10.4全生命周期安全管理

10.4.1評估要求

全生命周期安全管理宜符合GB/T36572-2018中8.4的要求。

10.4.2評估實施

評估實施主要包括以下內容：

a)核查電力監控系統及設備的規劃設計、研究開發、施工建設、安裝調試、系統改造、運行管理、退役報廢等全生命周期各階段的安全管理制度、操作流程圖等安全管理措施相關文檔，評估是否制定了有針對性的詳細可行的管理制度及相關文檔，且定期修訂。

b)核查軟硬件產品采購合同、技術服務合同及相關文件，評估內容包括，但不限于：

1)供應商是否在軟硬件產品采購合同或其他文件中明確保證所提供的設備及系統符合GB/T36572-2018及國家和行業信息系統安全等級保護的相關規定，并在設備及系統生命期內對此負責的相關承諾，是否包含開發制造單位承諾其產品無惡意安全隱患并終身負責的內容；

2)檢測評估單位、規劃設計單位是否在技術服務合同或其他文件中承諾對其工作終身負責。

c)核查保密協議、安全協議等相關文件，評估是否與重要電力監控系統及專用安全防護產品的開發、使用人員簽訂保密協議，是否與產品的開發、使用及供應商簽訂保密協議或安全協議，明確安全責任。

d)核查電力監控系統及設備運維單位的驗收記錄、驗收意見等相關文檔，評估安全防護專項驗收的驗收記錄、驗收意見等相關文檔是否齊全，是否存在未驗收或驗收未通過即已上線運行的情況。

e)核查電力監控系統及設備運維單位的安全防護管理制度、運維操作流程、設備操作規程、運維人員崗位職責、自評估報告、整改方案等文檔，評估日常運維和安全防護管理情況，評估內容包括，但不限于：

1)是否制定了日常運維和安全防護的相關管理制度、操作規程等管理措施，并依照執行，定期修訂；

2)是否定期開展運行分析和自評估工作，實現隱患排查整改閉環。

f)核查系統和設備退役報廢時含敏感信息的介質和重要安全設備的銷毀記錄等相關文檔，評估是否按照相關要求進行銷毀。