电力行业网络安全管理办法电力行业网络安全等级保护管理办法
供电系统网络安全管理制度
一、总则为了加强供电系统网络安全管理,保障电力系统的安全稳定运行,防止网络攻击、病毒感染等安全事件的发生,特制定本制度。
二、组织机构与职责1. 成立供电系统网络安全领导小组,负责组织、协调、监督和指导全公司的网络安全管理工作。
2. 设立网络安全管理部门,负责具体实施网络安全管理制度,负责网络安全事件的处理和应急响应。
3. 各部门负责人对本部门的网络安全工作负总责,确保本部门网络安全措施得到有效执行。
三、网络安全管理措施1. 安全策略制定与实施(1)制定网络安全策略,明确网络安全目标、范围、原则和措施。
(2)实施网络安全策略,包括访问控制、数据加密、安全审计、入侵检测、漏洞管理等。
2. 网络设备与系统管理(1)对网络设备进行定期检查、维护和更新,确保设备正常运行。
(2)对操作系统、应用软件进行定期更新,及时修复已知漏洞。
(3)对重要网络设备进行冗余备份,确保设备故障时能够及时切换。
3. 数据安全与备份(1)对重要数据进行定期备份,确保数据安全。
(2)采用数据加密技术,保护数据在传输和存储过程中的安全。
(3)建立数据恢复机制,确保在数据丢失或损坏时能够及时恢复。
4. 安全培训与宣传(1)定期组织员工进行网络安全培训,提高员工网络安全意识。
(2)开展网络安全宣传活动,普及网络安全知识。
5. 应急响应与事故处理(1)建立网络安全事件应急响应机制,确保在发生网络安全事件时能够及时响应。
(2)对网络安全事件进行调查、分析和处理,总结经验教训,完善网络安全管理制度。
四、网络安全监督检查1. 定期对网络安全管理制度执行情况进行监督检查,确保制度落实到位。
2. 对网络安全事件进行调查,分析原因,提出整改措施。
3. 对违反网络安全制度的行为进行查处,严肃处理相关责任人。
五、附则1. 本制度自发布之日起施行。
2. 本制度由供电系统网络安全领导小组负责解释。
3. 本制度如有未尽事宜,由供电系统网络安全领导小组另行规定。
国家电网公司网络与信息系统安全管理办法
国家电网公司网络与信息系统安全管理办法第一章总则第一条为加强和规范国家电网公司(以下简称“公司”)网络与信息系统安全工作,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力,实现网络与信息系统安全的可控、能控、在控,依据国家有关法律、法规、规定及公司有关制度,制定本办法。
第二条本办法所称网络与信息系统是指公司电力通信网及其承载的管理信息系统和电力二次系统。
第三条本办法适用于公司总(分)部及所属各级单位的网络与信息系统安全管理工作。
第四条网络与信息系统安全防护目标是保障电力生产监控系统及电力调度数据网络的安全,保障管理信息系统及通信、网络的安全,落实信息系统生命周期全过程安全管理,实现信息安全可控、能控、在控.防范对电力二次系统、管理信息系统的恶意攻击及侵害,抵御内外部有组织的攻击,防止由于电力二次系统、管理信息系统的崩溃或瘫痪造成的电力系统事故。
第五条公司网络与信息系统安全工作坚持“三纳入一融合”原则,将等级保护纳入网络与信息系统安全工作中,将网络与信息系统安全纳入信息化日常工作中,将网络与信息系统安全纳入公司安全生产管理体系中,将网络与信息系统安全融入公司安全生产中。
在规划和建设网络与信息系统时,信息通信安全防护措施应按照“三同步"原则,与网络与信息系统建设同步规划、同步建设、同步投入运行.第六条管理信息系统安全防护坚持“双网双机、分区分域、安全接入、动态感知、全面防护、准入备案"的总体安全策略,执行信息安全等级保护制度。
其中“双网双机”指信息内外网间采用逻辑强隔离设备进行隔离,并分别采用独立的服务器及桌面主机;“分区分域”指依据等级保护定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;“安全接入”指通过采用终端加固、安全通道、认证等措施保障终端接入公司信息内外网安全;“动态感知”指对公司网络、信息系统、终端及设备等安全状态进行全面动态监测,实现事前预警、事中监测和事后审计;“全面防护”指对物理、网络边界、主机、应用和数据等进行深度防护,加强安全基础设施建设,覆盖防护各层次、各环节、各对象;“准入备案"指对所有接入公司网络的各类网络、应用、系统、终端、设备进行准入及备案管理.第七条电力二次系统安全防护按照“安全分区、网络专用、横向隔离、纵向认证”的防护原则,并遵照原国家电力监管委员会《电力二次系统安全防护规定》及《电力二次系统安全防护总体方案》等相关文件执行。
电厂电力监控系统网络安全防护管理制度
电厂电力监控系统网络安全防护管理制度(总11页)本页仅作为文档封面,使用时可以删除This document is for reference only-rar21year.March*********公司电力监控系统网络安全防护管理制度1范围为了加强*********公司电力监控系统的信息安全管理,防范黑客及恶意代码等对电力监控系统的攻击及侵害,保障电力监控系统及电力调度数据网络的安全,特制定本制度。
1.1本制度包括:门禁和人员管理,权限和访问控制管理,电力监控系统安全防护和设备运维管理,数据和系统的备份管理,用户口令密钥及数字认证书的管理,审计管理,恶意代码防范管理,电力监控系统安全防护培训管理、电力监控系统安全评估管理、电力监控系统机房管理。
2规范性引用文件下列文件中的条款通过本制度的引用而成为本制度的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本制度,然而,鼓励根据本制度达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本制度。
《电力监控系统安全防护规定》(国家发展和改革委员会 2014年第14号令)《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)《电力监控系统安全防护总体方案》国能安全(2015)36号文《发电厂监控系统安全防护方案》国能安全(2015)36号文《变电站监控系统安全防护方案》国能安全(2015)36号文《配电监控系统安全防护方案》国能安全(2015)36号文《电力监控系统安全防护评估规范》国能安全(2015)36号文《关于印发<中国南方电网有限责任公司电力事故事件调查规程>补充内容(电力监控系统信息安全事件有关规定)的通知》(南方电网安监〔2016〕12 号)《中华人民共和国网络安全法》(2017年6月)《国家能源局关于加强电力行业网络安全工作的指导意见》(国能发安全〔2018〕72号)《中国南方电网电力调度管理规程》(Q/CS212045-2017)《中国南方电网电力监控系统网络安全管理办法》(Q/CSG212001)《中国南方电网电力监控系统网络安全技术规范》(Q/CSG1204009)《中国南方电网有限责任公司保密工作管理办法》(Q/CSG 221008)3术语和定义3.1电力监控系统:是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支撑的通信及数据网络等。
火力发电厂工控系统网络信息安全技术监督习题集附答案
火力发电厂工控系统网络信息安全技术监督习题集1、填空题1.《中华人民共和国网络安全法》是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定的法律。
2.电力行业信息安全等级保护管理办法(国能安全[2014]318号文),主要对电力行业网络与信息安全管理目标、方针、原则、各机构和单位职责以及监督检查工作提出要求。
3.电力监控系统主要包括主控制系统、外围辅助控制系统、控制区电气二次系统、现场总线设备与智能化仪表等控制区实时系统,以及厂级监控信息系统等韭控制区监控系统。
4.信息安全事件调杳处理应当按照“四不放过〃和科学严谨、依法依规、实事求是、注重实效的原则,及时、准确地查清事故原因,查明事故性质和责任,总结事故教训,提曲改措施,并对事故责任人提出处理意见。
5.技术监督职责分级中,第一级为总工程师、第二级为专业技术监督工程师、第三级为相关部门的专业技术人员。
6.电力横向单向安全隔离装置作为生产控制大区和管理信息大区之间的必备边界防护措施,是横向防护的关键设备,应满足可靠性、传输流量等方面的要求。
7. 严格禁止E-mail、WEB、Telnet、Rlogin、FTP等安全风险高的网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置。
8.安全区I与安全区H之间应采用具有访问控制功能的工业防火墙等硬件设备,并实现逻辑隔离、报文过滤、访问控制等功能。
9.电厂生产控制大区系统与调度端系统通过电力调度数据网进行远程通信时,应采用认证、加密、访问控制等技术措施实现数据的远程安全传输以及纵向边界的安全防护。
10.电厂的纵向连接处应设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,与调度端实现双向身份认证、数据加密和访问控制。
11.生产控制大区内个别业务系统或其功能模块(或子系统)需要使用公用通信网络、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信时,应设立安全接入区。
新能源公司电力监控系统网络安全等级保护检查管理标准
新能源公司电力监控系统网络安全等级保护检查管理标准1 范围本标准规定了新能源公司(以下简称“公司”)电力监控系统网络系统安全等级保护的安全等级、安全防护能力、安全目标等要求。
本标准适用于公司电力监控系统网络安全等级保护指导工作。
2 规范性引用文件下列文件对于本标准的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本标准。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本标准。
国能安全〔2014〕317号电力行业网络与电力监控系统安全管理办法国能安全〔2014〕318号电力行业电力监控系统安全等级保护管理办法国能安全〔2014〕97号电力行业信息安全等级保护管理办法国家发改委令〔2014〕14号电力监控系统安全防护规定国能安全〔2015〕36号电力监控系统安全防护总体方案集团制〔2013〕18号集团公司信息安全等级保护检查工作指导书3 术语和定义下列术语和定义适用于本标准。
3.1电力监控系统网络系统电力监控系统网络系统是指基于计算机和计算机网络,按照一定的应用目标和规则对电力监控系统网络进行采集、加工、存储、传输、检索等处理的人机系统。
4 职责4.1 生产副总经理负责统一安排电力监控系统网络安全等级保护工作。
4.2 安全生产部4.2.1 生产技术部是电力监控系统网络安全等级保护检查管理的归口部门。
4.2.2 督促、检查、指导本公司电力监控系统网络系统运营,使用单位的电力监控系统网络安全等级保护工作。
5 管理活动的内容与方法5.1 电力监控系统网络系统的五个安全等级15.1.1 第一级为自主保护级,主要对象为一般的电力监控系统网络系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序和公共利益。
5.1.2 第二级为指导保护级,主要对象为一般的电力监控系统网络系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
5.1.3 第三级为监督保护级,主要对象为涉及国家安全、社会秩序和公共利益的重要电力监控系统网络系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
电网公司网络安全管理制度
第一章总则第一条为加强电网公司网络安全管理,保障电网安全稳定运行,防范网络安全风险,依据《中华人民共和国网络安全法》等相关法律法规,结合公司实际情况,制定本制度。
第二条本制度适用于公司所有网络设备、信息系统、网络安全设备以及涉及公司网络安全的各项工作。
第三条公司网络安全管理工作遵循“预防为主、防治结合、安全发展”的原则。
第二章组织机构与职责第四条公司成立网络安全领导小组,负责公司网络安全工作的总体规划和组织实施。
第五条网络安全领导小组下设网络安全办公室,负责公司网络安全工作的日常管理。
第六条各部门、各单位应设立网络安全管理员,负责本部门、本单位网络安全工作的具体实施。
第三章网络安全管理制度第七条网络安全管理制度包括但不限于以下内容:(一)网络安全防护制度:包括网络安全等级保护、安全漏洞管理、入侵检测、安全事件应急响应等。
(二)网络安全设备管理制度:包括网络安全设备的采购、安装、配置、维护、升级等。
(三)网络安全操作规范:包括网络设备操作、系统管理、数据管理、应用系统使用等。
(四)网络安全培训制度:包括网络安全知识普及、技能培训、考核等。
(五)网络安全审计制度:包括网络安全审计范围、内容、方法、周期等。
(六)网络安全事件应急响应制度:包括网络安全事件报告、调查、处理、恢复等。
第八条网络安全防护措施:(一)网络安全等级保护:根据国家网络安全等级保护要求,对公司信息系统进行安全等级划分,并采取相应的安全措施。
(二)安全漏洞管理:定期对网络设备、信息系统进行安全漏洞扫描,及时修复漏洞。
(三)入侵检测:部署入侵检测系统,实时监控网络流量,发现异常行为及时报警。
(四)安全事件应急响应:建立健全网络安全事件应急响应机制,确保网络安全事件得到及时、有效处置。
第四章网络安全教育与培训第九条公司应定期开展网络安全教育与培训,提高员工网络安全意识和技能。
第十条网络安全教育与培训内容应包括:(一)网络安全法律法规、政策及标准。
国家能源局关于加强电力行业网络安全工作的指导意见
国家能源局关于加强电力行业网络安全工作的指导意见文章属性•【制定机关】国家能源局•【公布日期】2018.09.13•【文号】国能发安全〔2018〕72号•【施行日期】2018.09.13•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】电力及电力工业正文国家能源局关于加强电力行业网络安全工作的指导意见国能发安全〔2018〕72号各省、自治区、直辖市、新疆生产建设兵团发展改革委(能源局)、经信委(工信委),国家能源局各派出监管机构,全国电力安全生产委员会各企业成员单位:为深入贯彻党的十九大精神,全面落实习近平总书记关于网络强国战略的重要论述,按照《中华人民共和国网络安全法》《电力监管条例》及相关法律法规要求,健全电力行业网络安全责任体系,完善网络安全监督管理体制机制,加强关键信息基础设施安全保护,提升电力监控系统安全防护水平,强化网络安全防护体系,提高自主创新及安全可控能力,防范和遏制重大网络安全事件,保障电力系统安全稳定运行和电力可靠供应,提出以下意见。
一、落实企业网络安全主体责任(一)建立健全网络安全责任制。
电力企业是网络安全责任主体,企业各级党委(党组)对本单位、本部门网络安全工作负主体责任,企业主要负责人是网络安全第一责任人。
将网络安全纳入企业安全生产管理体系,按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,落实网络安全主体责任,厘清界面,强化考核,严格责任追究,确保网络安全责任全覆盖。
(二)健全企业网络安全组织体系。
落实网络安全保护责任,设立专门网络安全管理及监督机构,设置相应岗位,加快各级网络安全专业人员配备;重点企业、机构建立首席网络安全官制度。
二、完善网络安全监督管理体制机制(三)健全网络安全监督管理体系。
按照谁主管谁负责的原则,国家能源局依法依规履行电力行业网络安金监督管理职责,地方各级人民政府有关部门按照法律、行政法规和国务院的规定,切实履行网络安全属地监督管理职责。
电力公司网络与信息安全管理制度
电力公司网络与信息安全管理制度电力公司网络与信息安全管理制度一、总则电力公司(以下简称本公司)是一家负责为广大用户提供电力服务的企业,网络与信息安全管理是保障本公司安全稳定运行、保护客户信息不被泄露、保障电网信息安全运行的重要保证。
为此,本公司特制订此《电力公司网络与信息安全管理制度》(以下简称本制度),以保障公司和客户的信息安全,维护公司形象和业务信誉。
二、管理体系1. 建立健全网络与信息安全领导机构。
2. 设立网络与信息安全工作领导小组,对系统运行情况进行监控和调整。
3. 设立网络与信息安全专责部门,负责公司网络与信息安全方面的运维管理,维护公司网络与信息安全稳定。
4. 建立健全网络与信息安全应急预案,及时应对各种网络信息安全事件,确保公司网络与信息安全不受侵害。
三、操作规范1. 用户系统管理:(1)用户账号系统必须要设置密码,并要求员工定期修改密码。
所有密码必须使用复杂组合的字符以保障足够的安全性。
(2)用户账号的权限必须按照管理规范来分级和限定,禁止用户自行修改账号权限。
(3)任何离职员工的账号必须及时注销,并开展修改账号密码等措施以保障账号不被他人获取。
2. 网络安全管理:(1)员工在工作电脑、网络等使用的设备必须由公司配置,任何外接存储设备的连接必须先通过安全检查核验方可使用。
(2)任何员工都不得发表任何涉及公司机密的敏感信息、广告、宣传等行为。
(3)任何员工不得利用公司网络从事非法活动,如网站攻击、数据破坏等行为。
对于违规操作员工要进行异动处理并翻查过往操作行为与影响。
3. 网络使用行为:(1)任何员工必须制定使用网络和公司设备的规范和行为准则,严格遵守以上规定,不得进行不正当利用。
同时要保障公司网络与信息安全管理措施,及时通知公司将有利于保障公司的安全稳定运行。
(2)任何员工要注意电子邮件的安全性,不要随意打开来自陌生人的邮件并不要轻易点击邮件中的链接及文件,同时也不要轻易向外人发送内部文件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电力行业网络安全管理办法第一章总则第一条为加强电力行业网络安全监督管理,规范电力行业网络安全工作,根据《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国计算机信息系统安全保护条例》《关键信息基础设施安全保护条例》及国家有关规定,制定本办法。
第二条电力行业网络安全工作的目标是建立健全网络安全保障体系和工作责任体系,提高网络安全防护能力,保障电力系统安全稳定运行和电力可靠供应。
第三条电力企业在中华人民共和国境内建设、运营、维护和使用网络(除核安全外),以及网络安全的监督管理,适用本办法。
本办法所称网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括电力监控系统、管理信息系统及通信网络设施。
本办法不适用于涉及国家秘密的网络。
涉及国家秘密的网络应当按照国家保密工作部门有关涉密信息系统管理规定和技术标准,结合网络实际情况进行管理。
第四条电力行业网络安全工作坚持〃积极防御、综合防范〃的方针,遵循〃依法管理、分工负责,统筹规划、突出重点〃的原则。
第二章监督管理职责第五条国家能源局及其派出机构、负有电力行业网络安全监督管理职责的地方能源主管部门(以下简称行业部门)在各自职责范围内依法依规履行电力行业网络安全监督管理职责。
第六条电力行业网络安全监督管理工作主要包括以下内容:(-)组织落实国家关于网络安全的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;(二)组织制定电力行业网络安全等级保护、关键信息基础设施安全保护、电力监控系统安全防护、网络安全监测预警和信息通报、网络安全事件应急处置等方面的政策规定及技术规范,并监督实施;(三)组织认定电力行业关键信息基础设施,制定关键信息基础设施安全规划,建立关键信息基础设施网络安全监测预警制度,组织开展关键信息基础设施网络安全检查检测,指导关键信息基础设施运营者做好网络安全事件应对处置;(四)组织或参与网络安全事件的调查与处理;(五)督促电力企业落实网络安全责任、保障网络安全经费、开展网络安全防护能力建设等工作;(六)组织开展电力行业网络安全信息通报等工作;(七)指导督促电力企业做好网络安全宣传教育工作;(八)推动网络安全仿真验证环境(靶场)建设,组织建立网络安全监督管理技术支撑体系;(九)电力行业网络安全监督管理的其它事项。
第七条电力调度机构负责直接调度范围内的下一级电力调度机构、集控中心、变电站(换流站)、发电厂(站)等各类机构涉网部分的电力监控系统安全防护的技术监督。
主要包括以下内容:(-)自行组织或委托电力监控系统安全防护评估机构开展调度范围内电力监控系统的自评估工作,配合开展电力监控系统的检查评估工作,负责统一指挥调度范围内的电力监控系统安全应急处理,参与电力监控系统的网络安全事件调查和分析工作;(二)组织并督促各相关单位开展电力监控系统安全防护技术培训和交流工作,贯彻执行国家和行业有关电力监控系统安全防护的标准、规程和规范;(三)负责对电力监控系统专用安全产品开展监督管理,制定电力监控系统专用安全产品管理办法并监督实施;(四)将并网电厂涉网部分电力监控系统网络安全运行状态纳入监测;(五)每年11月1日前将技术监督工作开展情况报送行业部门。
第三章电力企业责任义务第八条电力企业是本单位网络安全的责任主体,负责本单位的网络安全工作。
第九条电力企业主要负责人是本单位网络安全的第一责任人。
电力企业应当建立健全网络安全管理、评价考核制度体系,成立工作领导机构,明确责任部门,设立专职岗位,定义岗位职责,明确人员分工和技能要求,建立健全网络安全责任制。
电力行业关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责,要明确一名领导班子成员(非公有制经济组织运营者明确一名核心经营管理团队成员)作为首席网络安全官, 专职管理或分管关键信息基础设施安全保护工作;为每个关键信息基础设施明确一名安全管理责任人;设立专门安全管理机构,确定关键岗位及人员,并对机构负责人和关键岗位人员进行安全背景审查。
第十条电力企业应当依法依规开展关键信息基础设施信息报送工作,关键信息基础设施发生较大变化,可能影响其认定结果的,关键信息基础设施运营者发生合并、分立、解散等情况的,应当及时将相关情况报告行业部门。
第十一条电力企业应当按照国家网络安全等级保护制度、关键信息基础设施安全保护制度、数据安全制度、网络安全审查工作机制和电力监控系统安全防护规定的要求,对本单位的网络进行安全保护,并将网络安全纳入安全生产管理体系。
第十二条电力企业应当选用符合国家有关规定、满足网络安全要求的网络产品和服务,开展网络安全建设或改建工作。
接入生产控制大区的涉网安全产品需经电力调度机构同意。
第十三条电力行业关键信息基础设施运营者应当优先采购安全可信的网络产品和服务,并按照有关要求开展风险预判工作,评估投入使用后可能对关键信息基础设施安全、电力生产安全和国家安全的影响,形成评估报告。
影响或者可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
第十四条电力企业规划设计网络时,应当明确安全保护需求,保证安全措施同步规划、同步建设、同步使用,设计合理的总体安全方案并经专业技术人员评审通过,制定安全实施计划,负责网络安全建设工程的实施。
网络上线前,电力企业应当委托网络安全服务机构开展第三方安全测试。
第十五条电力企业应当按照国家有关规定开展电力监控系统安全防护评估、网络安全等级保护测评、关键信息基础设施网络安全检测和风险评估、商用密码应用安全性评估和网络安全审查等工作,未达到要求的应当及时进行整改。
第十六条电力企业不得委托在近3年内被行业部门通报有不良行为或被相关部门通报整改的网络安全服务机构。
第十七条电力企业应当按照国家有关规定开展网络安全风险评估工作,建立健全网络安全风险评估的自评估和检查评估制度,完善网络安全风险管理机制。
发现风险隐患可能对电力行业网络安全产生较大影响的,应当向行业部门报告。
第十八条电力企业应当依据国家和行业相关标准、规程和规范开展网络安全技术监督工作,可委托网络安全服务机构协助开展。
第十九条电力企业应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,发现或者获知存在安全漏洞后,应当立即评估安全漏洞的影响范围及程度,及时对安全漏洞进行验证并完成修补。
第二十条电力企业应当建立健全本单位网络安全监测预警和信息通报机制,及时掌握本单位网络安全运行状况、安全态势,及时处置网络安全威胁与隐患,定期向行业部门报告有关情况。
电力行业关键信息基础设施运营者应当建立7×24小时值班值守制度,建设网络安全态势感知平台,并与行业部门、公安机关等有关平台对接。
第二十一条电力企业应当按照电力行业网络安全事件应急预案,制修订本单位网络安全事件应急预案,每年至少开展一次应急演练。
制修订电力监控系统专项网络安全事件应急预案并定期组织演练。
定期组织开展网络攻防演习,检验安全防护和应急处置能力。
第二十二条电力企业应当在国家重要活动、会议期间结合实际制定网络安全保障专项工作方案和应急预案,成立保障组织机构,明确目标彳壬务,细化措施要求,组织预案演练,确保重要信息系统、电力监控系统安全稳定运行。
第二十三条电力企业发生网络安全事件后,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,注意保护现场, 并按照规定向有关主管部门报告。
第二十四条电力企业应当按照国家有关规定,建立健全容灾备份制度,对重要系统和重要数据进行有效备份。
第二十五条电力企业应当建立健全全流程数据安全管理和个人信息保护制度,按照国家和行业重要数据目录及数据分类分级保护相关要求,确定本单位的重要数据具体目录,对列入目录的数据进行重点保护。
第二十六条电力企业应当建立网络安全资金保障制度,安排网络安全专项预算,确保网络安全投入不低于信息化总投入的5%o第二十七条电力企业应当加强网络安全从业人员考核和管理,建立与网络安全工作特点相适应的人才培养机制,做好全员网络安全宣传教育,提高网络安全意识。
从业人员应当定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。
第二十八条电力企业应当督促电力监控系统专用安全产品研发单位和供应商按照国家有关要求做好保密工作,防止关键技术泄露。
严禁在互联网上销售、购买电力监控系统专用安全产品。
第二十九条电力企业应当于每年11月1日前,将当年网络安全工作的专项总结报行业部门。
总结内容应当包括但不限于网络安全工作开展情况、网络安全等级保护情况、电力监控系统安全防护评估情况、数据安全情况、安全监测预警情况、风险隐患治理情况、网络安全事件应对处置情况、应急预案及演练情况、网络产品和服务采购情况、下一年度工作计划等。
电力行业关键信息基础设施运营者应当于每年11月1日前,将当年关键信息基础设施安全保护工作的专项总结报行业部门。
总结内容应当包括但不限于关键信息基础设施的运行情况、认定报送情况、安全监测预警情况、网络安全检测和风险评估情况、网络安全事件应对处置情况、应急预案及演练情况、网络产品和服务采购情况、密码使用情况、下一年度安全保护计划等。
第四章监督检查第三十条行业部门在各自职责范围内依法依规对电力企业网络安全工作进行监督检查,定期组织开展电力行业关键信息基础设施网络安全检查检测。
第三十一条行业部门进行监督检查和事件调查时,可以采取下列措施:(-)进入电力企业进行检查;(二)询问相关单位的工作人员,要求其对有关检查事项作出说明;(三)查阅、复制与检查事项有关的文件、资料,对可能被转移、隐匿、损毁的文件、资料予以封存;(四)对检查中发现的问题,责令其当场改正或者限期改正。
第三十二条行业部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该电力企业法定代表人或者主要负责人进行约谈,情节严重的依据国家有关法律、法规予以处理。
行业部门可就网络安全缺陷、漏洞等风险,网络攻击、恶意软件等威胁,网络安全事件开展行业通报,电力企业应当及时排查并采取风险防范措施。
第三十三条行业部门工作人员必须对在履行监督管理职责中知悉的国家秘密、工作秘密、商业秘密、重要数据、个人信息和隐私严格保密,不得泄露、出售或者非法向他人提供。
第五章附则第三十四条本办法由国家能源局负责解释。
第三十五条本办法自发布之日起施行,有效期5年。
《电力行业网络与信息安全管理办法》(国能安全[2014] 317号)同时废止。
电力行业网络安全等级保护管理办法第一章总则第一条为规范电力行业网络安全等级保护管理,提高电力行业网络安全保障能力和水平,维护国家安全、社会稳定和公共利益,根据《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国计算机信息系统安全保护条例》《关键信息基础设施安全保护条例》《信息安全等级保护管理办法》等法律法规和规范性文件,制定本办法。