的使命,根据信息数据的重要性,可能受到的威胁及面临的风险分析安全需求,按照《电力行业信息系统等级保护定级工作指导意见》要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果。
5.3.10管理与技术并重原则
坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。
5.3.11自保护和国家监管结合原则
对信息系统安全实行自保护和国家保护相结合。新能源公司总部、分公司及所属风电场、光伏电站要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。
公信安[2009]1429号《关于开展信息安全等级保护安全建设整改工作的指导意见》
GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》
GB/T 20269—2006《信息安全技术安全建设技术方案设计要求》
国家发改委令2014年第14号《电力监控系统安全防护规定》
国能安全[2015]36号《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》