第一章总则
第一条为加强和规范国家电网公司(以下简称“公司”)网络与信息系统平安工作,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密实力,实现网络与信息系统平安的可控、能控、在控,依据国家有关法律、法规、规定及公司有关制度,制定本方法。 其次条本方法所称网络与信息系统是指公司电力通信网及其承载的管理信息系统和电力二次系统。
第三条本方法适用于公司总(分)部及所属各级单位的网络与信息系统平安管理工作。
第四条网络与信息系统平安防护目标是保障电力生产监控系统及电力调度数据网络的平安,保障管理信息系统及通信、网络的平安,落实信息系统生命周期全过程平安管理,实现信息平安可控、能控、在控。防范对电力二次系统、管理信息系统的恶意攻击及侵害,抵抗内外部有组织的攻击,防止由于电力二次系统、管理信息系统的崩溃或瘫痪造成的电力系统事故。胀锚螺栓
第五条公司网络与信息系统平安工作坚持“三纳入一融合”原则,将等级爱惜纳入网络与信息系统平安工作中,将网络与信息系统平安纳入信息化日常工作中,将网络与信息系统平安纳入公司平安生产管理体系中,将网络与信息系统平安融入公司平安生产中。在规划和建设网络与信息系统时,信息通信平安防
护措施应依据“三同步”原则,与网络与信息系统建设同步规划、同步建设、同步投入运行。
第六条管理信息系统平安防护坚持“双网双机、分区分域、平安接入、动态感知、全面防护、准入备案”的总体平安策略,执行信息平安等级爱惜制度。其中“双网双机”指信息内外网间接受逻辑强隔离设备进行隔离,并分别接受独立的服务器及桌面主机;“分区分域”指依据等级爱惜定级状况及业务系统类型,进行平安域划分,以实现不同平安域的独立化、差异化防护;“平安接入”指通过接受终端加固、平安通道、认证等措施保障终端接入公司信息内外网平安;“动态感知”指对公司网络、信息系统、终端及设备等平安状态进行全面动态监测,实现事前预警、事中监测和事后审计;“全面防护”指对物理、网络边界、主机、应用和数据等进行深度防护,加强平安基础设施建设,覆盖防护各层次、各环节、各对象;“准入备案”指对全部接入公司网络的各类网络、应用、系统、终端、设备进行准入及备案管理。
第七条电力二次系统平安防护依据“平安分区、网络专用、横向隔离、纵向认证”的防护原则,并遵照原国家电力监管委员会《电力二次系统平安防护规定》及《电力二次系统平安防护总体方案》等相关文件执行。
其次章职责分工
手机受话器第八条公司信息平安工作实行统一领导、分级管理,遵循“谁主管谁负责;谁运行谁负责;谁运用谁负
责;管业务必需管平安”的原则,严格落实网络与信息系统平安责任。各级单位主要负责人是本单位网络与信息系统平安第一责任人。各级单位信息化领导小组负责本单位网络信息平安(含生产限制大区和管理信息大区)的总体协调领导。
第九条网络与信息系统实行专业管理、归口监督。国网信通部是信息平安防护的归口部门,负责管理信息系统及电力通信网的平安防护。国调中心负责调度数据网络和电力二次系统的平安防护。国网安质部负责公司信息平安监督、检查和评价工作。国网办公厅(保密办)负责公司保密管理,负责信息失泄密状况的调查和处理。各业务部门负责本专业系统及终端的平安监控和防护。各级单位负责落实本单位网络与信息系统平安工作。
碱锰电池第十条国网信通部主要职责如下:
(一)落实国家有关网络与信息系统平安法规、方针、政策、标准和规范,联系国家有关部门落实相关平安工作。组织制定公司网络与信息系统平安管理标准规范和规章制度。
(二)负责公司网络与信息系统平安体系规划设计、架构管控、总体平安防护方案制订、核心平安防护措施部署和策略优化配置并组织实施。
(三)指导总部各部门、公司各级单位开展网络与信息系统全生命周期平安管控工作,组织落实等级爱惜测评整改、风险评估和隐患排查治理等工作。
(四)负责信息平安技术督查体系建设,组织开展公司信息平安技术督查工作。
(五)帮助开展网络与信息系统事务的调查处理,组织制定、落实网络与信息系统反事故措施。
(六)负责信息平安态势跟踪、事务监测与分析、信息平安通报。
(七)负责网络与信息系统应急管理体系建设与应急处置。
第十一条国调中心主要职责如下:
(一)负责公司生产限制大区(含各级调度、变电站、发电厂、配电自动化、负荷限制等)工控系统平安防护管理,统筹公司经营范围内并网发电厂涉网部分的监控系统和继电爱惜等工控系统平安防护的技术监督管理。
(二)负责落实国家电力二次系统平安防护要求,组织制定公司电力二次系统平安管理制度,指导各级单位开展电力二次系统平安防护的实施方案制定和运行管理。
(三)协作完成国家有关部门对公司电力二次系统开展的风险评估和隐患排查、信息平安检查,落实等级爱惜制度等工作。
(四)负责电力二次系统平安防护技术督查体系建设以及组织开展电力二次系统的平安技术督查工作。
(五)负责电力二次系统应急管理体系建设与应急处置。
第十二条国网安质部主要职责如下:
(一)负责公司网络与信息系统平安检查和评价。
(二)负责公司信息平安事务的调查、分析、处理和事务通报。
第十三条业务部门主要职责如下:
(一)牵头开展本专业信息系统信息平安防护工作,依据公司总体平安策略组织制定相关系统信息平安防护方案,经公司信息平安专家审查委员会审批后执行。
(二)落实业务系统信息平安等级爱惜工作,协作开展业务系统平安测评、风险评估和隐患排查治理等工作。
(三)国网运检部负责配电自动化终端具体平安防护及运行维护管理,负责相关平安防护的技改项目管理。
(四)国网营销部负责营销业务涉及限制类系统及终端(如负荷限制系统、负控终端及用电信息采集限制终端等)的具体平安防护及运行维护管理。
(五)国网农电部负责代管县供电企业的农村电网涉及限制类系统及终端平安防护管理。
(六)在本专业人员培训过程中贯彻公司信息平安相关要求。
第十四条各级单位主要职责如下:
(一)负责实行国家有关网络与信息系统平安法规、方针、政策、标准和规范,实行公司网络与信息系统平安相关标准规范和规章制度。
(二)落实本单位范围内网络与信息系统平安工作责任体系。
(三)落实本单位网络与信息系统全生命周期平安管控、等级爱惜测评整改、平安准入、风险评估、隐患排查治理和信息平安技术督查等工作。
(四)依据公司网络与信息系统应急管理要求建立本单位应急体系,组织本单位突发事务的应急处理。
水三相点瓶(五)负责明确本单位网络与信息系统平安运行维护部门或机构,落实网络与信息系统平安运行维护日常工作。明确落实本单位信息平安技术督查体系。
(六)组织本单位信息平安宣扬和培训工作。
第十五条各业务支撑和实施机构信息平安职责如下:
(一)各级调控机构:分别负责本级调度限制系统和调度数据网络的平安防护和运行维护管理,负责直调发电厂涉网部分的监控系统和继电爱惜等工控系统平安防护技术监督。
(二)国网运行分公司、各省检修(分)公司、各地(市)检修工公司和县运检部[检修(建设)工区]:分别负责运维范围内变电站、开关站、换流站的系统、设备和终端的平安运维和应急处置工作。
(三)国网新源控股公司:负责运维范围内发电厂的系统、设备和终端的平安运维和应急处置工作。
(四)中国电科院:负责公司信息通信平安探讨,供应信息平安专业技术支撑;负责公司信息通信系统和设备的平安测试工作;负责信息通信系统和设备的缺陷分析、平安设计的符合性审查以及状态评价;负责执行信息通信平安技术督查及专项检查。
(五)省电科院:负责信息通信平安探讨,为各省(自治区、直辖市)电力公司供应信息平安专业技术支撑;负责省公司信息通信系统和设备的缺陷分析、平安设计的符合性审查以及状态评价;负责本单位信息平安技术督查。
(六)国网信通公司:负责公司总部信息通信系统、一级部署信息系统、直属单位集中部署信息系统和一级骨干信息通信网的平安运维和应急处置工作。
(七)省信通(分)公司:负责调管范围内信息通信系统调度监控和应急处置;负责资产管理范围内信息通信系统、设备和终端的平安运维和应急处置工作。
(八)地(市)信通分公司:受职能管理部门托付开展本单位信息平安保障工作。
第三章管理要求
第十六条依据公司制度标准体系建设工作要求和统一部署,由总部统一制定、发布与组织实施信息通信平安管理制度,实现全职责、全业务、全流程覆盖,确保纵向层级支撑,横向连接联动。
第十七条依据公司“三集五大”体系设计确定的岗位,公司统一确定信息系统建设、运行、运用等相关岗位的信息平安职责,各级单位遵照执行并加强管理。各级单位信息通信职能管理部门、电力调度管理部门应设置特地的信息平安管理岗位,配备平安管理人员,明确平安工作职责。
电动拖布
第十八条加强员工信息平安管理,严格人员录用过程,与关键岗位员工签订保密协议,明确信息平安保密的内容和职责;切实加强员工信息平安培训工作,提高全员平安意识;刚好终止离岗员工的全部访问权限。
对担当公司核心信息系统规划、研发、运维管理等关键岗位人员开展平安培训和考核,对系统运维关键岗位建立持证上岗制度,明确持证上岗要求。对关键岗位人员进行平安技能考核。将信息平安技能考核内容纳入公司安规考试。
加强对临时来访人员和常驻外包服务人员的信息平安管理。加强外来人员的出入登记和接待管理,严格限制外来人员活动区域。外来人员进入机房等重要区域,应办理审批登记手续并由相关管理人员全程陪伴,相关操作必需有审计及监控。
第十九条网络与信息系统平安管理工作机制如下:
(一)遵循“统一指挥、密切协作、职责明确、流程规范、响应刚好”的协同原则,做好公司信息平安内、外部协同机制的落实工作。
(二)健全信息平安技术督查工作,加强对信息平安技术督查的一体化管控,强化督查责任落实,深化年度、专项、日常督查工作。进一步提升督查队伍装备水平,优化督查工作流程,强化督查队伍评价考核。
(三)落实常态信息平安风险评估工作,与公司春秋季检和迎峰度夏工作相结合,切实将风险评估工作常态化,刚好落实整改,消退平安隐患。
(四)切实加强网络与信息系统应急管理体系建设。依据综合协调、统一领导、分级负责的原则,在公司总部、各分部、省(自治区、直辖市)电力公司、直属单位建立应急组织和指挥体系;坚持“平安第一、预防为主”的方针,加强应急响应队伍建设,优化完善应急预案,落实常态应急演练工作,做好应急保障工作;加强平安风险监测与预警,建立“上下联动、区域协作”的快速响应工作,强化应急处置。
(五)严格执行信息平安事故通报制度(通报规范见附件1),做好节假日和特殊时期的平安运行状况报送工作。
(六)落实健全网络与信息系统平安准入工作,加强对接入公司网络的各类系统、终端、设备的准入及备案管理,强化备案信息与上下线相关运行平安工作的准入联动工作。
(七)严格依据公司平安事故调查规程,开展事故缘由分析,做好事故调查工作,坚持“四不放过”原则,有效落实整改。
(八)实行信息平安等级爱惜制度,持续强化信息平安等级爱惜工作管理,做好系统等级爱惜定级、备案、建设、测评与整改工作。
(九)深化开展信息平安动态治理工作,推动各级单位信息平安工作的落实与持续改进,提升信息平安流程化、标准化和规范化水平。强化隐患排查治理工作,强化从隐患发觉到隐患治理的闭环管理工作,消退信息平安薄弱环节。
(十)开展信息技术供应链平安管理工作,开展信息技术软硬件设备和服务供应商平安管理、软硬件设备选型和平安测试工作,逐步实现核心运行系统的国产化。加强外部合作单位和供应商管理,严特殊部单位资质审核。严禁合作单位和供应商在对互联网供应服务的网络和信息系统中存储和运行公司相关业务系统数据和敏感信息。关键软硬件设备选购应开展产品预先选型和平安检测。对涉及的信息平安软硬件产品和密码产品要坚持国产化原则,信息平安核心防护产品以自主研发为主。管理信息系统软硬件产品逐步接受全国产化产品。刚好开展各种软硬件漏洞检测及修复。
(十一)建立信息平安综合评价体系,加强信息平安监督及考核评价,将网络与信息系统平安落实状况纳入各级单位信息化水平评价。
亮晶晶眼贴
(十二)加强密码技术的开发利用以及密码平安保障,落实密钥的统一选型及应用工作,充分发挥密码技术在信息平安工作中的基础作用。
其次十条加强电力通信网的平安管理,规范电力通信网络平安防护体系,健全针对各类网络在线监测和平安预警实力,做好对光缆、网络交换设备、物理区域与人员的平安访问管理,禁止通信网管系统
未经网络隔离装置与信息内网互联,禁止通信网管系统与外部维护厂商间进行网络连接。电力通信设备、线路等应接受冗余保障、网络优化、设备网管防护等措施提高可用性。
其次十一条加强信息内外网网站管理。各级单位对外网站应与公司外网企业门户网站进行整合,内网宣扬网站要与公司内网企业门户进行整合,实现网站统一管理与备案。网站信息发布须严格依据公司审核发布
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议