省电力公司，中国大唐、中电投、国电、华电、华能、华润、三吉利河南分公司，小浪底建管局，三门峡水利枢纽管理局，豫能控股股份有限公司，各有关电力企业：

为加强电力工控信息安全监管工作，维护电力系统安全稳定运行和电力的可靠供应，按照国家电监会电力工控信息安全专项监管工作要求，我办制定了《2013年河南省电力工控信息安全专项监管工作方案》，现印发你们，请认真组织实施。

河南电监办

                                2013年3月13日

2013年河南省电力工控信息安全
专项监管工作方案

为贯彻落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号），加强电力工控信息安全监管工作，维护电力系统安全稳定运行和电力的可靠供应，按照国家电监会电力监管工作的总体部署，落实国家电监会电力工控信息安全专项监管工作要求，制定本工作方案。

一、工作依据

《安全生产法》、《电力监管条例》、《电力二次系统安全防护规定》、《电力行业网络与信息安全监督管理暂行规定》等法律法规，以及《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》和工业和信息化部《关于加强工业控制系统信息安全管理的通知》等重要意见和规章。

二、工作目标

落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》和工业和信息化部《关于加强工业控制系统信息安全管理的通知》（工信部协〔2011〕451号）要求，建立电力工控信息安全监督管理工作机制，以工控系统安全评估和等级测评为抓手，进一步督促落实电力企业和工控设备供应商的信息安全主体责任，重点做好工控设备信息安全风险排查处置和风电、光伏及配电侧二次系统的安全防护工作，维护电力系统安全稳定运行。

三、工作内容

针对工控系统及设备信息安全方面的薄弱环节，按照国家电监会统一要求，建立电力工控信息安全监督管理工作机制，开展工控设备信息安全风险排查处置，规范和加强风电、光伏及配电侧二次系统安全防护，组织开展二次安全评估和等级测评及整改工作。

（一）建立电力行业工控信息安全监督管理工作机制。

1.落实国家颁布的《电力二次系统安全防护规定》（5号令）、《电力二次系统安全防护评估管理办法》、《电力行业工控信息安全监督管理暂行规定》以及配套文件等电力工控信息安全各项规定和要求。

2.加强行业工控信息安全专控技术支持队伍建设。根据电力工控信息安全工作需要，进一步扩展力量，加强管理，规范工作程序，不断加强在工控设备和系统信息安全检测、电力二次安全评估、等级测评和整改实施等方面的能力建设，持续提高电力工控信息安全技术服务支撑能力。

3.建立工控信息安全风险闭环管理机制。进一步落实电力企业和工控设备供应厂商的主体责任，督促建立工控信息安全风险管理和整改制度，加大督促检查力度。依托电力行业信息安全等级保护测评中心和国家有关技术力量，进一步强化工控信息安全漏洞监测力度，加强漏洞检测验证和风险研判工作。畅通监管、企业和设备厂商之间的信息通报渠道，提高应急处置效率，及时对已检测验证的信息安全风险进行通报预警。探索建立信息安全缺陷设备召回制度，逐步形成工控信息安全风险闭环管理机制。

（二）组织开展风电、光伏和配电侧二次系统安全防护工作。

按照风电、光伏和配电侧二次系统安全防护的有关规定，组织做好安全防护相关工作，进一步扩展和完善电力二次系统安全防护体系，其中风电、光伏电站要重点强化对于远程维护系统的安全防护，配电侧负荷管理系统（包括具有相应功能的其他系统）、配电自动化系统等要重点强化对于下发控制指令的安全防护。加强风电、光伏和配电侧二次系统安全防护工作的监督检查，对于存在的问题要及时督促整改。

（三）组织开展工控设备信息安全风险排查整改工作。

一是继续督促完成施耐德plc、罗杰康工业交换机的信息安全风险排查整改工作。要在做好相关设备信息安全风险整改试点的基础上，结合电厂检修周期，安排整改计划，形成整改方案，全面组织开展整改。二是同步组织开展其它主流工控设备厂商信息安全漏洞的检测验证工作，督促有关设备厂商制定整改方案，及时通报并组织电力企业排查整改。

（四）组织开展电力二次系统安全防护评估和等级测评及整改工作。

各单位要结合二次安全防护评估报告和《2012年度电力行业重要生产控制系统信息安全监管通报》，组织做好电力二次系统安全防护评估和安全等级保护测评工作，对于发现的问题，要按照电监会要求，及时安排整改到位，切实提高信息安全防护能力。

四、时间安排

（一）部署启动阶段（2013年3月）

印发河南省电力工控信息安全专项监管工作方案，全面部署电力行业工控信息安全专项监管工作。

电力企业要结合本企业工控信息安全的实际情况，制定切实可行的实施方案，建立健全工控信息安全风险闭环管理机制，针对行业所通报的工控信息安全风险，部署本单位的工控信息安全风险排查整改行动。

（二）组织实施阶段（2013年4-10月）

1.11月底前，组织完成施耐德plc和罗杰康设备的安全整改工作。设备安全整改试点工作4月完成，5月印发整改通知，全面部署整改工作。

2.4-12月，组织开展其它主流厂商电力工控设备信息安全漏洞的检测验证工作，同步组织开展整改方案制定和整改部署工作。

3.4-12月，组织开展电力二次系统安全防护评估和等级测评及整改工作。

4.4-12月，组织开展核电、风电、光伏和配电侧二次系统安全防护工作。

5.10月，电监会及各派出机构组织开展电力工控信息安全风险排查整改开展情况的督促检查工作，对于发现突出问题，督导电力企业和工控设备厂商及时落实整改措施。

（三）总结提高阶段（2013年10-12月）

11月底前，各电力企业要将本单位工控信息安全风险排查整改情况形成总结报告，各派出机构对本区域电力工控信息安全专项监管工作开展情况进行总结。总结报告要在12月上旬前报送电监会。

12月底，电监会将在各单位工作的基础上，编制形成《电力行业工控信息安全监管通报》，对全行业工控信息安全情况进行总结和评价，并提出监管意见。

五、监管方式

1.电力企业全面自查自评。

2.电监办组织专项检查。

3.督导、约谈有关单位。

4.出具监管意见书或整改通知书。

5.发布情况通报。

六、工作成果

1.整理形成河南省电力工控信息安全专项监管工作总结或情况通报。

2.配合电监会编制《电力行业工控信息安全监管通报》。

七、工作要求

1.加强领导，落实责任。各电力企业要高度重视工控信息安全专项监管工作，切实加强组织领导，结合本单位工作实际，制定切实可行的实施方案，分解落实各项工作任务，精心组织安排，确保专项监管取得实效。

2.突出重点，注重实效。工控设备厂商和电力企业对经检测验证确定为具有较高风险的信息安全漏洞，要及时制定整改方案，及时落实整改措施。要建立工控信息安全风险闭环管理机制，重点规范工控信息安全风险监测检测、通报预警、排查整改和监督检查程序，明确职责，促使电力信息安全防护水平持续提高。

3.统筹兼顾，协同推进。各电力企业要合理规划全年工作，在统筹安排做好工控信息安全风险排查整改的同时，注重做好核电、风电、光伏和配电侧二次安全防护工作，要结合二次安全评估和等级测评，及时落实各项措施，逐步消除工控信息安全风险，提高电力系统安全防护水平。要建立有关制度，在系统设计、建设阶段，加强对存在信息安全风险的工控设备和系统的安全管理，协同推进工控信息安全工作。

4.及时总结，推广经验。各电力企业要及时总结工控信息安全专项监管工作，总结经验，提炼好的做法，及时制度化，逐步完善本单位工控信息安全风险闭环管理机制。对于好的经验和做法，电监会将在行业内进行通报推广。