國家能源局關于加強電力行業網絡安全工作的指導意見

國能發安全[2018]7號

省、自治區、直轄市、新疆生產建設兵團發展改革委(能源局)、經信委(工信委)，國家能源局各派出監管機構，全國電力安全生產委員會各企業成員單位：

為深入貫徹黨的十九大精神，全面落實習近平總書記關于網絡強國戰略的重要論述，按照《中華人民共和國網絡安全法》《電力監管條例》及相關法律法規要求，健全電力行業網絡安全責任體系，完善網絡安全監督管理體制機制，加強關鍵信息基礎設施安全保護，提升電力監控系統安全防護水平，強化網絡安全防護體系，提高自主創新及安全可控能力，防范和遏制重大網絡安全事件，保障電力系統安全穩定運行和電力可靠供應，提出以下意見。

一、落實企業網絡安全主體責任

(一)建立健全網絡安全責任制。電力企業是網絡安全責任主體，企業各級黨委(黨組)對本單位、本部門網絡安全工作負主體責任，企業主要負責人是網絡安全第一責任人。將網絡安全納入企業安全生產管理體系，按照誰主管誰負責、誰運營誰負責、誰使用誰負責的原則，落實網絡安全主體責任，厘清界面，強化考核，嚴格責任追究，確保網絡安全責任全覆蓋。

(二)健全企業網絡安全組織體系。落寞網絡安全保護責任，設立專門網絡安全管理及監督機構，設置相應崗位，加快各級網絡安全專業人員配置;重點企業、機構建立首席網絡安全官制摩。

二、完善網絡安全監督管理體制機制

(三)健全網絡安全監督管理體系。按照誰主管誰負責的原則，國家能源局依法依規履行電力行業網絡安全監督管理職責，地方各級人民政府有關部門按照法律、行政法規和國務院的規定，切實履行網絡安全屬地監督管理職責。國家能源局各派出監管機構根據授權開展網絡安全監督管理工作。

(四)依法履行網絡安全監督管理職能。制定、修訂電力行業網絡安全監督管理規定，強化電力行業網絡安全標準化能力建設，建立電力行業網絡安全聯席會議制度，協調推進電力行業網絡安全監督管理工作。

(五)強化網絡安全協同監督管理。國家能源局及其派出監管機構加強與國家網絡安全主管部門、地方各級人民政府有關部門的溝通，形成工作合力，協同開展網絡安全檢查等工作，加大違法違規行為的處置力度。

(六)加強網絡安全技術監督。發揮電力行業網絡安全技術服務機構作用，開展電力行業網絡安全技術監督工作。加強電力調度機構對并網電廠涉網部分電力監控系統安全防護技術監督，強化電網和發電企業內部網絡安全技術監督。

三、加強全方位網絡安全管理

(七)履行網絡安全等級保護義務。按照國家等級保護制度要求，修訂行業等級保護制度，加強等級保護專業力量建設，深化網絡安全等級保護定級備案、安全建設、等級測評、安全整改、監督檢查全過程管理工作。

(八)規范網絡安全風險評估。加快完善自評估為主、第三方檢查評估為輔的網絡安全風險評估工作機制，及時開展檢測評估，其中關鍵信息基礎設施每年至少開展一次評估。規范評估流程、控制評估風除，整改安全隱患，完善安全措施。

(九)加強全業務、全過程網絡安全管理。加強發、輸、變、配、用、調度等電力全業務網絡安全管理，嚴格落實“三同步”原則，加強漏洞和隱患源頭及動態治理，，加強日常運維及安全防護管理，落實全生命周期安全管理措施，保障電力系統網絡安全。加強供應鏈安全管理，強化供應商資質審查、能力評估。保障網絡安全資金投入。

(十)加強全員網絡安全管理。建立健全全員網絡安全管理制度，開展網絡安全負責人、關鍵崗位人員安全背景審查，企業應建立網絡安全關鍵崗位專業技術人員持證上崗制度，有關從業人員應先培訓后上崗。加強對產品和服務供應商現場人員的網絡安全管理。

四、強化關鍵信息基礎設施安全保護

(十一)落實關鍵信息基礎設施重點保護要求。研究制定電力行業關鍵信息基礎設施認定規則、保護規劃及標準規范，開展關鍵信息基礎設施認定工作，實行重點保護。加強關鍵信息基礎設施網絡安全監測預警體系建設，提升關鍵信息基礎設施應急響應和恢復能力。

(十二)推進行業網絡安全審查。逐步完善電力行業網絡產品和服務安全審查制度，明確審查規范，確立審查要點，規范審查流程。有序開展電力行業網絡產品和服務安全審查工作。

(十三)進一步完善電力監控系統安全防護體系。按照“安全分區、網絡專用、橫向隔離、縱向認證”的原則，進一步完善結構安全、本體安全和基礎設施安全，逐步推廣安全免疫。結合電力生產安全新形勢和安全保障需求，及時修訂電力監控系統安全防護相關配套方案。強化新能源和中小電力企業等電網末梢的網絡安全防護能力，推進配電、用電涉控部分的網絡安全防護建設。

五、加強行業網絡安全基礎設施建設

(十四)加快密碼基礎設施建設。在重要業務、重要領域實施密碼保護，完善電力行業密碼支撐體系，實現電力行業密碼基礎設旋一體化管理。健全電力行業密碼檢測手段，開展密碼應用安全性評估。深化商用密碼在電力行業中的應用，促進密碼技術與電力應用融合發展。

(十五)建設網絡安全仿真驗證環境。適應電力行業網絡安全研究、測試、演練等應用需求，整合現有資源，建立覆蓋發、輸、變、配、用、調度全環節的網絡安全仿真驗證環境，開展重大網絡安全事件模擬驗證、漏洞挖掘、攻防演練、業務培訓等工作。建設行業網絡安全重點實驗室。

(十六)建立行業網絡安全信息資源共享機制。整合行業漏洞挖掘與研究資源，開展漏洞分析、安全加固研究，建立行業漏洞庫，完善與國家信息安全漏洞共享平臺的溝通、協調和通報機制，加強漏洞預警能力建設，引導企業及時開展漏洞消缺工作，提升企業處置安全漏洞能力。

(十七)強化網絡安全檢測與服務。強化安全檢測機構能力建設，嚴格執行國家及行業網絡安全檢測標準，鼓勵自主研發檢測工具，豐富安全檢測技術手段。完善行業網絡安全服務體系+開展網絡安全認證、檢測、風險評估等安全服務。

六、加強電力企業數據安金保護

(十八)加強企業數據安全保障。鍵全數據安全保護機制，明確數據安全責任主體，強化重要數據的識別、分類和保護，加強關鍵系統、核心數據容災備份設施建設。加強重要數據出境管理。加強大數據安全保障能力建設。

(十九)加強個人信息、用戶信息保護。強化業務系統個人信息、用戶信息保護能力，防止個人信息、用戶信息泄露，建立完善個人信息安全事件投訴、舉報和責任追究機制。

七、提高網絡安全態勢感知、預警及應急處置蘸力

(二十)推進網絡安全態勢感知、預警能力建設。建立行業、企業網絡安全態勢感知預警平臺，加強電力監控系統、重要管理信息系統、互聯網出口的全面監測，加強網絡安全信息的匯集、研判，建立健全網絡安全信息其享和通報機制，健全完善政企聯動、上下協同的通報預警機制。

(二十一)加強網絡安全應急處置能力建設。建立電力行業網絡安全應急指揮平臺，完善網絡安全應急預案。加強網絡安全應急隊伍、應急資源庫建設，組織開展實戰型網絡安全應急演練，提升網絡安全事件應急快速響應能力。

(二十二)健全重大活動網絡安全保障機制。建立分級網絡安全保障機制，統籌行業資源，強化協調指揮。針對國家重大活動，制定保障工作方案，落實保障措施。

八、支持網絡安全自主創新與安全可控

(二十三)堅持關鍵領域安全可控。推動電力專用安全防護設備升級換代，加快推進專用系統與裝備、通用軟硬件產品安全可控替代及應用。堅持新能源、配電網及負荷管理等領域智能終端、智能單元安全可控。加強安全可控產品的研制與應用，鼓勵開展前沿性技術應用研究。

(二十四)加速推進核心技術攻關與應用。加強體系化技術布局，完善制度、市場環境，推進電力系統網絡安全核心技術突破。重點在電力系統關鍵系統、重大裝備、防護體系、專業芯片、密碼應用、攻防對抗和檢測技術等領域+加強自主創新與應用突破。支持電力專業芯片研發和使用。

(二十五)做好新技術、新業務網絡安全保障。關注能源生產、經營、消費等領域發展帶來的網絡安全問題，加強對“大云物移智”等新技術，以及微電網、充電基礎設施、車聯網、“互聯網+”等新業務的網絡安全風險研究，為行業發展提供網絡安全保障。

九、積極推動電力行業網絡安全產業健康發展

(二十六)優化網絡安全產業生態。以行業內重點網絡妾全企業為主導，打造產學研用協同創新發展平臺，構建電力行業網絡安全產業聯盟。推進網絡安全技術成果的市場化應用。引導社會資本設立行業網絡安全產業發展基金。

(二十七)引導網絡安全產業健康發展。做好行業網絡安全產業體系建設，通過統籌規劃、精準投資、綜合評價等措施，在技術、產業、政策上共同發力，釋放產業發展主體活力，引導網絡安全產業健康發展。

十、推進網絡安全軍民融合深度發展

(二十八)推進網絡安全軍民融合深度發展。加強統籌協調、密切協作配合，推動軍地信息融合共享，建立較為完善的網絡安全聯防聯控機制。拓寬渠道，促進技術、人才、資源等要素雙向流動轉化。鼓勵電力企業、網絡安全產業單位加強“軍轉民”、“民參軍”，促進軍地協同技術創新。

十一、加強網絡安全人才隊伍建設

(二十九)加強網絡安全人才隊伍建設。加強行業網絡安全政策宣貫、知識普及，定期開展電力行業網絡安全交流。加大網絡安全人才培養投入，加強從業人員技能培訓，探索企業、高校、科研院所、軍隊共建產學研用結合的人才培養機制，建立電力行業網絡安全專家庫。完備網絡安全崗位設置，完善人才激勵機制。

十二、拓展網絡安全國際合作

(三十)拓展岡絡安全國際合作。構建網絡安全常態化國際交流合作機制，推動電力行業網絡安全國際交流，拓展網絡安全對話合作平臺。加強存預警防范、應急響應、技術創新、標準規范、信息共享等方面合作，組織開展國際網絡空間安全重大問題研究，積極參與有關國際標準、規則制定工作。

國家能源局

2018年9月13日