ICS35.240.50 F 07 中华人民共和国国家标准 GB/T 37138—2018 电力信息系统安全等级保护实施指南 Implementation guide for cyber security classified protection of electric power information system 2018-12-28发布 2019-07-01实施 国家市场监督管理总局 发布 中国国家标准化管理委员会 GB/T 37138—2018 目 次 前言 引言 范围 1 2规范性引用文件 术语和定义 3 等级保护实施概述 4 4.1基本原则 4.1.1结构优先原则 4.1.2 联合防护原则 4.1.3 安全可控原则 4.1.4 立体防御原则 4.2角色和职责 4.2.1 电力信息系统运行单位 4.2.2 电力调度机构 4.2.3 电力信息系统安全服务机构 4.2.4 电力信息系统安全等级测评机构 4.2.5 电力信息系统安全产品供应商 4.2.6 电力信息系统供应商 4.2.7 电力信息系统设计单位 4.2.8 主管部门 4.3 实施的基本活动 5定级与备案 5.1 定级与备案阶段的流程 5.2定级对象分析 5.2.1电力信息系统分析 5.2.2定级对象确定 5.3安全保护等级确定 5.3.1定级、审核和批准 5.3.2形成定级报告 5.4定级结果备案 6测评与评估 6.1 测评与评估的流程 6.2 等级测评 6.2.1 测评机构选择 6.2.2 测评准备 6.2.3 方案编制 GB/T37138—2018 6.2.4现场测评 10 6.2.5分析与报告编制 11 6.3电力监控系统安全防护评估 12 6.3.1评估形式选择 6.3.2评估准备 12 6.3.3现场评估 13 6.3.4分析与报告编制 13 7安全整改 7.1 安全整改的流程… 4 7.2 整改方案制定 14 7.3 安全整改实施 15 7.4 安全整改验收· 16 8退运 16 8.1电力信息系统退运阶段的流程 16 8.2信息转移、暂存和清除 16 8.3 设备迁移或退运 17 8.4存储介质的清除或销毁 17 参考文献 19 GB/T37138—2018 前言 本标准按照GB/T1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由国家能源局提出。 本标准由全国电力监管标准化技术委员会（SAC/TC296）归口。 集团公司、全球能源互联网研究院有限公司、北京卓识网安技术股份有限公司、中国电力科学研究院有 限公司、国网电力科学研究院有限公司、国电南京自动化股份有限公司、南方电网科学研究院有限责任 公司、中国软件评测中心。 本标准主要起草人：梁建勇、胡红升、王保喜、陈雪鸿、阴玉清、李焕、叶世超、陶文伟、王静、李旸照、 张、毛澍、房磊、赵婷、焦安春、高艳坤、于学军、李凌、刘育辰、吴国华、秦学嘉、丁晓玉、刘寅、张敏、 郁宝坤、张五一、许爱东、陈华军、蒙家晓、周锋、郝鑫。 Ⅲ GB/T37138—2018 引 为规范电力信息系统安全等级保护实施的流程、内容和方法，加强电力信息系统的安全管理，防范 网络攻击对电力信息系统造成的侵害，保障电力系统的安全稳定运行，依据国家和行业有关政策，制定 本标准。 在对电力信息系统实施网络安全等级保护的过程中，除使用本标准外，在不同的阶段，还应参照其 他有关网络安全等级保护的标准开展工作。 IV