ICS35.240

L80

團體標準

T/×××××××—××××

能源企業(yè)數(shù)字化轉(zhuǎn)型能力評價

安全防護能力評價

Evaluationfordigitaltransformationcapabilitiesofenergy

enterprises

EvaluationforCapabilityofsecurityprotection

（征求意見稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

中國能源研究會發(fā)布

T/CECXXXXX—XXXX

能源企業(yè)數(shù)字化轉(zhuǎn)型能力評價安全防護

1范圍

本文件規(guī)定了能源企業(yè)數(shù)字化轉(zhuǎn)型安全防護能力的評價要求和方法，包括安全體系、安全技術、

安全運營等。

本文件適用于能源企業(yè)自我評價及第三方服務機構開展安全防護能力評價。評價結果作為制度落

實的印證以及隱患整改的依據(jù)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適

用于本文件。

GB/T5271信息技術詞匯

GB/T25069—2022信息安全技術術語

T/CERS0006—2023能源企業(yè)數(shù)字化轉(zhuǎn)型能力評價導則

3術語和定義

GB/T5271、GB/T25069—2022、T/CERS0006—2023界定的以及下列術語和定義適用于本文件。

3.1

能源企業(yè)energyenterprise

從事電力、石油石化、煤炭、燃氣、新能源、核能等主營業(yè)務的企業(yè)，或支撐以上主營業(yè)務開展

的咨詢、相關設備制造等服務的企業(yè)。

3.2

安全防護能力securityprotectioncapability

指為應對數(shù)字化轉(zhuǎn)型帶來的各種安全風險和威脅所展現(xiàn)出的綜合防護水平與效能，涵蓋技術手段

運用、管理制度完善及人員安全意識提升等方面。

4縮略語

下列縮略語適用于本文件。

IaaS：基礎設施服務（Infrastructureasaservice）

PaaS：平臺服務（Platformasaservice）

SaaS：軟件服務（Softwareasaservice）

3

T/CECXXXXX—XXXX

5評價指標

5.1指標體系

能源企業(yè)數(shù)字化轉(zhuǎn)型安全防護能力評價指標體系包含一級指標三個、二級指標十四個，如圖1所示。

5.1.1一級指標

一級指標包括安全體系、安全技術、安全運營等三個方面。

5.1.2二級指標

能源企業(yè)數(shù)字化轉(zhuǎn)型安全防護能力評價二級指標共十四個。

a）安全體系評價包括安全機制、人員管理、安全建設、人才培養(yǎng)等四個方面。

b）安全技術評價包括態(tài)勢感知能力、安全基礎資源庫、工控安全、數(shù)據(jù)安全、云平臺安全、密碼

應用、新技術應用等七個方面。

c）安全運營評價包括安全運維、實戰(zhàn)運營、運營效率等三個方面。

圖1安全防護能力評價指標

5.2評價內(nèi)容

5.2.1安全體系

5.2.1.1安全機制

評價內(nèi)容如下：

a)優(yōu)化網(wǎng)絡安全管理體系，落實主體責任，健全安全制度，強化考核監(jiān)督，應對數(shù)字化轉(zhuǎn)型帶

來的組織和管理架構變化，為實現(xiàn)更高水平安全提供有力的制度體系保障；

b)堅持源頭防范和預防為主，健全數(shù)字安全防護體系，優(yōu)化網(wǎng)絡安全架構，構建覆蓋業(yè)務全生

命周期的“預警、監(jiān)測、響應”縱深防御體系，增強企業(yè)數(shù)字化轉(zhuǎn)型中應對各類網(wǎng)絡安全風

險的能力；

c)制定網(wǎng)絡安全防控整體策略，通過攻防演習、安全檢查、風險評估等方式，綜合排查分析數(shù)

字化轉(zhuǎn)型過程中公司面臨的網(wǎng)絡安全新風險；完善風險分級管控和隱患排查治理工作機制；

4

T/CECXXXXX—XXXX

d)制定相關方案，推進傳統(tǒng)信息系統(tǒng)網(wǎng)絡安全動態(tài)防護、云安全防護、大數(shù)據(jù)安全防護、物聯(lián)

網(wǎng)安全防護、移動安全防護、工業(yè)控制系統(tǒng)安全防護升級；

e)建立健全網(wǎng)絡安全審查機制，依法依規(guī)對供應商、安全方案、產(chǎn)品和服務等進行嚴格審查，

提高產(chǎn)品和服務的安全性可控性。

5.2.1.2人員管理

評價內(nèi)容如下：

a)加強人員錄用、人員離崗、外部人員訪問管理；

b)定期組織安全意識教育與培訓，提升企業(yè)員工網(wǎng)絡安全意識。

5.2.1.3安全建設

a)推進網(wǎng)絡安全標準化建設，保障企業(yè)數(shù)字化轉(zhuǎn)型安全；

b)建設能源數(shù)字化智能化研發(fā)創(chuàng)新平臺，圍繞能源數(shù)字化智能化安全技術創(chuàng)新重點方向開展系

統(tǒng)性研究；

c)制定對能源數(shù)字化轉(zhuǎn)型安全防護技術創(chuàng)新的資金支持計劃，形成支持能源數(shù)字化智能化發(fā)展

的長效機制。

5.2.1.4人才培養(yǎng)

評價內(nèi)容如下：

a)建立能源數(shù)字化網(wǎng)絡安全人才培養(yǎng)機制，優(yōu)化人才評價及激勵政策。促進交流引進，大力吸

引能源數(shù)字化智能化領域高層次人才從事科研等活動；

b)深化能源數(shù)字化智能化領域產(chǎn)教融合，與院校圍繞重點發(fā)展方向和關鍵技術共建網(wǎng)絡安全產(chǎn)

業(yè)學院、聯(lián)合實驗室、實習基地等；

c)每年通過各種形式培養(yǎng)和提升員工的網(wǎng)絡安全基本技能；

d)建立網(wǎng)絡安全專業(yè)人才的選拔、培養(yǎng)、任用機制，通過安排技術技能培訓與考核、參與技能

大賽和攻防演練等方式實現(xiàn)人才隊伍技術能力及實戰(zhàn)能力的提升。

5.2.2安全技術

5.2.2.1態(tài)勢感知能力

評價內(nèi)容如下：

a)建設網(wǎng)絡安全態(tài)勢感知平臺，完善網(wǎng)絡安全監(jiān)測預警與應急處置體系，增強事前防范、事中

監(jiān)測、事后應急能力，提升安全保障能力和服務水平；

b)態(tài)勢感知平臺覆蓋生產(chǎn)全過程、作業(yè)全場景、運營管理各項活動；

c)具備監(jiān)控及調(diào)度系統(tǒng)網(wǎng)絡安全預警及響應處置能力，實現(xiàn)自動化安全風險識別、風險控制和

攻擊溯源。

5.2.2.2安全基礎資源庫

規(guī)劃建設漏洞庫、病毒庫、威脅情報等網(wǎng)絡安全基礎資源庫，加強安全資源儲備。

5.2.2.3工控安全

制定完整的工控系統(tǒng)網(wǎng)絡防護架構，確保系統(tǒng)具備抗攻擊能力，實現(xiàn)網(wǎng)絡邊界安全和內(nèi)部訪問控制，

并具備應對安全威脅與數(shù)據(jù)保障措施。采用安全可靠的信創(chuàng)產(chǎn)品和服務。5.2.2.4數(shù)據(jù)安全

5

T/CECXXXXX—XXXX

評價內(nèi)容如下：

a)落實國家法律法規(guī)要求，建立數(shù)據(jù)安全合規(guī)管理體系，推動數(shù)據(jù)安全合規(guī)管控能力建設；

b)建立數(shù)據(jù)安全監(jiān)管機制，梳理數(shù)據(jù)資產(chǎn)，進行分類分級，規(guī)范數(shù)據(jù)使用；

c)制定數(shù)據(jù)安全技防架構，加強數(shù)據(jù)采集、傳輸、存儲、使用、共享、銷毀等各個環(huán)節(jié)的保護

措施；

d)開展數(shù)據(jù)安全保護能力落地，推廣數(shù)據(jù)安全保護產(chǎn)品應用；

e)應用能源數(shù)據(jù)安全共享及多方協(xié)同等技術，實現(xiàn)敏感數(shù)據(jù)泄露監(jiān)測、敏感數(shù)據(jù)泄露溯源分析、

數(shù)據(jù)異常流動分析等技術保障及分析能力。

5.2.2.5云平臺安全

構建云安全防護體系，全面覆蓋云邊界、應用系統(tǒng)區(qū)域、主機、容器等層次，實現(xiàn)公有云、私有

云、混合云多云架構環(huán)境下網(wǎng)絡安全的深度融合，形成IaaS、PaaS、SaaS層級的云安全防護能力。

5.2.2.6密碼應用

評價內(nèi)容如下：

a)建立密碼應用標準體系，推動重要業(yè)務系統(tǒng)國產(chǎn)密碼算法應用改造；

b)對使用商用密碼進行保護的重要網(wǎng)絡與信息系統(tǒng)，應明確要求同步規(guī)劃、同步建設、同步運

行商用密碼保障系統(tǒng)，并定期進行商用密碼應用安全性評估。

5.2.2.7新技術應用

評價內(nèi)容如下：

a)推進內(nèi)生安全等新技術在能源系統(tǒng)網(wǎng)絡安全領域的應用，提升網(wǎng)絡安全智能防護技術水平；

b)建立新技術應用安全評估體系，動態(tài)評估新技術應用存在的安全風險。

5.2.4安全運營

5.2.4.1安全運維

評價內(nèi)容如下：

a)從規(guī)劃、設計、建設、運行、管理等全生命周期加強安全運行管理，提高安全運營效率，產(chǎn)

生高質(zhì)量的安全運營成果；

b)強化數(shù)字化轉(zhuǎn)型安全風險綜合研判和監(jiān)督評估，增強應對各類安全風險的風險預警、防控機

制和能力建設；

c)強化合規(guī)管理，推進安全審計，強化安全生產(chǎn)監(jiān)督和考核；

d)實施安全防護精準治理，加快重點隱患治理，強化應急處置效能，防范和化解各種安全風險，

以高水平安全運營保障數(shù)字化轉(zhuǎn)型高質(zhì)量發(fā)展。

5.2.4.2實戰(zhàn)運營

評價內(nèi)容如下：

a)建設網(wǎng)絡安全仿真驗證環(huán)境，具備網(wǎng)絡安全仿真實驗、分析推演能力；

b)定期開展攻防演習，檢驗企業(yè)網(wǎng)絡安全防護水平；

c)制定網(wǎng)絡安全應急預案，具備突發(fā)網(wǎng)絡安全事件應急處置和協(xié)同聯(lián)動能力。

5.2.4.3運營效率

6

T/CECXXXXX—XXXX

評價內(nèi)容如下：

a)有效控制攻擊者破壞企業(yè)信息資產(chǎn)或網(wǎng)絡的次數(shù)（安全

事件發(fā)生率），避免對組織的資產(chǎn)或數(shù)據(jù)造成實際的損失；

b)對突發(fā)安全事件能夠快速響應和處置；

c)安全漏洞和隱患能夠及時進行修補或評估可能的影響后

進行修補。

6安全防護能力評價分級

6.1評價形式

能源企業(yè)數(shù)字化轉(zhuǎn)型安全防護能力評價形式包括兩種：

a)企業(yè)自評：由企業(yè)自行對安全防護情況進行評價。通過自評，掌握本組織安全防護現(xiàn)狀，并

針對薄弱環(huán)節(jié)采取有效改進措施，最終達到改善和提高本企業(yè)字化轉(zhuǎn)型安全防護能力的目的；

b)外部評價：由外部組織（例如，網(wǎng)絡安全服務機構）按照評價標準對企業(yè)安全防護情況進行

評價，最終達到為能源企業(yè)提供更客觀、更專業(yè)的安全防護能力的目的。

6.2評分細則

能源企業(yè)數(shù)字化轉(zhuǎn)型安全防護能力評分細則見附錄A。對附錄A給出的每項評價指標，按以下方法

給予單項指標得分：

a)如果該項指標規(guī)定的全部要求都得到滿足，給予該項指標的全部分值；

b)如果有充分理由證明該項指標對該企業(yè)不適用，給予該指標項的全部分值；

c)如果該項指標規(guī)定的全部要求都未得到滿足且不滿足b)情況，該指標項得0分；

d)該項指標規(guī)定的要求部分滿足且不滿足b)情況，按具體滿足情況給予該指標部分分值。

6.3指標權重分配

能源企業(yè)數(shù)字化轉(zhuǎn)型安全防護能力各項指標的權重分配如表1所示。

表1指標權重分配表

序號評估指標權重值

1安全體系30%

2安全技術40%

3安全運營30%

6.4評分計算方法

計算企業(yè)安全防護能力總得分，見公式（1）：

（1）

?

式中：3?

?=1??

S——安全防護能力?總=得分