北京京能新能源有限公司企业标准Q/XNY-***.**-**-****电力监控系统安全管理规定****-**-**发布****-**-**实施北京京能新能源有限公司发布目次前言............................................................................... 错误!未指定书签。

1范围............................................................................. 错误!未指定书签。

2规范性引用文件........................................................ 错误!未指定书签。

3术语和定义................................................................ 错误!未指定书签。

4职责 ............................................................................ 错误!未指定书签。

5管理活动内容与方法................................................ 错误!未指定书签。

5.2总体目标................................................................. 错误!未指定书签。

5.3总体原则................................................................. 错误!未指定书签。

6检查、考核与奖励.................................................... 错误!未指定书签。

前言本标准是根据北京京能新能源有限公司（以下简称新能源公司）标准体系工作的需要编制，是企业标准体系建立和实施的个性标准。

目的是为新能源公司各部门（包括分公司、风电场、光伏电站）制定电力监控系统安全工作的总体方针和安全策略，明确电力监控系统安全工作的总体目标、范围、原则和安全策略等，是公司开展电力监控系统安全工作的纲领性文件。

本标准由新能源公司提出，由安全生产部归口管理。

本标准起草部门：生产运行部。

本标准起草人：陈晓东。

本标准修改人：陈晓东。

本标准审核人：任昱、石敏。

本标准复核人：张红义、王丰绪。

本标准批准人：张凤阳。

本标准于20**年*月首次发布。

电力监控系统安全管理规定1范围本标准规定了新能源公司电力监控系统安全工作的总体方针和安全策略。

本标准适用于新能源公司各部室所属各部门的电力监控系统安全工作。

2规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

国务院令1994年第147号《中华人民共和国计算机信息系统安全保护条例》公信安[2009]1429号《关于开展信息安全等级保护安全建设整改工作的指导意见》GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》GB/T20269—2006《信息安全技术安全建设技术方案设计要求》国家发改委令2014年第14号《电力监控系统安全防护规定》国能安全[2015]36号《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》国能安全[2014]317号《电力行业网络与信息安全管理办法》电监信息[2007]44号《电力行业信息系统等级保护定级工作指导意见》Q/BEIH-219.10-03-2013《网络与信息安全管理规定》3术语和定义下列术语和定义适用于本规定：3.1电力监控系统指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及做为基础支撑的通信及数据网络等。

3.2信息此处特指在电力监控系统中存储、传输、处理的数字化数据。

3.3完整性包括数据完整性和系统完整性。

数据完整性表征数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变的程度；系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，系统能履行其操作目的的品质。

3.4可用性表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。

3.5访问控制按确定的规则，对实体之间的访问活动进行控制的安全机制，能防止对资源的未授权使用。

3.6安全审计按确定规则的要求，对与安全相关的事件进行审计，以日志方式记录必要信息，并作出相应处理的安全机制。

3.7鉴别信息用以确认身份真实性的信息。

3.8敏感性表征资源价值或重要性的特性，也可能包含这一资源的脆弱性。

3.9风险评估通过对信息系统的资产价值/重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析，对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价，确定信息系统安全风险的过程。

3.10安全策略主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。

3.11边界防护网络可以看作一个独立的对象，通过自身的属性，维持内部业务的运转。

它的安全威胁来自内部与边界两个方面：内部安全威胁是指网络的合法用户在使用网络资源的时候，发生的不合规的行为、误操作、恶意破坏等行为，以及非法外联。

边界安全威胁是指网络与外界互通引起的安全问题，如入侵、病毒与攻击。

边界防护的作用就是避免内部合法用户发生不合规的行为、误操作、恶意破坏等行为，防止内部合法用户非法外联以及网络边界外的入侵、病毒与攻击行为。

4职责4.1安全生产部4.1.1本标准的归口管理部门，负责标准执行情况的监督、检查、考核。

4.1.2负责贯彻执行国家有关电力行业网络与信息安全工作的标准、规定及管理办法等。

4.1.3负责新能源公司的电力监控系统网络与信息安全工作。

4.1.4建立健全新能源公司电力监控系统网络与信息安全管理制度体系。

4.1.5协助新能源公司公司领导成立电力监控系统网络与信息安全工作领导机构，明确责任部门，设立专兼职岗位，定义岗位职责，明确人员分工和技能要求,建立健全网络与信息安全责任制。

4.1.6按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求，对新能源公司的电力监控系统网络与信息系统进行安全保护。

4.1.7按照国家有关规定开展新能源公司电力监控系统安全防护评估和信息安全等级测评工作，未达到要求的及时组织进行整改。

4.1.8按照国家有关规定开展新能源公司电力监控系统网络与信息安全风险评估工作，建立健全信息安全风险评估的自评估和检查评估制度，完善信息安全风险管理机制。

4.1.9按照网络与信息安全通报制度的规定，建立健全新能源公司信息通报机制，开展信息安全通报预警工作，及时向集团及国家能源局或其派出机构报告有关情况。

4.1.10按照电力行业网络与信息安全应急预案，制定或修订新能源公司网络与信息安全应急预案，定期开展应急演练。

4.1.11建立电力监控系统网络与信息安全资金保障制度，有效保障电力监控系统信息系统安全建设、运维、检查、等级测评和安全评估、应急及其它的信息安全资金。

4.1.12加强电力监控系统信息安全从业人员考核和管理。

组织新能源公司从业人员定期接受相应的政策规范和专业技能培训，并经培训合格后上岗。

4.1.13按照国家有关规定，建立健全电力监控系统容灾备份制度，监督风电场、光伏电站、集控中心对关键系统和核心数据进行有效备份。

4.2其他部室4.2.1负责及时上报公司本部电力监控系统网络与信息安全工作执行情况。

4.2.2负责配合公司执行国家有关电力行业网络与信息安全工作的标准、规定及管理办法等。

4.2.3负责配合协调公司本部对电力监控系统应急状况的处置工作。

5管理活动内容与方法5.1总体方针新能源公司电力监控系统网络与信息安全工作坚持“安全第一、预防为主，积极防御、综合防范”的总体方针，按照“谁主管谁负责，谁运营谁负责”的原则，实现网络与信息安全工作可控、能控、在控。

依照“安全分区、网络专用、横向隔离、纵向认证”的总体安全防护策略，执行信息系统安全等级保护定级制度。

风电场、光伏电站、集控中心内部基于计算机和网络技术的电力生产业务监控系统分为生产控制大区和管理信息大区。

生产控制大区分为控制区（安全区Ⅰ）和非控制区（安全区Ⅱ）；管理信息大区根据风电场、光伏电站、集控中心实际安全需求划分安全区。

生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，实现边界防护。

5.2总体目标新能源公司电力监控系统网络与信息安全工作的总体目标是确保电力监控系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防范黑客及恶意代码等对电力监控系统的攻击及侵害，保障电力系统的安全稳定运行。

5.3总体原则5.3.1基于安全需求原则风电场、光伏电站、集控中心应根据电力监控系统担负的使命，根据信息数据的重要性，可能受到的威胁及面临的风险分析安全需求，按照《电力行业信息系统等级保护定级工作指导意见》要求确定相应的信息系统安全保护等级，遵从相应等级的规范要求，从全局上恰当地平衡安全投入与效果。

5.3.2主要领导负责原则安全生产部确立由其统一组织的信息安全保障体系，负责提高员工的安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，并确保其落实、有效。

5.3.3全员参与原则新能源公司总部、分公司及所属风电场、光伏电站所有生产相关人员应普遍参与电力监控系统网络与信息的安全管理，并与相关方面协同、协调，共同保障电力监控系统网络与信息安全。

5.3.4系统方法原则新能源公司总部、分公司及所属风电场、光伏电站应按照系统工程的要求，识别和理解信息安全保障相互关联的层面和过程，采用管理和技术结合的方法，提高实现安全保障的目标的有效性和效率。

5.3.5持续改进原则安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期，随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，新能源公司总部、分公司及所属风电场、光伏电站应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性。

5.3.6依法管理原则信息安全管理工作主要体现为管理行为，新能源公司总部、分公司及所属风电场、光伏电站应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。