《电力行业网络与信息安全管理办法》该更新了!

2020-11-04 14:41:27 北极星智能电网在线 13

  为了规范电力行业网络与信息安全的监督管理,2014年国家能源局制定了《电力行业网络与信息安全管理办法》,有效期五年。明确了本单位的网络与信息安全工作的责任主体:电力企业(适用于两大电网公司、五大发电集团、中国核电和中广核等两家核电企业等)。网络与信息安全的第一责任人:电力企业主要负责人。遵循的制度与规定:信息安全等级保护制度和电力监控系统安全防护规定。开展的工作:电力监控系统安全防护评估、信息安全等级测评信息安全风险评估、建立信息安全通报制度、制定应急预案等。

  电力行业网络安全形势日趋复杂。电力系统生产运行高度依赖网络和信息技术,特高压、新能源等技术的发展使得网络安全在电力生产中的作用日益突出。近年来我国电力系统日均遭受恶意攻击超过2万次,在严峻的网络安全态势下,核心技术受制于人是最大的隐患,在核心芯片、基础软硬件、关键器件和系统等方面发展不足,在标准规范上缺乏话语权,导致基础网络架构受制,网络空间安全形势不容乐观,电力行业也存在同样的问题。

  首先,控制系统核心组件依赖进口的情况依然存在。电力监控系统,如电力企业采用的DCS控制系统、PLC控制组件、风力发电监控软件、工业交换机等,尚未全面实现安全可控。

  其次,芯片依赖进口的局面没有得到根本性改变。各类自动化系统从主站、通信设备到终端嵌入式系统均大量采用国外处理器、芯片。高端芯片对国外产品的依赖,有较大的政治、经济、社会风险。

  再次,基础软件大量使用国外的产品。DCS控制系统多基于Windows平台开发,国外实时操作系统在场站设备中应用广泛;基础软件的安全漏洞层出不穷、“后门程序”无法掌控,安全性难以保障;部分采用国外软硬件系统的业务,技术改造和应用推广过程受制于厂商技术壁垒,如国外厂商不配合导致多个电力企业密码升级改造工作无法落实。

  电力行业网络与信息安全管理办法

  第一章 总则

  第一条 为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。

  第二条 电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。

  第三条 电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。

  第二章 监督管理职责

  第四条 国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。

  第五条 国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:

  (一)组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;

  (二)组织制定电力行业网络与信息安全的发展战略和总体规划;

  (三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施;

  (四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理;

  (五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作;

  (六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作;

  (七)组织开展电力行业网络与信息安全的技术研发工作;

  (八)电力行业网络与信息安全监督管理的其它事项。

  第三章 电力企业职责

  第六条 电力企业是本单位网络与信息安全的责任主体,负责本单位的网络与信息安全工作。

  第七条 电力企业主要负责人是本单位网络与信息安全的第一责任人。电力企业应当建立健全网络与信息安全管理制度体系, 成立工作领导机构,明确责任部门,设立专兼职岗位,定义岗位职责,明确人员分工和技能要求, 建立健全网络与信息安全责任制。

  第八条 电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求,对本单位的网络与信息系统进行安全保护。

  第九条 电力企业应当选用符合国家有关规定、满足网络与信息安全要求的信息技术产品和服务,开展信息系统安全建设或改建工作。

  第十条 电力企业规划设计信息系统时,应明确系统的安全保护需求,设计合理的总体安全方案,制定安全实施计划,负责信息系统安全建设工程的实施。

  第十一条 电力企业应当按照国家有关规定开展电力监控系统安全防护评估和信息安全等级测评工作,未达到要求的应当及时进行整改。

  第十二条 电力企业应当按照国家有关规定开展信息安全风险评估工作,建立健全信息安全风险评估的自评估和检查评估制度,完善信息安全风险管理机制。

  第十三条 电力企业应当按照网络与信息安全通报制度的规定,建立健全本单位信息通报机制,开展信息安全通报预警工作,及时向国家能源局或其派出机构报告有关情况。

  第十四条 电力企业应当按照电力行业网络与信息安全应急预案,制定或修订本单位网络与信息安全应急预案,定期开展应急演练。

  第十五条 电力企业发生信息安全事件后,应当及时采取有效措施降低损害程度,防止事态扩大,尽可能保护好现场,按规定做好信息上报工作。

  第十六条 电力企业应当按照国家有关规定,建立健全容灾备份制度,对关键系统和核心数据进行有效备份。

  第十七条 电力企业应当建立网络与信息安全资金保障制度,有效保障信息系统安全建设、运维、检查、等级测评和安全评估、应急及其它的信息安全资金。

  第十八条 电力企业应当加强信息安全从业人员考核和管理。从业人员应当定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。

  第四章 监督检查

  第十九条 国家能源局及其派出机构依法对电力企业网络与信息安全工作进行监督检查。

  第二十条 国家能源局及其派出机构进行监督检查和事件调查时,可以采取下列措施:

  (一)进入电力企业进行检查;

  (二)询问相关单位的工作人员,要求其对有关检查事项作出说明;

  (三)查阅、复制与检查事项有关的文件、资料,对可能被转移、隐匿、损毁的文件、资料予以封存;

  (四)对检查中发现的问题,责令其当场改正或者限期改正。

  第五章 附则

  第二十一条 本办法由国家能源局负责解释。

  第二十二条 本办法自发布之日起实施,有效期五年。2007年12月4日原国家电力监管委员会发布的《电力行业网络与信息安全监督管理暂行规定》(电监信息〔2007〕50号)同时废止。

  声明:本文来自北极星智能电网在线,版权归作者所有。文章内容仅代表作者独立观点,不代表万方安全立场,转载目的在于传递更多信息。如有侵权,请联系删除。