网络安全等级保护及安全评估管理办法.doc

网络安全等级保护及安全评估管理办法第一章 总 则第一条 为进一步落实国家和电力行业网络安全等级保护及安全评估要求，规范中国某集团有限公司（以下简称集团公司）相关工作，确保依法合规，依据中华人民共和国网络安全法、贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见（公网安20201960号）、电力监控系统安全防护规定（国家发改委2014年第14号令）、电力行业信息安全等级保护管理办法（国能2014318号）等法规和相关要求，结合集团公司实际，制定本办法。第二条 按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，将网络安全等级保护与安全防护评估工作纳入日常安全生产管理体系，确保等级保护及安全防护评估责任层层落实，具体到人。第三条 本办法适用于集团公司总部，各分子公司、直属机构、基层企业（以下简称为各级企业）。第四条 集团公司信息中心是集团公司网络安全等级保护与安全防护评估工作的归口管理部门。第五条 各级企业是网络安全等级保护与安全防护评估工作的责任主体，要按照国家等级保护制度要求，将信息系统、基础设施网络、云计算平台、大数据平台、物联网系统、工业控制系统（电力监控系统）纳入保护范围，深化网络安全等级保护定级备案、安全建设、等级测评、安全整改、监督检查全过程工作。第二章 等级保护第六条 各级企业应当依据网络安全等级保护定级指南国家标准和电力行业信息系统安全等级保护定级工作指导意见的要求，规范开展信息系统的定级备案工作。按照“确定定级对象、初步确定等级、专家评审、集团公司审核、公安机关备案审查”流程确定安全保护等级，各级企业不再自主定级。第七条 各级企业应按照国家及行业要求及时到公安机关办理备案手续，并向集团公司报备。对新建系统，应在可行性研究报告报批前确定网络安全保护等级，并严格按照安全保护等级编制安全方案。对退役系统，应按照国家及行业要求及时办理备案撤销手续。第八条 各级企业应依据国家及行业相关标准规范要求，对已定级备案系统的安全性进行检测评估。第三级及以上系统应委托符合国家有关规定的等级测评机构，每年开展一次网络安全等级测评，并及时将等级测评报告提交受理备案的公安机关和集团公司。第二级系统应按照规定的周期委托有资质的测评机构开展等级保护测评工作。当系统发生重大升级、等级变化、系统变更或迁移后需要重新进行测评。新建第三级及以上系统，应通过等保测评和问题整改后方可投入运行。第九条 各级企业应当定期对定级系统的安全状况、安全保护制度及措施的落实情况进行自查。第二级系统应当每两年至少进行一次自查，第三级系统应当每年至少一次开展自查。第十条 经测评或自查确认未达到安全保护等级要求的系统，运营单位应当制定方案进行整改。第十一条 第三级及以上系统应按照密码法等法律法规和标准规范要求，使用密码技术进行安全保护，密码应用与系统同步规划、同步建设、同步运行。在网络安全等级测评中同步开展密码应用安全评估。第三章 安全防护评估第十二条 各单位应按照电力监控系统安全防护总体方案等安全防护方案和评估规范（国能安全2015）36号）等文件要求，在电力监控系统的建设改造、运行维护和废弃节点开展安全防护评估工作。第十三条 安全评估工作应加快完善自评估为主、第三方评估为辅的网络安全风险评估工作机制。第十四条 对于第三级及以上电力监控系统，应结合等级保护测评工作委托测评机构同步开展安全防护评估，评估周期最长不超过三年。单个评估周期内，应每年组织开展一次自评估。对于第二级电力监控系统，应每两年组织一次自评估。第十五条 电力监控系统在正式投运前，其运营单位应核查供应商提供的型式安全评估报告。第十六条 第三级及以上电力监控系统新投运前或发生重大变更时，应委托第三方评估机构进行上线前安全防护评估，并报集团公司审核。第二级系统可按要求自行组织。第十七条 各级企业应及时将第三级及以上电力监控系统安全评估报告报集团公司备案。第四章 整改管理第十八条 各级企业应根据等级测评、安全评估结果制定整改计划，明确整改的目标、项目、进度和责任人。第十九条 各级企业应根据发现问题严重程度，制定科学合理的整改方案，并及时将风险隐患和整改计划录入集团公司网络安全风险管控平台。（一）对于严重问题，应该立刻制定方案进行整改。（二）对一般性问题（设计配置策略调整、特征库更新、补丁安装、版本升级等问题），应限期进行整改。（三）对于需涉及立项、采购设备、部署系统等的整改，应明确整改计划，并落实过渡期间的安全防护措施。（四）对对普遍性或关键性的重大问题，应组织开展技术攻关，研究制定整改方案。第二十条 各级企业要强化评估发现问题整改的闭环管理，整改完成后应及时进行验收总结，确保整改彻底到位。第二十一条 各级企业要加强等级保护测评及安全评估工作的保密管理，实施前应签署保密协议，确保评估机构及其实施人员安全可靠，保证评估过程中产生或接触的所有信息得到有效保障。第二十二条 未经集团公司授权许可，禁止测评机构及其人员向任何第三方泄露等保测评及安全评估中知悉的商业秘密、系统信息、防护策略、风险隐患、个人隐私等敏感信息，不得利用测评过程中知悉的信息或漏洞对集团公司系统内任何单位进行探测和入侵。第五章 保障及监督第二十三条 各级企业应根据等级保护要求，统筹制定等级保护测评、安全评估、安全整改工作计划，保障相关资金列入年度预算，确保系统等级保护测评及安全评估工作的顺利开展。第二十四条 未按要求开展网络安全等级保护及安全防护评估工作的，或被监管部门、集团公司检查通报的企业，按中国某集团有限公司网络安全管理办法（试行）对应条款进行考核问责。第二十五条 涉及违法犯罪的，依据国家有关法律规定处理。第六章 附 则第二十六条 本办法由集团公司信息中心负责解释。第二十七条 本办法自发布之日起试行执行。9