國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)-安全管理辦法

1、國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全管理辦法安全管理辦法第一章總則第一條第一條為加強和規(guī)范國家電網(wǎng)公司（以下簡稱“公司”）網(wǎng)絡(luò)與信息系統(tǒng)安全工作，切實提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力，實現(xiàn)網(wǎng)絡(luò)與信息系統(tǒng)安全的可控、能控、在控，依據(jù)國家有關(guān)法律、法規(guī)、規(guī)定及公司有關(guān)制度，制定本辦法。第二條第二條本辦法所稱網(wǎng)絡(luò)與信息系統(tǒng)是指公司電力通信網(wǎng)及其承載的管理信息系統(tǒng)和電力二次系統(tǒng)。第三條第三條本辦法適用于公司總（

2、分）部及所屬各級單位的網(wǎng)絡(luò)與信息系統(tǒng)安全管理工作。第四條第四條網(wǎng)絡(luò)與信息系統(tǒng)安全防護目標(biāo)是保障電力生產(chǎn)監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，保障管理信息系統(tǒng)及通信、網(wǎng)絡(luò)的安全，落實信息系統(tǒng)生命周期全過程安全管理，實現(xiàn)信息安全可控、能控、在控。防范對電力二次系統(tǒng)、管理信息系統(tǒng)的惡意攻擊及侵害，抵御內(nèi)外部有組織的攻擊，防止由于電力二次系統(tǒng)、管理信息系統(tǒng)的崩潰或癱瘓造成的電力系統(tǒng)事故。第五條第五條公司網(wǎng)絡(luò)與信息系統(tǒng)安全工作堅持“三納入一融合”原則

3、，將等級保護納入網(wǎng)絡(luò)與信息系統(tǒng)安全工作中，將網(wǎng)絡(luò)與信息系統(tǒng)安全納入信息化日常工作中，將網(wǎng)絡(luò)與信息系統(tǒng)安全納入公司安全生產(chǎn)管理體系中，將網(wǎng)絡(luò)與信息系統(tǒng)安全融入公司安全生產(chǎn)中。在規(guī)劃和建設(shè)網(wǎng)絡(luò)與信息系統(tǒng)時信息通信安全防護措施應(yīng)按照“三同步”原則，與網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運行。第六條第六條管理信息系統(tǒng)安全防護堅持“雙網(wǎng)雙機、分區(qū)分域、安全接入、動態(tài)感知、全面防護、準(zhǔn)入備案”的總體安全策略，執(zhí)行信息安全等級保護制度。其中

4、“雙網(wǎng)雙機”指信息內(nèi)外網(wǎng)間采用邏輯強隔離設(shè)備進(jìn)行隔離，并分別采用獨立的服務(wù)器及桌面主機；“分區(qū)分域”指依據(jù)等級保護定級情況及業(yè)務(wù)系統(tǒng)類型，進(jìn)行安全域劃分，以實現(xiàn)不同安全域的獨立化、差異化防護；“安全接入”指通過采用終端加固、安全通道、認(rèn)證等措施保障終端接入公司信息內(nèi)外網(wǎng)安全；“動態(tài)感知”指對公司網(wǎng)絡(luò)、信息系統(tǒng)、終端及設(shè)備等安全狀態(tài)進(jìn)行全面動態(tài)監(jiān)測，實現(xiàn)事前預(yù)警、事中監(jiān)測和事后審計；“全面防護”指對物理、網(wǎng)絡(luò)邊界、主機、應(yīng)用和數(shù)據(jù)等進(jìn)行深

5、度防護，加強安全基礎(chǔ)設(shè)施建設(shè)，覆蓋防護各層次、各環(huán)節(jié)、各對象；“準(zhǔn)入備案”指對所有接入公司網(wǎng)絡(luò)的各類網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)、終端、設(shè)備進(jìn)行準(zhǔn)入及備案管理。第七條第七條電力二次系統(tǒng)安全防護按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的防護原則，并遵照原國家電力監(jiān)管委員會《電力二次系統(tǒng)安全防護規(guī)定》及《電力二次系統(tǒng)安全防護總體方案》等相關(guān)文件執(zhí)行。第二章職責(zé)分工第八條第八條公司信息安全工作實行統(tǒng)一領(lǐng)導(dǎo)、分級管理，遵循“誰主管誰負(fù)責(zé)；誰運行誰負(fù)責(zé)

6、；誰使用誰負(fù)責(zé)；管業(yè)務(wù)必須管安全”的原則，嚴(yán)格落實網(wǎng)絡(luò)與信息系統(tǒng)安全責(zé)任。各級單位主要負(fù)責(zé)人是本單位網(wǎng)絡(luò)與信息系統(tǒng)安全第一責(zé)任人。各級單位信息化領(lǐng)導(dǎo)小組負(fù)責(zé)本單位網(wǎng)絡(luò)信息安全（含生產(chǎn)控制大區(qū)和管理信息大區(qū)）的總體協(xié)調(diào)領(lǐng)導(dǎo)。第十三條第十三條業(yè)務(wù)部門主要職責(zé)如下：（一）牽頭開展本專業(yè)信息系統(tǒng)信息安全防護工作，依據(jù)公司總體安全策略組織制定相關(guān)系統(tǒng)信息安全防護方案，經(jīng)公司信息安全專家審查委員會審批后執(zhí)行。（二）落實業(yè)務(wù)系統(tǒng)信息安全等級保護工作，

7、配合開展業(yè)務(wù)系統(tǒng)安全測評、風(fēng)險評估和隱患排查治理等工作。（三）國網(wǎng)運檢部負(fù)責(zé)配電自動化終端具體安全防護及運行維護管理，負(fù)責(zé)相關(guān)安全防護的技改項目管理。（四）國網(wǎng)營銷部負(fù)責(zé)營銷業(yè)務(wù)涉及控制類系統(tǒng)及終端（如負(fù)荷控制系統(tǒng)、負(fù)控終端及用電信息采集控制終端等）的具體安全防護及運行維護管理。（五）國網(wǎng)農(nóng)電部負(fù)責(zé)代管縣供電企業(yè)的農(nóng)村電網(wǎng)涉及控制類系統(tǒng)及終端安全防護管理。（六）在本專業(yè)人員培訓(xùn)過程中貫徹公司信息安全相關(guān)要求。第十四條第十四條各級單位主要

8、職責(zé)如下：（一）負(fù)責(zé)貫徹落實國家有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范，貫徹落實公司網(wǎng)絡(luò)與信息系統(tǒng)安全相關(guān)標(biāo)準(zhǔn)規(guī)范和規(guī)章制度。（二）落實本單位范圍內(nèi)網(wǎng)絡(luò)與信息系統(tǒng)安全工作責(zé)任體系。（三）落實本單位網(wǎng)絡(luò)與信息系統(tǒng)全生命周期安全管控、等級保護測評整改、安全準(zhǔn)入、風(fēng)險評估、隱患排查治理和信息安全技術(shù)督查等工作。（四）按照公司網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急管理要求建立本單位應(yīng)急體系，組織本單位突發(fā)事件的應(yīng)急處理。（五）負(fù)責(zé)明確本單位網(wǎng)絡(luò)與信息系

9、統(tǒng)安全運行維護部門或機構(gòu)，落實網(wǎng)絡(luò)與信息系統(tǒng)安全運行維護日常工作。明確落實本單位信息安全技術(shù)督查體系。（六）組織本單位信息安全宣傳和培訓(xùn)工作。第十五條第十五條各業(yè)務(wù)支撐和實施機構(gòu)信息安全職責(zé)如下：（一）各級調(diào)控機構(gòu)：分別負(fù)責(zé)本級調(diào)度控制系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護和運行維護管理，負(fù)責(zé)直調(diào)發(fā)電廠涉網(wǎng)部分的監(jiān)控系統(tǒng)和繼電保護等工控系統(tǒng)安全防護技術(shù)監(jiān)督。（二）國網(wǎng)運行分公司、各省檢修（分）公司、各地（市）檢修工公司和縣運檢部［檢修（建設(shè)）工區(qū)