城发环保能源（滑县）有限公司2026年度电力监控系统网络信息系统等级保护测评、安全风险评估及网络安全技术检测询比单采购公告

城发环保能源(滑县)有限公司
电力监控系统网络信息系统
安全风险评估及等级保护服务项目 技术规范书

2024 年 2 月

1 背景说明

为扎实推进并落实《河南电力调度控制中心关于下发 2023 年调度自动化及 网络安全重点工作的通知》、《2023 年安阳供电公司调控中心关于推进安阳地区 电厂调度自动化及网络安全重点工作的通知》等相关文件精神及标准要求，电站 将全面开展相关涉网防护及网源协调等各项工作。

2 工作范围

投标方需根据站内涉网二次系统现状，并按照上级调控机构的相关标准要求，完成如下工作（包括但不限于）：
1. 电力监控系统网络等保测评；
2.自动化相关设备参数及配置核查、远动通信设备数据维护、时钟同步装置 运行监测及维护等；
3.网络安全监测装置调试调测及告警隐患治理等；
4.电力监控系统网络安全风险评估及整改加固等；
5.网络安全监测能力验证评估核查；
6.满足《河南电力调度控制中心关于下发 2023 年调度自动化及网络安全重 点工作的通知》要求的工作内容；
7.满足《2023 年安阳供电公司调控中心关于推进安阳地区电厂调度自动化 及网络安全重点工作的通知》要求的工作内容；
8.根据《国网安阳供电公司电力监控系统网络安全排查整治专项行动工作 方案》要求的内容进行排查，提出更改意见。

……
上述各项工作所涉及的各项报告、方案、总结等材料必须满足上级调控机构 的相关标准要求，按时保质提交给上级调控机构相应管理人员或上传相应管理系 统，并确保通过上级调控机构审核备案。

3 技术标准及要求

一、网络安全风险评估
1、依据《河南电力调度控制中心关于下发 2023 年统调电厂调度自动化及网 络安全专业重点工作的通知》。为深入贯彻《中华人民共和国网络安全法》，全面

落实《关于加强电力行业网络安全工作指导意见》（国能发安全[2018]72 号）。

2023 年河南电力调度控制中心关于启用新版网络安全风险评估管理系统的通知 要求，开展关键信息基础设施网络安全风险评估与整改工作，并取得河南省调审 核备案，风险检查整改等工作。

2、根据河南电力调度控制中心关于下发 2023 年统调电厂调度自动化及网络 安全重点工作的通知，针对电力监控系统涉及的所有软硬件资产及相关管理文档，包括但不限于物理安全，网络安全，操作系统安全，数据库安全，通用服务安全，应用系统安全，安全措施，数据恢复及备份，信息安全评估管理，信息安全的宣 传及监督等。在新版网络安全风险评估管理系统进行审核、整改。

3、针对电厂调度自动化相关业务系统所涉及的所有软硬件资产及相关管理 文档。对风险评估中分析出的风险情况出具专业的改正意见，并根据河南电力调 度控制中心对电力系统网络安全的最新要求进行服务类整改。

4、按照省调要求，完成 2023 年度关键信息基础设施网络安全风险评估。

根据风险评估情况完成有关整改，及整改报告的编制，满足调度有关要求。现场 风险整改完善，出具最终评估报告，整改报告，并负责审核通过等事项。

5、项目进行所依据的标准和规范
《中华人民共和国网络安全法》
《电力监控系统安全防护规定》（国家发展改革委 2014 年第 14 号令）《电力监控系统安全防护总体方案》
《省级以上调度中心监控系统安全防护方案》
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》《信息安全等级保护管理办法》（公通字[2007]43 号）
《GB/20984-2007 信息安全技术 信息系统安全风险评估规范》
《GB/T 28448-2012 信息系统安全等级保护测评要求》
《GB/T 28449-2012 信息系统安全等级保护测评过程指南》
《电力行业信息系统安全等级保护基本要求》
国能安全[2018]72 号 关于加强电力行业网络安全工作的指导意见
河南电力调度控制中心关于下发 2022 年调度自动化及网络安全重点工作通 知

国家电网安质〔2018〕396 号 力通信、电力监控部分）

国家电网公司电力安全工作规程（信息、电

本技术要求书提出的是最低限度的要求，并未对一切技术细节做出规定，也 未充分引述有关标准和规范的条文。

6、实施原则
本次电力监控系统安全风险评估服务的实施应满足以下原则：
1）保密原则：对评估的过程数据和结果数据严格保密，未经授权不得泄露 给任何单位和个人，不得利用此数据进行任何侵害询价方网络的行为，否则有权 追究投标方的责任。

2）标准性原则： 评估方案的设计与实施应依据国家信息安全风险评估的标 准进行。

3）规范性原则：工作过程和相关文档应具有很好的规范性，可以便于项目 的跟踪和控制。

4）可控性原则：评估服务的进度要跟上进度表的安排，保证对评估工作的 可控性。

5）整体性原则：评估的范围和内容应当整体全面，包括国家信息安全风险 评估相关要求涉及的各个层面。

6）最小影响原则：评估工作应尽可能小的影响系统和网络的正常运行，不 能对现有网络的运行和业务的正常产生显著影响。

二、信息系统安全等级测评
1、测评依据
信息系统安全等级测评依据《网络安全等级保护基本要求》、《网络安全等级 保护测评要求》，在对信息系统进行安全技术和安全管理的安全控制测评及系统 整体测评结果基础上，针对相应等级的信息系统遵循的标准进行综合系统测评，并提出相应的系统安全整改建议。

依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：《信息安全技术网络安全保护等级保护定级指南》(GB/T22240-2020)《信息安全技术网络安全保护等级保护基本要求》(GB/T22239-2019)《信息安全技术网络安全保护等级保护测评要求》(GB/T28448-2019)《信息安全技术网络安全等级保护实施指南》(GB/T25058-2019)

《电力行业管理信息系统类基本要求》
《电力行业生产控制信息系统类基本要求》
《电力行业信息系统等级保护定级工作指导意见》（电监信息（2007）44 号）《电力监控系统安全防护规定》（发改委第 14 号令）
《关于加强电力行业网络安全工作的指导意见》（国能发安全[2018]72 号）

2、服务要求
项目总体管理和技术要求：总体要求与《信息安全等级保护管理办法》（公 通字[2007]43 号）、《信息安全技术 网络安全等级保护实施指南》（GB/T 25058-2019）和《信息安全等级保护安全建设整改工作指导意见》（公信安 [2009]1429 号）等网络安全等级保护系列文件要求保持一致，开展网络安全等 级测评工作，具体网络安全技术标准以文件相应部分提及的为准。

2.1 等级测评内容
基于《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）的等 级保护测评服务（包括物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理人员、安全管理机构、安全建设管理和 安全运维管理等十个方面的安全测评）；提交《网络安全等级保护测评报告》；依据《网络安全等级保护管理条例》的有关规定，保证使的甲方电力监控系统、DCS 系统在当地公安部门的定级备案工作完成，取得备案证明。

2.2 实施要求
在安全等级测评过程中，每个工作阶段、流程、内容及成果交付严格遵循《信 息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）和《信息安全技 术 网络安全等级保护测评过程指南》（GB∕T 28449-2018）文件，对信息系统进 行梳理，协助指导我单位对进行系统定级备案，组织专家评审，开展网络安全等 级测评和复测工作，同时应结合我企业信息系统特性，安排具备专业能力认证的 安全工程师进行全面性系统安全风险评估，根据测评结果出具相应的单项和整体 测评报告，并协助报网监部门备案。测评报告编制的内容及格式严格遵照最新的《信息系统安全等级测评报告模版》进行。

测评技术团队符合《网络安全等级保护测评机构管理办法》对测评机构和测 评人员管理的要求，项目负责人由公安部培训考核认证通过的信息安全高级等级 测评师承担，通过注册信息安全专业认证、具备良好的教育背景、受过专业的技

术培训、拥有丰富的工业信息安全及等级测评工作经验，对用户在信息系统安全 等级测评过程中可能会面临的各类技术问题提供及时解决方案解决办法。

2.3 安全整改建议要求
信息系统安全等级测评报告，编制并提交相关的信息安全整改建议方案，在 信息系统整改过程中提供安全技术咨询服务。

依照《信息安全等级保护安全建设整改工作指导意见》（公信安[2009]1429 号），严格遵循《信息安全等级保护安全建设整改工作指南》各项要求，在系统 测评工作的基础上，对信息系统总体网络安全管理和技术方面现状进行全面的分 析，制订网络安全等级保护安全建设整改方案，方案内容包含但不限于：信息安 全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系统安全产品选 型及技术指标建议、安全建设整改项目实施计划，整改后可能存在的其他问题。

三、网络安全监测装置调试调测
按照调控机构最新要求，结合站内实际情况，开展网络安全监测装置重新调 试调测，完成网监装置的应接尽接、配置核查、主备双通道、告警测试等调试调 测工作。

四、网络安全监测能力验证评估核查
按照《统调电厂网络安全监测能力验证评估实施指导手册》要求，完成配置 核查、告警测试、探针配置排查、白名单核查等评估核查；

五、培训要求
投标方在完成各项现场实施工作后，应面向场站相关从业人员提供相应的专 项业务培训，以提升现场从业人员的防护意识及操作能力。

六、工作要求
合同签订后，完成现场工作，出具《电力监控系统网络安全风险评估报告》《电力监控系统网络安全风险整改报告》《网络安全监督检查技术检测报告》；出 具《测评报告》并完成在公安局备案取得《信息安全等级保护备案证明》。