国能发安全[2018]7号
各省、自治区、直辖市、新疆生产建设兵团发展改革委(能源局)、经信委(工信委),国家能源局各派出监管机构,全国电力安全生产委员会各企业成员单位:
为深入贯彻党的十九大精神,全面落实习近平总书记关于网络强国战略的重要论述,按照《中华人民共和国网络安全法》《电力监管条例》及相关法律法规要求,健全电力行业网络安全责任体系,完善网络安全监督管理体制机制,加强关键信息基础设施安全保护,提升电力监控系统安全防护水平,强化网络安全防护体系,提高自主创新及安全可控能力,防范和遏制重大网络安全事件,保障电力系统安全稳定运行和电力可靠供应,提出以下意见。
(一)建立健全网络安全责任制。电力企业是网络安全责任主体,企业各级党委(党组)对本单位、本部门网络安全工作负主体责任,企业主要负责人是网络安全第一责任人。将网络安全纳入企业安全生产管理体系,按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,落实网络安全主体责任,厘清界面,强化考核,严格责任追究,确保网络安全责任全覆盖。
(二)健全企业网络安全组织体系。落实网络安全保护责任,设立专门网络安全管理及监督机构,设置相应岗位,加快各级网络安全专业人员配置;重点企业、机构建立首席网络安全官制度。
(三)健全网络安全监督管理体系。按照谁主管谁负责的原则,国家能源局依法依规履行电力行业网络安全监督管理职责,地方各级人民政府有关部门按照法律、行政法规和国务院的规定,切实履行网络安全属地监督管理职责。国家能源局各派出监管机构根据授权开展网络安全监督管理工作。
(四)依法履行网络安全监督管理职能。制定、修订电力行业网络安全监督管理规定,强化电力行业网络安全标准化能力建设,建立电力行业网络安全联席会议制度,协调推进电力行业网络安全监督管理工作。
(五)强化网络安全协同监督管理。国家能源局及其派出监管机构加强与国家网络安全主管部门、地方各级人民政府有关部门的沟通,形成工作合力,协同开展网络安全检查等工作,加大违法违规行为的处置力度。
(六)加强网络安全技术监督。发挥电力行业网络安全技术服务机构作用,开展电力行业网络安全技术监督工作。加强电力调度机构对并网电厂涉网部分电力监控系统安全防护技术监督,强化电网和发电企业内部网络安全技术监督。
(七)履行网络安全等级保护义务。按照国家等级保护制度要求,修订行业等级保护制度,加强等级保护专业力量建设,深化网络安全等级保护定级备案、安全建设、等级测评、安全整改、监督检查全过程管理工作。
(八)规范网络安全风险评估。加快完善自评估为主、第三方检查评估为辅的网络安全风险评估工作机制,及时开展检测评估,其中关键信息基础设施每年至少开展一次评估。规范评估流程、控制评估风险,整改安全隐患,完善安全措施。
(九)加强全业务、全过程网络安全管理。加强发、输、变、配、用、调度等电力全业务网络安全管理,严格落实“三同步”原则,加强漏洞和隐患源头及动态治理,加强日常运维及安全防护管理,落实全生命周期安全管理措施,保障电力系统网络安全。加强供应链安全管理,强化供应商资质审查、能力评估。保障网络安全资金投入。
(十)加强全员网络安全管理。建立健全全员网络安全管理制度,开展网络安全负责人、关键岗位人员安全背景审查,企业应建立网络安全关键岗位专业技术人员持证上岗制度,有关从业人员应先培训后上岗。加强对产品和服务供应商现场人员的网络安全管理。
(十一)落实关键信息基础设施重点保护要求。研究制定电力行业关键信息基础设施认定规则、保护规划及标准规范,开展关键信息基础设施认定工作,实行重点保护。加强关键信息基础设施网络安全监测预警体系建设,提升关键信息基础设施应急响应和恢复能力。
(十二)推进行业网络安全审查。逐步完善电力行业网络产品和服务安全审查制度,明确审查规范,确立审查要点,规范审查流程。有序开展电力行业网络产品和服务安全审查工作。
(十三)进一步完善电力监控系统安全防护体系。按照“安全分区、网络专用、横向隔离、纵向认证”的原则,进一步完善结构安全、本体安全和基础设施安全,逐步推广安全免疫。结合电力生产安全新形势和安全保障需求,及时修订电力监控系统安全防护相关配套方案。强化新能源和中小电力企业等电网末梢的网络安全防护能力,推进配电、用电涉控部分的网络安全防护建设。
(十四)加快密码基础设施建设。在重要业务、重要领域实施密码保护,完善电力行业密码支撑体系,实现电力行业密码基础设施一体化管理。健全电力行业密码检测手段,开展密码应用安全性评估。深化商用密码在电力行业中的应用,促进密码技术与电力应用融合发展。
(十五)建设网络安全仿真验证环境。适应电力行业网络安全研究、测试、演练等应用需求,整合现有资源,建立覆盖发、输、变、配、用、调度全环节的网络安全仿真验证环境,开展重大网络安全事件模拟验证、漏洞挖掘、攻防演练、业务培训等工作。建设行业网络安全重点实验室。
(十六)建立行业网络安全信息资源共享机制。整合行业漏洞挖掘与研究资源,开展漏洞分析、安全加固研究,建立行业漏洞库,完善与国家信息安全漏洞共享平台的沟通、协调和通报机制,加强漏洞预警能力建设,引导企业及时开展漏洞消缺工作,提升企业处置安全漏洞能力。
(十七)强化网络安全检测与服务。强化安全检测机构能力建设,严格执行国家及行业网络安全检测标准,鼓励自主研发检测工具,丰富安全检测技术手段。完善行业网络安全服务体系,开展网络安全认证、检测、风险评估等安全服务。
(十八)加强企业数据安全保障。健全数据安全保护机制,明确数据安全责任主体,强化重要数据的识别、分类和保护,加强关键系统、核心数据容灾备份设施建设。加强重要数据出境管理。加强大数据安全保障能力建设。
(十九)加强个人信息、用户信息保护。强化业务系统个人信息、用户信息保护能力,防止个人信息、用户信息泄露,建立完善个人信息安全事件投诉、举报和责任追究机制。
(二十)推进网络安全态势感知、预警能力建设。建立行业、企业网络安全态势感知预警平台,加强电力监控系统、重要管理信息系统、互联网出口的全面监测,加强网络安全信息的汇集、研判,建立健全网络安全信息共享和通报机制,健全完善政企联动、上下协同的通报预警机制。
(二十一) 加强网络安全应急处置能力建设。建立电力行业网络安全应急指挥平台,完善网络安全应急预案。加强网络安全应急队伍、应急资源库建设,组织开展实战型网络安全应急演练,提升网络安全事件应急快速响应能力。
(二十二)健全重大活动网络安全保障机制。建立分级网络安全保障机制,统筹行业资源,强化协调指挥。针对国家重大活动,制定保障工作方案,落实保障措施。
(二十三)坚持关键领域安全可控。推动电力专用安全防护设备升级换代,加快推进专用系统与装备、通用软硬件产品安全可控替代及应用。坚持新能源、配电网及负荷管理等领域智能终端、智能单元安全可控。加强安全可控产品的研制与应用,鼓励开展前沿性技术应用研究。
(二十四)加速推进核心技术攻关与应用。加强体系化技术布局,完善制度、市场环境,推进电力系统网络安全核心技术突破。重点在电力系统关键系统、重大装备、防护体系、专业芯片、密码应用、攻防对抗和检测技术等领域,加强自主创新与应用突破。支持电力专业芯片研发和使用。
(二十五)做好新技术、新业务网络安全保障。关注能源生产、经营、消费等领域发展带来的网络安全问题,加强对“大云物移智”等新技术,以及微电网、充电基础设施、车联网、“互联网+”等新业务的网络安全风险研究,为行业发展提供网络安全保障。
(二十六)优化网络安全产业生态。以行业内重点网络安全企业为主导,打造产学研用协同创新发展平台,构建电力行业网络安全产业联盟。推进网络安全技术成果的市场化应用。引导社会资本设立行业网络安全产业发展基金。
(二十七)引导网络安全产业健康发展。做好行业网络安全产业体系建设,通过统筹规划、精准投资、综合评价等措施,在技术、产业、政策上共同发力,释放产业发展主体活力,引导网络安全产业健康发展。
(二十八)推进网络安全军民融合深度发展。加强统筹协调、密切协作配合,推动军地信息融合共享,建立较为完善的网络安全联防联控机制。拓宽渠道,促进技术、人才、资源等要素双向流动转化。鼓励电力企业、网络安全产业单位加强“军转民”、“民参军”,促进军地协同技术创新。
(二十九)加强网络安全人才队伍建设。加强行业网络安全政策宣贯、知识普及,定期开展电力行业网络安全交流。加大网络安全人才培养投入,加强从业人员技能培训,探索企业、高校、科研院所、军队共建产学研用结合的人才培养机制,建立电力行业网络安全专家库。完备网络安全岗位设置,完善人才激励机制。
(三十)拓展网络安全国际合作。构建网络安全常态化国际交流合作机制,推动电力行业网络安全国际交流,拓展网络安全对话合作平台。加强在预警防范、应急响应、技术创新、标准规范、信息共享等方面合作,组织开展国际网络空间安全重大问题研究,积极参与有关国际标准、规则制定工作。