《核能行业网络安全同行评估绩效目标与准则》（征求意见稿）.pdf

T/CNEAXXXX—XXXX

核能行业网络安全同行评估绩效目标与准则

1范围

本文件规定了核能行业网络安全同行评估绩效目标与准则，为核能行业开展网络安全评估，兼顾网

络安全三同步原则、本体安全要求、常态化、实战化和体系化等因素，构建网络安全评估领域，明确各

领域的评估安全绩效目标与准则。

本文件适用于核能行业开展网络安全同行评估工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22240—2020《信息安全技术网络安全等级保护定级指南》

GB/T22239—2019《信息安全技术网络安全等级保护基本要求》

GB/T28448—2019《信息安全技术网络安全等级保护测评要求》

GB/T28449—2018《信息安全技术网络安全等级保护测评指南》

GB/T39786—2021《信息安全技术信息系统密码应用基本要求》

GB/T43206—2023《信息安全技术信息系统密码应用测评要求》

GB/T36572—2018《电力监控系统网络安全防护导则》

GB/T38318—2019《电力监控系统网络安全评估指南》

GB/T37980—2019《信息安全技术工业控制系统安全检查指南》

GB/T41241-2022《核电厂工业控制系统网络安全管理要求》

GB/T25069—2022《信息安全技术术语》

GB/T31722-2015《信息技术安全技术信息安全风险管理》

GB/T20984-2022《信息安全技术信息安全风险评估方法》

DL/T2614-2023《电力行业网络安全等级保护基本要求》

DL/T2613-2023《电力行业网络安全等级保护测评指南》

3术语和定义

GB/T22240-2020、GB/T22239-2019、GB/T28449-2018、GB/T39786-2021、GB/T43206-2023、

GB/T36572-2018、GB/T38318—2019、GB/T37980—2019、GB/T41241-2022、GB/T25069—2022、GB/T

31722-2015、GB/T20984-2022、DL/T2614-2023和DL/T2613-2023界定的以及下列术语和定义适用于

本文件。为了便于使用以下重复列出了GB/T22239-2019中的一些术语和定义。

3.1

网络安全CyberSecurity

1

T/CNEAXXXX—XXXX

通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，是网络处于

稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

[GB/T22239-2019，定义3.1]

3.2

安全保护能力SecurityProtectionAbility

能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。

[GB/T22239-2019，定义3.1]

3.3

评估准则AssessmentCriteria

用于衡量和评价特定对象或活动是否达到预期标准的一套规则或指标。

4网络安全同行评估业绩目标领域划分

核能行业网络安全同行评估业绩目标与准则是网络安全同行评估的核心，业绩目标是基于网络安全

等级保护2.0基本要求上，体现聚焦管理、增强网络安全领导力、着力网络安全管理改进的本质要求，

符合“三分技术、七分管理”的客观规律和内在要求，切实从“人的意识和行为以及管理缺陷”的角度，

促进和支撑网络安全等级保护系列标准落地生根的新的探索。业绩目标分为9大领域、71个子领域，整

体架构如下图1所示。

图1业绩目标整体架构图

5领导力业绩目标与准则

5.1网络安全观和承诺

以总体国家安全观为