国家电网公司网络与信息系统 安全管理办法

国家电网公司网络与信息系统安全管理办法

第一章 总则

第一条 为加强和规范国家电网公司（以下简称“公司”）网络与信息系统安全工作，切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力，实现网络与信息系统安全的可控、能控、在控，依据国家有关法律、法规、规定及公司有关制度，制定本办法。

第二条 本办法所称网络与信息系统是指公司电力通信网及其承载的管理信息系统和电力二次系统。 第三条 本办法适用于公司总（分）部及所属各级单位的网络与信息系统安全管理工作。

第四条 网络与信息系统安全防护目标是保障电力生产监控系统及电力调度数据网络的安全，保障管理信息系统及通信、网络的安全，落实信息系统生命周期全过程安全管理，实现信息安全可控、能控、在控。防范对电力二次系统、管理信息系统的恶意攻击及侵害，抵御内外部有组织的攻击，防止由于电力二次系统、管理信息系统的崩溃或瘫痪造成的电力系统事故。

第五条 公司网络与信息系统安全工作坚持“三纳入一融合”原则，将等级保护纳入网络与信息系统安全工作中，将网络与信息系统安全纳入信息化日常工作中，将网络与信息系统安全纳入公司安全生产管理体系中，将网络与信息系统安全融入公司安全生产中。在规划和建设网络与信息系统时,信息通信安全防护措施应按照“三同步”原则，与网络与信息系统建设同步规划、同步建设、同步投入运行。

第六条 管理信息系统安全防护坚持“双网双机、分区分域、安全接入、动态感知、全面防护、准入备案”的总体安全策略，执行信息安全等级保护制度。其中“双网双机”指信息内外网间采用逻辑强隔离设备进行隔离，并分别采用独立的服务器及桌面主机；“分区分域”指依据等级保护定级情况及业务系统类型，进行安全域划分，以实现不同安全域的独立化、差异化防护；“安全接入”指通过采用终端加固、安全通道、认证等措施保障终端接入公司信息内外网安全；“动态感知”指对公司网络、信息系统、终端及设备等安全状态进行全面动态监测，实现事前预警、事中监测和事后审计；“全面防护”指对物理、网络边界、主机、应用和数据等进行深度防护，加强安全基础设施建设，覆盖防护各层次、各环节、各对象；“准入备案”指对所有接入公司网络的各类网络、应用、系统、终端、设备进行准入及备案管理。

第七条 电力二次系统安全防护按照“安全分区、网络专用、横向隔离、纵向认证”的防护原则，并遵照原国家电力监管委员会《电力二次系统安全防护规定》及《电力二次系统安全防护总体方案》等相关文件执行。

第二章 职责分工

第八条 公司信息安全工作实行统一领导、分级管理，遵循“谁主管谁负责；谁运行谁负责；谁使用谁负责；管业务必须管安全”的原则，严格落实网络与信息系统安全责任。各级单位主要负责人是本单位网络与信息系统安全第一责任人。各级单位信息化领导小组负责本单位网络信息安全（含生产控制大区和管理信息大区）的总体协调领导。

第九条 网络与信息系统实行专业管理、归口监督。国网信通部是信息安全防护的归口部门，负责管理信息系统及电力通信网的安全防护。国调中心负责调度数据网络和电力二次系统的安全防护。国网安质部负责公司信息安全监督、检查和评价工作。国网办公厅（保密办）负责公司保密管理，负责信息失泄密情况的调查和处理。各业务部门负责本专业系统及终端的安全监控和防护。各级单位负责落实本单位网络与信息系统安全工作。

第十条 国网信通部主要职责如下：

（一）落实国家有关网络与信息系统安全法规、方针、政策、标准和规范，联系国家有关部门落实相关安全工作。组织制定公司网络与信息系统安全管理标准规范和规章制度。

（二）负责公司网络与信息系统安全体系规划设计、架构管控、总体安全防护方案制订、核心安全防护措施部署和策略优化配置并组织实施。

（三）指导总部各部门、公司各级单位开展网络与信息系统全生命周期安全管控工作，组织落实等级保护测评整改、风险评估和隐患排查治理等工作。

（四）负责信息安全技术督查体系建设，组织开展公司信息安全技术督查工作。

（五）协助开展网络与信息系统事件的调查处理，组织制定、落实网络与信息系统反事故措施。 （六）负责信息安全态势跟踪、事件监测与分析、信息安全通报。 （七）负责网络与信息系统应急管理体系建设与应急处置。 第十一条 国调中心主要职责如下：

（一）负责公司生产控制大区（含各级调度、变电站、发电厂、配电自动化、负荷控制等）工控系统安全防护管理，统筹公司经营范围内并网发电厂涉网部分的监控系统和继电保护等工控系统安全防护的技术监督管理。

（二）负责落实国家电力二次系统安全防护要求，组织制定公司电力二次系统安全管理制度，指导各级单位开展电力二次系统安全防护的实施方案制定和运行管理。

（三）配合完成国家有关部门对公司电力二次系统开展的风险评估和隐患排查、信息安全检查，落实等级保护制度等工作。

（四）负责电力二次系统安全防护技术督查体系建设以及组织开展电力二次系统的安全技术督查工作。 （五）负责电力二次系统应急管理体系建设与应急处置。 第十二条 国网安质部主要职责如下：

（一）负责公司网络与信息系统安全检查和评价。

（二）负责公司信息安全事件的调查、分析、处理和事件通报。

第十三条 业务部门主要职责如下：

（一）牵头开展本专业信息系统信息安全防护工作，依据公司总体安全策略组织制定相关系统信息安全防护方案，经公司信息安全专家审查委员会审批后执行。

（二）落实业务系统信息安全等级保护工作，配合开展业务系统安全测评、风险评估和隐患排查治理等工作。

（三）国网运检部负责配电自动化终端具体安全防护及运行维护管理，负责相关安全防护的技改项目管理。 （四）国网营销部负责营销业务涉及控制类系统及终端（如负荷控制系统、负控终端及用电信息采集控制终端等）的具体安全防护及运行维护管理。

（五）国网农电部负责代管县供电企业的农村电网涉及控制类系统及终端安全防护管理。 （六）在本专业人员培训过程中贯彻公司信息安全相关要求。 第十四条 各级单位主要职责如下：

（一）负责贯彻落实国家有关网络与信息系统安全法规、方针、政策、标准和规范，贯彻落实公司网络与信息系统安全相关标准规范和规章制度。

（二）落实本单位范围内网络与信息系统安全工作责任体系。

（三）落实本单位网络与信息系统全生命周期安全管控、等级保护测评整改、安全准入、风险评估、隐患排查治理和信息安全技术督查等工作。

（四）按照公司网络与信息系统应急管理要求建立本单位应急体系，组织本单位突发事件的应急处理。 （五）负责明确本单位网络与信息系统安全运行维护部门或机构，落实网络与信息系统安全运行维护日常工作。明确落实本单位信息安全技术督查体系。 （六）组织本单位信息安全宣传和培训工作。 第十五条 各业务支撑和实施机构信息安全职责如下：

（一）各级调控机构：分别负责本级调度控制系统和调度数据网络的安全防护和运行维护管理，负责直调发电厂涉网部分的监控系统和继电保护等工控系统安全防护技术监督。

（二）国网运行分公司、各省检修（分）公司、各地（市）检修工公司和县运检部［检修（建设）工区］：分别负责运维范围内变电站、开关站、换流站的系统、设备和终端的安全运维和应急处置工作。 （三）国网新源控股公司：负责运维范围内发电厂的系统、设备和终端的安全运维和应急处置工作。

（四）中国电科院：负责公司信息通信安全研究，提供信息安全专业技术支撑；负责公司信息通信系统和设备的安全测试工作；负责信息通信系统和设备的缺陷分析、安全设计的符合性审查以及状态评价；负责执行信息通信安全技术督查及专项检查。

（五）省电科院：负责信息通信安全研究，为各省（自治区、直辖市）电力公司提供信息安全专业技术支撑；负责省公司信息通信系统和设备的缺陷分析、安全设计的符合性审查以及状态评价；负责本单位信息安全技术督查。

（六）国网信通公司：负责公司总部信息通信系统、一级部署信息系统、直属单位集中部署信息系统和一级骨干信息通信网的安全运维和应急处置工作。

（七）省信通（分）公司：负责调管范围内信息通信系统调度监控和应急处置；负责资产管理范围内信息通信系统、设备和终端的安全运维和应急处置工作。

（八）地（市）信通分公司：受职能管理部门委托开展本单位信息安全保障工作。

第三章 管理要求

第十六条 按照公司制度标准体系建设工作要求和统一部署，由总部统一制定、发布与组织实施信息通信安全管理制度，实现全职责、全业务、全流程覆盖，确保纵向层级支撑，横向衔接联动。

第十七条 按照公司“三集五大”体系设计确定的岗位，公司统一确定信息系统建设、运行、使用等相关岗位的信息安全职责，各级单位遵照执行并加强管理。各级单位信息通信职能管理部门、电力调度管理部门应设置专门的信息安全管理岗位，配备安全管理人员，明确安全工作职责。

第十八条 加强员工信息安全管理，严格人员录用过程，与关键岗位员工签订保密协议，明确信息安全保密的内容和职责；切实加强员工信息安全培训工作，提高全员安全意识；及时终止离岗员工的所有访问权限。 对承担公司核心信息系统规划、研发、运维管理等关键岗位人员开展安全培训和考核，对系统运维关键岗位建立持证上岗制度，明确持证上岗要求。对关键岗位人员进行安全技能考核。将信息安全技能考核内容纳入公司安规考试。

加强对临时来访人员和常驻外包服务人员的信息安全管理。加强外来人员的出入登记和接待管理，严格控制外来人员活动区域。外来人员进入机房等重要区域，应办理审批登记手续并由相关管理人员全程陪同，相关操作必须有审计及监控。

第十九条 网络与信息系统安全管理工作机制如下：

（一）遵循“统一指挥、密切配合、职责明确、流程规范、响应及时”的协同原则，做好公司信息安全内、外部协同机制的落实工作。

（二）健全信息安全技术督查工作，加强对信息安全技术督查的一体化管控，强化督查责任落实，深化年度、专项、日常督查工作。进一步提升督查队伍装备水平，优化督查工作流程，强化督查队伍评价考核。

（三）落实常态信息安全风险评估工作，与公司春秋季检和迎峰度夏工作相结合，切实将风险评估工作常态化，及时落实整改，消除安全隐患。

（四）切实加强网络与信息系统应急管理体系建设。按照综合协调、统一领导、分级负责的原则，在公司总部、各分部、省（自治区、直辖市）电力公司、直属单位建立应急组织和指挥体系；坚持“安全第一、预防为主”的方针，加强应急响应队伍建设，优化完善应急预案，落实常态应急演练工作，做好应急保障工作；加强安全风险监测与预警，建立“上下联动、区域协作”的快速响应工作，强化应急处置。

（五）严格执行信息安全事故通报制度（通报规范见附件1），做好节假日和特殊时期的安全运行情况报送工作。

（六）落实健全网络与信息系统安全准入工作，加强对接入公司网络的各类系统、终端、设备的准入及备案管理，强化备案信息与上下线相关运行安全工作的准入联动工作。

（七）严格按照公司安全事故调查规程，开展事故原因分析，做好事故调查工作，坚持“四不放过”原则，有效落实整改。

（八）贯彻落实信息安全等级保护制度，持续强化信息安全等级保护工作管理，做好系统等级保护定级、备案、建设、测评与整改工作。

（九）深入开展信息安全动态治理工作，推动各级单位信息安全工作的落实与持续改进，提升信息安全流程化、标准化和规范化水平。强化隐患排查治理工作，强化从隐患发现到隐患治理的闭环管理工作，消除信息安全薄弱环节。

（十）开展信息技术供应链安全管理工作，开展信息技术软硬件设备和服务供应商安全管理、软硬件设备选型和安全测试工作，逐步实现核心运行系统的国产化。加强外部合作单位和供应商管理，严格外部单位资质审核。严禁合作单位和供应商在对互联网提供服务的网络和信息系统中存储和运行公司相关业务系统数据和敏感信息。关键软硬件设备采购应开展产品预先选型和安全检测。对涉及的信息安全软硬件产品和密码产品要坚持国产化原则，信息安全核心防护产品以自主研发为主。管理信息系统软硬件产品逐步采用全国产化产品。及时开展各种软硬件漏洞检测及修复。

（十一）建立信息安全综合评价体系，加强信息安全监督及考核评价，将网络与信息系统安全落实情况纳入各级单位信息化水平评价。

（十二）加强密码技术的开发利用以及密码安全保障，落实密钥的统一选型及应用工作，充分发挥密码技术在信息安全工作中的基础作用。

第二十条 加强电力通信网的安全管理，规范电力通信网络安全防护体系，健全针对各类网络在线监测和安全预警能力，做好对光缆、网络交换设备、物理区域与人员的安全访问管理，禁止通信网管系统未经网络隔离装置与信息内网互联，禁止通信网管系统与外部维护厂商间进行网络连接。电力通信设备、线路等应采用冗余保障、网络优化、设备网管防护等措施提高可用性。

第二十一条 加强信息内外网网站管理。各级单位对外网站应与公司外网企业门户网站进行整合，内网宣传网站要与公司内网企业门户进行整合，实现网站统一管理与备案。网站信息发布须严格按照公司审核发布

服务，严格限制访问数据的格式，过滤必要的特殊字符组合以防止注入攻击。建立常态外网安全巡检、加固、检修以及应急演练等工作机制，做好日常网站备份工作。

（八）具有采集功能的系统或模块，根据采集信息的保密性，在采用公司专线（光纤、载波等）接入内网进行信息采集时，应采用身份认证和访问控制措施。不具备专线条件时，应在虚拟专网基础上采用终端身份认证、访问控制措施，建立加密传输通道进行信息采集，要加强对采集终端存储和处理敏感业务数据的安全防护，以保证业务数据的保密性和完整性。 第三十三条 数据安全技术工作要求如下：

（一）从终端、网络以及存储三个层面加强对敏感数据进行检测与分析，实现对公司各种敏感数据存储、数据操作权限、数据外发等进行安全保护与控制。

（二）重要和敏感信息，如商密定级文件、公司OA公文、电子文件等，实行加密传输、授权控制、操作审计及监控；对重要信息实行自动、定期备份；按需进行恢复测试，确保备份数据的可用性。

（三）严格落实公司电子数据恢复、擦除与销毁管理技术要求，加强处理过程中的存储介质管理、全程现场监控以及安全保密等工作。

第三十四条 深化信息安全监测手段，扩展监控范围，实现对各类网络及边界、网站及应用系统、终端以及密钥使用情况等的全方位、实时安全监控，做好信息安全监测预警、指标发布及深化治理工作。 第三十五条 电网工业控制系统应纳入电力二次系统管理。加强电网工业控制系统安全保障工作，推进工业控制系统安全检测技术研究和工具研发，做好电网工控系统安全测评、关键设备安全检测及防护整改等工作，进一步提高漏洞分析、漏洞发布、隐患排查和应急处理能力。

第三十六条 加强云计算、物联网、可信计算、下一代互联网等方面的信息安全技术研究与应用，强化对新技术的检测、验证、评估及审核，超前分析新技术应用带来的安全风险和隐患，提前采取措施予以防范。不得采用与公司信息安全策略与要求相违背的信息通信技术，不得应用存在信息安全隐患的新技术。 第三十七条 针对暴露面及新型安全威胁，围绕隐患发现、防护处置、监测对抗、应急恢复等能力，建立稳定、专业的技术支撑队伍，从研发安全、安全检测、防病毒管理、统一密钥管理、漏洞补丁管理、红蓝对抗、安全监控、应急恢复、新技术研究与架构设计等方面开展专项技防能力建设，实现技术手段和管理措施的有效融合，实现内外部综合协同、资源共享和整体联动，提升公司信息安全协同防御和体系对抗能力。

第五章 检查考核

第三十八条 各级单位应建立网络与信息系统安全检查考核机制，根据工作需要，制定科学、规范的检查考核指标体系。

第六章 附则

第三十九条 本办法由国网信通部负责解释并监督执行。

第四十条 本办法自2014年11月1日起施行。原《国家电网公司信息系统安全管理办法》（国家电网信息〔2008〕 201号）、《国家电网公司网络与信息系统安全运行情况通报制度》（信息技术〔2007〕65号）同时废止。 附件1

国家电网公司网络与信息系统安全运行情况通报规范 一、总则

（一）为加强国家电网公司（以下简称“公司”）网络与信息系统安全运行管理，进一步规范完善公司网络与信息系统安全运行情况通报工作，有效保障通报工作有序开展，切实落实上情下达、下情上达、协调和服务保障的任务，依据《电力行业网络与信息安全信息通报暂行办法》、《中央企业网络与信息安全信息通报工作指导意见（试行）》，制定本规范。

（二）本规范所指网络与信息系统安全运行情况是指信息网络和系统故障和瘫痪，信息系统数据丢失和信息泄密，信息系统受到病毒感染和恶意渗透、攻击，有害信息在网站传播等信息安全事件以及跟踪发现的外部信息安全舆情。

（三）本规范适用于公司总（分）部及所属各级单位的网络与信息系统安全运行情况通报管理工作。 （四）公司网络与信息系统安全运行情况通报工作按照“谁主管谁负责，谁运营谁负责”的工作原则，实行“统一领导，分级管理、逐级上报”的工作方针，以加强公司各级单位网络与信息系统安全运行的信息共享和统一应急处置工作。 二、职责分工

（一）国网信通部负责公司网络与信息系统安全运行情况通报的归口管理工作。主要职责： （1）负责建立公司网络与信息系统安全运行情况通报的规章制度，并督促执行；

（2）负责与国家有关部门建立联系，及时接收和转发国家有关部门发布的信息通报，并按时向国家有关部门报送相关材料；

（3）负责汇总总部电力二次系统、电力通信骨干网络、总部信息系统，以及公司各单位的安全运行情况通报；

（4）负责建立与国家有关部门的信息安全通报联系，对于重大事件启动联合应急机制，并协调国家相关部门协助处置。

（二）国调中心负责汇总公司范围内有关电力二次系统安全运行情况，并抄送国网信通部归口统计。 （三）国网信通公司负责将电力通信骨干网络和总部信息系统安全运行情况汇总报送国网信通部和国网运监中心，并将电力通信骨干网络安全运行情况抄送给国调中心。

（四）公司各级单位信息通信管理部门负责本单位范围内网络与信息系统安全运行情况通报的归口管理工作。主要职责：

（1）负责建立本单位信息安全通报工作体系，落实通报负责人、联络员及后备联络员等相关人员与职责。各级单位要指定一名负责人、一名联络员和一名后备联络员，填写公司网络与信息系统安全运行情况通报基本情况备案表（见附表一），并报送上级主管部门备案。联络人员联系方式如有变动，应及时报告国上级主管部门；

（2）负责结合实际情况，建立本单位信息安全通报的规章制度，并督促执行；

（3）负责汇总本单位范围内电力通信网络和信息系统的安全运行情况，按时按需向上级主管部门报送本单位快报、月报、年报、特殊时期信息安全日报、安全事件专报。

（4）负责汇总本单位发现的信息安全事件和突发工作（如公安机关检查情况），以及跟踪发现的外部信息安全舆情，并报送至上级主管部门；

（5）负责汇总本单位信息安全重点工作开展情况，突出本单位特色、自行开展的信息安全工作，以及对公司信息安全工作建议，并报送至上级主管部门；

（6）负责总结本单位信息安全工作典型经验，并报送至上级主管部门；

（7）负责向下级单位转发国网信通部发布的各类信息安全事件通报、预警通报，负责接收、汇总反馈情况，报送至上级主管部门。

（五）公司各级单位调度部门按照电力二次系统信息报送要求，将本单位电力二次系统安全运行情况上报国调中心，遇重大、紧急突发安全事件时，抄送给信息通信管理部门。

（六）中国电科院负责对总部范围内信息安全通报相关工作提供技术支持，并协助开展安全事件、安全隐患、安全漏洞、安全舆情的分析、研判等工作。

（八）省公司督查队伍负责对本省内信息安全通报相关工作提供技术支持，并协助开展安全事件、安全隐患、安全漏洞、安全舆情的分析、研判等工作。 三、内容及分类

（一）网络和信息系统安全运行情况通报内容主要包括：

（1）电子公告服务、群发电子邮件以及广播式即时通信等网络服务中反动有害信息的传播情况；

（2）利用网络从事违法犯罪活动的情况；

（3）已经确定或可能发生的计算机病毒、网络攻击情况； （4）网络恐怖活动的嫌疑情况和预警信息；

（5）网络或信息系统通信和资源使用异常、网络和信息瘫痪、应用服务中断或数据纂改、丢失等情况； （6）网络安全状况、安全形势分析预测等信息； （7）跟踪发现的各类外部信息安全舆情； （8）其他影响网络与信息安全的信息。

（二）网络和信息系统安全运行情况通报分为快报、月报、年报、特殊时期安全运行日报以及安全事件专报。

（三）公司各级单位的网络与信息系统在运行过程中如出现以下任一情形，需填写网络与信息系统安全运行快报（格式见附表二），并逐级上报。相关情形包括： （1）网络和信息系统发生严重故障和瘫痪； （2）信息系统重要数据丢失和信息泄密；

（3）信息系统受到较大面积病毒感染和恶意渗透、攻击； （4）有害信息在网站较大面积传播；

（5）其他较严重或上级部门指定以快报形式上报的信息安全事件。

（四）公司各级单位每月需填写网络与信息系统安全运行月报（格式见附表三），并上报上级主管部门。月报应包括以下内容：

（1）网络与信息系统安全运行指标情况及分析； （2）网络与信息系统安全信息情况； （3）安全事件统计与分析；

（4）本月网络与信息系统安全运行工作开展情况； （5）对公司信息安全工作建议。

（五）公司各级单位每年需进行年度总结报告（以下简称年报），并以书面形式上报上级主管部门。年报应包括以下内容：

（1）负责运行维护的设备和信息系统的基本情况；

（2）安全与运行管理工作简况；

（3）年度信息安全与运行指标工作总结与分析，要对信息系统的主要设备、事故、障碍、故障和异常情况及原因进行统计、汇总和分析；

（4）对影响设备和信息系统安全运行的主要原因和问题进行分析； （5）下一年度安全与运行拟开展的重点工作。

（六）根据国家有关规定公司在特殊时期执行日报告制度。公司各级单位在接到相关通知后，根据制度要求及时向上级主管部门报送网络与信息系统特殊时期安全运行日报（格式见附表四），其中如未发生异常情况，仍要以日报形式进行平安报告。在此期间，国网信通部负责每日对公司各单位信息安全报告进行汇总、分析、研判，并将结果及时报送国家有关单位。

（七）中国电科院需向公司信通部报送各类信息安全事件专报。专报包括：

（1）信息安全监测深度分析：根据当月信息安全监测情况，基于数字分析公司整体信息安全情况，总结存在的信息安全隐患问题以及监测工作本身的不足，并提出相关建议；

（2）信息安全监测发现重大事件：对信息安全监测发现的重大事件进行分析，并提出解决建议； （3）信息安全事件分析：不定期跟踪公司及外部信息安全重大事件和典型事件，分析事件成因、问题，以及对公司信息安全工作的启示和举措；

（4）信息安全舆情跟踪：双周跟踪国内外信息安全事件、漏洞、政策、会议、技术等舆情；

（5）新技术、新应用、新业务信息安全情况分析：不定期跟踪新技术、新应用、新业务在公司的开展情况，分析其中信息安全情况，并提出相关建议。 四、报送要求

（一）公司各级单位通过公司信息通信业务管理系统上报网络与信息系统安全运行月报、日报，安全运行快报主要通过电子邮件和传真报送。

（二）公司各级单位在执行快报上报时，需在二十四小时内完成上报工作。特别紧急情况需第一时间通过电话等方式立即向国网信通部相关负责人员做口头汇报。

（三）公司各级单位需在每个月前两个工作日内完成上个月的月报上报工作。国网信通部对公司的安全运行情况汇总分析后，于第三个工作日将公司网络与信息系统安全运行情况报送国家相关单位。 （四）公司各级单位的年报工作与本年度最后一期月报一并上报。

（五）公司各级单位应及时、全面、准确报送信息，不得瞒报、缓报、谎报网络与信息系统安全运行情况。 （六）公司各级单位应按照国家保密规定，做好本单位网络与信息系统安全运行情况通报的保密工作。

本文来源：https://www.bwwdw.com/article/ds13.html