能源局：《電(diàn)力行業網絡安全管理辦法》

爲深入貫徹關于網絡強國的重要思想，加強電(diàn)力行業網絡安全監督管理，規範電(diàn)力行業網絡安全工(gōng)作，能源局對《電(diàn)力行業網絡與信息安全管理辦法》（國能安全〔2014〕317号）進行了修訂。現将修訂後的《電(diàn)力行業網絡安全管理辦法》印發。

電(diàn)力行業網絡安全管理辦法

章 總則

條爲加強電(diàn)力行業網絡安全監督管理，規範電(diàn)力行業網絡安全工(gōng)作，根據《中(zhōng)華人民共和國網絡安全法》《中(zhōng)華人民共和國密碼法》《中(zhōng)華人民共和國數據安全法》《中(zhōng)華人民共和國個人信息保護法》《中(zhōng)華人民共和國計算機信息系統安全保護條例》《關鍵信息基礎設施安全保護條例》及有關規定，制定本辦法。

第二條電(diàn)力行業網絡安全工(gōng)作的目标是建立健全網絡安全保障體(tǐ)系和工(gōng)作責任體(tǐ)系，提高網絡安全防護能力，保障電(diàn)力系統安全穩定運行和電(diàn)力可靠供應。

第三條電(diàn)力企業在中(zhōng)華人民共和國境内建設、運營、維護和使用網絡（除核安全外(wài)），以及網絡安全的監督管理，适用本辦法。

本辦法所稱網絡是指由計算機或者其他信息終端及相關設備組成的按照一(yī)定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統，包括電(diàn)力監控系統、管理信息系統及通信網絡設施。

本辦法不适用于涉及秘密的網絡。涉及秘密的網絡應當按照保密工(gōng)作部門有關涉密信息系統管理規定和技術标準，結合網絡實際情況進行管理。

第四條電(diàn)力行業網絡安全工(gōng)作堅持“積極防禦、綜合防範”的方針，遵循“依法管理、分(fēn)工(gōng)負責，統籌規劃、突出重點”的原則。

第二章 監督管理職責

第五條能源局及其派出機構、負有電(diàn)力行業網絡安全監督管理職責的地方能源主管部門（以下(xià)簡稱行業部門）在各自職責範圍内依法依規履行電(diàn)力行業網絡安全監督管理職責。

第六條電(diàn)力行業網絡安全監督管理工(gōng)作主要包括以下(xià)内容：

（一(yī)）組織落實關于網絡安全的方針、政策和重大(dà)部署，并與電(diàn)力生(shēng)産安全監督管理工(gōng)作相銜接；

（二）組織制定電(diàn)力行業網絡安全等級保護、關鍵信息基礎設施安全保護、電(diàn)力監控系統安全防護、網絡安全監測預警和信息通報、網絡安全事件應急處置等方面的政策規定及技術規範，并監督實施；

（三）組織認定電(diàn)力行業關鍵信息基礎設施，制定關鍵信息基礎設施安全規劃，建立關鍵信息基礎設施網絡安全監測預警制度，組織開(kāi)展關鍵信息基礎設施網絡安全檢查檢測，指導關鍵信息基礎設施運營者做好網絡安全事件應對處置；

（四）組織或參與網絡安全事件的調查與處理；

（五）督促電(diàn)力企業落實網絡安全責任、保障網絡安全經費(fèi)、開(kāi)展網絡安全防護能力建設等工(gōng)作；

（六）組織開(kāi)展電(diàn)力行業網絡安全信息通報等工(gōng)作；

（七）指導督促電(diàn)力企業做好網絡安全宣傳教育工(gōng)作；

（八）推動網絡安全仿真驗證環境（靶場）建設，組織建立網絡安全監督管理技術支撐體(tǐ)系；

（九）電(diàn)力行業網絡安全監督管理的其它事項。

第七條電(diàn)力調度機構負責直接調度範圍内的下(xià)一(yī)級電(diàn)力調度機構、集控中(zhōng)心、變電(diàn)站（換流站）、發電(diàn)廠（站）等各類機構涉網部分(fēn)的電(diàn)力監控系統安全防護的技術監督。主要包括以下(xià)内容：

（一(yī)）自行組織或委托電(diàn)力監控系統安全防護評估機構開(kāi)展調度範圍内電(diàn)力監控系統的自評估工(gōng)作，配合開(kāi)展電(diàn)力監控系統的檢查評估工(gōng)作，負責統一(yī)指揮調度範圍内的電(diàn)力監控系統安全應急處理，參與電(diàn)力監控系統的網絡安全事件調查和分(fēn)析工(gōng)作；

（二）組織并督促各相關單位開(kāi)展電(diàn)力監控系統安全防護技術培訓和交流工(gōng)作，貫徹執行和行業有關電(diàn)力監控系統安全防護的标準、規程和規範；

（三）負責對電(diàn)力監控系統專用安全産品開(kāi)展監督管理，制定電(diàn)力監控系統專用安全産品管理辦法并監督實施；

（四）将并網電(diàn)廠涉網部分(fēn)電(diàn)力監控系統網絡安全運行狀态納入監測；

（五）每年11月1日前将技術監督工(gōng)作開(kāi)展情況報送行業部門。

第三章電(diàn)力企業責任義務

第八條電(diàn)力企業是本單位網絡安全的責任主體(tǐ)，負責本單位的網絡安全工(gōng)作。

第九條電(diàn)力企業主要負責人是本單位網絡安全的責任人。電(diàn)力企業應當建立健全網絡安全管理、評價考核制度體(tǐ)系，成立工(gōng)作領導機構，明确責任部門，設立專職崗位，定義崗位職責，明确人員(yuán)分(fēn)工(gōng)和技能要求，建立健全網絡安全責任制。

電(diàn)力行業關鍵信息基礎設施運營者的主要負責人對關鍵信息基礎設施安全保護負總責，要明确一(yī)名領導班子成員(yuán)（非公有制經濟組織運營者明确一(yī)名核心經營管理團隊成員(yuán)）作爲首席網絡安全官，專職管理或分(fēn)管關鍵信息基礎設施安全保護工(gōng)作；爲每個關鍵信息基礎設施明确一(yī)名安全管理責任人；設立專門安全管理機構，确定關鍵崗位及人員(yuán)，并對機構負責人和關鍵崗位人員(yuán)進行安全背景審查。

第十條電(diàn)力企業應當依法依規開(kāi)展關鍵信息基礎設施信息報送工(gōng)作，關鍵信息基礎設施發生(shēng)較大(dà)變化，可能影響其認定結果的，關鍵信息基礎設施運營者發生(shēng)合并、分(fēn)立、解散等情況的，應當及時将相關情況報告行業部門。

第十一(yī)條電(diàn)力企業應當按照網絡安全等級保護制度、關鍵信息基礎設施安全保護制度、數據安全制度、網絡安全審查工(gōng)作機制和電(diàn)力監控系統安全防護規定的要求，對本單位的網絡進行安全保護，并将網絡安全納入安全生(shēng)産管理體(tǐ)系。

第十二條電(diàn)力企業應當選用符合有關規定、滿足網絡安全要求的網絡産品和服務，開(kāi)展網絡安全建設或改建工(gōng)作。接入生(shēng)産控制大(dà)區的涉網安全産品需經電(diàn)力調度機構同意。

第十三條電(diàn)力行業關鍵信息基礎設施運營者應當優先采購安全可信的網絡産品和服務，并按照有關要求開(kāi)展風險預判工(gōng)作，評估投入使用後可能對關鍵信息基礎設施安全、電(diàn)力生(shēng)産安全和安全的影響，形成評估報告。影響或者可能影響安全的，應當按照網絡安全規定通過安全審查。

第十四條電(diàn)力企業規劃設計網絡時，應當明确安全保護需求，保證安全措施同步規劃、同步建設、同步使用，設計合理的總體(tǐ)安全方案并經專業技術人員(yuán)評審通過，制定安全實施計劃，負責網絡安全建設工(gōng)程的實施。網絡上線前，電(diàn)力企業應當委托網絡安全服務機構開(kāi)展第三方安全測試。

第十五條電(diàn)力企業應當按照有關規定開(kāi)展電(diàn)力監控系統安全防護評估、網絡安全等級保護測評、關鍵信息基礎設施網絡安全檢測和風險評估、商(shāng)用密碼應用安全性評估和網絡安全審查等工(gōng)作，未達到要求的應當及時進行整改。

第十六條電(diàn)力企業不得委托在近3年内被行業部門通報有不良行爲或被相關部門通報整改的網絡安全服務機構。

第十七條電(diàn)力企業應當按照有關規定開(kāi)展網絡安全風險評估工(gōng)作，建立健全網絡安全風險評估的自評估和檢查評估制度，完善網絡安全風險管理機制。發現風險隐患可能對電(diàn)力行業網絡安全産生(shēng)較大(dà)影響的，應當向行業部門報告。

第十八條電(diàn)力企業應當依據和行業相關标準、規程和規範開(kāi)展網絡安全技術監督工(gōng)作，可委托網絡安全服務機構協助開(kāi)展。

第十九條電(diàn)力企業應當建立健全網絡産品安全漏洞信息接收渠道并保持暢通，發現或者獲知(zhī)存在安全漏洞後，應當立即評估安全漏洞的影響範圍及程度，及時對安全漏洞進行驗證并完成修補。

第二十條電(diàn)力企業應當建立健全本單位網絡安全監測預警和信息通報機制，及時掌握本單位網絡安全運行狀況、安全态勢，及時處置網絡安全威脅與隐患，定期向行業部門報告有關情況。

電(diàn)力行業關鍵信息基礎設施運營者應當建立7×24小(xiǎo)時值班值守制度，建設網絡安全态勢感知(zhī)平台，并與行業部門、公安機關等有關平台對接。

第二十一(yī)條電(diàn)力企業應當按照電(diàn)力行業網絡安全事件應急預案，制修訂本單位網絡安全事件應急預案，每年至少開(kāi)展一(yī)次應急演練。制修訂電(diàn)力監控系統專項網絡安全事件應急預案并定期組織演練。定期組織開(kāi)展網絡攻防演習，檢驗安全防護和應急處置能力。

第二十二條電(diàn)力企業應當在重要活動、會議期間結合實際制定網絡安全保障專項工(gōng)作方案和應急預案，成立保障組織機構，明确目标任務，細化措施要求，組織預案演練，确保重要信息系統、電(diàn)力監控系統安全穩定運行。

第二十三條電(diàn)力企業發生(shēng)網絡安全事件後，應當立即啓動網絡安全事件應急預案，對網絡安全事件進行調查和評估，采取技術措施和其他必要措施，消除安全隐患，防止危害擴大(dà)，注意保護現場，并按照規定向有關主管部門報告。

第二十四條電(diàn)力企業應當按照有關規定，建立健全容災備份制度，對重要系統和重要數據進行有效備份。

第二十五條電(diàn)力企業應當建立健全全流程數據安全管理和個人信息保護制度，按照和行業重要數據目錄及數據分(fēn)類分(fēn)級保護相關要求，确定本單位的重要數據具體(tǐ)目錄，對列入目錄的數據進行重點保護。

第二十六條電(diàn)力企業應當建立網絡安全資(zī)金保障制度，安排網絡安全專項預算，确保網絡安全投入不低于信息化總投入的5%。

第二十七條電(diàn)力企業應當加強網絡安全從業人員(yuán)考核和管理，建立與網絡安全工(gōng)作特點相适應的人才培養機制，做好全員(yuán)網絡安全宣傳教育，提高網絡安全意識。從業人員(yuán)應當定期接受相應的政策規範和專業技能培訓，并經培訓合格後上崗。

第二十八條電(diàn)力企業應當督促電(diàn)力監控系統專用安全産品研發單位和供應商(shāng)按照有關要求做好保密工(gōng)作，防止關鍵技術洩露。嚴禁在互聯網上銷售、購買電(diàn)力監控系統專用安全産品。

第二十九條電(diàn)力企業應當于每年11月1日前，将當年網絡安全工(gōng)作的專項總結報行業部門。總結内容應當包括但不限于網絡安全工(gōng)作開(kāi)展情況、網絡安全等級保護情況、電(diàn)力監控系統安全防護評估情況、數據安全情況、安全監測預警情況、風險隐患治理情況、網絡安全事件應對處置情況、應急預案及演練情況、網絡産品和服務采購情況、下(xià)一(yī)年度工(gōng)作計劃等。

電(diàn)力行業關鍵信息基礎設施運營者應當于每年11月1日前，将當年關鍵信息基礎設施安全保護工(gōng)作的專項總結報行業部門。總結内容應當包括但不限于關鍵信息基礎設施的運行情況、認定報送情況、安全監測預警情況、網絡安全檢測和風險評估情況、網絡安全事件應對處置情況、應急預案及演練情況、網絡産品和服務采購情況、密碼使用情況、下(xià)一(yī)年度安全保護計劃等。

第四章監督檢查

第三十條行業部門在各自職責範圍内依法依規對電(diàn)力企業網絡安全工(gōng)作進行監督檢查，定期組織開(kāi)展電(diàn)力行業關鍵信息基礎設施網絡安全檢查檢測。

第三十一(yī)條行業部門進行監督檢查和事件調查時，可以采取下(xià)列措施：

（一(yī)）進入電(diàn)力企業進行檢查；

（二）詢問相關單位的工(gōng)作人員(yuán)，要求其對有關檢查事項作出說明；

（三）查閱、複制與檢查事項有關的文件、資(zī)料，對可能被轉移、隐匿、損毀的文件、資(zī)料予以封存；

（四）對檢查中(zhōng)發現的問題，責令其當場改正或者限期改正。

第三十二條行業部門在履行網絡安全監督管理職責中(zhōng)，發現網絡存在較大(dà)安全風險或者發生(shēng)安全事件的，可以按照規定的權限和程序對該電(diàn)力企業法定代表人或者主要負責人進行約談，情節嚴重的依據有關法律、法規予以處理。

行業部門可就網絡安全缺陷、漏洞等風險，網絡攻擊、惡意軟件等威脅，網絡安全事件開(kāi)展行業通報，電(diàn)力企業應當及時排查并采取風險防範措施。

第三十三條行業部門工(gōng)作人員(yuán)必須對在履行監督管理職責中(zhōng)知(zhī)悉的秘密、工(gōng)作秘密、商(shāng)業秘密、重要數據、個人信息和隐私嚴格保密，不得洩露、出售或者非法向他人提供。

第五章附則

第三十四條本辦法由能源局負責解釋。

第三十五條本辦法自發布之日起施行，有效期5年。《電(diàn)力行業網絡與信息安全管理辦法》（國能安全〔2014〕317号）同時廢止。