為深入貫徹習近平總書記關于網絡強國的重要思想�,加強電力行業(yè)網絡安全監(jiān)督管理�,規(guī)范電力行業(yè)網絡安全工作�����,國家能源局對《電力行業(yè)網絡與信息安全管理辦法》(國能安全〔2014〕317號)進行了修訂?���,F將修訂后的《電力行業(yè)網絡安全管理辦法》印發(fā)。
電力行業(yè)網絡安全管理辦法
第一章 總則
第一條為加強電力行業(yè)網絡安全監(jiān)督管理��,規(guī)范電力行業(yè)網絡安全工作,根據《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國計算機信息系統安全保護條例》《關鍵信息基礎設施安全保護條例》及國家有關規(guī)定���,制定本辦法����。
第二條電力行業(yè)網絡安全工作的目標是建立健全網絡安全保障體系和工作責任體系���,提高網絡安全防護能力�����,保障電力系統安全穩(wěn)定運行和電力可靠供應。
第三條電力企業(yè)在中華人民共和國境內建設���、運營����、維護和使用網絡(除核安全外)���,以及網絡安全的監(jiān)督管理�����,適用本辦法�����。
本辦法所稱網絡是指由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集��、存儲����、傳輸、交換�、處理的系統,包括電力監(jiān)控系統��、管理信息系統及通信網絡設施�����。
本辦法不適用于涉及國家秘密的網絡����。涉及國家秘密的網絡應當按照國家保密工作部門有關涉密信息系統管理規(guī)定和技術標準,結合網絡實際情況進行管理��。
第四條電力行業(yè)網絡安全工作堅持“積極防御��、綜合防范”的方針,遵循“依法管理���、分工負責�,統籌規(guī)劃��、突出重點”的原則��。
第二章 監(jiān)督管理職責
第五條國家能源局及其派出機構��、負有電力行業(yè)網絡安全監(jiān)督管理職責的地方能源主管部門(以下簡稱行業(yè)部門)在各自職責范圍內依法依規(guī)履行電力行業(yè)網絡安全監(jiān)督管理職責����。
第六條電力行業(yè)網絡安全監(jiān)督管理工作主要包括以下內容:
(一)組織落實國家關于網絡安全的方針、政策和重大部署����,并與電力生產安全監(jiān)督管理工作相銜接�����;
(二)組織制定電力行業(yè)網絡安全等級保護�、關鍵信息基礎設施安全保護、電力監(jiān)控系統安全防護�����、網絡安全監(jiān)測預警和信息通報、網絡安全事件應急處置等方面的政策規(guī)定及技術規(guī)范�����,并監(jiān)督實施���;
(三)組織認定電力行業(yè)關鍵信息基礎設施�,制定關鍵信息基礎設施安全規(guī)劃����,建立關鍵信息基礎設施網絡安全監(jiān)測預警制度,組織開展關鍵信息基礎設施網絡安全檢查檢測����,指導關鍵信息基礎設施運營者做好網絡安全事件應對處置;
(四)組織或參與網絡安全事件的調查與處理�����;
(五)督促電力企業(yè)落實網絡安全責任����、保障網絡安全經費�、開展網絡安全防護能力建設等工作�����;
(六)組織開展電力行業(yè)網絡安全信息通報等工作�����;
(七)指導督促電力企業(yè)做好網絡安全宣傳教育工作����;
(八)推動網絡安全仿真驗證環(huán)境(靶場)建設,組織建立網絡安全監(jiān)督管理技術支撐體系��;
(九)電力行業(yè)網絡安全監(jiān)督管理的其它事項����。
第七條電力調度機構負責直接調度范圍內的下一級電力調度機構、集控中心����、變電站(換流站)���、發(fā)電廠(站)等各類機構涉網部分的電力監(jiān)控系統安全防護的技術監(jiān)督�����。主要包括以下內容:
(一)自行組織或委托電力監(jiān)控系統安全防護評估機構開展調度范圍內電力監(jiān)控系統的自評估工作��,配合開展電力監(jiān)控系統的檢查評估工作����,負責統一指揮調度范圍內的電力監(jiān)控系統安全應急處理,參與電力監(jiān)控系統的網絡安全事件調查和分析工作�;
(二)組織并督促各相關單位開展電力監(jiān)控系統安全防護技術培訓和交流工作,貫徹執(zhí)行國家和行業(yè)有關電力監(jiān)控系統安全防護的標準��、規(guī)程和規(guī)范��;
(三)負責對電力監(jiān)控系統專用安全產品開展監(jiān)督管理���,制定電力監(jiān)控系統專用安全產品管理辦法并監(jiān)督實施���;
(四)將并網電廠涉網部分電力監(jiān)控系統網絡安全運行狀態(tài)納入監(jiān)測;
(五)每年11月1日前將技術監(jiān)督工作開展情況報送行業(yè)部門���。
第三章電力企業(yè)責任義務
第八條電力企業(yè)是本單位網絡安全的責任主體�����,負責本單位的網絡安全工作�。
第九條電力企業(yè)主要負責人是本單位網絡安全的第一責任人。電力企業(yè)應當建立健全網絡安全管理�、評價考核制度體系,成立工作領導機構��,明確責任部門���,設立專職崗位��,定義崗位職責�����,明確人員分工和技能要求���,建立健全網絡安全責任制。
電力行業(yè)關鍵信息基礎設施運營者的主要負責人對關鍵信息基礎設施安全保護負總責���,要明確一名領導班子成員(非公有制經濟組織運營者明確一名核心經營管理團隊成員)作為首席網絡安全官�����,專職管理或分管關鍵信息基礎設施安全保護工作���;為每個關鍵信息基礎設施明確一名安全管理責任人;設立專門安全管理機構�,確定關鍵崗位及人員,并對機構負責人和關鍵崗位人員進行安全背景審查��。
第十條電力企業(yè)應當依法依規(guī)開展關鍵信息基礎設施信息報送工作�,關鍵信息基礎設施發(fā)生較大變化,可能影響其認定結果的���,關鍵信息基礎設施運營者發(fā)生合并��、分立���、解散等情況的,應當及時將相關情況報告行業(yè)部門��。
第十一條電力企業(yè)應當按照國家網絡安全等級保護制度���、關鍵信息基礎設施安全保護制度�����、數據安全制度����、網絡安全審查工作機制和電力監(jiān)控系統安全防護規(guī)定的要求,對本單位的網絡進行安全保護���,并將網絡安全納入安全生產管理體系����。
第十二條電力企業(yè)應當選用符合國家有關規(guī)定���、滿足網絡安全要求的網絡產品和服務���,開展網絡安全建設或改建工作。接入生產控制大區(qū)的涉網安全產品需經電力調度機構同意��。
第十三條電力行業(yè)關鍵信息基礎設施運營者應當優(yōu)先采購安全可信的網絡產品和服務�,并按照有關要求開展風險預判工作,評估投入使用后可能對關鍵信息基礎設施安全���、電力生產安全和國家安全的影響���,形成評估報告���。影響或者可能影響國家安全的,應當按照國家網絡安全規(guī)定通過安全審查��。
第十四條電力企業(yè)規(guī)劃設計網絡時�����,應當明確安全保護需求��,保證安全措施同步規(guī)劃�、同步建設���、同步使用��,設計合理的總體安全方案并經專業(yè)技術人員評審通過�����,制定安全實施計劃��,負責網絡安全建設工程的實施���。網絡上線前�����,電力企業(yè)應當委托網絡安全服務機構開展第三方安全測試��。
第十五條電力企業(yè)應當按照國家有關規(guī)定開展電力監(jiān)控系統安全防護評估�、網絡安全等級保護測評���、關鍵信息基礎設施網絡安全檢測和風險評估����、商用密碼應用安全性評估和網絡安全審查等工作���,未達到要求的應當及時進行整改�。
第十六條電力企業(yè)不得委托在近3年內被行業(yè)部門通報有不良行為或被相關部門通報整改的網絡安全服務機構�。
第十七條電力企業(yè)應當按照國家有關規(guī)定開展網絡安全風險評估工作,建立健全網絡安全風險評估的自評估和檢查評估制度���,完善網絡安全風險管理機制�����。發(fā)現風險隱患可能對電力行業(yè)網絡安全產生較大影響的���,應當向行業(yè)部門報告��。
第十八條電力企業(yè)應當依據國家和行業(yè)相關標準�、規(guī)程和規(guī)范開展網絡安全技術監(jiān)督工作��,可委托網絡安全服務機構協助開展����。
第十九條電力企業(yè)應當建立健全網絡產品安全漏洞信息接收渠道并保持暢通�,發(fā)現或者獲知存在安全漏洞后,應當立即評估安全漏洞的影響范圍及程度����,及時對安全漏洞進行驗證并完成修補。
第二十條電力企業(yè)應當建立健全本單位網絡安全監(jiān)測預警和信息通報機制��,及時掌握本單位網絡安全運行狀況�、安全態(tài)勢,及時處置網絡安全威脅與隱患�����,定期向行業(yè)部門報告有關情況��。
電力行業(yè)關鍵信息基礎設施運營者應當建立7×24小時值班值守制度,建設網絡安全態(tài)勢感知平臺�����,并與行業(yè)部門��、公安機關等有關平臺對接���。
第二十一條電力企業(yè)應當按照電力行業(yè)網絡安全事件應急預案�,制修訂本單位網絡安全事件應急預案�����,每年至少開展一次應急演練��。制修訂電力監(jiān)控系統專項網絡安全事件應急預案并定期組織演練�����。定期組織開展網絡攻防演習����,檢驗安全防護和應急處置能力。
第二十二條電力企業(yè)應當在國家重要活動����、會議期間結合實際制定網絡安全保障專項工作方案和應急預案�,成立保障組織機構��,明確目標任務��,細化措施要求�,組織預案演練,確保重要信息系統�、電力監(jiān)控系統安全穩(wěn)定運行。
第二十三條電力企業(yè)發(fā)生網絡安全事件后�,應當立即啟動網絡安全事件應急預案,對網絡安全事件進行調查和評估��,采取技術措施和其他必要措施��,消除安全隱患���,防止危害擴大,注意保護現場����,并按照規(guī)定向有關主管部門報告。
第二十四條電力企業(yè)應當按照國家有關規(guī)定��,建立健全容災備份制度,對重要系統和重要數據進行有效備份��。
第二十五條電力企業(yè)應當建立健全全流程數據安全管理和個人信息保護制度�����,按照國家和行業(yè)重要數據目錄及數據分類分級保護相關要求����,確定本單位的重要數據具體目錄,對列入目錄的數據進行重點保護�。
第二十六條電力企業(yè)應當建立網絡安全資金保障制度,安排網絡安全專項預算�,確保網絡安全投入不低于信息化總投入的5%。
第二十七條電力企業(yè)應當加強網絡安全從業(yè)人員考核和管理�����,建立與網絡安全工作特點相適應的人才培養(yǎng)機制�����,做好全員網絡安全宣傳教育����,提高網絡安全意識���。從業(yè)人員應當定期接受相應的政策規(guī)范和專業(yè)技能培訓,并經培訓合格后上崗��。
第二十八條電力企業(yè)應當督促電力監(jiān)控系統專用安全產品研發(fā)單位和供應商按照國家有關要求做好保密工作�,防止關鍵技術泄露。嚴禁在互聯網上銷售��、購買電力監(jiān)控系統專用安全產品��。
第二十九條電力企業(yè)應當于每年11月1日前����,將當年網絡安全工作的專項總結報行業(yè)部門?����?偨Y內容應當包括但不限于網絡安全工作開展情況�、網絡安全等級保護情況����、電力監(jiān)控系統安全防護評估情況、數據安全情況、安全監(jiān)測預警情況�、風險隱患治理情況、網絡安全事件應對處置情況�、應急預案及演練情況、網絡產品和服務采購情況�、下一年度工作計劃等。
電力行業(yè)關鍵信息基礎設施運營者應當于每年11月1日前����,將當年關鍵信息基礎設施安全保護工作的專項總結報行業(yè)部門?���?偨Y內容應當包括但不限于關鍵信息基礎設施的運行情況、認定報送情況�����、安全監(jiān)測預警情況����、網絡安全檢測和風險評估情況、網絡安全事件應對處置情況�、應急預案及演練情況、網絡產品和服務采購情況�����、密碼使用情況、下一年度安全保護計劃等�。
第四章監(jiān)督檢查
第三十條行業(yè)部門在各自職責范圍內依法依規(guī)對電力企業(yè)網絡安全工作進行監(jiān)督檢查,定期組織開展電力行業(yè)關鍵信息基礎設施網絡安全檢查檢測���。
第三十一條行業(yè)部門進行監(jiān)督檢查和事件調查時�����,可以采取下列措施:
(一)進入電力企業(yè)進行檢查�;
(二)詢問相關單位的工作人員����,要求其對有關檢查事項作出說明;
(三)查閱��、復制與檢查事項有關的文件��、資料��,對可能被轉移���、隱匿、損毀的文件、資料予以封存�;
(四)對檢查中發(fā)現的問題,責令其當場改正或者限期改正�����。
第三十二條行業(yè)部門在履行網絡安全監(jiān)督管理職責中���,發(fā)現網絡存在較大安全風險或者發(fā)生安全事件的�,可以按照規(guī)定的權限和程序對該電力企業(yè)法定代表人或者主要負責人進行約談�,情節(jié)嚴重的依據國家有關法律、法規(guī)予以處理�����。
行業(yè)部門可就網絡安全缺陷��、漏洞等風險�����,網絡攻擊���、惡意軟件等威脅����,網絡安全事件開展行業(yè)通報,電力企業(yè)應當及時排查并采取風險防范措施�����。
第三十三條行業(yè)部門工作人員必須對在履行監(jiān)督管理職責中知悉的國家秘密�、工作秘密、商業(yè)秘密�����、重要數據���、個人信息和隱私嚴格保密��,不得泄露�����、出售或者非法向他人提供���。
第五章附則
第三十四條本辦法由國家能源局負責解釋。
第三十五條本辦法自發(fā)布之日起施行�,有效期5年���?��!峨娏π袠I(yè)網絡與信息安全管理辦法》(國能安全〔2014〕317號)同時廢止���。
