附件 2 电力行业网络安全等级保护管理办法 (修订征求意见稿) 第一章 总则 第一条 为规范电力行业网络安全等级保护管理，提高电力 行业网络安全保障能力和水平，维护国家安全、社会稳定和公共 利益，根据《中华人民共和国网络安全法》《中华人民共和国密 码法》 《中华人民共和国计算机信息系统安全保护条例》 《关键信 息基础设施安全保护条例》《信息安全等级保护管理办法》等法 律法规和规范性文件，制定本办法。 第二条 电力企业在中华人民共和国境内建设、运营、维护、 使用网络，开展网络安全等级保护工作，适用本办法。 本办法所称网络是指由计算机或者其他信息终端及相关设 备组成的按照一定的规则和程序对信息进行收集、存储、传输、 交换、处理的系统，包括电力监控系统、管理信息系统及通信网 络设施。 本办法不适用于涉及国家秘密的网络。涉及国家秘密的网络 应当按照国家保密工作部门有关涉密信息系统分级保护的管理 规定和技术标准，结合网络实际情况进行保护。 第三条 国家能源局根据国家网络安全等级保护政策法规和 —1— 技术标准要求，结合行业实际，组织制定适用于电力行业的网络 安全等级保护管理规范和技术标准，对电力行业网络安全等级保 护工作的实施进行指导和监督管理。国家能源局各派出机构根据 国家能源局授权，对本辖区电力企业网络安全等级保护工作的实 施进行监督管理。 电力企业依照国家和电力行业相关法律法规和规范性文件， 履行网络安全等级保护的义务和责任。 第二章 等级划分与保护 第四条 根据电力行业网络在国家安全、经济建设、社会生 活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、 泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公 民、法人和其他组织的合法权益的侵害程度等因素，电力行业网 络划分为五个安全保护等级： 第一级，受到破坏后，会对公民、法人和其他组织的合法权 益造成一般损害，但不危害国家安全、社会秩序和公共利益。 第二级，受到破坏后，会对公民、法人和其他组织的合法权 益造成严重损害或特别严重损害，或者对社会秩序和公共利益造 成危害，但不危害国家安全。 第三级，受到破坏后，会对社会秩序和公共利益造成严重危 害，或者对国家安全造成危害。 第四级，受到破坏后，会对社会秩序和公共利益造成特别严 重危害，或者对国家安全造成严重危害。 —2— 第五级，受到破坏后会对国家安全造成特别严重危害。 第五条 电力行业网络安全等级保护坚持分等级保护、突出 重点、积极防御、综合防控的原则。 第三章 等级保护的实施与管理 第六条 国家能源局根据《网络安全等级保护定级指南》 （GB/T 22240）等国家标准规范，结合电力行业网络特点，制定 电力行业网络安全等级保护定级指南，指导电力行业网络安全等 级保护定级工作。 第七条 电力企业应当在网络规划设计阶段，依据《网络安 全等级保护定级指南》（GB/T 22240）等国家标准规范和电力行 业网络安全等级保护定级指南，确定定级对象（网络）及其安全 保护等级，并在网络功能、服务范围、服务对象和处理的数据等 发生重大变化时，及时申请变更其安全保护等级。 对拟定为第二级及以上的网络，电力企业应当组织网络安全 专家进行定级评审。其中，拟定为第四级及以上的网络，还应由 国家能源局统一组织国家网络安全等级保护专家进行定级评审。 第八条 全国电力安全生产委员会企业成员单位汇总集团总 部拟定为第二级及以上网络的定级结果和专家评审意见，报国家 能源局审核。各区域（省）内的电力企业汇总本单位拟定为第二 级及以上网络的定级结果，报国家能源局派出机构审核。 第九条 电力企业办理网络安全等级保护定级审核手续时， 应当提交《电力行业网络安全等级保护定级审核表》 （附件），同 —3— 时提交以下材料： （一）定级审核申请报告； （二）各定级对象的定级报告及相关附件； （三）定级专家评审意见； （四）本企业网络安全管理部门对网络安全等级保护定级的 意见。 国家能源局或其派出机构应在收到审核材料 30 日内反馈审 核意见。 第十条 新建或已运营（运行）的第二级及以上网络，应当 在收到国家能源局或其派出机构审核意见后，向公安机关备案并 按照第八条规定的定级审核权限向国家能源局或其派出机构报 告定级备案结果。 第十一条 电力企业应当采购、使用符合国家法律法规和有 关标准规范要求且满足网络安全等级保护需求的网络产品和服 务。 对于电力监控系统，应按照《电力监控系统安全防护规定》 （国家发展和改革委员会令 2014 年第 14 号）要求，采购和使用 电力专用横向单向安全隔离装置、电力专用纵向加密认证装置或 者加密认证网关等设备设施；在设备选型及配置时，禁止选用经 国家能源局通报存在严重安全漏洞和风险的系统及设备，对已经 投入运行的系统及设备应及时整改并加强运行管理和安全防护。 采购网络产品和服务，影响或可能影响国家安全的，应当依 —4— 据国家网信部门制定的网络安全审查办法申报网络安全审查。 第十二条 电力企业在网络规划、建设、运营过程中，应当 遵循同步规划、同步建设、同步使用的原则，按照该网络的安全 保护等级要求，建设网络安全设备设施，制定并落实安全管理制 度，健全网络安全防护体系。 第十三条 网络建设完成后，电力企业或者其主管部门应当 选择符合本办法第十八条规定条件的网络安全等级保护测评机 构（以下简称测评机构） ，依据国家和行业有关标准或规范要求， 定期对网络安全等级保护状况开展网络安全等级保护测评。第二 级网络每两年应进行一次等级保护测评，第三级及以上网络每年 应进行一次等级保护测评。新建的第三级及以上网络应当在通过 网络安全等级保护测评后投入运行。 电力监控系统网络安全等级保护测评工作应当与电力监控 系统安全防护评估、关键信息基础设施网络安全检测评估、商用 密码应用安全性评估工作相衔接，避免重复测评。 电力企业应当定期对网络安全状况、安全保护制度及措施的 落实情况进行自查。第二级电力监控系统应当每两年至少进行一 次自查，第三级及以上网络应当每年至少进行一次自查。 电力企业应当对自查和等级保护测评中发现的安全风险隐 患，制定整改方案，并开展安全建设整改。 测评机构需组织专家对第三级及以上网络的网络安全等级 保护测评报告进行评审。 —5— 第十四条 电力企业应当按照第八条规定的定级审核权限， 每年向国家能源局或其派出机构报告网络安全等级保护工作情 况，包括网络安全等级保护定级备案、等级保护测评、安全建设 整改、安全自查等情况。 第十五条 国家能源局及其派出机构结合关键信息基础设施 网络安全检查，定期组织对运营有第三级及以上网络的电力企业 开展抽查。开展网络安全检查时应当加强协同配合、信息沟通， 避免不必要的检查和交叉重复检查。 检查事项主要为： （一）网络安全等级保护定级工作开展情况，包括定级评审、 审核、备案及根据网络安全需求变化调整定级等情况； （二）电力企业网络安全管理制度、措施的落实情况； （三）电力企业及其主管部门对网络安全状况的检查情况； （四）网络安全等级保护测评工作开展情况； （五）网络安全产品使用情况； （六）网络安全建设整改情况； （七）备案材料与电力企业及其网络的符合情况； （八）其他应当进行监督检查的事项。 对公安机关开展的网络安全执法检查，国家能源局及其派出 机构、电力企业应当予以协助、配合。 第十六条 电力企业应当接受国家能源局及其派出机构的安 全监督、检查、指导，根据需要如实提供下列有关网络安全等级 —6— 保护的信息资料及数据文件： （一）网络安全等级保护定级备案事项变更情况； （二）网络安全组织、人员、岗位职责的变动情况； （三）网络安全管理制度、措施变更情况； （四）网络运行状况记录； （五）电力企业及上级部门对网络安全状况的检查记录； （六）测评机构出具的网络安全等级保护测评报告； （七）网络安全产品使用的变更情况； （八）网络安全事件应急预案，网络安全事件应急处置结果 报告； （九）网络数据容灾备份情况； （十）网络安全建设、整改结果报告； （十一）其他需要提供的材料。 第十七条 针对网络安全检查发现的问题，电力企业应当按 照网络安全等级保护管理规范和技术标准组织安全建设整改。必 要时，国家能源局及其派出机构可对整改情况进行抽查。 第十八条 电力企业应当选择符合下列条件的测评机构进行 网络安全等级保护测评： （一）测评机构应获得国家认证认可委员会批准的认证机构 发放的《网络安全等级测评与检测评估机构服务认证证书》并纳 入《全国网络安全等级测评与检测评估机构目录》 ； （二）从事电力监控系统网络安全等级保护测评的机构应熟 —7— 悉电力监控系统网络安全管理和技术防护要求，具备相应的服务 能力和经验。从事电力监控系统第二级网络等级保护测评的机构 应具备近 2 年内 30 套以上工业控制系统等级保护测评或风险评 估服务经验；从事电力监控系统第三级网络等级保护测评的机构 应具备近 3 年内 50 套以上电力监控系统安全防护评估服务经验； 从事电力监控系统第四级及以上网络等级保护测评的机构应具 备 5 年以上电力监控系统安全防护评估服务经验； （三）对属于电力行业关键信息基础设施的网络，选择测评 机构时应保证其安全可信； （四）禁止选择被国家能源局通报有不良行为或被相关管理 部门通报整改的测评机构； （五）电力企业应采取签署保密协议、开展安全保密培训和 现场监督等措施，加强对测评机构、测评人员和测评过程的安全 保密管理，避免发生泄密事件或电力安全生产事件。 第十九条 国家能源局及其派出机构在开展电力企业网络安 全检查工作时，同步对测评机构开展的电力监控系统等级保护测 评工作情况进行监督检查。 第四章 网络安全等级保护的密码管理 第二十条 电力企业采用密码对不涉及国家秘密的网络进行 等级保护的，应当遵照《中华人民共和国密码法》等有关法律法 规规定和国家密码管理部门制定的网络安全等级保护密码技术 标准执行。 —8— 第二十一条 电力企业网络安全等级保护中密码的配备、使 用和管理等，应当严格执行国家密码管理的有关规定。运用密码 技术进行网络安全等级保护建设与整改时，应采用商用密码检测、 认证机构检测认证合格的商用密码产品和服务。涉及商用密码进 口的，还应当符合国家商用密码进口许可有关要求。 第二十二条 对第三级及以上网络，电力企业应在网络规划、 建设和运行阶段，按照商用密码应用安全性评估管理办法和标准 规范，自行或者委托商用密码检测机构开展商用密码应用安全性 评估工作。 第二十三条 各级密码管理部门对网络安全等级保护工作中 密码配备、使用和管理的情况进行检查和安全性评估时，相关电 力企业应当积极配合。对于检查和安全性评估发现的问题，应当 按照国家密码管理的相关规定要求及时整改。 第五章 法律责