电力行业网络与信息安全监督管理暂行规定

电力行业网络与信息安全监督管理暂行规定

文章属性

•【制定机关】国家电力监管委员会(已撤销)

•【公布日期】2007.12.04

•【文号】电监信息[2007]50号

•【施行日期】2007.12.04

•【效力等级】部门规范性文件

•【时效性】失效

•【主题分类】电力及电力工业

正文

*注：本篇法规已被：国家能源局关于印发《电力行业网络与信息安全管理办法》的通知（发布日期：2014年7月2日，实施日期：2014年7月2日）废止

电力行业网络与信息安全监督管理暂行规定（电监信息[2007]50号2007年12月4日国家电力

监管委员会）

第一条为加强电力行业网络与信息安全监督管理，规范电力行业网络与信息安全工作，根据《电力监管条例》、《中华人民共和国计算机信息系统安全保护条例》和国家有关规定，结合《电力二次系统安全防护规定》，制定本规定。

第二条电力行业网络与信息安全工作的目标是，建立健全电力行业网络与信息安全保障体系和工作责任体系，提高电力行业网络与信息安全防护能力，保障电力行业网络与信息安全，促进电力行业信息化健康发展。

第三条电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针，遵循“统一领导、分级负责，统筹规划、突出重点，整合资源、形成合力，以我为主、兼收并蓄”的原则。

第四条国家电力监管委员会及其派出机构（以下简称电力监管机构）履行

电力行业网络与信息安全监督管理职责、电力企业开展网络与信息安全工作，适用本规定。

第五条国家电力监管委员会（以下简称电监会）统一领导电力行业网络与信息安全监督管理工作，依法履行以下职责：

（一）组织落实党中央、国务院关于国家基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署，并与电力生产安全监督管理工作相衔接；

（二）组织制定电力行业网络与信息安全的发展战略和总体规划；

（三）制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事故调查与处理、专业人员管理、容灾备份、信任体系建设等政策规定；

（四）组织制定电力行业网络与信息安全等级保护、风险评估、容灾备份、信任体系建设等技术规范；

（五）组织制定电力行业网络与信息安全应急预案和应急协调预案，组织协调电力行业网络与信息安全应急救援服务队伍，支持网络与信息安全应急救援工作；

（六）组织开展电力行业网络与信息安全信息通报、应急处置和应急协调、监督检查、事故调查与处理、专业人员技能培训考核认定等工作，组织建设电力行业网络信任系统；

（七）电力行业网络与信息安全监督管理的其它事项。

第六条电监会派出机构根据电监会的授权，负责电力行业网络与信息安全监督管理的相关工作。

第七条电力企业是电力行业网络与信息安全的责任主体，负责组织开展本单位的网络与信息安全工作，谁主管谁负责，谁运营谁负责，谁使用谁负责。

第八条电力企业应当完善内部规章制度，健全工作体系，明确责任部门、责任人员，落实安全措施，建立健全网络与信息安全责任制。电力企业主要负责人是本单位网络与信息安全的第一责任人，对本单位的网络与信息安全负全面责任。

第九条电力企业应当按照国家有关信息系统安全等级保护制度和电力二次系统安全防护规定的要求，对本单位的网络与信息系统分等级进行安全保护，自主确定本单位信息系统安全保护等级，自主进行安全保护。

第十条电力企业确定本单位信息系统安全保护等级后，应当按照信息安全等级保护和电力二次系统安全防护的有关规定和标准规范，选用满足安全保护等级需求的信息技术产品和服务。鼓励电力企业采用具有自主知识产权、先进成熟的国产化设备开展信息系统安全建设或改建工作。

第十一条电力企业完成信息系统的建设或改建工作后，应委托符合规定的测评机构，定期对信息系统安全等级状况开展等级测评，未达到等级保护要求的应进行整改。

第十二条电力企业应当按照国家有关规定开展信息安全风险评估工作，建立健全信息安全风险评估的自评估和检查评估制度，完善信息安全风险管理机制，委托符合规定的测评机构进行风险评估，发现问题要及时进行整改。

第十三条电力企业应当按照网络与信息安全通报制度的规定，建立健全本单位信息通报机制，开展信息安全通报工作，及时向电力监管机构报告有关情况。

第十四条电力企业应当按照电力行业网络与信息安全应急预案，制定或修订本单位网络与信息安全应急预案，开展应急演练。

第十五条电力企业应当按照国家有关规定，结合自身业务特点，建立本单位网络信任体系，并和电力行业网络信任系统相衔接。

第十六条电力企业应当按照国家有关规定，建立健全容灾备份制度，对关键系统和核心数据进行有效备份。

第十七条电力企业应当设置信息安全专职岗位，上岗人员应当通过相应的专业技能考核。

第十八条电力企业应当建立信息化项目信息安全专项审查制度，重点审查

信息安全保障方案和信息安全保障资金使用方案，审查结果报电力监管机构备案。

第十九条电力企业应当建立网络与信息系统安全资金保障制度，重点保障信息安全等级保护、信息安全风险评估、网络信任体系建设、信息通报、网络与信息安全应急处置和信息安全事故调查等工作所需资金。

第二十条电力监管机构依法对电力企业网络与信息安全工作进行监督检查，及时反馈检查结果。对检查中发现的问题可以进行通报。

第二十一条电力企业应当积极配合监督检查工作，按照电力监管机构要求进行整改，并将整改结果报送电力监管机构。

第二十二条电力企业发生信息安全事故后，应当及时采取有效措施降低损害程度，防止事态扩大，尽可能保护好现场，按规定向上级单位和电力监管机构报告。

第二十三条电力监管机构负责组织调查信息安全事故。信息安全事故调查应当实事求是，查明原因，明确性质，界定责任，总结教训，提出整改意见和处理建议。

第二十四条电力监管机构进行监督检查和事故调查时，可以采取下列措施：

（一）进入电力企业进行检查；

（二）询问相关单位的工作人员，要求其对有关检查事项作出说明；

（三）查阅、复制与检查事项有关的文件、资料，对可能被转移、隐匿、损毁的文件、资料予以封存；

（四）对检查中发现的违规行为，责令当场改正或者限期改正。

第二十五条电监会对在电力行业网络与信息安全工作中做出突出成绩的单位和个人予以表彰，电力监管机构依法对违反本规定的行为予以处理。

第二十六条本规定自发布之日起施行。