电力行业网络安全管理办法正式发布

2023-07-11

电力行业网络安全管理

能源局关于发行

的通知

电力行业网络安全管理办法

国能发安全规〔2022〕100号各省（自治区、直辖市）

能源局、有关省（自治区、直辖市）和新疆生产建设兵团发展改革委、工业和信息化主管部门、北京市城管委、派出机构、 国家电力安全生产委员会企业会员单位及相关电力企业：

为深入贯彻落实习近平总书记网络电力重要思想，加强电力行业网络安全监督管理，规范电力行业网络安全工作，国家能源局修订了《电力行业网络与信息安全管理办法》（国能安全〔2014〕317号）。现将修订后的《电力行业网络安全管理办法》印发给您，敬请您遵照执行。

能源局

11月 16， 2022

电力行业网络安全管理办法

第一章 总则第一条 本办法依照《中华人民共和国网络安全法》、《中华人民共和国密码法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《计算机信息系统安全保护中华人民共和国条例》、《计算机信息系统安全保护条例》、《

计算机信息系统安全保护条例》、《中华人民共和国个人信息保护法》、《中华人民共和国个人信息管理法》、《中华人民共和国个人信息管理法》、《中华人民共和国个人信息管理法》、《中华人民共和国中华人民共和国个人信息管理法》、《中华人民共和国中华人民共和国个人信息“ 的

《关键信息基础设施安全保护中华人民共和国条例》和国家有关规定，加强电力行业网络安全监督管理，规范电力行业网络安全工作。

第二条 电力行业网络安全工作的目标是建立健全网络安全保障体系和网络安全保障体系。

落实责任制，提高网络安全保护能力，确保电力系统安全稳定运行和可靠供电。

第三条 本办法适用于中华人民共和国境内电力企业网络建设、运行、维护和使用（核安全除外）以及网络安全监督管理。

本办法所称网络，是指由计算机或者其他信息终端及相关设备按照一定的规则和程序收集、存储、传输、交换、处理信息的系统，包括电力监控系统、管理信息系统、通信网络设施等。

涉及国家秘密的网络，不适用本办法。涉及国家秘密的网络，应当按照保密工作部门的规定和涉密信息系统管理技术标准，结合网络实际情况进行管理。

第四条 电力行业网络安全工作坚持“主动防御、综合防范”的原则，遵循“依法管理、分工负责、统筹规划、突出重点”的原则。

第二章 监督管理职责

第五条 国家能源局及其派出机构、负责电力行业网络安全监督管理的地方能源主管部门（以下简称行业主管部门）应当依照法律法规的规定，在各自职责范围内履行电力行业网络安全监督管理职责。

第六条 电力行业网络安全监督管理工作主要包括以下内容：

（一）组织贯彻落实国家网络安全方针政策和重大部署，并与电力安全生产监督管理相衔接;

（二）组织制定电力行业网络安全等级保护、关键信息基础设施安全保护、电力监控系统安全保护、网络安全监测预警信息通报、网络安全事件应急处置等领域的政策法规和技术规范，并监督实施;（三）组织确定电力行业关键信息基础设施，制定关键信息基础设施安全规划，建立关键信息基础设施网络安全

监测预警体系，组织开展关键信息基础设施网络安全检查和检测，指导关键信息基础设施运营者做好网络安全响应和处置工作。事件;

（四）组织或者参与网络安全事件调查处理的;

（五）督促电力企业落实网络安全责任，保障网络安全资金，开展网络安全保护能力建设;

（六）组织开展电力行业网络安全信息报送等工作;

（七）引导、督促电力企业做好网络安全宣传教育工作;（

八）推动网络安全模拟验证环境（射击场）建设，组织建立网络安全监督管理技术支撑体系;

（九）其他有关电力行业网络安全监督管理的事项。

第七条 电力调度机构负责直发范围内电力调度机构、集中控制中心、变电站（换流站）、电厂（站）等各类机构电力监控系统安全防护的技术监督。主要包括以下内容：

（一）组织或者委托电力监控系统安全防护评估机构在调度范围内开展电力监控系统自我评估工作，配合开展电力监控系统检查评价，负责电力监控系统安全应急处置统一指挥调度，参与电力监控网络安全事件调查分析。系统;

（二）组织督促各有关单位开展电力监控系统安全防护技术培训交流，贯彻执行电力监控系统安全防护相关国家和行业标准、规程和规范;

（3）负责电力监控系统专用安全产品的监督管理;

制定电力监控系统专用安全产品管理办法，并监督实施;

（四）将并网电厂电力监控系统电网相关部分网络安全运行状态纳入监控;

（五）每年11月1日前向行业部门报告技术监督工作进展情况。

第三章 电力企业的责任和义务

第八条 电力企业是本单位网络安全的主体，对本单位网络安全工作负责。

第九条 电力企业主要负责人是本单位网络安全的第一责任人。电力企业应当建立健全网络安全管理、考核制度，建立工作领导机构，明确责任部门，设置专职岗位，明确岗位职责，明确人员分工和技能要求，建立健全网络安全责任制度。电力行业关键信息基础设施

运营者主要负责人全面负责关键信息基础设施安全防护工作。，

且需要明确领导班子成员（非公有制经济组织运营者核心运营管理团队成员）为首席网络安全官，专职管理或分管关键信息基础设施的安全防护;为每个关键信息基础架构确定一个安全管理人员;建立专门的安全管理机构，确定重点岗位和人员，对机构负责人和关键岗位人员进行安全背景调查。

第十条 电力企业应当依法依规开展关键信息基础设施信息报送工作，关键信息基础设施发生重大变化，可能影响其认定结果的，关键信息基础设施运营者合并、分离、解散的，应当及时向行业主管部门报告有关情况。

第十一条 电力企业应当按照国家网络安全等级保护制度、关键信息基础设施安全防护制度、数据安全制度、网络安全审查工作机制和电力监控系统安全防护规定的要求，对自身网络实施安全保护，并将网络安全纳入安全生产管理系统。

第十二条 电力企业应当选择符合国家有关规定、符合网络安全要求的网络产品和服务，开展网络安全建设或者改造工作。联网安全产品接入生产控制区，需征得电力调度机构同意。

第十三条 电力行业关键信息基础设施运营者应当优先采购安全可靠的网络产品和服务，并按照有关要求开展风险预测工作，评估投入使用后对关键信息基础设施安全、电力生产安全和国家安全可能产生的影响。 并形成评估报告。国家安全受到或者可能受到影响的，应当按照国家网络安全规定进行安全审查。

第十四条 电力企业在规划设计网络时，应当明确安全防护需求，确保安全措施同步规划、建设、同步使用，设计合理的总体安全规划并经专业技术人员审核批准，制定安全实施方案，负责网络安全建设项目的实施。电力企业在网络上线前，应当委托网络安全服务机构开展第三方安全检测。

第十五条 电力企业应当按照国家有关规定开展电力监控系统安全防护评估、网络安全等级保护评估、关键信息基础设施网络安全检测与风险评估、商用密码应用安全评估、网络安全审查等工作，不符合要求的应当及时开展整改。

第十六条 电力企业不得委托近三年内被行业部门通报不良行为或者被有关部门通报整改的网络安全服务机构。

第十七条 电力企业应当按照国家有关规定开展网络安全风险评估工作，建立健全网络安全风险评估自评和检查评价制度，完善网络安全风险管理机制。发现可能对电力行业网络安全影响较大的隐患的，应当向行业主管部门报告。

第十八条 电力企业应当按照有关国家和行业标准、程序和规范开展网络安全技术监管工作，并可以委托网络安全服务机构协助开展。

第十九条 电力企业应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，发现或者了解到存在安全漏洞后，应当立即评估安全漏洞影响的范围和程度，及时核实并完成安全漏洞修复工作。

第二十条 电力企业应当建立健全本单位网络安全监测预警和信息报告机制，及时掌握本单位网络安全运行情况和安全状况，及时处置网络安全威胁和隐患，并定期向行业主管部门报告有关情况。

危急

电力行业信息基础设施运营者应当建立7*24小时值班制度，建设×网络安全态势感知平台，与行业部门、公安机关等相关平台对接。

第二十一条 电力企业应当按照电力行业网络安全事件应急预案，制定和修订本年度网络安全事件应急预案，每年至少开展一次应急演练。制定和修订电力监控系统特殊网络安全事件应急预案能耗管理与电力监控系统，定期组织演练。定期组织开展网络攻防演练，检验安全防护和应急能力。

第二十二条 电力企业在国家重要活动和会议期间，应当结合实际情况，制定网络安全保障专项工作方案和应急预案，建立依托机构，明确目标任务，细化措施和要求，组织预案演练，确保重要信息系统和电力监控系统安全稳定运行。

第二十三条 网络安全事件发生后，电力企业应当立即启动网络安全事件应急预案，对网络安全事件进行调查评估，采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，注意保护现场，并按照规定向有关主管部门报告。

第二十四条 电力企业应当按照国家有关规定建立健全灾备备份系统，有效备份重要系统和重要数据。

第二十五条 电力企业应当建立健全全过程数据安全管理和个人信息保护制度，按照国家和行业重要数据目录和数据分类分级保护的有关要求，确定本单位重要数据的具体目录，对列入目录的数据进行重点保护。

第二十六条 电力企业应当建立网络安全资金保障制度，安排网络安全专项预算，确保网络安全投入不低于信息化投入总额的5%。

第二十七条 电力企业应当加强网络安全从业人员考核管理，建立符合网络安全工作特点的人才培养机制，做好全员网络安全宣传教育，提高网络安全意识。从业人员应当定期接受相应的政策规范和专业技能培训，培训合格后上岗。

第二十八条 电力企业应当督促电力监控系统专用安全产品研发单位和供应商按照国家有关要求做好保密工作，防止关键技术泄露。严禁在互联网上销售或购买电力监控系统专用安全产品。

第二十九条 电力企业应当在每年11月1日前向行业主管部门报送当年度网络安全工作专题总结。摘要内容应当包括但不限于网络安全工作开展情况、网络安全等级保护情况、电力监控系统安全防护评估情况、数据安全情况、安全监测预警情况、潜在风险管理情况、网络安全事件响应与处置情况、应急预案演练、 网络产品和服务的采购，以及下一年的工作计划。

11月之前1.1.电力行业关键信息基础设施

运营者应当每年向行业主管部门报送当年关键信息基础设施安全保护工作专题汇总。摘要内容应当包括但不限于关键信息基础设施运行情况、识别和上报情况、安全监测预警情况、网络安全检测与风险评估情况、网络安全事件应对处置情况、应急预案演练情况、 网络产品和服务的采购，密码的使用以及下一年的安全保护计划。

第四章 监督检查

第三十条 行业主管部门应当在各自职责范围内，依照法律法规对电力企业网络安全工作进行监督检查，定期组织开展电力行业关键信息基础设施网络安全检查和检测。

第三十一条 行业部门进行监督检查、事故调查时，可以采取下列措施：

（一）进入电力企业进行检查;

（二）询问有关单位工作人员，要求其说明有关检查事项;

（三）检查、复制与检查事项有关的文件、资料，封存可能转移、隐匿、销毁的文件、资料;

（四）责令其当场或者限期检查发现的问题予以纠正。

第三十二条 行业部门在履行网络安全监督管理职责过程中发现网络安全风险较大或者发生安全事件的，可以按照规定的权限和程序与电力企业的法定代表人或者主要负责人面谈。 情节严重的，依照国家有关法律法规处理。行业

主管部门可以对网络安全缺陷漏洞、网络攻击、恶意软件等威胁、网络安全事件等风险进行行业报告，电力企业应当及时调查并采取风险防范措施。

第三十三条 行业部门工作人员对在履行监督管理职责过程中知悉的国家秘密、工作秘密、商业秘密、重要数据、个人信息和隐私，必须严格保密，不得泄露、出售或者非法提供给他人。

第五章 附则

第三十四条 本办法由国家能源局负责解释。

第三十五条 本办法自公布之日起施行，有效期为5年。同时废止《电力行业网络与信息安全管理办法》（国能安全〔2014〕317号）。

周健汇报，国网上海电力有限公司2020年启动了基于人工智能和大数据分析的建筑用户能源分析评价应用建设，公司从单一的供电服务向多元化发展服务方向。 借助大数据分析，人工智能算法成为大客户的能源托管资金管家。

电网公司拥有海量数据

2019年，国家电网公司印发《关于省级公司发展综合能源服务业务的意见》，将综合能源服务摆在更加突出的位置。

国网上海电力公司认为，近年来，人工智能、大数据分析、边缘计算、云计算等技术的不断发展对各行业产生了很大影响，并落地了相当多的实际应用。 电网公司拥有大量其他公司所没有的用户用电数据。 可以在智慧能源综合服务中运用人工智能和机器学习，利用这些数据为客户提供更精准的业务交付。 同时，通过硬件为客户进行节能改造的经验和案例也非常普遍。 需要通过人工智能、大数据赋能这一商业模式，让电网企业能够在众多从事节能改造服务的企业中脱颖而出，成为大客户使用能源管理的金管家。

从七方面服务用户能源消费

国网上海电力公司2020年将开展基于人工智能和大数据分析的建筑用户能源分析评估应用建设。技术架构由四层组成：数据集成层、数据同步层、数据存储层、算法和应用层，前端显示层，每一层都为其上层提供支持。 主要内容包括：用户能耗相关数据分类建模； 个性化数据导入/输入模块； 用户短期负荷预测； 用户长期负荷预测； 客户能耗分析报告； 基于负荷预测的节能优化方案； 用户能量流分析等七大方面。

项目利用人工智能和大数据分析方法和技术，对电网数据中内部用户的营销用电数据，以及智慧能源服务上接入的外网天气、人流、负荷等用户数据进行分类和构建平台。 为商业建筑用户进行精准能耗分析和能耗预测，指导电网公司更好地向客户推广节能改造和能源托管业务，为电网增效提供助力。

项目实现了客户用能数据的透明化，以统一的标准收集分散在各个用户系统中的数据，并以此作为分析的基础，并以此为基础建立系统和数据标准，进而创建城市级的能耗数据。建筑能耗。 大数据平台通过标准化、信息化、自动化，标准化平台、数据、功能和决策标准，减少人为因素的干扰。 配电管理水平得到提升，可以提前初步筛选出潜在用能异常的客户，为公司节省了大量的人力和地面推广成本，筛选出的客户对公司有信任基础，有利于公司能源托管业务的推进。

短期负荷预测为1天到1周，有助于实时评估用户的能耗状况。 长期负荷预测是在现有负荷分担系统提供的数据模型的基础上，结合未来几年经济发展、周边配套设施、人口分布等带来的负荷增长预测，为负荷分担提供战略依据。为用户提供帮助。 《客户能源使用分析报告》是通过接入大规模用户能源使用、运营数据等对能源使用有影响的相关数据，并通过机器学习，构建建筑行业能源使用分析的专家策略库被生成。 在规则中输入一定量的数据，自动生成准确的能源分析报告。 “基于负荷预测的节能优化方案”上海能耗管理系统方案，针对单个用户生成的精准能耗分析报告，结合建筑行业专家的经验和行业属性的模型，定制节能优化方案被生成。

国网上海电力公司建筑用户能源分析评价应用建设也取得了显着的经济效益。 通过机器学习和人工智能，实现HVAC系统的运行，包括制冷站和终端的实时云端智能控制，减少HVAC系统的运行。 能耗10%~15%，每栋建筑平均每年可节省数百万能源费用。 在现阶段能源消费双控背景下，在实现双碳目标过程中，发挥了良好的引领作用。 影响。

采用变云智控的架构形式，在节能的同时实现独立调节控制，平均可节省20%~30%的运维工作量。 基于负荷预测的预冷提高了用户侧室内舒适度，全面实现能源系统稳定运行，对电网安全运行、降低高峰用电负荷起到有益作用。

国网上海电力公司建筑用户能源分析评价应用建设，一一排除建筑能耗、购能、消耗、设备效率、生产方式、能源管理和设计等方面的问题，合理化建筑用户能耗建筑。 在此过程中的各个环节，进而提出提高建筑节能的解决方案，帮助建筑实现节能目标。