2026-01-17 02:08:33 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文件系统建立核能行业网络安全九大领域业绩目标与评估准则，以等级保护和关基要求为基，强调管理主导，细化领导力、物理、网络、计算、建设、运维、监测、保障等子域可衡量要求，给出职责人与达标要点，为企业自评与同行评估提供操作指南，推动风险闭环与持续改进。 综合评分： 88 文章分类： 安全建设,政策法规,安全运营,漏洞分析,解决方案

cover_image

核能行业网络安全业绩目标与评估准则

原创

计算机与网络安全

2026年1月15日 12:57 山东

本文件规定了核能行业网络安全业绩目标与评估准则，为核能行业开展网络安全同行评估及企业自评估工作提供指导，涵盖网络安全领导力、物理环境、通信网络等九大领域的业绩目标与具体评估准则。

网络安全业绩目标领域划分

领域划分依据：基于网络安全等级保护基本要求和关键信息基础设施保护要求，体现“三分技术、七分管理”规律，聚焦管理、领导力及管理改进，通过同行评估促进相关标准落实。

九大子领域：包括网络安全领导力（SL）、安全物理环境（PE）、安全通信网络（SN）、安全区域边界（RB）、安全计算环境（CE）、安全建设管理（SC）、安全运维管理（SO）、安全监测防护（MP）和安全管理保障（SM），整体架构明确各领域核心目标，如SL旨在构建整体领导与全员保障能力，PE关注物理环境安全等。

网络安全领导力业绩目标与评估准则

网络安全观和承诺：以总体国家安全观为指导，企业负责人需确定网络安全观，对安全工作目标和方针做出承诺。评估准则包括深刻认识网络安全特点、审视外部形势与自身风险、确定工作目标并承诺方针政策。

网络安全组织与责任：按法律法规及上级要求设置领导、管理和专业技术组织，企业负责人为第一责任人，主管领导为直接责任人，落实“四谁”原则及责任制，建立绩效考核办法。评估准则涵盖明确各类责任、分解落实责任、执行绩效考核。

网络安全防御体系：构建管理、技术、运维和监督四位一体综合防御体系并推动执行完善，企业负责人为第一责任人，主管领导为直接责任人。评估准则包括建立该体系、检查执行有效性并提出改进要求、通过同行评估等方式对标最佳实践以持续改进。

网络安全支持和促进：保障必要且持续的经费和人力投入，协调网络安全纳入生产安全管理体系，支持等级保护和关键信息基础设施保护工作，推动风险隐患整改。评估准则涉及保证投入、促进融合、依托等级保护等工作推动问题整改。

网络安全文化：推动网络安全文化纳入公司安全文化体系，强化“严、慎、细、实”作风，促进与业务融合及跨领域协作。评估准则包括形成良好作风、推行全员防控理念、加强内部部门协同及外部交流合作。

网络安全规划与能力建设：指导推进网络安全专项规划制定实施，支持专业人才培养，建立实验室和测试验证平台，加快核心技术和关键产品自主可控研发或升级改造。评估准则涵盖指导规划制定实施、创造条件建设基础设施、促进核心技术自主可控、明确并支持人才培养。

安全物理环境业绩目标与评估准则

物理位置选择：明确机房场地、无线接入设备等物理位置安全要求，确保云计算基础设施和大数据设备机房位于中国境内，从防震、防火等多方面采取措施。负责人为机房设施/系统专业负责人。评估准则详细规定了不同安全保护等级系统的机房选址、设备安装位置、电力供应等要求，如第二级及以上系统机房应选在有防震等能力的建筑内，避免顶层或地下室等。

机房安全防范：明确机房物理访问与防盗窃、防破坏的要求、流程和表单，通过电子门禁、防盗报警等措施实现出入控制。负责人为机房设施专业负责人。评估准则包括第三级及以上系统机房出入口配置电子门禁，重要区域设第二道门禁，设备固定并标记，通信线缆隐蔽铺设，设置防盗报警或视频监控系统等。

机房物理防护：明确机房物理安全防护要求、流程和表单，包括防雷击、防火、防水等措施。负责人为机房设施专业负责人。评估准则涉及接地、防感应雷，第二级及以上系统设置自动消防系统、采用耐火建筑材料，第三级及以上系统划分区域并设隔离防火措施，以及防水、防潮、防静电、电磁防护、温湿度控制、线缆隔离铺设等具体要求。

电力供应：通过配置稳压器、备用电力供应、冗余供电线路和应急供电设施等保证机房电力安全。负责人为机房设施专业负责人。评估准则包括配置稳压器和过电压防护设备，第二级及以上系统提供短期备用电力，第三级及以上系统设置冗余电力电缆线路，第四级系统提供应急供电设施。

安全通信网络业绩目标与评估准则

网络架构：制定网络架构设计安全要求、流程和表单，从架构设计、区域隔离等方面采取策略，采用独立组网等措施保证网络性能和安全可控。负责人为网络/通信/应用专业负责人。评估准则包括第三级及以上系统保证网络设备业务处理能力和带宽满足高峰期需求，第二级及以上系统划分网络区域并隔离重要区域，第三级及以上系统提供硬件冗余，第四级系统按业务重要程度分配带宽。

通信传输：制定通信传输安全要求、流程和表单，应用密码技术保证数据完整性和保密性。负责人为通信/网络/保密专业负责人。评估准则要求第三级及以上系统采用校验或密码技术保证数据完整性和保密性，第四级系统通信前基于密码技术验证双方身份并使用硬件密码模块进行密码运算和密钥管理，第二级及以上工控系统使用广域网交换数据时采用加密认证技术。

云计算网络架构：制定云计算网络架构安全要求、流程和表单，通过虚拟网络隔离等措施保证使用安全。负责人为应用系统／云计算负责人。评估准则包括云计算平台不承载高于其安全等级的业务，实现客户虚拟网络隔离，第二级及以上系统能提供通信传输等安全机制，第三级及以上系统客户可自主设置安全策略和接入第三方安全产品，第四级系统能设置安全标记、提供协议转换或隔离方式及划分独立资源池。

工控系统网络架构：制定工控系统网络架构安全要求、流程和表单，落实“安全分区、网络专用、横向隔离、纵向认证”原则，采用独立组网等措施保证安全。负责人为网络架构师／工控系统专业负责人。评估准则包括第四级系统将工控系统与企业其他系统划分区域并单向隔离，内部划分安全域并隔离，第二级及以上实时控制和数据传输的工控系统独立组网并物理隔离。

大数据安全通信网络：通过保证大数据平台不承载高于其安全等级的应用、分离管理流量和业务流量等措施保证通信网络安全。负责人为数据/网络/系统专业负责人。评估准则要求第二级及以上系统保证大数据平台不承载高等级应用，第三级及以上系统分离管理和业务流量。

安全区域边界业绩目标与评估准则

边界防护：制定边界防护安全要求、流程和表单，通过部署访问控制设备等措施增强防护能力。负责人为网络/应用系统专业负责人。评估准则包括保证数据流通过受控接口通信，第三级及以上系统检查或限制非授权设备接入和用户外联，限制无线网络使用，第四级系统能阻断非授权接入并对接入设备进行可信验证。

边界访问控制：制定边界访问控制安全要求、流程和表单，通过设置访问控制规则等措施保证边界访问控制安全。负责人为网络/应用系统专业负责人。评估准则包括第二级及以上系统在网络边界设置访问控制规则，默认拒绝非允许通信，删除无效规则并最小化规则数量，检查数据包地址和端口等，第四级系统通过协议转换或隔离进行数据交换，工控系统边界禁止通用网络服务并在防护机制失效时报警等。

入侵、恶意代码和垃圾邮件防范：制定防范要求、流程和表单，通过抗APT攻击等措施防范安全危害。负责人为网络/应用系统专业负责人。评估准则包括第三级及以上系统在关键节点检测内外网络攻击行为，分析网络行为，记录攻击信息并在严重时报警，第二级及以上系统检测和清除恶意代码，第三级及以上系统检测和防护垃圾邮件并维护机制升级。

边界安全审计和可信验证：制定安全审计和可信验证要求、流程和表单，通过综合安全审计系统等实现相关功能。负责人为网络/安全监测专业负责人。评估准则包括第二级及以上系统在网络边界和重要节点进行安全审计，覆盖用户并审计重要行为和事件，记录事件详细信息，保护和定期备份审计记录，对云服务商和客户的特权命令进行审计并保证客户可审计服务商操作，第四级系统基于可信根进行可信验证并动态验证应用程序执行环节。

云计算边界入侵防范：制定云计算边界入侵防范要求、流程和表单，通过检测攻击行为和异常流量等增强防范能力。负责人为应用系统／云计算专业负责人。评估准则包括第二级及以上系统能检测云服务客户和虚拟网络节点的网络攻击行为，记录攻击信息，检测虚拟机间异常流量，第三级及以上系统在检测到攻击或异常时告警。

移动互联边界防护和入侵防范：制定移动互联边界防护和入侵防范要求、流程和表单，通过无线接入网关等措施增强能力。负责人为网络专业负责人。评估准则包括保证有线与无线网络边界数据流通过无线接入网关，第二级及以上系统检测非授权无线接入设备和移动终端，检测针对无线接入设备的攻击行为，禁用高风险功能，禁止多个接入点使用同一鉴别密钥，第三级及以上系统能定位和阻断非授权设备。

物联网边界入侵防范和接入控制：制定物联网边界入侵防范和接入控制要求、流程和表单，通过通信目的地址限制等措施增强能力。负责人为通信／物联网专业负责人。评估准则包括第二级及以上系统限制与感知节点和网关节点通信的目的地址，保证只有授权感知节点可接入。

工控系统边界防护：制定工控系统边界防护要求、流程和表单，通过身份鉴别和授权等措施增强能力。负责人为工控系统专业负责人。评估准则包括对参与无线通信的用户提供唯一标识和鉴别，第二级及以上系统进行授权和使用限制，第三级及以上系统对无线通信采取传输加密措施，识别未经授权无线设备并报告接入或干扰行为。

安全计算环境业绩目标与评估准则

身份鉴别：制定用户身份标识、鉴别等安全控制措施，确保授权用户登录系统。负责人为应用系统/网络/云计算专业负责人。评估准则包括对登录用户进行唯一身份标识和鉴别，身份鉴别信息有复杂度要求并定期更换，具有登录失败处理功能，第二级及以上系统远程管理时防止鉴别信息窃听，第三级及以上系统采用两种或两种以上组合鉴别技术，第三级及以上系统远程管理云计算平台设备时建立双向身份验证机制。

访问控制：制定用户账户和权限分配等安全要求，保证访问控制措施有效。负责人为应用系统/网络专业负责人。评估准则包括为登录用户分配账户和权限，重命名或删除默认账户并修改默认口令，及时删除或停用多余、过期账户，避免共享账户，第二级及以上系统授予管理用户最小权限并分离权限，第三级及以上系统由授权主体配置访问控制策略，访问控制粒度达到用户级或进程级及文件、数据库表级，第四级系统设置主体和客体安全标记并依据强制访问控制规则确定访问。

安全审计：对每个用户启动安全审计，审计重要用户行为和安全事件，防止审计进程中断，保护和备份审计记录。负责人为应用系统/网络/审计专业负责人。评估准则包括第二级及以上系统启用安全审计功能，覆盖用户并审计重要行为和事件，第四级及以上系统审计记录包含事件日期时间、类型、主体客体标识和结果等，第二级及以上系统保护和定期备份审计记录，第三级及以上系统保护审计进程防止未授权中断。

可信验证：根据安全保护对象的安全保护等级启用相应级别可信验证安全机制。负责人为应用系统/网络/安全专业负责人。评估准则为第四级系统可基于可信根对计算设备的系统引导程序、系统程序等进行可信验证，在应用程序执行环节动态验证，检测到可信性破坏后报警并形成审计记录送至安全管理中心。

入侵和恶意代码防范：推行最小安装原则，关闭不必要服务和端口，限制管理终端接入，验证输入内容有效性，修补漏洞，增强防范能力。负责人为应用系统/网络/安全专业负责人。评估准则包括遵循最小安装原则，关闭不需要的系统服务等，第二级及以上系统限制管理终端接入方式或地址范围，提供数据有效性检验功能，发现并修补已知漏洞，第三级及以上系统检测重要节点入侵行为并报警，检测虚拟机资源隔离失效和非授权新建或启用虚拟机并告警，检测恶意代码感染蔓延情况，第四级系统采用主动免疫可信验证机制。

数据完整性和保密性：推进密码技术应用，保证鉴别数据等信息在传输、存储和应用及云服务模式下的完整性、保密性和合规性。负责人为应用系统/网络/数据安全专业负责人。评估准则包括第三级及以上系统采用校验或密码技术保证重要数据传输和存储的完整性，第四级系统在涉及法律责任认定的应用中提供数据原发和接收证据，第三级及以上系统采用密码技术保证重要数据传输和存储的保密性，确保云服务客户数据存储于中国境内，第二级及以上系统保证只有在客户授权下服务商或第三方才有数据管理权限，第三级及以上系统保证虚拟机迁移中重要数据完整性并在破坏时恢复，支持客户部署密钥管理解决方案。

数据备份恢复：建立和执行数据备份恢复要求、流程和表单，实现重要系统热冗余和数据备份恢复。负责人为数据/系统/云计算专业负责人。评估准则包括提供重要数据本地备份与恢复功能，第三级及以上系统提供异地实时备份功能和重要数据处理系统热冗余，第四级系统建立异地灾难备份中心，第二级及以上云服务客户在本地保存业务数据备份，云计算平台提供查询数据及备份存储位置能力，第三级及以上云存储服务保证客户数据有多个可用副本且内容一致，协助客户迁移业务系统及数据。

剩余信息和个人信息保护：明确剩余信息和个人信息保护要求、流程和表单，保护信息全生命周期安全。负责人为数据安全/保密专业负责人。评估准则包括第二级及以上系统保证鉴别信息存储空间释放或重新分配前完全清除，第三级及以上系统保证敏感数据存储空间同样处理，第二级及以上系统保证虚拟机内存和存储空间回收时完全清除，云服务客户删除数据时云计算平台删除所有副本，第二级及以上系统仅采集和保存业务必需的用户个人信息并禁止未授权访问和使用。

云计算环境镜像和快照保护：明确虚拟机镜像和快照安全要求、流程和表单，防止被恶意篡改或非法访问。负责人为系统/云计算专业负责人。评估准则包括第二级及以上系统针对重要业务系统提供加固的操作系统镜像或安全加固服务，提供镜像和快照完整性校验功能，第三级及以上系统采取密码技术等防止敏感资源被非法访问。

移动终端和应用管控：明确移动终端和应用管控要求，通过移动终端管理系统等实施安全管控。负责人为系统/应用专业负责人。评估准则包括第三级及以上系统保证移动终端安装运行终端管理客户端软件并接受服务端设备生命周期管理和远程控制，具有选择应用软件安装运行功能，只允许指定证书签名的软件安装运行，具有软件白名单功能，第四级系统保证移动终端只处理指定业务，接受服务端推送的软件管理策略并管控软件。

物联网设备和数据安全：制定物联网节点设备和应用系统安全策略、流程和表单，保证设备和数据安全。负责人为物联网/系统/云计算专业负责人。评估准则包括第三级及以上系统保证只有授权用户可配置或变更感知节点软件应用，感知节点和网关节点能对连接的设备进行身份标识和鉴别，过滤非法和伪造节点数据，授权用户可在线更新关键密钥和配置参数，能鉴别数据新鲜性和防止修改重放攻击，第三级及以上系统对传感网数据进行融合处理，第四级系统智能处理不同数据间依赖和制约关系。

工控系统控制设备安全：明确工控控制设备安全要求、策略和措施，保证设备安全运行和维护。负责人为工控系统/设备专业负责人。评估准则包括控制设备自身或其上位设备实现相应级别身份鉴别等安全要求，在不影响安全稳定运行情况下更新补丁和固件，第三级及以上系统关闭或监控控制设备多余接口，使用专用设备和软件更新控制设备，保证控制设备上线前经过安全性检测。

大数据安全计算环境：依据数据分类分级规则制定保护策略，通过身份鉴别等措施保证计算环境及应用安全。负责人为应用系统/数据/云计算专业负责人。评估准则包括大数据平台对数据采集终端等使用实施身份鉴别，第二级及以上系统对不同客户大数据应用标识和鉴别，提供集中管控资源使用状况能力，管理辅助工具或服务组件，屏蔽资源故障，提供静态脱敏和去标识化工具，保证第三方在授权下访问数据，第三级及以上系统提供数据分类分级管理、安全标记和强制访问控制、接口访问控制、数据清洗转换保护、数据溯源、审计数据隔离存放和集中分析能力，第四级系统具备数据全生命周期区分处置能力。

安全建设管理业绩目标与评估准则

定级备案和等级测评：按照国家和行业要求落实“三同步”原则，开展系统安全定级、论证审定、审批备案和测评整改。负责人为网络信息管理/信息安全与保密专业负责人。评估准则包括书面说明保护对象安全保护等级及确定方法理由，第二级及以上系统组织专家论证审定定级结果并经批准，报主管部门和公安机关备案，定期进行等级测评并整改，发生重大变更或级别变化时测评，确保测评机构合规，关键信息基础设施登记备案并检测评估，发生较大变化时重新识别并报告。

方案设计和产品采购：编制、论证和审定安全规划和方案，审核拟采购产品合规性，提升网络结构和系统本体安全能力。负责人为信息安全与保密专业负责人/项目建设负责人。评估准则包括根据安全保护等级选择基本安全措施并补充调整，第三级及以上系统进行安全整体规划和方案设计并组织专家论证审定，确保网络安全产品和密码产品采购使用合规，第三级及以上系统预先选型测试并定期审定候选产品名单，第四级系统对重要部位产品进行专项测试，强化采购渠道管理。

软件开发：制定软件开发安全要求、流程和表单，提升软件本体质量和抗攻击能力。负责人为网络信息管理/软件专业负责人。评估准则包括第二级及以上系统将开发与运行环境物理分开，控制测试数据和结果，第三级及以上系统制定软件开发管理制度和代码编写安全规范，具有软件设计文档和使用指南并控制文档使用，第二级及以上系统在开发过程中进行安全性测试和恶意代码检测，第三级及以上系统授权和批准程序资源库修改更新发布并严格版本控制，保证开发人员专职且活动受控制，第二级及以上系统在软件交付前检测恶意代码并获取开发单位提供的文档和源代码，第三级及以上系统审查软件后门和隐蔽信道。

工程实施与测试交付：制定工程实施与测试交付要求、流程和表单，夯实安全基础。负责人为网络信息管理/项目建设负责人。评估准则包括指定部门或人员负责工程实施管理，第二级及以上系统制定安全工程实施方案，第三级及以上系统通过第三方监理控制工程实施，制定测试验收方案并实施，形成报告，第三级及以上系统进行上线前安全性测试并出具报告，制定交付清单并清点交接物品，培训运维人员，提供建设和运维文档。

服务供应商选择：制定服务供应商选择和使用要求、流程和表单，控制安全风险。负责人为网络信息管理/项目建设负责人。评估准则包括确保服务供应商选择合规，第二级及以上系统与供应商签订协议明确义务，第三级及以上系统定期监督评审审核服务并控制变更，选择安全合规云服务商并在服务水平协议中规定服务内容、指标、权限责任和数据清除要求，第三级及以上系统与云服务商签署保密协议，云服务商及时传达供应链安全事件信息和重要变更并评估风险。

移动应用安全建设要求：制定移动应用软件开发和安装使用要求，控制安全风险。负责人为网络信息管理/项目建设/应用专业负责人。评估准则包括保证移动终端应用软件来自可靠渠道或使用可靠证书签名，第三级及以上系统保证软件由指定开发者开发，第二级及以上系统审查开发者资格并保证签名证书合法。

工控系统安全建设要求：制定工控系统设备、开发单位和供应商安全要求，控制安全风险。负责人为工控系统/项目建设专业负责人。评估准则包括第二级及以上系统工控系统重要设备通过专业机构安全性检测，在外包开发合同中规定开发单位和供应商约束条款。

大数据安全建设要求：明确大数据平台及服务选择要求，保证数据和应用安全。负责人为数据/系统/项目建设专业负责人。评估准则包括第二级及以上系统选择安全合规的大数据平台，以书面方式约定平台提供者权限责任等，第三级及以上系统明确数据接收方保护责任并确保其防护能力。

安全运维管理业绩目标与评估准则

环境管理：建立和执行机房安全管理制度，确保机房和云计算平台等环境安全。负责人为机房设施专业负责人。评估准则包括指定部门或人员负责机房安全，管理出入并维护设施，第三级及以上系统建立机房安全管理制度，第二级及以上系统不在重要区域接待来访人员并不随意放置敏感物品，第四级系统对出入人员授权并实时监视重要安全区域活动，第二级及以上系统云计算平台运维地点位于中国境内，境外运维遵照规定。

资产和配置管理：建立IT资产管理规定和措施，确保资产和配置信息及时、完整和准确。负责人为安全监测负责人/各专业资产管理员。评估准则包括第二级及以上系统编制资产清单，第三级及以上系统根据资产重要程度标识管理并选择措施，规定信息分类与标识方法，记录和变更维护基本配置信息，第三级及以上系统建立合法无线接入设备和移动终端配置库。

设备维护和介质管理：建立设备维护和介质管理规定和流程，实现安全控制。负责人为各专业负责人。评估准则包括指定部门或人员定期维护设备和线路，第三级及以上系统建立配套设施和软硬件维护管理制度，第三级及以上系统信息处理设备带离机房或办公地点需审批，敏感数据加密，介质存放在安全环境并专人管理，定期盘点，第二级及以上系统控制介质物理传输过程并登记，第三级及以上系统报废或重用含存储介质设备前完全清除数据。

网络和系统安全管理：建立网络和系统安全管理制度，管控安全风险。负责人为网络/系统/安全监测专业负责人。评估准则包括划分管理员角色并明确责任权限，指定部门或人员进行账户管理，第二级及以上系统建立网络和系统安全管理制度，制定重要设备配置和操作手册，详细记录运维操作日志，第三级及以上系统分析日志等数据发现可疑行为，严格审批控制变更性运维、运维工具使用、远程运维开通和外部连接。

漏洞和恶意代码防范：建立漏洞和恶意代码防范要求和流程，验证防范技术有效性。负责人为网络/系统/安全监测专业负责人。评估准则包括识别安全漏洞和隐患并修补，第三级及以上系统定期开展安全测评并应对问题，提高用户防恶意代码意识，检查外来设备恶意代码，第三级及以上系统定期验证防范技术有效性。

密码管理：遵循密码标准，使用认证的密码技术和产品，保证密码管理合规有效。负责人为信息安全与保密专业负责人。评估准则包括第二级及以上系统遵循密码国家标准和行业标准，使用国家密码管理部门认证核准的技术、产品和服务，第四级系统采用硬件密码模块实现密码运算和密钥管理。

变更管理：建立变更管理规定、流程和表单，实现变更环节有效控制。负责人为安全监测/各专业负责人。评估准则包括第二级及以上系统明确变更需求，制定变更方案并评审审批，第三级及以上系统建立变更申报审批控制程序和中止恢复程序，记录变更实施过程。

备份与恢复管理：建立备份与恢复规定，确保信息和系统持续可用。负责人为数据/系统专业负责人。评估准则包括识别需要定期备份的信息和系统，规定备份方式、频度等，第二级及以上系统根据数据重要性制定备份和恢复策略、程序。

外包运维管理：签订外包运维服务协议，明确服务商安全要求并检查落实。负责人为网络信息管理/外包管理负责人。评估准则包括第二级及以上系统确保外包运维服务商选择合规，签订协议明确范围和内容，第三级及以上系统保证服务商有安全运维能力并在协议中明确安全要求。

物联网节点设备管理：制定物联网节点设备管理规定，防范社会工程学攻击。负责人为通信物联网专业负责人。评估准则包括指定人员巡视感知和网关节点设备部署环境并记录维护异常，第二级及以上系统规定设备全生命周期管理，第三级及以上系统加强部署环境保密性管理。

大数据安全运维管理：制定数字资产和数据分类分级管理规定，保证大数据运维和使用安全。负责人为数据/系统专业负责人。评估准则包括第二级及以上系统建立数字资产安全管理策略，第三级及以上系统制定数据分类分级保护策略，明确重要数据脱敏使用场景和流程，定期评审数据类别级别并按流程变更。

安全监测防护业绩目标与评估准则

安全管理中心：建立安全管理中心，实现集中管控。负责人为网络安全监测/系统专业负责人。评估准则包括对系统管理员、审计管理员和安全管理员进行身份鉴别并审计操作，第二级及以上系统通过管理员进行系统管理和审计管理，第三级及以上系统通过安全管理员配置安全策略，划分管理区域并建立安全传输路径管控安全设备，第三级及以上系统集中监测运行状况，汇总分析审计数据，集中管理安全事项，识别、报警和分析安全事件，第四级系统保证系统时间统一。

云计算集中管控：针对云计算平台实现网络安全集中管控。负责人为系统/云计算专业负责人。评估准则包括第三级及以上系统对物理和虚拟资源统一管理调度分配，保证管理与业务流量分离，收集汇总审计数据并集中审计，集中监测运行状况。

安全事件处置：制定安全事件处置管理制度和流程，实现联合防护和应急处置。负责人为安全监测专业负责人。评估准则包括及时报告安全弱点和可疑事件，第二级及以上系统制定安全事件报告和处置管理制度，分析鉴定事件原因并记录总结，第三级及以上系统对重大安全事件采用不同处理程序，第四级系统建立跨单位联合防护和应急机制。

应急预案管理：制定统一应急预案框架和重要事件应急预案，定期培训和演练。负责人为信息安全与保密/安全监测专业负责人。评估准则包括第三级及以上系统规定统一应急预案框架，第二级及以上系统制定重要事件应急预案，定期培训和演练，第三级及以上系统定期评估修订应急预案，第四级系统建立跨单位联合应急预案并演练。

情报收集与利用：建立网络安全情报收集利用网络、责任和流程，预防控制潜在风险。负责人为安全监测专业负责人。评估准则包括第二级及以上系统明确情报工作负责人，建立收集网络和联系表，建立情报工作流程，评估和记录应急行动计划执行情况并经验反馈，关注安全事件和漏洞等并研判分析。

值班值守：建立网络安全值班值守工作机制和平台，实现实时监测和事件处置。负责人为安全监测专业负责人。评估准则包括第三级及以上系统建立值班值守机制，重要敏感期实现7×24小时值班并编制监测日报，建立预警机制和处置流程，建立电子化工作平台闭环跟踪事件和任务。

实战演练：组织实网实战攻击演练，发现安全弱项和风险。负责人为安全监测专业负责人。评估准则包括第三级及以上系统制订年度攻防演练计划，与专业机构签订合同和保密协议，开展专项复盘总结并列举问题清单等。

研判整改：建立网络安全态势研判和整改提升工作机制，提升防护能力。负责人为安全监测专业负责人。评估准则包括第三级及以上系统建立态势分析研判报告和例会机制，通过例会闭环跟踪、协调和管理整改项。

安全管理保障业绩目标与评估准则

安全策略和管理制度：建立全面的网络安全管理制度体系，为安全工作提供保障。负责人为网络信息分管领导/网络信息管理专业负责人。评估准则包括第二级及以上系统制定网络安全总体方针和策略，第三级及以上系统建立安全管理制度和操作规程，形成全面的安全管理制度体系，指定部门或人员制定制度，正式发布并版本控制，定期论证审定和修订制度。

岗位设置和人员配备：建立网络安全管理组织架构，设立关键岗位并配备人员。负责人为网络信息分管领导/信息安全与保密专业负责人。评估准则包括第三级及以上系统成立网络安全工作委员会或领导小组，第二级及以上系统设立职能部门和安全管理岗位，定义职责，设立系统、审计和安全管理员岗位，配备相应人员，第三级及以上系统配备专职安全管理员且不可兼任，第四级系统关键事务岗位多人共管，各级组织和人员履行责任并协作。

授权审批和沟通合作：建立授权审批程序和沟通合作机制，处置网络安全问题。负责人为网络信息管理/信息安全与保密专业负责人。评估准则包括明确授权审批事项和部门，第三级及以上系统建立变更等事项审批程序并逐级审批，定期审查审批事项，第二级及以上系统加强内部和外部合作沟通，定期召开协调会议，建立外联单位联系列表。

安全检查和审计监督：定期开展安全检查与审计监督，整改问题和风险。负责人为内部审计/信息安全与保密专业负责人。评估准则包括第二级及以上系统定期进行常规安全检查，第三级及以上系统定期进行全面安全检查，制定检查表格并形成报告通报结果，第二级及以上系统建立内外部独立网络安全专项审计机制，对发现的问题或风险进行根本原因分析并经验反馈，检查监督整改计划执行。

人员录用和离岗：建立人员录用和离岗安全要求、流程和表单，控制安全风险。负责人为网络信息管理/信息安全与保密专业负责人。评估准则包括指定部门或人员负责人员录用，第三级及以上系统审查被录用人员背景和资质并考核技能，与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议，第四级系统从内部选拔关键岗位人员，及时终止离岗人员访问权限并取回物品，离岗人员办理调离手续并承诺保密义务。

安全教育和培训：明确人员安全教育和培训大纲与计划，促进人员执行安全方针制度。负责人为信息安全与保密专业/各部门负责人。评估准则包括对各类人员进行安全意识教育和岗位技能培训，告知责任和惩戒措施，第三级及以上系统针对不同岗位制订培训计划，每年至少培训一次并考核，定期对关键岗位人员考核合格后上岗。

外部人员访问管理：建立外部人员访问安全要求、流程和表单，控制安全风险。负责人为网络信息管理/信息安全与保密专业负责人。评估准则包括第二级及以上系统外部人员物理访问和接入网络前提出书面申请，批准后专人陪同或开设账户并登记备案，离场后及时清除访问权限，第三级及以上系统获得授权的外部人员签署保密协议，第四级系统不允许外部人员访问关键区域或系统。

本文件构建了核能行业网络安全业绩目标与评估准则体系，通过明确九大领域的业绩目标及详细评估准则，为核能行业网络安全同行评估和企业自评估提供了全面、系统的指导。这些准则基于国家及行业相关标准，强调“三分技术、七分管理”，注重领导力、制度建设、技术防护、运维管理等多方面协同，有助于核能企业识别网络安全风险，落实安全责任，提升网络安全保障能力，对推动核能行业网络安全标准化、规范化发展具有重要意义，为保障核能行业关键信息基础设施安全和业务连续性奠定了坚实基础。

本文完整文档已上传至星球

点这里自助下载

核能行业网络安全业绩目标与评估准则.pdf

虚拟电厂调控运行技术支持系统技术要求.pdf

加好友进群

–

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：计算机与网络安全计算机与网络安全《核能行业网络安全业绩目标与评估准则》