电力二次安全防护管理制度Word下载.docx
《电力二次安全防护管理制度Word下载.docx》由会员分享,可在线阅读,更多相关《电力二次安全防护管理制度Word下载.docx(11页珍藏版)》请在冰豆网上搜索。
第一章总则
第一条为了保障河北国际热电有限责任公司(以下简称公司)电力二次系统的安全可靠、稳定运行,防范黑客及恶意代码等对电力二次系统的攻击侵害,提高电力二次系统的安全管理水平,根据国家电监会颁布的《电力二次系统安全防护规定》(电监会5号令)及《电力二次系统安全防护总体方案》(电监安全[2006]34号),特制定本管理办法。
第二条公司电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则。
第三条公司电力二次系统安全防护工作以“安全第一、预防为主,管理和技术并重、综合防范”为方针,遵循“统一领导、统一规划、统一标准、统一组织开发”的原则。
第四条本管理办法适用于公司电力二次系统,所有涉及电力二次系统的规划、设计、系统改造、工程实施、运行管理等均应符合本管理办法的要求。
设备部、发电部、总经理工作部等相关部门要遵照执行本制度。
引用标准及规范:
《电力二次系统安全防护规定》国家电监会5号令
《电力二次系统安全防护总体方案》国家电监会电监安全[2006]34号文
第二章主管领导、部门及人员的管理职责
第五条公司根据国家电监会《电力二次系统安全防护总体方案》要求,按照“谁主管谁负责,谁运营谁负责”的原则,建立电力二次系统安全管理制度,明确运行、检修、调试和信息化等部门相关人员的安全职责。
公司的生产主管领导负责对本制度进行审批;
电力二次安全防护的归口管理单位为设备工程部。
设备工程部职责:
负责对电力二次防护各项实施情况和应急预案演练情况进行监督,并负责完成各项电力二次防护的整改工作。
负责系统交付的管理工作,制定详细的系统交付清单,根据交付清单对所交接的设备、软件和文档等进行清点;
对负责系统运行维护的技术人员进行相应的技能培训。
系统的改造或新建验收须经专业、部门、公司生产领导三级验收。
发电部职责:
负责电力二次防护设备的使用,并按时参加每年开展的电力二次安全防护培训,发电部値长、机组长等重要运行人员应熟悉二次防护的实施情况及应急预案的演练情况。
此外,要将电力二次系统安全防护及其信息报送纳入日常安全生产管理体系,运行值长在公司每日生产早会汇报中应对二次防护系统的运行情况单独做出说明。
安全监察部职责:
负责对每年的二次防护应急演练进行监督,并在每次应急演练后提出修改意见,督促设备工程部对应急演练内容进行修改和完善。
总经理工作部职责:
负责对电力二次安全按防护进行辅助管理,主要是针对非生产控制区的网络管理。
各电力二次安全防护相关部门和专业之间要加强合作与沟通,当涉及二次防护系统相关工作时,应由设备工程部牵头,组织各相关部门召开协调会议,共同协作完成电力二次防护的有关工作。
第六条电力二次防护各相关部门负责审核管辖范围内的技术、方案,对涉及电力二次安全防护产品的选用提出指导意见。
第七条各部门要设立专职的系统管理员、网络管理员、安全管理员岗位各1名。
系统管理员主要负责各子系统的日常维护,系统安装,系统问题解决,保证各子系统的安全稳定运行。
网络管理员负责内部局域网络维护,线路故障排除解决,路由器调试。
安全管理岗位负责信息安全方面的日常管理工作,计算机病毒防护、数据安全保护,网络安全监控。
在设备工程部的督导下,各部门的电力二次防护管理人员负责完成各项关于本厂电力二次防护整体方案的实施与自评估、对其他相关人员的培训、及对专家发现问题的整改。
如设备出现问题,需要厂外人员帮助解决时,必须在电力二次安全防护专管人员监护的前提下方可进行消缺。
第八条加强对电力二次防护专管人员的管理。
当专管人员因工作需要调动离岗时,相关部门要及时收回离岗人员持有的所有有关二次防护的材料,限制其系统访问权限,并通告二次防护的其他相关单位。
第三章人员的安全管理
第九条外聘专业人员的录用由各相关部门推荐,报人力资源部审批,人力资源部要对被录用人的身份、背景、专业资格和资质等方面内容进行审查,对其所具有的技术技能进行考核,待审查通过和考试合格后,方可对所选人员进行正式录用。
本单位的专业人员由所在部门推荐后,报人力资源部,人力资源部要对专业人员的技术、技能进行考核,考试合格后可正式录用。
第十条安全管理员、系统管理员、网络管理员等关键岗位的人员应从公司内部正式员工中选拔,人力资源部在录用人员的同时,应与安全管理员、系统管理员、网络管理员等关键岗位的人员签署保密协议。
保密协议中应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒。
第十一条要对外部人员允许访问的区域、系统、设备、信息等进行限制。
一般情况下,外部人员只允许以浏览者的身份登录,禁止以管理员的身份登录,防止误操作修改数据库中的数据。
如外来人员需要用管理员的身份登录,需执行《设备权限密码管理制度》。
第十二条安全管理员、系统管理员、网络管理员等关键岗位人员离岗时,要严格执行调离手续的办理程序,只有在收回访问权限和各种证件、专业设备后,关键岗位人员承诺履行调离后的保密义务后,方可办理调离手续。
此外,在人员调离的同时,应取回其各种专业身份证件、钥匙、徽章等以及机构提供的软硬件设备。
第十三条应每半年对各个岗位的人员进行一次安全技能及安全认知考核,并对考核结果进行记录和保存。
应按照行业信息安全要求,每半年对专业人员进行一次安全教育和培训,培训应以信息安全基础知识、岗位操作规程为主,并针对不同岗位制定不同的培训计划。
第四章技术管理
第十四条公司电力二次系统安全防护工作必须坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全。
第十五条电力二次安全防护的安全管理员应每周二、周五对所辖系统进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
第十六条设备部每半年要牵头组织一次全面的电力二次防护安全检查,检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
安全检查过程中,要利用检查表格汇总安全检查数据,形成安全检查报告,并对安全检查结果进行厂内通报。
第十七条涉及电力二次系统安全防护的产品应具备国家网络与信息安全主管部门(国家电监会信息中心)认可的有关证明。
第十八条在未完成电力二次系统安全防护措施部署前,应根据现场的实际情况制定相应的应急措施。
第十九条在对电力二次系统进行安全检查过程中,如发现部分应用系统及网络未按照电力二次系统安全防护规定执行的应限期整改,若限期之内还不能完成,则对责任人进行通报批评并依据相关规定进行处罚。
第五章系统的建设管理
第二十条产品的采购由物资供应部负责,具体产品的厂家和型号由设备工程部、总经理工作部信息中心提供。
接入电力二次系统生产控制大区中的安全产品在选择时应注意,其功能、性能应获得国家或行业指定机构安全检测证明,其电磁兼容性还需有电力系统电磁兼容检测证明。
第二十一条应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。
第二十二条如公司需要外包软件开发项目,则应根据开发需求检测软件质量,而软件开发商应提供软件设计的相关文档和使用指南,并在软件安装之前检测软件包中可能存在的恶意代码。
外包开发的软件应在本单位存有源代码备份,并已通过软件后门等安全性检测。
第二十三条设备工程部、总经部信息中心应编制与电力二次系统相关的资产清单,资产清单中需包括资产责任部门、重要程度和所处位置等内容。
第二十四条在工程实施过程中,设备部和总经部信息中心人员负责工程实施过程的管理,工程管理的负责人员应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全施工。
第二十五条工程管理人员要熟悉整个施工的过程,掌握施工中的要点,对于施工中的每项工作要严格对照行业标准和规定执行,施工中发现的问题要严格按照行业规定进行整改。
对于施工中存在的问题,施工方没有按照要求整改的,则严禁工程负责人对其进行签字验收,严禁其设备投入运。
待整改完成,同时通过试验无误后,方可对项目进行验收,并投入正式运行。
第二十六条在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告。
系统测试验收的控制方法和人员行为准则应有明确的书面规定。
第二十七条设备部和总经部信息中心负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作。
工程结束验收时,应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告。
应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
第二十八条设备部和总经部信息中心负责管理系统定级和评测的相关材料,并控制这些材料的使用,同时应将相关材料报安全监察部备案。
最后,将系统等级、评测及其他要求的备案材料报相应公安机关备案。
第二十九条在系统运行过程中,应每年对系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改。
第三十条在系统发生变更时要及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的要及时整改。
等级的评测应选择具有国家相关技术资质和安全资质的并由行业信息安全主管部门指定的测评单位。
第三十一条在安全服务方面,应选择符合国家及行业有关规定的安全服务商,并与选定的安全服务商签订安全协议和合同,明确安全责任,确保提供技术培训,并明确服务承诺。
第六章系统运维管理
第三十二条设备部和总经部信息中心人员每月要对机房供配电、空调、温湿度控制等所属区域的设施进行维护管理。
设备部负责生产控制大区机房安全、信息中心负责生产控制大区以外的机房安全,各机房的出入均应遵守进出入登记制度、各服务器的开机或关机等工作均应遵守计算机管理制度。
第三十三条应编制与电力二次系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容,并建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,规范资产管理和使用的行为,根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。
第三十四条应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
第三十五条本部门存储涉密信息的笔记本电脑和移动存储介质,仅限本部门人员使用;
对存档用的涉密硬盘、U盘、软盘、光盘和磁带,要交到安全监察部统一保管。
第三十六条个人使用的U盘等移动存储介质,一般不得存储涉密信息,因工作需要必须使用的,使用后要及时消除涉密信息。
第三十七条一般不准携带存储涉密信息的笔记本电脑与移动存储介质出国或去公共场所,确因工作需要携带的,必须办理相关审批手续。
第三十八条禁止将存储涉密信息的笔记本电脑与移动存储介质外借,禁止通过移动存储介质将涉密信息拷贝在家用电脑或外单位电脑上。
第三十九条因工作需要借用笔记本电脑、移动硬盘存储涉密信息的,归还前必须清除存储的涉密信息,并将使用的设备格式化。
第六条对淘汰或报废的笔记本电脑和移动存储介质,必须删除所有信息,统一处理。
第四十条应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点。
对于数据备份需要对某些介质实行异地存储的,存储地的环境要求和管理方法应与本地相同。
第四十一条设备部及信息中心人员应对电力二次系统相关的各种设备(包括备份和冗余设备)、线路等每月进行一次维护管理。
第四十二条设备运行安全检查是设备安全管理的重要措施,是防止设备发生故障和事故的有效方法。
通过检查可全面掌握设备的技术状况和安全状况的变化情况,及时查明和消除设备隐患,根据检查发现的问题,开展整改,以确保设备的安全运行。
设备部及信息中心每年进行一次全面的设备安全检查。
操作人员每次工作时进行一次设备安全检查。
第四十三条对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。
第四十四条应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。
第四十五条应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作。
第四十六条应确保信息处理设备必须经过审批才能带离机房或办公地点。
第四十七条应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存。
第四十八条设备部及信息中心人员应每月对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施。
第四十九条应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
第五十条设备部及信息中心应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
第五十一条应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定。
第五十二条应每月对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。
在安装系统补丁前,应首先在测试环境中对补丁的兼容性和安全性进行测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
此外,要实现设备的最小服务配置,并对配置文件进行定期离线备份。
第五十三条保证所有与外部系统的连接均得到授权和批准,并依据安全策略允许或者拒绝便携式和移动式设备的网络接入,同时还要对接入网络的便携式和移动式设备的网络使用行为进行管控。
第五十四条应每月检查违反规定拨号上网或其他违反网络安全策略的行为,并根据业务需求和系统安全分析确定系统的访问控制策略。
第五十五条应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。
第五十六条应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则。
第五十七条应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行XX的操作。
第五十八条应定期对运行日志和审计数据进行分析,以便及时发现异常行为。
第五十九条电力调度机构应指定专人负责管理本级调度数字证书系统。
第六十条应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。
第六十一条在更新恶意代码库、木马库以及IDS规则库前,应首先在测试环境中对恶意代码库、木马库以及IDS规则库的安全性和兼容性进行测试通过,更新操作应离线进行,生产控制大区恶意代码更新应由专人负责,并保存更新记录。
第六十二条应指定专人对网络和主机进行恶意代码检测并保存检测记录;
对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定;
定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。
第六十三条应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分;
应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存。
第七章应急管理
第六十四条设备工程部负责制定本单位电力二次系统安全防护应急预案,内容包括突发事件发现、应急安全隔离措施、事件上报、安全处理、事件反馈等几个方面,并每年开展一次应急预案演练。
第六十五条应急预案的制定和修改必须履行厂级的审批手续,存放在规定的地方,并根据演习的结果不断完善应急预案。
第六十六条对在电力二次系统中发生的安全技术事故和安全事件,要采取妥善措施,防止事件扩大,保护好现场,并在立即向华北公司电力调度通信中心、冀北公司电力调度通信中心、华北电监会报告,并在8小时内提供书面报告。
对隐报、缓报、谎报或未在上述时间内报告的将按国家有关规定,追究相关单位和当事人的责任。
第八章培训与评估
第六十七条设备工程部每年举办不少于一次的电力二次系统安全防护知识培训,以提高各岗位人员电力二次系统安全防护的技能和意识。
在培训的同时,要对受培训者进行安全保密教育,提高受培训人员的安全保密意识,不得将本公司的防护实施方案向其他无关人员或公司以外人员发放。
培训完成后,设备工程部要针对培训内容,对所有受培训人员进行安全技能和安全认知的考核,将考核结果进行记录并保存,并纳入绩效管理。
培训记录表见附表1。
第六十八条二次系统的安全评估采取以自评估为主,联合评估为辅的方式,要将安全评估纳入电力系统安全性评价体系,掌握基本的评估技术和方法。
第六十九条由设备工程部组织,每两年对本厂的二次安全防护情况进行自评估,在进行安全评估和监督检查中应严格控制风险,确保电力系统安全稳定运行。
参加评估的人员应将遵守保密规定,不得将本公司的防护实施方案向其他无关人员或公司以外人员发放。
第七十条华北、冀北电网的电力二次系统安全防护工作监督检查专家组对公司电力二次安全防护实施情况进行监督检查,继电保护人员应按照专家提出的整改意见积极进行整改。
第九章资金的落实
第七十一条建立专门的电力系统二次安全防护资金保障体系。
公司应每年预算二次防护相关的维护、改造、信息安全保障资金,主管部门设备工程部应严格执行资金的落实与使用,不得随意挪用二次防护的专用资金于其他的维护和改造项目中。
第七十二条二次安全防护资金的落实使用应做到有据可查,设备工程部要有详细的资金落实和使用记录,记录中需注明资金具体的落实、使用时间和详细的资金使用原因。
第十章沟通与合作
第七十三条应增强与冀北电力公司电力二次安全防护监管部门的沟通,当生产控制大区内安全防护布置发生改变时,应及时修订本厂的电力二次防护实施方案内容,并将修订后的二次防护实施方案上报冀北电力公司备案,同时将冀北电力公司对本厂电力二次防护实施方案的反馈文件留档。
第七十四条在具备条件的情况下,设备部、总经部要积极与当地公安机关取得联系,向公安机关说明厂内电力二次防护的总体情况和防护等级的定级情况,并将安全防护等级及实施方案等相关材料报送公安机关备案。
第七十五条要加强与电力二次安全防护相关设备供应商的合作与沟通,建立各相关供应商的联系列表,包括供应商的单位名称、合作内容、联系人和联系方式等信息。
此外,应与集团公司电力二次安全专家建立联络机制,经常与专家沟通,询求帮助指导信息安全建设。
第十一章二次防护相关工作的审批程序
第七十六条二次防护系统的变更、重要操作、改造等工作应提前3个工作日向冀北电网公司自动化处提出工作申请,执行网上审批流程。
经自动化处批准后,还应执行公司主设备检修申请票,主设备检修申请须经继保室或热工室主管、设备部部长、发电部部长、公司主管生产领导逐级审批。
最后,将签字完整的申请票复印两份,送交发电部运行主管,本专业保留一份。
工作审批流程见附件2。
第七十七条应建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。
第七十八条应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范;
应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;
应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存;
应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。
第七十九条设备部应每年对审批的相关事项进行审查,根据公司二次防护系统及人员的实际变动情况,及时更新需授权和审批的项目、制度编写人、部门审核人和公司批准人等信息。
如果发生系统或人员变动,应对本制度进行重新审批。
第八十条每次审批手续的执行与变更均应留有记录,记录内容中应包含本制度的编写人、审核人、批准人、审批时间及本制度的修订次数等信息,保证整个审批过程有据可查。
第八十一条对于新接入或需要改造的电力调度数据网络节点、设备和应用系统,其接入技术方案和安全防护措施在执行本厂设备异动审批手续的同时,还须经冀北电力有限公司电力调度数据网络的调度机构核准,待本厂设备异动审批与冀北公司调度机构核准均通过后,方可进行技术方案和安全防护措施的实施。
第八十二条本制度有效期为两年。
应在结束有效期一个月前,由设备工程部牵头,组织发电部、总经理工作部对制度的内容重新进行修改和审定,然后报公司主管生产领导审批,审批通过后报公司安全监察部备案,最后下发至各相关部门。
设备部负责每年组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,当发生重大变更时需要对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。
制度管理流程见附件3。
第八十三条如本制度在有效期内,经电力二次系统安全防护工作监督检查专家检查发现问题,应针对所存在的问题在制度的有效期内对制度进行重新修订、审批和备案。
第十二章附则
第八十四条本制度的解释权归设备工程部。
第八十五条本制度自发布之日起实施。
附表1:
培训记录表
培训日期
培训地点
培训内容
内容摘要:
(1)
(2)
主讲人
参加培训人员签名
附件2:
附件3:
升级会员 