GRS认证咨询|电力行业网络安全等级保护管理办法--第三章 等级保护的实施与管理

第三章  等级保护的实施与管理
        第六条 国家能源局根据《信息安全技术 网络安全等级保护定级指南》（GB/T 22240）等国家标准规范，结合电力行业网络特点，制定电力行业网络安全等级保护定级指南，指导电力行业网络安全等级保护定级工作。
        第七条 电力企业应当在网络规划设计阶段，依据《信息安全技术 网络安全等级保护定级指南》（GB/T 22240）等国家标准规范和电力行业网络安全等级保护定级指南，确定定级对象（网络）及其安全保护等级，并在网络功能、服务范围、服务对象和处理的数据等发生重大变化时，及时申请变更其安全保护等级。
对拟定为第二级及以上的网络，电力企业应当组织网络安全专家进行定级评审。其中，拟定为第四级及以上的网络，还应当由国家能源局统一组织国家网络安全等级保护专家进行定级评审。
第八条 全国电力安全生产委员会企业成员单位汇总集团总部拟定为第二级及以上网络的定级结果和专家评审意见，报国家能源局审核。各区域（省）内的电力企业汇总本单位拟定为第二级及以上网络的定级结果，报国家能源局派出机构审核。
        第九条 电力企业办理网络安全等级保护定级审核手续时，应当提交《电力行业网络安全等级保护定级审核表》（详见附件），含各定级对象的定级报告及专家评审意见。
国家能源局或其派出机构应当在收到审核材料之日起30日内反馈审核意见。
        第十条 电力企业应当在收到国家能源局或其派出机构审核意见后，按照有关规定向公安机关备案并按照第八条规定的定级审核权限向国家能源局或其派出机构报告定级备案结果。
        第十一条 电力企业应当采购、使用符合国家法律法规和有关标准规范要求且满足网络安全等级保护需求的网络产品和服务。
        对于电力监控系统，应当按照电力监控系统安全防护有关要求，采购和使用电力专用横向单向安全隔离装置、电力专用纵向加密认证装置或者加密认证网关等设备设施；在设备选型及配置时，禁止选用经国家能源局通报存在漏洞和风险的系统及设备，对已经投入运行的系统及设备应及时整改并加强运行管理和安全防护。
采购网络产品和服务，影响或可能影响国家安全的，应当按照国家网络安全规定通过安全审查。
        第十二条 电力企业在网络规划、建设、运营过程中，应当遵循同步规划、同步建设、同步使用的原则，并按照该网络的安全保护等级要求，建设网络安全设备设施，制定并落实安全管理制度，健全网络安全防护体系。
        第十三条 网络建设完成后，电力企业应当依据国家和行业有关标准或规范要求，定期对网络安全等级保护状况开展网络安全等级保护测评。第二级网络应当每两年进行一次等级保护测评，第三级及以上网络应当每年进行一次等级保护测评。新建的第三级及以上网络应当在通过等级保护测评后投入运行。
        电力监控系统网络安全等级保护测评工作应当与电力监控系统安全防护评估、关键信息基础设施网络安全检测评估、商用密码应用安全性评估工作相衔接，避免重复测评。
        电力企业应当定期对网络安全状况、安全保护制度及措施的落实情况进行自查。第二级电力监控系统应当每两年至少进行一次自查，第三级及以上网络应当每年至少进行一次自查。
        电力企业应当对自查和等级保护测评中发现的安全风险隐患，制定整改方案，并开展安全建设整改。
        电力企业应当要求网络安全等级保护测评机构（以下简称测评机构）组织专家对第三级及以上网络的等级保护测评报告进行评审，并随测评报告提交专家评审意见。
        第十四条 电力企业应当按照第八条规定的定级审核权限，每年向国家能源局或其派出机构报告网络安全等级保护工作情况，包括网络安全等级保护定级备案、等级保护测评、安全建设整改、安全自查等情况。
        第十五条 国家能源局及其派出机构结合关键信息基础设施网络安全检查，定期组织对运营有第三级及以上网络的电力企业开展抽查。开展网络安全检查时应当加强协同配合和信息沟通，避免不必要的检查和交叉重复检查。
        检查事项主要包括：
（一）网络安全等级保护定级工作开展情况，包括定级评审、审核、备案及根据网络安全需求变化调整定级等情况；
（二）电力企业网络安全管理制度、措施的落实情况；
（三）电力企业对网络安全状况的自查情况；
（四）网络安全等级保护测评工作开展情况；
（五）网络安全产品使用情况；
（六）网络安全建设整改情况；
（七）备案材料与电力企业及其网络的符合情况；
（八）其他应当进行监督检查的事项。
        第十六条 电力企业应当接受国家能源局及其派出机构的安全监督、检查、指导，根据需要如实提供下列有关网络安全等级保护的信息资料及数据文件：
（一）网络安全等级保护定级备案事项变更情况；
（二）网络安全组织、人员、岗位职责的变动情况；
（三）网络安全管理制度、措施变更情况；
（四）网络运行状况记录；
（五）电力企业对网络安全状况的自查记录；
（六）测评机构出具的网络安全等级保护测评报告；
（七）网络安全产品使用的变更情况；
（八）网络安全事件应急预案，网络安全事件应急处置结果报告；
（九）网络数据容灾备份情况；
（十）网络安全建设、整改结果报告；
（十一）其他需要提供的材料。
        第十七条 针对网络安全检查发现的问题，电力企业应当按照网络安全等级保护管理规范和技术标准组织整改。必要时，国家能源局及其派出机构可对整改情况进行抽查。
        第十八条 电力企业选择测评机构进行网络安全等级保护测评时，应当遵循以下要求：
（一）测评机构应当获得由国家认证认可委员会批准的认证机构发放的《网络安全等级测评与检测评估机构服务认证证书》（以下简称测评机构服务认证证书）；
（二）从事电力监控系统网络安全等级保护测评的机构应当熟悉电力监控系统网络安全管理和技术防护要求，具备相应的服务能力和经验。从事电力监控系统第二级网络等级保护测评的机构应当具备近2年内30套以上工业控制系统等级保护测评或风险评估服务经验；从事电力监控系统第三级网络等级保护测评的机构应当具备近3年内50套以上电力监控系统等级保护测评或安全防护评估服务经验；从事电力监控系统第四级及以上网络等级保护测评的机构应当具备近5年内90套以上电力监控系统等级保护测评或安全防护评估服务经验；
（三）对属于电力行业关键信息基础设施的网络，选择测评机构时应当保证其安全可信，必要时可要求测评机构及其主要负责人、技术骨干提供无犯罪记录证明等材料；
（四）不得委托近3年内被国家能源局通报有本办法规定不良行为，或被认证机构通报取消或暂停使用测评机构服务认证证书，或被国家网络安全等级保护工作主管部门、行业协会通报暂停开展等级保护测评业务并处于整改期内的测评机构；
（五）电力企业应当采取签署保密协议、开展安全保密培训和现场监督等措施，加强对测评机构、测评人员和测评过程的安全保密管理，避免发生失泄密事件。
第十九条 国家能源局及其派出机构在开展电力企业网络安全检查工作时，可同步对测评机构开展的测评工作情况进行监督检查。
第二十条 国家能源局鼓励电力企业按照国家有关要求开展测评机构建设、申请测评机构服务认证，支持电力企业参与制定电力行业网络安全等级保护技术标准。