ICS 35.040 电力行业网络安全等级保护基本要求 CCS L 80 DL DL/T 2614—2023 中华人民共和国电力行业标准 DL/T 2614—2023 电力行业网络安全等级保护基本要求 Baseline for classified protection of cybersecurity of power industry 中华人民共和国 电力行业标准 电力行业网络安全等级保护基本要求 DL/T 2614—2023 中国电力出版社出版、印刷、发行 （北京市东城区北京站西街19号10005http://www.cepp.sgcc.com.cn） 2023年10月第一版 2023年10月北京第一次印刷 880毫米×1230毫米16开本9印张277千字 统一书号155198·4917定价182.00元 版权专有侵权必究 本书如有印装质量问题，我社营销中心负责退换 中 国 电 2023-05-26发布 2023-11-26实施 中国电力出版社官方微信 中国电力百科网网址 电力标准信息微信 力 出 为您提供最及时、最准确、最权威的电力标准信息 版 国家能源局 发布 社 μ DL/T 2614—2023 目 次 前言 引言 范围 2规范性引用文件 3 术语和定义 缩略语 5 概述 5.1 等级保护对象定级与安全保护要求的关系 5.2等级保护对象分类与安全保护要求的关系， 6总体要求……. 6.1总体技术要求 6.2总体管理要求 7第二级安全保护要求 7.1电力监控系统安全保护要求， 7.2管理信息系统安全保护要求 22 8第三级安全保护要求· : 38 8.1电力监控系统安全保护要求.. 8.2管理信息系统安全保护要求… : 62 9第四级安全保护要求·…. .: 85 9.1电力监控系统安全保护要求 .. 85 9.2管理信息系统安全保护要求 .110 附录A（规范性）等级保护对象定级与安全保护要求的选择和使用 ·134 参考文献· .·138 DL/T2614—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国电力企业联合会提出。 本文件由电力行业信息标准化技术委员会（DL/TC27）归口。 本文件起草单位：中国电力科学研究院有限公司、国家能源局信息中心、国家电网有限公司、南方 电网科学研究院有限责任公司、南京南瑞信息通信科技有限公司、国电南京自动化股份有限公司、北京 卓识网安技术股份有限公司、国网冀北电力有限公司、国网河北省电力有限公司、国网上海市电力公司、 国网北京市电力公司、国网陕西省电力有限公司、国网宁夏电力有限公司、国网西藏电力有限公司、国 网江西省电力有限公司、国网河南省电力公司、海南电网有限责任公司、广西电网有限责任公司、国家 电网有限公司客户服务中心、国网数字科技控股有限公司、国家电投集团数字科技有限公司、中国长江 三峡集团有限公司流域枢纽运行管理中心、国网重庆市电力公司电力科学研究院、国网青海省电力公司 电力科学研究院、国网山东省电力公司信息通信公司、国网山东省电力公司电力科学研究院、国网河南 省电力公司电力科学研究院、国网江西省电力有限公司电力科学研究院、北京清能互联科技有限公司、 北京数盾信息科技有限公司。 本文件主要起草人：王海翔、梅文明、肖红阳、吴桐、刘莹、朱朝阳、詹雄、张晓、申连腾、邱意民、 周亮、朱亚运、刘大贺、郑义、蒙家晓、李圣泉、栾国强、焦安春、杜金燃、于亚坤、宋小芹、沈宇、 蒋屹新、徐玉景、王琼、陈文秀、阎博、杨立波、张宏杰、沈玉萍、叶龙、刘媛、王晨飞、李楠芳、杨浩、 陈明亮、宋磊、王治华、万凌云、韩世海、郭志民、王丹、向军、杨海文、戚岳、李新宇、彭轼、栗维勋、 刘新、严莉、匡晓云、杨祎巍、陈杰、叶程、何帅斌、徐杰、吴曼荣、张茂盛、丁鲁彬、汪洋、钟博、 王鹏、缪思薇、张晓娟、王鹏杰、赵宝春、马雅静、蔺子卿、孙泽锋。 本文件为首次发布。 本文件在执行过程中的意见或建议反馈至中国电力企业联合会标准化管理中心（北京市白广路二条 一号，100761)。 II DL/T 2614—2023 引言 为了落实国家网络安全等级保护相关标准规范要求，为电力企业开展电力行业网络安全等级保护定 级、建设、测评与整改等工作提供指导，需制定电力行业网络安全等级保护标准。 本文件是电力行业网络安全等级保护相关系列标准之一。与本文件相关的文件包括 DL/T2613一2023《电力行业网络安全等级保护测评指南》 62号）相关内容，提出电力行业网络安全等级保护要求。本文件在GB/T22239一2019规定的基本要求 基础上，给出了部分新增、增强和细化要求。 DL/T2614—2023 电力行业网络安全等级保护基本要求 1范围 本文件规定了电力行业网络安全等级保护不同级别等级保护对象的安全保护要求，包括总体要求和 第二级到第四级电力监控系统、管理信息系统的安全保护要求，分为安全通用要求和安全扩展要求。 本文件适用于指导电力企业开展网络安全等级保护建设与整改工作，并为电力行业网络安全等级保 护测评提供依据。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB17859计算机信息系统安全保护等级保护划分准则 GB/T22239一2019信息安全技术网络安全等级保护基本要求 GB/T22240—20201 信息安全技术网络安全等级保护定级指南 GB/T25069信息安全技术术语 GB/T25070信息安全技术网络安全等级保护安全设计技术要求 GB/T31167一2014信息安全技术云计算服务安全指南 GB/T31168一2014信息安全技术云计算服务安全能力要求 GB/T36572一2018电力监控系统网络安全防护导则 GB/T37138一2018电力信息系统安全等级保护实施指南 3术语和定义 GB17859、GB/T22239—2019、GB/T22240、GB/T25069、GB/T25070、GB/T31167—2014、GB/T 31168一2014、GB/T36572一2018、GB/T37138一2018界定的以及下列术语和定义适用于本文件。为了便于 和GB/T37138一2018中的一些术语和定义。 3.1 网络安全cybersecurity 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于 稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 ［来源：GB/T22239—2019，3.1] 3.2 等级保护对象target of classified protection 网络安全等级保护工作直接作用的对象。 注：主要包括信息系统、通信网络安全设施和数据资源等。 ［来源：GB/T22240—2019，3.2] 3.3 管理信息系统 management information system 支持电力企业管理经营的信息系统。 DL/T2614—2023 电力行业网络安全等级保护基本要求 1范围 本文件规定了电力行业网络安全等级保护不同级别等级保护对象的安全保护要求，包括总体要求和 第二级到第四级电力监控系统、管理信息系统的安全保护要求，分为安全通用要求和安全扩展要求。 本文件适用于指导电力企业开展网络安全等级保护建设与整改工作，并为电力行业网络安全等级保 护测评提供依据。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB17859计算机信息系统安全保护等级保护划分准则 GB/T22239一2019信息安全技术网络安全等级保护基本要求 GB/T22240—20201 信息安全技术网络安全等级保护定级指南 GB/T25069信息安全技术术语 GB/T25070信息安全技术网络安全等级保护安全设计技术要求 GB/T31167一2014信息安全技术云计算服务安全指南 GB/T31168一2014信息安全技术云计算服务安全能力要求 GB/T36572一2018电力监控系统网络安全防护导则 GB/T37138一2018电力信息系统安全等级保护实施指南 3术语和定义 GB17859、GB/T22239—2019、GB/T22240、GB/T25069、GB/T25070、GB/T31167—2014、GB/T 31168一2014、GB/T36572一2018、GB/T37138一2018界定的以及下列术语和定义适用于本文件。为了便于 和GB/T37138一2018中的一些术语和定义。 3.1 网络安全cybersecurity 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于 稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 ［来源：GB/T22239—2019，3.1] 3.2 等级保护对象target of classified protection 网络安全等级保护工作直接作用的对象。 注：主要包括信息系统、通信网络安全设施和数据资源等。 ［来源：GB/T22240—2019，3.2] 3.3 管理信息系统 management information sy