电力信息系统网络安全等级保护测评报告评审指南.docxVIP

电力信息系统网络安全等级保护测评报告评审指南

1总则

1.1编制目的

为规范电力信息系统网络安全等级保护（以下简称“等保”）测评报告评审工作，统一评审标准、明确评审流程、细化评审要点，确保测评报告真实、准确、完整、合规，全面反映电力信息系统等保建设与运行安全状况，为电力行业网络安全监管、系统安全整改提供可靠依据，防范电力信息系统网络安全风险，保障电力系统安全稳定运行，制定本指南。

1.2适用范围

本指南适用于电力行业各类信息系统（包括发电、输电、变电、配电、用电、调度等环节的核心业务系统、支撑系统及辅助系统）等保测评报告（以下简称“测评报告”）的评审工作，涵盖等保二级、三级及以上电力信息系统的测评报告评审，包括自评报告、第三方测评报告的评审。

本指南适用于电力企业、等保测评机构、网络安全监管部门及相关评审单位开展测评报告评审工作，可作为评审实施、结果判定、问题整改的核心依据。

1.3评审原则

合规性原则：评审工作应严格遵循国家网络安全等级保护相关法律法规、标准规范，以及电力行业网络安全相关规定，确保测评报告符合法定要求和技术标准。

真实性原则：评审应核查测评报告内容的真实性，确认测评数据、测试结果、问题描述等均真实反映电力信息系统实际安全状况，无虚假记录、篡改数据等情况。

完整性原则：评审应检查测评报告的内容完整性，确保报告涵盖等保测评所需的全部模块、指标及相关资料，无遗漏、缺失等问题。

准确性原则：评审应核实测评报告中技术描述、测试结论、风险分析等内容的准确性，确保指标判定、问题定位、整改建议等符合实际情况，无错误、偏差。

专业性原则：评审人员应具备电力信息系统专业知识、网络安全等保专业能力，结合电力行业业务特性，开展专业化、针对性评审，确保评审结果科学可靠。

公正性原则：评审工作应坚持客观公正，不受任何单位、个人干预，严格按照评审标准开展评审，如实记录评审情况、判定评审结果。

1.4引用依据

下列文件中的内容通过文中的规范性引用而构成本指南必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本指南；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本指南。

《中华人民共和国网络安全法》

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

《网络安全等级保护条例》

GB/T22239-2019《信息安全技术网络安全等级保护基本要求》

GB/T22240-2020《信息安全技术网络安全等级保护定级指南》

GB/T28448-2019《信息安全技术网络安全等级保护测评要求》

GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》

DL/T5240-2010《电力系统信息安全等级保护测评规范》

电力行业网络安全相关管理规定、技术标准

2评审组织与职责

2.1评审组织

测评报告评审工作可由电力企业内部网络安全管理部门牵头组织，也可由行业监管部门、第三方专业评审机构组织实施。评审组织单位应成立评审小组，明确评审组长、评审成员，确保评审工作有序开展。

评审小组应由不少于3名具备相应专业能力的人员组成，其中至少1名具备电力信息系统专业背景，至少1名具备等保测评专业资质，评审组长应具备5年以上电力网络安全或等保相关工作经验，负责统筹评审工作、协调解决评审过程中的问题、出具评审结论。

2.2评审组织职责

制定评审计划，明确评审范围、评审内容、评审流程、评审时限及分工。

组建评审小组，组织评审人员开展评审培训，明确评审标准和要求。

收集、整理测评报告及相关支撑资料，确保评审资料齐全、可查。

组织评审会议，协调评审小组与测评机构、电力企业的沟通对接。

汇总评审意见，形成评审报告，明确评审结论、存在问题及整改要求。

跟踪整改落实情况，对整改后的测评报告进行复核，确保问题整改到位。

2.3评审人员职责

认真学习国家等保相关标准、电力行业相关规定及本指南，熟练掌握评审要点和判定标准。

严格按照评审计划和评审标准，对测评报告及相关支撑资料进行全面、细致评审，如实记录评审发现的问题。

参与评审讨论，结合专业知识和电力行业特性，提出合理的评审意见和整改建议。

遵守评审纪律，不得泄露评审过程中的敏感信息、测评数据及企业商业秘密。

配合评审组长完成评审报告的编制，对评审意见的真实性、准确性负责。

2.4相关方职责

电力企业：配合评审工作，提供测评报告及相关支撑资料（包括系统架构图、安全管理制度、测试记录、整改报告等），如实说明系统实际运行情况，落实评审提出的整改要求。

测评机构：配合评审工作，对评审过程中提出的疑问进行解释说明，提供测评过程中的原始测试数据、记录等支撑材料，根据评审意见完善测评报告。

3评审流程

测评报告评审工作应遵循“资料受理—初步审核—详细评审