网络安全等级保护及安全评估管理办法.pdfVIP

网络安全等级保护及安全评估管理办法--第1页

网络安全等级保护及安全评估管理办法

第一章总则

第一条为进一步落实国家和电力行业网络安全等级保护及

安全评估要求，规范中国某集团有限公司（以下简称集团公司）

相关工作，确保依法合规，依据《中华人民共和国网络安全法》、

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保

护制度的指导意见》、《电力监控系统安全防护规定》、《电力行业

信息安全等级保护管理办法》等法规和相关要求，结合集团公司

实际，制定本办法。

第二条按照“谁主管谁负责、谁运营谁负责、谁使用谁负

责”的原则，将网络安全等级保护与安全防护评估工作纳入日常

安全生产管理体系，确保等级保护及安全防护评估责任层层落

实，具体到人。

第三条本办法适用于集团公司总部，各分子公司、直属机

1

网络安全等级保护及安全评估管理办法--第1页

网络安全等级保护及安全评估管理办法--第2页

构、基层企业（以下简称为各级企业）。

第四条集团公司信息中心是集团公司网络安全等级保护与

安全防护评估工作的归口管理部门。

第五条各级企业是网络安全等级保护与安全防护评估工作

的责任主体，要按照国家等级保护制度要求，将信息系统、基础

设施网络、云计算平台、大数据平台、物联网系统、工业控制系

统（电力监控系统）纳入保护范围，深化网络安全等级保护定级

备案、安全建设、等级测评、安全整改、监督检查全过程工作。

第二章等级保护

第六条各级企业应当依据《网络安全等级保护定级指南》

国家标准和《电力行业信息系统安全等级保护定级工作指导意

见》的要求，规范开展信息系统的定级备案工作。按照“确定定

级对象、初步确定等级、专家评审、集团公司审核、公安机关备

2

网络安全等级保护及安全评估管理办法--第2页

网络安全等级保护及安全评估管理办法--第3页

案审查”流程确定安全保护等级，各级企业不再自主定级。

第七条各级企业应按照国家及行业要求及时到公安机关办

理备案手续，并向集团公司报备。对新建系统，应在可行性研究

报告报批前确定网络安全保护等级，并严格按照安全保护等级编

制安全方案。对退役系统，应按照国家及行业要求及时办理备案

撤销手续。

第八条各级企业应依据国家及行业相关标准规范要求，对

已定级备案系统的安全性进行检测评估。第三级及以上系统应委

托符合国家有关规定的等级测评机构，每年开展一次网络安全等

级测评，并及时将等级测评报告提交受理备案的公安机关和集团

公司。第二级系统应按照规定的周期委托有资质的测评机构开展

等级保护测评工作。当系统发生重大升级、等级变化、系统变更

或迁移后需要重新进行测评。

新建第三级及以上系统，应通过等保测评和问题整改后方可

投入运行。

3

网络安全等级保护及安全评估管理办法--第3页

网络安全等级保护及安全评估管理办法--第4页

第九条各级企业应当定期对定级系统的安全状况、安全保

护制度及措施的落实情况进行自查。第二级系统应当每两年至少

进行一次自查，第三级系统应当每年至少一次开展自查。

第十条经测评或自查确认未达到安全保护等级要求的系

统，运营单位应当制定方案进行整改。

第十一条第三级及以上系统应按照《密码法》等法律法规

和标准规范要求，使用密码技术进行安全保护，密码应用与系统

同步规划、同步