【文章內容簡介】 專用安全設備生成敏感標記，用以支持強制訪問控制機制；f) 應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。 安全審計（G3）本項要求包括：a) 應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)的用戶登錄、用戶退出、增加用戶、修改用戶權限等重要安全事件進行審計；（增強）b) 應保證審計活動的完整性和連續(xù)性，保證無法刪除、修改或覆蓋審計記錄；（落實）c) 審計記錄的內容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結果等；d) 應提供對審計記錄數(shù)據進行統(tǒng)計、查詢、分析及生成審計報表的功能。 剩余信息保護（S3）本項要求包括:a) 應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中；b) 應保證系統(tǒng)內的文件、目錄和數(shù)據庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。 通信完整性（S3）應采用密碼技術保證通信過程中數(shù)據的完整性。 通信保密性（S3）本項要求包括:a) 在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術進行會話初始化驗證；b) 應對通信過程中的整個報文或會話過程進行加密。 抗抵賴（G3）本項要求包括:a) 應具有在請求的情況下為數(shù)據原發(fā)者或接收者提供數(shù)據原發(fā)證據的功能；b) 應具有在請求的情況下為數(shù)據原發(fā)者或接收者提供數(shù)據接收證據的功能。 軟件容錯（A3）本項要求包括:a) 應提供數(shù)據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據格式或長度符合系統(tǒng)設定要求；b) 應提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復。 資源控制（A3）本項要求包括:a) 當應用系統(tǒng)的通信雙方中的一方在一段時間內未作響應，另一方應能夠自動結束會話；b) 應能夠對系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；c) 應能夠對單個帳戶的多重并發(fā)會話進行限制；d) 應能夠對一個時間段內可能的并發(fā)會話連接數(shù)進行限制；e) 應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；f) 應能夠對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警；g) 應提供服務優(yōu)先級設定功能，并在安裝后根據安全策略設定訪問帳戶或請求進程的優(yōu)先級，根據優(yōu)先級分配系統(tǒng)資源。 數(shù)據安全 數(shù)據完整性（S3）a) 應能夠檢測到系統(tǒng)管理數(shù)據、鑒別信息和重要業(yè)務數(shù)據在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；b) 應能夠檢測到系統(tǒng)管理數(shù)據、鑒別信息和重要業(yè)務數(shù)據在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。 數(shù)據保密性（S3）a) 應采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據、鑒別信息和重要業(yè)務數(shù)據傳輸保密性；b) 應采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據、鑒別信息和重要業(yè)務數(shù)據存儲保密性。 備份和恢復（A3）本項要求包括:a) 應提供數(shù)據本地備份與恢復功能，完全數(shù)據備份至少每天一次，備份介質場外存放；b) 應提供異地數(shù)據備份功能，利用通信網絡將關鍵數(shù)據定時批量傳送至備用場地；c) 應提供主要網絡設備、通信線路和數(shù)據處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。 管理要求 安全管理制度 管理制度（G3）本項要求包括：a) 應按照“誰主管誰負責，誰運營誰負責”的原則，建立電力二次系統(tǒng)安全管理制度，制定信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架等，并將電力二次系統(tǒng)安全防護及其信息報送納入日常安全生產管理體系，負責所轄范圍內計算機及數(shù)據網絡的安全管理；（細化）b) 應對安全管理活動中各類管理內容建立安全管理制度，主要包括：門禁管理、人員管理、權限管理、訪問控制管理、防尾隨管理、安全防護系統(tǒng)的維護管理、常規(guī)設備及各系統(tǒng)的維護管理、惡意代碼的防護管理、審計管理、數(shù)據及系統(tǒng)的備份管理、用戶口令密鑰及數(shù)字證書的管理、培訓管理等；（增強）c) 應對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程；d) 應形成由安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系。 制定和發(fā)布（G3）本項要求包括：a) 應指定或授權專門的部門或人員負責安全管理制度的制定；b) 安全管理制度應具有統(tǒng)一的格式，并進行版本控制；c) 應組織相關人員對制定的安全管理制度進行論證和審定；d) 安全管理制度應通過正式、有效的方式發(fā)布；e) 安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。 評審和修訂（G3）a) 信息安全領導小組應負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定；b) 應定期或不定期或在發(fā)生重大變更時對安全管理制度進行檢查和審定，對存在不足或需要改進的安全管理制度進行修訂。（增強） 安全管理機構 崗位設置（G3）本項要求包括：a) 應明確由主管安全生產的領導作為電力二次系統(tǒng)安全防護的主要責任人，成立指導和管理信息安全工作的委員會或領導小組，其最高領導由單位主管領導委任或授權；（增強）b) 應設立信息安全管理工作的職能部門，設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；c) 應設立系統(tǒng)管理員、網絡管理員、安全管理員等崗位，并定義各個工作崗位的職責；d) 應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。 人員配備（G3）本項要求包括：a) 應配備一定數(shù)量的系統(tǒng)管理員、網絡管理員、安全管理員等；b) 應配備專職安全管理員，不可兼任；c) 關鍵事務崗位應配備多人共同管理。 資金保障（G3）本項要求包括：a) 應保障落實電力二次系統(tǒng)安全建設、運維及等級保護測評資金等；（新增）b) 系統(tǒng)建設資金籌措方案和年度系統(tǒng)維護經費應包括信息安全保障資金項目。（新增） 授權和審批（G3）本項要求包括：a) 應根據各個部門和崗位的職責明確授權審批事項、審批部門及批準人，對系統(tǒng)投入運行、網絡系統(tǒng)接入和重要資源的訪問等關鍵活動進行審批；（細化）b) 應針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度；c) 應定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息；d) 應記錄審批過程并保存審批文檔；e) 接入電力調度數(shù)據網絡的節(jié)點、設備和應用系統(tǒng)，其接入技術方案和安全防護措施須經負責本級電力調度數(shù)據網絡的調度機構核準。（新增） 溝通和合作（G3）本項要求包括：a) 應加強各類管理人員之間、組織內部機構之間以及信息安全職能部門內部的合作與溝通，定期或不定期召開協(xié)調會議，共同協(xié)作處理信息安全問題；b) 應加強與行業(yè)信息安全監(jiān)管部門、公安機關、通信運營商、銀行及相關單位和部門的合作與溝通；（細化）c) 應加強與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；d) 應建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內容、聯(lián)系人和聯(lián)系方式等信息；e) 應聘請信息安全專家作為常年的安全顧問，指導信息安全建設，參與安全規(guī)劃和安全評審等。 審核和檢查（G3）a) 安全管理員應負責定期進行安全檢查，檢查內容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據備份等情況；b) 應由內部人員或上級單位定期進行全面安全檢查，檢查內容包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；c) 應制定安全檢查表格實施安全檢查，匯總安全檢查數(shù)據，形成安全檢查報告，并對安全檢查結果進行通報；d) 應制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。 人員安全管理 人員錄用（G3）本項要求包括：a) 應指定或授權專門的部門或人員負責人員錄用；b) 應嚴格規(guī)范人員錄用過程，對被錄用人員的身份、背景、專業(yè)資格和資質等進行審查，對其所具有的技術技能進行考核；c) 應與安全管理員、系統(tǒng)管理