#律师来帮忙#
2022年11月16日,国家能源局印发了《电力行业网络安全管理办法》《电力行业网络安全等级保护管理办法》,这两个《办法》对电力企业在我国境内的网络安全及其等级保护做出了新规定。
主要涉及以下15个重点内容:
01
网络范围
这两个《办法》中,“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括电力监控系统、管理信息系统及通信网络设施。
02
监督职责部门
国家能源局及其派出机构、负有电力行业网络安全监督管理职责的地方能源主管部门。
03
电力企业的责任义务
电力企业应当建立健全网络安全管理、评价考核制度体系,成立工作领导机构,明确责任部门,设立专职岗位,定义岗位职责,明确人员分工和技能要求,建立健全网络安全责任制。
04
设置首席网络安全官及安全管理机构
电力行业关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责,要明确一名领导班子成员(非公有制经济组织运营者明确一名核心经营管理团队成员)作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作。
为每个关键信息基础设施明确一名安全管理责任人。
设立专门安全管理机构,确定关键岗位及人员,并对机构负责人和关键岗位人员进行安全背景审查。
05
网络安全纳入安全生产管理体系
电力企业应当按照国家网络安全等级保护制度、关键信息基础设施安全保护制度、数据安全制度、网络安全审查工作机制和电力监控系统安全防护规定的要求,对本单位的网络进行安全保护,并将网络安全纳入安全生产管理体系。
06
谨慎选择第三方网络安全服务机构
电力企业不得委托在近3年内被行业部门通报有不良行为或被相关部门通报整改的网络安全服务机构。
07
健全网络安全漏洞信息收集渠道
电力企业应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,发现或者获知存在安全漏洞后,应当立即评估安全漏洞的影响范围及程度,及时对安全漏洞进行验证并完成修补。
08
建立全天候值班值守制度
电力行业关键信息基础设施运营者应当建立7×24小时值班值守制度,建设网络安全态势感知平台,并与行业部门、公安机关等有关平台对接。
09
每年至少一次应急演练
电力企业应当按照电力行业网络安全事件应急预案,制修订本单位网络安全事件应急预案,每年至少开展一次应急演练。
10
建立全流程数据安全管理和个人信息保护制度
电力企业应当建立健全全流程数据安全管理和个人信息保护制度,按照国家和行业重要数据目录及数据分类分级保护相关要求,确定本单位的重要数据具体目录,对列入目录的数据进行重点保护。
11
建立网络安全资金保障制度
电力企业应当建立网络安全资金保障制度,安排网络安全专项预算,确保网络安全投入不低于信息化总投入的5%。
12
每年总结上报
电力企业应当于每年11月1日前,将当年网络安全工作的专项总结报行业部门。
电力行业关键信息基础设施运营者应当于每年11月1日前,将当年关键信息基础设施安全保护工作的专项总结报行业部门。
13
电力行业网络划分为五个安全保护等级
根据电力行业网络在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,电力行业网络划分为五个安全保护等级,一至五级保护等级逐级升高。
14
电力企业定期对网络安全自查
电力企业应当定期对网络安全状况、安全保护制度及措施的落实情况进行自查。第二级电力监控系统应当每两年至少进行一次自查,第三级及以上网络应当每年至少进行一次自查。
15
法律责任
行业部门进行监督检查和事件调查时,对检查中发现的问题,责令其当场改正或者限期改正。
行业部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该电力企业法定代表人或者主要负责人进行约谈,情节严重的依据国家有关法律、法规予以处理。
有关部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
-END-
版权声明:本站发布此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,请读者仅作参考,并请自行核实相关内容。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件举报,一经查实,本站将立刻删除。
