▼
为加强电力行业网络安全监督管理,提高网络安全防护能力,规范电力行业网络安全工作,依据《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》等国家有关法律法规,制定本办法。
电力企业在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全防护及其监督管理工作,适用本办法。
本办法所称网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括电力监控系统、管理信息系统及通信网络设施,不包括涉及国家秘密的网络。
涉及国家秘密的网络应当按照国家保密工作部门有关管理规定和技术标准,结合网络实际情况进行保护。非涉密网络不得处理国家秘密信息。
电力企业是网络安全的责任主体,各级党委 (党组 )对本单位网络安全工作负主体责任,企业主要负责人是网络安全第一责任人。应建立健全网络安全组织体系,成立工作领导机构,明 确责任部门,设立专兼职岗位,完善网络安全管理制度,完善人员考核管理,逐级落实网络安全责任。将网络安全纳入安全生产管理。关键信息基础设施运营者应设立专门安全管理机构,确定关键岗位及人员,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。
依法依规开展 关键信息基础设施认定、报送工作,关键信息基础设施发生重大变化,可能影响其认定结果的,应及时将相关情况报告各级能源主管部门。
开展 等级保护测评,新建的第三级及以上网络,应当在通过 网络安全等级测评后投入运行。电力监控系统 网络安全等级测评应选择熟悉电力监控系统网络安全管理和技术防护要求,具备相应的服务能力和经验的机构。
关键信息基础设施、第三级及以上网络应使用经国家密码管理机构或其指定机构检测认证合格的商用密码产品、服务,自行或者委托商用密码检测机构开展商用密码应用安全性评估。鼓励行业内具各相关资质的机构开展第三方电子认证、 商用密码应用安全性评估等服务。
应建立健全应急管理体系。组建应急保障队伍,制定 网络安全事件应急预案及配套处置方案,加强应急资源储各,每年开展一次 应急演练。积极参与国家及行业组织的 网络安全演习、演练,并对结果开展评估、改进等工作。
当遭受网络攻击或发生网络与 数据安全事件时,应立即启动 网络安全事件应急预案,采取紧急处置措施,防止事态扩大,并按要求向有关部门报送信息。处置过程中应注意保护现场,以便调查取证。电力监控系统出现异常或故障时,应当立即向其上级电力调度机构以及国家能源局派出机构报告。
电力企业应建立健全全流程 数据安全和个 人信息安全保护管理制度,依据法律法规要求明确重要数据和个人信息使用者的安全责任。涉及处理重要数据或达到国家网信部门规定数量个人信息的企业,应当明确数据安全或 个人信息保护负责人和管理机构,落实 数据安全保护责任。重要数据和个人信息遭受篡改、泄露、窃取对企业安全生产、经营活动或社会形象造成影响的,应纳入企业安全事故调查规程进行处理。
电力企业应保障重要数据和个人信息全生命周期安全,不得违反法律法规或从事危害国家安全、公共利益的数据和个人信息处理活动。
电力行业网络安全监督管理办法
▼
(全文略)
附:电力行业网络安全监督管理办法.pdf
公众号VIP会员,私信群主索取本文件。
办理公众号VIP会员,在公众号会话窗口回复:VIP可查看相关介绍。
▲
- The end -