GB/T 37138-2018 电力信息系统安全等级保护实施指南

ICS35.240.50

F07

国

中华人民共和国国家标准

GB/T37138-2018

电力信息系统安全等级保护实施指南

Implementationguideforcybersecurityclassifiedprotectionofelectricpower

informationsystem

2018-12-28发布2019-07-01实施

国家市场监督管理总局峪非

中国国家标准化管理委员会0(..'I(J

GB/T37138-2018

目次

前言……………·．．．．．．山

引言…………………．．．．．．．．．且「

1范围－

2规范性引用文件·

3术语和定义…·

4等级保护实施概述……………….2

4.1基本原则……………2

4.1.1结构优先原则………….2

4.1.2联合防护原则………….2

4.1.3安全可控原则…………………2

4.1.4立体防御原则…………………2

4.2角色和职责………·…………2

4.2.1电力信息系统运行单位……………….2

4.2.2电力调度机构……………….3

4.2.3电力信息系统安全服务机构…………………3

4.2.4电力信息系统安全等级测评机构……….3

4.2.5电力信息系统安全产品供应商……………………·…3

4.2.6电力信息系统供应商………………….3

4.2.7电力信息系统设计单位………………………4

4.2.8主管部门………………………4

4.3实施的基本活动……………………….4

5定级与备案………………5

5.1定级与备案阶段的流程……………5

5.2定级对象分析………………………5

5.2.1电力信息系统分析

5.2.2定级对象确定………….6

5.3安全保护等级确定…………….7

5.3.1定级、审核和批准………………7

5.3.2形成定级报告…………………7

5.4定级结果备案……………….7

6~rJ评与评估………………7

6.1测评与评估的流程…………………7

6.2等级测评……………9

6.2.1测评机构选择…………………9

6.2.2测评准备……………….9

6.2.3方案编制………………·10

GB/T37138-2018

a)识别单位的基本信息

调查了解电力信息系统所属单位的业务范围和类型、所在电力供应环节、单机容量、总装机容量、供

热机组容量和服务范围、电压等级、涉网范围、所占电网负荷比例、地理位置、生产产值、上级主管部门等

信息，明确单位在保障同家安全、经济发展、社会秩序、公共服务等方面发挥的重要作用。

b)识别单位的电力信息系统基本信息

了解电力信息系统业务功能、控制对象、业务流程、业务连续性要求、生产厂商以及其他基本情况；

分析电力信息系统类别，属于管理信息系统还是电力监控系统。

c)识别电力信息系统的管理框架

了解电力信息系统的组织管理结构、管理策略、责任部门、部门设置和部门在业务运行中的作用、岗

位职责等，明确等级保护对象的安全责任主体。

d)识别电力信息系统的网络及设备部署

了解电力信息系统的物理环境、网络拓扑结构和硬件设备的部署和设备公用情况，明确电力信息系

统的边界。

巳）识别电力信息系统处理的信息资产

了解电力信息系统处理的信息资产的类型，这些信息资产在机密性、完整性和可用性等方面的重要

性程度。

£)电力信息系统描述

对收集的信息进行整理、分析，形成对电力信息系统的总体捎述文件。

活动输出为电力信息系统总体描述文件。

5.2.2定级对象确定

本活动的目标是依据电力信息系统总体描述文件，在综合分析的基础上将电力信息系统进行合理

分解，确定所含的定级对象及套数。

参与角色为电力信息系统运行单位，电力信息系统安全服务机构。

活动输入为行业定级指导意见，行业／单位定级下作部署文件，电力f言息系统总体描述文件。

本活动主要包括以下子活动内容：

a)划分方法的选择

以管理机构、业务类型、物理位置、所属安全区域等因素，确定电力信息系统的对象分解原则。

b)识别等级保护实施安全责任主体

当电力信息系统运行单位和业主单位隶属单位统一且具有唯一运行单位时，可以电力信息系统运

行单位作为定级实施主体，如发电机组运行班组，电网调度自动化处室等。当电力信息系统业主单位委

托隶属于不同垂直管理关系的运行单位代管运行时，可以电力信息系统业主单位作为定级实施主体，运

行单位协助开展定级丁，作。当两个及以上由不同运行单位运行但属于同一上级业务管理部门时，可以

上级业务管理部门作为安全责任主体。

c)识别定级备案系统的基本特征

作为定级对象的电力信息系统应是由计算机软硬件、叶算机网络、处理的信息、提供的服务以及相

关的人员等构成的一个人机系统。单个装置或设施不具备定级备案系统特征。

d)识别电力信息系统承载的业务应用

作为定级对象的电力信息系统应该承载比较“单一的”的业务应用，或者承载“相对她立的”的业务

应用。“单一”的业务应用是指该业务应用的业务流程独立，不依赖于其他业务应用，同时与其他业务应

用没有数据交换，并且强享各利1信息处理设备；“相对独立”的业务应用是指该业务应用的业务流程相对

GB/T37138-2018

独立，不依赖于其他业务应用就能完成主要业务流程，同时与其他业务应用只有少量数据交换，相对独

享某些信息处理设备。对于承担“单一”业务应用的系统，可以直接确定为定级对象；对于承担多个业务

应用的系统，应通过判定各类业务应用是再“相对独主”，将整个电力信息系统划分为“相对独立”的多个

部分，每个部分作为一个定级对象。应避免将业务应用中的功能模块认为是一个业务应用。对于多个

业务系统其流程存在大量交叉，业务数据存在大量交换或者业务应用共享大量设备等情况，也应避免将

业务系统强行“相对独生”，可以将两个或多个业务系统涉及的组件作为一个集合，确定为一个定级对

象。原则上电网企业不同管理机构（本部、网、省、地、县）管理控制下相对独立的电力信息系统应分开作

为不同的定级对象。

巳）识别电力信息系统安全保护定级对象安全区域

应遵从安全分区原则，尽量避免将不同安全区的系统作为同一个定级对象，运行单位应根据电力行

业管理方式、业务特点、部署方式等要素在各安全区内向主定级。

f)识别需整合的定级备案系统

具有相同安全防护属性的同一安全区域业务子系统，可以整合为一个整体定级对象。

g)定级对象详细描述

参见GB/T25058。

活动输出为电力信息系统定级对象详细描述文件。

5.3安全保护等级确定

5.3.1定级、审核和批准

参见GB/T25058。原则上管理信息系统业务信息安全（S）等级不低于系统服务安全（A）等级；电

力监控系统服务安全（A）等级不低于业务信息安全（S）等级；云计算和大数据平台定级可在信息系统定

级结果上递增一级。

5.3.2形成定级报告

参见GB/T250580

5.4定级结果备案

参见GB/T25058。

6测i平与评估

6.1测评与评估的流程

本活动的目标是通过电力信息系统安全等级测评机构以及安全评估机构对已经完成等级保护建设

的电力信息系统进行等级洲评和安全评估，确保等级保护对象的安全保护措施符合相应等级的安全要

求以及同家和行业对电力信息系统安全防护的相关要求。管理信息系统安全评估参见GB/T20984,

电力监控系统安全评估参_!)l电力监控系统安全防护评估规范；电力监控系统信息安全等级测评应与电

力监控系统安全防护第三方评估了作同步进行，一次测评分别出具等级保护测评报告及电力监控系统

安全防护评估报告。

等级测评包括测评机构选择、测评准备、方案编制、现场割rJ评、分析及报告编制等主要过程。安全评

估包括评估丁，作形式选择、评估机构选择、评估准备、现场评估、分析与报告编制等主要过程。等级视rJ评

与安全评估阶段的流程见罔3和罔40

7

GB/T37138-2018

输入

i!fli偷rt,

｜忧阳肘.;ftf.l(;~"

吃

吕’

L囚川B’泞’l构.tttf

卡今丁－土？！！旦二1

.’－－、.

llltft',itHlI<田’

lA扒在全悦＋：（,H.~f.t;..,i"1-

h*.tn!L一＿＿：＂－·测汗力泼

l;/~u~:_:-~~~~i·/t岳M

批涮川GH－－”烛扣EL1

~.Ii.JIit部问URheHJ正且山rt况－段

f

J

.

－

－－

‘~.../-·、

l划if怂现

＇.·）”于与111.'d~创

恻：￥1肖！1,

~

－－仨三J

图3电力信息系统测评流程

人Il.tih”,,,

~}Jf,iJ!.’民~~军!9·~-tft

'to':令：亨，、部ill~t.111!山\|

〉州I川M

回.v.~行业r'H量立c丰

叫．叫：：：士1

0

,:t,ftjff在雪’.A,,

h：国t是，Ii!U\1t飞竹

1f'M民.4帽

－－川γ－

一一一

－－－－－－］』白－→

--

－一－一

倒（＇lJ医院

5:"1~飞f.!·t~《点~lf'H守

占今！京护得侧目：;.tflli’I(日产l,,电

f.f童电些＂＇孤？『

;;,..,,:j~付Iii锺川

在t~tt’也体.t,'l!

,.-

../

＂，蜒忡’'M理拟私

i宁fl咛11,1:

”他出’IW..i最

JJ，崎4’~

lt吼叫马！11＇.拮投掷

－咱

「一

『

~J--一-

~-

'ti:余的俨评俗，t”

份，t与ii＇.~t蝇’叫

---

一一一

一-

一

－一－

图4电力监控系统安全防护评估流程

8

GB/T37138-2018

6.2等级测评

6.2.1测评机构选择

本活动的目标是选择合适的电力信息系统安全等级捆1］评机构。

参与角色为电力信息系统运行单位，等级测评机构。

活动输入为全国等级保护测评机构推荐目录，国家及行业政策文件，测评机构相关资质证书。

具体活动描述如下：

a)行业要求分析

由于电力信息系统的特殊性，在选择测评机构时应优先考虑具备行业等级测评经验，符合行业政策

要求的测评机构。

b)服务能力分析

从影响电力信息系统、业务安全性等关键要素层面分析测评机构服务能力，根据罔家及行业相关要

求，选择最佳测评机构，这些要素可能包括：测评机构的基本情况、企业资质和人员资质、信誉、技术力量

和行业经验、内部控制和管理能力、持续经营状况、服务水平及人员配备情况等。

c)安全风除分析

在选择测评机构时，需要识别其测评可能产生的风除，防止沮1］评次生风险，测评次生风除包括但不

限于以下几点：

视1］评机构可能的泄密行为。

视1］评机构服务能力及行业系统特性了解不够导致误操作等。

物理和系统访问越权、信息资料丢失等。

一一视1］评机构企业资质不全、人员资质管理不善，口碑、业绩不良等引发视I］评质量问题。

－一视1］评机构以往服务项目案例未覆盖本类系统视1］评导致的经验不是等。

d)服务内容互斥分析

在选择服务商时，需要识别测评机构提供的服务与之前或后续提供的服务之间没有互斥性。承扣

等级iY!IJ评服务的机构不应同时提供安全建设、安全整改等服务。

活动输出为含保密条款的委托视1］评协议书或合同（保密条款也可以保密协议形式单独签署）。

6.2.2测评准备

本活动的目标是掌握被测系统的详细情况，准备测试下具，为编制坝。评方案做好准备。

参与角色为电力信息系统运行单位，电力信息系统安全等级测评机构。

活动输入为调查表格，被测系统总体描述文件，安全保护等级定级报告，系统验收报告，安全需求分

析报告，安全防护总体方案。

本活动主要包括以下子活动内容：

a)项目启动

测评机构组建等级测评项目组，视1］评人员签署保密承诺书，获取运行单位及被测系统的基本情况，

从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。

b)信息收集和分析

测评机构通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，为

编写测评方案和开展现场测评丁才作奠定基础。

c)T具和表单准备

测评项目组成员在进行现场测评之前，应熟悉与被测系统相关的各种组件、调试j赏。评丁，具、准备各

种表单等。

9

GB/T37138-2018

活动输出为项目计划书，填好的调查表格，选用的测评下具清单，打印的各类表单。

6.2.3方案编制

本活动的目标是确定与被JrJ信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用

或开发测评指导书，形成测评方案。

参与角色为电力信息系统运行单位，电力信息系统安全等级沮rJ评机构。

活动输入为填好的调查表格，GB/T22239中相应等级的基本要求，行业相关规范文件。

本活动主要包括以下子活动内容：

a)测评指标确定

根据已经了解到的被测系统定级结果，确定本次坝。评的训l评指标。

b)测评对象确定

根据已经了解到的被测系统信息，分析整个被测系统及其涉及