电力行业网络安全等级保护管理办法
- 格式:doc
- 大小:43.00 KB
- 文档页数:12
一、总则为加强电力网络安全管理,确保电力系统安全稳定运行,保障电力供应的可靠性和连续性,根据《中华人民共和国网络安全法》及相关法律法规,结合电力行业实际情况,特制定本制度。
二、组织机构与职责1. 电力公司成立网络安全领导小组,负责制定、修订和监督实施电力网络安全管理制度。
2. 网络安全管理部门负责电力网络安全管理工作的组织实施,具体职责如下:(1)制定和修订电力网络安全管理制度,并组织实施;(2)组织开展网络安全培训和宣传教育;(3)对电力网络安全进行监督检查,及时发现和处置网络安全事件;(4)建立健全网络安全事件应急预案,组织应急演练;(5)加强与政府相关部门、行业组织及合作伙伴的沟通与协作。
三、网络安全策略1. 电力网络安全策略应遵循以下原则:(1)分级保护:根据电力系统重要性和业务特点,对网络安全进行分级保护;(2)动态管理:根据网络安全威胁变化,及时调整网络安全策略;(3)协同防御:加强网络安全防护力量,实现网络安全资源的共享与协同;(4)应急响应:建立健全网络安全事件应急预案,确保快速、有效地处置网络安全事件。
2. 电力网络安全策略包括:(1)物理安全:加强电力网络设备、传输线路、机房等物理设施的安全防护;(2)网络安全:加强电力网络边界防护,防止恶意攻击和非法访问;(3)数据安全:确保电力数据的安全存储、传输和交换;(4)应用安全:加强电力系统应用软件的安全防护,防止恶意代码侵入;(5)安全监测:建立网络安全监测体系,及时发现和处置网络安全事件。
四、网络安全管理措施1. 电力网络安全管理措施包括:(1)建立网络安全管理制度,明确网络安全责任;(2)加强网络安全培训和宣传教育,提高员工网络安全意识;(3)定期开展网络安全检查,及时发现和消除安全隐患;(4)加强网络安全防护技术手段,提高网络安全防护能力;(5)建立健全网络安全事件应急预案,确保快速、有效地处置网络安全事件。
2. 电力网络安全管理措施的实施:(1)对电力网络设备进行定期检查和维护,确保设备安全稳定运行;(2)对电力网络进行安全配置,加强边界防护;(3)对电力数据进行加密存储和传输,确保数据安全;(4)加强电力系统应用软件的安全防护,防止恶意代码侵入;(5)建立健全网络安全事件应急预案,组织应急演练。
电力行业网络与信息安全管理办法电力行业是国家经济发展的重要支柱产业,对于保障国家经济安全和国家安全具有重要意义。
随着信息化和网络化的发展,电力行业的信息系统和网络已成为电力供应链管理、生产运营管理和客户服务管理的重要组成部分。
然而,信息系统和网络的安全问题也日益凸显,不论是对于电力企业自身信息资产的安全,还是对于国家电网信息网络的整体安全,都提出了新的挑战和问题。
为了加强电力行业网络与信息安全管理,保障电力行业信息系统的安全稳定运行,我提出以下电力行业网络与信息安全管理办法。
一、加强组织与管理1. 设立专门的网络与信息安全管理部门,负责整个电力行业的网络与信息安全工作。
2. 制定电力行业网络与信息安全管理制度,明确责任分工,落实各级领导对网络与信息安全工作的重视和责任。
3. 加强人员培训,提高员工的网络与信息安全意识和技能,确保员工能够正确使用网络和信息系统,并且能够娴熟地应对网络安全威胁。
4. 建立网络与信息安全监测与预警机制,及时掌握网络和信息系统的安全情况,及早发现和处理潜在的安全问题。
二、加强网络安全建设1. 按照网络安全等级保护要求,设计和建设电力行业信息系统,确保系统的安全性、可用性和可靠性。
2. 定期进行网络安全评估与测试,查找和修补系统的安全漏洞,并制定相应的安全整改计划。
3. 加强对网络设备和系统的安全监控,防止未经授权的访问和数据泄露。
4. 加强对网络数据的备份和恢复,确保数据的安全性和可恢复性。
三、加强信息安全保护1. 制定电力行业信息安全政策和规定,明确敏感信息的保护要求和措施。
2. 采取有效的身份认证和访问控制措施,限制用户的访问权限,确保只有授权人员可以访问敏感信息。
3. 加强对敏感信息的加密和传输安全保护,防止敏感信息在传输过程中被窃取或篡改。
4. 加强对外部网络的防护,建立防火墙和入侵检测系统,确保外部攻击无法成功入侵电力行业信息系统。
四、加强应急响应与处置1. 建立电力行业网络与信息安全事件的报告和响应机制,及时向上级部门报告重大安全事件,并采取相应的应急处置措施。
一、总则为了加强电力行业网络安全管理,保障电力系统安全稳定运行和电力可靠供应,根据《中华人民共和国网络安全法》、《中华人民共和国密码法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国计算机信息系统安全保护条例》、《关键信息基础设施安全保护条例》及国家有关规定,特制定本制度。
二、组织机构与职责1. 电力企业成立网络安全领导小组,负责电力行业网络安全工作的组织、协调和监督。
2. 电力企业设立网络安全管理部门,负责电力行业网络安全工作的具体实施和日常管理。
3. 各级管理人员和工作人员应当认真履行职责,确保电力行业网络安全。
三、网络安全管理要求1. 电力企业应当建立健全网络安全保障体系和工作责任体系,提高网络安全防护能力。
2. 电力企业应当对网络设备、信息系统、数据等进行安全检查和风险评估,及时消除安全隐患。
3. 电力企业应当加强网络安全宣传教育,提高全体员工的网络安全意识。
4. 电力企业应当加强网络安全技术防护,确保网络安全。
四、网络安全措施1. 网络设备安全:选用符合国家标准的网络设备,定期进行安全检查和维护,确保网络设备安全可靠。
2. 信息系统安全:建立健全信息系统安全管理制度,定期对信息系统进行安全检查和风险评估,及时修复漏洞。
3. 数据安全:对重要数据进行分类分级保护,建立健全数据安全管理制度,确保数据安全。
4. 网络安全防护:采用防火墙、入侵检测系统、漏洞扫描等网络安全防护技术,加强网络安全防护。
5. 网络安全事件应急处理:建立健全网络安全事件应急预案,及时处理网络安全事件。
五、网络安全监督与考核1. 电力企业应当定期对网络安全工作进行监督检查,确保网络安全措施落实到位。
2. 电力企业应当对网络安全工作进行考核,对考核不合格的单位和个人进行问责。
3. 电力企业应当对网络安全工作进行信息公开,接受社会监督。
六、附则1. 本制度自发布之日起施行。
2. 本制度由电力企业网络安全管理部门负责解释。
关于开展电力行业信息系统安全等级保护定级工作的通知关于开展电力行业信息系统安全等级保护定级工作的通知各相关单位:为进一步加强电力行业信息系统的安全保护工作,提高信息系统安全等级保护水平,确保电力行业信息系统的稳定运行和数据安全,根据《国家信息安全等级保护制度》和《电力行业信息系统安全等级保护实施基本要求》,我单位决定开展电力行业信息系统安全等级保护定级工作。
现将有关事项通知如下:一、工作目标本次工作的目标是全面了解电力行业信息系统的安全现状,明确电力行业信息系统安全等级,确保信息系统的安全性、完整性和可用性。
二、工作内容1. 电力行业信息系统安全等级评定根据电力行业的实际情况,制定电力行业信息系统安全等级评定指南,包括系统规模、重要性、业务功能等方面的要求。
各相关单位需全面了解自身信息系统的情况,按照评定指南进行自查自评,并提交相应的材料,协助进行等级评定工作。
2. 安全风险评估为进一步了解电力行业信息系统的安全风险,各相关单位需配合进行安全风险评估工作。
评估内容包括但不限于系统漏洞、网络安全、物理安全等方面。
评估结果将作为安全等级定级的重要依据。
3. 安全等级定级根据各单位自查自评和安全风险评估的结果,结合评定指南要求,我单位将对各相关单位的信息系统进行安全等级定级工作。
定级结果将根据等级评定指南进行分类确定,并向各单位下发安全等级证书。
4. 信息系统安全建设方案各单位在完成自查自评和安全等级定级后,需根据定级结果,提出信息系统安全建设方案,针对可能存在的安全问题提出具体的整改措施和时间节点。
三、工作要求1. 提高安全意识各相关单位应进一步提高安全意识,加强信息安全管理,加大对电力行业信息系统的保护力度。
培训和教育工作也需加强,确保全体员工都具备一定的信息安全意识和技能。
2. 合理规划信息系统各单位在规划、设计和建设信息系统时,必须充分考虑安全因素,制定相应的安全策略和措施,并确保系统能够满足安全等级定级的要求。
电力信息安全技术网络安全等级保护定级指南下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!电力信息安全技术网络安全等级保护定级指南第一章:引言在当今数字化和信息化进程日益加快的背景下,电力信息安全问题日益突出。
电力行业网络与信息安全管理办法一、总则为规范电力行业网络与信息安全管理,保障电力系统的稳定运行,提升网络与信息安全水平,制定本办法。
二、适用范围本办法适用于电力行业内部的网络与信息安全管理工作。
三、网络与信息安全管理职责1. 电力行业应设立专门的网络与信息安全管理部门,负责组织、协调和管理网络与信息安全相关工作。
2. 网络与信息安全管理部门的职责包括:制定网络与信息安全管理制度、规范电力系统的网络与信息安全管理工作、监督和检查网络与信息安全管理的执行情况、对网络与信息安全事件进行处理和应对等。
3. 电力行业各级单位应建立网络与信息安全管理机构,负责本单位网络与信息安全的管理工作。
四、网络安全管理1. 电力行业各级单位应建立网络安全管理制度,包括网络设备的安全配置、网络访问控制、网络使用管理、网络异常监测与应对等方面的内容。
2. 对于重要、关键设备、系统和数据,应进行安全防护,包括网络隔离、访问控制、加密传输等措施。
3. 建立网络安全事件的报告和处置机制,及时处理网络安全事件,保护网络安全。
五、信息安全管理1. 电力行业各级单位应建立信息安全管理制度,包括信息资源的分类保护、信息安全责任制、信息安全检查等方面的内容。
2. 加强对用户信息的保护,确保用户信息不被非法泄露、篡改、滥用等。
3. 加强对重要信息系统和数据库的安全管理,包括权限控制、备份恢复、加密传输等措施。
4. 建立信息安全意识培训制度,定期对电力行业人员进行信息安全培训,提升员工的信息安全意识。
六、网络与信息安全事件的报告和处置1. 电力行业各级单位发现网络与信息安全事件应及时报告上级网络与信息安全管理部门,并按照相关规定进行处置。
2. 对于严重的网络与信息安全事件,应及时组织调查,查明原因,并采取措施防止事件扩大影响。
3. 对于造成重大影响的网络与信息安全事件,应及时向上级主管部门和有关方面报告,并按照相关规定进行协调应对。
七、网络与信息安全管理的监督和检查1. 电力行业各级单位应建立完善的网络与信息安全管理检查制度,定期对网络与信息安全管理情况进行检查和评估。
电力行业网络安全管理办法为进一步规范工作流程、加强工作协调、提升工作效能,国家能源局对《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)、《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)进行修订,形成了《电力行业网络安全管理办法(修订征求意见稿)》《电力行业网络安全等级保护管理办法(修订征求意见稿)》,本次修改的电力行业两个管理办法具体有哪些内容呢,一起来了解下吧。
一新增条款解读:《电力行业网络安全管理办法(修订征求意见稿)》与《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)相比较新增条款内容如下:1、第一章总则中明确了本管理办法适用电力企业的范围,只要是在我国境内的电力企业均应该遵守本办法的规定。
2、第二章监督管理职责中明确了国家能源局及各省级能源主管部门具有对电力行业关键信息基础设施实施安全保护和监督管理的责任以及工作职责范围。
包含网络安全等级保护、关键信息基础设施安全保护、数据安全、网络安全审查、风险评估、监测预警、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面,更重要的是明确指出电力行业应建设网络安全仿真验证环境(靶场)系统以及应对电力监控系统开展自评估工作,同时定期向国家能源局及其派出机构、地方能源主管部门汇报技术监督工作的开展情况。
3、第三章电力企业职责明确了电力行业应明确安全管理责任人及设立专门的安全管理机构,将网络安全保护制度纳入安全生产管理体系。
电力监控系统生产控制大区的接入涉网安全产品需经电力调度机构同意。
电力企业在规划设计时要遵循安全技术措施“同步规划、同步建设、同步使用”的三同步原则,关键信息基础设施运营者应优先选择安全可靠的网络产品和服务,信息系统建设完成后要经过第三方网络安全服务机构的测试才可以投入使用。
电力企业除了开展网络安全风险评估、等保测评外,还需进行关键信息基础设施安全检测和风险评估、商用密码应用安全性评估、网络安全审查等工作,及时了解网络产品安全漏洞,发现安全漏洞应及时验证与修补。
电力行业网络与信息安全管理办法范文第一章总则第一条为规范电力行业网络与信息安全管理行为,加强电力系统网络与信息安全保护,保障电力系统运行稳定和电力供应安全,维护国家利益和社会公共利益,根据《中华人民共和国电力法》、《网络安全法》等相关法律法规,制定本办法。
第二条本办法适用于电力企事业单位、电力服务机构、电力市场、电力资源交易市场、电力交易场所等各类电力系统及相关从业人员的网络与信息安全管理。
第三条电力系统网络与信息安全管理应遵循法律、法规、规章和标准的要求,建立健全网络与信息安全保护制度,加强网络与信息安全防护,提高网络与信息安全管理水平,保障电力系统网络与信息的机密性、完整性和可用性。
第四条电力系统网络与信息安全管理应坚持预防为主、综合治理的原则,采取技术措施、管理措施和物理措施相结合的方式,综合防范网络威胁和信息泄露风险。
第五条电力系统网络与信息安全管理应建立健全责任制,明确各级组织和个人的网络与信息安全管理职责,划定权限和责任边界,加强网络与信息安全管理工作的指导和监督。
第六条电力系统网络与信息安全管理应注重技术研发和创新,提升核心技术能力,推动网络与信息安全保护技术的自主可控能力,完善网络与信息安全标准和规范,推动安全技术和产品的研发和推广应用。
第七条电力系统网络与信息安全管理应加强与国内外相关机构和企业的合作交流,共同推进网络与信息安全防护技术的发展和应用,推动电力系统网络与信息安全保护的国际合作。
第二章网络与信息安全管理体系第八条电力系统网络与信息安全管理应建立完善的管理体系,明确组织架构、责任制和工作流程,形成一套科学规范的管理制度和方法。
第九条电力系统网络与信息安全管理应设立专门的网络与信息安全管理部门或岗位,负责管理电力系统网络与信息安全工作,落实网络与信息安全保护责任,并具备相应的技术和管理能力。
第十条电力系统网络与信息安全管理部门或岗位应制定网络与信息安全管理制度和流程,包括但不限于网络与信息安全保护责任分工、网络与信息安全管理工作程序、安全事件应急处理流程等。
2024年电力行业网络与信息安全管理办法第一章总则第一条为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。
第二条电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。
第三条电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。
第二章监督管理职责第四条国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。
国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。
第五条国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:(一)组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;(二)组织制定电力行业网络与信息安全的发展战略和总体规划;(三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施;(四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理;(五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作;(六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作;(七)组织开展电力行业网络与信息安全的技术研发工作;(八)电力行业网络与信息安全监督管理的其它事项。
第三章电力企业职责第六条电力企业是本单位网络与信息安全的责任主体,负责本单位的网络与信息安全工作。
电力行业网络与信息安全管理办法模版第一章总则第一条为了加强电力行业网络与信息安全工作,保障电力行业网络与信息系统的安全稳定运行,维护国家电力行业的利益,制定本办法。
第二条本办法适用于电力行业各单位和个人在电力行业网络与信息安全工作中的行为。
第三条电力行业网络与信息安全工作应当按照国家法律法规、政策和安全管理规定进行,坚持预防为主、综合治理的原则,采取技术、管理和教育相结合的措施,建立健全网络与信息安全管理体系,确保电力行业网络与信息的安全可靠。
第四条电力行业网络与信息安全工作应当聚焦重点、突出重点、加强重点,重点保护国家秘密、商业机密、个人隐私和电力行业核心信息。
第五条电力行业网络与信息安全工作的原则:(一)依法合规。
严格执行国家电力行业网络与信息安全相关法律法规和制度规定,确保网络与信息安全工作的合规性。
(二)预防为主。
采取先天防御和后天防御相结合的方式,从源头上预防电力行业网络与信息安全风险的发生。
(三)分类管理。
根据电力行业网络与信息系统的特点、重要性和风险程度,采取不同的安全防护措施和管理地位进行分类管理。
(四)综合治理。
加强电力行业网络与信息安全的技术、管理和教育培训,形成综合治理的体系。
(五)安全保密。
保护国家秘密、商业机密、个人隐私和电力行业核心信息的安全,防止泄露、篡改和丢失。
(六)责任明确。
各单位和个人对电力行业网络与信息安全工作负有相应的责任与义务。
第二章网络与信息安全保障体系第六条电力行业各单位应当建立健全网络与信息安全保障体系,包括以下内容:(一)安全管理组织体系。
各单位建立健全网络与信息安全责任制,明确安全管理工作的职责、权责和责任人。
(二)安全防护策略体系。
各单位根据自身情况制定详细的网络与信息安全防护策略,包括网络与信息安全保护的方向、目标、原则和策略措施。
(三)安全技术体系。
各单位建立健全网络与信息安全技术体系,采用先进的安全技术手段,确保网络与信息的安全可靠。
(四)安全管理体系。
电力行业网络安全等级保护管理办法第一章总则第一条为规范电力行业网络安全等级保护管理,提高电力行业网络安全保障能力和水平,维护国家安全、社会稳定和公共利益,根据《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国计算机信息系统安全保护条例》《关键信息基础设施安全保护条例》《信息安全等级保护管理办法》等法律法规和规范性文件,制定本办法。
第二条电力企业在中华人民共和国境内建设、运营、维护、使用网络(除核安全外),开展网络安全等级保护工作,适用本办法。
本办法所称网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括电力监控系统、管理信息系统及通信网络设施。
本办法不适用于涉及国家秘密的网络。
涉及国家秘密的网络应当按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合网络实际情况进行管理。
第三条国家能源局根据国家网络安全等级保护政策法规和技术标准要求,结合行业实际,组织制定适用于电力行业的网络安全等级保护管理规范和技术标准,对电力行业网络安全等级保护工作的实施进行指导和监督管理。
国家能源局各派出机构根据国家能源—1—局授权,对本辖区电力企业网络安全等级保护工作的实施进行监督管理。
电力企业依照国家和电力行业相关法律法规和规范性文件,履行网络安全等级保护的义务和责任。
第二章等级划分与保护第四条根据电力行业网络在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,电力行业网络划分为五个安全保护等级:第一级,受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益。
第二级,受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全。
第三级,受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害。
第四级,受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害。
第五级,受到破坏后,会对国家安全造成特别严重危害。
第五条电力行业网络安全等级保护坚持分等级保护、突出重—2—点、积极防御、综合防范的原则。
第三章等级保护的实施与管理第六条国家能源局根据《信息安全技术网络安全等级保护定级指南》(GB/T 22240)等国家标准规范,结合电力行业网络特点,制定电力行业网络安全等级保护定级指南,指导电力行业网络安全等级保护定级工作。
第七条电力企业应当在网络规划设计阶段,依据《信息安全技术网络安全等级保护定级指南》(GB/T 22240)等国家标准规范和电力行业网络安全等级保护定级指南,确定定级对象(网络)及其安全保护等级,并在网络功能、服务范围、服务对象和处理的数据等发生重大变化时,及时申请变更其安全保护等级。
对拟定为第二级及以上的网络,电力企业应当组织网络安全专家进行定级评审。
其中,拟定为第四级及以上的网络,还应当由国家能源局统一组织国家网络安全等级保护专家进行定级评审。
第八条全国电力安全生产委员会企业成员单位汇总集团总部拟定为第二级及以上网络的定级结果和专家评审意见,报国家能源局审核。
各区域(省)内的电力企业汇总本单位拟定为第二级及以上网络的定级结果,报国家能源局派出机构审核。
第九条电力企业办理网络安全等级保护定级审核手续时,应当提交《电力行业网络安全等级保护定级审核表》(详见附件),含各定级对象的定级报告及专家评审意见。
—3—国家能源局或其派出机构应当在收到审核材料之日起30日内反馈审核意见。
第十条电力企业应当在收到国家能源局或其派出机构审核意见后,按照有关规定向公安机关备案并按照第八条规定的定级审核权限向国家能源局或其派出机构报告定级备案结果。
第十一条电力企业应当采购、使用符合国家法律法规和有关标准规范要求且满足网络安全等级保护需求的网络产品和服务。
对于电力监控系统,应当按照电力监控系统安全防护有关要求,采购和使用电力专用横向单向安全隔离装置、电力专用纵向加密认证装置或者加密认证网关等设备设施;在设备选型及配置时,禁止选用经国家能源局通报存在漏洞和风险的系统及设备,对已经投入运行的系统及设备应及时整改并加强运行管理和安全防护。
采购网络产品和服务,影响或可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
第十二条电力企业在网络规划、建设、运营过程中,应当遵循同步规划、同步建设、同步使用的原则,并按照该网络的安全保护等级要求,建设网络安全设备设施,制定并落实安全管理制度,健全网络安全防护体系。
第十三条网络建设完成后,电力企业应当依据国家和行业有关标准或规范要求,定期对网络安全等级保护状况开展网络安全等级保护测评。
第二级网络应当每两年进行一次等级保护测评,第三级及以上网络应当每年进行一次等级保护测评。
新建的第三级及以上—4—网络应当在通过等级保护测评后投入运行。
电力监控系统网络安全等级保护测评工作应当与电力监控系统安全防护评估、关键信息基础设施网络安全检测评估、商用密码应用安全性评估工作相衔接,避免重复测评。
电力企业应当定期对网络安全状况、安全保护制度及措施的落实情况进行自查。
第二级电力监控系统应当每两年至少进行一次自查,第三级及以上网络应当每年至少进行一次自查。
电力企业应当对自查和等级保护测评中发现的安全风险隐患,制定整改方案,并开展安全建设整改。
电力企业应当要求网络安全等级保护测评机构(以下简称测评机构)组织专家对第三级及以上网络的等级保护测评报告进行评审,并随测评报告提交专家评审意见。
第十四条电力企业应当按照第八条规定的定级审核权限,每年向国家能源局或其派出机构报告网络安全等级保护工作情况,包括网络安全等级保护定级备案、等级保护测评、安全建设整改、安全自查等情况。
第十五条国家能源局及其派出机构结合关键信息基础设施网络安全检查,定期组织对运营有第三级及以上网络的电力企业开展抽查。
开展网络安全检查时应当加强协同配合和信息沟通,避免不必要的检查和交叉重复检查。
检查事项主要包括:(一)网络安全等级保护定级工作开展情况,包括定级评审、—5—审核、备案及根据网络安全需求变化调整定级等情况;(二)电力企业网络安全管理制度、措施的落实情况;(三)电力企业对网络安全状况的自查情况;(四)网络安全等级保护测评工作开展情况;(五)网络安全产品使用情况;(六)网络安全建设整改情况;(七)备案材料与电力企业及其网络的符合情况;(八)其他应当进行监督检查的事项。
第十六条电力企业应当接受国家能源局及其派出机构的安全监督、检查、指导,根据需要如实提供下列有关网络安全等级保护的信息资料及数据文件:(一)网络安全等级保护定级备案事项变更情况;(二)网络安全组织、人员、岗位职责的变动情况;(三)网络安全管理制度、措施变更情况;(四)网络运行状况记录;(五)电力企业对网络安全状况的自查记录;(六)测评机构出具的网络安全等级保护测评报告;(七)网络安全产品使用的变更情况;(八)网络安全事件应急预案,网络安全事件应急处置结果报告;(九)网络数据容灾备份情况;(十)网络安全建设、整改结果报告;—6—(十一)其他需要提供的材料。
第十七条针对网络安全检查发现的问题,电力企业应当按照网络安全等级保护管理规范和技术标准组织整改。
必要时,国家能源局及其派出机构可对整改情况进行抽查。
第十八条电力企业选择测评机构进行网络安全等级保护测评时,应当遵循以下要求:(一)测评机构应当获得由国家认证认可委员会批准的认证机构发放的《网络安全等级测评与检测评估机构服务认证证书》(以下简称测评机构服务认证证书);(二)从事电力监控系统网络安全等级保护测评的机构应当熟悉电力监控系统网络安全管理和技术防护要求,具备相应的服务能力和经验。
从事电力监控系统第二级网络等级保护测评的机构应当具备近2年内30套以上工业控制系统等级保护测评或风险评估服务经验;从事电力监控系统第三级网络等级保护测评的机构应当具备近3年内50套以上电力监控系统等级保护测评或安全防护评估服务经验;从事电力监控系统第四级及以上网络等级保护测评的机构应当具备近5年内90套以上电力监控系统等级保护测评或安全防护评估服务经验;(三)对属于电力行业关键信息基础设施的网络,选择测评机构时应当保证其安全可信,必要时可要求测评机构及其主要负责人、技术骨干提供无犯罪记录证明等材料;(四)不得委托近3年内被国家能源局通报有本办法规定不良—7—行为,或被认证机构通报取消或暂停使用测评机构服务认证证书,或被国家网络安全等级保护工作主管部门、行业协会通报暂停开展等级保护测评业务并处于整改期内的测评机构;(五)电力企业应当采取签署保密协议、开展安全保密培训和现场监督等措施,加强对测评机构、测评人员和测评过程的安全保密管理,避免发生失泄密事件。
第十九条国家能源局及其派出机构在开展电力企业网络安全检查工作时,可同步对测评机构开展的测评工作情况进行监督检查。
第二十条国家能源局鼓励电力企业按照国家有关要求开展测评机构建设、申请测评机构服务认证,支持电力企业参与制定电力行业网络安全等级保护技术标准。
第四章网络安全等级保护的密码管理第二十一条电力企业采用密码进行等级保护的,应当遵照《中华人民共和国密码法》等有关法律法规和国家密码管理部门制定的网络安全等级保护密码技术标准执行。
第二十二条电力企业网络安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
运用密码技术进行网络安全等级保护建设与整改时,应当采用商用密码检测、认证机构检测认证合格的商用密码产品和服务。
涉及商用密码进口的,还应当符合国家商用密码进口许可有关要求。
第二十三条电力企业应当按照有关法律法规要求,开展商用密—8—码应用安全性评估工作。
第二十四条各级密码管理部门对网络安全等级保护工作中密码配备、使用和管理的情况进行检查和安全性评估时,相关电力企业应当积极配合。
对于检查和安全性评估发现的问题,应当按照要求及时整改。
第五章法律责任第二十五条电力企业违反国家相关规定及本办法规定,由国家能源局及其派出机构按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,造成严重损害的,由公安机关、密码管理部门依照有关法律、法规予以处理。
第二十六条有关部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第二十七条测评机构违反有关法律法规和规范性文件要求,发生以下不良行为时,国家能源局可向国家有关部门、认证机构、行业协会等提出限期整改、取消/暂停使用测评机构服务认证证书等建议,并向电力企业通报相关风险信息:(一)提供不客观、不公正的等级保护测评服务,出具虚假或不符合实际情况的测评报告,影响等级保护测评的质量和效果;(二)泄露、出售或者非法向他人提供在服务中知悉的国家秘—9—密、工作秘密、商业秘密、重要数据、个人信息和隐私,非法使用或擅自发布、披露在服务中收集掌握的数据信息和系统漏洞、恶意代码、网络入侵攻击等网络安全信息;(三)由于测评机构从业人员的因素,导致发生网络安全事件;(四)未向公安机关报备,测评机构从业人员擅自参加境外组织的网络安全竞赛等活动;(五)其他危害或可能危害电力生产安全或网络安全的行为。