1、电力行业网络安全管理办法(2022修订)全文学习 汇报:XXX时间:XX月XX日电力行业网络安全管理办法是为加强电力行业网络安全监督管理,规范电力行业网络安全工作,根据中华人民共和国网络安全法中华人民共和国密码法中华人民共和国数据安全法中华人民共和国个人信息保护法中华人民共和国计算机信息系统安全保护条例关键信息基础设施安全保护条例及国家有关规定,制定的办法。办法解读办法全文学习010201国家能源局本次在对管理办法(2014)等保办法(2014)修订中较为明显的变化是,将文件名称从“网络与信息安全”和“信息安全”统一修改为“网络安全”。等保办法第二条对“网络”作出定义,即由计算机或者其他信息终
2、端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括电力监控系统、管理信息系统及通信网络设施。该定义系在网络安全法第七十六条对“网络”的定义3中加入了对电力行业“网络”的不完全列举,为在电力行业网络安全管理及等级保护中主管部门的职责、电力企业等责任主体的义务明确对象提供了参考。电力行业“网络”的定义 根据管理办法第五条、第六条,国家能源局、地方各级能源主管部门是电力行业网络安全的主管部门,履行电力行业网络安全监督九大管理职责。值得注意的是,根据网络安全法关键信息基础设施安全保护条例电力行业属于能源重要领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家
3、安全、国计民生、公共利益等,很可能被认定为关键信息基础设施(“CII”)。相较于管理办法(2014),管理办法在网络安全法关键信息基础设施安全保护条例的基础上,增加对电力行业关键信息基础设施(电力行业“CII”)的监管要求和方式,并明确国家能源局直接负责电力行业CII的安全保护工作,由各省级能源主管部门实施安全保护和监督管理,由国家能源局、地方各级能源主管部门负责组织认定电力行业CII,下文电力行业关键信息基础设施运营者(电力行业“CIIO”)的职责部分将对此进行更加深入分析。根据等保办法第三条,国家能源局负责组织制定适用于电力行业的网络安全等级保护管理规范和技术标准,对电力行业网络安全等级保
4、护工作的实施进行指导和监督管理。同时,国家能源局的派出机构在授权范围内,对本辖区电力企业网络安全等级保护工作的实施进行监督管理。等保办法在第六条进一步明确,国家能源局根据网络安全等级保护定级指南(GB/T 22240)等国家标准规范,结合电力行业网络特点,制定电力行业网络安全等级保护定级指南,指导电力行业网络安全等级保护定级工作。相较于等保办法(2014),等保办法更新并减少了定级过程中所依据的相关的国家标准。电力行业网络安全相关主体及职责 管理办法和等保办法均明确规定,电力企业是本单位网络安全和履行网络安全等级保护义务的责任主体。相较于管理办法(2014)等保办法(2014),管理办法等保办
5、法进一步细化了电力企业的一般职责。很多电力企业都开始探索网络安全管理的制度与新思路,如南方电网在“数据资产管理体系”研究和建设实践的基础上形成了南方电网数据资产管理体系框架,“管理职能包括数据战略、数据治理、数据运营、数据流通、组织保障、技术支撑六个模块,共计36项管理职能。其中在数据运营模块主要包括数据共享开放管理、数据分类分级管理等”,具体包括“对公司数据实施有效的分类分级,识别整理敏感数据域,制定数据类别、制定敏感等级、数据归类归级、形成数据分类分级全景视图、常态化开展数据分类分级工作”。此外,我们也了解到电力行业正在探索形成电力数据分级分类相关制度规则,电力数据网络安全相关标准也在制定
6、过程中。一般电力企业的职责 相较于管理办法(2014)等保办法(2014),管理办法等保办法还增加了对于电力行业CIIO的特殊职责。根据2021年9月实施的关键信息基础设施安全保护条例第九条,负责关键信息基础设施安全保护工作的部门结合本行业、本领域实际,制定CIIO认定规则,并报国务院公安部门备案。虽然国家能源局在指导意见中明确,要研究制定电力行业CII认定规则。但是我们看到,此次国家能源局发布的管理办法等保办法,均尚未明确电力行业CIIO认定规则,我们期待后续相关认定规则的制定与出台。在目前电力行业CII认定规则不明确的情况下,我们为电力企业就电力行业网络安全管理合规提供两个思路:(1)根据
7、网络安全法关键信息基础设施安全保护条例第二条,其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统属于关键信息基础设施。根据等保办法对电力行业网络安全等级划分的标准,其中第三级的划分标准之一为“受到破坏后,会对社会秩序和公共利益造成严重危害。”第四级的划分标准之一为“受到破坏后,对国家安全造成严重危害。”并且,等保办法第十五条规定,国家能源局及其派出机构在定期组织的对运营有第三级及以上网络的电力企业开展抽查时,需结合关键信息基础设施网络安全检查。由此我们理解,等保定级为第三级及以上的电力行业网络被认定为电力CII的可能性较大。(2)根据管理办
8、法第十条,我们建议电力企业主动认真按照主管部门的要求履行报送工作,并在提交相关材料后密切关注主管部门的动态,积极协助、配合主管部门开展电力CII认定工作。电力行业CIIO的职责确定电力行业网络安全保护等级的划分标准,是电力企业在电力行业网络安全等级保护的实施中,确定自身主体责任的前提。等保办法对电力行业网络划分为五个安全保护等级,为电力企业提供了定级的原则性依据:相较于等保办法(2014),等保办法借鉴了网络安全等级保护条例(征求意见稿)中网络等级的划分标准,将四个等级调整为五个等级,并在“损害”的基础上增加了“危害”的概念,对应区分三个级别(一般、严重、特别严重),但是也未对这两个概念和三个
9、级别做出具体界定,相关定级规则未明确电力行业地特殊性,规定相对抽象,企业在实践中较难以此自行准确定级,需要结合网络安全等级保护定级指南(GB/T 22240)等国家标准规范和电力行业网络安全等级保护定级指南,确定网络安全保护等级。我们期待电力行业网络安全等级保护定级指南的出台,结合电力行业网络特点明确更加具体的定级方式,以为实践做出指导。电力行业网络安全保护等级划分的标准(一)面临监督检查和事件调查管理办法第四章关于规定与管理办法(2014)第二十条的规定完全一致,国家能源局及其派出机构、地方能源主管部门负责在职责范围内对电力企业网络安全工作进行监督检查,并定期开展电力行业CII网络安全检查检
10、测。管理办法第三十一条关于国家能源局及其派出机构、地方能源主管部门监督检查方式的规定与管理办法(2014)第二十条完全一致,即:可以采取进入电力企业检查;询问相关单位的工作人员,要求其对有关检查事项作出说明;查阅复制相关资料等措施,对可能被转移、隐匿、损毁的文件、资料予以封存;对检查中发现的问题,可责令电力企业当场改正或限期改正。不合规的电力企业的风险与责任(二)行业通报值得注意的是,管理办法规定,如在检查中发现电力企业网络存在较大安全风险或者发生安全事件的,电力企业法定代表人或者主要负责人将受到主管部门的约谈,情节严重的依据国家有关法律、法规予以处理。并且相关主管部门也可就网络安全缺陷、漏洞
11、等风险隐患、网络安全事件开展行业通报。情节严重的,将依据国家有关法律法规处理。这也是在管理办法(2014)的基础上新增加的要点。不合规的电力企业的风险与责任(三)限期改正和警告对违反国家关于电力行业网络安全等级保护规定及等级保护管理的电力企业,由国家能源局及其派出机构按照职责分工责令限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,造成严重损害的,由公安机关、密码管理部门依照有关法律、法规予以处理。管理办法等级保护管理为规范性文件,未规定行政处罚相关内容,具体处罚规定依照相关上位法律法规规定执行。不合规的电力企业的风险与责任02
12、为加强电力行业网络安全监督管理,规范电力行业网络安全工作,根据中华人民共和国网络安全法中华人民共和国密码法中华人民共和国数据安全法中华人民共和国个人信息保护法中华人民共和国计算机信息系统安全保护条例关键信息基础设施安全保护条例及国家有关规定,制定本办法。电力行业网络安全工作的目标是建立健全网络安全保障体系和工作责任体系,提高网络安全防护能力,保障电力系统安全稳定运行和电力可靠供应。电力企业在中华人民共和国境内建设、运营、维护和使用网络(除核安全外),以及网络安全的监督管理,适用本办法。本办法所称网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换
13、、处理的系统,包括电力监控系统、管理信息系统及通信网络设施。本办法不适用于涉及国家秘密的网络。涉及国家秘密的网络应当按照国家保密工作部门有关涉密信息系统管理规定和技术标准,结合网络实际情况进行管理。电力行业网络安全工作坚持“积极防御、综合防范”的方针,遵循“依法管理、分工负责,统筹规划、突出重点”的原则。国家能源局及其派出机构、负有电力行业网络安全监督管理职责的地方能源主管部门(以下简称行业部门)在各自职责范围内依法依规履行电力行业网络安全监督管理职责。电力行业网络安全监督管理工作主要包括以下内容:(一)组织落实国家关于网络安全的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;(二)
14、组织制定电力行业网络安全等级保护、关键信息基础设施安全保护、电力监控系统安全防护、网络安全监测预警和信息通报、网络安全事件应急处置等方面的政策规定及技术规范,并监督实施;(三)组织认定电力行业关键信息基础设施,制定关键信息基础设施安全规划,建立关键信息基础设施网络安全监测预警制度,组织开展关键信息基础设施网络安全检查检测,指导关键信息基础设施运营者做好网络安全事件应对处置;(四)组织或参与网络安全事件的调查与处理;(五)督促电力企业落实网络安全责任、保障网络安全经费、开展网络安全防护能力建设等工作;(六)组织开展电力行业网络安全信息通报等工作;(七)指导督促电力企业做好网络安全宣传教育工作;(
15、八)推动网络安全仿真验证环境(靶场)建设,组织建立网络安全监督管理技术支撑体系;(九)电力行业网络安全监督管理的其它事项。电力调度机构负责直接调度范围内的下一级电力调度机构、集控中心、变电站(换流站)、发电厂(站)等各类机构涉网部分的电力监控系统安全防护的技术监督。主要包括以下内容:(一)自行组织或委托电力监控系统安全防护评估机构开展调度范围内电力监控系统的自评估工作,配合开展电力监控系统的检查评估工作,负责统一指挥调度范围内的电力监控系统安全应急处理,参与电力监控系统的网络安全事件调查和分析工作;(二)组织并督促各相关单位开展电力监控系统安全防护技术培训和交流工作,贯彻执行国家和行业有关电力
16、监控系统安全防护的标准、规程和规范;(三)负责对电力监控系统专用安全产品开展监督管理,制定电力监控系统专用安全产品管理办法并监督实施;(四)将并网电厂涉网部分电力监控系统网络安全运行状态纳入监测;(五)每年11月1日前将技术监督工作开展情况报送行业部门。电力企业是本单位网络安全的责任主体,负责本单位的网络安全工作。电力企业主要负责人是本单位网络安全的第一责任人。电力企业应当建立健全网络安全管理、评价考核制度体系,成立工作领导机构,明确责任部门,设立专职岗位,定义岗位职责,明确人员分工和技能要求,建立健全网络安全责任制。电力行业关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责,
17、要明确一名领导班子成员(非公有制经济组织运营者明确一名核心经营管理团队成员)作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作;为每个关键信息基础设施明确一名安全管理责任人;设立专门安全管理机构,确定关键岗位及人员,并对机构负责人和关键岗位人员进行安全背景审查。电力企业应当依法依规开展关键信息基础设施信息报送工作,关键信息基础设施发生较大变化,可能影响其认定结果的,关键信息基础设施运营者发生合并、分立、解散等情况的,应当及时将相关情况报告行业部门。电力企业应当按照国家网络安全等级保护制度、关键信息基础设施安全保护制度、数据安全制度、网络安全审查工作机制和电力监控系统安全防护规定的要
18、求,对本单位的网络进行安全保护,并将网络安全纳入安全生产管理体系。电力企业应当选用符合国家有关规定、满足网络安全要求的网络产品和服务,开展网络安全建设或改建工作。接入生产控制大区的涉网安全产品需经电力调度机构同意。电力行业关键信息基础设施运营者应当优先采购安全可信的网络产品和服务,并按照有关要求开展风险预判工作,评估投入使用后可能对关键信息基础设施安全、电力生产安全和国家安全的影响,形成评估报告。影响或者可能影响国家安全的,应当按照国家网络安全规定通过安全审查。电力企业规划设计网络时,应当明确安全保护需求,保证安全措施同步规划、同步建设、同步使用,设计合理的总体安全方案并经专业技术人员评审通过
19、,制定安全实施计划,负责网络安全建设工程的实施。网络上线前,电力企业应当委托网络安全服务机构开展第三方安全测试。电力企业应当按照国家有关规定开展电力监控系统安全防护评估、网络安全等级保护测评、关键信息基础设施网络安全检测和风险评估、商用密码应用安全性评估和网络安全审查等工作,未达到要求的应当及时进行整改。电力企业不得委托在近3年内被行业部门通报有不良行为或被相关部门通报整改的网络安全服务机构。电力企业应当按照国家有关规定开展网络安全风险评估工作,建立健全网络安全风险评估的自评估和检查评估制度,完善网络安全风险管理机制。发现风险隐患可能对电力行业网络安全产生较大影响的,应当向行业部门报告。电力企
20、业应当依据国家和行业相关标准、规程和规范开展网络安全技术监督工作,可委托网络安全服务机构协助开展。电力企业应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,发现或者获知存在安全漏洞后,应当立即评估安全漏洞的影响范围及程度,及时对安全漏洞进行验证并完成修补。电力企业应当建立健全本单位网络安全监测预警和信息通报机制,及时掌握本单位网络安全运行状况、安全态势,及时处置网络安全威胁与隐患,定期向行业部门报告有关情况。电力行业关键信息基础设施运营者应当建立724小时值班值守制度,建设网络安全态势感知平台,并与行业部门、公安机关等有关平台对接。电力企业应当按照电力行业网络安全事件应急预案,制修订本单位网
21、络安全事件应急预案,每年至少开展一次应急演练。制修订电力监控系统专项网络安全事件应急预案并定期组织演练。定期组织开展网络攻防演习,检验安全防护和应急处置能力。电力企业应当在国家重要活动、会议期间结合实际制定网络安全保障专项工作方案和应急预案,成立保障组织机构,明确目标任务,细化措施要求,组织预案演练,确保重要信息系统、电力监控系统安全稳定运行。电力企业发生网络安全事件后,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,注意保护现场,并按照规定向有关主管部门报告。电力企业应当按照国家有关规定,建立健全容灾备份制度,对重要系统
22、和重要数据进行有效备份。电力企业应当建立健全全流程数据安全管理和个人信息保护制度,按照国家和行业重要数据目录及数据分类分级保护相关要求,确定本单位的重要数据具体目录,对列入目录的数据进行重点保护。电力企业应当建立网络安全资金保障制度,安排网络安全专项预算,确保网络安全投入不低于信息化总投入的5%。电力企业应当加强网络安全从业人员考核和管理,建立与网络安全工作特点相适应的人才培养机制,做好全员网络安全宣传教育,提高网络安全意识。从业人员应当定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。电力企业应当督促电力监控系统专用安全产品研发单位和供应商按照国家有关要求做好保密工作,防止关键技术泄
23、露。严禁在互联网上销售、购买电力监控系统专用安全产品。电力企业应当于每年11月1日前,将当年网络安全工作的专项总结报行业部门。总结内容应当包括但不限于网络安全工作开展情况、网络安全等级保护情况、电力监控系统安全防护评估情况、数据安全情况、安全监测预警情况、风险隐患治理情况、网络安全事件应对处置情况、应急预案及演练情况、网络产品和服务采购情况、下一年度工作计划等。电力行业关键信息基础设施运营者应当于每年11月1日前,将当年关键信息基础设施安全保护工作的专项总结报行业部门。总结内容应当包括但不限于关键信息基础设施的运行情况、认定报送情况、安全监测预警情况、网络安全检测和风险评估情况、网络安全事件应
24、对处置情况、应急预案及演练情况、网络产品和服务采购情况、密码使用情况、下一年度安全保护计划等。行业部门在各自职责范围内依法依规对电力企业网络安全工作进行监督检查,定期组织开展电力行业关键信息基础设施网络安全检查检测。行业部门进行监督检查和事件调查时,可以采取下列措施:(一)进入电力企业进行检查;(二)询问相关单位的工作人员,要求其对有关检查事项作出说明;(三)查阅、复制与检查事项有关的文件、资料,对可能被转移、隐匿、损毁的文件、资料予以封存;(四)对检查中发现的问题,责令其当场改正或者限期改正。行业部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该电力企业法定代表人或者主要负责人进行约谈,情节严重的依据国家有关法律、法规予以处理。行业部门可就网络安全缺陷、漏洞等风险,网络攻击、恶意软件等威胁,网络安全事件开展行业通报,电力企业应当及时排查并采取风险防范措施。行业部门工作人员必须对在履行监督管理职责中知悉的国家秘密、工作秘密、商业秘密、重要数据、个人信息和隐私严格保密,不得泄露、出售或者非法向他人提供。本办法由国家能源局负责解释。本办法自发布之日起施行,有效期5年。电力行业网络与信息安全管理办法(国能安全2014317号)同时废止。电力行业网络安全管理办法(2022修订)汇报:XXX时间:XX月XX日