T-JSREA 15—2023 电力企业工业信息安全培训规范

ICS 35.030 CCS JSREA P60 江苏省可再生能源行业协会团体标准 T/JSREA 15—2023 电力企业工业信息安全培训规范 Training specification of industrial information security for electrical power enterprise s 2023 - 12 - 15发布 2024 – 01 - 15实施江苏省可再生能源行业协会发布全国团体标准信息平台 T/JSREA 15 —2023 I 目次前言 ................................ ................................ ................. II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 符号和缩略语 ................................ ................................ ........ 1 5 培训内容 ................................ ................................ ............ 2 6 培训考核 ................................ ................................ ............ 5 附录A（资料性）相关案例、类型索引 ................................ ................... 7 附录 B（资料性）考试例题 ................................ ............................ 8 全国团体标准信息平台 T/JSREA 15 —2023 II 前言本文件按照 GB/T 1.1 —2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省可再生能源行业协会提出并归口。本文件主要起草单位：华能淮阴第二发电有限公司、南通润邦海洋工程装备有限公司、江苏省可再生能源行业协会、南京工业职业技术大学。本文件主要起草人：黄振兴，许文峰，匡柳，包德平，芮小虎，张波涛，徐佳伟，胡军，汪鑫，周汉斋，邵夕吾，施新春，杨玉鹏，邓云凤，罗乔，刘一君，于海泉，宋健京，张文波。全国团体标准信息平台 T/JSREA 15 —2023 1 电力企业工业信息安全培训规范 1 范围本文件规定了电力企业工业信息安全培训的内容和考核。本文件适用于电力企业工业信息安全培训。 2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 1359 信息安全技术信息资产安全管理产品安全技术要求 GB 17859 计算机信息系统安全保护等级划分准则 GB/T 19000 质量管理体系基础和术语 GB/T 19001 质量管理体系要求 GB/T 20269 信息安全技术信息系统安全管理要求 GB/T 20270 信息安全技术网络基础安全技术要求 GB/T 20271 信息安全技术信息系统通用安全技术要求 GB/T 20275 信息安全技术入侵检测系统技术要求和测试评价方法 GB/T 20281 信息安全技术防火墙技术要求与测试评价方法 GB/T 20984 信息安全技术信息安全风险评估规范 GB/T 22240 信息安全技术信息系统安全等级保护定级指南 GB/T 25069 信息安全技术术语 GB/T 32351 电力信息安全水平评价指标 GB/T 39204 信息安全技术关键信息基础设施安全保护要求 GB/T 40599 继电保护及安全自动装置在线监视与分析技术规范 DB14/T 2536 电力企业安全风险分级管控和隐患排查治理双重预防体系规范 ISO/IEC 17000 合格评定：词汇和通用原则 ISO/IEC 27001 Information technology -Security techniques -information security management systems –Requirements IEC 61850 SER standard LVDC communication networks and systems for power utility automation 3 术语和定义下列术语和定义适用于本文件。工业控制系统 industrial control system ；ICS 工业控制系统是一个通用术语，它包括多种工业生产中使用的控制系统，包括监控和数据采集系统，分布式控制系统，和其他较小的控制系统，如可编程逻辑控制器，现已广泛应用在工业部门和关键基础设施中。 4 符号和缩略语 PLC Programmable Logic Controller 可编程逻辑控制器 DCS Distributed Control System 分布式控制系统 DMZ Demilitarized Zone 非军事区全国团体标准信息平台 T/JSREA 15 —2023 2 MAC Media Access Control 介质访问控制 NAT Network Address Translation 网络地址转换 OPC Object Linking and Embedding for Process Control 用于过程控制的对象链接与嵌入 SCADA Supervisory Control and Data Acquisition System 监控和数据采集系统 VPN Virtual Private Network 虚拟专用网络 TCP/IP Transmission Control Protocol/Internet Protocol 传输控制协议 5 培训内容总则本标准所规定的电力企业工业信息安全培训大纲和考核要求为电力企业工业信息安全相关人员应接受的规范培训参考准则，相关人员应具备与所从事的安全工作相适应的工业信息安全知识、技术知识和上机操作实践能力。培训内容包括电力企业工业信息安全知识模块、技术知识模块和上机操作实践模块。电力企业工业信息安全知识 5.2.1 电力企业工业信息安全基本概念培训内容包括工业信息安全定义、特征、发展态势及国内外工控网络安全事件一览基本内容。具体内容如下： a) 工业信息安全定义：电力企业工业信息安全是指在电力企业的生产运营过程中，保护工业控制系统和信息系统的机密性、完整性、可用性和可靠性，防止恶意攻击、病毒侵入、非法访问、泄密等安全事件的发生，确保电力生产和供应的安全、稳定和可持续性； b) 工业信息安全特征：复杂性、高度可靠性要求、实时性、保密性要求高、长周期性； c) 电力企业工业信息安全的发展态势：网络化和智能化发展、法律法规和标准制定、安全技术和产品的发展、人才培养和安全意识提升； d) 国内外工控网络安全事件一览基本内容参考附录 A.1。 5.2.2 电力企业工业信息安全政策法规培训内容包括《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》、《中华人民共和国数据安全法》、《网络安全审查办法》法律法规课程内容。 5.2.3 电力企业工业信息安全标准培训内容包括 GB/T 1359 、GB 17859 、GB/T 19000 、GB/T 19001 、GB/T 20269 、GB/T 20270 、GB/T 20271、GB/T 20275 、GB/T 20281 、GB/T 20984 、GB/T 22240 、GB/T 25069 、GB/T 32351 、GB/T 39204 、 GB/T 40599 、DB14/T 2536 、ISO/IEC 17000 、ISO/IEC 27001 、IEC 61850 中涉及的信息安全等级保护工作的内涵及流程，掌握开展网络安全工作的基本方法，