EvaluationcriteriaforthedigitaltransformationcapabilityofenergyenterprisesNetworkSecurityprotection中國能源研究會發(fā)布 I 2 2 2 3 3 3 3 3 3 3 6 6 7附錄A（規(guī)范性）能源企業(yè)數(shù)字化轉(zhuǎn)型網(wǎng)絡(luò)安全防護(hù)能力評分細(xì)則 9附錄B（資料性）權(quán)重設(shè)置表及權(quán)重確定的依 附錄C（資料性）能源企業(yè)數(shù)字化轉(zhuǎn)型網(wǎng)絡(luò)安全防護(hù)能力評價結(jié)果明細(xì) 附錄D（資料性）能源企業(yè)數(shù)字化轉(zhuǎn)型 I前言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)本文件是以《能源企業(yè)數(shù)字化轉(zhuǎn)型能力評價導(dǎo)則》為總則的分項系請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件起草單位：中國電力科學(xué)研究院有限公司、中能國研(北京)信息通信科技有限公司能源集團(tuán)數(shù)據(jù)中心、北京理工大學(xué)、國網(wǎng)信通產(chǎn)業(yè)集團(tuán)北京中電本文件首次發(fā)布。本文件在執(zhí)行過程中的意見或建議反饋至中國相關(guān)意見反饋聯(lián)系方式：中國能源研究會標(biāo)準(zhǔn)執(zhí)行辦公室（E-mail:cers@；電話、中國能源研究會信息通信專業(yè)委員會標(biāo)準(zhǔn)工作委員會（E-mail:icc@）。2能源企業(yè)數(shù)字化轉(zhuǎn)型能力評價網(wǎng)絡(luò)安全防護(hù)本文件規(guī)定了能源企業(yè)數(shù)字化轉(zhuǎn)型網(wǎng)絡(luò)安全防護(hù)能力的評價原則、評價指標(biāo)體系、分項評本文件適用于能源企業(yè)單位組織的自我評價及第三方服務(wù)機(jī)構(gòu)網(wǎng)絡(luò)安全防護(hù)管理的安全下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（GB/T20001.8-2023《標(biāo)準(zhǔn)起草規(guī)則第T/CERS0006—2023《能源企業(yè)數(shù)字化轉(zhuǎn)型能力評價導(dǎo)則》GB/T5271、GB/T25069—2022、GB/T20001.8-2023、T/CERS0006—2023界定的以從事電力、石油石化、煤炭、燃?xì)?、新能源、核能等主營業(yè)務(wù)的企業(yè)，或支撐以上主網(wǎng)絡(luò)安全防護(hù)能力networksecuritypro為應(yīng)對數(shù)字化轉(zhuǎn)型帶來的各種安全風(fēng)險和威脅所展現(xiàn)出的綜合防護(hù)水平與效能，涵蓋實現(xiàn)安全功能，提供安全服務(wù)的基本方法。[來源：GB/T25069-20223.11]34總體原則與要求4.1全面詳實網(wǎng)絡(luò)安全防護(hù)能力評價應(yīng)面向所有企業(yè)數(shù)字化網(wǎng)絡(luò)安網(wǎng)絡(luò)安全防護(hù)能力評價應(yīng)包含定性指標(biāo)與定量指標(biāo)，4.3發(fā)展提升網(wǎng)絡(luò)安全防護(hù)能力評價分級應(yīng)面向未來技術(shù)發(fā)展、業(yè)全防護(hù)建設(shè)的難度，引導(dǎo)企業(yè)數(shù)字化網(wǎng)絡(luò)安全防護(hù)能力不斷發(fā)展能源企業(yè)數(shù)字化轉(zhuǎn)型網(wǎng)絡(luò)安全防護(hù)能力評價指標(biāo)體系包含一級指標(biāo)三4a)優(yōu)化網(wǎng)絡(luò)安全管理體系，落實主體責(zé)任，健全安全制度，強(qiáng)化考核監(jiān)b)堅持源頭防范和預(yù)防為主，健全數(shù)字安全防護(hù)體系，優(yōu)化網(wǎng)絡(luò)安全架c)制定網(wǎng)絡(luò)安全防控整體策略，通過攻防演習(xí)、安全檢查、化轉(zhuǎn)型過程中企業(yè)面臨的網(wǎng)絡(luò)安全新風(fēng)險；完善風(fēng)險分級管控和隱患排查治理工作d)制定相關(guān)方案，推進(jìn)傳統(tǒng)信息系統(tǒng)網(wǎng)絡(luò)安全動態(tài)防護(hù)、云e)建立健全網(wǎng)絡(luò)安全審查機(jī)制，依法依規(guī)對供應(yīng)商、安b)建設(shè)能源數(shù)字化智能化研發(fā)創(chuàng)新相關(guān)平臺，圍繞能源數(shù)字化智能化安全c)制定對能源數(shù)字化轉(zhuǎn)型網(wǎng)絡(luò)安全防護(hù)技術(shù)創(chuàng)新的資金支持a)建立能源數(shù)字化網(wǎng)絡(luò)安全人才培養(yǎng)機(jī)制，優(yōu)化人才評價及激勵b)深化能源數(shù)字化智能化領(lǐng)域產(chǎn)教融合，與院校圍繞重點(diǎn)發(fā)展方向和關(guān)鍵技術(shù)共d)建立網(wǎng)絡(luò)安全專業(yè)人才的選拔、培養(yǎng)、任用機(jī)制，通賽和攻防演練等方式實現(xiàn)人才隊伍技術(shù)能力及實戰(zhàn)能安全技術(shù)評價包括態(tài)勢感知能力、安全基礎(chǔ)資源庫、工控安全、數(shù)據(jù)安全、云平5a)建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知平臺，完善網(wǎng)絡(luò)安全監(jiān)測預(yù)警與應(yīng)急處c)具備監(jiān)控及調(diào)度系統(tǒng)網(wǎng)絡(luò)安全預(yù)警及響應(yīng)處置能力制定完整的工控系統(tǒng)網(wǎng)絡(luò)防護(hù)架構(gòu)，確保系統(tǒng)具備抗攻擊能力，實現(xiàn)網(wǎng)絡(luò)邊界安全和內(nèi)部制，并具備應(yīng)對安全威脅與數(shù)據(jù)保障措施。采用安全可靠的產(chǎn)a)落實國家法律法規(guī)要求，建立數(shù)據(jù)安全合規(guī)管理體系，推動數(shù)b)建立數(shù)據(jù)安全監(jiān)管機(jī)制，梳理數(shù)據(jù)資產(chǎn)，進(jìn)行分類c)制定數(shù)據(jù)安全技防架構(gòu)，加強(qiáng)數(shù)據(jù)采集、傳輸、存儲、使構(gòu)建云安全防護(hù)體系，全面覆蓋云邊界、應(yīng)用系統(tǒng)區(qū)域、主機(jī)、容器等層次，實現(xiàn)公b)對使用商用密碼進(jìn)行保護(hù)的重要網(wǎng)絡(luò)與信息系統(tǒng)，應(yīng)明確要求同步規(guī)劃、同步商用密碼保障系統(tǒng)，并定期進(jìn)行商用密碼應(yīng)用安全性評估，與網(wǎng)絡(luò)安全等級測評相銜接，避免a)推進(jìn)內(nèi)生安全等新技術(shù)在能源系統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用，提升網(wǎng)b)建立新技術(shù)應(yīng)用安全評估體系，動態(tài)評估新技安全運(yùn)營評價包括安全運(yùn)維、實戰(zhàn)運(yùn)營、運(yùn)營6a)從規(guī)劃、設(shè)計、建設(shè)、運(yùn)行、管理等全生命周期加強(qiáng)安全運(yùn)行b)強(qiáng)化數(shù)字化轉(zhuǎn)型安全風(fēng)險綜合研判和監(jiān)督評估，增強(qiáng)應(yīng)對各類安全d)實施網(wǎng)絡(luò)安全防護(hù)精準(zhǔn)治理，加快重點(diǎn)隱患治理a)有效控制攻擊者破壞企業(yè)信息資產(chǎn)或網(wǎng)絡(luò)的次數(shù)（），能源企業(yè)數(shù)字化轉(zhuǎn)型網(wǎng)絡(luò)安全防護(hù)能力評分細(xì)則見附錄A。對附錄A給出的每項評價指標(biāo)，按以下）：7S——網(wǎng)絡(luò)安全防護(hù)能力總得分；T能源企業(yè)數(shù)字化轉(zhuǎn)型網(wǎng)絡(luò)安全防護(hù)能力評價時，針對網(wǎng)絡(luò)安全防護(hù)得分分為基礎(chǔ)級、發(fā)展級、成熟級、優(yōu)秀級、卓越級五個等級。分級標(biāo)準(zhǔn)要求如表1所示。能源企業(yè)數(shù)字化轉(zhuǎn)型網(wǎng)絡(luò)安全防護(hù)能力評初步構(gòu)建面向數(shù)字化轉(zhuǎn)型的網(wǎng)絡(luò)安全防護(hù)體系和能力，建立健全數(shù)據(jù)分類分級保護(hù)網(wǎng)絡(luò)安全管理進(jìn)一步明晰，基本構(gòu)建面向數(shù)字化轉(zhuǎn)型的網(wǎng)絡(luò)安全防護(hù)能力，網(wǎng)絡(luò)安全面建成適應(yīng)“云、大、物、移、智”等新型信息技術(shù)應(yīng)用的網(wǎng)絡(luò)安全一體化能力，形成“技術(shù)+管理”的體系化防護(hù)能力，網(wǎng)絡(luò)安全防護(hù)能力與企業(yè)數(shù)字化其他能力融為一體，基本建成可信可控的網(wǎng)絡(luò)安全和數(shù)據(jù)安全綜合防控體系，全面敏捷建成立體化、智能化的行業(yè)級網(wǎng)絡(luò)安全防護(hù)體系。網(wǎng)絡(luò)安全與數(shù)字化發(fā)展齊頭并進(jìn)，數(shù)字化發(fā)展水平和網(wǎng)絡(luò)安全保障能力協(xié)調(diào)一致，數(shù)據(jù)安全保障進(jìn)一步強(qiáng)化，防高水平建立面向全球范圍重大風(fēng)險的常態(tài)預(yù)防機(jī)制與應(yīng)對策略，高質(zhì)量建成面向網(wǎng)本標(biāo)準(zhǔn)采用企業(yè)自我評價和專家組抽查評價相結(jié)891）核查是否針對數(shù)字化轉(zhuǎn)型帶來的風(fēng)險對網(wǎng)絡(luò)安全管理體系進(jìn)行優(yōu)化；（1分）2）核查網(wǎng)絡(luò)安全管理體系是否針對數(shù)字化轉(zhuǎn)型帶來的組織和管理架構(gòu)變化，落實主體責(zé)任，強(qiáng)化考核監(jiān)督。（1分）b)1）核查網(wǎng)絡(luò)安全架構(gòu)方案是否針對數(shù)字化轉(zhuǎn)型風(fēng)險進(jìn)行優(yōu)化1分）2）核查網(wǎng)絡(luò)安全架構(gòu)方案內(nèi)容是否覆蓋業(yè)務(wù)全生命周期的“預(yù)警、監(jiān)測、響應(yīng)”1）核查是否制定網(wǎng)絡(luò)安全防控整體策略1分）2）核查是否通過技術(shù)檢查、攻防演習(xí)、安全檢查、風(fēng)險評估等方式，綜合排查分析數(shù)字化轉(zhuǎn)型過程中企業(yè)面臨的網(wǎng)絡(luò)安全新風(fēng)險；（1分）3）核查是否根據(jù)風(fēng)險影響程度進(jìn)行分級管控，完善風(fēng)險分級管控工作機(jī)制4）核查是否針對數(shù)字化轉(zhuǎn)型引入的安全隱患，完善隱患排查治理機(jī)制。（1分）；（2）核查是否制定云安全防護(hù)方案；（0.5分）3）核查是否制定大數(shù)據(jù)安全防護(hù)方案0.5分）4）核查是否制定物聯(lián)網(wǎng)安全防護(hù)方案；（0.5分）5）核查是否制定移動互聯(lián)安全防護(hù)方案0.5分）6）核查是否制定工業(yè)控制系統(tǒng)安全防護(hù)方案。（0.51）核查是否制定供應(yīng)鏈安全審查機(jī)制1分）2）檢查相關(guān)記錄文檔，核查是否對供應(yīng)商、產(chǎn)品和服務(wù)等進(jìn)行嚴(yán)格審查。（2分）1）核查是否設(shè)置錄用人員審查機(jī)制，包括對被錄用人員的身份、安全背景、專業(yè)；（2）核查是否與被錄用人員簽署保密協(xié)議，與關(guān)鍵崗位人員簽署崗位責(zé)任協(xié)議；3）核查是否建立離崗人員訪問權(quán)限回收制度，及時回收各種身份證件、鑰匙、徽4）核查是否要求離崗人員辦理嚴(yán)格的調(diào)離手續(xù)，并承諾調(diào)離后的保密義務(wù)后方可離開0.5分）5）核查是否建立外部人員訪問受控區(qū)域和受控網(wǎng)絡(luò)的書面申請機(jī)制以及外部人員6）核查是否與獲得系統(tǒng)訪問授權(quán)的外部人員簽署保密協(xié)議。（0.5b)1）核查是否定期組織安全意識教育和崗位技能培訓(xùn)1分）2）核查是否定期對不同崗位的人員進(jìn)行技能考核。（1分）1）核查是否開展網(wǎng)絡(luò)安全生產(chǎn)標(biāo)準(zhǔn)化建設(shè)工作1分）2）核查是否制定數(shù)字化轉(zhuǎn)型網(wǎng)絡(luò)安全生產(chǎn)相關(guān)標(biāo)準(zhǔn)。（2分）b)1）核查是否建設(shè)能源數(shù)字化智能化研發(fā)創(chuàng)新平臺1分）2）核查是否圍繞能源數(shù)字化智能化安全技術(shù)創(chuàng)新重點(diǎn)方向開展系統(tǒng)性研究。（2核查是否具有對能源數(shù)字化轉(zhuǎn)型網(wǎng)絡(luò)安全防護(hù)技術(shù)創(chuàng)新的資金支持計劃，支持能源（121）核查是否建立能源數(shù)字化網(wǎng)絡(luò)安全人才培養(yǎng)機(jī)制，優(yōu)化人才評價及激勵政策。（1.52）核查是否促進(jìn)交流引進(jìn)，大力吸引能源數(shù)字化智能化領(lǐng)域海外高層次人才從事科研等b)核查是否深化能源數(shù)字化智能化領(lǐng)域產(chǎn)教融合，與院校圍繞重點(diǎn)發(fā)展方向和關(guān)鍵技術(shù)共建1）核查是否每年通過網(wǎng)絡(luò)安全到基層、網(wǎng)絡(luò)安全宣傳周等形式培養(yǎng)和提升員工的網(wǎng)絡(luò)安全意識1分）2）核查是否開展釣魚郵件模擬演練等活動，提升員工防釣魚、防社工意識1分）3）核查是否每年對網(wǎng)絡(luò)安全人員進(jìn)行基本技能培訓(xùn)。（1分）1）核查是否建立網(wǎng)絡(luò)安全專業(yè)人才選拔、培養(yǎng)、任用機(jī)制1分）2）核查是否通過安排技術(shù)技能培訓(xùn)與考核、參與技能大賽和攻防演練等方式實現(xiàn)人才隊1）核查是否建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知平臺1分）2）核查是否制定網(wǎng)絡(luò)安全監(jiān)測預(yù)警與應(yīng)急處置體系，增強(qiáng)安全運(yùn)營的態(tài)勢感知能力13）檢查相關(guān)系統(tǒng)日志、事件報告，核查是否具備事前防范、事中監(jiān)測、事后應(yīng)急處置能力。（1分）b)1）核查態(tài)勢感知系統(tǒng)是否覆蓋生產(chǎn)全過程1分）2）核查態(tài)勢感知系統(tǒng)是否覆蓋作業(yè)全場景；（1分）3）核查態(tài)勢感知系統(tǒng)是否覆蓋運(yùn)營管理各項活動。（1分）1）核查態(tài)勢感知系統(tǒng)是否具備監(jiān)控及調(diào)度系統(tǒng)網(wǎng)絡(luò)安全預(yù)警及響應(yīng)處置能力；（1分）2）核查態(tài)勢感知系統(tǒng)是否具備自動化安全風(fēng)險識別和風(fēng)險阻斷能力1分）3）檢查事件報告、響應(yīng)處置記錄，核查是否具備攻擊溯源能力。（1分）；（2）核查是否建有網(wǎng)絡(luò)安全漏洞庫1分）3）核查是否建有網(wǎng)絡(luò)安全病毒庫；（1分）4）核查是否建有網(wǎng)絡(luò)安全威脅情報庫。（1分）；（2）核查是否具備應(yīng)對安全威脅與數(shù)據(jù)保障措施。（3分）b)檢查工控系統(tǒng)、芯片、操作系統(tǒng)、通用基礎(chǔ)軟硬件等方面使用的產(chǎn)品和服務(wù)，核查是否采1）核查是否建設(shè)數(shù)據(jù)安全合規(guī)管理體系1分）2）核查是否開展數(shù)據(jù)安全合規(guī)管控能力建設(shè)，比如部署數(shù)據(jù)安全合規(guī)管控相關(guān)系統(tǒng)1b)1）核查是否建立數(shù)據(jù)安全監(jiān)管機(jī)制1分）2）核查是否梳理數(shù)據(jù)資產(chǎn)并進(jìn)行分類分級；（1分）1）核查是否制定數(shù)據(jù)安全技防架構(gòu)，明確資產(chǎn)的安全管理目標(biāo)、原則和范圍；（1分）2）核查是否明確各類數(shù)據(jù)全生命周期（包括并不限于數(shù)據(jù)采集、存儲、處理、應(yīng)用、流動、銷毀等過程）的操作規(guī)范和保護(hù)措施1分）1）核查是否開展數(shù)據(jù)安全保護(hù)能力落地1分）2）檢查數(shù)據(jù)安全相關(guān)產(chǎn)品，核查是否推廣數(shù)據(jù)安全保護(hù)產(chǎn)品應(yīng)用；（1分）1）核查是否應(yīng)用能源數(shù)據(jù)安全共享及多方協(xié)同等技術(shù)，實現(xiàn)敏感數(shù)析1分）2）核查是否應(yīng)用能源數(shù)據(jù)安全共享及多方協(xié)同等技術(shù)，實現(xiàn)數(shù)據(jù)異常流動分析等技術(shù)保障能力。（1分）分1）核查是否構(gòu)建云安全防護(hù)體系1分）2）核查網(wǎng)絡(luò)安全防護(hù)體系是否全面覆蓋云邊界、應(yīng)用系統(tǒng)區(qū)域、主機(jī)、容器等層次1分）3）核查是否實現(xiàn)公有云、私有云、混合云多云架構(gòu)環(huán)境下網(wǎng)絡(luò)安全的深度融合，1）核查是否建立密碼應(yīng)用標(biāo)準(zhǔn)體系1分）2）核查是否開展重要業(yè)務(wù)系統(tǒng)國產(chǎn)密碼算法應(yīng)用改造工作。（2分）b)1）檢查使用商用密碼進(jìn)行保護(hù)的重要網(wǎng)絡(luò)與信息系統(tǒng)的設(shè)計文檔，核查是否明確要求同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)1分）2）核查是否定期進(jìn)行商用密碼應(yīng)用安全性評估。（2分）核查是否推進(jìn)內(nèi)生安全等新技術(shù)的研究應(yīng)用，提升網(wǎng)絡(luò)安全智能防護(hù)技b)1）核查是否建立新技術(shù)應(yīng)用安全評估體系1分）2）核查是否動態(tài)評估新技術(shù)應(yīng)用存在的安全風(fēng)險。（2分）核查是否從規(guī)劃、設(shè)計、建設(shè)、運(yùn)行、管理等全生命周期各環(huán)節(jié)加強(qiáng)安全運(yùn)行管理。（4分）b)；（2）核查是否增強(qiáng)應(yīng)對各類安全風(fēng)險的風(fēng)險預(yù)警、防控機(jī)制和能力建設(shè)。（2分）；（2）核查是否強(qiáng)化安全生產(chǎn)監(jiān)督和考核工作。（2分）檢查是否具備網(wǎng)絡(luò)安全防護(hù)精準(zhǔn)治理、重點(diǎn)隱患治理、應(yīng)急處置等措施，核查是否檢查網(wǎng)絡(luò)安全仿真驗證環(huán)境，核查是否具備網(wǎng)絡(luò)安全仿真實驗、分析推演能b)1）核查