能源局驻点监管报告：东北能监局着力推进网络安全

监管项目：电力企业网络与信息安全专项监管驻点地区：辽宁省监管时间：2013年12月~2014年2月监管目标：进一步加强电力企业网络与信息安全监督管理工作，提高电力企业重要信息系统(尤其是生产控制大区信息系统)抵御恶意信息攻击的能力，确保电力系统安全稳定运行。

监管方式：通过听取企业汇报、查阅相关文件、记录及资料、重要部位现场检查和风险测试、专项调研、明察暗访、投诉举报处理、工作约谈等方式，督导相关企业加强网络与信息安全工作，并发布驻点督查工作报告。

随着计算机信息时代的来临，电力行业面临的网络信息安全风险骤升，急需从传统安全防护向网络信息安全防护全面转型。东北能源监管局长期以来高度重视电力行业网络信息安全防护工作，在国家能源局的领导和支持下，按照“安全分区、网络专用、横向隔离、纵向认证”原则，大胆探索，积极推进，截至2013年12月全区域已有307家发电企业完成等级保护报备，有效提升了东北区域电力企业的信息安全意识、防护措施等级、管理水平和应急能力。

实践一条创新路

时间回溯到2010年，当时还处于原东北电监局时期。

按照原国家电监会的要求，在内无专业人员、外无借鉴经验的情况下，原东北电监局领导作出了“没有条件创造条件也要上”的决定，坚定不移地在全国派出机构中率先启动了电力行业信息系统安全等级备案与测评工作。

就在当年，原东北电监局起草了《东北区域电力行业信息系统安全等级保护工作实施管理办法》，并分别对24家发、供电单位进行了信息安全检查，对存在问题的单位提出整改意见。此举在东北区域电力行业中产生震动，原东北电监局第一次以主导身份进入了区域内电力企业信息安全监管领域。随后，该局会同吉林省公安厅联合下发文件，组织吉林省电力企业开展信息安全等级保护定级工作。为确保吉林省电力企业于年底前全部完成此项工作，该局又会同吉林省公安厅共同进行专项监督检查，当年检查电力企业107家。

在之后的2年里，东北区域电力行业网络与信息安全工作又不断取得新突破。

当原国家电监会其他派出机构信息安全等级保护工作还处于起步阶段时，原东北电监局已经全面展开：辽宁省进入测评阶段，吉林和黑龙江省进入备案阶段，并开展大量检查，对存在问题发文通报。

2013年初，原东北电监局组织宣贯了《电力行业信息系统安全等级保护基本要求》(最新版)并开展培训工作，东北区域内电力企业用户240人及辽宁、吉林、黑龙江三省公安干警50人参加，并与辽宁省公安厅联合发文，制定了信息安全等保备案、测评检查工作计划，当年共完成110家并网企业信息等保备案资料的审查及统计工作和32家企业测评工作。随着机构改革的推进，新组建的国家能源局高度重视信息安全监管工作，并将其作为12项重点专项监管工作之一，选取辽宁省作为重点监管目标，开展驻点监管。机构改革后的东北能源监管局积极落实和配合国家能源局电力安全监管司的驻点 监管工作，确保该项工作取得圆满成功。

总结一套好经验

在全面推进网络与信息安全监管工作过程中，东北能源监管局经过反复的思考、探索、总结、应用，结合东北区域实际，着眼实践，深挖经验，总结出了本单位开展网络与信息安全监管的一套做法。

一是高度重视，领导挂帅，将信息安全与生产安全同等看待。面对日益严峻的信息安全形势，东北能源监管局从一开始就以发展的眼光看待这一工作，将信息安全工作提升到与安全生产等传统安全监管工作同等重要的地位。尤其是在《信息安全等级保护管理办法》实施后，原东北电监局时任局长韩水亲自挂帅，明确责任部门，安排专人参加学习培训。东北能源监管局局长王恩志也多次参加信息安全会议，部署信息安全监管工作，特别是以“十八大”、“全运会”等重大活动为契机组织并亲自参加信息安全现场检查，极大地提高了电力企业的重视程度，有力推动了信息安全工作在东北区域的快速高效展开。

二是积极与地方公安部门合作协调，

加大宣传和培训力度，找准抓手，把好关口。东北能源监管局积极联络辽宁、吉林、黑龙江三省信息安全协调小组办公室，依据有关文件和规定向相关单位介绍该局在电力行业信息安全等级保护工作中的作用和地位，确立了该局作为东北区域电力行业信息安全监管工作主管部门的地位。同时该局先后与地方公安部门联合下发了一系列文件通知，并与辽宁、吉林、黑龙江三省信息安全等级保护办公室联合开展信息安全等级保护宣贯和培训工作。此外，该局协调全局力量，将等保备案作为企业新机并网的必要条件，严把入门关，从根本上保证了等级保护备案工作的顺利开展。该局还高度重视监督检查工作，从2009年到2013年，东北能源监管局除认真落实上级单位布置的检查任务外，先后组织对区域内122家电力企业进行专项抽查。

三是加强科学管理，以技术专家人员为依托，优化监管流程，完善监管体系。通过实践，总结出全面开展网络信息系统的定级、备案工作是以主管部门文件为纲，以行业定级指南为线，以培训为基础，以各派 出机构现场监管为手段，不断规范工作流程，逐步形成信息安全监管的完整体系。在监管机构的科学监管下，电力企业网络与信息安全等级保护工作有序开展。如辽宁省电力有限公司结合实际情况，共配备纵向加密认证装置415套、电力专用单向横向隔离装置129套、防火墙96套、入侵检测装置42套。

四是全局协同，形成合力。东北能源监管局在探索如何有效落实信息安全等级保护备案工作中，发现仅靠局内信息安全管理处室“单打独斗”见效慢，力度弱，因此在局内展开全局协同，一致对外形成合力：市场监管处看住入口，在企业新机并网会签流程中必须经过等级保护备案这一环节;资质处严把年度审验关口，把等保备案、测评和整改工作纳入年度审验内容;结合对企业的综合检查，其他职能处室在检查过程中也会检查有关信息等级保护内容。

终点即是起点。伴随我国电力行业信息化水平的不断提升，电力行业网络与信息安全监管将大有可为，东北能源监管局也将重新出发，在做好网络信息安全监管工作的道路上探索不止。