电力网络 《电力行业网络与信息安全管理办法》该更新了！

为规范电力行业网络信息安全监督管理，国家能源局于2014年制定了《电力行业网络信息安全管理办法》，有效期五年。负责本单位网络和信息安全工作的主体定义为:电力企业(适用于两大电网公司、五大发电集团、中国核电、中国广东核电等。).网络与信息安全第一责任人:电力企业主要负责人。信息安全等级保护系统和电力监控系统安全保护规定。开展的工作:电力监控系统安全防护评估、信息安全等级评估、信息安全风险评估、建立信息安全通报系统、制定应急预案等。

电力行业的网络安全形势日益复杂。电力系统的生产和运行高度依赖网络和信息技术。UHV和新能源技术的发展使得网络安全在电力生产中发挥着越来越突出的作用。近年来，中国电力系统每天遭受2万多次恶意攻击。在严峻的网络安全形势下，核心技术受制于人是最大的隐患。核心芯片、基础软硬件、关键设备和系统不发达，话语权缺乏标准和规范，造成基础网络架构的约束。网间空安全形势不容乐观，电力行业也存在同样的问题。

首先，控制系统的核心部件仍然依赖进口。电力监控系统，如DCS控制系统、PLC控制组件、风电监控软件、工业开关等。，尚未完全实现安全性和可控性。

其次，芯片对进口的依赖并没有得到根本改变。国外的处理器和芯片广泛应用于各种自动化系统，从主站、通信设备到终端嵌入式系统。高端芯片对国外产品的依赖带来了巨大的政治、经济和社会风险。

再次，基础软件广泛使用国外产品。集散控制系统大多基于视窗平台开发，国外实时操作系统广泛应用于车站设备。基础软件的安全漏洞层出不穷，“后门程序”无法控制，安全性难以保证；对于一些使用国外软硬件系统的商家来说，技术改造和应用推广的过程受制于厂商的技术壁垒。比如很多电力企业的密码升级改造工作，由于国外厂商不合作，无法实施。

电力行业网络与信息安全管理办法

第一章总则

第一条为了加强电力行业网络信息安全监督管理，规范电力行业网络信息安全工作，根据《中华人民共和国计算机信息系统安全保护条例》和国家有关规定，制定本办法。

第二条电力行业网络信息安全工作的目标是建立健全网络信息安全保障体系和工作责任制，提高网络信息安全防护能力，保障网络信息安全，促进信息化工作健康发展。

第三条电力行业网络与信息安全工作坚持“主动防御、综合防范”的原则，遵循“统一领导、分级负责、统筹规划、突出重点”的原则。

第二章监督管理职责

第四条国家能源局是电力行业网络和信息安全的主管部门，履行电力行业网络和信息安全的监督管理职责。根据国家能源局的授权，国家能源局派出机构负责具体实施对本地区电力企业网络和信息安全的监督管理。

第五条国家能源局依法履行电力行业网络和信息安全监督管理职责，主要内容如下:

(一)组织实施国家保障基础信息网络和重要信息系统安全的方针、政策和重大部署，并与电力安全生产监督管理相衔接；

(二)组织制定电力行业网络和信息安全发展战略和总体规划；

(三)组织制定电力行业网络和信息安全等级保护、风险评估、信息通报、应急处置、事件调查处理、工控设备安全检查、专业管理、灾难恢复备份、安全审计、信任体系建设等方面的政策、法规和技术规范，并监督实施；

(四)组织制定电力行业网络和信息安全应急预案，监督和指导电力企业网络和信息安全应急工作，组织或者参与信息安全事件的调查处理；

(五)组织建立电力行业网络信息安全工作评估考核机制，督促电力企业落实网络信息安全责任，保障网络信息安全经费，开展网络信息安全工程建设；

(六)组织开展电力行业网络和信息安全信息通报、从业人员技能培训和考核；

(七)组织电力行业网络和信息安全技术的研究开发；

(八)电力行业网络和信息安全监督管理的其他事项。

第三章电力企业的责任

第六条电力企业是本单位网络和信息安全的主体，对本单位的网络和信息安全负责。

第七条电力企业主要负责人是本单位网络和信息安全的第一责任人。电力企业应建立健全网络与信息安全管理体系，设立工作领导机构，明确责任部门，设置专兼职岗位，明确岗位职责，明确人员分工和技能要求，建立健全网络与信息安全责任制。

第八条电力企业应当按照电力监控系统安全保护规定和国家信息安全等级保护制度的要求，对本单位的网络和信息系统进行安全保护。

第九条电力企业应当选择符合网络和信息安全要求的信息技术产品和服务，进行信息系统安全建设或者改造。

第十条电力企业在规划和设计信息系统时，应当明确系统的安全防护要求，设计合理的总体安全方案，制定安全实施方案，并对信息系统安全建设项目的实施负责。

第十一条电力企业应当按照国家有关规定对电力监控系统进行安全防护评估和信息安全等级评估，达不到要求的，应当及时整改。

第十二条电力企业应当按照国家有关规定开展信息安全风险评估，建立健全信息安全风险评估自我评估和检查评估制度，完善信息安全风险管理机制。

第十三条电力企业应当按照网络和信息安全通报制度的规定，建立健全自身的信息通报机制，开展信息安全通报和预警工作，并及时向国家能源局或其派出机构报告相关信息。

第十四条电力企业应当根据电力行业网络和信息安全应急预案，制定或者修订本单位网络和信息安全应急预案，并定期开展应急演练。

第十五条电力企业发生信息安全事件后，应当及时采取有效措施，降低损害程度，防止事态扩大，尽可能保护现场，并按规定做好信息报告工作。

第十六条电力企业应当按照国家有关规定，建立健全容灾备份系统，有效备份关键系统和核心数据。

第十七条电力企业应当建立网络和信息安全资金保障体系，有效保障信息系统安全建设、运维、检查、等级评估和安全评估、应急等信息安全资金。

第十八条电力企业应当加强对信息安全从业人员的考核和管理。员工应定期接受相应的政策法规和专业技能培训，培训合格后上岗。

第四章监督检查

第十九条国家能源局及其派出机构依法对电力企业的网络和信息安全工作进行监督检查。

第二十条国家能源局及其派出机构在进行监督检查和事件调查时，可以采取下列措施:

(一)进入电力企业进行检查；

(二)询问有关单位的工作人员，要求他们说明有关检查事项；

(三)查阅、复制与检验项目有关的文件、资料，对可能被转移、隐匿、毁损的文件、资料进行封存；

(四)对检查中发现的问题，应当当场或者限期责令改正。

第五章补充规定

第二十一条本办法由国家能源局负责解释。

第二十二条本办法自发布之日起实施，有效期五年。2007年12月4日，《电力行业网络与信息安全监督管理暂行规定》(国家电力监管委员会发〔2007〕50号)同时废止。

信息源北极星智能电网在线|

声明:如果本文中使用的视频、图片和文字涉及版权问题，请尽快通知我们，我们将立即删除内容！