电力二次系统安全防护等评定及整改条件书

C.7技术条件书审批页格式和编写格式

广东省粤电集团有限公司

湛江中粤能源有限公司

电力二次系统安全防护评估、

等级评定及整改

技术条件书

编写人：___________________________________

初审：（主管部门分部经理/部长）：___________

会审： _______________

审核：（生产技术分部专工/经理）__________

审定：（生产经营部部长）

批准：（主管生产经营公司领导）：_______________

设备部电气分部

保管责任人：李志东编号：JSTJS—SB－DQ－2013－00

保管地点：电气分部保管期限：记录日期：2013.5.2

1、概述

1.1本技术条件书适用于湛江中粤能源有限公司电力二次系统安全防护评估、

等级评定及整改项目(以下简称本项目)，本技术条件书文件的所有解释权归湛江中粤能源有限公司。

1.2本技术条件书提出了项目的建设规模、主要业务需求和技术指标要求，以供服务提供商编写应答书和报价之用。。

1.3项目范围主要包括:一、电力二次系统安全防护评估；二、安全整改加固；三、信息安全等级保护测评；

1.4 应提交的项目交付物为：一、电力二次系统安全防护评估报告；二、安全整改、加固报告；三、信息安全等级保护测评报告；

2、项目需求

2.1项目背景

目前电力二次系统的信息安全已经成为支撑湛江中粤能源有限公司各生产业务稳定运行的重要载体，而信息系统的安全防护更显得尤为重要。为规范电力二次系统安全防护评估工作，依据《电力二次系统安全防护规定》（电监会第5号令）及电监会关于印发《电力二次系统安全防护评估规范（试行）》的通知要求，需开展电力二次系统安全评估工作，此外电力二次系统信息安全等级保护作为我国信息安全保障的一项基本制度，需通过统一的信息安全等级保护管理规范和技术标准，对信息系统分等级实行安全保护，并对等级保护工作的实施进行监督、管理。

因此，为了进一步贯彻落实电监会、公安部、针对信息安全的要求，全面提高湛江中粤能源有限公司电力二次系统的基础信息网络和重要信息系统的信息安全保护能力和水平，湛江中粤能源有限公司拟进行电力二次系统信息安全评估和信息系统安全等级保护测评工作。

2.2项目目标

对湛江中粤能源有限公司电力二次系统的网络和信息系统进行全面的安全评估和等保测评，并提出合理的风险控制解决方案，对发现的问题或安全漏洞进行修补；协助湛江中粤能源有限公司通过电监会评估检测及公安部等级保护测评。

项目依据国家、电监会相关标准以发现本厂电力二次系统存在的信息安全风险，确保目前相应的电力二次系统达到厂站相应一般、重要防护要求及国家相应的二、三级等级保护的要求，能够防护系统免受来自外部小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。

2.3工作内容

2.3.1电力二次系统安全防护评估

依照《电力二次系统安全防护规定》（电监会第5号令）、《电力二次系统安全评估规范（试行）》、《发电厂二次系统安全防护方案》等，对湛江中粤能源有限公司的网络和信息系统进行风险评估，提交相关电力二次系统安全防护评估报告和安全整改建议。

风险评估的内容应包括：信息系统资产调研、信息系统安全现状调研、网络设备安全审计、操作系统安全审计、漏洞扫描、重要日志分析、渗透测试、网络结构分析、综合风险分析、安全组织架构及管理制度分析，以及安全防护评估报告编写。

2.2.2电力二次系统信息安全整改、加固

根据电力二次系统安全防护评估报告，针对存在的安全隐患以及未落实的安全措施制订安全整改方案，明确整改的目标、项目和进度。依据安全整改方案，配备符合标准要求的安全专用产品，完成相应产品的拓扑设计，以及安装调试。

根据评估风险和安全方案，并结合《电力二次系统安全防护规定》、《信息安全技术》、《信息系统安全等级保护基本要求》，依据安全整改方案，落实安全技术措施，提供安全维护服务，对湛江中粤能源有限公司的网络设备、服务器和应用系统进行安全加固，提交安全加固报告。

2.2.3电力二次系统信息安全等级保护测评

通过在湛江中粤能源有限公司电力二次系统安全防护评估的基础上对各电力二次系统整改现状调研和分析，参照国家等级保护标准体系，开展等级保护的定级、备案、整改、测评等工作。通过测评评判现有信息系统在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面的安全整改现状，并针对信息安全整改的结果，依据国家等级保护标准验证信息安全整改效果，以保证湛江中粤能源有限公司信息系统安全保护能力达到国家相应的要求，并通过公安部（当地网监）认定的等级保护第三方测评机构的最终测评。

本项目涉及的信息系统包括：

3、项目技术要求

3.1项目实施须遵循的标准

在信息安全评估及等级保护测评过程中，必须依照以下标准规范：

1、电监会安全评估标准：

➢《电力二次系统安全防护规定》（电监会第5号令）

➢《电力二次系统安全评估规范（试行）》

2、等级保护安全测评标准：

➢《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）

➢《信息系统安全保障评估框架》（GB/T 20274）

➢《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）3.2项目实施应满足的原则

项目的方案设计与具体实施应满足以下原则：

➢符合性原则：符合电监会、国家等信息安全评估/测评有关规范，指出防范的方针和保护的原则；

➢标准性原则：安全评估及等级保护测评发现的安全风险及差距的整改、设计与实施应依据行业、国内、国际的相关标准进行；

➢规范性原则：安全服务提供商在项目实施工作中的过程和文档，应具有很好的规范性，可以便于项目的跟踪和控制；

➢可控性原则：安全服务的方法和过程要在双方认可的范围之内，保证对于服务工作的可控性；

➢整体性原则：安全风险及差距整改建议的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；

➢最小影响原则：测评及扫描工作应尽可能小的影响系统和网络的正常运行，不能对各系统的运行和业务产生显著影响；

➢保密原则：应对服务过程中获得的数据和结果严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害利益的行为，否

则有权追究其责任。