关于印发《山西电力工控信息安全专项监管工作方案》的通知(晋电监安全〔2013〕66号)
各有关电力企业:
为进一步加强电力工控信息安全监管工作,维护全省电力系统安全稳定运行和电力的可靠供应,根据2013年电力监管工作的总体部署,结合山西电力行业实际,我办制定了《电力工控信息安全专项监管工作方案》,现印发给你们,请认真组织实施。
2013年4月22日
山西电力工控信息安全专项监管工作方案
为贯彻落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2013〕23号),加强电力工控信息安全监管工作,维护电力系统安全稳定运行和电力的可靠供应,按照2013年电力监管工作的总体部署,结合山西电力行业实际,依据《电力监管条例》、《电力二次系统安全防护规定》、《电力行业网络与信息安全监督管理暂行规定》等法规文件,制定本工作方案。
一、工作目标
落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》和工业和信息化部《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)要求,以工控系统安全评估和等级测评为抓手,进一步督促落实电力企业和工控设备供应商的信息安全主体责任,重点做好工控设备信息安全风险排查处置,维护电力系统安全稳定运行。
二、组织机构
组 长:宋晋冀 山西电监办副专员
副组长:史 健 山西电监办安全监管处处长
张亚娟 山西电监办综合处处长
何永佳 山西电监办安全监管处调研员
成 员:刘会飞 山西电监办安全监管处
龙 颖 山西电监办综合处
王慧杰 山西电监办安全监管处
刘 智 山西电监办安全监管处
三、工作任务
针对工控系统及设备信息安全方面的薄弱环节,建立电力工控信息安全监督管理工作机制,开展工控设备信息安全风险排查处置,规范和加强核电、风电、光伏及配电侧二次系统安全防护,组织开展二次安全评估和等级测评及整改工作。
四、重点内容
(一)建立电力行业工控信息安全监督管理工作机制
根据电力工控信息安全工作需要,进一步扩展力量,加强管理,规范工作程序,不断加强在工控设备和系统信息安全检测、电力二次安全评估、等级测评和整改实施等方面的能力建设,持续提高电力工控信息安全技术服务支撑能力。在已有网络与信息安全漏洞监测通报机制的基础上,主要依托电力行业信息安全等级保护测评中心和国家有关技术力量,进一步强化工控信息安全漏洞监测力度,加强漏洞检测验证和风险研判工作。要畅通电力监管机构、电力企业和工控设备厂商之间的信息通报渠道,提高应急处置效率,及时对已检测验证的信息安全风险进行通报预警。要进一步落实电力企业和工控设备供应厂商的主体责任,督促建立工控信息安全风险管理和整改制度,加大督促检查力度,探索建立信息安全缺陷设备召回制度,逐步形成工控信息安全风险闭环管理机制。
(二)风电、光伏和配电侧二次系统安全防护工作
按照风电、光伏和配电侧二次系统安全防护的有关规定,组织做好安全防护相关工作,进一步扩展和完善电力二次系统安全防护体系,其中核电站要重点做好安全区划分工作,风电、光伏电站要重点强化对于远程维护系统的安全防护,配电侧负荷管理系统(包括具有相应功能的其他系统)、配电自动化系统等要重点强化对于下发控制指令的安全防护。各省级电力集团公司要加强对于风电、光伏和配电侧二次系统安全防护工作的监督检查,对于存在的问题要及时督促整改。
(三)工控设备信息安全风险排查整改工作
一是在做好相关设备信息安全风险整改试点的基础上,结合电厂检修周期,安排整改计划,形成整改方案,全面组织开展整改。二是同步组织开展其它主流工控设备厂商信息安全漏洞的检测验证工作,督促有关设备厂商制定整改方案,组织电力企业排查整改。
(四)电力二次系统安全防护评估和等级测评及整改工作
各电力企业要结合《2012年度电力行业重要生产控制系统信息安全监管通报》,继续组织做好电力二次系统安全防护评估和安全等级保护测评工作,对于发现的问题,要按照有关要求,及时安排整改到位,切实提高信息安全防护能力。
印发《山西电力工控信息安全专项监管工作方案》,全面部署电力行业工控信息安全专项监管工作。电力企业要结合本企业工控信息安全的实际情况,制定切实可行的实施方案,建立健全工控信息安全风险闭环管理机制,针对行业所通报的工控信息安全风险,部署本单位的工控信息安全风险排查整改行动。
(二)组织实施阶段(2013年4-10月)
1、4-12月,组织开展电力工控设备信息安全漏洞的检测验证工作,同步组织开展整改方案制定和整改部署工作。
2、4-12月,组织开展电力二次系统安全防护评估和等级测 评及整改工作。
3、4-12月,组织开展风电、光伏和配电侧二次系统安全防护工作。
4、10月,组织开展电力工控信息安全 风险排查整改开展情况的督促检查工作,对于发现突出问题,督导电力企业和工控设备厂商及时落实整改措施,确保电力行业工控信息安全专项监管取得实效。
(三)总结阶段(2013年10-12月)
11月底前,各电力企业要将本单位工控信息安全风险排查 整改情况形成总结报告,山西电监办将对本区域电力工控信息安全专项监管工作开展情况进行总结,印发《电力行业工控信息安全监管通报》,提出监管意见。
六、监管事项
(一)监管对象
电网企业、发电企业、工控设备厂商。
(二)监管方式
漏洞监测检测,企业排查,风险整改,监督检查,发布专项监管通报。
(三)工作成果
1、印发《电力行业工控信息安全监管通报》;
2、配合完成《电力行业工控信息安全监督管理暂行规定》和《电力二次系统安全防护评估管理办法》。
七、工作要求
(一)加强领导,落实责任。各电力企业要高度重视工控信息安全专项监管工作,将加强工控信息安全风险排查整改、开展二次安全防护作为提高电力工控信息安全的有效手段,切实加强组织领导,制定切实可行的实施方案,分解落实各项工作任务,精心组织安排,确保专项监管取得实效。
(二)突出重点,注重实效。工控设备厂商和电力企业对经检测验证确定为具有较高风险的信息安全漏洞,要及时制定整改方案,及时落实整改措施。要建立工控信息安全风险闭环管理机制,重点规范工控信息安全风险监测检测、通报预警、排查整改和监督检查程序,明确职责,促使电力信息安全防护水平持续提高。
(三)统筹兼顾,协同推进。各电力企业要合理规划全年工作,在统筹安排做好工控信息安全风险排查整改的同时,注重做好核电、风电、光伏和配电侧二次安全防护工作,要结合二次安全评估和等级测评,及时落实各项措施,逐步消除工控信息安全风险,提高电力系统安全防护水平。要建立有关制度,在系统设计、建设阶段,加强对存在信息安全风险的工控设备和系统的安全管理,协同推进工控信息安全工作。
(四)及时总结,推广经验。各电力企业要及时总结工控信息安全专项监管工作,总结经验,提炼好的做法,及时制度化,逐步完善本单位工控信息安全风险闭环管理机制。对于好的经验和做法,山西电监办将在全省电力系统内进行通报推广。
为进一步加强电力工控信息安全监管工作,维护全省电力系统安全稳定运行和电力的可靠供应,根据2013年电力监管工作的总体部署,结合山西电力行业实际,我办制定了《电力工控信息安全专项监管工作方案》,现印发给你们,请认真组织实施。
2013年4月22日
山西电力工控信息安全专项监管工作方案
为贯彻落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2013〕23号),加强电力工控信息安全监管工作,维护电力系统安全稳定运行和电力的可靠供应,按照2013年电力监管工作的总体部署,结合山西电力行业实际,依据《电力监管条例》、《电力二次系统安全防护规定》、《电力行业网络与信息安全监督管理暂行规定》等法规文件,制定本工作方案。
一、工作目标
落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》和工业和信息化部《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)要求,以工控系统安全评估和等级测评为抓手,进一步督促落实电力企业和工控设备供应商的信息安全主体责任,重点做好工控设备信息安全风险排查处置,维护电力系统安全稳定运行。
二、组织机构
组 长:宋晋冀 山西电监办副专员
副组长:史 健 山西电监办安全监管处处长
张亚娟 山西电监办综合处处长
何永佳 山西电监办安全监管处调研员
成 员:刘会飞 山西电监办安全监管处
龙 颖 山西电监办综合处
王慧杰 山西电监办安全监管处
刘 智 山西电监办安全监管处
三、工作任务
针对工控系统及设备信息安全方面的薄弱环节,建立电力工控信息安全监督管理工作机制,开展工控设备信息安全风险排查处置,规范和加强核电、风电、光伏及配电侧二次系统安全防护,组织开展二次安全评估和等级测评及整改工作。
四、重点内容
(一)建立电力行业工控信息安全监督管理工作机制
根据电力工控信息安全工作需要,进一步扩展力量,加强管理,规范工作程序,不断加强在工控设备和系统信息安全检测、电力二次安全评估、等级测评和整改实施等方面的能力建设,持续提高电力工控信息安全技术服务支撑能力。在已有网络与信息安全漏洞监测通报机制的基础上,主要依托电力行业信息安全等级保护测评中心和国家有关技术力量,进一步强化工控信息安全漏洞监测力度,加强漏洞检测验证和风险研判工作。要畅通电力监管机构、电力企业和工控设备厂商之间的信息通报渠道,提高应急处置效率,及时对已检测验证的信息安全风险进行通报预警。要进一步落实电力企业和工控设备供应厂商的主体责任,督促建立工控信息安全风险管理和整改制度,加大督促检查力度,探索建立信息安全缺陷设备召回制度,逐步形成工控信息安全风险闭环管理机制。
(二)风电、光伏和配电侧二次系统安全防护工作
按照风电、光伏和配电侧二次系统安全防护的有关规定,组织做好安全防护相关工作,进一步扩展和完善电力二次系统安全防护体系,其中核电站要重点做好安全区划分工作,风电、光伏电站要重点强化对于远程维护系统的安全防护,配电侧负荷管理系统(包括具有相应功能的其他系统)、配电自动化系统等要重点强化对于下发控制指令的安全防护。各省级电力集团公司要加强对于风电、光伏和配电侧二次系统安全防护工作的监督检查,对于存在的问题要及时督促整改。
(三)工控设备信息安全风险排查整改工作
一是在做好相关设备信息安全风险整改试点的基础上,结合电厂检修周期,安排整改计划,形成整改方案,全面组织开展整改。二是同步组织开展其它主流工控设备厂商信息安全漏洞的检测验证工作,督促有关设备厂商制定整改方案,组织电力企业排查整改。
(四)电力二次系统安全防护评估和等级测评及整改工作
各电力企业要结合《2012年度电力行业重要生产控制系统信息安全监管通报》,继续组织做好电力二次系统安全防护评估和安全等级保护测评工作,对于发现的问题,要按照有关要求,及时安排整改到位,切实提高信息安全防护能力。
- 时间部署
印发《山西电力工控信息安全专项监管工作方案》,全面部署电力行业工控信息安全专项监管工作。电力企业要结合本企业工控信息安全的实际情况,制定切实可行的实施方案,建立健全工控信息安全风险闭环管理机制,针对行业所通报的工控信息安全风险,部署本单位的工控信息安全风险排查整改行动。
(二)组织实施阶段(2013年4-10月)
1、4-12月,组织开展电力工控设备信息安全漏洞的检测验证工作,同步组织开展整改方案制定和整改部署工作。
2、4-12月,组织开展电力二次系统安全防护评估和等级测 评及整改工作。
3、4-12月,组织开展风电、光伏和配电侧二次系统安全防护工作。
4、10月,组织开展电力工控信息安全 风险排查整改开展情况的督促检查工作,对于发现突出问题,督导电力企业和工控设备厂商及时落实整改措施,确保电力行业工控信息安全专项监管取得实效。
(三)总结阶段(2013年10-12月)
11月底前,各电力企业要将本单位工控信息安全风险排查 整改情况形成总结报告,山西电监办将对本区域电力工控信息安全专项监管工作开展情况进行总结,印发《电力行业工控信息安全监管通报》,提出监管意见。
六、监管事项
(一)监管对象
电网企业、发电企业、工控设备厂商。
(二)监管方式
漏洞监测检测,企业排查,风险整改,监督检查,发布专项监管通报。
(三)工作成果
1、印发《电力行业工控信息安全监管通报》;
2、配合完成《电力行业工控信息安全监督管理暂行规定》和《电力二次系统安全防护评估管理办法》。
七、工作要求
(一)加强领导,落实责任。各电力企业要高度重视工控信息安全专项监管工作,将加强工控信息安全风险排查整改、开展二次安全防护作为提高电力工控信息安全的有效手段,切实加强组织领导,制定切实可行的实施方案,分解落实各项工作任务,精心组织安排,确保专项监管取得实效。
(二)突出重点,注重实效。工控设备厂商和电力企业对经检测验证确定为具有较高风险的信息安全漏洞,要及时制定整改方案,及时落实整改措施。要建立工控信息安全风险闭环管理机制,重点规范工控信息安全风险监测检测、通报预警、排查整改和监督检查程序,明确职责,促使电力信息安全防护水平持续提高。
(三)统筹兼顾,协同推进。各电力企业要合理规划全年工作,在统筹安排做好工控信息安全风险排查整改的同时,注重做好核电、风电、光伏和配电侧二次安全防护工作,要结合二次安全评估和等级测评,及时落实各项措施,逐步消除工控信息安全风险,提高电力系统安全防护水平。要建立有关制度,在系统设计、建设阶段,加强对存在信息安全风险的工控设备和系统的安全管理,协同推进工控信息安全工作。
(四)及时总结,推广经验。各电力企业要及时总结工控信息安全专项监管工作,总结经验,提炼好的做法,及时制度化,逐步完善本单位工控信息安全风险闭环管理机制。对于好的经验和做法,山西电监办将在全省电力系统内进行通报推广。
扫一扫在手机打开当前页
办公地址: 山西省太原市杏花岭区南肖墙12号 邮编:030006邮箱:sxb@nea.gov.cn
主办单位: 国家能源局山西监管办公室
京公网安备 11010202007691
网站标识码: bm62000001
京ICP备11044902号
国家能源局山西监管办公室版权所有,如需转载,请注明来源