第一章 總 則
第一條 為規范電力行業(yè)網(wǎng)絡(luò )安全等級保護管理��,提高電力行業(yè)網(wǎng)絡(luò )安全保障能力和水平�,維護國家安全�、社會(huì )穩定和公共利益�,根據《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國密碼法》《中華人民共和國計算機信息系統安全保護條例》《關(guān)鍵信息基礎設施安全保護條例》《信息安全等級保護管理辦法》等法律法規和規范性文件��,制定本辦法�。
第二條 電力企業(yè)在中華人民共和國境內建設�、運營(yíng)��、維護�、使用網(wǎng)絡(luò )(除核安全外)�,開(kāi)展網(wǎng)絡(luò )安全等級保護工作����,適用本辦法�。
本辦法所稱(chēng)網(wǎng)絡(luò )是指由計算機或者其他信息終端及相關(guān)設備組成的按照一定的規則和程序對信息進(jìn)行收集�、存儲����、傳輸�、交換��、處理的系統��,包括電力監控系統����、管理信息系統及通信網(wǎng)絡(luò )設施�。
本辦法不適用于涉及國家秘密的網(wǎng)絡(luò )�。涉及國家秘密的網(wǎng)絡(luò )應當按照國家保密工作部門(mén)有關(guān)涉密信息系統分級保護的管理規定和技術(shù)標準�,結合網(wǎng)絡(luò )實(shí)際情況進(jìn)行管理����。
第三條 國家能源局根據國家網(wǎng)絡(luò )安全等級保護政策法規和技術(shù)標準要求��,結合行業(yè)實(shí)際����,組織制定適用于電力行業(yè)的網(wǎng)絡(luò )安全等級保護管理規范和技術(shù)標準�,對電力行業(yè)網(wǎng)絡(luò )安全等級保護工作的實(shí)施進(jìn)行指導和監督管理��。國家能源局各派出機構根據國家能源局授權��,對本轄區電力企業(yè)網(wǎng)絡(luò )安全等級保護工作的實(shí)施進(jìn)行監督管理����。
電力企業(yè)依照國家和電力行業(yè)相關(guān)法律法規和規范性文件����,履行網(wǎng)絡(luò )安全等級保護的義務(wù)和責任�。
第二章 等級劃分與保護
第四條 根據電力行業(yè)網(wǎng)絡(luò )在國家安全��、經(jīng)濟建設�、社會(huì )生活中的重要程度��,以及一旦遭到破壞����、喪失功能或者數據被篡改�、泄露��、丟失�、損毀后��,對國家安全����、社會(huì )秩序��、公共利益以及公民��、法人和其他組織的合法權益的危害程度等因素����,電力行業(yè)網(wǎng)絡(luò )劃分為五個(gè)安全保護等級:
第一級�,受到破壞后�,會(huì )對相關(guān)公民��、法人和其他組織的合法權益造成一般損害����,但不危害國家安全��、社會(huì )秩序和公共利益����。
第二級�,受到破壞后����,會(huì )對相關(guān)公民����、法人和其他組織的合法權益造成嚴重損害或特別嚴重損害����,或者對社會(huì )秩序和公共利益造成危害��,但不危害國家安全����。
第三級����,受到破壞后��,會(huì )對社會(huì )秩序和公共利益造成嚴重危害��,或者對國家安全造成危害��。
第四級�,受到破壞后����,會(huì )對社會(huì )秩序和公共利益造成特別嚴重危害�,或者對國家安全造成嚴重危害�。
第五級����,受到破壞后�,會(huì )對國家安全造成特別嚴重危害�。
第五條 電力行業(yè)網(wǎng)絡(luò )安全等級保護堅持分等級保護����、突出重點(diǎn)��、積極防御����、綜合防范的原則�。
第三章 等級保護的實(shí)施與管理
第六條 國家能源局根據《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護定級指南》(GB/T 22240)等國家標準規范��,結合電力行業(yè)網(wǎng)絡(luò )特點(diǎn)����,制定電力行業(yè)網(wǎng)絡(luò )安全等級保護定級指南��,指導電力行業(yè)網(wǎng)絡(luò )安全等級保護定級工作��。
第七條 電力企業(yè)應當在網(wǎng)絡(luò )規劃設計階段����,依據《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護定級指南》(GB/T 22240)等國家標準規范和電力行業(yè)網(wǎng)絡(luò )安全等級保護定級指南��,確定定級對象(網(wǎng)絡(luò ))及其安全保護等級�,并在網(wǎng)絡(luò )功能�、服務(wù)范圍�、服務(wù)對象和處理的數據等發(fā)生重大變化時(shí)�,及時(shí)申請變更其安全保護等級����。
對擬定為第二級及以上的網(wǎng)絡(luò )��,電力企業(yè)應當組織網(wǎng)絡(luò )安全專(zhuān)家進(jìn)行定級評審����。其中�,擬定為第四級及以上的網(wǎng)絡(luò )�,還應當由國家能源局統一組織國家網(wǎng)絡(luò )安全等級保護專(zhuān)家進(jìn)行定級評審��。
第八條 全國電力安全生產(chǎn)委員會(huì )企業(yè)成員單位匯總集團總部擬定為第二級及以上網(wǎng)絡(luò )的定級結果和專(zhuān)家評審意見(jiàn)�,報國家能源局審核����。各區域(?�。﹥鹊碾娏ζ髽I(yè)匯總本單位擬定為第二級及以上網(wǎng)絡(luò )的定級結果�,報國家能源局派出機構審核�。
第九條 電力企業(yè)辦理網(wǎng)絡(luò )安全等級保護定級審核手續時(shí)�,應當提交《電力行業(yè)網(wǎng)絡(luò )安全等級保護定級審核表》(詳見(jiàn)附件)��,含各定級對象的定級報告及專(zhuān)家評審意見(jiàn)��。
國家能源局或其派出機構應當在收到審核材料之日起30日內反饋審核意見(jiàn)�。
第十條 電力企業(yè)應當在收到國家能源局或其派出機構審核意見(jiàn)后�,按照有關(guān)規定向公安機關(guān)備案并按照第八條規定的定級審核權限向國家能源局或其派出機構報告定級備案結果����。
第十一條 電力企業(yè)應當采購��、使用符合國家法律法規和有關(guān)標準規范要求且滿(mǎn)足網(wǎng)絡(luò )安全等級保護需求的網(wǎng)絡(luò )產(chǎn)品和服務(wù)����。
對于電力監控系統�,應當按照電力監控系統安全防護有關(guān)要求����,采購和使用電力專(zhuān)用橫向單向安全隔離裝置����、電力專(zhuān)用縱向加密認證裝置或者加密認證網(wǎng)關(guān)等設備設施��;在設備選型及配置時(shí)����,禁止選用經(jīng)國家能源局通報存在漏洞和風(fēng)險的系統及設備��,對已經(jīng)投入運行的系統及設備應及時(shí)整改并加強運行管理和安全防護��。
采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)����,影響或可能影響國家安全的��,應當按照國家網(wǎng)絡(luò )安全規定通過(guò)安全審查��。
第十二條 電力企業(yè)在網(wǎng)絡(luò )規劃�、建設�、運營(yíng)過(guò)程中����,應當遵循同步規劃��、同步建設����、同步使用的原則�,并按照該網(wǎng)絡(luò )的安全保護等級要求��,建設網(wǎng)絡(luò )安全設備設施��,制定并落實(shí)安全管理制度�,健全網(wǎng)絡(luò )安全防護體系�。
第十三條 網(wǎng)絡(luò )建設完成后��,電力企業(yè)應當依據國家和行業(yè)有關(guān)標準或規范要求��,定期對網(wǎng)絡(luò )安全等級保護狀況開(kāi)展網(wǎng)絡(luò )安全等級保護測評����。第二級網(wǎng)絡(luò )應當每?jì)赡赀M(jìn)行一次等級保護測評�,第三級及以上網(wǎng)絡(luò )應當每年進(jìn)行一次等級保護測評����。新建的第三級及以上網(wǎng)絡(luò )應當在通過(guò)等級保護測評后投入運行����。
電力監控系統網(wǎng)絡(luò )安全等級保護測評工作應當與電力監控系統安全防護評估�、關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢測評估����、商用密碼應用安全性評估工作相銜接��,避免重復測評�。
電力企業(yè)應當定期對網(wǎng)絡(luò )安全狀況��、安全保護制度及措施的落實(shí)情況進(jìn)行自查����。第二級電力監控系統應當每?jì)赡曛辽龠M(jìn)行一次自查�,第三級及以上網(wǎng)絡(luò )應當每年至少進(jìn)行一次自查����。
電力企業(yè)應當對自查和等級保護測評中發(fā)現的安全風(fēng)險隱患�,制定整改方案����,并開(kāi)展安全建設整改����。
電力企業(yè)應當要求網(wǎng)絡(luò )安全等級保護測評機構(以下簡(jiǎn)稱(chēng)測評機構)組織專(zhuān)家對第三級及以上網(wǎng)絡(luò )的等級保護測評報告進(jìn)行評審��,并隨測評報告提交專(zhuān)家評審意見(jiàn)�。
第十四條 電力企業(yè)應當按照第八條規定的定級審核權限����,每年向國家能源局或其派出機構報告網(wǎng)絡(luò )安全等級保護工作情況��,包括網(wǎng)絡(luò )安全等級保護定級備案��、等級保護測評��、安全建設整改�、安全自查等情況��。
第十五條 國家能源局及其派出機構結合關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查����,定期組織對運營(yíng)有第三級及以上網(wǎng)絡(luò )的電力企業(yè)開(kāi)展抽查��。開(kāi)展網(wǎng)絡(luò )安全檢查時(shí)應當加強協(xié)同配合和信息溝通��,避免不必要的檢查和交叉重復檢查����。
檢查事項主要包括:
(一)網(wǎng)絡(luò )安全等級保護定級工作開(kāi)展情況��,包括定級評審����、審核��、備案及根據網(wǎng)絡(luò )安全需求變化調整定級等情況�;
(二)電力企業(yè)網(wǎng)絡(luò )安全管理制度��、措施的落實(shí)情況��;
(三)電力企業(yè)對網(wǎng)絡(luò )安全狀況的自查情況����;
(四)網(wǎng)絡(luò )安全等級保護測評工作開(kāi)展情況��;
(五)網(wǎng)絡(luò )安全產(chǎn)品使用情況����;
(六)網(wǎng)絡(luò )安全建設整改情況��;
(七)備案材料與電力企業(yè)及其網(wǎng)絡(luò )的符合情況��;
(八)其他應當進(jìn)行監督檢查的事項��。
第十六條 電力企業(yè)應當接受?chē)夷茉淳旨捌渑沙鰴C構的安全監督�、檢查����、指導�,根據需要如實(shí)提供下列有關(guān)網(wǎng)絡(luò )安全等級保護的信息資料及數據文件:
(一)網(wǎng)絡(luò )安全等級保護定級備案事項變更情況�;
(二)網(wǎng)絡(luò )安全組織�、人員��、崗位職責的變動(dòng)情況����;
(三)網(wǎng)絡(luò )安全管理制度��、措施變更情況�;
(四)網(wǎng)絡(luò )運行狀況記錄��;
(五)電力企業(yè)對網(wǎng)絡(luò )安全狀況的自查記錄��;
(六)測評機構出具的網(wǎng)絡(luò )安全等級保護測評報告����;
(七)網(wǎng)絡(luò )安全產(chǎn)品使用的變更情況�;
(八)網(wǎng)絡(luò )安全事件應急預案��,網(wǎng)絡(luò )安全事件應急處置結果報告��;
(九)網(wǎng)絡(luò )數據容災備份情況�;
(十)網(wǎng)絡(luò )安全建設�、整改結果報告����;
(十一)其他需要提供的材料�。
第十七條 針對網(wǎng)絡(luò )安全檢查發(fā)現的問(wèn)題�,電力企業(yè)應當按照網(wǎng)絡(luò )安全等級保護管理規范和技術(shù)標準組織整改�。必要時(shí)�,國家能源局及其派出機構可對整改情況進(jìn)行抽查����。
第十八條 電力企業(yè)選擇測評機構進(jìn)行網(wǎng)絡(luò )安全等級保護測評時(shí)����,應當遵循以下要求:
(一)測評機構應當獲得由國家認證認可委員會(huì )批準的認證機構發(fā)放的《網(wǎng)絡(luò )安全等級測評與檢測評估機構服務(wù)認證證書(shū)》(以下簡(jiǎn)稱(chēng)測評機構服務(wù)認證證書(shū))����;
(二)從事電力監控系統網(wǎng)絡(luò )安全等級保護測評的機構應當熟悉電力監控系統網(wǎng)絡(luò )安全管理和技術(shù)防護要求��,具備相應的服務(wù)能力和經(jīng)驗��。從事電力監控系統第二級網(wǎng)絡(luò )等級保護測評的機構應當具備近2年內30套以上工業(yè)控制系統等級保護測評或風(fēng)險評估服務(wù)經(jīng)驗��;從事電力監控系統第三級網(wǎng)絡(luò )等級保護測評的機構應當具備近3年內50套以上電力監控系統等級保護測評或安全防護評估服務(wù)經(jīng)驗�;從事電力監控系統第四級及以上網(wǎng)絡(luò )等級保護測評的機構應當具備近5年內90套以上電力監控系統等級保護測評或安全防護評估服務(wù)經(jīng)驗����;
(三)對屬于電力行業(yè)關(guān)鍵信息基礎設施的網(wǎng)絡(luò )����,選擇測評機構時(shí)應當保證其安全可信����,必要時(shí)可要求測評機構及其主要負責人����、技術(shù)骨干提供無(wú)犯罪記錄證明等材料��;
(四)不得委托近3年內被國家能源局通報有本辦法規定不良行為�,或被認證機構通報取消或暫停使用測評機構服務(wù)認證證書(shū)��,或被國家網(wǎng)絡(luò )安全等級保護工作主管部門(mén)�、行業(yè)協(xié)會(huì )通報暫停開(kāi)展等級保護測評業(yè)務(wù)并處于整改期內的測評機構����;
(五)電力企業(yè)應當采取簽署保密協(xié)議����、開(kāi)展安全保密培訓和現場(chǎng)監督等措施��,加強對測評機構��、測評人員和測評過(guò)程的安全保密管理����,避免發(fā)生失泄密事件����。
第十九條 國家能源局及其派出機構在開(kāi)展電力企業(yè)網(wǎng)絡(luò )安全檢查工作時(shí)�,可同步對測評機構開(kāi)展的測評工作情況進(jìn)行監督檢查��。
第二十條 國家能源局鼓勵電力企業(yè)按照國家有關(guān)要求開(kāi)展測評機構建設����、申請測評機構服務(wù)認證����,支持電力企業(yè)參與制定電力行業(yè)網(wǎng)絡(luò )安全等級保護技術(shù)標準�。
第四章 網(wǎng)絡(luò )安全等級保護的密碼管理
第二十一條 電力企業(yè)采用密碼進(jìn)行等級保護的�,應當遵照《中華人民共和國密碼法》等有關(guān)法律法規和國家密碼管理部門(mén)制定的網(wǎng)絡(luò )安全等級保護密碼技術(shù)標準執行�。
第二十二條 電力企業(yè)網(wǎng)絡(luò )安全等級保護中密碼的配備�、使用和管理等����,應當嚴格執行國家密碼管理的有關(guān)規定����。運用密碼技術(shù)進(jìn)行網(wǎng)絡(luò )安全等級保護建設與整改時(shí)��,應當采用商用密碼檢測��、認證機構檢測認證合格的商用密碼產(chǎn)品和服務(wù)����。涉及商用密碼進(jìn)口的��,還應當符合國家商用密碼進(jìn)口許可有關(guān)要求�。
第二十三條 電力企業(yè)應當按照有關(guān)法律法規要求�,開(kāi)展商用密碼應用安全性評估工作��。
第二十四條 各級密碼管理部門(mén)對網(wǎng)絡(luò )安全等級保護工作中密碼配備��、使用和管理的情況進(jìn)行檢查和安全性評估時(shí)��,相關(guān)電力企業(yè)應當積極配合����。對于檢查和安全性評估發(fā)現的問(wèn)題����,應當按照要求及時(shí)整改����。
第五章 法律責任
第二十五條 電力企業(yè)違反國家相關(guān)規定及本辦法規定����,由國家能源局及其派出機構按照職責分工責令其限期改正�;逾期不改正的�,給予警告����,并向其上級部門(mén)通報情況��,建議對其直接負責的主管人員和其他直接責任人員予以處理����,造成嚴重損害的�,由公安機關(guān)�、密碼管理部門(mén)依照有關(guān)法律��、法規予以處理�。
第二十六條 有關(guān)部門(mén)及其工作人員在履行監督管理職責中��,玩忽職守��、濫用職權����、徇私舞弊的����,依法給予行政處分�;構成犯罪的����,依法追究刑事責任����。
第二十七條 測評機構違反有關(guān)法律法規和規范性文件要求����,發(fā)生以下不良行為時(shí)����,國家能源局可向國家有關(guān)部門(mén)����、認證機構��、行業(yè)協(xié)會(huì )等提出限期整改�、取消/暫停使用測評機構服務(wù)認證證書(shū)等建議��,并向電力企業(yè)通報相關(guān)風(fēng)險信息:
(一)提供不客觀(guān)�、不公正的等級保護測評服務(wù)�,出具虛假或不符合實(shí)際情況的測評報告����,影響等級保護測評的質(zhì)量和效果����;
(二)泄露�、出售或者非法向他人提供在服務(wù)中知悉的國家秘密����、工作秘密����、商業(yè)秘密�、重要數據����、個(gè)人信息和隱私�,非法使用或擅自發(fā)布�、披露在服務(wù)中收集掌握的數據信息和系統漏洞����、惡意代碼�、網(wǎng)絡(luò )入侵攻擊等網(wǎng)絡(luò )安全信息��;
(三)由于測評機構從業(yè)人員的因素�,導致發(fā)生網(wǎng)絡(luò )安全事件����;
(四)未向公安機關(guān)報備����,測評機構從業(yè)人員擅自參加境外組織的網(wǎng)絡(luò )安全競賽等活動(dòng)����;
(五)其他危害或可能危害電力生產(chǎn)安全或網(wǎng)絡(luò )安全的行為�。
第六章 附 則
第二十八條 本辦法自發(fā)布之日起施行����,有效期5年�?�!峨娏π袠I(yè)信息安全等級保護管理辦法》(國能安全〔2014〕318號)同時(shí)廢止����。
