为加强山东省电力监控系统安全防护工作,落实国家、行业标准规范,提高山东省电力监控系统安全防护能力,山东能源监管办研究起草了《山东省电力监控系统安全防护实施办法(征求意见稿)》,现向社会公开征求意见。
山东省电力监控系统安全防护实施办法
(征求意见稿)
第一章 总则
第一条 为加强山东省电力监控系统安全防护工作,落实国家、行业标准规范,提高山东省电力监控系统安全防护能力,依据《中华人民共和国网络安全法》《电力监控系统安全防护规定》(国家发展改革委2014年第14号令)等法律法规,结合山东省电力行业实际,制定本实施办法。
第二条 本办法适用于山东省电力监控系统建设、运行、维护等工作。
第三条 本办法所称电力监控系统,是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络等。
第二章 安全防护管理
第四条 电力企业应按照“谁主管谁负责,谁运营谁负责”的原则,建立电力监控系统安全管理制度,将电力监控系统安全防护及其信息报送纳入日常安全生产管理体系,电力企业负责所辖范围内电力监控系统的安全管理。各相关单位应设置电力生产监控系统的安全防护小组或专职人员。
第五条 电力企业应明确电力监控系统安全防护管理部门,由主管安全生产的领导作为电力监控系统安全防护的主要责任人,并指定专人负责管理本单位所辖电力监控系统的公共安全设施,明确各业务系统专责人的安全管理责任。电力调度机构应指定专人负责管理本级调度数字证书系统。
第六条 电力监控系统相关设备及系统应当采用安全可靠的软硬件产品,开发单位、供应商应以合同条款或协议的方式保证所提供的设备及系统符合《电力监控系统安全防护规定》及国家与行业信息系统安全要求,并在设备及系统全生命周期内对其负责。电力监控系统专用安全产品的开发单位、使用单位及供应商,应当按国家有关要求做好保密工作,禁止关键技术和设备的扩散。
第七条 电力企业电力监控系统安全防护实施方案必须严格遵守《电力监控系统安全防护规定》及国家能源局有关规定,并经过本企业上级专业主管部门、信息安全主管部门以及相应电力调度机构的审核,方案实施完成后应当由上述机构验收。电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂涉网部分的电力监控系统安全防护的技术监督,发电厂内其它监控系统的安全防护可以由其上级主管单位实施技术监督。
第八条 电力企业应建立电力监控系统安全管理制度,主要包括:门禁管理、人员管理、权限管理、访问控制管理、安全防护系统的维护管理、常规设备及各系统的维护管理、恶意代码的防护管理、审计管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等管理制度。
第九条 电力企业应加强信息安全岗位配置和从业人员的考核与管理。从业人员应定期接受相应的政策规范和专业技能培训,经培训合格后上岗。
第十条 电力企业应加强内部人员的保密教育、录用离岗等的管理。包括对录用人员身份背景、专业资格和资质进行严格审查,关键岗位录用人员、接触内部敏感信息第三方人员应当签署保密协议;应严格关键岗位人员离岗管理,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备,承诺调离后保密义务后方可离开。
第三章 安全防护评估
第十一条 电力企业要依据国家能源局有关要求对电力监控系统的总体安全防护水平进行安全评估。安全防护评估贯穿于电力监控系统的规划、设计、实施、运维和废弃阶段。
第十二条 电力企业要建立健全电力监控系统安全防护评估制度,采取以自评估为主、检查评估为辅的方式,将安全防护评估纳入电力系统安全评价体系。应当掌握基本的自评估技术和方法,配备必要的评估工具。
第十三条 电力监控系统在上线投运之前、升级改造之后必须进行安全评估;已投入运行的系统应该定期进行安全评估,对于电力生产监控系统应该每年进行一次安全评估。评估方案及结果应当及时向上级公司报告。
第十四条 参与评估的机构及人员必须稳定、可靠、可控,并与被评估单位签署长期保密协议。对生产控制大区安全评估的所有记录、数据、结果等均不得以任何形式携带出被评估单位,按国家有关要求做好保密工作。
第十五条 电力监控系统安全防护评估应严格控制实施风险,确保评估工作不影响电力监控系统的安全稳定运行。评估前制定相应的应急预案,实施过程应符合电力监控系统的相关管理规定。
第四章 应急处置与管理
第十六条 电力企业应建立健全电力监控系统应急响应机制。做好日常管理和监控,健全防控措施,完善处理机制。
第十七条 电力企业应按照国家能源局有关要求,制定或修订本单位有关应急预案,定期开展应急演练,确保在应急情况下做到反应迅速,处理果断,保障到位。
第十八条 当电力生产控制大区出现安全事件,尤其是遭到黑客、恶意代码攻击和其他人为破坏时,应立即向其上级电力调度机构以及山东能源监管办报告,同时按应急处理预案采取安全应急措施。相应电力调度机构应当立即组织采取紧急联合防护措施,防止事件扩大。
第五章 监督管理
第十九条 山东能源监管办对各电力企业执行国家能源局电力监控系统安全防护相关管理和技术规范情况实施监督。
第二十条 对于不符合本办法要求的,相关单位应当在规定的期限内整改;逾期未整改的,山东能源监管办依据国家有关规定予以处理。
第二十一条 对于因违反本办法,造成电力监控系统故障的,由其上级单位按相关规程规定进行处理;发生电力设备事故或者造成电力安全事故(事件)的,按国家有关事故(事件)调查规定进行处理。
第二十二条 本办法由山东能源监管办负责解释。
第二十三条 本办法自印发之日起施行,《山东省电力行业网络与信息安全监督实施办法》(鲁监能安全〔2015〕71号)同时废止。