电力企业的网络安全等级保护的一般职责

电力企业的一般职责
职责	具体内容
网络安全主体责任	电力企业主要负责人是本单位网络安全的第一责任人。电力企业应当建立健全网络安全管理、评价考核制度体系，应当成立工作领导机构，明确责任部门，设立专职岗位，定义岗位职责，明确人员分工和技能要求，建立健全网络安全责任制。
网络安全保护与监测	►电力企业应当按照电力监控系统安全防护规定、关键信息基础设施安全保护制度、数据安全保护制度及网络安全审查工作机制的要求，对本单位的网络与信息系统进行安全保护，并将网络安全纳入安全生产管理体系； ►电力企业应当按照国家网络安全等级保护制度，对本单位的网络与信息系统进行安全保护，并将网络安全纳入安全生产管理体系。 ►电力企业应当依据国家和行业相关标准、规程和规范开展网络安全技术监督工作，可委托网络安全服务机构协助开展； ►电力企业应当建立健全本单位网络安全监测预警和信息通报机制，及时掌握本单位网络安全运行状况、安全态势，及时处置网络安全威胁与隐患，定期向国家能源局和地方能源主管部门报告有关情况。
信息系统建设	►电力企业规划设计信息系统时，应当明确系统的安全保护需求，保证安全技术措施同步规划、同步建设、同步使用，设计合理的总体安全方案并经专业技术人员评审通过，制定安全实施计划，负责信息系统安全建设工程的实施。信息系统上线前，电力企业应委托网络安全服务机构开展第三方安全测试。
网络安全产品采购	►电力企业应当选用符合国家有关规定、满足网络安全要求的信息技术产品和服务，开展信息系统安全建设或改建工作。 ►接入生产控制大区的涉网安全产品需经电力调度机构同意； ►电力企业禁止选择被国家能源局通报有不良行为或被相关管理部门通报整改的网络安全服务机构； ►电力企业应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，发现存在安全漏洞后，应当立即采取措施，及时对安全漏洞进行验证与修补； ►电力企业应当督促电力监控系统专用安全产品研发单位和供应商按国家有关要求做好保密工作，防止关键技术泄露。严禁在互联网上销售、购买电力监控系统专用安全产品。
评估与检测	►电力企业应当按照国家有关规定开展电力监控系统安全防护评估、网络安全等级保护测评、关键信息基础设施安全检测和风险评估、商用密码应用安全性评估和网络安全审查等工作，未达到要求的应当及时进行整改； ►电力企业应当按照国家有关规定开展网络安全风险评估工作，建立健全网络安全风险评估的自评估和检查评估制度，完善网络安全风险管理机制。发现风险隐患可能对电力行业网络安全产生较大影响的，应当向国家能源局和地方能源主管部门报告；
应急处置	►电力企业应当按照电力行业网络安全事件应急预案，制修订本单位网络安全事件应急预案，每年至少开展一次应急演练。制修订电力监控系统专项网络安全事件应急预案并定期组织演练。定期组织开展网络攻防演习，检验安全防护和应急处置能力。 ►电力企业应当在国家重要活动、会议期间结合实际制定网络安全保障专项工作方案和应急预案，成立保障组织机构，明确目标任务，细化措施要求，组织预案演练，确保重要信息系统、电力监控系统安全稳定运行。 ►电力企业发生网络安全事件后，应当立即启动网络安全事件应急预案，及时采取有效措施，消除安全隐患，防止危害扩大，尽可能保护好现场，按规定做好信息上报工作。
数据安全和个人信息保护	►电力企业应当建立健全全流程数据安全管理和个人信息保护制度，按照国家和行业重要数据目录及数据分类分级保护相关要求，确定本单位的重要数据具体目录，对列入目录的数据进行重点保护。
容灾备份	►电力企业应当按照国家有关规定，建立健全容灾备份制度，对关键系统和重要数据进行有效备份。
资金保障	►电力企业应当建立网络安全资金保障制度，安排网络安全专项预算，确保网络安全投入不低于信息化总投入的5%。
员工培训和人员意识教育	►电力企业应当加强网络安全从业人员考核和管理，做好全员网络安全宣传教育，提高网络安全意识。从业人员应当定期接受相应的政策规范和专业技能培训，并经培训合格后上岗。
报送	►电力企业应依法依规开展关键信息基础设施认定、报送工作，关键信息基础设施发生重大变化，可能影响其认定结果的，应及时将相关情况报告国家能源局和地方能源主管部门。 ►电力企业应当于每年11月1日前，将当年网络安全工作的专项总结报送国家能源局及其派出机构、地方能源主管部门。