國家能源局關于加強電力行業(yè)網(wǎng)絡安全工作的指導意見

國能發(fā)安全[2018]7號

省、自治區(qū)、直轄市、新疆生產(chǎn)建設兵團發(fā)展改革委(能源局)、經(jīng)信委(工信委)，國家能源局各派出監(jiān)管機構(gòu)，全國電力安全生產(chǎn)委員會各企業(yè)成員單位：

為深入貫徹黨的十九大精神，全面落實習近平總書記關于網(wǎng)絡強國戰(zhàn)略的重要論述，按照《中華人民共和國網(wǎng)絡安全法》《電力監(jiān)管條例》及相關法律法規(guī)要求，健全電力行業(yè)網(wǎng)絡安全責任體系，完善網(wǎng)絡安全監(jiān)督管理體制機制，加強關鍵信息基礎設施安全保護，提升電力監(jiān)控系統(tǒng)安全防護水平，強化網(wǎng)絡安全防護體系，提高自主創(chuàng)新及安全可控能力，防范和遏制重大網(wǎng)絡安全事件，保障電力系統(tǒng)安全穩(wěn)定運行和電力可靠供應，提出以下意見。

一、落實企業(yè)網(wǎng)絡安全主體責任

(一)建立健全網(wǎng)絡安全責任制。電力企業(yè)是網(wǎng)絡安全責任主體，企業(yè)各級黨委(黨組)對本單位、本部門網(wǎng)絡安全工作負主體責任，企業(yè)主要負責人是網(wǎng)絡安全第一責任人。將網(wǎng)絡安全納入企業(yè)安全生產(chǎn)管理體系，按照誰主管誰負責、誰運營誰負責、誰使用誰負責的原則，落實網(wǎng)絡安全主體責任，厘清界面，強化考核，嚴格責任追究，確保網(wǎng)絡安全責任全覆蓋。

(二)健全企業(yè)網(wǎng)絡安全組織體系。落寞網(wǎng)絡安全保護責任，設立專門網(wǎng)絡安全管理及監(jiān)督機構(gòu)，設置相應崗位，加快各級網(wǎng)絡安全專業(yè)人員配置;重點企業(yè)、機構(gòu)建立首席網(wǎng)絡安全官制摩。

二、完善網(wǎng)絡安全監(jiān)督管理體制機制

(三)健全網(wǎng)絡安全監(jiān)督管理體系。按照誰主管誰負責的原則，國家能源局依法依規(guī)履行電力行業(yè)網(wǎng)絡安全監(jiān)督管理職責，地方各級人民政府有關部門按照法律、行政法規(guī)和國務院的規(guī)定，切實履行網(wǎng)絡安全屬地監(jiān)督管理職責。國家能源局各派出監(jiān)管機構(gòu)根據(jù)授權(quán)開展網(wǎng)絡安全監(jiān)督管理工作。

(四)依法履行網(wǎng)絡安全監(jiān)督管理職能。制定、修訂電力行業(yè)網(wǎng)絡安全監(jiān)督管理規(guī)定，強化電力行業(yè)網(wǎng)絡安全標準化能力建設，建立電力行業(yè)網(wǎng)絡安全聯(lián)席會議制度，協(xié)調(diào)推進電力行業(yè)網(wǎng)絡安全監(jiān)督管理工作。

(五)強化網(wǎng)絡安全協(xié)同監(jiān)督管理。國家能源局及其派出監(jiān)管機構(gòu)加強與國家網(wǎng)絡安全主管部門、地方各級人民政府有關部門的溝通，形成工作合力，協(xié)同開展網(wǎng)絡安全檢查等工作，加大違法違規(guī)行為的處置力度。

(六)加強網(wǎng)絡安全技術監(jiān)督。發(fā)揮電力行業(yè)網(wǎng)絡安全技術服務機構(gòu)作用，開展電力行業(yè)網(wǎng)絡安全技術監(jiān)督工作。加強電力調(diào)度機構(gòu)對并網(wǎng)電廠涉網(wǎng)部分電力監(jiān)控系統(tǒng)安全防護技術監(jiān)督，強化電網(wǎng)和發(fā)電企業(yè)內(nèi)部網(wǎng)絡安全技術監(jiān)督。

三、加強全方位網(wǎng)絡安全管理

(七)履行網(wǎng)絡安全等級保護義務。按照國家等級保護制度要求，修訂行業(yè)等級保護制度，加強等級保護專業(yè)力量建設，深化網(wǎng)絡安全等級保護定級備案、安全建設、等級測評、安全整改、監(jiān)督檢查全過程管理工作。

(八)規(guī)范網(wǎng)絡安全風險評估。加快完善自評估為主、第三方檢查評估為輔的網(wǎng)絡安全風險評估工作機制，及時開展檢測評估，其中關鍵信息基礎設施每年至少開展一次評估。規(guī)范評估流程、控制評估風除，整改安全隱患，完善安全措施。

(九)加強全業(yè)務、全過程網(wǎng)絡安全管理。加強發(fā)、輸、變、配、用、調(diào)度等電力全業(yè)務網(wǎng)絡安全管理，嚴格落實“三同步”原則，加強漏洞和隱患源頭及動態(tài)治理，，加強日常運維及安全防護管理，落實全生命周期安全管理措施，保障電力系統(tǒng)網(wǎng)絡安全。加強供應鏈安全管理，強化供應商資質(zhì)審查、能力評估。保障網(wǎng)絡安全資金投入。

(十)加強全員網(wǎng)絡安全管理。建立健全全員網(wǎng)絡安全管理制度，開展網(wǎng)絡安全負責人、關鍵崗位人員安全背景審查，企業(yè)應建立網(wǎng)絡安全關鍵崗位專業(yè)技術人員持證上崗制度，有關從業(yè)人員應先培訓后上崗。加強對產(chǎn)品和服務供應商現(xiàn)場人員的網(wǎng)絡安全管理。

四、強化關鍵信息基礎設施安全保護

(十一)落實關鍵信息基礎設施重點保護要求。研究制定電力行業(yè)關鍵信息基礎設施認定規(guī)則、保護規(guī)劃及標準規(guī)范，開展關鍵信息基礎設施認定工作，實行重點保護。加強關鍵信息基礎設施網(wǎng)絡安全監(jiān)測預警體系建設，提升關鍵信息基礎設施應急響應和恢復能力。

(十二)推進行業(yè)網(wǎng)絡安全審查。逐步完善電力行業(yè)網(wǎng)絡產(chǎn)品和服務安全審查制度，明確審查規(guī)范，確立審查要點，規(guī)范審查流程。有序開展電力行業(yè)網(wǎng)絡產(chǎn)品和服務安全審查工作。

(十三)進一步完善電力監(jiān)控系統(tǒng)安全防護體系。按照“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的原則，進一步完善結(jié)構(gòu)安全、本體安全和基礎設施安全，逐步推廣安全免疫。結(jié)合電力生產(chǎn)安全新形勢和安全保障需求，及時修訂電力監(jiān)控系統(tǒng)安全防護相關配套方案。強化新能源和中小電力企業(yè)等電網(wǎng)末梢的網(wǎng)絡安全防護能力，推進配電、用電涉控部分的網(wǎng)絡安全防護建設。

五、加強行業(yè)網(wǎng)絡安全基礎設施建設

(十四)加快密碼基礎設施建設。在重要業(yè)務、重要領域?qū)嵤┟艽a保護，完善電力行業(yè)密碼支撐體系，實現(xiàn)電力行業(yè)密碼基礎設旋一體化管理。健全電力行業(yè)密碼檢測手段，開展密碼應用安全性評估。深化商用密碼在電力行業(yè)中的應用，促進密碼技術與電力應用融合發(fā)展。

(十五)建設網(wǎng)絡安全仿真驗證環(huán)境。適應電力行業(yè)網(wǎng)絡安全研究、測試、演練等應用需求，整合現(xiàn)有資源，建立覆蓋發(fā)、輸、變、配、用、調(diào)度全環(huán)節(jié)的網(wǎng)絡安全仿真驗證環(huán)境，開展重大網(wǎng)絡安全事件模擬驗證、漏洞挖掘、攻防演練、業(yè)務培訓等工作。建設行業(yè)網(wǎng)絡安全重點實驗室。

(十六)建立行業(yè)網(wǎng)絡安全信息資源共享機制。整合行業(yè)漏洞挖掘與研究資源，開展漏洞分析、安全加固研究，建立行業(yè)漏洞庫，完善與國家信息安全漏洞共享平臺的溝通、協(xié)調(diào)和通報機制，加強漏洞預警能力建設，引導企業(yè)及時開展漏洞消缺工作，提升企業(yè)處置安全漏洞能力。

(十七)強化網(wǎng)絡安全檢測與服務。強化安全檢測機構(gòu)能力建設，嚴格執(zhí)行國家及行業(yè)網(wǎng)絡安全檢測標準，鼓勵自主研發(fā)檢測工具，豐富安全檢測技術手段。完善行業(yè)網(wǎng)絡安全服務體系+開展網(wǎng)絡安全認證、檢測、風險評估等安全服務。

六、加強電力企業(yè)數(shù)據(jù)安金保護

(十八)加強企業(yè)數(shù)據(jù)安全保障。鍵全數(shù)據(jù)安全保護機制，明確數(shù)據(jù)安全責任主體，強化重要數(shù)據(jù)的識別、分類和保護，加強關鍵系統(tǒng)、核心數(shù)據(jù)容災備份設施建設。加強重要數(shù)據(jù)出境管理。加強大數(shù)據(jù)安全保障能力建設。

(十九)加強個人信息、用戶信息保護。強化業(yè)務系統(tǒng)個人信息、用戶信息保護能力，防止個人信息、用戶信息泄露，建立完善個人信息安全事件投訴、舉報和責任追究機制。

七、提高網(wǎng)絡安全態(tài)勢感知、預警及應急處置蘸力

(二十)推進網(wǎng)絡安全態(tài)勢感知、預警能力建設。建立行業(yè)、企業(yè)網(wǎng)絡安全態(tài)勢感知預警平臺，加強電力監(jiān)控系統(tǒng)、重要管理信息系統(tǒng)、互聯(lián)網(wǎng)出口的全面監(jiān)測，加強網(wǎng)絡安全信息的匯集、研判，建立健全網(wǎng)絡安全信息其享和通報機制，健全完善政企聯(lián)動、上下協(xié)同的通報預警機制。

(二十一)加強網(wǎng)絡安全應急處置能力建設。建立電力行業(yè)網(wǎng)絡安全應急指揮平臺，完善網(wǎng)絡安全應急預案。加強網(wǎng)絡安全應急隊伍、應急資源庫建設，組織開展實戰(zhàn)型網(wǎng)絡安全應急演練，提升網(wǎng)絡安全事件應急快速響應能力。

(二十二)健全重大活動網(wǎng)絡安全保障機制。建立分級網(wǎng)絡安全保障機制，統(tǒng)籌行業(yè)資源，強化協(xié)調(diào)指揮。針對國家重大活動，制定保障工作方案，落實保障措施。

八、支持網(wǎng)絡安全自主創(chuàng)新與安全可控

(二十三)堅持關鍵領域安全可控。推動電力專用安全防護設備升級換代，加快推進專用系統(tǒng)與裝備、通用軟硬件產(chǎn)品安全可控替代及應用。堅持新能源、配電網(wǎng)及負荷管理等領域智能終端、智能單元安全可控。加強安全可控產(chǎn)品的研制與應用，鼓勵開展前沿性技術應用研究。

(二十四)加速推進核心技術攻關與應用。加強體系化技術布局，完善制度、市場環(huán)境，推進電力系統(tǒng)網(wǎng)絡安全核心技術突破。重點在電力系統(tǒng)關鍵系統(tǒng)、重大裝備、防護體系、專業(yè)芯片、密碼應用、攻防對抗和檢測技術等領域+加強自主創(chuàng)新與應用突破。支持電力專業(yè)芯片研發(fā)和使用。

(二十五)做好新技術、新業(yè)務網(wǎng)絡安全保障。關注能源生產(chǎn)、經(jīng)營、消費等領域發(fā)展帶來的網(wǎng)絡安全問題，加強對“大云物移智”等新技術，以及微電網(wǎng)、充電基礎設施、車聯(lián)網(wǎng)、“互聯(lián)網(wǎng)+”等新業(yè)務的網(wǎng)絡安全風險研究，為行業(yè)發(fā)展提供網(wǎng)絡安全保障。

九、積極推動電力行業(yè)網(wǎng)絡安全產(chǎn)業(yè)健康發(fā)展

(二十六)優(yōu)化網(wǎng)絡安全產(chǎn)業(yè)生態(tài)。以行業(yè)內(nèi)重點網(wǎng)絡妾全企業(yè)為主導，打造產(chǎn)學研用協(xié)同創(chuàng)新發(fā)展平臺，構(gòu)建電力行業(yè)網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟。推進網(wǎng)絡安全技術成果的市場化應用。引導社會資本設立行業(yè)網(wǎng)絡安全產(chǎn)業(yè)發(fā)展基金。

(二十七)引導網(wǎng)絡安全產(chǎn)業(yè)健康發(fā)展。做好行業(yè)網(wǎng)絡安全產(chǎn)業(yè)體系建設，通過統(tǒng)籌規(guī)劃、精準投資、綜合評價等措施，在技術、產(chǎn)業(yè)、政策上共同發(fā)力，釋放產(chǎn)業(yè)發(fā)展主體活力，引導網(wǎng)絡安全產(chǎn)業(yè)健康發(fā)展。

十、推進網(wǎng)絡安全軍民融合深度發(fā)展

(二十八)推進網(wǎng)絡安全軍民融合深度發(fā)展。加強統(tǒng)籌協(xié)調(diào)、密切協(xié)作配合，推動軍地信息融合共享，建立較為完善的網(wǎng)絡安全聯(lián)防聯(lián)控機制。拓寬渠道，促進技術、人才、資源等要素雙向流動轉(zhuǎn)化。鼓勵電力企業(yè)、網(wǎng)絡安全產(chǎn)業(yè)單位加強“軍轉(zhuǎn)民”、“民參軍”，促進軍地協(xié)同技術創(chuàng)新。

十一、加強網(wǎng)絡安全人才隊伍建設

(二十九)加強網(wǎng)絡安全人才隊伍建設。加強行業(yè)網(wǎng)絡安全政策宣貫、知識普及，定期開展電力行業(yè)網(wǎng)絡安全交流。加大網(wǎng)絡安全人才培養(yǎng)投入，加強從業(yè)人員技能培訓，探索企業(yè)、高校、科研院所、軍隊共建產(chǎn)學研用結(jié)合的人才培養(yǎng)機制，建立電力行業(yè)網(wǎng)絡安全專家?guī)?。完備網(wǎng)絡安全崗位設置，完善人才激勵機制。

十二、拓展網(wǎng)絡安全國際合作

(三十)拓展岡絡安全國際合作。構(gòu)建網(wǎng)絡安全常態(tài)化國際交流合作機制，推動電力行業(yè)網(wǎng)絡安全國際交流，拓展網(wǎng)絡安全對話合作平臺。加強存預警防范、應急響應、技術創(chuàng)新、標準規(guī)范、信息共享等方面合作，組織開展國際網(wǎng)絡空間安全重大問題研究，積極參與有關國際標準、規(guī)則制定工作。

國家能源局

2018年9月13日