能(néng)源局：《電(diàn)力行业网络安(ān)全管理(lǐ)办(bàn)法》

為(wèi)深入贯彻关于网络强國(guó)的重要思想，加强電(diàn)力行业网络安(ān)全监督管理(lǐ)，规范電(diàn)力行业网络安(ān)全工(gōng)作(zuò)，能(néng)源局对《電(diàn)力行业网络与信息安(ān)全管理(lǐ)办(bàn)法》（國(guó)能(néng)安(ān)全〔2014〕317号）进行了修订。现将修订后的《電(diàn)力行业网络安(ān)全管理(lǐ)办(bàn)法》印发。

電(diàn)力行业网络安(ān)全管理(lǐ)办(bàn)法

章 总则

条為(wèi)加强電(diàn)力行业网络安(ān)全监督管理(lǐ)，规范電(diàn)力行业网络安(ān)全工(gōng)作(zuò)，根据《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》《中(zhōng)华人民(mín)共和國(guó)密码法》《中(zhōng)华人民(mín)共和國(guó)数据安(ān)全法》《中(zhōng)华人民(mín)共和國(guó)个人信息保护法》《中(zhōng)华人民(mín)共和國(guó)计算机信息系统安(ān)全保护条例》《关键信息基础设施安(ān)全保护条例》及有(yǒu)关规定，制定本办(bàn)法。

第二条電(diàn)力行业网络安(ān)全工(gōng)作(zuò)的目标是建立健全网络安(ān)全保障體(tǐ)系和工(gōng)作(zuò)责任體(tǐ)系，提高网络安(ān)全防护能(néng)力，保障電(diàn)力系统安(ān)全稳定运行和電(diàn)力可(kě)靠供应。

第三条電(diàn)力企业在中(zhōng)华人民(mín)共和國(guó)境内建设、运营、维护和使用(yòng)网络（除核安(ān)全外），以及网络安(ān)全的监督管理(lǐ)，适用(yòng)本办(bàn)法。

本办(bàn)法所称网络是指由计算机或者其他(tā)信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理(lǐ)的系统，包括電(diàn)力监控系统、管理(lǐ)信息系统及通信网络设施。

本办(bàn)法不适用(yòng)于涉及秘密的网络。涉及秘密的网络应当按照保密工(gōng)作(zuò)部门有(yǒu)关涉密信息系统管理(lǐ)规定和技(jì )术标准，结合网络实际情况进行管理(lǐ)。

第四条電(diàn)力行业网络安(ān)全工(gōng)作(zuò)坚持“积极防御、综合防范”的方针，遵循“依法管理(lǐ)、分(fēn)工(gōng)负责，统筹规划、突出重点”的原则。

第二章 监督管理(lǐ)职责

第五条能(néng)源局及其派出机构、负有(yǒu)電(diàn)力行业网络安(ān)全监督管理(lǐ)职责的地方能(néng)源主管部门（以下简称行业部门）在各自职责范围内依法依规履行電(diàn)力行业网络安(ān)全监督管理(lǐ)职责。

第六条電(diàn)力行业网络安(ān)全监督管理(lǐ)工(gōng)作(zuò)主要包括以下内容：

（一）组织落实关于网络安(ān)全的方针、政策和重大部署，并与電(diàn)力生产(chǎn)安(ān)全监督管理(lǐ)工(gōng)作(zuò)相衔接；

（二）组织制定電(diàn)力行业网络安(ān)全等级保护、关键信息基础设施安(ān)全保护、電(diàn)力监控系统安(ān)全防护、网络安(ān)全监测预警和信息通报、网络安(ān)全事件应急处置等方面的政策规定及技(jì )术规范，并监督实施；

（三）组织认定電(diàn)力行业关键信息基础设施，制定关键信息基础设施安(ān)全规划，建立关键信息基础设施网络安(ān)全监测预警制度，组织开展关键信息基础设施网络安(ān)全检查检测，指导关键信息基础设施运营者做好网络安(ān)全事件应对处置；

（四）组织或参与网络安(ān)全事件的调查与处理(lǐ)；

（五）督促電(diàn)力企业落实网络安(ān)全责任、保障网络安(ān)全经费、开展网络安(ān)全防护能(néng)力建设等工(gōng)作(zuò)；

（六）组织开展電(diàn)力行业网络安(ān)全信息通报等工(gōng)作(zuò)；

（七）指导督促電(diàn)力企业做好网络安(ān)全宣传教育工(gōng)作(zuò)；

（八）推动网络安(ān)全仿真验证环境（靶场）建设，组织建立网络安(ān)全监督管理(lǐ)技(jì )术支撑體(tǐ)系；

（九）電(diàn)力行业网络安(ān)全监督管理(lǐ)的其它事项。

第七条電(diàn)力调度机构负责直接调度范围内的下一级電(diàn)力调度机构、集控中(zhōng)心、变電(diàn)站（换流站）、发電(diàn)厂（站）等各类机构涉网部分(fēn)的電(diàn)力监控系统安(ān)全防护的技(jì )术监督。主要包括以下内容：

（一）自行组织或委托電(diàn)力监控系统安(ān)全防护评估机构开展调度范围内電(diàn)力监控系统的自评估工(gōng)作(zuò)，配合开展電(diàn)力监控系统的检查评估工(gōng)作(zuò)，负责统一指挥调度范围内的電(diàn)力监控系统安(ān)全应急处理(lǐ)，参与電(diàn)力监控系统的网络安(ān)全事件调查和分(fēn)析工(gōng)作(zuò)；

（二）组织并督促各相关单位开展電(diàn)力监控系统安(ān)全防护技(jì )术培训和交流工(gōng)作(zuò)，贯彻执行和行业有(yǒu)关電(diàn)力监控系统安(ān)全防护的标准、规程和规范；

（三）负责对電(diàn)力监控系统专用(yòng)安(ān)全产(chǎn)品开展监督管理(lǐ)，制定電(diàn)力监控系统专用(yòng)安(ān)全产(chǎn)品管理(lǐ)办(bàn)法并监督实施；

（四）将并网電(diàn)厂涉网部分(fēn)電(diàn)力监控系统网络安(ān)全运行状态纳入监测；

（五）每年11月1日前将技(jì )术监督工(gōng)作(zuò)开展情况报送行业部门。

第三章電(diàn)力企业责任义務(wù)

第八条電(diàn)力企业是本单位网络安(ān)全的责任主體(tǐ)，负责本单位的网络安(ān)全工(gōng)作(zuò)。

第九条電(diàn)力企业主要负责人是本单位网络安(ān)全的责任人。電(diàn)力企业应当建立健全网络安(ān)全管理(lǐ)、评价考核制度體(tǐ)系，成立工(gōng)作(zuò)领导机构，明确责任部门，设立专职岗位，定义岗位职责，明确人员分(fēn)工(gōng)和技(jì )能(néng)要求，建立健全网络安(ān)全责任制。

電(diàn)力行业关键信息基础设施运营者的主要负责人对关键信息基础设施安(ān)全保护负总责，要明确一名(míng)领导班子成员（非公(gōng)有(yǒu)制经济组织运营者明确一名(míng)核心经营管理(lǐ)团队成员）作(zuò)為(wèi)首席网络安(ān)全官，专职管理(lǐ)或分(fēn)管关键信息基础设施安(ān)全保护工(gōng)作(zuò)；為(wèi)每个关键信息基础设施明确一名(míng)安(ān)全管理(lǐ)责任人；设立专门安(ān)全管理(lǐ)机构，确定关键岗位及人员，并对机构负责人和关键岗位人员进行安(ān)全背景审查。

第十条電(diàn)力企业应当依法依规开展关键信息基础设施信息报送工(gōng)作(zuò)，关键信息基础设施发生较大变化，可(kě)能(néng)影响其认定结果的，关键信息基础设施运营者发生合并、分(fēn)立、解散等情况的，应当及时将相关情况报告行业部门。

第十一条電(diàn)力企业应当按照网络安(ān)全等级保护制度、关键信息基础设施安(ān)全保护制度、数据安(ān)全制度、网络安(ān)全审查工(gōng)作(zuò)机制和電(diàn)力监控系统安(ān)全防护规定的要求，对本单位的网络进行安(ān)全保护，并将网络安(ān)全纳入安(ān)全生产(chǎn)管理(lǐ)體(tǐ)系。

第十二条電(diàn)力企业应当选用(yòng)符合有(yǒu)关规定、满足网络安(ān)全要求的网络产(chǎn)品和服務(wù)，开展网络安(ān)全建设或改建工(gōng)作(zuò)。接入生产(chǎn)控制大區(qū)的涉网安(ān)全产(chǎn)品需经電(diàn)力调度机构同意。

第十三条電(diàn)力行业关键信息基础设施运营者应当优先采購(gòu)安(ān)全可(kě)信的网络产(chǎn)品和服務(wù)，并按照有(yǒu)关要求开展风险预判工(gōng)作(zuò)，评估投入使用(yòng)后可(kě)能(néng)对关键信息基础设施安(ān)全、電(diàn)力生产(chǎn)安(ān)全和安(ān)全的影响，形成评估报告。影响或者可(kě)能(néng)影响安(ān)全的，应当按照网络安(ān)全规定通过安(ān)全审查。

第十四条電(diàn)力企业规划设计网络时，应当明确安(ān)全保护需求，保证安(ān)全措施同步规划、同步建设、同步使用(yòng)，设计合理(lǐ)的总體(tǐ)安(ān)全方案并经专业技(jì )术人员评审通过，制定安(ān)全实施计划，负责网络安(ān)全建设工(gōng)程的实施。网络上線(xiàn)前，電(diàn)力企业应当委托网络安(ān)全服務(wù)机构开展第三方安(ān)全测试。

第十五条電(diàn)力企业应当按照有(yǒu)关规定开展電(diàn)力监控系统安(ān)全防护评估、网络安(ān)全等级保护测评、关键信息基础设施网络安(ān)全检测和风险评估、商(shāng)用(yòng)密码应用(yòng)安(ān)全性评估和网络安(ān)全审查等工(gōng)作(zuò)，未达到要求的应当及时进行整改。

第十六条電(diàn)力企业不得委托在近3年内被行业部门通报有(yǒu)不良行為(wèi)或被相关部门通报整改的网络安(ān)全服務(wù)机构。

第十七条電(diàn)力企业应当按照有(yǒu)关规定开展网络安(ān)全风险评估工(gōng)作(zuò)，建立健全网络安(ān)全风险评估的自评估和检查评估制度，完善网络安(ān)全风险管理(lǐ)机制。发现风险隐患可(kě)能(néng)对電(diàn)力行业网络安(ān)全产(chǎn)生较大影响的，应当向行业部门报告。

第十八条電(diàn)力企业应当依据和行业相关标准、规程和规范开展网络安(ān)全技(jì )术监督工(gōng)作(zuò)，可(kě)委托网络安(ān)全服務(wù)机构协助开展。

第十九条電(diàn)力企业应当建立健全网络产(chǎn)品安(ān)全漏洞信息接收渠道并保持畅通，发现或者获知存在安(ān)全漏洞后，应当立即评估安(ān)全漏洞的影响范围及程度，及时对安(ān)全漏洞进行验证并完成修补。

第二十条電(diàn)力企业应当建立健全本单位网络安(ān)全监测预警和信息通报机制，及时掌握本单位网络安(ān)全运行状况、安(ān)全态势，及时处置网络安(ān)全威胁与隐患，定期向行业部门报告有(yǒu)关情况。

電(diàn)力行业关键信息基础设施运营者应当建立7×24小(xiǎo)时值班值守制度，建设网络安(ān)全态势感知平台，并与行业部门、公(gōng)安(ān)机关等有(yǒu)关平台对接。

第二十一条電(diàn)力企业应当按照電(diàn)力行业网络安(ān)全事件应急预案，制修订本单位网络安(ān)全事件应急预案，每年至少开展一次应急演练。制修订電(diàn)力监控系统专项网络安(ān)全事件应急预案并定期组织演练。定期组织开展网络攻防演习，检验安(ān)全防护和应急处置能(néng)力。

第二十二条電(diàn)力企业应当在重要活动、会议期间结合实际制定网络安(ān)全保障专项工(gōng)作(zuò)方案和应急预案，成立保障组织机构，明确目标任務(wù)，细化措施要求，组织预案演练，确保重要信息系统、電(diàn)力监控系统安(ān)全稳定运行。

第二十三条電(diàn)力企业发生网络安(ān)全事件后，应当立即启动网络安(ān)全事件应急预案，对网络安(ān)全事件进行调查和评估，采取技(jì )术措施和其他(tā)必要措施，消除安(ān)全隐患，防止危害扩大，注意保护现场，并按照规定向有(yǒu)关主管部门报告。

第二十四条電(diàn)力企业应当按照有(yǒu)关规定，建立健全容灾备份制度，对重要系统和重要数据进行有(yǒu)效备份。

第二十五条電(diàn)力企业应当建立健全全流程数据安(ān)全管理(lǐ)和个人信息保护制度，按照和行业重要数据目录及数据分(fēn)类分(fēn)级保护相关要求，确定本单位的重要数据具(jù)體(tǐ)目录，对列入目录的数据进行重点保护。

第二十六条電(diàn)力企业应当建立网络安(ān)全资金保障制度，安(ān)排网络安(ān)全专项预算，确保网络安(ān)全投入不低于信息化总投入的5%。

第二十七条電(diàn)力企业应当加强网络安(ān)全从业人员考核和管理(lǐ)，建立与网络安(ān)全工(gōng)作(zuò)特点相适应的人才培养机制，做好全员网络安(ān)全宣传教育，提高网络安(ān)全意识。从业人员应当定期接受相应的政策规范和专业技(jì )能(néng)培训，并经培训合格后上岗。

第二十八条電(diàn)力企业应当督促電(diàn)力监控系统专用(yòng)安(ān)全产(chǎn)品研发单位和供应商(shāng)按照有(yǒu)关要求做好保密工(gōng)作(zuò)，防止关键技(jì )术泄露。严禁在互联网上销售、購(gòu)买電(diàn)力监控系统专用(yòng)安(ān)全产(chǎn)品。

第二十九条電(diàn)力企业应当于每年11月1日前，将当年网络安(ān)全工(gōng)作(zuò)的专项总结报行业部门。总结内容应当包括但不限于网络安(ān)全工(gōng)作(zuò)开展情况、网络安(ān)全等级保护情况、電(diàn)力监控系统安(ān)全防护评估情况、数据安(ān)全情况、安(ān)全监测预警情况、风险隐患治理(lǐ)情况、网络安(ān)全事件应对处置情况、应急预案及演练情况、网络产(chǎn)品和服務(wù)采購(gòu)情况、下一年度工(gōng)作(zuò)计划等。

電(diàn)力行业关键信息基础设施运营者应当于每年11月1日前，将当年关键信息基础设施安(ān)全保护工(gōng)作(zuò)的专项总结报行业部门。总结内容应当包括但不限于关键信息基础设施的运行情况、认定报送情况、安(ān)全监测预警情况、网络安(ān)全检测和风险评估情况、网络安(ān)全事件应对处置情况、应急预案及演练情况、网络产(chǎn)品和服務(wù)采購(gòu)情况、密码使用(yòng)情况、下一年度安(ān)全保护计划等。

第四章监督检查

第三十条行业部门在各自职责范围内依法依规对電(diàn)力企业网络安(ān)全工(gōng)作(zuò)进行监督检查，定期组织开展電(diàn)力行业关键信息基础设施网络安(ān)全检查检测。

第三十一条行业部门进行监督检查和事件调查时，可(kě)以采取下列措施：

（一）进入電(diàn)力企业进行检查；

（二）询问相关单位的工(gōng)作(zuò)人员，要求其对有(yǒu)关检查事项作(zuò)出说明；

（三）查阅、复制与检查事项有(yǒu)关的文(wén)件、资料，对可(kě)能(néng)被转移、隐匿、损毁的文(wén)件、资料予以封存；

（四）对检查中(zhōng)发现的问题，责令其当场改正或者限期改正。

第三十二条行业部门在履行网络安(ān)全监督管理(lǐ)职责中(zhōng)，发现网络存在较大安(ān)全风险或者发生安(ān)全事件的，可(kě)以按照规定的权限和程序对该電(diàn)力企业法定代表人或者主要负责人进行约谈，情节严重的依据有(yǒu)关法律、法规予以处理(lǐ)。

行业部门可(kě)就网络安(ān)全缺陷、漏洞等风险，网络攻击、恶意软件等威胁，网络安(ān)全事件开展行业通报，電(diàn)力企业应当及时排查并采取风险防范措施。

第三十三条行业部门工(gōng)作(zuò)人员必须对在履行监督管理(lǐ)职责中(zhōng)知悉的秘密、工(gōng)作(zuò)秘密、商(shāng)业秘密、重要数据、个人信息和隐私严格保密，不得泄露、出售或者非法向他(tā)人提供。

第五章附则

第三十四条本办(bàn)法由能(néng)源局负责解释。

第三十五条本办(bàn)法自发布之日起施行，有(yǒu)效期5年。《電(diàn)力行业网络与信息安(ān)全管理(lǐ)办(bàn)法》（國(guó)能(néng)安(ān)全〔2014〕317号）同时废止。