电力行业等级保护基本要求.pptx

级、三级等级保护要求比较技术要求管理要求系统建设管理系统定级1）应明确信息系统划分的方法；2）应确定信息系统的安全等级；3）应以书面的形式定义确定了安全等级的信息系统的属性，包括使命、业务、网络、硬件、软件、数据、边界、人员等；4）应确保信息系统的定级结果经过相关部门的批准。

1）应明确信息系统划分的方法；2）应确定信息系统的安全等级；3）应以书面的形式定义确定了安全等级的信息系统的属性，包括使命、业务、网络、硬件、软件、数据、边界、人员等；4）应以书面的形式说明确定一个信息系统为某个安全等级的方法和理由；5）应组织相关部门和有关安全技术专家对信息系统的定级结果的合理性和正确性进行论证和审定；6）应确保伯息系统的7E级结果红过相关部门的批准。

安全万案设计1）应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施；2）应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容，形成系统的安全方案；3）应对安全方案进行细化，形成能指导安全系统建设和安全产品采购的详细设计方案；4）应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定；5）应确保安全设计方案必须经过批准，才能正式实施。

1 ）应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施；2）应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划；3）应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件；4）应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定；5）应确保总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等文件必须经过批准，才能正式实施；管理要求项二级等保三级等保2）应编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单；3）应根据资产的重要程度对资产进行定性赋值和标识管理，根据资产的价值选择相应的管理措施。

电力行业信息系统安全等级保护基本要求
电力行业信息系统安全等级保护基本要求
随着我国电力行业的不断发展与加强，对于电力行业信息系统安全等级保护也
十分重要，我们就其相关的基本要求作一些详细阐述。

首先，做好信息系统巡检，定期回查，在设备的安装运作过程的全过程中做防
护工作。

通过专业的人员，在安装完毕后进行巡视，确保设备安全可靠。

此外，根据各项相关业务定都不同等级的安全检查，并保持良好记录。

其次，对设备进行认真审查，调整符文防护设置，同时加强基本信息系统的安
全防护，保护国家的安全与重要性，阻止前犯攻击手段的入侵，调整基于网络的身份验证和保护系统，加强身份令牌的使用，数字证书的设计功能，及时系统升级与维护。

再者，加强信息安全管理，形成数据库安全法令，重视信息共享机制的架构和
管理，开展人员安全宣传培训，开展信息安全意识教育与安全资讯阅读，完善安全基础设施，及时发现安全问题，防止信息系统对外散播，负责确保隐私和系统安全，编辑及检查威胁模型。

最后，在信息系统安全等级保护时，要重视管理组的建立，将安全保护作为团
队的核心进行管理，通过行业部门的审议方式，结合高级管理者的重视，保证信息系统安全等级的高效实施。

总的可以看出，对于电力行业信息系统安全等级保护，建立及实施了基本要求，有效控制了信息系统安全环境，减少安全事故、预防潜在风险，为我国电力行业安全带来重要保障。

电力行业信息系统安全等级保护基本要求1 第三级基本要求 (1)1.1 技术要求 (1)1.1.1 物理安全 (1)1.1.1.1 物理位置的选择（G3） (1)1.1.1.2 物理访问控制（G3） (1)1.1.1.3 防盗窃和防破坏（G3） (2)1.1.1.4 防雷击（G3） (2)1.1.1.5 防火（G3） (2)1.1.1.6 防水和防潮（G3） (3)1.1.1.7 防静电（G3） (3)1.1.1.8 温湿度控制（G3） (3)1.1.1.9 电力供应（A3） (3)1.1.1.10 电磁防护（S3） (4)1.1.2 网络安全 (4)1.1.2.1 结构安全（G3） (4)1.1.2.2 访问控制（G3） (5)1.1.2.3 安全审计（G3） (6)1.1.2.4 边界完整性检查（S3） (6)1.1.2.5 入侵防范（G3） (7)1.1.2.6 恶意代码防范（G3） (7)1.1.2.7 网络设备防护（G3） (7)1.1.3 主机安全 (8)1.1.3.1 身份鉴别（S3） (8)1.1.3.2 访问控制（S3） (9)1.1.3.3 安全审计（G3） (10)1.1.3.4 剩余信息保护（S3） (11)1.1.3.5 入侵防范（G3） (11)1.1.3.6 恶意代码防范（G3） (11)1.1.3.7 资源控制（A3） (12)1.1.4 应用安全 (12)1.1.4.1 身份鉴别（S3） (12)1.1.4.2 访问控制（S3） (13)1.1.4.3 安全审计（G3） (14)1.1.4.4 剩余信息保护（S3） (14)1.1.4.5 通信完整性（S3） (15)1.1.4.6 通信保密性（S3） (15)1.1.4.7 抗抵赖（G3） (15)1.1.4.8 软件容错（A3） (15)1.1.4.9 资源控制（A3） (16)1.1.5 数据安全 (16)1.1.5.1 数据完整性（S3） (16)1.1.5.2 数据保密性（S3） (17)1.1.5.3 备份和恢复（A3） (17)1.2 管理要求 (17)1.2.1 安全管理制度 (17)1.2.1.1 管理制度（G3） (17)1.2.1.2 制定和发布（G3） (18)1.2.1.3 评审和修订（G3） (19)1.2.2 安全管理机构 (19)1.2.2.1 岗位设置（G3） (19)1.2.2.2 人员配备（G3） (19)1.2.2.3 资金保障（G3） (20)1.2.2.4 授权和审批（G3） (20)1.2.2.5 沟通和合作（G3） (21)1.2.2.6 审核和检查（G3） (21)1.2.3 人员安全管理 (22)1.2.3.1 人员录用（G3） (22)1.2.3.2 人员离岗（G3） (22)1.2.3.3 人员考核（G3） (23)1.2.3.4 安全意识教育和培训（G3） (23)1.2.3.5 外部人员访问管理（G3） (23)1.2.4 系统建设管理 (24)1.2.4.1 系统定级（G3） (24)1.2.4.2 安全方案设计（G3） (24)1.2.4.3 产品采购和使用（G3） (25)1.2.4.4 自行软件开发（G3） (26)1.2.4.5 外包软件开发（G3） (26)1.2.4.6 工程实施（G3） (27)1.2.4.7 测试验收（G3） (27)1.2.4.8 系统交付（G3） (27)1.2.4.9 系统备案（G3） (28)1.2.4.10 等级测评（G3） (28)1.2.4.11 安全服务商选择（G3） (29)1.2.5 系统运维管理 (29)1.2.5.1 环境管理（G3） (29)1.2.5.2 资产管理（G3） (30)1.2.5.3 介质管理（G3） (30)1.2.5.4 设备管理（G3） (31)1.2.5.5 监控管理和安全管理中心（G3） (32)1.2.5.6 网络安全管理（G3） (32)1.2.5.7 系统安全管理（G3） (33)1.2.5.8 恶意代码防范管理（G3） (34)1.2.5.9 密码管理（G3） (35)1.2.5.10 变更管理（G3） (35)1.2.5.11 备份与恢复管理（G3） (35)1.2.5.12 安全事件处置（G3） (36)1.2.5.13 应急预案管理（G3） (37)1 第三级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择（G3）本项要求包括：a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁,如果不可避免，应采取有效防水措施。

电力行业等保定级指南《电力行业等保定级指南》嘿，新手朋友。

想跟你说说电力行业的等保定级的事儿。

这可是个很重要的内容呢，我刚接触的时候也是一头雾水。

一、基本注意事项首先啊，得明白等保定级是为了保障电力系统安全的。

就像是给电力系统的安全上了几级锁一样。

咱们要知道不同等级对应着不同的安全要求。

你看，如果把电力系统比作一个大房子，那等保定级就是决定这个房子安全防护强弱程度的标准。

在开始进行等保定级前，基础数据一定要收集准确。

我当时就是没太重视这个，后来发现很多工作都得返工重新核对数据，那真叫一个头疼。

数据就像盖房子的砖块，少一块或者坏一块，房子就盖不牢。

二、实用建议在评估等保的时候啊，多参考一些已经成功定级的案例。

这就好比你考试前看那些优秀答卷一样。

比如说，你能看到他们对不同电力设备是怎么按照要求分类进行评估的。

我记得有一次我看到一个案例，人家对于电力监控系统的等保定级就特别细致，按照不同的功能模块分别评估风险，我就借鉴了这个方法，自己的评估工作顺利多了。

还有重要的一点，要和相关部门多沟通。

像电力企业里信息部门、安全部门等，因为他们每个部门对电力系统的不同方面都有自己的见解。

三、容易忽视的点要注意，不同地区对于等保定级可能存在一些特殊要求或者一些细则上的差别。

我当时就以为全国都一样呢，差点闹了大笑话。

有些小地方的特殊电力情况可能不在通用的那套标准里，所以在做的时候一定要了解本地的政策和规定。

另外，更新和维护计划在等保定级过程中也容易被忽视。

你想啊，电力系统不是静止不动的，一直在运行和发展，要是没有设定好后续的更新和维护计划，可能刚开始的等保定级做得好好的，过不了多久就不符合要求了。

四、特殊情况比如说在一些老旧的电力设施上进行等保定级。

这可不像新设备那样有完整的说明书啊什么的。

这种时候，你得更小心地去检查设备的实际运行情况，可能得结合一些老员工的经验来判断它存在的安全风险。

还有像一些电力系统涉及到军事、重要的国家级设施等特殊用电场景，那等保定级的标准就更严格，审核流程可能也更复杂，审查的部门可能也不止咱们电力行业内部的相关部门。

（电力行业）电力行业信息系统安全等级保护基本要求1DL/T××××—××××电力行业信息系统安全等级保护基本要求Baseline for classified protection of power industry information system（征求意见稿）2目次前言 (V)引言 (VI)第一部分通用要求 (1)1 适用范围 (1)2 规范性参考文件 (1)3 术语和定义 (1)4 信息系统安全等级保护概述 (1)4.1 信息系统安全保护等级 (1)4.2 不同等级的安全保护能力 (1)4.3 总体要求、基本技术要求和基本管理要求 (2)4.4 基本技术要求的三种类型 (2)第二部分：管理信息系统类要求 (3)5 总体要求 (3)5.1 总体技术要求 (3)5.2 总体管理要求 (3)6 第一级基本要求 (4)6.1 技术要求 (4)6.1.1 物理安全 (4)6.1.2 网络安全 (4)6.1.3 主机安全 (5)6.1.4 应用安全 (5)6.1.5 数据安全及备份恢复 (5)6.2 管理要求 (5)6.2.1 安全管理制度 (5)6.2.2 安全管理机构 (6)6.2.3 人员安全管理 (6)6.2.4 系统建设管理 (6)6.2.5 系统运维管理 (7)7 第二级基本要求 (9)7.1 技术要求 (9)7.1.1 物理安全 (9)7.1.2 网络安全 (10)7.1.3 主机安全 (11)7.1.4 应用安全 (12)I7.2 管理要求 (13)7.2.1 安全管理制度 (13)7.2.2 安全管理机构 (13)7.2.3 人员安全管理 (14)7.2.4 系统建设管理 (15)7.2.5 系统运维管理 (16)8 第三级基本要求 (18)8.1 技术要求 (19)8.1.1 物理安全 (19)8.1.2 网络安全 (20)8.1.3 主机安全 (22)8.1.4 应用安全 (23)8.1.5 数据安全 (25)8.2 管理要求 (25)8.2.1 安全管理制度 (25)8.2.2 安全管理机构 (26)8.2.3 人员安全管理 (27)8.2.4 系统建设管理 (28)8.2.5 系统运维管理 (30)第三部分：生产控制信息系统类要求 (35)9 总体要求 (35)9.1 总体技术要求 (35)9.2 总体管理要求 (35)10 第一级基本要求 (36)10.1 技术要求 (36)10.1.1 物理安全 (36)10.1.2 网络安全 (36)10.1.3 主机安全 (37)10.1.4 应用安全 (37)10.1.5 数据安全及备份恢复 (37)10.2 管理要求 (37)10.2.1 安全管理制度 (37)10.2.2 安全管理机构 (38)10.2.3 人员安全管理 (38)10.2.4 系统建设管理 (39)10.2.5 系统运维管理 (40)11 第二级基本要求 (41)11.1 技术要求 (41)II11.1.2 网络安全 (42)11.1.3 主机安全 (43)11.1.4 应用安全 (44)11.1.5 数据安全 (45)11.2 管理要求 (46)11.2.1 安全管理制度 (46)11.2.2 安全管理机构 (46)11.2.3 人员安全管理 (47)11.2.4 系统建设管理 (48)11.2.5 系统运维管理 (49)12 第三级基本要求 (51)12.1 技术要求 (51)12.1.1 物理安全 (51)12.1.2 网络安全 (53)12.1.3 主机安全 (55)12.1.4 应用安全 (56)12.1.5 数据安全 (58)12.2 管理要求 (58)12.2.1 安全管理制度 (58)12.2.2 安全管理机构 (59)12.2.3 人员安全管理 (60)12.2.4 系统建设管理 (61)12.2.5 系统运维管理 (63)13 第四级基本要求 (67)13.1 技术要求 (67)13.1.1 物理安全 (67)13.1.2 网络安全 (68)13.1.3 主机安全 (70)13.1.4 应用安全 (72)13.1.5 数据安全 (73)13.2 管理要求 (74)13.2.1 安全管理制度 (74)13.2.2 安全管理机构 (75)13.2.3 人员安全管理 (76)13.2.4 系统建设管理 (77)13.2.5 系统运维管理 (79)附录A 关于信息系统整体安全保护能力的要求 (84)附录B 基本安全要求的选择和使用 (85)IV前言本标准的附录A和附录B是规范性附录。

电力行业信息系统安全等级保护基本要求精品管理制度、管理方案、合同、协议、一起学习进步电力行业信息系统安全等级保护基本要求Baseline for classified protection of power industry information system（征求意见稿）电力行业网络与信息安全领导小组办公室目次前言 (V)引言 (VI)第一部分通用要求 (1)1 适用范围 (1)2 规范性参考文件 (1)3 术语和定义 (1)4 信息系统安全等级保护概述 (1)4.1 信息系统安全保护等级 (1)4.2 不同等级的安全保护能力 (1)4.3 总体要求、基本技术要求和基本管理要求 (2)4.4 基本技术要求的三种类型 (3)第二部分：管理信息系统类要求 (4)5 总体要求 (4)5.1 总体技术要求 (4)5.2 总体管理要求 (4)6 第一级基本要求 (5)6.1 技术要求 (5)6.1.1 物理安全 (5)6.1.2 网络安全 (5)6.1.3 主机安全 (6)6.1.4 应用安全 (6)6.1.5 数据安全及备份恢复 (7)6.2 管理要求 (7)6.2.1 安全管理制度 (7)6.2.2 安全管理机构 (7)6.2.3 人员安全管理 (7)6.2.4 系统建设管理 (8)6.2.5 系统运维管理 (9)7 第二级基本要求 (10)7.1 技术要求 (10)7.1.1 物理安全 (10)7.1.2 网络安全 (12)7.1.3 主机安全 (13)7.1.4 应用安全 (14)7.1.5 数据安全 (15)7.2 管理要求 (16)7.2.1 安全管理制度 (16)7.2.2 安全管理机构 (16)7.2.3 人员安全管理 (17)7.2.4 系统建设管理 (18)7.2.5 系统运维管理 (19)8 第三级基本要求 (22)8.1 技术要求 (22)8.1.1 物理安全 (22)8.1.2 网络安全 (24)8.1.3 主机安全 (26)8.1.4 应用安全 (28)8.2 管理要求 (30)8.2.1 安全管理制度 (30)8.2.2 安全管理机构 (31)8.2.3 人员安全管理 (32)8.2.4 系统建设管理 (33)8.2.5 系统运维管理 (36)第三部分：生产控制信息系统类要求 (41)9 总体要求 (41)9.1 总体技术要求 (41)9.2 总体管理要求 (41)10 第一级基本要求 (42)10.1 技术要求 (42)10.1.1 物理安全 (42)10.1.2 网络安全 (42)10.1.3 主机安全 (43)10.1.4 应用安全 (43)10.1.5 数据安全及备份恢复 (43)10.2 管理要求 (43)10.2.1 安全管理制度 (44)10.2.2 安全管理机构 (44)10.2.3 人员安全管理 (44)10.2.4 系统建设管理 (45)10.2.5 系统运维管理 (46)11 第二级基本要求 (47)11.1 技术要求 (47)11.1.1 物理安全 (47)11.1.2 网络安全 (48)11.1.3 主机安全 (50)11.1.4 应用安全 (51)11.1.5 数据安全 (52)11.2 管理要求 (52)11.2.1 安全管理制度 (52)11.2.2 安全管理机构 (52)11.2.3 人员安全管理 (53)11.2.4 系统建设管理 (54)11.2.5 系统运维管理 (55)12 第三级基本要求 (58)12.1 技术要求 (58)12.1.1 物理安全 (58)12.1.2 网络安全 (59)12.1.3 主机安全 (61)12.1.4 应用安全 (63)12.1.5 数据安全 (64)12.2 管理要求 (65)12.2.1 安全管理制度 (65)12.2.2 安全管理机构 (66)12.2.3 人员安全管理 (67)12.2.4 系统建设管理 (68)12.2.5 系统运维管理 (70)13 第四级基本要求 (74)13.1.1 物理安全 (74)13.1.2 网络安全 (75)13.1.3 主机安全 (77)13.1.4 应用安全 (79)13.1.5 数据安全 (80)13.2 管理要求 (81)13.2.1 安全管理制度 (81)13.2.2 安全管理机构 (82)13.2.3 人员安全管理 (83)13.2.4 系统建设管理 (84)13.2.5 系统运维管理 (86)附录A (92)附录B (94)参考文献 (96)前言本标准的附录A和附录B是规范性附录。

国家能源局电力行业等级保护定级指南《国家能源局电力行业等级保护定级指南指南说明》嗨，新手朋友！今天咱们来唠唠国家能源局电力行业等级保护定级指南这个事儿。

一、基本注意事项首先啊，你得知道这个定级可不是瞎定的。

就像咱们盖房子，得先知道这房子是用来干啥的，是住人的小房子还是要盖个高楼大厦呢？这电力行业等级保护定级呀，要基于对电力系统、数据和业务的全面了解。

我一开始就觉得，不就是定个级嘛，没那么复杂，结果发现大错特错。

这时候你要全面梳理电力企业内部的信息资产，这包括硬件设备，像什么服务器啊，电力设备那些；还有软件系统，各种各样的电力运营系统。

不能漏了任何一个有价值的东西。

拿我之前的经历来说，有一次梳理，我就差点遗漏了一个看似不起眼但实际很关键的辅助系统，到后来才发现这系统要是出问题，也会影响整个电力业务流程。

二、实用建议在定级的时候呢，要根据重要性和受到破坏后的影响程度来分级。

这里有个诀窍，你可以先画个简单的表格，横向列上可能受到的损失类型，比如经济损失、社会影响、电力稳定运行影响这一类的；纵向呢列出各个信息资产。

然后逐一分析每个资产在受到破坏时在不同方面产生的影响大小。

就像给人看病一样，得把各个症状都分析清楚了才能确诊是个啥病，这定级也是这个道理。

同时，多参考同行业的案例。

看别人是怎么做定级的，比如说别的电力企业有类似的系统，他们定的啥级，为啥这么定。

这就是站在巨人的肩膀上嘛。

我当时就是这么做的，发现真的省了不少事儿。

三、容易忽视的点我跟你说啊，可别小瞧了一些基础的辅助设备或者不太常用的功能模块。

有时候大家都把注意力放在核心业务系统上，觉得那些小设备或者不太起眼的功能无所谓。

但是你想想，假如是一个小小的传感器出了问题，也许它就影响了整个电力设备的监控数据准确性，进而可能影响到其他重要的操作决策呢。

所以啊，每个环节，哪怕再小，都要在你的考虑范围之内。

还有啊，这定级不是定完就完事儿的。

要根据实际情况动态调整。

电力行业信息系统安全等级保护基本要求1 第三级基本要求 (1)1.1 技术要求 (1)1.1.1 物理安全 (1)1.1.1.1 物理位置的选择（G3） (1)1.1.1.2 物理访问控制（G3） (1)1.1.1.3 防盗窃和防破坏（G3） (1)1.1.1.4 防雷击（G3） (2)1.1.1.5 防火（G3） (2)1.1.1.6 防水和防潮（G3） (2)1.1.1.7 防静电（G3） (2)1.1.1.8 温湿度控制（G3） (3)1.1.1.9 电力供应（A3） (3)1.1.1.10 电磁防护（S3） (3)1.1.2 网络安全 (3)1.1.2.1 结构安全（G3） (3)1.1.2.2 访问控制（G3） (4)1.1.2.3 安全审计（G3） (5)1.1.2.4 边界完整性检查（S3） (5)1.1.2.5 入侵防范（G3） (5)1.1.2.6 恶意代码防范（G3） (5)1.1.2.7 网络设备防护（G3） (6)1.1.3 主机安全 (6)1.1.3.1 身份鉴别（S3） (6)1.1.3.2 访问控制（S3） (7)1.1.3.3 安全审计（G3） (7)1.1.3.4 剩余信息保护（S3） (8)1.1.3.6 恶意代码防范（G3） (8)1.1.3.7 资源控制（A3） (9)1.1.4 应用安全 (9)1.1.4.1 身份鉴别（S3） (9)1.1.4.2 访问控制（S3） (9)1.1.4.3 安全审计（G3） (10)1.1.4.4 剩余信息保护（S3） (10)1.1.4.5 通信完整性（S3） (10)1.1.4.6 通信保密性（S3） (11)1.1.4.7 抗抵赖（G3） (11)1.1.4.8 软件容错（A3） (11)1.1.4.9 资源控制（A3） (11)1.1.5 数据安全 (12)1.1.5.1 数据完整性（S3） (12)1.1.5.2 数据保密性（S3） (12)1.1.5.3 备份和恢复（A3） (12)1.2 管理要求 (13)1.2.1 安全管理制度 (13)1.2.1.1 管理制度（G3） (13)1.2.1.2 制定和发布（G3） (13)1.2.1.3 评审和修订（G3） (13)1.2.2 安全管理机构 (14)1.2.2.1 岗位设置（G3） (14)1.2.2.2 人员配备（G3） (14)1.2.2.3 资金保障（G3） (14)1.2.2.4 授权和审批（G3） (15)1.2.2.5 沟通和合作（G3） (15)1.2.2.6 审核和检查（G3） (15)1.2.3 人员安全管理 (16)1.2.3.2 人员离岗（G3） (16)1.2.3.3 人员考核（G3） (16)1.2.3.4 安全意识教育和培训（G3） (17)1.2.3.5 外部人员访问管理（G3） (17)1.2.4 系统建设管理 (17)1.2.4.1 系统定级（G3） (17)1.2.4.2 安全方案设计（G3） (18)1.2.4.3 产品采购和使用（G3） (18)1.2.4.4 自行软件开发（G3） (18)1.2.4.5 外包软件开发（G3） (19)1.2.4.6 工程实施（G3） (19)1.2.4.7 测试验收（G3） (19)1.2.4.8 系统交付（G3） (20)1.2.4.9 系统备案（G3） (20)1.2.4.10 等级测评（G3） (20)1.2.4.11 安全服务商选择（G3） (21)1.2.5 系统运维管理 (21)1.2.5.1 环境管理（G3） (21)1.2.5.2 资产管理（G3） (21)1.2.5.3 介质管理（G3） (22)1.2.5.4 设备管理（G3） (22)1.2.5.5 监控管理和安全管理中心（G3） (23)1.2.5.6 网络安全管理（G3） (23)1.2.5.7 系统安全管理（G3） (24)1.2.5.8 恶意代码防范管理（G3） (24)1.2.5.9 密码管理（G3） (25)1.2.5.10 变更管理（G3） (25)1.2.5.11 备份与恢复管理（G3） (25)1.2.5.12 安全事件处置（G3） (26)1 第三级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择（G3）本项要求包括：a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁,如果不可避免，应采取有效防水措施。

体系常识汇编Compilation of system knowledge20XXDL电力职业网络与信息安全领导小组作业室201×-××-××施行201×-××-××发布电力职业信息体系安全等级维护根本要求Baseline for classified protection of power industry information system（征求定见稿）ICSDL/T ××××—××××中华人民共和国电力职业规范目次前言V引言VI榜首部分通用要求11 适用规模12 规范性参阅文件13 术语和界说14 信息体系安全等级维护概述14.1 信息体系安全维护等级14.2 不平等级的安全维护才干14.3 全体要求、根本技能要求和根本处理要求2 4.4 根本技能要求的三种类型2第二部分：处理信息体系类要求45 全体要求45.1 全体技能要求45.2 全体处理要求46 榜首级根本要求56.1 技能要求56.1.1 物理安全56.1.2 网络安全56.1.3 主机安全66.1.4 运用安全66.1.5 数据安全及备份康复7 6.2 处理要求76.2.1 安全处理原则76.2.2 安全处理安排76.2.3 人员安全处理76.2.4 体系建造处理86.2.5 体系运维处理97 第二级根本要求107.1 技能要求107.1.1 物理安全107.1.2 网络安全117.1.3 主机安全137.1.4 运用安全147.1.5 数据安全157.2 处理要求157.2.1 安全处理原则15 7.2.2 安全处理安排16 7.2.3 人员安全处理16 7.2.4 体系建造处理177.2.5 体系运维处理198 第三级根本要求21 8.1 技能要求228.1.1 物理安全228.1.2 网络安全238.1.3 主机安全258.1.4 运用安全278.1.5 数据安全298.2 处理要求298.2.1 安全处理原则298.2.2 安全处理安排308.2.3 人员安全处理318.2.4 体系建造处理328.2.5 体系运维处理35第三部分：出产操控信息体系类要求40 9 全体要求409.1 全体技能要求409.2 全体处理要求4010 榜首级根本要求4110.1 技能要求4110.1.1 物理安全4110.1.2 网络安全4110.1.3 主机安全4210.1.4 运用安全4210.1.5 数据安全及备份康复42 10.2 处理要求4210.2.1 安全处理原则4210.2.2 安全处理安排4310.2.3 人员安全处理4310.2.4 体系建造处理4410.2.5 体系运维处理4511 第二级根本要求4611.1 技能要求4611.1.1 物理安全4611.1.2 网络安全4711.1.3 主机安全4811.1.4 运用安全4911.1.5 数据安全5011.2 处理要求5111.2.1 安全处理原则51 11.2.2 安全处理安排51 11.2.3 人员安全处理52 11.2.4 体系建造处理5211.2.5 体系运维处理5412 第三级根本要求56 12.1 技能要求5612.1.1 物理安全56 12.1.2 网络安全58 12.1.3 主机安全60 12.1.4 运用安全61 12.1.5 数据安全63 12.2 处理要求6312.2.1 安全处理原则63 12.2.2 安全处理安排64 12.2.3 人员安全处理6512.2.4 体系建造处理6612.2.5 体系运维处理6813 第四级根本要求7113.1 技能要求7113.1.1 物理安全7213.1.2 网络安全7313.1.3 主机安全7513.1.4 运用安全7613.1.5 数据安全7813.2 处理要求7813.2.1 安全处理原则7813.2.2 安全处理安排7913.2.3 人员安全处理8013.2.4 体系建造处理8113.2.5 体系运维处理84附录A 关于信息体系全体安全维护才干的要求88附录B 根本安全要求的挑选和运用90参阅文献92前言本规范的附录A和附录B是规范性附录。