附件1：電力行業網絡安全管理辦法(修訂征求意見稿)

電力行業網絡安全管理辦法(修訂征求意見稿)

第一章 總則

第一條 為加強電力行業網絡安全監督管理，規范電力行業網絡安全工作，根據《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國計算機信息系統安全保護條例》《關鍵信息基礎設施安全保護條例》及國家有關規定，制定本辦法。

第二條 電力行業網絡安全工作的目標是建立健全網絡安全保障體系和工作責任體系，提高網絡安全防護能力，保障網絡安全，保障電力系統的安全穩定運行，促進信息化健康發展。

第三條 電力企業在中華人民共和國境內建設、運營、維護和使用網絡，以及網絡安全的監督管理，適用本辦法。

第四條 電力行業網絡安全工作堅持“積極防御、綜合防范”的方針，遵循“依法管理、分工負責，統籌規劃、突出重點”的原則。

第二章 監督管理職責

第五條 國家能源局和地方能源主管部門是電力行業網絡安全主管部門，履行電力行業網絡安全監督管理職責。國家能源局派出機構根據國家能源局的授權，負責具體實施本轄區電力企業網絡安全監督管理。國家能源局及其派出機構依法對電力監控系統安全防護工作進行監督管理。

國家能源局是負責電力行業關鍵信息基礎設施安全保護工作的部門，各省級能源主管部門依據各自職責對電力行業關鍵信息基礎設施實施安全保護和監督管理。

第六條 國家能源局和各級能源主管部門依法履行電力行業網絡安全監督管理工作職責，主要內容為：

(一） 組織落實國家關于網絡安全的方針、政策和重大部署，并與電力生產安全監督管理工作相銜接；

(二） 組織制定電力行業網絡安全的發展戰略和總體規劃；

(三） 組織制定電力行業網絡安全等級保護、關鍵信息基礎設施安全保護、數據安全、網絡安全審查、風險評估、監測預警、信息通報、應急處置、事件調查與處理、工控設備安全性檢測、專業人員管理、容災備份、安全審計、信任體系建設等方面的政策規定及技術規范，并監督實施；

(四） 組織認定電力行業關鍵信息基礎設施，制定電力行業關鍵信息基礎設施安全規劃，建立監測預警制度，組織開展網絡安全檢查檢測；

(五） 組織制定電力行業網絡安全事件應急預案，督促、指導電力企業網絡安全應急工作，組織或參加網絡安全事件的調查與處理；

(六） 組織建立電力行業網絡安全工作評價機制，督促電力企業落實網絡安全責任、保障網絡安全經費、開展網絡安全防護能力建設、處置網絡安全事件等工作；

(七） 組織開展電力行業網絡安全監測預警、信息通報等工作；

(八） 組織開展網絡安全宣傳教育，并指導、督促電力企業做好網絡安全宣傳教育工作；

(九） 組織開展電力行業網絡安全的技術研發工作，推動網絡安全仿真驗證環境（靶場）建設，遴選網絡安全監督管理技術支撐單位；

(十） 電力行業網絡安全監督管理的其它事項。

第七條 電力調度機構負責直接調度范圍內的下一級電力調度機構、集控中心、變電站、發電廠等各類機構涉網部分的電力監控系統安全防護的技術監督。

(一） 自行組織或委托電力監控系統安全防護評估機構開展調度范圍內電力監控系統的自評估工作，配合開展電力監控系統的檢查評估工作，負責統一指揮調度范圍內的電力監控系統安全應急處理，參與電力監控系統的網絡安全事件調查和分析工作；

(二） 組織并督促各相關單位開展電力監控系統安全防護技術培訓和交流工作，貫徹執行國家和行業有關電力監控系統安全防護的標準、規程和規范；

(三） 負責對電力監控系統專用安全產品開展監督管理，制定電力監控系統專用安全產品管理辦法并監督實施；

(四） 將并網電廠涉網部分電力監控系統網絡安全運行狀態納入監測；

(五） 每年11月1日前將技術監督工作開展情況報送國家能源局及其派出機構、地方能源主管部門。

第三章 電力企業職責

第八條 電力企業是本單位網絡安全的責任主體，負責本單位的網絡安全工作。

第九條 電力企業主要負責人是本單位網絡安全的第一責任人。電力企業應當建立健全網絡安全管理、評價考核制度體系，成立工作領導機構，明確責任部門，設立專職崗位，定義崗位職責，明確人員分工和技能要求，建立健全網絡安全責任制。

電力行業關鍵信息基礎設施運營者的主要負責人對關鍵信息基礎設施安全保護負總責，要明確一名領導班子成員（非公有制經濟組織運營者明確一名核心經營管理團隊成員）作為首席網絡安全官，專職管理或分管關鍵信息基礎設施安全保護工作；為每個關鍵信息基礎設施明確一名安全管理責任人；設立專門安全管理機構，確定關鍵崗位及人員，并對機構負責人和關鍵崗位人員進行安全背景審查。

第十條 電力企業應依法依規開展關鍵信息基礎設施認定、報送工作，關鍵信息基礎設施發生重大變化，可能影響其認定結果的，應及時將相關情況報告國家能源局和地方能源主管部門。

第十一條 電力企業應當按照電力監控系統安全防護規定、國家網絡安全等級保護制度、關鍵信息基礎設施安全保護制度、數據安全保護制度及網絡安全審查工作機制的要求，對本單位的網絡與信息系統進行安全保護，并將網絡安全納入安全生產管理體系。

第十二條 電力企業應當選用符合國家有關規定、滿足網絡安全要求的信息技術產品和服務，開展信息系統安全建設或改建工作。接入生產控制大區的涉網安全產品需經電力調度機構同意。

第十三條 電力行業關鍵信息基礎設施運營者應當優先采購安全可信的網絡產品和服務，并按照有關要求開展風險預判工作，評估投入使用后可能對關鍵信息基礎設施安全保護、電力安全生產和國家安全帶來的風險隱患，形成評估報告報送國家能源局和地方能源主管部門，并依法開展網絡安全審查。

第十四條 電力企業規劃設計信息系統時，應當明確系統的安全保護需求，保證安全技術措施同步規劃、同步建設、同步使用，設計合理的總體安全方案并經專業技術人員評審通過，制定安全實施計劃，負責信息系統安全建設工程的實施。信息系統上線前，電力企業應委托網絡安全服務機構開展第三方安全測試。

第十五條 電力企業應當按照國家有關規定開展電力監控系統安全防護評估、網絡安全等級保護測評、關鍵信息基礎設施安全檢測和風險評估、商用密碼應用安全性評估和網絡安全審查等工作，未達到要求的應當及時進行整改。

第十六條 電力企業禁止選擇被國家能源局通報有不良行為或被相關管理部門通報整改的網絡安全服務機構。

第十七條 電力企業應當按照國家有關規定開展網絡安全風險評估工作，建立健全網絡安全風險評估的自評估和檢查評估制度，完善網絡安全風險管理機制。發現風險隱患可能對電力行業網絡安全產生較大影響的，應當向國家能源局和地方能源主管部門報告。

第十八條 電力企業應當依據國家和行業相關標準、規程和規范開展網絡安全技術監督工作，可委托網絡安全服務機構協助開展。

第十九條 電力企業應當建立健全網絡產品安全漏洞信息接收渠道并保持暢通，發現存在安全漏洞后，應當立即采取措施，及時對安全漏洞進行驗證與修補。

第二十條 電力企業應當建立健全本單位網絡安全監測預警和信息通報機制，及時掌握本單位網絡安全運行狀況、安全態勢，及時處置網絡安全威脅與隱患，定期向國家能源局和地方能源主管部門報告有關情況。

電力行業關鍵信息基礎設施運營者應當建立全天候值班值守制度，建設網絡安全態勢感知平臺，并與國家能源局、公安機關等有關平臺對接。

第二十一條 電力企業應當按照電力行業網絡安全事件應急預案，制修訂本單位網絡安全事件應急預案，每年至少開展一次應急演練。制修訂電力監控系統專項網絡安全事件應急預案并定期組織演練。定期組織開展網絡攻防演習，檢驗安全防護和應急處置能力。

第二十二條 電力企業應當在國家重要活動、會議期間結合實際制定網絡安全保障專項工作方案和應急預案，成立保障組織機構，明確目標任務，細化措施要求，組織預案演練，確保重要信息系統、電力監控系統安全穩定運行。

第二十三條 電力企業發生網絡安全事件后，應當立即啟動網絡安全事件應急預案，及時采取有效措施，消除安全隱患，防止危害擴大，盡可能保護好現場，按規定做好信息上報工作。

第二十四條 電力企業應當按照國家有關規定，建立健全容災備份制度，對關鍵系統和重要數據進行有效備份。

第二十五條 電力企業應當建立健全全流程數據安全管理和個人信息保護制度，按照國家和行業重要數據目錄及數據分類分級保護相關要求，確定本單位的重要數據具體目錄，對列入目錄的數據進行重點保護。

第二十六條 電力企業應當建立網絡安全資金保障制度，安排網絡安全專項預算，確保網絡安全投入不低于信息化總投入的5%。

第二十七條 電力企業應當加強網絡安全從業人員考核和管理，做好全員網絡安全宣傳教育，提高網絡安全意識。從業人員應當定期接受相應的政策規范和專業技能培訓，并經培訓合格后上崗。

第二十八條 電力企業應當督促電力監控系統專用安全產品研發單位和供應商按國家有關要求做好保密工作，防止關鍵技術泄露。嚴禁在互聯網上銷售、購買電力監控系統專用安全產品。

第二十九條 電力企業應當于每年11月1日前，將當年網絡安全工作的專項總結報送國家能源局及其派出機構、地方能源主管部門。總結內容應當包括但不限于網絡安全工作開展情況、網絡安全等級保護情況、電力監控系統安全防護評估情況、數據安全保護情況、安全監測預警情況、風險隱患治理情況、網絡安全事件應對處置情況、應急預案及演練情況、安全可控情況、網絡產品和服務采購情況、下一年度工作計劃等。

電力行業關鍵信息基礎設施運營單位應當于每年11月1日前，將當年關鍵信息基礎設施安全保護的專項總結報送國家能源局及其派出機構、地方能源主管部門。總結內容應當包括但不限于關鍵信息基礎設施的運行情況、認定報送情況、安全計劃、安全監測預警情況、網絡安全檢測和風險評估情況、網絡安全事件應對處置情況、應急預案及演練情況、安全可控情況、網絡產品和服務采購情況、下一年度工作計劃等。

第四章 監督檢查

第三十條 國家能源局及其派出機構、地方能源主管部門在各自職責范圍內依法依規對電力企業網絡安全工作進行監督檢查，定期組織開展電力行業關鍵信息基礎設施網絡安全檢查檢測。

第三十一條 國家能源局及其派出機構、地方能源主管部門進行監督檢查和事件調查時，可以采取下列措施：

(一）進入電力企業進行檢查；

(二） 詢問相關單位的工作人員，要求其對有關檢查事項作出說明；

(三） 查閱、復制與檢查事項有關的文件、資料，對可能被轉移、隱匿、損毀的文件、資料予以封存；

(四） 對檢查中發現的問題，責令其當場改正或者限期改正。

第三十二條 國家能源局及其派出機構、地方能源主管部門在履行網絡安全監督管理職責中，發現網絡存在較大安全風險或者發生安全事件的，可以按照規定的權限和程序對該電力企業法定代表人或者主要負責人進行約談，情節嚴重的依據國家有關法律、法規予以處理。

國家能源局及其派出機構、地方能源主管部門可就網絡安全缺陷、漏洞等風險隱患、網絡安全事件開展行業通報，電力企業應當及時排查并采取風險防范措施。

第三十三條 國家能源局及其派出機構、地方能源主管部門工作人員必須對在履行監督管理職責中知悉的國家秘密、商業秘密、重要數據和個人信息嚴格保密，不得泄露、出售或者非法向他人提供。

第五章 附則

第三十四條 本辦法由國家能源局負責解釋。

第三十五條 本辦法自發布之日起實施，有效期五年。2014年7月2日原國家能源局發布的《電力行業網絡與信息安全管理辦法》（國能安全〔2014〕317號）同時廢止。