電力等級保護(hù)管理辦法一、總則（一）目的為加強(qiáng)電力行業(yè)信息系統(tǒng)安全保護(hù)，規(guī)范電力等級保護(hù)工作，提高電力系統(tǒng)的整體安全防護(hù)能力，保障電力系統(tǒng)安全穩(wěn)定運(yùn)行，依據(jù)國家相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)，制定本辦法。（二）適用范圍本辦法適用于中華人民共和國境內(nèi)從事電力生產(chǎn)、供應(yīng)、使用活動(dòng)的企業(yè)、事業(yè)單位和其他組織（以下統(tǒng)稱電力企業(yè)）的信息系統(tǒng)等級保護(hù)工作。（三）基本原則1.預(yù)防為主原則電力企業(yè)應(yīng)采取有效的技術(shù)和管理措施，預(yù)防信息系統(tǒng)安全事故的發(fā)生，確保信息系統(tǒng)的保密性、完整性和可用性。2.綜合治理原則等級保護(hù)工作應(yīng)綜合考慮電力企業(yè)信息系統(tǒng)的特點(diǎn)、安全需求和技術(shù)發(fā)展趨勢，采用多種技術(shù)手段和管理措施，實(shí)現(xiàn)信息系統(tǒng)的整體安全防護(hù)。3.重點(diǎn)保護(hù)原則根據(jù)電力系統(tǒng)的重要程度和安全風(fēng)險(xiǎn)，對關(guān)鍵信息系統(tǒng)實(shí)施重點(diǎn)保護(hù)，確保其安全運(yùn)行。4.動(dòng)態(tài)調(diào)整原則電力企業(yè)應(yīng)根據(jù)信息系統(tǒng)的變化情況和安全需求，及時(shí)調(diào)整等級保護(hù)措施，確保信息系統(tǒng)始終處于安全狀態(tài)。（四）引用文件1.《中華人民共和國網(wǎng)絡(luò)安全法》2.《信息安全等級保護(hù)管理辦法》3.《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》4.《電力行業(yè)信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》二、等級保護(hù)工作組織與職責(zé)（一）組織架構(gòu)電力企業(yè)應(yīng)建立健全等級保護(hù)工作組織架構(gòu)，明確各部門在等級保護(hù)工作中的職責(zé)分工。一般應(yīng)設(shè)立由企業(yè)負(fù)責(zé)人擔(dān)任組長的等級保護(hù)工作領(lǐng)導(dǎo)小組，負(fù)責(zé)領(lǐng)導(dǎo)和決策等級保護(hù)工作中的重大事項(xiàng)；設(shè)立等級保護(hù)工作辦公室，負(fù)責(zé)組織實(shí)施等級保護(hù)工作；設(shè)立技術(shù)支持小組和安全管理小組，分別負(fù)責(zé)信息系統(tǒng)的技術(shù)安全防護(hù)和安全管理工作。（二）職責(zé)分工1.等級保護(hù)工作領(lǐng)導(dǎo)小組職責(zé)貫徹執(zhí)行國家有關(guān)信息安全等級保護(hù)的法律法規(guī)和政策標(biāo)準(zhǔn)。審定電力企業(yè)信息系統(tǒng)等級保護(hù)工作規(guī)劃、計(jì)劃和方案。協(xié)調(diào)解決等級保護(hù)工作中的重大問題。監(jiān)督檢查等級保護(hù)工作的落實(shí)情況。2.等級保護(hù)工作辦公室職責(zé)制定和完善電力企業(yè)信息系統(tǒng)等級保護(hù)工作制度和流程。組織開展信息系統(tǒng)定級備案工作。協(xié)調(diào)技術(shù)支持小組和安全管理小組開展等級保護(hù)工作。定期向等級保護(hù)工作領(lǐng)導(dǎo)小組匯報(bào)工作進(jìn)展情況。組織開展等級保護(hù)工作的培訓(xùn)和宣傳。3.技術(shù)支持小組職責(zé)負(fù)責(zé)信息系統(tǒng)的安全技術(shù)防護(hù)體系建設(shè)，包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等方面。定期對信息系統(tǒng)進(jìn)行安全檢測和評估，及時(shí)發(fā)現(xiàn)和處理安全隱患。制定信息系統(tǒng)應(yīng)急預(yù)案，組織開展應(yīng)急演練。為安全管理小組提供技術(shù)支持和指導(dǎo)。4.安全管理小組職責(zé)建立健全信息系統(tǒng)安全管理制度，包括人員安全管理、安全審計(jì)、安全培訓(xùn)等方面。加強(qiáng)對信息系統(tǒng)用戶的安全管理，規(guī)范用戶操作行為。組織開展信息系統(tǒng)安全審計(jì)工作，及時(shí)發(fā)現(xiàn)和處理違規(guī)行為。制定信息系統(tǒng)安全培訓(xùn)計(jì)劃，提高員工的安全意識(shí)和技能。三、信息系統(tǒng)定級與備案（一）定級原則電力企業(yè)信息系統(tǒng)的定級應(yīng)遵循以下原則：1.對國家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公共利益以及網(wǎng)絡(luò)與信息系統(tǒng)自身安全的影響程度。2.信息系統(tǒng)所承載業(yè)務(wù)的重要性。3.信息系統(tǒng)的影響范圍。（二）定級流程1.電力企業(yè)應(yīng)組織相關(guān)部門和人員對信息系統(tǒng)進(jìn)行梳理，確定信息系統(tǒng)的邊界和主要功能。2.根據(jù)定級原則，對信息系統(tǒng)進(jìn)行初步定級。3.組織專家對初步定級結(jié)果進(jìn)行評審，形成最終定級報(bào)告。4.將定級報(bào)告報(bào)當(dāng)?shù)毓矙C(jī)關(guān)備案。（三）備案要求1.電力企業(yè)應(yīng)在信息系統(tǒng)定級后30日內(nèi)，將定級報(bào)告及相關(guān)材料報(bào)送當(dāng)?shù)毓矙C(jī)關(guān)備案。2.備案材料應(yīng)包括信息系統(tǒng)定級報(bào)告、信息系統(tǒng)基本情況介紹、信息系統(tǒng)安全保護(hù)方案等。3.公安機(jī)關(guān)對備案材料進(jìn)行審核，對符合要求的予以備案，對不符合要求的提出整改意見。四、等級保護(hù)建設(shè)整改（一）建設(shè)整改方案制定1.電力企業(yè)應(yīng)根據(jù)信息系統(tǒng)的定級結(jié)果和安全需求，制定等級保護(hù)建設(shè)整改方案。2.建設(shè)整改方案應(yīng)包括安全策略制定、安全技術(shù)措施建設(shè)、安全管理措施建設(shè)等內(nèi)容。3.建設(shè)整改方案應(yīng)明確整改目標(biāo)、整改任務(wù)、整改責(zé)任人、整改時(shí)間節(jié)點(diǎn)等。（二）建設(shè)整改實(shí)施1.電力企業(yè)應(yīng)按照建設(shè)整改方案組織實(shí)施整改工作，確保整改工作按時(shí)完成。2.在整改過程中，應(yīng)嚴(yán)格遵守國家有關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)，確保整改工作的合法性和規(guī)范性。3.整改工作完成后，應(yīng)組織相關(guān)部門和人員對整改效果進(jìn)行驗(yàn)收，確保信息系統(tǒng)符合等級保護(hù)要求。（三）建設(shè)整改監(jiān)督與檢查1.電力企業(yè)應(yīng)建立健全建設(shè)整改監(jiān)督檢查機(jī)制，定期對整改工作進(jìn)行監(jiān)督檢查。2.監(jiān)督檢查內(nèi)容包括整改工作進(jìn)展情況、整改質(zhì)量、整改效果等。3.對發(fā)現(xiàn)的問題應(yīng)及時(shí)督促整改責(zé)任人進(jìn)行整改，確保整改工作順利進(jìn)行。五、等級保護(hù)測評與驗(yàn)收（一）測評機(jī)構(gòu)選擇1.電力企業(yè)應(yīng)選擇具有國家認(rèn)可資質(zhì)的測評機(jī)構(gòu)對信息系統(tǒng)進(jìn)行等級保護(hù)測評。2.測評機(jī)構(gòu)應(yīng)具備獨(dú)立的法人資格、完善的質(zhì)量管理體系和專業(yè)的測評技術(shù)人員。（二）測評流程1.測評機(jī)構(gòu)應(yīng)根據(jù)電力企業(yè)信息系統(tǒng)的特點(diǎn)和測評要求，制定測評方案。2.測評機(jī)構(gòu)應(yīng)按照測評方案對信息系統(tǒng)進(jìn)行全面的測評，包括安全技術(shù)測評和安全管理測評。3.測評機(jī)構(gòu)應(yīng)出具測評報(bào)告，明確信息系統(tǒng)的安全狀況和存在的問題，并提出整改建議。（三）驗(yàn)收要求1.電力企業(yè)應(yīng)在信息系統(tǒng)建設(shè)整改完成后，組織相關(guān)部門和人員對信息系統(tǒng)進(jìn)行自評估。2.自評估合格后，電力企業(yè)應(yīng)向測評機(jī)構(gòu)提出測評申請。3.測評機(jī)構(gòu)應(yīng)按照測評流程對信息系統(tǒng)進(jìn)行測評，測評結(jié)果符合等級保護(hù)要求的，電力企業(yè)應(yīng)組織相關(guān)部門和人員對信息系統(tǒng)進(jìn)行驗(yàn)收。4.驗(yàn)收內(nèi)容包括信息系統(tǒng)的安全技術(shù)措施、安全管理措施、應(yīng)急處置能力等方面。5.驗(yàn)收合格后，電力企業(yè)應(yīng)將驗(yàn)收報(bào)告報(bào)當(dāng)?shù)毓矙C(jī)關(guān)備案。六、等級保護(hù)監(jiān)督與檢查（一）監(jiān)督檢查主體1.公安機(jī)關(guān)負(fù)責(zé)對電力企業(yè)信息系統(tǒng)等級保護(hù)工作進(jìn)行監(jiān)督檢查。2.電力監(jiān)管機(jī)構(gòu)負(fù)責(zé)對電力企業(yè)信息系統(tǒng)安全保護(hù)工作進(jìn)行監(jiān)督管理。（二）監(jiān)督檢查內(nèi)容1.信息系統(tǒng)定級備案情況。2.等級保護(hù)建設(shè)整改情況。3.等級保護(hù)測評與驗(yàn)收情況。4.信息系統(tǒng)安全管理制度建設(shè)和執(zhí)行情況。5.信息系統(tǒng)安全技術(shù)措施和安全管理措施落實(shí)情況。（三）監(jiān)督檢查方式1.定期檢查公安機(jī)關(guān)和電力監(jiān)管機(jī)構(gòu)應(yīng)定期對電力企業(yè)信息系統(tǒng)等級保護(hù)工作進(jìn)行檢查，檢查周期一般為每年一次。2.不定期抽查公安機(jī)關(guān)和電力監(jiān)管機(jī)構(gòu)可根據(jù)工作需要，對電力企業(yè)信息系統(tǒng)等級保護(hù)工作進(jìn)行不定期抽查。3.專項(xiàng)檢查針對電力行業(yè)信息系統(tǒng)安全的突出問題，公安機(jī)關(guān)和電力監(jiān)管機(jī)構(gòu)可組織開展專項(xiàng)檢查。（四）問題整改1.公安機(jī)關(guān)和電力監(jiān)管機(jī)構(gòu)在監(jiān)督檢查過程中發(fā)現(xiàn)的問題，應(yīng)及時(shí)下達(dá)整改通知書，要求電力企業(yè)限期整改。2.電力企業(yè)應(yīng)按照整改通知書的要求，制定整改方案，組織實(shí)施整改工作，并將整改情況及時(shí)報(bào)告公安機(jī)關(guān)和電力監(jiān)管機(jī)構(gòu)。3.公安機(jī)關(guān)和電力監(jiān)管機(jī)構(gòu)應(yīng)對電力企業(yè)的整改情況進(jìn)行跟蹤檢查，確保問題得到徹底整改。七、應(yīng)急管理（一）應(yīng)急預(yù)案制定1.電力企業(yè)應(yīng)根據(jù)信息系統(tǒng)的特點(diǎn)和安全需求，制定信息系統(tǒng)應(yīng)急預(yù)案。2.應(yīng)急預(yù)案應(yīng)包括應(yīng)急組織機(jī)構(gòu)、應(yīng)急響應(yīng)流程、應(yīng)急處置措施、應(yīng)急資源保障等內(nèi)容。3.應(yīng)急預(yù)案應(yīng)定期進(jìn)行修訂和演練，確保其有效性和可操作性。（二）應(yīng)急處置1.發(fā)生信息系統(tǒng)安全事件時(shí)，電力企業(yè)應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，采取應(yīng)急處置措施，防止事件擴(kuò)大。2.應(yīng)急處置措施應(yīng)包括事件報(bào)告、事件調(diào)查、事件處置、事件恢復(fù)等環(huán)節(jié)。3.電力企業(yè)應(yīng)及時(shí)向上級主管部門和當(dāng)?shù)毓矙C(jī)關(guān)報(bào)告事件情況，并配合相關(guān)部門進(jìn)行事件調(diào)查和處置。（三）應(yīng)急保障1.電力企業(yè)應(yīng)建立健全應(yīng)急保障體系，包括應(yīng)急隊(duì)伍建設(shè)、應(yīng)急物資儲(chǔ)備、應(yīng)急通信保障等方面。2.應(yīng)急隊(duì)伍應(yīng)具備專業(yè)的應(yīng)急處置技能和知識(shí)，定期進(jìn)行培訓(xùn)和演練。3.應(yīng)急物資應(yīng)儲(chǔ)備充足，確保在應(yīng)急處置過程中能夠及時(shí)調(diào)配使用。4.應(yīng)急通信應(yīng)暢通無阻，確保應(yīng)急指揮和協(xié)調(diào)工作的順利進(jìn)行。八、培訓(xùn)與宣傳（一）培訓(xùn)計(jì)劃制定1.電力企業(yè)應(yīng)制定信息系統(tǒng)等級保護(hù)培訓(xùn)計(jì)劃，明確培訓(xùn)目標(biāo)、培訓(xùn)內(nèi)容、培訓(xùn)對象、培訓(xùn)時(shí)間等。2.培訓(xùn)內(nèi)容應(yīng)包括國家有關(guān)信息安全等級保護(hù)的法律法規(guī)和政策標(biāo)準(zhǔn)、信息系統(tǒng)安全技術(shù)和管理知識(shí)等。（二）培訓(xùn)實(shí)施1.電力企業(yè)應(yīng)按照培訓(xùn)計(jì)劃組織開展培訓(xùn)工作，確保培訓(xùn)質(zhì)量和效果。2.培訓(xùn)方式可采用內(nèi)部培訓(xùn)、外部培訓(xùn)、在線培訓(xùn)等多種形式。3.培訓(xùn)對象應(yīng)包括企業(yè)負(fù)責(zé)人、信息系統(tǒng)管理人員、安全技術(shù)人員、普通員