《发电厂监控系统信息安全管理导则》

ICS27.100

F24

DL

中华人民共和国电力行业标准

XX/TXXXXX—XXXX

发电厂监控系统信息安全管理导则

Guidelinetoinformationsecuritymanagementofpowerplantmonitoringsystem

点击此处添加与国际标准一致性程度的标识

（征求意见稿）

XXXX-XX-XX发布XXXX-XX-XX实施

发布

XX/TXXXXX—XXXX

I

XX/TXXXXX—XXXX

引  言

为全面贯彻落实《中华人民共和国网络安全法》，工业和信息化部制定的《工业控制系统信息安全

防护指南》，《电力监控系统安全防护规定》（国家发展改革委第14号令），以及《关于印发电力监控系

统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全〔2015〕36号）等法律法规要求，

针对发电厂电力监控系统信息安全评估，制定本导则。

本导则旨在指导发电厂电力监控系统信息安全管理工作的开展，并为具体实施提供建议。

I

XX/TXXXXX—XXXX

发电厂监控系统信息安全管理导则

1范围

本标准描述了发电厂电力监控系统信息安全基本管理要求，规定了发电厂电力监控系统信息安全管

理基本框架、关键活动、基本控制措施与要求。

本标准适用于燃煤、燃气、水力、风力、光伏发电厂电力监控系统信息安全管理工作、光热、储能、

生物质发电厂可参照实施。

2规范性引用文件

本标准引用下列文件或其中的条款。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是

不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T17859-1999计算机信息系统安全保护等级划分准则

GB/T20269-2006信息安全技术信息系统安全管理要求

GB/T20271-2006信息安全技术信息系统通用安全技术要求

GB/T20984-2007信息安全技术信息安全风险评估规范

GB/T22080-2016信息技术安全技术信息安全管理体系要求（ISO/IEC27001：2013，IDT）

GB/T25069-2010信息安全技术_术语

GB/T26863-2011火电站监控系统术语

GB/T30976.1-2014工业控制系统信息安全第1部分评估规范

GB/T31496-2015信息技术安全技术信息安全管理体系实施指南

GB/T36323-2018信息安全技术工业控制系统安全管理基本要求

国家发展和改革委员会2014年第14号令-《电力监控系统安全防护规定》

3术语、定义和缩略语

GB/T25069-2010、GB/T26863-2011中定义的术语和定义适用于本标准。

3.1术语和定义

3.1.1

发电厂监控系统powerplantmonitoringandcontrolsystem

用于监视和控制发电厂生产与供应过程、基于计算机及网络技术的业务系统及智能设备，以及作为

基础支撑的通信及数据网络等，包括主控制系统、外围辅助控制系统、电力调度自动化系统（PMU、NCS、

RTU）、微机继电保护和安全自动装置、现场总线设备与智能化仪表等控制区实时系统，以及厂级监控

信息系统等非控制区实时系统。

1

XX/TXXXXX—XXXX

3.1.2

生产控制大区productioncontrolzone

是指由具有数据采集与控制功能、纵向联接使用专用网络或专用通道的监控系统构成的安全区域，

一般包括控制区和非控制区。

3.1.3

控制区controlsubzone

由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或者专用通道的各业务系统构成的

安全区域。

3.1.4

非控制区non-controlsubzone

在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力

调度数据网的非实时子网的各业务系统构成的安全区域。

3.1.5

管理信息大区Managementinformationzonemaincontrol

发电厂生产控制大区以外的管理业务系统的集合。

3.1.6

主控制系统Maincontrolsystems

对发电厂发电过程实施集中或分布式控制的主要监控系统、独立控制装置与智能仪表等，主要包括

火电厂单元机组的分散控制系统与可编程控制器系统、水电厂集中监控系统、梯级水电站调度监控系统、

风电场监控系统、光伏电站运行监控系统等。

3.1.7

辅助控制系统Auxiliarycontrolsystems

对发电厂全厂公用的外围辅助设备系统进行控制的监控系统、独立控制装置与智能仪表等，主要包

括燃煤电厂外围公用的水、煤、灰控制系统、燃气电厂的全厂BOP控制系统、火警探测系统、以及其他

电厂的全厂辅助设备的相关控制系统等。

3.1.8

控制区电气二次系统Electricsecondarysystemsincontrolsubzone

对发电厂电气设备与发电机实施保护、测控与调度的自动化系统与设备，主要包括升压站监控系统、

AGC及AVC系统、发电机励磁系统、五防监控系统、继电保护及安全自动化装置、相量测量装置等。

3.1.9

非控制区监控系统Real-timesystemsinnon-controlsubzone

对发电厂运行参数与监控信息进行在线监测分析但不直接参与控制的系统，主要包括火电厂厂级监

控信息系统、梯级水库调度自动化系统、水情自动测报系统、水电厂水库调度自动化系统、光功率预测

系统、风功率预测系统、电能量采集装置、电力市场报价终端、故障录波装置及信息管理终端等。

2

XX/TXXXXX—XXXX

3.1.10

信息安全管理体系InformationSecurityManagementSystem：ISMS

信息安全管理体系（ISMS）由策略、规程、指南和相关资源和活动组成，由组织集中管理，目的在

于保护其信息资产。ISMS是建立、实施、运行、监视、评审、维护和改进组织信息安全来实现业务目标

的系统方法。

3.1.11

安全审计Securityaudit

对信息系统的各种事件及行为实行监测、信息采集、分析等独立观察和考核，并针对特定事件及行

为采取相应的动作。

3.1.12

身份鉴别Identityauthentication

验证实体所声称的身份。

3.1.13

访问控制Accesscontrol

一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段，包括防止以未授权方

式使用某一资源。

3.1.14

威胁Threat

能够通过未授权访问、毁坏、揭露、数据修改和/或拒绝服务对系统造成潜在危害的任何环境或事

件。

3.1.15

脆弱性Vulnerability

在信息系统、系统安全程序、管理控制、物理设计、内部控制或实现中的，可能被攻击者利用来获

得未授权的信息或破坏关键处理的弱点。

3.2缩略语

下列缩略语适用于本文件。

BPCBypassControlSystem旁路控制系统

DCSDistributedControlSystem分散控制系统

DEHDigitalElectricHydraulicControlSystem数字电液控制系统

ETSEmergencyTripSystem汽轮机紧急跳闸系统

NCSNetworkControlSystem升压站网络监控系统

OCSOptimizedControlSystem优化控制系统

PLCProgrammableLogicController可编程逻辑控制器

PMUPhaseMeasurementUnit相量测量装置

3

XX/TXXXXX—XXXX

RTURemoteTerminalUnit远程终端单元

SISSupervisoryInformationSystemForPlantLevel厂级监控信息系统

TCSGasTurbineControlSystem燃气轮机控制系统

TSITurbineSupervisoryInstrumentsSystem汽轮机监视仪表系统

AVCAutomaticVoltageControl自动电压控制

AGCAutomaticgenerationcontrol自动发电控制

MISManagementinformationsystem管理信息系统

OAOfficeAutomation办公自动化

4信息安全管理总体要求

4.1信息安全管理体系

为了保护发电厂电力监控系统信息资产的机密性、完整性和可用性，有效降低信息安全风险，保障

发电厂电力监控系统运行的连续性，发电厂应通过文件化的信息安全管理体系来建立一套完善的信息安

全管理流程并严格执行。发电厂电力监控系统采用信息安全管理体系应通过固化信息安全管理范围，制

定信息安全管理策略方针与目标，明确信息安全管理职责、落实控制目标并选择控制措施进行管控，来

全面保障电力监控系统的安全。

a).信息安全管理体系应成为企业管理结构的一部分并集成在企业管理结构之中，信息安全管理体

系的实现程度应与企业的信息安全需要相符合，并可用于内部或外部评估发电厂电力监控系统

的能力是否满足自身信息安全要求。

b).参照GB/T22080-2016信息安全管理体系要求（ISO/IEC27001:2013），信息安全管理体系建设

及实施的过程方法应包括规划、支持、运行、绩效评价和改进五个部分，从而加强了已有的

PDCA（Plan规划，Do实施，Check检查，Act行动）模型，见图4.1-1。图4.1-1中的信息安

全管理结构强调了持续改进，其中，规划的部分包括了组织环境、领导力、规划、和支持；实

施即运营，包括了运行规划和控制、信息安全的风险评估和风险处置；检查是指绩效评价包

括监视、测量、分析和评价，内部审核，以及管理评审；行动包括了发生不符合安全管理规划

采取的行动和纠正措施，以及针对信息安全管理体系的不断改进。

4

XX/TXXXXX—XXXX

图4.1-1ISMS体系结构

c).建立信息安全管理体系应将组织风险控制在可接受的范围内，减少因安全事件带来的破坏和损

失，保证发电厂电力监控系统业务的持续性。

4.2信息安全管理基本要求

4.2.1以等级保护的方法落实二十字方针等基本要求

发电厂电力监控系统作为电力监控系统的一个组成部分，其安全防护原则应为贯彻“安全分区、网

络专用、横向隔离、纵向认证、综合防护”的二十字方针。

4.2.1.1安全分区

发电厂企业内部应基于计算机和网络技术的业务系统，划分为生产控制大区和管理信息大区；并且

根据对业务系统的重要性和对一次系统影响程度，生产控制大区应划分为控制区和非控制区。关于发电

厂电力监控系统的分区规定详见附录A各类型发电厂电力监控系统信息安全管理资产及等级保护分级

建议表。

4.2.1.2网络专用

网络专用是指用于承载电力实时控制、在线生产交易等业务的电力调度数据网应为专用网络，电力

调度数据网应在专用通道上，使用独立的网络设备组网，在物理层面上实现与发电厂其它数据网及外部

公共信息网络的安全隔离。发电厂端的电力调度数据网应划分为逻辑隔离的实时子网和非实时子网，分

别连接控制区和非控制区。

4.2.1.3横向隔离

发电厂电力监控系统中的各安全区域之间应通过强度不同的安全设备隔离形成横向防线，在生产控

制大区与管理信息大区之间隔离强度应接近或达到物理隔离的水平。生产控制大区内部的安全区之间应

实现逻辑隔离。

4.2.1.4纵向认证

发电厂的控制大区与电力调度数据网之间连接应实现纵向加密认证，发电厂的控制大区与电力调度

数据网之间的连接处应使用经国家指定部门检测认证的电力专用纵向加密认证装置，实现双向身份认

证、数据加密和访问控制。

4.2.1.5综合防护

发电厂应实现4.2.1.1～4.2.1.4要求的基础上，结合国家信息安全等级保护工作的相关要求，对

电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信

息安全的综合防护。

4.2.2融入安全生产管理体系

应把监控系统的网络安全管理融入安全生产管理体系中，按照“谁主管、谁负责；谁运营、谁负责；

谁使用、谁负责”的原则，健全监控系统安全防护的组织保证体系和安全责任体系；应设立监控系统安

全管理工作的职能部门，由企业负责人作为主要责任人；开发制造单位应承诺其产品无恶意安全隐患并

终身负责，检测评估单位、规划设计单位等均应对其工作终身负责。

4.2.3全体人员安全管理

应配备监控系统安全防护人员，设立安全主管、安全管理等岗位，配备安全管理员、系统管理员和

安全审计员，明确各岗位职责；应开展对监控系统安全防护的管理、运行、维护、使用等全体人员的安

5

XX/TXXXXX—XXXX

全管理和培训教育，以及对厂家维护及评估检测等第三方人员的安全管理，提高全体内部人员和相关外

部人员的安全意识。

4.2.4全部设备及系统的安全管理

应对监控系统中全部业务系统软件模块和硬件设备，特别是安全防护设备，建立设备台账，实行全

方位安全管理；在安全防护设备和重要监控系统及设备在选型及配置时，应不选用被国家相关部门检测

通报存在漏洞和风险的特定系统及设备；相关系统、设备接入电力监控系统网络时应制定接入技术方案、

采取相应安全防护措施，并经电力监控系统安全管理部门的审核、批准；应参照《GB/T20984-2007信

息安全风险评估规范》的第5和6章、《GB/T30976.1GB/T30976.1-2014工业控制系统信息安全第

1部分评估规范》的第5章定期进行安全风险评估，针对发现的问题及时进行加固。

4.2.5全生命周期安全管理

发电厂在建设关键信息基础设施时，应严格落实“三同步”原则，即同步规划、同步建设和同步使

用。同步规划是在业务规划的阶段同步纳入信息安全要求，引入安全措施；同步建设指在项目建设阶

段，通过合同条款落实系统集成商、厂商的责任，保证相关安全技术措施的顺利准时建设，保证项目上

线时，安全措施的验收和工程验收同步，确保只有符合信息安全要求的系统才能上线；同步使用是在安

全验收后的日常运营维护中，应当保持系统处于持续信息安全防护水平。电力监控系统及设备在规划

设计、研究开发、施工建设、安装调试、系统改造、运行管理、退役报废等全生命周期阶段应采取相应

安全管理措施。应采用安全、可控、可靠的软硬件产品，供应商应保证所提供的设备及系统符合本标准

以及国家与行业信息系统安全等级保护的要求，并在设备及系统生命期内对此负责；重要监控系统及专

用安全防护产品的开发、使用及供应商，应按国家有关要求做好保密工作，防止安全防护关键技术和设

备的扩散；电力监控系统及设备的运维单位应依据相关标准和规定进行安全防护专项验收；应结合日常

运维和安全防护管理，定期开展运行分析和自评估，保障系统及设备的可靠运行；系统和设备退役报废

时应按相关要求，销毁含敏感信息的介质和重要安全设备。

4.2.6联合防护和应急处理

应建立健全联合防护和应急机制，形成由国家监管部门、电力调度机构、发电厂及安全服务机构之

间的联合防护预警机制，当安全事件发生时，立即采取紧急联合防护措施，防止安全事件的扩大。

5信息安全管理基本框架与关键活动

文中所有章节中带有*并使用加重字体的内容只对等保三级电力监控系统有要求。

5.1信息安全管理基本框架

5.1.1信息安全管理资产范围

发电厂电力监控系统信息安全管理的资产范围宜包括发电机组主控制系统、辅助控制系统、控制区

电气二次系统、非控制区监控系统、以及厂区内与其相关联的信息系统或设备（如图5.1.1-1），主要

设备宜包括分散控制系统（DCS、DEH、TCS、计算机监控系统等）、独立监测控制系统（ETS、BPC、TSI、

火检系统、OCS、PLC等）、就地设备控制系统、智能仪表、调度自动化系统（NCS、RTU、PMU等）、继

电保护装置、厂级监控信息系统（SIS）、资源预测预报系统等。发电厂电力监控系统应划分为生产控

制大区和管理信息大区。生产控制大区可以分为控制区和非控制区，控制区是指具有实时监控功能，纵

向联接应使用电力调度数据网络的实时子网或专用通道的各业务系统构成的安全区域；非控制区是指在

6

XX/TXXXXX—XXXX

线运行但不直接参与控制，是电力生产的必要环节，纵向联接应使用电力调度数据网络的非实时子网的

各业务系统构成的安全区域；电力调度网络是指各级电力调度专用广域数据网络、电力生产专用拨号网

络等。管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合。

图5.1.1-1发电厂电力监控系统信息资产分区结构示意图

5.1.2信息安全管理流程框架

5.1.2.1信息安全管理基本框架

依据《GB/T36323-2018工业控制系统安全管理要求》第5.1节，应将电力监控系统信息安全管理活

动分为顶层承诺、规划评估、资源支持、策略实施、绩效评价、持续改进六个方面，见图5.1.2.1-发电

厂电力监控系统遵循的信息安全管理框架。在规划、建设、改造、运行使用及退役等各阶段中，各相关

部门及外部机构的组织、人员应参与信息安全管理工作的基本流程中，包括信息安全管理机构、业务主

管部门、外部设计、研发、运维、检修、测评机构等。

7

XX/TXXXXX—XXXX

图5.1.2.1-1发电厂电力监控系统遵循的信息安全管理框架

a)顶层承诺方面应获得管理层的承诺，确定电力监控系统信息安全管理的方针，明确组织机构

各相关成员在电力监控系统信息管理活动中的角色和权责；

b)规划评估中应确定规划总则，开展电力监控系统信息安全风险评估和处置，明确目标和实现

规划；

c)在资源支持部分应保障电力监控系统信息安全所需的资源，提供能力和意识培训，确定沟通

机制并建立文档化制度；

d)策略实施方面应规划、实现和控制满足电力监控系统信息安全管理活动要求的具体过程，定

期开展电力监控系统信息安全风险评估和处置工作；

e)在绩效评价阶段，应对电力监控系统开展监视、测量、分析和评价，定期开展内部审核和管

理评审；

f)持续改进阶段应对电力监控系统的安全开展持续监控，在发生电力监控系统信息安全异常等

情况下，开展纠正措施并持续改进。

5.1.2.2信息安全管理流程

信息安全管理流程包括策划与准备、设计与建立、实施与运行、评价、以及改进与保持五个步骤，

见图5.1.2.2-1中的信息安全管理体系流程。发电企业的电力监控系统的信息安全管理宜遵循此信息安

全管理流程。

图5.1.2.2-1信息安全管理流程

a)策划与准备：为了发电企业顺利建立信息安全管理体系，需要建立有效的安全机构，对组织中

的各类人员分配角色、明确职权、落实责任并与其沟通。

b)设计与建立：宜包括编写信息安全管理体系文件和建立信息安全管理体系框架。

编写信息安全管理体系文件包括：信息安全管理体系文件的编写以及与信息安全管理体系

文件相关的文件的作用、编写、层次、和管理等方面的内容，具体参照GB/T31496-2015

《信息技术安全技术信息安全管理体系实施指南》中9.2.2节的要求。

建立信息安全管理体系框架宜包括：

–制定信息安全策略，包括信息安全方针和具体的信息安全策略，即在信息安全方针的

8

XX/TXXXXX—XXXX

基础上，根据电力监控系统的风险评估结果，为降低信息安全风险，保障控制措施的

有效执行而制定的具体明确的信息安全实施规划。

–定义信息安全管理体系的范围；

–进行风险评估；

–实施风险管理；

–选择控制目标和措施，及根据电力监控系统系统的等级保护的定级结果；

–准备适用说明包括发电企业选择控制目标和控制措施和选择原因，以及对ISMS中规

定的控制目标和控制措施删减和删减的合理性。

c)实施与运行：宜进行信息安全管理体系的试运行，实施和运行信息安全管理体系；管理安全事

件，保持信息安全管理体系的持续有效。

信息安全管理体系的试运行要点包括：

–管理层的支持和动员

–宣传贯彻信息安全管理体系文件

–完善信息反馈和信息安全协调机制

–加强信息安全管理体系运行信息管理

实施和运行信息安全管理体系的要点包括：

–阐明风险处理计划

–实施风险处理计划

–实施选择的控制措施

–评价控制措施的有效性

–培训和意识教育

–管理信息安全管理体系的运行

–管理信息安全管理体系资源

–迅速监测安全事态和响宜安全事件

管理安全事件要点：

–事件分类

–事件分级

–应急组织机构

–应急处置流程

d)评价：管理层宜按策划的时间间隔评价组织的信息安全管理体系，以确保其持续的适宜性、充

分性和有效性；评审宜包括评价信息安全管理体系改进的机会和变更的需要，包括安全方针

和安全目标；评审的结果宜文件化；宜保持管理评审的纪录；对信息安全管理体系的评价包

括内部评价和外部评价。

e)改进与保持：发电企业宜按照安全方针、安全目标、评价结果对监控事件的分析、纠正和预防

措施和管理评审的信息持续改进信息安全管理体系的有效性；发电企业宜确定措施，以消除

与实施和运营信息安全管理体系有关的不合格因素，防止不合格的情况再次发生。宜为纠正

措施编制形成文件；发电企业宜对潜在的不合格确定措施以防止其发生。预防措施宜与潜在

问题的影响程度相适应。宜为预防措施编制形成文件，纠正措施的优先级宜以风险评估的结

果为基础确定。

5.1.2.3信息安全管理流程

在发电厂电力监控系统信息安全管理整个流程中，应包括三项关键活动：信息安全等级保护与测评、

风险评估管理和应急管理，其中：

a)信息安全等级保护与测评是对信息安全分等级、按标准进行建设、管理和监督；

9

XX/TXXXXX—XXXX

b)风险评估管理应包括确定风险评估方法、实施风险评估、和风险处理，风险处理应包括选择、

评价和确定风险处理方式、处理目标和处理措施；

c)应急管理应包括建立信息安全事件应急制度，提升信息安全事件应急处置能力，明确信息安全

事件的监测通报、处置流程和具体措施，对应急队伍、专家组、物资和经费保障等应急力量和

资源方面提出要求。

5.1.3组织机构与职责边界

为了在发电企业顺利建设信息安全体系，应以设备为中心开展发电厂电力监控系统信息安全专业管

理，建立由厂领导牵头，设备管理部门负责，仪控、电气、信息、集控运行专业相互协同的组织管理框

架，以启动和控制发电厂内部信息安全的实现和运行。

5.1.3.1组织机构

为确保电力监控系统信息安全的实施落实，发电厂应设立以下组织机构：

a)网络与信息安全工作组，作为信息安全管理工作的职能部门，组长由信息部门或设备管理部

门的领导担任，组员包括信息部门人员和设备管理部门等相关部门的代表，设立安全主管、

安全管理各个方面的负责人岗位，并定义各负责人的职责；

b)应急处理工作组，负责突发事件的统一指挥、组织、协调、应急处置，组长由信息部门或

设备管理部门的领导担任，组员包括信息部门人员和设备管理部门等相关部门的应急处置人

员代表，并定义各部门及人员在应急处理工作的职责；

c)*应成立网络与信息安全领导小组，作为发电厂信息安全的最高决策机构，组长由发电厂负

责人担任，组员包括信息部门、设备管理部门以及各相关部门负责人，网络与信息安全工作

组和应急处理工作组是网络与信息安全领导小组的下设机构，参见图5.1.3.1-1发电厂电力

监控系统信息安全组织机构示意图。

d)应设立系统管理员、网络管理员、安全管理员等岗位，并定义部门及各个工作岗位的职责。

图5.1.3.1-1发电厂电力监控系统信息安全组织机构示意图

5.1.3.2职责界定

网络与信息安全领导小组、网络与信息安全工作小组、和应急处理工作小组的职责界定如下：

a)*网络与信息安全领导小组应负责研究重大事件，落实方针政策和制定总体策略等。职责主

要包括：

–负责指导电力监控系统网络安全与信息化工作的整体开展；

–建立健全电力监控系统网络与信息安全管理制度体系、工作责任制体系和安全保障体系，

确保网络与信息安全责任制落实；

–研究、制定、审核本单位信息化建设规划及实施方案；

–完善机制，指导、监督、落实公司信息化建设的各项具体工作；

10

XX/TXXXXX—XXXX

–审定网络与信息系统的安全应急策略及应急预案；

–定期召开工作会议，广泛征求信息化建设的意见和建议，协调解决信息化工作中遇到的

重大问题；

b)网络与信息安全工作小组应具体负责本单位网络与信息安全的日常管理工作，包括：

–按照电力监控系统安全防护规定和信息系统安全等级保护制度的要求，针对本单位的网络

和电力监控系统开展安全防护工作；

–负责制定网络和信息安全相关的管理制度，并及时修订，确保各项制度的有效性；

–定期组织开展网络与信息安全专项检查，进行信息安全风险评估工作，完善信息安全风险

管理机制；

–负责制定和实施网络与信息安全防护的具体方案、措施，提高网络与信息安全防护能力，

保障公司网络与信息安全。

c)应急处理工作小组应具体负责本单位网络与信息安全的日常管理工作，包括：

–负责编写本单位网络与信息安全相关的应急预案；

–定期组织开展应急预案演练和修订；

–决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统。

5.2等级保护与测评

信息安全等级保护框架要求包括了技术要求和管理要求，针对工业控制系统，还有扩展的技术要求

和管理要求，见图5.2-1等级保护基本框架要求，其中，管理要求包括了安全策略和管理制度、安全管

理机构和人员、安全建设管理、和安全运维管理。

图5.2.-1信息安全等级保护框架

a)信息安全等级保护主要工作流程应包括：定级、备案、建设整改、等级测评、和监督检查等

5个步骤。其中：

–定级包括确定定级对象和信息系统的安全等级；

–备案工作包括信息系统备案、受理、审核和备案信息管理；

–系统建设和整改是运营者结合自身业务特点建立可信、可控、客观的安全防护体系，使得

系统能够按照预期运行，免受信息安全攻击和破坏；

–等级测评是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标

准，对非设计国家机密信息系统安全等级保护状况进行检测评估的活动；

11

XX/TXXXXX—XXXX

–监督检查由信息安全监管部门定期开展。

b)等级保护标准体系包括了定级指南、基本要求、测评要求等形成了等级保护主要工作流程的

完成标准依据。

5.2.1等保定级与备案

电力企业按照国家和行业有关标准和管理规范，确定所管辖电力监控系统的安全保护等级，经相关

信息安全管理部门审核、批准后，报公安机关备案，获取《信息系统安全等级保护备案证明》，定级备

案结果报送相应电力行业主管部门备案。各类型电厂电力监控系统信息安全管理资产及等级保护分级建

议见附录A。

5.2.2等级测评与安全防护评估

发电厂电力监控系统的等级测评是依据5.2.1中等保定级信息结合相应的等保要求进行测评，包括

测评机构选择、等级测评实施、评估机构选择、评估工作形式选择、安全防护评估实施等。

5.2.2.1等级测评

等级测评包括了测评机构的选择、测评准备、方案编制、现场测评、分析及报告编制等主要过程，

见图5.2.2.1-1，其中：

a)测评机构选择参照《GB/T37138-2018电力信息系统安全等级保护实施指南》第6.2.1节；

b)测评准备参照《GB/T37138-2018电力信息系统安全等级保护实施指南》第6.2.2节；

c)方案编制参照《GB/T37138-2018电力信息系统安全等级保护实施指南》第6.2.3节；

d)现场测评参照《GB/T37138-2018电力信息系统安全等级保护实施指南》第6.2.4节；

e)分析与报告编制参照《GB/T37138-2018电力信息系统安全等级保护实施指南》第6.2.5节。

图5.2.2.1-1电力监控系统测评流程

12

XX/TXXXXX—XXXX

5.2.2.2安全防护评估

发电厂电力监控系统的安全防护评估流程，见图5.2.2.2-1，安全防护评估包括评估工作形式选择、

评估机构选择、评估准备、现场评估、分析与报告编制等主要过程。电力监控系统，其中：

a)评估工作形式和评估机构选择，发电厂应根据国家及行业政策文件，管辖范围内电力监控系统

所在的生命周期、安全保护级别等要素分析评估周期和评估形式。

–发电厂对本单位安全保护等级为第3级和第4级的电力监控系统定期组织开展自评估活

动，评估周期原则上不超过1年；

–发电厂对本单位安全保护等级为第2级的电力监控系统定期组织开展自评估活动，评估周

期原则上不超过2年；

–发电厂对安全保护等级为第3级和第4级的电力监控系统投入运行前或发生重大变更时，

委托电力监控系统评估机构进行上线前进行上线安全评估，安全保护等级为第2级的电力

监控系统可自行组织开展上线安全评估；

–发电厂对安全保护等级为第三级和第四级的电力监控系统设计完成开发后，委托电力监控

系统评估机构进行型式安全评估，安全保护等级为第二级的电力监控系统可自行组织开展

型式安全评估；

–电力调度机构在定期收集、汇总调管范围内各运行单位自评估结果的基础上，自行组织或

委托评估机构开展调管范围内电力监控系统的自评估工作，省级以上调度机构的自评估周

期最长不超过三年，地级及以下调度机构自评估周期最长不超过两年，主管部门根据实际

情况对各运行单位的电力监控系统或调度调管范围内的电力监控系统组织开展检查评估；

–评估工作的输出应为安全评估形式分析文件。

b)评估准备工作参照《GB/T37138-2018电力信息系统安全等级保护实施指南》第6.3.2节；

c)现场评估参照《GB/T37138-2018电力信息系统安全等级保护实施指南》第6.3.3节；

d)分析和报告编制参照《GB/T37138-2018电力信息系统安全等级保护实施指南》第6.3.4节。

13

XX/TXXXXX—XXXX

图5.2.2.2-1电力监控系统安全防护评估流程

5.2.3安全整改

电力监控系统安全整改主要针对等级测评、安全评估、安全自查、监督检查工作中发现的安全问题

进行有计划的建设整改，确保电力监控系统安全白虎能力满足相应等级的安全要求。安全整改阶段的工

作流程包括：整改方案制定、安全整改实施和安全整改验收。

5.2.3.1整改方案制定，参照《GB/T37138-2018电力信息系统安全等级保护实施指南》7.2节。

5.2.3.2安全整改实施，参照《GB/T37138-2018电力信息系统安全等级保护实施指南》7.3节。

5.2.3.3整改结果验收，参照《GB/T37138-2018电力信息系统安全等级保护实施指南》7.4节。

5.2.4监督与退运

电力监控系统退运阶段是等级保护实施过程的最后环节。在电力监控系统生命周期中，有些系统并

不是真正意义上的退运，而是改进技术或转变业务到新的电力信息系统，对于这些电力监控系统退运处

理过程中应确保信息转移、设备迁移和介质销毁等方面的安全。电力监控系统退运阶段包括信息转移、

暂存和清除，设备迁移或退运，存储介质的清除或销毁等活动。

5.2.4.1信息转移、暂存和清除，参照《GB/T37138-2018电力信息系统安全等级保护实施指南》8.2

节。

5.2.4.2设备迁移或退运，参照《GB/T37138-2018电力信息系统安全等级保护实施指南》8.3节。

5.2.4.3存储介质的清除或销毁，参照《GB/T37138-2018电力信息系统安全等级保护实施指南》8.4

节。

5.3安全风险评估管理

14

XX/TXXXXX—XXXX

5.3.1风险评估方针策略与规程：

a)应制定并发布风险评估的方针策略，内容至少应包括：目的、范围、角色、责任、管理层承

诺、相关部门的协调、合规性；

b)应制定并发布风险评估规程，以推动风险评估的方针策略及与相关安全控制的实施；

c)定期对风险评估的方针策略及规程进行评审和更新。

5.3.1.1评估目的

发电厂电力监控系统信息安全风险评估的目的是为了保证发电厂的安全正常运行在信息安全方面

的需要，以及满足国家、行业在信息安全法律和法规的要求，发现现有电力监控系统及管理上的不足，

并分析可能造成的风险的程度。发电厂电力监控系统在生命周期的不同阶段有各自针对性的风险评估目

的：

a)规划阶段：确定发电厂电力监控系统的业务战略，以支撑系统安全需求及安全战略。

b)设计阶段：评估安全设计方案是否满足电力监控系统安全功能需求；

c)实施阶段：对系统开发、实施过程进行风险识别，而对建成后的电力监控系统进行安全功能

验证；

d)运行维护阶段：了解和控制系统运行过程中的安全风险；

e)废弃（退役）阶段：废弃资产对发电厂的影响进行分析。

5.3.1.2评估范围

风险评估范围是评估方工作的范围。在确定评估范围时，应结合评估目的以及电力监控系统的实际

建设运行情况合理地确定评估范围边界，可以考虑以下依据;

a)电力监控系统的业务逻辑边界；

b)网络及设备载体边界；

c)物理环境边界；

d)组织管理权限边界等。

5.3.1.3评估团队的组成和部门间协调

a)风险评估实施团队，应由管理层、相关业务骨干、信息技术等人员组成的风险评估小组。必要

时，可组建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组，聘请相关专

业的技术专家和技术骨干组成专家小组。评估实施团队应做好评估前的表格、文档、检测工

具等各项准备工作，进行风险评估技术培训和保密教育，制定风险评估过程管理相关规定。

可根据被评估方要求，双方签署保密合同，必要时签署个人保密协议。

b)为了确保风险评估工作的顺利开展，风险评估方案应得到被评估组织管理者的支持、批准。同

时，须对管理层和技术人员进行传达，在组织范围内就风险评估相关内容进行培训，以明确有

关人员在评估工作中的任务。

5.3.1.4确定评估依据

评估依据应包括：

a)适用的法律，法规；

b)现有国际标准、国家标准、行业标准；

c)恒业主管机关的业务系统的要求和制度；

d)与信息系统安全保护等级相应的基本要求；

e)被评估组织的安全要求；

f)系统自身的实时性或性能要求等。

5.3.1.5评估方案的制定

风险评估方案是评估工作实施活动总体计划，用于管理评估工作的开展，是评估各阶段工作可控，

15

XX/TXXXXX—XXXX

并作为评估项目验收的主要依据之一。风险评估方案应得到评估组织的确认和认可，风险评估方案应包

括：

a)风险评估工作框架：包括评估目标、评估范围、评估依据；

b)评估团队组织：包括评估小组成员、组织结构、角色、责任；如有必要还应包括风险评估领导

小组和专家组组建介绍等；

c)评估工作计划：包括各阶段工作内容、工作形式、工作成果等；

d)风险规避：包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等；

e)事件进度安排：评估工作实施的时间进度安排；

f)项目验收方式：包括验收方式、验收依据、验收结论定义等。

5.3.2安全风险评估

安全风险评估应满足以下要求：

a)应制订电力监控系统及相关信息系统的安全风险评估计划，明确风险评估的对象、内容及评估

流程；

b)应按安全风险评估计划在系统上线前或系统维修期间对指定系统实施风险评估，并形成风险评

估报告；

c)应将风险评估结果向相关人员通报，并定期对风险评估的结果进行评审；

d)当系统或其运行环境发生重大变更（包括发现新的威胁和漏洞），或出现其他可能影响系统安

全状态的条件时，应重新进行风险评估。

5.3.2.1安全风险评估

工业控制系统风险评估的实施流程，见图5.3.2.3-1。风险评估实施分为风险评估准备阶段、风险要

素分析阶段和综合分析阶段。

a)风险评估的准备是整个风险评估过程有效性的保障，评估方和被评估方都应做好风险评估实施

前的各项准备工作；

b)风险要素评估阶段应对评估活动中的各类关键要素资产、威胁、脆弱性、安全措施进行识别和

赋值；

综合分析阶段应根据风险要素评估阶段获得的各类信息进行关联分析，风险是与资产、威胁、

脆弱性和安全防护措施相关的函数，具体计算方法可参照《GB/T20984-2007信息安全技术信

息安全风险评估规范》中附录A。并通过风险计算方法（定性计算或定量计算）完成对风险情

况的综合分析与评价。

16

XX/TXXXXX—XXXX

图5.3.2.1-1风险评估实施流程图

5.3.2.2风险评估结论

为了实现对风险的控制和管理，可对风险评估的结果进行等级化处理，见表5.3.3.3-1。被评估方应

综合考虑风险控制成本与风险造成的影响，提出可接受的风险范围。

等级标识描述

5很高一旦发生将产生非常严重的社会或经济影响，如重大事故、系

统无法正常工作等

4高一旦发生将产生较大的社会或经济影响，如生产事故、在一定

范围内影响系统的正常运行等

3中等一旦发生会造成一定的社会或经济影响，但影响面和影响程度

不大

2低一旦发生造成的影响程度较低，一般仅限于被评估方内部，通

过一定手段能很快解决。

1很低一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。

表5.3.2.1-1风险等级划分表

5.3.3风险评估管理

5.3.3.1风险评估管理

发电企业应在上级认可的范围内选择：应在经过上级主管部门认可或上级行政部门批准的选择范围

内，确定有国家主管部门认可的安全服务资质且有良好信誉的评估机构，进行信息系统风险评估。

17

XX/TXXXXX—XXXX

5.3.3.2评估机构的保密要求

评估机构的保密要求应包括:

a)签署保密协议：评估机构人员应按照第三方人员的管理要求签署保密协议；

b)*专人监督检查：同时要求专人在整个评估过程中监督检查评估机构对保密协议的执行。

5.3.3.3评估机构信息的管理

评估机构信息的管理要求包括:

a)规定交接手续：提交涉及评估需要的资料、数据等各种信息，应规定办理交接手续，防止丢失；

b)替换敏感参数：提交设计评估需要的资料、数据等各种信息，必要时可以隐藏或替换核心或敏

感的参数；

c)*不得带出指定区域：所有提交设计评估需要的资料数据等各种信息，只能存放在被评估方指

定的计算机内，不得带出指定办公区域。

5.3.3.4技术测试过程管理

新投入运行的电力监控系统或经过风险评估对安全机制有较大变动的电力监控系统，对技术测试过

程管理的要求包括:

a)授权：使用工具或手工进行技术测试，应事先提交测试技术方案，并得到授权方可进行；

b)使用工具或手工进行技术测试，应在被测试方专人监督下按技术方案进行；

c)*使用工具或手工进行技术测试，可以采用由被评估方技术人员按技术方案进行操作，评估机

构技术人员进行场外指导。

5.3.4安全技术测试

安全技术测试要求应包括：

a)在电力监控系统上线前、系统维修期间对电力监控系统及其相关应用程序进行脆弱性扫描分

析，标识并报告可影响该系统或应用的新漏洞；

b)建议在规定的响应时间内对漏洞进行修复，修复用的补丁应经过充分验证，修复后需重新对电

力监控系统进行风险评估；

c)应在制定的人员及受限范围内共享脆弱性扫描及安全评估过程中发现的漏洞信息，以便消除其

它同类型电力监控系统中的类似漏洞；

d)发电企业使用的扫描工具，应具有便捷调整扫描配置能力，并通过实际验证；

e)发电企业定期或当发现和报告新的漏洞/脆弱性时，调整已经测试的电力监控系统的测试计划；

f)发电企业应明确需要保密的电力监控系统信息；

g)为支持更全面的测试，对发电厂电力监控系统的组件赋予特定的访问授权；

h)发电企业应进行电力监控系统历史审计日志的评审，确定所发现的漏洞/脆弱性是否存在不利

用的可能性；

i)*发电企业应进行电力监控系统的脆弱性分析，基于脆弱分析，在电力监控系统的模拟仿真系

统上执行渗透测试，以便确定以标识的脆弱性的可利用性。

j)除了上述安全技术测试的活动外，当发电厂有系统仿真条件，且仿真系统与正在运行中电力监

控系统硬件软件一致时，应定期在仿真系统进行安全测试：

–当获知电力监控系统相关设备出现新发现的漏洞，测试工具漏洞库升级，及测试工具软、

硬件升级时，应在规定的时间内，利用电力监控仿真系统进行离线测试以确定新发现的漏

洞是否可能影响正在运行的电力监控系统；

–确认电力监控系统相关的新漏洞后，应及时报告，用户不可随意修复，应由设备或服务供

应商提供修复方案，并在仿真系统验证修复方案；

18

XX/TXXXXX—XXXX

–在仿真系统验证修复方案验证成功后，根据评估结果考虑是否对运行的电力监控系统进行

修复，若需要进行修复，修复工作应符合《GB/T20269信息安全技术信息系统安全管理

要求》5.5.2.6节有关变更控制和重用管理的相关要求。

5.4信息安全应急管理

发电厂在信息安全应急管理工作中应积极落实“教育在先、预防在前、积极处置”的原则，牢固树

立信息安全意识，提高防范和救护能力，提高应对信息安全突发事件的能力。依据工信部《工业控制系

统信息安全事件应急管理工作指南》的内容指导信息安全应急处理管理工作。建立健全电力监控系统安

全的联合防护和应急机制，制定应急预案。电力调度机构负责统一指挥调度范围内的电力监控系统安全

应急处理。当遭受网络攻击，生产控制大区的电力监控系统出现异常或者故障时，应当立即向其上级电

力调度机构以及当地国家能源局派出机构报告，并联合采取紧急防护措施，防止事态扩大，同时应当注

意保护现场，以便进行调查取证。

5.4.1应急组织体系

发电厂负有电力监控系统信息安全主体责任，应建立健全工控安全责任制，负责本单位工控安全应

急管理工作，落实人财物保障，应急处理工作小组应为处置突发事件的指挥机构，统一指挥、组织、协

调、管理应急处置，信息安全管理机构与各业务部门应根据应急预案履行职责分工。

5.4.2应急预案管理

发电厂应制定电力监控系统信息安全事件应急预案和现场处置方案。结合各自职责范围、工作实际

和应急管理工作需要，突出实际性、实用性和实效性。电力监控系统信息安全事件应急预案和现场处置

方案应该不断完善，根据需要不定期修订。

5.4.3工作机制

发电厂应建立电力监控系统安全联络员机制，指定信息安全应急工作联络员，并报上级主管部门备

案，联络员和联络方式改变应及时报告上级主管部门。发电厂应建立电力监控系统信息安全应急值守机

制，实行领导带班、专人值守工作制度，做好电力监控系统信息安全风险、威胁、事件信息日常监测和

报告工作。应急响应状态下，实行“7×24”小时值守，加强信息监测、收集与研判，做好信息跟踪报

告。

5.4.4队伍管理与培训演练

组建应急处置虚拟团队，开展应急理论知识和技能培训，利用多种形式开展培训演练，形成常态机

制。制定演练计划，确定演练周期和范围。

5.4.5物资保障与技术支撑

发电厂要加强对电力监控系统信息安全事件应急装备和工具的储备，包括应急物资、备品备件、通

信与检测器材。技术团队、外部支援、监测分析、仿真建设、新技术储备，及时调整、升级软硬件工具。

5.4.6应急监测与应急处置

发电厂电力监控系统信息安全事件分级应依据GB/T20986-2007中5.2节进行，四个级别的信息安

全事件为特别重大事件、重大事件、较大事件、和一般事件。

a)对于可能发生或已经发生的发电厂电力监控系统信息安全事件，发电企业应立即开展应急处

19

XX/TXXXXX—XXXX

置：保护现场，隔离网络，防止影响扩大；及时取证、分析、查找原因；采用科学有效的方

法及时施救，力争将损失降到最小，尽快恢复受损的发电厂电力监控系统的正常运行；当发

电企业自身应急处置力量不足时，可请求上级主管部门协调应急技术机构提供支援。

b)发电企业应向上级主管部门报告时态发展变化情况和事件处置进展情况。报告信息一般包

括：事件涉及的发电厂电力监控系统名称及运营管理单位、时间、地点、来源、类型、性质、

危害、影响范围、发展趋势、处置措施等。

应急处置结束，发电厂电力监控系统恢复运行后，发电企业应尽快消除事件造成的不良影响，做好

总结工作，总结报告应在30天内以书面形式报上级主管部门。

5.4.7恢复重建与评价改进

恢复重建与评价改进的要求如下：

a)事件应急处置工作结束后，应成立应急恢复重建小组，制定重建方案，落实主体责任。对突

发事件的起因、性质、影响、经验教训和恢复重建等问题进行调查评估，及时收集各类数据，

开展事件处置过程的分析和评估，制定防范和改进措施，完善现有的应急预案及制度标准等。

b)应定期对专项应急预案和现场处置方案的准确性、规范性、安全性等方面的情况进行检查与

考核。应急管理工作中形成的重要有保存查考价值的文件材料，应按照档案管理相关规定做

好归档。

6信息安全管理基本控制措施

6.1策略与制度管理

6.1.1信息总体安全设计

信息总体安全设计要求发电厂网络和信息安全领导小组制定信息总体安全策略文件，具体要求包

括：

a)安全规划应与企业构架一致，明确定义系统的授权边界；描述任务和业务过程的中的操作环境；

提供发电厂监控系统的分类；描述发电厂监控系统的操作环境；描述与系统或企业网络的连接

或关系；

b)安全规划应该实时更新，以解决在计划实施和安全控制评估中，因发电厂电力监控系统和环境

变化产生的问题；

c)应根据安全保护等级选择基本的安全措施，依据风险分析的结果补充和调整安全措施。

6.1.1.1确定安全方针

安全方针文件应阐明安全工作的使命和意愿，定义信息安全的总体目标，规定信息安全责任机构和

职责，建立安全工作运行模式等。

6.1.1.2制定安全策略

应形成电力监控系统的安全策略文件，说明安全工作的主要策略，包括安全组织结构划分策略、业

务系统分级策略、数据信息分级策略、子系统互联策略、信息流控制策略等。

6.1.2定级备案与等级测评

6.1.2.1定级备案

应以书面的形式说明电力监控系统的边界、安全保护等级及确定等级的方法和理由；定级结果经过