电力二次系统安全防护等级评定和整改条件书2013_05_2.docVIP

. . PAGE . . . . . C.7技术条件书审批页格式和编写格式 广东省粤电集团有限公司 湛江中粤能源有限公司 电力二次系统安全防护评估、 等级评定及整改 技术条件书 编写人：___________________________________ 初审：（主管部门分部经理/部长）：___________ 会审： _______________ 审核：（生产技术分部专工/经理）__________ 审定：（生产经营部部长） 批准：（主管生产经营公司领导）：_______________ 设备部电气分部 保管责任人：李志东 编号：JSTJS—SB－DQ－2013－00 保管地点：电气分部 保管期限： 记录日期：2013.5.2 1、概述 1.1本技术条件书适用于湛江中粤能源有限公司电力二次系统安全防护评估、 等级评定及整改项目(以下简称本项目)，本技术条件书文件的所有解释权归湛江中粤能源有限公司。 1.2本技术条件书提出了项目的建设规模、主要业务需求和技术指标要求，以供服务提供商编写应答书和报价之用。。 1.3项目范围主要包括:一、电力二次系统安全防护评估；二、安全整改加固；三、信息安全等级保护测评； 1.4 应提交的项目交付物为：一、电力二次系统安全防护评估报告；二、安全整改、加固报告；三、信息安全等级保护测评报告；  2、项目需求 2.1项目背景 目前电力二次系统的信息安全已经成为支撑湛江中粤能源有限公司各生产业务稳定运行的重要载体，而信息系统的安全防护更显得尤为重要。为规范电力二次系统安全防护评估工作，依据《电力二次系统安全防护规定》（电监会第5号令）及电监会关于印发《电力二次系统安全防护评估规范（试行）》的通知要求，需开展电力二次系统安全评估工作，此外电力二次系统信息安全等级保护作为我国信息安全保障的一项基本制度，需通过统一的信息安全等级保护管理规范和技术标准，对信息系统分等级实行安全保护，并对等级保护工作的实施进行监督、管理。 因此，为了进一步贯彻落实电监会、公安部、针对信息安全的要求，全面提高湛江中粤能源有限公司电力二次系统的基础信息网络和重要信息系统的信息安全保护能力和水平，湛江中粤能源有限公司拟进行电力二次系统信息安全评估和信息系统安全等级保护测评工作。 2.2项目目标 对湛江中粤能源有限公司电力二次系统的网络和信息系统进行全面的安全评估和等保测评，并提出合理的风险控制解决方案，对发现的问题或安全漏洞进行修补；协助湛江中粤能源有限公司通过电监会评估检测及公安部等级保护测评。 项目依据国家、电监会相关标准以发现本厂电力二次系统存在的信息安全风险，确保目前相应的电力二次系统达到厂站相应一般、重要防护要求及国家相应的二、三级等级保护的要求，能够防护系统免受来自外部小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。 2.3工作内容 2.3.1电力二次系统安全防护评估 依照《电力二次系统安全防护规定》（电监会第5号令）、《电力二次系统安全评估规范（试行）》、《发电厂二次系统安全防护方案》等，对湛江中粤能源有限公司的网络和信息系统进行风险评估，提交相关电力二次系统安全防护评估报告和安全整改建议。 风险评估的内容应包括：信息系统资产调研、信息系统安全现状调研、网络设备安全审计、操作系统安全审计、漏洞扫描、重要日志分析、渗透测试、网络结构分析、综合风险分析、安全组织架构及管理制度分析，以及安全防护评估报告编写。 2.2.2电力二次系统信息安全整改、加固 根据电力二次系统安全防护评估报告，针对存在的安全隐患以及未落实的安全措施制订安全整改方案，明确整改的目标、项目和进度。依据安全整改方案，配备符合标准要求的安全专用产品，完成相应产