第一章总则
第一条为加强电力行业网络安全监督管理,规范电力行业网络安全工作,根据《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国计算机信息系统安全保护条例》《关键信息基础设施安全保护条例》及国家有关规定,制定本办法。 第二条电力行业网络安全工作的目标是建立健全网络安全保障体系和工作责任体系,提高网络安全防护能力,保障电力系统安全稳定运行和电力可靠供应。
第三条电力企业在中华人民共和国境内建设、运营、维护和使用网络(除核安全外),以及网络安全的监督管理,适用本办法。
本办法所称网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括电力监控系统、管理信息系统及通信网络设施。
本办法不适用于涉及国家秘密的网络。涉及国家秘密的网络应当按照国家保密工作部门有关涉密信息系统管理规定和技术标准,结合网络实际情况进行管理。
第四条电力行业网络安全工作坚持“积极防御、综合防范”的方针,遵循“依法管理、分工负责,统筹规划、突出重点”的原则。
—1—
第二章监督管理职责
第五条国家能源局及其派出机构、负有电力行业网络安全监督管理职责的地方能源主管部门(以下简称行业部门)在各自职责范围内依法依规履行电力行业网络安全监督管理职责。
第六条电力行业网络安全监督管理工作主要包括以下内容:
(一)组织落实国家关于网络安全的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;
(二)组织制定电力行业网络安全等级保护、关键信息基础设施安全保护、电力监控系统安全防护、网络安全监测预警和信息通报、网络安全事件应急处置等方面的政策规定及技术规范,并监督实施;
(三)组织认定电力行业关键信息基础设施,制定关键信息基础设施安全规划,建立关键信息基础设施网络安全监测预警制度,组织开展关键信息基础设施网络安全检查检测,指导关键信息基础设施运营者做好网络安全事件应对处置;
(四)组织或参与网络安全事件的调查与处理;
(五)督促电力企业落实网络安全责任、保障网络安全经费、开展网络安全防护能力建设等工作;
(六)组织开展电力行业网络安全信息通报等工作;
(七)指导督促电力企业做好网络安全宣传教育工作;
(八)推动网络安全仿真验证环境(靶场)建设,组织建立网络安全监督管理技术支撑体系;
—2—
(九)电力行业网络安全监督管理的其它事项。
第七条电力调度机构负责直接调度范围内的下一级电力调度机构、集控中心、变电站(换流站)、发电厂(站)等各类机构涉网部分的电力监控系统安全防护的技术监督。主要包括以下内容:(一)自行组织或委托电力监控系统安全防护评估机构开展调度范围内电力监控系统的自评估工作,配合开展电力监控系统的检查评估工作,负责统一指挥调度范围内的电力监控系统安全应急处理,参与电力监控系统的网络安全事件调查和分析工作;
(二)组织并督促各相关单位开展电力监控系统安全防护技术培训和交流工作,贯彻执行国家和行业有关电力监控系统安全防护的标准、规程和规范;
(三)负责对电力监控系统专用安全产品开展监督管理,制定电力监控系统专用安全产品管理办法并监督实施;
(四)将并网电厂涉网部分电力监控系统网络安全运行状态纳入监测;
(五)每年11月1日前将技术监督工作开展情况报送行业部门。
第三章电力企业责任义务
第八条电力企业是本单位网络安全的责任主体,负责本单位的网络安全工作。
第九条电力企业主要负责人是本单位网络安全的第一责任人。
—3—
电力企业应当建立健全网络安全管理、评价考核制度体系,成立工作领导机构,明确责任部门,设立专职岗位,定义岗位职责,明确人员分工和技能要求,建立健全网络安全责任制。
电力行业关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责,要明确一名领导班子成员(非公有制经济组织运营者明确一名核心经营管理团队成员)作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作;为每个关键信息基础设施明确一名安全管理责任人;设立专门安全管理机构,确定关键岗位及人员,并对机构负责人和关键岗位人员进行安全背景审查。
第十条电力企业应当依法依规开展关键信息基础设施信息报送工作,关键信息基础设施发生较大变化,可能影响其认定结果的,关键信息基础设施运营者发生合并、分立、解散等情况的,应当及时将相关情况报告行业部门。
第十一条电力企业应当按照国家网络安全等级保护制度、关键信息基础设施安全保护制度、数据安全制度、网络安全审查工作机制和电力监控系统安全防护规定的要求,对本单位的网络进行安全保护,并将网络安全纳入安全生产管理体系。
第十二条电力企业应当选用符合国家有关规定、满足网络安全要求的网络产品和服务,开展网络安全建设或改建工作。接入生产控制大区的涉网安全产品需经电力调度机构同意。
第十三条电力行业关键信息基础设施运营者应当优先采购安—4—
全可信的网络产品和服务,并按照有关要求开展风险预判工作,评估投入使用后可能对关键信息基础设
施安全、电力生产安全和国家安全的影响,形成评估报告。影响或者可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
第十四条电力企业规划设计网络时,应当明确安全保护需求,保证安全措施同步规划、同步建设、同步使用,设计合理的总体安全方案并经专业技术人员评审通过,制定安全实施计划,负责网络安全建设工程的实施。网络上线前,电力企业应当委托网络安全服务机构开展第三方安全测试。
第十五条电力企业应当按照国家有关规定开展电力监控系统安全防护评估、网络安全等级保护测评、关键信息基础设施网络安全检测和风险评估、商用密码应用安全性评估和网络安全审查等工作,未达到要求的应当及时进行整改。
第十六条电力企业不得委托在近3年内被行业部门通报有不良行为或被相关部门通报整改的网络安全服务机构。
第十七条电力企业应当按照国家有关规定开展网络安全风险评估工作,建立健全网络安全风险评估的自评估和检查评估制度,完善网络安全风险管理机制。发现风险隐患可能对电力行业网络安全产生较大影响的,应当向行业部门报告。
第十八条电力企业应当依据国家和行业相关标准、规程和规范开展网络安全技术监督工作,可委托网络安全服务机构协助开展。
第十九条电力企业应当建立健全网络产品安全漏洞信息接收
—5—
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议