各相关科室：

现将《长治市潞州区能源局深入推进全区能源行业网络安全重点实施方案》印发给你们，请认真抓好贯彻落实。

长治市潞州区能源局深入推进全区能源行业网络安全重点实施方案

为切实保障能源行业网络安全，及时防范化解网络安全风险，有效应对数字化、智能化发展带来的网络攻击、网络渗透等新的安全风险和挑战，持续推动能源行业网络安全治理体系和治理能力现代化，根据《中华人民共和国网络安全法》《国家网络空间安全战略》《国家能源局关于加快推进能源数字化智能化发展的若干意见》等有关要求，结合我局实际，制定本实施方案。

一、指导思想

坚持以习近平新时代中国特色社会主义思想，特别是习近平总书记关于网络强国的重要思想为指导，深入贯彻党的二十大精神，全面贯彻新发展理念，加快构建新发展格局。坚持总体国家安全观，统筹发展和安全，全面落实“四个革命、一个合作”能源安全新战略，围绕省委、省政府关于数字经济高质量发展的有关要求，夯实全区能源行业网络安全基础，筑牢能源行业网络安全屏障。

二、工作目标

到2023年底，全区各类能源企业网络安全工作目标明确、责任清晰、台账完备，网络安全等级保护、关键信息基础设施安全保护、数据安全保护、商用密码应用等各项工作有序开展。

到2024年底，全区能源行业网络安全常态化工作机制不断健全，网络安全管理体系、标准体系持续完善，能源领域网络安全保障体系架构基本形成，专业技术、人才支撑能力不断提高，能源行业网络安全意识全面提升，网络安全各项工作取得阶段性成果。

到2025年底，全区能源行业网络安全基础设施和保障能力显著提升，网络安全应急处置能力、攻防对抗能力持续提升，能源企业网络安全专业队伍规模和技术能力大幅提升，网络安全责任意识、保护意识全员渗透，行业网络安全态势整体稳定。

三、重点工作

（一）深入实施网络安全等级保护制度

全区各类能源企业要深入贯彻落实网络安全等级保护制度。依据《网络安全等级保护定级指南》全面梳理系统清单，合理划分定级对象，科学确定保护等级，规范组织定级评审，按规落实备案流程，严格开展等级测评，扎实做好建设整改，及时消除风险隐患。其中：煤矿企业（含集团公司）、煤炭洗选企业参照《煤炭企业网络安全等级保护工作管理办法》（晋能源信监发〔2021〕92号）执行；电力企业（含新能源发电及电网企业）参照《电力行业网络安全等级保护定级指南》（国能综通安全〔2022〕71号）执行。

（二）严格落实关键信息基础设施安全保护制度

全区各类能源企业要按照国家能源局制定的关键信息基础设施认定规则，配合做好关键信息基础设施的动态认定，梳理排查关键信息基础设施建设、运行、管理情况及安全保护情况。在此基础上，明确关键信息基础设施的网络安全技术和管理要求，强化网络安全态势感知、监测预警、风险评估、攻击溯源、事件处置、灾难恢复等能力，健全网络安全应急体系；在落实等级保护制度的基础上，制定关键信息基础设施网络安全检测和风险评估方案，每年至少进行一次网络安全检测和风险评估，并根据检测结果，开展网络安全问题隐患整改工作。

（三）全面加强能源行业数据安全保护

全区各类能源企业要严格按照《中华人民共和国数据安全法》等法律法规要求，建立数据分类分级保护制度，结合业务实际，全面梳理形成本单位、本部门重要数据目录；建立健全数据全流程安全管理制度，落实数据安全负责人和管理机构责任，强化数据收集、存储、使用、加工、传输、提供、公开等全生命周期的安全管理；定期开展数据安全风险评估，及时排查消除数据安全隐患。通过制度建设、技术防护，切实加强重要数据、非涉密敏感信息管理，全面提升数据安全保护能力，保障能源数据价值有效发挥。

（四）有序推进能源行业商用密码应用

全区各类能源企业要按照《中华人民共和国密码法》《商用密码管理条例》及国家商用密码应用有关要求，推动关键信息基础设施、网络安全等级保护三级及以上系统、重要工业控制系统等，规范使用密码，充分发挥密码在保障网络和信息安全中的重要作用；应当同步规划、同步建设、同步运营商用密码保障系统，使用经检测认证合格的商用密码产品、服务，相关密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查；要依法依规开展商用密码应用安全性评估，关键信息基础设施、网络安全等级保护三级及以上系统每年至少评估一次。

（五）扎实开展重要时期网络安全保障工作

全区各类能源企业要扎实做好重要时期的网络安全保障工作，结合近年来重要活动期间网络安保工作经验和网络安全保护和监督管理部门工作要求，制定组织机构健全、工作机制完善、保障措施有效的工作方案，并形成长效工作机制；以安全第一、预防为主、综合治理为原则，通过开展监督检查、隐患排查、应急演练等方式提前布防；通过加强风险监测、巡查值守、报告处置等做好有效应对，切实保障重要活动期间，运营使用的网络系统技术保障可靠、事件响应快速、协调处置有效、安全稳定运行。

（六）切实提升网络安全监测预警和应急处置能力

全区各类能源企业要完善信息共享和通报预警机制，开展网络安全风险态势感知、通报预警能力建设，构建覆盖业务全生命周期的“预警、监测、响应”动态防御体系；要明确网络安全责任部门、责任人，并与各级行业主管部门、网络安全保护和监督管理部门建立信息共享机制。制定完善可行的网络安全应急预案，细化网络安全应急管理、事件处置等措施，定期组织开展网络安全应急演练。

（七）持续强化供应链安全管理

全区各类能源企业要持续完善供应链安全管理措施，不断强化安全风险防范能力。要加强制度建设，将供应链管理纳入本单位信息安全管理范畴，在信息化项目建设、安全事件响应等过程中强化供应链安全管理，建立供应方目录，定期梳理和更新供应链企业、产品、人员清单；强化供应链提供方安全管理措施，对服务方人员进行安全管理、签订安全保密协议、明确安全责任和义务；针对产品或服务采购，要求供应方同时提供相关技术文档，并明确产品或服务的知识产权；建立风险处理和报告程序，当发生安全风险时，及时采取措施消除隐患。

四、工作领导组

组  长：马旭青  党组书记、局  长

副组长：李海燕  党组成员、副局长

        韩铁牛  党组成员

        景保东  局长助理

成  员：规划科全体人员  李刚  刘伟

办公室设在规划科，负责总体协调和日常管理工作。

五、下一步工作重点

各能源企业要严格落实网络安全主体责任，不断健全网络安全防御机制，持续提升网络安全防护能力，有效保障数字化、智能化转型升级。要提高网络安全风险主动发现和感知能力，结合各级管理部门监督检查发现的问题隐患，积极开展整改加固，做好及时反馈和有效处置，确保风险隐患动态清零。

长治市潞州区能源局

2023年8月25日