國家能(néng)源局:《電力行業網絡安全管理(lǐ)辦法》

日期:2022-12-13  浏覽量:12611  新聞來(lái)源:來(lái)自(zì)《國家能(néng)源局》,如有不妥之處,請(qǐng)聯系删除

爲深入貫徹習近平總書記關于網絡強國的重要思想,加強電力行業網絡安全監督管理(lǐ),規範電力行業網絡安全工(gōng)作(zuò),國家能(néng)源局對(duì)《電力行業網絡與信息安全管理(lǐ)辦法》(國能(néng)安全〔2014〕317号)進行了(le)修訂。現(xiàn)将修訂後的《電力行業網絡安全管理(lǐ)辦法》印發。

電力行業網絡安全管理(lǐ)辦法

第一章 總則

第一條爲加強電力行業網絡安全監督管理(lǐ),規範電力行業網絡安全工(gōng)作(zuò),根據《中華人民共和(hé)國網絡安全法》《中華人民共和(hé)國密碼法》《中華人民共和(hé)國數據安全法》《中華人民共和(hé)國個人信息保護法》《中華人民共和(hé)國計(jì)算(suàn)機信息系統安全保護條例》《關鍵信息基礎設施安全保護條例》及國家有關規定,制定本辦法。

第二條電力行業網絡安全工(gōng)作(zuò)的目标是建立健全網絡安全保障體系和(hé)工(gōng)作(zuò)責任體系,提高(gāo)網絡安全防護能(néng)力,保障電力系統安全穩定運行和(hé)電力可靠供應。

第三條電力企業在中華人民共和(hé)國境内建設、運營、維護和(hé)使用(yòng)網絡(除核安全外(wài)),以及網絡安全的監督管理(lǐ),适用(yòng)本辦法。

本辦法所稱網絡是指由計(jì)算(suàn)機或者其他(tā)信息終端及相關設備組成的按照一定的規則和(hé)程序對(duì)信息進行收集、存儲、傳輸、交換、處理(lǐ)的系統,包括電力監控系統、管理(lǐ)信息系統及通信網絡設施。

本辦法不适用(yòng)于涉及國家秘密的網絡。涉及國家秘密的網絡應當按照國家保密工(gōng)作(zuò)部門(mén)有關涉密信息系統管理(lǐ)規定和(hé)技術标準,結合網絡實際情況進行管理(lǐ)。

第四條電力行業網絡安全工(gōng)作(zuò)堅持“積極防禦、綜合防範”的方針,遵循“依法管理(lǐ)、分工(gōng)負責,統籌規劃、突出重點”的原則。

第二章 監督管理(lǐ)職責

第五條國家能(néng)源局及其派出機構、負有電力行業網絡安全監督管理(lǐ)職責的地方能(néng)源主管部門(mén)(以下(xià)簡稱行業部門(mén))在各自(zì)職責範圍内依法依規履行電力行業網絡安全監督管理(lǐ)職責。

第六條電力行業網絡安全監督管理(lǐ)工(gōng)作(zuò)主要包括以下(xià)内容:

(一)組織落實國家關于網絡安全的方針、政策和(hé)重大(dà)部署,并與電力生産安全監督管理(lǐ)工(gōng)作(zuò)相銜接;

(二)組織制定電力行業網絡安全等級保護、關鍵信息基礎設施安全保護、電力監控系統安全防護、網絡安全監測預警和(hé)信息通報(bào)、網絡安全事(shì)件應急處置等方面的政策規定及技術規範,并監督實施;

(三)組織認定電力行業關鍵信息基礎設施,制定關鍵信息基礎設施安全規劃,建立關鍵信息基礎設施網絡安全監測預警制度,組織開(kāi)展關鍵信息基礎設施網絡安全檢查檢測,指導關鍵信息基礎設施運營者做好(hǎo)網絡安全事(shì)件應對(duì)處置;

(四)組織或參與網絡安全事(shì)件的調查與處理(lǐ);

(五)督促電力企業落實網絡安全責任、保障網絡安全經費、開(kāi)展網絡安全防護能(néng)力建設等工(gōng)作(zuò);

(六)組織開(kāi)展電力行業網絡安全信息通報(bào)等工(gōng)作(zuò);

(七)指導督促電力企業做好(hǎo)網絡安全宣傳教育工(gōng)作(zuò);

(八)推動網絡安全仿真驗證環境(靶場)建設,組織建立網絡安全監督管理(lǐ)技術支撐體系;

(九)電力行業網絡安全監督管理(lǐ)的其它事(shì)項。

第七條電力調度機構負責直接調度範圍内的下(xià)一級電力調度機構、集控中心、變電站(zhàn)(換流站(zhàn))、發電廠(chǎng)(站(zhàn))等各類機構涉網部分的電力監控系統安全防護的技術監督。主要包括以下(xià)内容:

(一)自(zì)行組織或委托電力監控系統安全防護評估機構開(kāi)展調度範圍内電力監控系統的自(zì)評估工(gōng)作(zuò),配合開(kāi)展電力監控系統的檢查評估工(gōng)作(zuò),負責統一指揮調度範圍内的電力監控系統安全應急處理(lǐ),參與電力監控系統的網絡安全事(shì)件調查和(hé)分析工(gōng)作(zuò);

(二)組織并督促各相關單位開(kāi)展電力監控系統安全防護技術培訓和(hé)交流工(gōng)作(zuò),貫徹執行國家和(hé)行業有關電力監控系統安全防護的标準、規程和(hé)規範;

(三)負責對(duì)電力監控系統專用(yòng)安全産品開(kāi)展監督管理(lǐ),制定電力監控系統專用(yòng)安全産品管理(lǐ)辦法并監督實施;

(四)将并網電廠(chǎng)涉網部分電力監控系統網絡安全運行狀态納入監測;

(五)每年11月1日前将技術監督工(gōng)作(zuò)開(kāi)展情況報(bào)送行業部門(mén)。

第三章電力企業責任義務

第八條電力企業是本單位網絡安全的責任主體,負責本單位的網絡安全工(gōng)作(zuò)。

第九條電力企業主要負責人是本單位網絡安全的第一責任人。電力企業應當建立健全網絡安全管理(lǐ)、評價考核制度體系,成立工(gōng)作(zuò)領導機構,明(míng)确責任部門(mén),設立專職崗位,定義崗位職責,明(míng)确人員分工(gōng)和(hé)技能(néng)要求,建立健全網絡安全責任制。

電力行業關鍵信息基礎設施運營者的主要負責人對(duì)關鍵信息基礎設施安全保護負總責,要明(míng)确一名領導班子成員(非公有制經濟組織運營者明(míng)确一名核心經營管理(lǐ)團隊成員)作(zuò)爲首席網絡安全官,專職管理(lǐ)或分管關鍵信息基礎設施安全保護工(gōng)作(zuò);爲每個關鍵信息基礎設施明(míng)确一名安全管理(lǐ)責任人;設立專門(mén)安全管理(lǐ)機構,确定關鍵崗位及人員,并對(duì)機構負責人和(hé)關鍵崗位人員進行安全背景審查。

第十條電力企業應當依法依規開(kāi)展關鍵信息基礎設施信息報(bào)送工(gōng)作(zuò),關鍵信息基礎設施發生較大(dà)變化,可能(néng)影響其認定結果的,關鍵信息基礎設施運營者發生合并、分立、解散等情況的,應當及時(shí)将相關情況報(bào)告行業部門(mén)。

第十一條電力企業應當按照國家網絡安全等級保護制度、關鍵信息基礎設施安全保護制度、數據安全制度、網絡安全審查工(gōng)作(zuò)機制和(hé)電力監控系統安全防護規定的要求,對(duì)本單位的網絡進行安全保護,并将網絡安全納入安全生産管理(lǐ)體系。

第十二條電力企業應當選用(yòng)符合國家有關規定、滿足網絡安全要求的網絡産品和(hé)服務,開(kāi)展網絡安全建設或改建工(gōng)作(zuò)。接入生産控制大(dà)區(qū)的涉網安全産品需經電力調度機構同意。

第十三條電力行業關鍵信息基礎設施運營者應當優先采購安全可信的網絡産品和(hé)服務,并按照有關要求開(kāi)展風(fēng)險預判工(gōng)作(zuò),評估投入使用(yòng)後可能(néng)對(duì)關鍵信息基礎設施安全、電力生産安全和(hé)國家安全的影響,形成評估報(bào)告。影響或者可能(néng)影響國家安全的,應當按照國家網絡安全規定通過安全審查。

第十四條電力企業規劃設計(jì)網絡時(shí),應當明(míng)确安全保護需求,保證安全措施同步規劃、同步建設、同步使用(yòng),設計(jì)合理(lǐ)的總體安全方案并經專業技術人員評審通過,制定安全實施計(jì)劃,負責網絡安全建設工(gōng)程的實施。網絡上(shàng)線前,電力企業應當委托網絡安全服務機構開(kāi)展第三方安全測試。

第十五條電力企業應當按照國家有關規定開(kāi)展電力監控系統安全防護評估、網絡安全等級保護測評、關鍵信息基礎設施網絡安全檢測和(hé)風(fēng)險評估、商用(yòng)密碼應用(yòng)安全性評估和(hé)網絡安全審查等工(gōng)作(zuò),未達到(dào)要求的應當及時(shí)進行整改。

第十六條電力企業不得委托在近3年内被行業部門(mén)通報(bào)有不良行爲或被相關部門(mén)通報(bào)整改的網絡安全服務機構。

第十七條電力企業應當按照國家有關規定開(kāi)展網絡安全風(fēng)險評估工(gōng)作(zuò),建立健全網絡安全風(fēng)險評估的自(zì)評估和(hé)檢查評估制度,完善網絡安全風(fēng)險管理(lǐ)機制。發現(xiàn)風(fēng)險隐患可能(néng)對(duì)電力行業網絡安全産生較大(dà)影響的,應當向行業部門(mén)報(bào)告。

第十八條電力企業應當依據國家和(hé)行業相關标準、規程和(hé)規範開(kāi)展網絡安全技術監督工(gōng)作(zuò),可委托網絡安全服務機構協助開(kāi)展。

第十九條電力企業應當建立健全網絡産品安全漏洞信息接收渠道(dào)并保持暢通,發現(xiàn)或者獲知(zhī)存在安全漏洞後,應當立即評估安全漏洞的影響範圍及程度,及時(shí)對(duì)安全漏洞進行驗證并完成修補。

第二十條電力企業應當建立健全本單位網絡安全監測預警和(hé)信息通報(bào)機制,及時(shí)掌握本單位網絡安全運行狀況、安全态勢,及時(shí)處置網絡安全威脅與隐患,定期向行業部門(mén)報(bào)告有關情況。

電力行業關鍵信息基礎設施運營者應當建立7×24小(xiǎo)時(shí)值班值守制度,建設網絡安全态勢感知(zhī)平台,并與行業部門(mén)、公安機關等有關平台對(duì)接。

第二十一條電力企業應當按照電力行業網絡安全事(shì)件應急預案,制修訂本單位網絡安全事(shì)件應急預案,每年至少開(kāi)展一次應急演練。制修訂電力監控系統專項網絡安全事(shì)件應急預案并定期組織演練。定期組織開(kāi)展網絡攻防演習,檢驗安全防護和(hé)應急處置能(néng)力。

第二十二條電力企業應當在國家重要活動、會(huì)議(yì)期間結合實際制定網絡安全保障專項工(gōng)作(zuò)方案和(hé)應急預案,成立保障組織機構,明(míng)确目标任務,細化措施要求,組織預案演練,确保重要信息系統、電力監控系統安全穩定運行。

第二十三條電力企業發生網絡安全事(shì)件後,應當立即啓動網絡安全事(shì)件應急預案,對(duì)網絡安全事(shì)件進行調查和(hé)評估,采取技術措施和(hé)其他(tā)必要措施,消除安全隐患,防止危害擴大(dà),注意保護現(xiàn)場,并按照規定向有關主管部門(mén)報(bào)告。

第二十四條電力企業應當按照國家有關規定,建立健全容災備份制度,對(duì)重要系統和(hé)重要數據進行有效備份。

第二十五條電力企業應當建立健全全流程數據安全管理(lǐ)和(hé)個人信息保護制度,按照國家和(hé)行業重要數據目錄及數據分類分級保護相關要求,确定本單位的重要數據具體目錄,對(duì)列入目錄的數據進行重點保護。

第二十六條電力企業應當建立網絡安全資金(jīn)保障制度,安排網絡安全專項預算(suàn),确保網絡安全投入不低(dī)于信息化總投入的5%。

第二十七條電力企業應當加強網絡安全從(cóng)業人員考核和(hé)管理(lǐ),建立與網絡安全工(gōng)作(zuò)特點相适應的人才培養機制,做好(hǎo)全員網絡安全宣傳教育,提高(gāo)網絡安全意識。從(cóng)業人員應當定期接受相應的政策規範和(hé)專業技能(néng)培訓,并經培訓合格後上(shàng)崗。

第二十八條電力企業應當督促電力監控系統專用(yòng)安全産品研發單位和(hé)供應商按照國家有關要求做好(hǎo)保密工(gōng)作(zuò),防止關鍵技術洩露。嚴禁在互聯網上(shàng)銷售、購買電力監控系統專用(yòng)安全産品。

第二十九條電力企業應當于每年11月1日前,将當年網絡安全工(gōng)作(zuò)的專項總結報(bào)行業部門(mén)。總結内容應當包括但(dàn)不限于網絡安全工(gōng)作(zuò)開(kāi)展情況、網絡安全等級保護情況、電力監控系統安全防護評估情況、數據安全情況、安全監測預警情況、風(fēng)險隐患治理(lǐ)情況、網絡安全事(shì)件應對(duì)處置情況、應急預案及演練情況、網絡産品和(hé)服務采購情況、下(xià)一年度工(gōng)作(zuò)計(jì)劃等。

電力行業關鍵信息基礎設施運營者應當于每年11月1日前,将當年關鍵信息基礎設施安全保護工(gōng)作(zuò)的專項總結報(bào)行業部門(mén)。總結内容應當包括但(dàn)不限于關鍵信息基礎設施的運行情況、認定報(bào)送情況、安全監測預警情況、網絡安全檢測和(hé)風(fēng)險評估情況、網絡安全事(shì)件應對(duì)處置情況、應急預案及演練情況、網絡産品和(hé)服務采購情況、密碼使用(yòng)情況、下(xià)一年度安全保護計(jì)劃等。

第四章監督檢查

第三十條行業部門(mén)在各自(zì)職責範圍内依法依規對(duì)電力企業網絡安全工(gōng)作(zuò)進行監督檢查,定期組織開(kāi)展電力行業關鍵信息基礎設施網絡安全檢查檢測。

第三十一條行業部門(mén)進行監督檢查和(hé)事(shì)件調查時(shí),可以采取下(xià)列措施:

(一)進入電力企業進行檢查;

(二)詢問相關單位的工(gōng)作(zuò)人員,要求其對(duì)有關檢查事(shì)項作(zuò)出說明(míng);

(三)查閱、複制與檢查事(shì)項有關的文(wén)件、資料,對(duì)可能(néng)被轉移、隐匿、損毀的文(wén)件、資料予以封存;

(四)對(duì)檢查中發現(xiàn)的問題,責令其當場改正或者限期改正。

第三十二條行業部門(mén)在履行網絡安全監督管理(lǐ)職責中,發現(xiàn)網絡存在較大(dà)安全風(fēng)險或者發生安全事(shì)件的,可以按照規定的權限和(hé)程序對(duì)該電力企業法定代表人或者主要負責人進行約談,情節嚴重的依據國家有關法律、法規予以處理(lǐ)。

行業部門(mén)可就網絡安全缺陷、漏洞等風(fēng)險,網絡攻擊、惡意軟件等威脅,網絡安全事(shì)件開(kāi)展行業通報(bào),電力企業應當及時(shí)排查并采取風(fēng)險防範措施。

第三十三條行業部門(mén)工(gōng)作(zuò)人員必須對(duì)在履行監督管理(lǐ)職責中知(zhī)悉的國家秘密、工(gōng)作(zuò)秘密、商業秘密、重要數據、個人信息和(hé)隐私嚴格保密,不得洩露、出售或者非法向他(tā)人提供。

第五章附則

第三十四條本辦法由國家能(néng)源局負責解釋。

第三十五條本辦法自(zì)發布之日起施行,有效期5年。《電力行業網絡與信息安全管理(lǐ)辦法》(國能(néng)安全〔2014〕317号)同時(shí)廢止。