电力行业省级公司网络安全体系运营指南.pdf

电力行业省级公司网络安全体系运营指南

1范围

本文件提供了电力行业省级公司网络安全体系运营工作的建设要求、安全管理体系、安全技术体系、

安全保障体系、安全运营体系等方面的工作指导。

本文件适用于电力行业省级公司的网络安全体系运营工作，也可供其他级别的组织参考使用。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T39204-2022信息安全技术关键信息基础设施安全保护要求

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T22240-2020信息安全技术网络安全等级保护定级指南

GB/T37092-2018信息安全技术密码模块安全要求

GB/T37138-2018电力信息系统安全等级保护实施指南

DL/T2613-2023电力行业网络安全等级保护测评指南

DL/T2614-2023电力行业网络安全等级保护基本要求

GB/T25069-2022信息安全技术术语

GB/T20984-2022信息安全技术信息安全风险评估方法

3术语和定义

GB/T22239-2019、GB/T25069-2022界定的以及下列术语和定义适用于本文件。为了便于使用，以

下重复列出了GB/T22239-2019和GB/T25069-2022中的一些术语和定义。

3.1网络安全cybersecurity

通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络稳定

可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

[来源：GB/T22239-2019，3.1]

3.2业务安全businesssecurity

保护业务系统免受安全威胁的措施或手段。

3.3个人敏感信息personalsensitiveinformation

一旦泄露、非法提供或滥用就有可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害

或歧视性待遇等的个人信息。

注１：个人敏感信息包括公民身份号码、个人生物特征信息、银行账号、通信记录和内容、财产信

息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。

6

注２：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，如一旦泄露、非法提供或

滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的，也属于个人

敏感信息。

[来源：GB/T25069-2022，3.195]

3.4实体entity

存在或者可能存在的任何具体或抽象的事物，包括这些事物间的关系。

[来源：GB/T25069-2022，3.550]

4缩略语

下列缩略语适用于本文件。

HTTP：超文本传输协议（HyperTextTransferProtocol）

gRPC：gRPC远程过程调用（gRPCRemoteProcedureCall）

AMQP：高级消息队列协议（AdvancedMessageQueuingProtocol）

API：应用程序编程接口（ApplicationProgrammingInterface）

FTP：文件传输协议（FileTransferProtocol）

USB：通用串行总线（UniversalSerialBus）

AI：人工智能（ArtificialIntelligence）

IP：（在网络通信中）网际协议（InternetProtocol）

K-Means：K-Means聚类算法（一种迭代求解的聚类分析算法）

ARIMA：自回归积分滑动平均模型（AutoRegressiveIntegratedMovingAverageModel）

CPU：中央处理器（CentralProcessingUnit）

5建设要求

5.1总体要求

a）建立现代化网络安全运营体系，包括网络安全、数据安全、业务安全等方面；

b）具备物理层、网络