附件 1 电力行业网络安全管理办法 (修订征求意见稿) 第一章 总则 第一条 为加强电力行业网络安全监督管理，规范电力行业 网络安全工作，根据《中华人民共和国网络安全法》《中华人民 共和国密码法》《中华人民共和国数据安全法》《中华人民共和 国个人信息保护法》《中华人民共和国计算机信息系统安全保护 条例》《关键信息基础设施安全保护条例》及国家有关规定，制 定本办法。 第二条 电力行业网络安全工作的目标是建立健全网络安全 保障体系和工作责任体系，提高网络安全防护能力，保障网络安 全，保障电力系统的安全稳定运行，促进信息化健康发展。 第三条 电力企业在中华人民共和国境内建设、运营、维护 和使用网络，以及网络安全的监督管理，适用本办法。 第四条 电力行业网络安全工作坚持“积极防御、综合防范” 的方针，遵循“依法管理、分工负责，统筹规划、突出重点”的 原则。 — 1 — 第二章 监督管理职责 第五条 国家能源局和地方能源主管部门是电力行业网络安 全主管部门，履行电力行业网络安全监督管理职责。国家能源局 派出机构根据国家能源局的授权，负责具体实施本辖区电力企业 网络安全监督管理。国家能源局及其派出机构依法对电力监控系 统安全防护工作进行监督管理。 国家能源局是负责电力行业关键信息基础设施安全保护工 作的部门，各省级能源主管部门依据各自职责对电力行业关键信 息基础设施实施安全保护和监督管理。 第六条 国家能源局和各级能源主管部门依法履行电力行业 网络安全监督管理工作职责，主要内容为： （一） 组织落实国家关于网络安全的方针、政策和重大部 署，并与电力生产安全监督管理工作相衔接； （二） 组织制定电力行业网络安全的发展战略和总体规划； （三） 组织制定电力行业网络安全等级保护、关键信息基 础设施安全保护、数据安全、网络安全审查、风险评估、监测预 警、信息通报、应急处置、事件调查与处理、工控设备安全性检 测、专业人员管理、容灾备份、安全审计、信任体系建设等方面 的政策规定及技术规范，并监督实施； （四） 组织认定电力行业关键信息基础设施，制定电力行 业关键信息基础设施安全规划，建立监测预警制度，组织开展网 络安全检查检测； — 2 — （五） 组织制定电力行业网络安全事件应急预案，督促、 指导电力企业网络安全应急工作，组织或参加网络安全事件的调 查与处理； （六） 组织建立电力行业网络安全工作评价机制，督促电 力企业落实网络安全责任、保障网络安全经费、开展网络安全防 护能力建设、处置网络安全事件等工作； （七） 组织开展电力行业网络安全监测预警、信息通报等 工作； （八） 组织开展网络安全宣传教育，并指导、督促电力企 业做好网络安全宣传教育工作； （九） 组织开展电力行业网络安全的技术研发工作，推动 网络安全仿真验证环境（靶场）建设，遴选网络安全监督管理技 术支撑单位； （十） 电力行业网络安全监督管理的其它事项。 第七条 电力调度机构负责直接调度范围内的下一级电力调 度机构、集控中心、变电站、发电厂等各类机构涉网部分的电力 监控系统安全防护的技术监督。 （一） 自行组织或委托电力监控系统安全防护评估机构开 展调度范围内电力监控系统的自评估工作，配合开展电力监控系 统的检查评估工作，负责统一指挥调度范围内的电力监控系统安 全应急处理，参与电力监控系统的网络安全事件调查和分析工作； — 3 — （二） 组织并督促各相关单位开展电力监控系统安全防护 技术培训和交流工作，贯彻执行国家和行业有关电力监控系统安 全防护的标准、规程和规范； （三） 负责对电力监控系统专用安全产品开展监督管理， 制定电力监控系统专用安全产品管理办法并监督实施； （四） 将并网电厂涉网部分电力监控系统网络安全运行状 态纳入监测； （五） 每年 11 月 1 日前将技术监督工作开展情况报送国家 能源局及其派出机构、地方能源主管部门。 第三章 电力企业职责 第八条 电力企业是本单位网络安全的责任主体，负责本单 位的网络安全工作。 第九条 电力企业主要负责人是本单位网络安全的第一责任 人。电力企业应当建立健全网络安全管理、评价考核制度体系， 成立工作领导机构，明确责任部门，设立专职岗位，定义岗位职 责，明确人员分工和技能要求，建立健全网络安全责任制。 电力行业关键信息基础设施运营者的主要负责人对关键信 息基础设施安全保护负总责，要明确一名领导班子成员（非公有 制经济组织运营者明确一名核心经营管理团队成员）作为首席网 络安全官，专职管理或分管关键信息基础设施安全保护工作；为 每个关键信息基础设施明确一名安全管理责任人；设立专门安全 — 4 — 管理机构，确定关键岗位及人员，并对机构负责人和关键岗位人 员进行安全背景审查。 第十条 电力企业应依法依规开展关键信息基础设施认定、 报送工作，关键信息基础设施发生重大变化，可能影响其认定结 果的，应及时将相关情况报告国家能源局和地方能源主管部门。 第十一条 电力企业应当按照电力监控系统安全防护规定、 国家网络安全等级保护制度、关键信息基础设施安全保护制度、 数据安全保护制度及网络安全审查工作机制的要求，对本单位的 网络与信息系统进行安全保护，并将网络安全纳入安全生产管理 体系。 第十二条 电力企业应当选用符合国家有关规定、满足网络 安全要求的信息技术产品和服务，开展信息系统安全建设或改建 工作。接入生产控制大区的涉网安全产品需经电力调度机构同意。 第十三条 电力行业关键信息基础设施运营者应当优先采购 安全可信的网络产品和服务，并按照有关要求开展风险预判工作， 评估投入使用后可能对关键信息基础设施安全保护、电力安全生 产和国家安全带来的风险隐患，形成评估报告报送国家能源局和 地方能源主管部门，并依法开展网络安全审查。 第十四条 电力企业规划设计信息系统时，应当明确系统的 安全保护需求，保证安全技术措施同步规划、同步建设、同步使 用，设计合理的总体安全方案并经专业技术人员评审通过，制定 — 5 — 安全实施计划，负责信息系统安全建设工程的实施。信息系统上 线前，电力企业应委托网络安全服务机构开展第三方安全测试。 第十五条 电力企业应当按照国家有关规定开展电力监控系 统安全防护评估、网络安全等级保护测评、关键信息基础设施安 全检测和风险评估、商用密码应用安全性评估和网络安全审查等 工作，未达到要求的应当及时进行整改。 第十六条 电力企业禁止选择被国家能源局通报有不良行为 或被相关管理部门通报整改的网络安全服务机构。 第十七条 电力企业应当按照国家有关规定开展网络安全风 险评估工作，建立健全网络安全风险评估的自评估和检查评估制 度，完善网络安全风险管理机制。发现风险隐患可能对电力行业 网络安全产生较大影响的，应当向国家能源局和地方能源主管部 门报告。 第十八条 电力企业应当依据国家和行业相关标准、规程和 规范开展网络安全技术监督工作，可委托网络安全服务机构协助 开展。 第十九条 电力企业应当建立健全网络产品安全漏洞信息接 收渠道并保持畅通，发现存在安全漏洞后，应当立即采取措施， 及时对安全漏洞进行验证与修补。 第二十条 电力企业应当建立健全本单位网络安全监测预警 和信息通报机制，及时掌握本单位网络安全运行状况、安全态势， — 6 — 及时处置网络安全威胁与隐患，定期向国家能源局和地方能源主 管部门报告有关情况。 电力行业关键信息基础设施运营者应当建立全天候值班值 守制度，建设网络安全态势感知平台，并与国家能源局、公安机 关等有关平台对接。 第二十一条 电力企业应当按照电力行业网络安全事件应 急预案，制修订本单位网络安全事件应急预案，每年至少开展一 次应急演练。制修订电力监控系统专项网络安全事件应急预案并 定期组织演练。定期组织开展网络攻防演习，检验安全防护和应 急处置能力。 第二十二条 电力企业应当在国家重要活动、会议期间结合 实际制定网络安全保障专项工作方案和应急预案，成立保障组织 机构，明确目标任务，细化措施要求，组织预案演练，确保重要 信息系统、电力监控系统安全稳定运行。 第二十三条 电力企业发生网络安全事件后，应当立即启动 网络安全事件应急预案，及时采取有效措施，消除安全隐患，防 止危害扩大，尽可能保护好现场，按规定做好信息上报工作。 第二十四条 电力企业应当按照国家有关规定，建立健全容 灾备份制度，对关键系统和重要数据进行有效备份。 第二十五条 电力企业应当建立健全全流程数据安全管理 和个人信息保护制度，按照国家和行业重要数据目录及数据分类 — 7 — 分级保护相关要求，确定本单位的重要数据具体目录，对列入目 录的数据进行重点保护。 第二十六条 电力企业应当建立网络安全资金保障制度，安 排网络安全专项预算，确保网络安全投入不低于信息化总投入的 5%。 第二十七条 电力企业应当加强网络安全从业人员考核和 管理，做好全员网络安全宣传教育，提高网络安全意识。从业人 员应当定期接受相应的政策规范和专业技能培训，并经培训合格 后上岗。 第二十八条 电力企业应当督促电力监控系统专用安全产 品研发单位和供应商按国家有关要求做好保密工作，防止关键技 术泄露。严禁在互联网上销售、购买电力监控系统专用安全产品。 第二十九条 电力企业应当于每年 11 月 1 日前，将当年网 络安全工作的专项总结报送国家能源局及其派出机构、地方能源 主管部门。总结内容应当包括但不限于网络安全工作开展情况、 网络安全等级保护情况、电力监控系统安全防护评估情况、数据 安全保护情况、安全监测预警情况、风险隐患治理情况、网络安 全事件应对处置情况、应急预案及演练情况、安全可控情况、网 络产品和服务采购情况、下一年度工作计划等。 电力行业关键信息基础设施运营单位应当于每年 11 月 1 日 前，将当年关键信息基础设施安全保护的专项总结报送国家能源 局及其派出机构、地方能源主管部门。总结内容应当包括但不限 — 8 — 于关键信息基础设施的运行情况、认定报送情况、安全计划、安 全监测预警情况、网络安全检测和风险评估情况、网络安全事件 应对处置情况、应急预案及演练情况、安全可控情况、网络产品 和服务采购情况、下一年度工作计划等。 第四章 监督检查 第三十条 国家能源局及其派出机构、地方能源主管部门在 各自职责范围内依法依规对电力企业网络安全工作进行监督检 查，定期组织开展电力行业关键信息基础设施网络安全检查检测。 第三十一条 国家能源局及其派出机构、地方能源主管部门 进行监督检查和事件调查时，可以采取下列措施： （一） 进入电力企业进行检查； （二） 询问相关单位的工作人员，要求其对有关检查事项 作出说明； （三） 查阅、复制与检查事项有关的文件、资料，对可能 被转移、隐匿、损毁的文件、资料予以封存； （四） 对检查中发现的问题，责令其当场改正或者限