6月12日,為進一步規(guī)范工作流程���、加強工作協(xié)調(diào)���、提升工作效能�,國家能源局發(fā)布《電力行業(yè)網(wǎng)絡(luò)安全管理辦法(修訂征求意見稿)》《電力行業(yè)網(wǎng)絡(luò)安全等級保護管理辦法(修訂征求意見稿)》��。
《電力行業(yè)網(wǎng)絡(luò)安全管理辦法(修訂征求意見稿)》提出
國家能源局和地方能源主管部門是電力行業(yè)網(wǎng)絡(luò)安全主管部門����,履行電力行業(yè)網(wǎng)絡(luò)安全監(jiān)督管理職責(zé),電力企業(yè)是本單位網(wǎng)絡(luò)安全的責(zé)任主體�,電力企業(yè)主要負責(zé)人是本單位網(wǎng)絡(luò)安全的第一責(zé)任人。
電力企業(yè)應(yīng)當(dāng)按照電力監(jiān)控系統(tǒng)安全防護規(guī)定�、國家網(wǎng)絡(luò)安全等級保護制度、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度���、數(shù)據(jù)安全保護制度及網(wǎng)絡(luò)安全審查工作機制的要求�����,對本單位的網(wǎng)絡(luò)與信息系統(tǒng)進行安全保護����,并將網(wǎng)絡(luò)安全納入安全生產(chǎn)管理體系����。
電力企業(yè)應(yīng)當(dāng)選用符合國家有關(guān)規(guī)定����、滿足網(wǎng)絡(luò)安全要求的信息技術(shù)產(chǎn)品和服務(wù)�����,開展信息系統(tǒng)安全建設(shè)或改建工作���。
電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),并按照有關(guān)要求開展風(fēng)險預(yù)判工作���,評估投入使用后可能對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護�����、電力安全生產(chǎn)和國家安全帶來的風(fēng)險隱患����,形成評估報告報送國家能源局和地方能源主管部門��,并依法開展網(wǎng)絡(luò)安全審查�。
電力企業(yè)規(guī)劃設(shè)計信息系統(tǒng)時,應(yīng)當(dāng)明確系統(tǒng)的安全保護需求�,保證安全技術(shù)措施同步規(guī)劃���、同步建設(shè)、同步使用���,設(shè)計合理的總體安全方案并經(jīng)專業(yè)技術(shù)人員評審?fù)ㄟ^���,制定安全實施計劃,負責(zé)信息系統(tǒng)安全建設(shè)工程的實施���。信息系統(tǒng)上線前�����,電力企業(yè)應(yīng)委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)開展第三方安全測試�����。
電力企業(yè)應(yīng)當(dāng)按照國家有關(guān)規(guī)定開展電力監(jiān)控系統(tǒng)安全防護評估���、網(wǎng)絡(luò)安全等級保護測評、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測和風(fēng)險評估��、商用密碼應(yīng)用安全性評估和網(wǎng)絡(luò)安全審查等工作,未達到要求的應(yīng)當(dāng)及時進行整改�����。
電力企業(yè)應(yīng)當(dāng)依據(jù)國家和行業(yè)相關(guān)標(biāo)準(zhǔn)���、規(guī)程和規(guī)范開展網(wǎng)絡(luò)安全技術(shù)監(jiān)督工作��,可委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)協(xié)助開展。
電力企業(yè)應(yīng)當(dāng)建立健全本單位網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報機制����,及時掌握本單位網(wǎng)絡(luò)安全運行狀況、安全態(tài)勢�����,及時處置網(wǎng)絡(luò)安全威脅與隱患�,定期向國家能源局和地方能源主管部門報告有關(guān)情況。電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當(dāng)建立全天候值班值守制度���,建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知平臺�����,并與國家能源局��、公安機關(guān)等有關(guān)平臺對接��。
電力企業(yè)應(yīng)當(dāng)按照電力行業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案���,制修訂本單位網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案���,每年至少開展一次應(yīng)急演練。制修訂電力監(jiān)控系統(tǒng)專項網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案并定期組織演練�����。定期組織開展網(wǎng)絡(luò)攻防演習(xí)�����,檢驗安全防護和應(yīng)急處置能力�����。
電力企業(yè)應(yīng)當(dāng)在國家重要活動����、會議期間結(jié)合實際制定網(wǎng)絡(luò)安全保障專項工作方案和應(yīng)急預(yù)案�,成立保障組織機構(gòu)�,明確目標(biāo)任務(wù),細化措施要求��,組織預(yù)案演練�����,確保重要信息系統(tǒng)�����、電力監(jiān)控系統(tǒng)安全穩(wěn)定運行��。
電力企業(yè)發(fā)生網(wǎng)絡(luò)安全事件后��,應(yīng)當(dāng)立即啟動網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案��,及時采取有效措施�,消除安全隱患���,防止危害擴大��,盡可能保護好現(xiàn)場�,按規(guī)定做好信息上報工作。
電力企業(yè)應(yīng)當(dāng)按照國家有關(guān)規(guī)定��,建立健全容災(zāi)備份制度���,對關(guān)鍵系統(tǒng)和重要數(shù)據(jù)進行有效備份���。
電力企業(yè)應(yīng)當(dāng)建立健全全流程數(shù)據(jù)安全管理和個人信息保護制度,按照國家和行業(yè)重要數(shù)據(jù)目錄及數(shù)據(jù)分類分級保護相關(guān)要求�����,確定本單位的重要數(shù)據(jù)具體目錄��,對列入目錄的數(shù)據(jù)進行重點保護�。
電力企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全資金保障制度,安排網(wǎng)絡(luò)安全專項預(yù)算����,確保網(wǎng)絡(luò)安全投入不低于信息化總投入的5%。
《電力行業(yè)網(wǎng)絡(luò)安全等級保護管理辦法(修訂征求意見稿)》提出
電力行業(yè)網(wǎng)絡(luò)劃分為五個安全保護等級:
第一級�,受到破壞后,會對公民�、法人和其他組織的合法權(quán)益造成一般損害,但不危害國家安全����、社會秩序和公共利益��。
第二級�����,受到破壞后��,會對公民���、法人和其他組織的合法權(quán)益造成嚴(yán)重損害或特別嚴(yán)重損害,或者對社會秩序和公共利益造成危害���,但不危害國家安全�����。
第三級,受到破壞后���,會對社會秩序和公共利益造成嚴(yán)重危害�,或者對國家安全造成危害��。
第四級,受到破壞后��,會對社會秩序和公共利益造成特別嚴(yán)重危害��,或者對國家安全造成嚴(yán)重危害����。
第五級,受到破壞后會對國家安全造成特別嚴(yán)重危害����。
電力行業(yè)網(wǎng)絡(luò)安全等級保護堅持分等級保護、突出重點����、積極防御、綜合防控的原則����。
國家能源局根據(jù)《網(wǎng)絡(luò)安全等級保護定級指南》(GB/T 22240)等國家標(biāo)準(zhǔn)規(guī)范,結(jié)合電力行業(yè)網(wǎng)絡(luò)特點�,制定電力行業(yè)網(wǎng)絡(luò)安全等級保護定級指南,指導(dǎo)電力行業(yè)網(wǎng)絡(luò)安全等級保護定級工作��。
電力企業(yè)應(yīng)當(dāng)在網(wǎng)絡(luò)規(guī)劃設(shè)計階段�����,依據(jù)《網(wǎng)絡(luò)安全等級保護定級指南》(GB/T 22240)等國家標(biāo)準(zhǔn)規(guī)范和電力行業(yè)網(wǎng)絡(luò)安全等級保護定級指南,確定定級對象(網(wǎng)絡(luò))及其安全保護等級����,并在網(wǎng)絡(luò)功能、服務(wù)范圍��、服務(wù)對象和處理的數(shù)據(jù)等發(fā)生重大變化時��,及時申請變更其安全保護等級�����。
對擬定為第二級及以上的網(wǎng)絡(luò)�,電力企業(yè)應(yīng)當(dāng)組織網(wǎng)絡(luò)安全專家進行定級評審。其中���,擬定為第四級及以上的網(wǎng)絡(luò)���,還應(yīng)由國家能源局統(tǒng)一組織國家網(wǎng)絡(luò)安全等級保護專家進行定級評審�。
新建或已運營(運行)的第二級及以上網(wǎng)絡(luò),應(yīng)當(dāng)在收到國家能源局或其派出機構(gòu)審核意見后����,向公安機關(guān)備案并按照第八條規(guī)定的定級審核權(quán)限向國家能源局或其派出機構(gòu)報告定級備案結(jié)果��。
電力企業(yè)應(yīng)當(dāng)采購���、使用符合國家法律法規(guī)和有關(guān)標(biāo)準(zhǔn)規(guī)范要求且滿足網(wǎng)絡(luò)安全等級保護需求的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。
對于電力監(jiān)控系統(tǒng)��,應(yīng)按照《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(國家發(fā)展和改革委員會令2014年第14號)要求���,采購和使用電力專用橫向單向安全隔離裝置���、電力專用縱向加密認證裝置或者加密認證網(wǎng)關(guān)等設(shè)備設(shè)施;在設(shè)備選型及配置時����,禁止選用經(jīng)國家能源局通報存在嚴(yán)重安全漏洞和風(fēng)險的系統(tǒng)及設(shè)備,對已經(jīng)投入運行的系統(tǒng)及設(shè)備應(yīng)及時整改并加強運行管理和安全防護�����。
采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)����,影響或可能影響國家安全的���,應(yīng)當(dāng)依據(jù)國家網(wǎng)信部門制定的網(wǎng)絡(luò)安全審查辦法申報網(wǎng)絡(luò)安全審查。
電力企業(yè)在網(wǎng)絡(luò)規(guī)劃����、建設(shè)、運營過程中�,應(yīng)當(dāng)遵循同步規(guī)劃、同步建設(shè)����、同步使用的原則,按照該網(wǎng)絡(luò)的安全保護等級要求���,建設(shè)網(wǎng)絡(luò)安全設(shè)備設(shè)施�,制定并落實安全管理制度�,健全網(wǎng)絡(luò)安全防護體系。
網(wǎng)絡(luò)建設(shè)完成后���,電力企業(yè)或者其主管部門應(yīng)當(dāng)選擇符合本辦法第十八條規(guī)定條件的網(wǎng)絡(luò)安全等級保護測評機構(gòu)(以下簡稱測評機構(gòu))�����,依據(jù)國家和行業(yè)有關(guān)標(biāo)準(zhǔn)或規(guī)范要求�����,定期對網(wǎng)絡(luò)安全等級保護狀況開展網(wǎng)絡(luò)安全等級保護測評���。第二級網(wǎng)絡(luò)每兩年應(yīng)進行一次等級保護測評,第三級及以上網(wǎng)絡(luò)每年應(yīng)進行一次等級保護測評��。新建的第三級及以上網(wǎng)絡(luò)應(yīng)當(dāng)在通過網(wǎng)絡(luò)安全等級保護測評后投入運行��。
電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全等級保護測評工作應(yīng)當(dāng)與電力監(jiān)控系統(tǒng)安全防護評估�、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢測評估、商用密碼應(yīng)用安全性評估工作相銜接���,避免重復(fù)測評�。
電力企業(yè)應(yīng)當(dāng)定期對網(wǎng)絡(luò)安全狀況����、安全保護制度及措施的落實情況進行自查。第二級電力監(jiān)控系統(tǒng)應(yīng)當(dāng)每兩年至少進行一次自查��,第三級及以上網(wǎng)絡(luò)應(yīng)當(dāng)每年至少進行一次自查����。
電力企業(yè)應(yīng)當(dāng)對自查和等級保護測評中發(fā)現(xiàn)的安全風(fēng)險隱患�,制定整改方案��,并開展安全建設(shè)整改�。
測評機構(gòu)需組織專家對第三級及以上網(wǎng)絡(luò)的網(wǎng)絡(luò)安全等級保護測評報告進行評審。
電力企業(yè)應(yīng)當(dāng)按照第八條規(guī)定的定級審核權(quán)限����,每年向國家能源局或其派出機構(gòu)報告網(wǎng)絡(luò)安全等級保護工作情況,包括網(wǎng)絡(luò)安全等級保護定級備案���、等級保護測評�����、安全建設(shè)整改����、安全自查等情況���。
國家能源局及其派出機構(gòu)結(jié)合關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查�����,定期組織對運營有第三級及以上網(wǎng)絡(luò)的電力企業(yè)開展抽查。開展網(wǎng)絡(luò)安全檢查時應(yīng)當(dāng)加強協(xié)同配合、信息溝通��,避免不必要的檢查和交叉重復(fù)檢查����。
檢查事項主要為:
(一)網(wǎng)絡(luò)安全等級保護定級工作開展情況��,包括定級評審、審核�、備案及根據(jù)網(wǎng)絡(luò)安全需求變化調(diào)整定級等情況�����;
(二)電力企業(yè)網(wǎng)絡(luò)安全管理制度�����、措施的落實情況�����;
(三)電力企業(yè)及其主管部門對網(wǎng)絡(luò)安全狀況的檢查情況;
(四)網(wǎng)絡(luò)安全等級保護測評工作開展情況�����;
(五)網(wǎng)絡(luò)安全產(chǎn)品使用情況����;
(六)網(wǎng)絡(luò)安全建設(shè)整改情況�����;
(七)備案材料與電力企業(yè)及其網(wǎng)絡(luò)的符合情況����;
(八)其他應(yīng)當(dāng)進行監(jiān)督檢查的事項。
對公安機關(guān)開展的網(wǎng)絡(luò)安全執(zhí)法檢查����,國家能源局及其派出機構(gòu)���、電力企業(yè)應(yīng)當(dāng)予以協(xié)助�、配合。
電力企業(yè)應(yīng)當(dāng)接受國家能源局及其派出機構(gòu)的安全監(jiān)督�、檢查�����、指導(dǎo)��,根據(jù)需要如實提供下列有關(guān)網(wǎng)絡(luò)安全等級保護的信息資料及數(shù)據(jù)文件:
(一)網(wǎng)絡(luò)安全等級保護定級備案事項變更情況�����;
(二)網(wǎng)絡(luò)安全組織��、人員、崗位職責(zé)的變動情況�;
(三)網(wǎng)絡(luò)安全管理制度���、措施變更情況��;
(四)網(wǎng)絡(luò)運行狀況記錄��;
(五)電力企業(yè)及上級部門對網(wǎng)絡(luò)安全狀況的檢查記錄;
(六)測評機構(gòu)出具的網(wǎng)絡(luò)安全等級保護測評報告����;
(七)網(wǎng)絡(luò)安全產(chǎn)品使用的變更情況���;
(八)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案���,網(wǎng)絡(luò)安全事件應(yīng)急處置結(jié)果報告���;
(九)網(wǎng)絡(luò)數(shù)據(jù)容災(zāi)備份情況�����;
(十)網(wǎng)絡(luò)安全建設(shè)��、整改結(jié)果報告����;
(十一)其他需要提供的材料���。
針對網(wǎng)絡(luò)安全檢查發(fā)現(xiàn)的問題,電力企業(yè)應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)組織安全建設(shè)整改。必要時�,國家能源局及其派出機構(gòu)可對整改情況進行抽查���。
電力企業(yè)應(yīng)當(dāng)選擇符合下列條件的測評機構(gòu)進行網(wǎng)絡(luò)安全等級保護測評:
(一)測評機構(gòu)應(yīng)獲得國家認證認可委員會批準(zhǔn)的認證機構(gòu)發(fā)放的《網(wǎng)絡(luò)安全等級測評與檢測評估機構(gòu)服務(wù)認證證書》并納入《全國網(wǎng)絡(luò)安全等級測評與檢測評估機構(gòu)目錄》;
(二)從事電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全等級保護測評的機構(gòu)應(yīng)熟悉電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理和技術(shù)防護要求�,具備相應(yīng)的服務(wù)能力和經(jīng)驗��。從事電力監(jiān)控系統(tǒng)第二級網(wǎng)絡(luò)等級保護測評的機構(gòu)應(yīng)具備近2年內(nèi)30套以上工業(yè)控制系統(tǒng)等級保護測評或風(fēng)險評估服務(wù)經(jīng)驗�����;從事電力監(jiān)控系統(tǒng)第三級網(wǎng)絡(luò)等級保護測評的機構(gòu)應(yīng)具備近3年內(nèi)50套以上電力監(jiān)控系統(tǒng)安全防護評估服務(wù)經(jīng)驗;從事電力監(jiān)控系統(tǒng)第四級及以上網(wǎng)絡(luò)等級保護測評的機構(gòu)應(yīng)具備5年以上電力監(jiān)控系統(tǒng)安全防護評估服務(wù)經(jīng)驗;
(三)對屬于電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)����,選擇測評機構(gòu)時應(yīng)保證其安全可信;
(四)禁止選擇被國家能源局通報有不良行為或被相關(guān)管理部門通報整改的測評機構(gòu);
(五)電力企業(yè)應(yīng)采取簽署保密協(xié)議�����、開展安全保密培訓(xùn)和現(xiàn)場監(jiān)督等措施�,加強對測評機構(gòu)��、測評人員和測評過程的安全保密管理�����,避免發(fā)生泄密事件或電力安全生產(chǎn)事件�����。
電力企業(yè)采用密碼對不涉及國家秘密的網(wǎng)絡(luò)進行等級保護的,應(yīng)當(dāng)遵照《中華人民共和國密碼法》等有關(guān)法律法規(guī)規(guī)定和國家密碼管理部門制定的網(wǎng)絡(luò)安全等級保護密碼技術(shù)標(biāo)準(zhǔn)執(zhí)行����。
電力企業(yè)網(wǎng)絡(luò)安全等級保護中密碼的配備、使用和管理等�,應(yīng)當(dāng)嚴(yán)格執(zhí)行國家密碼管理的有關(guān)規(guī)定�����。運用密碼技術(shù)進行網(wǎng)絡(luò)安全等級保護建設(shè)與整改時,應(yīng)采用商用密碼檢測��、認證機構(gòu)檢測認證合格的商用密碼產(chǎn)品和服務(wù)����。涉及商用密碼進口的�����,還應(yīng)當(dāng)符合國家商用密碼進口許可有關(guān)要求。
對第三級及以上網(wǎng)絡(luò)�,電力企業(yè)應(yīng)在網(wǎng)絡(luò)規(guī)劃�����、建設(shè)和運行階段�,按照商用密碼應(yīng)用安全性評估管理辦法和標(biāo)準(zhǔn)規(guī)范,自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估工作。
各級密碼管理部門對網(wǎng)絡(luò)安全等級保護工作中密碼配備���、使用和管理的情況進行檢查和安全性評估時��,相關(guān)電力企業(yè)應(yīng)當(dāng)積極配合。對于檢查和安全性評估發(fā)現(xiàn)的問題,應(yīng)當(dāng)按照國家密碼管理的相關(guān)規(guī)定要求及時整改����。
電力企業(yè)違反國家相關(guān)規(guī)定及本辦法規(guī)定,由國家能源局及其派出機構(gòu)按照職責(zé)分工責(zé)令其限期改正���;逾期不改正的�,給予警告��,并向其上級主管部門通報情況�,建議對其直接負責(zé)的主管人員和其他直接責(zé)任人員予以處理,造成嚴(yán)重損害的���,由公安機關(guān)、密碼管理部門依照有關(guān)法律�、法規(guī)予以處理。
網(wǎng)絡(luò)安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責(zé)中,玩忽職守��、濫用職權(quán)���、徇私舞弊的�����,依法給予行政處分;構(gòu)成犯罪的���,依法追究刑事責(zé)任���。
測評機構(gòu)違反國家有關(guān)法律法規(guī)和電力行業(yè)規(guī)范性文件要求��,發(fā)生以下不良行為時,國家能源局可向國家有關(guān)部門提出限期整改���、注銷測評機構(gòu)證書等建議�����,并向電力企業(yè)通報相關(guān)信息:
(一)提供不客觀�����、不公正的等級保護測評服務(wù),出具虛假或不符合實際情況的測評報告����,影響等級保護測評的質(zhì)量和效果�����;
(二)發(fā)生重大網(wǎng)絡(luò)安全泄密事件,導(dǎo)致等級保護測評活動中知悉的國家秘密、工作秘密、商業(yè)秘密��、重要數(shù)據(jù)和個人信息被泄露���,或者非法使用或擅自發(fā)布、披露在提供服務(wù)中收集掌握的數(shù)據(jù)信息和系統(tǒng)漏洞����、惡意代碼����、網(wǎng)絡(luò)入侵攻擊等網(wǎng)絡(luò)安全信息�����;
(三)由于測評機構(gòu)從業(yè)人員的因素,導(dǎo)致發(fā)生重大電力安全生產(chǎn)事件���;
(四)未向公安機關(guān)報備�����,測評機構(gòu)從業(yè)人員擅自參加境外組織的網(wǎng)絡(luò)安全競賽等活動�。
文章來源:等級保護測評微信公眾號
0531-67800866