《华能罗源电厂2023年信息系统等级保护测评与安全防护评估项目技术规范书批准审核校核编写.docx》由会员分享,可在线阅读,更多相关《华能罗源电厂2023年信息系统等级保护测评与安全防护评估项目技术规范书批准审核校核编写.docx(7页珍藏版)》请在课桌文档上搜索。
1、华能罗源电厂2023年信息系统等级保护测评与安全防护评估项目技术规范书批准:审核:校核:编写:华能罗源发电有限责任公司2023年07月1总则234目录1.1 弓I口1.2 适用范围1.3 标准和规范错误!未定义书签。错误!未定义书签.错误!未定义书签.错误!未定义书签.技术规范32.1 技术要求32.2 项目服务清单4试验和验收43.1 设备调试43.2 设备验收4技术服务和培训54.1 技术服务54.2 培训61总则1.1 引言本技术规范书用于华能罗源电厂2023年信息系统等级保护测评与安全防护评估项目,它对设备范围、分工、技术规范、设备验收、技术服务等方面作出要求。根据信息系统安全等级保护
2、基本要求(GB/T22239-2008)、信息安全等级保护管理办法(公通字201743号)、信息安全技术网络安全等级保护定级指南(GB/T1389-2017)完成华能罗源电厂分散控制系统(DCS)、火电厂自动化系统(NCS)等级保护测评与安全防护评估工作,出具国家能源局认可的等级保护测评报告和安全防护评估报告,并在当地公安局完成备案。1.2 适用范围本技术规范适用于华能罗源电厂分散控制系统(DCS)、火电厂自动化系统(NCS)等级保护测评与安全防护评估工作,包括技术服务要求和验收要求。1.2.1 本技术规范提出的是最低限度的技术要求。凡本技术规范中未规定,但在相关国家标准、电力行业标准或IEC
3、标准中有规定的规范条文,投标方应按相应标准的条文进行服务供应说明。1.2.2 如果投标方没有以书面形式对本技术规范的条文提出异议,则招标方认为投标方提供的服务完全符合本技术规范。1.2.3 本技术规范所建议使用的标准如与投标方所执行的标准不一致,投标方应按更严格标准的条文执行或按双方商定的标准执行。1.3 标准和规范下列文件中的条款通过本规范的引用而成为本规范的条款,除本技术规范书特别规定外,所用的标准必须是其最新版本;如果这些标准内容矛盾时,应按最高标准的条款执行或按双方商定的标准执行;如果投标方选用本技术规范书规定以外的标准时,需提交与这种替换标准相当的或优于规定标准的证明,供招标方确认。
4、(不仅限于以下)A中华人民共和国网络安全法网络安全等级保护基本要求(GBT22239-2019)A电力监控系统安全防护总体方案等安全防护方案和评估规范36号文电力调度自动化系统运行管理规定电力监控系统安全防护规定(国家发改委令2014年第14号)关键信息基础设施安全保护条例A国网福建电力调控中心关于印发2021年直调电厂涉网调度自动化优先实施项目的通知(调自(2021)17号)A电力二次系统安全防护规定(国家电力监管委员会发布20055号令A电网和电厂计算机监控系统及调度数据网络安全防护的规定(国家经贸委发布30号令)电力系统安全性评价体系国调中心关于加快实施电力监控系统安全防护建设项目通知A
5、国网福建电力调控中心关于加快推进直调电厂电力监控系统网络安全监测能力验证评估问题整改工作的通知A国网福建电力调控中心关于推进电力监控系统网络安全监测能力验证评估工作的通知(调自(2022)42号)国网福建电力调控中心关于直调电厂2023年度调度自动化涉网重点工作安排的通知(调自(2022)149号)2技术规范2.1 技术要求2.1.1 本项目服务范围包含但不限于网络安全等级保护测评与安全防护评估、出具报告、加固整改、协助备案、安全咨询及培训服务。本次测评工作必须满足信息系统安全等级保护基本要求(GB/T22239-2008)、信息安全等级保护管理办法(公通字201743号)、信息安全技术网络安
6、全等级保护定级指南(GB/T1389-2017)等相关国家标准、电力行业标准的要求。包含但不仅限于以下内容:安全技术测评:包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个方面的安全测评:安全管理测评:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。电力监控系统安全防护评估的主要内容包括:资产评估、威胁评估、脆弱性评估、现有安全措施有效性评估等。2.1.2 本次测评工作实施过程中必须满足电力二次系统安全防护总体方案、电力监控系统安全防护标准化管理要求的安全防护功能要求。2.1.3 信息系统等级保护测评工作需出具国家能源局认可的等级
7、保护测评报告和安全防护评估报告,并协助招标方开展每年的“公安机关网络安全执法检查自查工作。2.1.4 4协助招标方完成测评过程中不符合项整改工作,使现场各系统满足电力二次安全防护要求,并对招标方技术人员提供培训服务,培训地点、方式、人数等由双方协商确定2.1.5 1.5.投标方拟派遣服务于本项目的人员至少包含1名高级测评师和1名中级测评师,测评人员应具有有效的测评师证书(提供证书扫描件),其证书相关信息及所属机构应与网络安全等级保护网”公布信息一致(提供网站截图),并得到招标方认可方可入厂。2.2 项目服务清单序号服务项目单位数量备注1分散控制系统(DCS)安全等级保护测评工作项12火电厂自动
8、化系统(NCS)安全等级保护测评工作项13电力监控系统安全防护评估工作项13试验和验收3.1 设备调试投标方在项目方案设计、实施、验收的各个阶段,应达到等级保护测评要求及调自(2022)42号文件应接尽接要求。3.2 设备验收投标方完成项目后应提供文档列表序号文档名称提交时间备注1差距分析报告签署合同后1周电子版2差距整改方案签署合同后1周电子版3分散控制系统(DCS)安全等级保护测评报告现场测评后4周正式版、电子版4火电厂自动化系统(NCS)安全等级保护测评报告现场测评后4周正式版、电子版5电力监控系统安全防护评估报告现场测评后4周正式版、电子版4技术服务和培训4.1 技术服务1 .投标方开
9、展上述工作时应确保生产和信息安全,不发生因本工作原因导致的各级安全事件(故)。2 .投标方开展上述工作时应符合以下原则:(1)保密原则:对服务的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标方的行为,否则招标方有权追究投标方的责任。(2)标准性原则:服务方案的设计与实施应依据国家信息系统安全等级保护和电力监控系统安全防护的相关标准进行。(3)规范性原则:投标方工作中的过程和文档,应具有很好的规范性,便于项目的跟踪和控制。(4)可控性原则:服务的进度要跟上进度表的安排,保证招标方对于服务工作的可控性。(5)整体性原则:服务的范围和内容应当整体全面,包
10、括国家等级保护相关要求和电力监控系统安全防护涉及的各个层面。(6)最小影响原则:服务工作应尽可能小的影响系统和网络,并在可控范围内;服务工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。投标方应严格依照上述原则和国家信息系统安全等级保护和电力监控系统安全防护相关标准开展项H实施工作。3 .在服务过程中,投标方应接受招标方的全过程监督。4工作结束时,根据合同要求的质量标准和技术要求进行验收,验收时必要的专用工具由投标方负责免费提供,所使用的工具软件本身不能有任何安全隐患,同时提供的安全服务必须在技术上先进和成熟,使用工具软件版本是最新的并且成熟稳定。投标方应于工作结束1个月内向招标方
11、提交工作报告,并经招标方审核通过.4.2 培训1. 2.1培训总则要求如下:a)投标方应提供高水平的培训。培训应包括硬件、软件等。所提供的培训课程表随投标文件一起提交。b)投标方派出的培训教员应至少具有1年的相同课程的教学经验。c)所有的培训教员应用中文授课(如果讲师不会讲中文,投标方应提供中文翻译),除非有其他的协议规定。d)培训场所由招标方提供。e)培训时间和日期与招标方协商决定。f)培训费用计入总价。4. 2.2培训内容与课程要求如下:a)培训内容应包括:投标方所提供的软、硬件设备的相关技术原理、性能、操作使用方法、维护管理的技术、实际的操作练习等。使具备独立进行管理、维护测试和故障处理等工作的能力,以保证投标方所提供的设备能够正常、安全运行。b)提供详细培训体系内容。