一文梳理 | 电力企业网络安全管理及等级保护工作重点
前言
为加强电力行业网络安全监督管理,规范电力行业网络安全工作,国家能源局近日印发《电力行业网络安全管理办法》和《电力行业网络安全等级保护管理办法》(以下简称“两办法”),有效期均为5年。随着这两部规范性文件的正式出台,电力企业应针对管理办法中的技术与管理要求,积极采取措施,开展电力企业网络安全保护工作。
本文立足电力企业视角,总结两办法中电力企业的责任与义务,梳理网络安全保护的工作重点,为电力企业网络安全管理工作提供思路。
工作重点
01工作目标、方针与原则
工作目标:建立健全网络安全保障体系和工作责任体系,提高网络安全防护能力,保障电力系统安全稳定运行和电力可靠供应。
工作方针:积极防御、综合防范。
工作原则:依法管理、分工负责,统筹规划、突出重点。
02建立健全网络安全管理体系
1、建立网络安全责任制
落实网络安全责任,将网络安全纳入安全生产管理体系。
健全网络安全管理、评价考核制度体系。
成立工作领导机构,明确责任部门,设立专职岗位,定义岗位职责,明确人员分工和技能要求。
建立健全网络安全风险评估的自评估和检查评估制度,完善网络安全风险管理机制。
2、保障网络安全经费
建立网络安全资金保障制度,安排网络安全专项预算,确保网络安全投入不低于信息化总投入的5%。
3、加强网络安全从业人员考核和管理
建立与网络安全工作特点相适应的人才培养机制,做好全员网络安全宣传教育,提高网络安全意识。
从业人员应当定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。
4、工作总结与年度计划
电力企业应当于每年11月1日前,将当年网络安全工作的专项总结(含下一年度工作计划)报行业部门
03网络安全防护体系建设
1、安全措施“三同步”
电力企业规划设计网络时,应当明确安全保护需求,保证安全措施同步规划、同步建设、同步使用,设计合理的总体安全方案并经专业技术人员评审通过,制定安全实施计划,负责网络安全建设工程的实施。
2、依法合规建设防护体系
按照国家网络安全等级保护制度、关键信息基础设施安全保护制度、数据安全制度、网络安全审查工作机制和电力监控系统安全防护规定的要求,对本单位的网络进行安全保护。
3、网络安全监测预警和信息通报
建立健全本单位网络安全监测预警和信息通报机制,及时掌握本单位网络安全运行状况、安全态势,及时处置网络安全威胁与隐患,定期向行业部门报告有关情况。
04 网络安全事件应急处置
1、应急预案及演练
按照电力行业网络安全事件应急预案,制修订本单位网络安全事件应急预案,每年至少开展一次应急演练。
制修订电力监控系统专项网络安全事件应急预案并定期组织演练。
2、开展网络攻防演习
定期组织开展网络攻防演习,检验安全防护和应急处置能力。
3、重要时期保障
在国家重要活动、会议期间结合实际制定网络安全保障专项工作方案和应急预案,成立保障组织机构,明确目标任务,细化措施要求,组织预案演练,确保重要信息系统、电力监控系统安全稳定运行。
4、安全事件处置及上报
发生网络安全事件后,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估。
采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,注意保护现场,并按照规定向有关主管部门报告。
5、容灾备份建设
电力企业应当按照国家有关规定,建立健全容灾备份制度,对重要系统和重要数据进行有效备份。
6、数据安全管理和个人信息保护
建立健全全流程数据安全管理和个人信息保护制度。
按照国家和行业重要数据目录及数据分类分级保护相关要求,确定本单位的重要数据具体目录,对列入目录的数据进行重点保护。
7、风险隐患治理
网络上线前,委托网络安全服务机构开展第三方安全测试。
按照国家有关规定开展电力监控系统安全防护评估、网络安全等级保护测评、关键信息基础设施网络安全检测和风险评估、商用密码应用安全性评估和网络安全审查等工作,未达到要求的应当及时进行整改。
按照国家有关规定开展网络安全风险评估工作,发现风险隐患可能对电力行业网络安全产生较大影响的,应当向行业部门报告。
依据国家和行业相关标准、规程和规范开展网络安全技术监督工作,可委托网络安全服务机构协助开展。
建立健全网络产品安全漏洞信息接收渠道并保持畅通,发现或者获知存在安全漏洞后,应当立即评估安全漏洞的影响范围及程度,及时对安全漏洞进行验证并完成修补。
05网络安全等级保护
1、满足合规要求
国家要求:国家网络安全等级保护政策法规和技术标准要求
行业要求:电力行业的网络安全等级保护管理规范和技术标准
2、等级划分和保护
电力行业网络划分为五个安全保护等级,与国家标准规范对比如下:
3、等级保护的实施与管理
等级保护工作可分为定级、备案、测评、整改四个阶段,如下图所示:
4、测评与自查
测评周期:第二级网络,每两年进行一次等级保护测评;第三级及以上网络,每年进行一次等级保护测评;新建的第三级及以上网络,在通过等级保护测评后投入运行。
自查周期:第二级电力监控系统应当每两年至少进行一次自查;第三级及以上网络应当每年至少进行一次自查。
5、密码管理
电力企业采用密码进行等级保护的,应当遵照《中华人民共和国密码法》等有关法律法规和国家密码管理部门制定的网络安全等级保护密码技术标准执行。
6、监督与管理
电力企业应当按照网络安全等级保护管理规范和技术标准组织整改。
电力企业(二级及以上系统)应当每年向国家能源局或其派出机构报告网络安全等级保护工作情况。
06关键信息基础设施安全保护
1、安全管理
电力行业关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责,要明确一名领导班子成员(非公有制经济组织运营者明确一名核心经营管理团队成员)作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作。
为每个关键信息基础设施明确一名安全管理责任人。
设立专门安全管理机构,确定关键岗位及人员,并对机构负责人和关键岗位人员进行安全背景审查。
2、信息报送
依法依规开展关键信息基础设施信息报送工作,关键信息基础设施发生较大变化,可能影响其认定结果的,关键信息基础设施运营者发生合并、分立、解散等情况的,应当及时将相关情况报告行业部门。
3、安全监测预警
电力行业关键信息基础设施运营者应当建立7×24小时值班值守制度,建设网络安全态势感知平台,并与行业部门、公安机关等有关平台对接。
4、采购安全可信的网络产品和服务
电力行业关键信息基础设施运营者应当优先采购安全可信的网络产品和服务,并按照有关要求开展风险预判工作,评估投入使用后可能对关键信息基础设施安全、电力生产安全和国家安全的影响,形成评估报告。
影响或者可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
5、安全检测和风险评估
开展关键信息基础设施网络安全检测和风险评估。
配合行业部门开展的电力行业关键信息基础设施网络安全检查检测。
6、工作总结与年度计划
电力行业关键信息基础设施运营者应当于每年11月1日前,将当年关键信息基础设施安全保护工作的专项总结报行业部门。
07网络安全和服务采购
选用符合国家法律法规和有关标准规范要求且满足网络安全等级保护需求的网络产品和服务,开展网络安全建设或改建工作。
在设备选型及配置时,禁止选用经国家能源局通报存在漏洞和风险的系统及设备,对已经投入运行的系统及设备应及时整改并加强运行管理和安全防护。
接入生产控制大区的涉网安全产品需经电力调度机构同意。
不得委托在近3年内被行业部门通报有不良行为或被相关部门通报整改的网络安全服务机构。
电力监控系统需按照电力监控系统安全防护有关要求采购和使用,采购网络产品和服务,影响或可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
督促电力监控系统专用安全产品研发单位和供应商按照国家有关要求做好保密工作,防止关键技术泄露。严禁在互联网上销售、购买电力监控系统专用安全产品。
结语
中睿天下聚焦关键信息基础设施保护工作,积累了大量的技术研究和应用实践成果,以人为核心,以平台为支撑,以“人机共融”为理念基础,建立了“1239”安全服务及运营体系,即一套体系、两种元素、三项能力和九类服务,为关键信息基础设施运营单位数字化安全转型保驾护航。
01安全服务及运营
中睿天下为电力企业提供信息系统全生命周期安全咨询、评估及运营服务,协助电力企业在网络规划、建设、运营过程中,遵循同步规划、同步建设、同步使用的原则,规划关键信息基础设施纵深防御体系,制定并落实网络安全管理制度,建设网络安全事件应急预案并协助开展网络安全应急演练,健全网络安全防护体系,确保电力企业网络符合其安全等级保护要求,保障电力系统的安全稳定运行。
02安全产品及建设
中睿天下是以“实战对抗”为特点的能力价值型网络安全厂商。基于核心团队近20年的一线攻防实战经验,以及对能源、金融、交通、政府等行业业务的深入研究,通过攻击溯源技术构建面向实战对抗的新一代高级安全防护体系,帮助用户显著提升网络安全监测预警、分析研判、态势感知、攻击溯源以及应急处置等能力,有效应对来自外部专业组织和势力的高强度网络攻击。
一文梳理 | 电力企业网络安全管理及等级保护工作重点相关推荐
- 企业网络推广专员浅析企业网络推广后期网站优化重点因素有哪些?
企业网站最初建立的时候很多站长就将网站优化放到首要因素,毕竟网站优化开展越早越好,能够进一步增加企业网站在搜索引擎中的曝光率,让用户尽早了解企业品牌.那么如果企业网站在长期优化下网站并没有排名和流量, ...
- 系统运维安全管理办法_系统运维管理-网络安全管理制度 -
企业网络安全管理制度 文件编号: 企业网络安全管理制度-V1.0 版本历史 编制人: 审批人: 为加强公司网络系统的安全管理,防止因偶发性事件.网络病毒等造成系统故障,妨碍正常的工作秩序,特制定本管理 ...
- 《企业网络构建与安全管理教程》上册
<企业网络构建与安全管理项目教程>上册 近些年来,职业教育工作坚持"以服务为宗旨,以就业为导向"的办学方针,面向社会.面向市场办学,转变传统的以课堂和学校为中心的人才培 ...
- 工业互联网设备的网络安全管理与防护研究
从国家层面完善工业互联网设备的网络安全准入机制,建立设备网络安全检测认证体系,促进设备的网络安全架构研究和工程应用,强化设备的网络安全风险监测感知. 一.前言 工业互联网是新一代信息通信技术与工业体系 ...
- [第180期]我在51CTO的提问:如何做好企业信息安全管理
[第180期]我在51CTO的提问:如何做好企业信息安全管理 149banzhang 发表于 2010-10-15 14:08:51 第 5 楼 窗体顶端 李工:您好,很高兴能在51CTO与您交流,我 ...
- 「C位观察」零信任:企业分布式安全管理架构 | C位
欢迎来到「C位」,它是CMC资本团队全新打造的与创业圈.科技产业.学术界分享交流的频道.通过这个窗口,我们关注和记录在当下发生的诸如企业数字化.产业智能化.业务自动化.无人驾驶与智能车.新能源技术.元 ...
- ISO21434车辆网络安全解读-2.组织网络安全管理
ISO21434是一套网络安全流程标准,组织须建立网络安全管理政策.体系和文化等.本文是part5的总结. 1.网络安全治理 1)制定政策 2)流程建设,可以理解为CSMS体系的保证 3)职责划分,确 ...
- 企业网络安全策略综合设计与实现
概述:典型的分为内网,DMZ,外网网段的企业网络结构 系统实现功能:VLAN的内网分割与保护:NAT的内网结构隐藏;DMZ区对外可见;内网,DMZ,外网 之间的区域访问;VPN实现企业异地内网之间穿透 ...
- 筑泰防务云EMM移动管理,企业移动安全管理的捍卫者
如今,政企部门移动化办公已是大势所趋,通过移动办公能够及时有效的捕捉信息传递资讯,让员工的碎片化时间有效利用,晋升工作效率.在获得诸多便利的同时,企业信息安全受到了更严重的考验:身份认证治理.移动设备 ...
最新文章
- CTF训练计划—[CISCN2019]Easyweb
- 【Luogu】【关卡2-2】交叉模拟(2017年10月)
- run spark pi_Spark Run本地设计模式
- Idea创建简单Java Web项目并部署Servlet
- Spring写第一个程序HelloSpring
- Office2010安装出现“错误1907”的解决方法(未验证)
- shell训练营Day30
- java中常量和变量的区别_Java中三种变量
- 语义分析的一些方法(一)
- “华为杯”——中国研究生数学建模大赛相关解读及LaTeX模版、算法、真题、优秀论文等相关资源分享(超详细)
- 跑深度模型的显卡_人工智能研究者应该选择哪款显卡?
- word中怎么把脚注转换为尾注
- 在html中加入网址,网页超链接怎么做,添加超链接网址的的详细步骤
- 天池大数据众智平台笔记SQL(一)
- PostgreSQL-Docker创建PostgreSQL数据库并导入矢量数据
- 七夕h5开发就找TOM小游戏
- c语言触屏滑动图片,jQuery手机触屏滑动的响应式图片轮播效果
- 玲珑oj 1129 ST
- UDP可靠性传输协议(QUIC)
- swagger2 description is deprecated