S.00.00.00/DP.0400.0009
广东电力二次系统网络与信息安全管理规定
作组组长由主管部门负责人担任。
5.1.2.4. 地区供电局电力二次系统信息安全工作小组主要职责包括:
(1)执行上级和本单位电力二次系统信息安全领导小组决议,对二次系统信息安全工作进行具体安排、落实。
(2)参与调管范围内的电力二次系统信息安全建设规划。
(3)负责组织调管和直接运管范围内调度机构、变电站、发电厂输变电部分的二次系统安全防护建设和改造方案的编制。
(4)负责调管范围内县调、变电站、发电厂输变电部分的二次系统安全防护技术监督,包括二次系统安全防护建设和技术改造方案审核,设备和应用系统入网审核、安全策略配置与变更审核。
(5)负责组织调管和直接运管范围内调度机构、变电站、发电厂输变电部分的二次系统网络与信息安全评估、安全检查和安全保卫。
(6)负责调管和直接运管范围内电力二次系统网络与信息安全应急预案的审批。 (7)负责组织调管和直接运管范围内电力二次系统网络与信息安全应急预案演练。 (8)负责接受调管和直接运管范围内各单位电力二次系统的紧急信息安全事件报告;负责向上级调度机构和上级信息安全组织报告安全事件;负责调管范围内电力二次系统网络与信息安全事件的应急指挥;组织对调管范围内电力二次系统网络与信息安全事件进行调查;参与二次系统网络与信息重大安全事件调查;参与由于二次系统网络与信息安全导致的电力事故调查。
(9)协调、督促各职能部门和有关单位落实电力二次系统网络与信息安全工作。 (10)负责组织本单位的电力二次系统网络与信息安全知识的培训和宣传工作。 5.1.3 直调发电厂电力二次系统网络与信息安全组织
5.1.3.1. 直调发电厂成立对应的电力二次系统网络与信息安全组织。
5.1.3.2. 直调发电厂电力二次系统网络与信息安全组织,履行对应的安全职责。 5.2 电力二次系统网络与信息人员管理 5.2.1 网络与信息安全专(兼)职人员管理
5.2.1.1. 单位应与受聘的网络与信息安全专(兼)职人员签署任期内保密协议。
共 22 页 第 7 页
S.00.00.00/DP.0400.0009
广东电力二次系统网络与信息安全管理规定
5.2.1.2. 网络与信息安全专(兼)职人员调离岗位,必须严格办理调离手续,并与其签署调离后的保密协议。涉及单位核心技术的信息安全人员调离单位,必须进行离岗审计。 5.2.1.3. 系统安全管理员、系统安全审计员岗位不得互兼,但可根据实际需要实行岗位轮换。
5.2.1.4. 网络与信息安全专(兼)职人员的配备和变更情况,应向上一级单位信息安全主管部门报告、备案。
5.2.1.5. 网络与信息安全专(兼)职人员离岗后,必须即刻更换有关的操作密码并注销其用户。
5.2.2 要害岗位人员管理
5.2.2.1. 单位应与受聘的要害岗位人员签署任期内保密协议。
5.2.2.2. 要害岗位人员调离岗位,必须严格办理调离手续,并与其签署调离后的保密协议。涉及单位核心技术的信息安全人员调离单位,必须进行离岗审计。
5.2.2.3. 要害岗位人员配备必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员不应兼任系统管理员。
5.2.2.4. 要害岗位人员离岗后,必须即刻更换有关的操作密码并注销其用户。 5.2.3 第三方人员管理
5.2.3.1. 第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。
5.2.3.2. 对第三方人员的物理访问和逻辑访问应实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
5.2.3.3. 第三方人员自带设备接入二次系统必须得到现场运行维护部门负责人的特别授权,笔记本电脑、掌上电脑接入前应经由现场运行维护部门安全管理人员对其进行杀毒处理,且必须在指定区域、指定端口、通过指定方式接入。带有无线网络的设备禁止接入二次系统。
5.2.3.4. 第三方人员的现场工作应在二次系统运行维护部门指定人员的陪同和监督下进行。
共 22 页 第 8 页
S.00.00.00/DP.0400.0009
广东电力二次系统网络与信息安全管理规定
5.2.3.5. 第三方人员工作结束后,运行维护部门应对其操作进行审计,并及时更换有关的操作密码。
5.3 电力二次系统信息安全等级保护管理
5.3.1 调通中心、地区供电局、发电厂应依据国家颁布的《信息安全等级保护管理办法》和国家电力监管委员会《电力行业信息系统安全等级保护定级工作指导意见》对电力二次系统进行安全保护定级。
5.3.2 各单位的主管部门负责本单位电力二次系统信息安全等级保护管理。
5.3.3 安全保护等级为第二级及以上的系统,应当在系统投入运行后30日内到所在地的公安机关办理备案手续。安全保护等级为三级及以上系统办理备案手续前,其系统备案材料必须报上级主管部门审核批准。
5.3.4 电力二次系统应按相应信息安全等级保护的要求,落实安全保护措施。 5.3.5 等级为三级的电力二次系统应当每年至少进行一次等级测评,等级为四级的信息系统应当每半年至少进行一次等级测评。对其它等级的信息系统每年开展一次安全检查。
5.3.6 信息系统等级测评工作应由具有国家相关技术资质和安全资质的测评单位承担。 5.4 电力二次系统安全防护管理 5.4.1 电力二次系统安全防护基本要求
5.4.1.1. 调通中心、地区供电局、发电厂电力二次系统安全防护必须遵守国家电力监管委员会[2004]5号令发布的《电力二次系统安全防护规定》和[2006]34号文印发的《电力二次系统安全防护总体方案》的规定,并符合《广东电网电力二次系统安全防护实施规范》的要求。
5.4.1.2. 新建的发电厂、变电站(集控站)在并入广东电网前须完成电力二次系统网络信息安全防护建设。
5.4.1.3. 运行中的调度机构、发电厂、变电站(集控站)不满足电力二次系统安全防护规定的,应实施技术改造。
5.4.2 电力二次系统安全防护工程实施管理
5.4.2.1. 电力二次系统安全防护应随电力二次系统同步设计、同步施工、同步验收、同
共 22 页 第 9 页
S.00.00.00/DP.0400.0009
广东电力二次系统网络与信息安全管理规定
步投运。
5.4.2.2. 电力二次系统网络信息安全防护设施的基建、运行、改造、检修、投退役等流程参照电力二次系统有关规定执行。
5.4.2.3. 调通中心、发电厂、变电站的电力二次系统安全防护实施方案必须经过上级主管部门和相应调度机构的审核,方案实施完成后应当由上述机构参与的验收。 5.4.2.4. 电力二次系统安全防护工程由第三方实施时,工程建设单位必须与第三方签署保密协议。
5.4.3 电力二次系统设备和应用系统接入管理
5.4.3.1. 电力二次系统网络与信息安全防护设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的测评和认证的产品,并须获得南方电网公司颁发的入网许可,在许可的范围内使用。
5.4.3.2. 各单位在购买网络与信息安全防护产品时,应在合同中要求产品供应商承诺对其所提供产品的安全功能有效性负责。
5.4.3.3. 新建或改造的应用系统接入二次系统前,应委托公正的第三方测试单位对系统进行安全性测试,系统安全测试过程应详细记录,并根据测试结果,出具安全性测试报告。系统的责任单位应指定或授权相关部门负责系统安全测试管理,并组织相关部门和相关人员对系统测试报告进行审定。
5.4.3.4. 电力二次系统设备和应用系统接入电力调度数据网前,其接入技术方案和安全控制措施须经直接负责的电力调度机构核准。 5.5 电力二次系统运维安全管理 5.5.1 机房环境安全管理
5.5.1.1. 电力二次系统机房安全管理由运行维护部门负责;日常机房安全工作由机房值班人员负责。
5.5.1.2. 机房应配置自动监控设施(包括机房温湿度监控、消防监控、防水监控、录像监控、机房供配电系统监控),监控设施应能准确反映机房物理环境的变化情况,具备记录异常情况以及自动报警功能。
5.5.1.3. 机房应配置电子门禁系统,鉴别、控制和记录进入机房的人员。
共 22 页 第 10 页