朔能源发〔202147

 

 


 

各县(市、区)能源局、公安(分)局,各有关煤矿企业:

贯彻落实省能源局和省公安厅联合印发的《煤炭企业网络安全等级保护工作管理办法(试行)》《煤矿企业贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的工作实施方案》文件精神,全面推行煤矿企业网络安全等级保护制度和关键信息基础设施安全保护制度,提高我市煤矿企业网络安全的保障能力和防护水平,促进煤矿企业高质量健康发展,市能源局和市公安局联合制定了朔州市煤矿企业贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的工作实施方案》,现印发给你们,请认真贯彻执行。

 

 

 

朔州市能源局                  朔州市公安局

2021419

 

 

 

 

 

 

 

 

 

 

 

 

 

朔州市煤矿企业贯彻落实

网络安全等级保护制度和关键信息基础设施

安全保护制度的工作实施方案

 

深入贯彻《关于印发煤炭企业网络安全等级保护工作管理办法(试行)的通知》(晋能源信监发202192号)和《关于印发〈煤矿企业贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的工作实施方案〉的通知》(晋能源信监发202194号)文件精神,严格落实网络安全等级保护有关制度,大力推进朔州市煤矿企业网络安全等级保护定级备案、等级测评、建设整改等工作,切实保障关键信息基础设施、重要网络和数据安全,消除煤矿企业网络安全隐患,为煤炭行业高质量发展创造和谐稳定的网络环境,结合我市实际,特制定本方案。

一、指导思想

以习近平总书记关于网络安全工作重要指示精神为指引,按照党中央、国务院和省委省政府、市委市政府有关加强信息安全保障工作的决策部署,坚持以贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础,以保护关键信息基础设施、重要网络和数据安全为重点,全面加强朔州市煤矿企业网络安全设施建设、防范管理、监测预警、应急处置等各项工作,为我市煤矿企业信息化建设之路提供坚实保障。

二、工作目标

2021年,全市56座生产煤矿、4座建设煤矿和13煤炭集团公司建设、运营网络全部完成等保定级备案工作;各煤矿企业等级保护对象数量清晰、定级准确;网络安全保护机构健全、职责明确、保障措施有力;网络安全管理制度健全,应急预案科学齐备,应急处置机制完善,应急演练常态化开展;网络安全综合防控体系基本形成。通过推行网络安全等级保护制度,逐步将网络安全等级保护制度落实到网络安全规划、建设、测评、运行维护和使用等各个环节,使我市煤矿企业网络安全保障状况得到基本改善。

“十四五”期间,煤矿企业网络安全等级保护定级备案、等级测评和安全建设等基础工作全面开展。网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御,纵深防御、精准防护,整体防控、联防联控”的“三化六防”措施得到有效落实。关键信息基础设施的数据安全、人员管理、应急处置等重点安全保护措施全面落实。网络安全监测预警、应急处置能力和综合防护能力明显提升,煤矿企业网络环境实现有效治理。

三、工作任务

(一)深入贯彻实施网络安全等级保护制度

1.系统定级。煤矿企业要全面梳理本单位各类网络,特别是云计算、物联网、新型互联网、大数据等新技术应用的基本情况,依据相关标准,科学确定网络的安全保护等级。对新建网络,应在规划设计阶段确定安全保护等级。

2.定级评审。煤矿企业初步确定安全保护等级后,应组织专家召开专家定级评审会(专家组为单数且最低由两名信息安全专家和一名煤信息化专家组成),形成专家评审意见。

3.定级审核。在专家出具评审意见后,确定安全保护等级为第二级(含)以上的网络,煤矿企业须向省、市能源局申请定级审核,具体分工详见《朔州市煤矿企业网络安全等级保护工作行业主管部门任务分解》(附件1 省、市能源局在收到煤矿企业提交的审核申请后,依法对定级报告和专家评审意见进行审核。

新建第二级(含)以上网络应在投入运行前进行定级审核。

4.等保备案。各煤矿企业在收到能源行业主管部门的审核意见书(附件2)后,应通过“网络安全等级保护综合服务平台”填报备案资料,并到朔州市公安局进行备案;属于跨设区的市或全省统一联网的计算机信息系统,报山西省公安厅备案。

第二级(含)以上网络取得网络安全等级保护备案证明后10日内,须向能源行业主管部门报备。 新建第二级(含)以上网络,应当在投入运行后30日内,办理备案手续。

5.等级测评。煤矿企业要依据《网络安全等级保护基本要求》等国家标准,委托符合有关规定的等级测评机构定期对已定级备案网络进行检测评估,查找可能存在的网络安全问题和隐患。在开展安全等级测评服务过程中,网络运营者要与等级测评机构签署安全保密协议,并对等级测评全过程进行监督管理。完成测评后,煤矿企业应及时将《网络安全等级保护测评报告》向定级审核的能源局和受理备案的公安机关报备。

6.建设整改。经测评网络安全状况未达到安全保护等级要求的,煤矿企业要在现有安全保护措施的基础上,结合等级测评发现的问题隐患和专家评审意见,对照《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准,制定整改方案并认真开展等级保护安全建设和整改加固工作,全面落实安全保护技术措施。能源行业主管部门和公安机关要对网络安全隐患整改情况进行实地检查,确保网络安全隐患漏洞及时整改加固,以符合安全保护等级要求

7.供应链安全管理。煤矿企业要加强网络关键人员的安全管理,要对为第二级(含)以上网络提供设计、建设、运维、技术服务的机构和人员加强管理,评估服务过程中可能存在的安全风险,并采取相应的管控措施。煤矿企业要加强网络运维管理,因业务需要确需通过互联网远程运维的,要进行评估论证,并采取相应的管控措施。煤矿企业应采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务,第二级(含)以上网络要积极应用安全可信的网络产品及服务,优先使用核心技术、关键部件具有中国自主知识产权的信息安全产品。

8.落实密码安全防护要求。煤矿企业要认真贯彻落实《中华人民共和国密码法》等法律法规和密码应用相关标准规范。第二级(含)以上网络应在网络规划、建设和运行阶段,充分考虑符合要求的密码产品和服务,并在网络安全等级测评中同步开展商用密码应用安全性评估。

(二)建立并实施关键信息基础设施安全保护制度

1.关键信息基础设施的认定及职能分工。煤矿企业必须设立专门安全管理机构,明确总负责人和相关岗位人员及职责,自主开展关保工作,包括等保测评、密码应用安全评估、风险评估、关保测评等。

2.关键信息基础设施的重点防护措施。煤矿企业要依据网络安全等级保护标准开展安全建设并进行等级测评,发现问题和风险隐患要及时整改;依据关键信息基础设施安全保护标准,加强安全保护和保障,并进行安全检测评估。要梳理网络资产,建立资产档案,强化核心岗位人员管理、整体防护、监测预警、应急处置、数据保护等重点保护措施,合理分区分域,收敛互联网暴露面,加强网络攻击威胁管控,强化纵深防御,积极利用新技术开展网络安全保护,构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全保护体系,不断提升关键信息基础设施内生安全、主动免疫和主动防御能力。

3.人员、产品和服务的安全管理。煤矿企业要对本单位专门安全管理机构的负责人和关键岗位人员进行安全背景审查,加强管理。要对关键信息基础设施设计、建设、运行、维护等服务实施安全管理,采购安全可信的网络产品和服务,确保供应链安全。

4.重要数据信息的保护措施。煤矿企业要建立并落实重要数据和个人信息安全保护制度,对关键信息基础设施中的重要网络和数据库进行容灾备份,采取身份鉴别、访问控制、密码保护、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。

(三)全面强化网络安全保护工作

1.加强网络安全防护措施。煤矿企业要健全完善网络安全管理制度,并在网络投入运行前实现对网络资产的安全管控,同时在数据安全治理、数据备份恢复、数据监督管理及大数据协同安全等方面提高数据安全防护能力。管理制度和技术手段两手都要抓,两手都要硬,全面加强网络安全防护措施。

2.完善网络安全应急机制。煤矿企业要与能源行业主管部门、公安机关密切配合,建立网络安全事件报告制度和应急处置机制,发现预警信息和网络安全事件,及时推送。要制定应急预案、定期开展应急演练,并针对演练发现的问题和漏洞隐患,及时整改加固,不断提升网络安全保障能力。

3.入驻网络安全管理系统。煤矿企业要落实网络安全态势感知监测预警措施,部署网络安全威胁分析设备,对网络运行状态、网络流量、用户行为、网络安全案(事)件等进行监测分析,并与“山西省能源企业网络安全管理系统”对接。

4.强化网络安全检查。煤矿企业要定期对网络安全保护状况、安全保护制度及技术措施的落实进行自查,并对发现的安全问题及时整改。能源行业主管部门和公安机关将按各自的职责定期或不定期对煤矿企业网络安全情况进行检查,重点检查《网络安全法》《密码法》等法律法规落实情况;网络安全领导机构、专门管理部门、人员配备、管理制度、相关保障及网络安全责任制落实情况;网络安全等级保护制度、网络安全监测、网络安全应急预案制定和演练情况;网络安全状况和重大事件报告、等级测评、风险评估、网络安全案(事)件发现重大风险隐患和问题的处置及责任追究情况;重要数据和公民个人信息保护、新技术新应用的安全防护、自主可控和国产化替换情况;网络安全负责人和相关岗位人员教育培训、通报预警机制建设和工作开展情况等。

5.强化责任落实。能源行业主管部门和公安机关应协作履行监管职能,对煤矿企业等保工作落实情况进行监督、指导。煤矿企业要建立网络安全工作责任制,落实责任追究制度,定期组织开展网络安全自查和评估,及时发现网络安全隐患和薄弱环节并予以整改。

四、工作安排

按照重点保障基础信息网络和重要信息系统安全的总体要求和分级保护、突出重点,常态监督、综合防护,同步建设、动态调整的原则,20214月至9月集中开展朔州市煤企业网络安全等级保护和关键信息基础设施安全保护有关工作。朔州市行政区域内依法批准的从事煤炭资源开采的煤矿企业和各煤矿企业的上级集团公司所运营、使用的网络均在工作范围内。

1.20216月底前,部署网络安全威胁分析设备,与“山西省能源企业网络安全管理系统”对接。

2.20217月底前,已运行网络完成等级保护定级备案,新建网络须在项目规划、设计阶段完成网络安全等级定级。同时,围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、风险识别等活动。

3.20219月底前,完成网络安全整改建设工作及关键信息基础设施检测评估、风险修复工作。

整改建设工作完成后,应当建立完善网络状况日常检测工作制度,加强对网络的日常维护和安全管理,及时消除安全隐患,确保各类网络的正常运行。

五、工作要求

(一)加强组织领导能源行业主管部门要配齐配强工作队伍,把网络安全作为重中之重,加强领导,精心组织,认真实施。各煤矿企业要开展网络安全自查、检测评估和风险评估,及时发现网络安全隐患和薄弱环节并予以整改,确保贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的工作顺利开展、取得实效。

(二)加强经费保障。各煤矿企业要做好网络安全保护经费保障工作,保障第二级(含)以上网络、关键信息基础设施等开展等级测评、风险评估、密码应用安全性检测、演练竞赛、安全建设整改、运行维护、监督检查、教育培训等经费投入。

(三)加强监督检查。从本方案下发之日起,各煤矿企业已运营的网络,须按程序进行等保定级备案等工作,不符合安全要求的网络,务必于2021年9月底前按照国家标准整改完毕。新建、在建网络,须在项目规划、设计阶段完成网络安全等级定级。2021531,各县(市、区)能源局向市能源局报送各辖区内煤矿企业等保定级对象和关键信息基础设施认定的具体情况。20217月起,每月25日前向市能源局报送所辖区域内煤矿企业网络等保定级备案测评及整改情况。

(四)加强监督管理能源行业主管部门和公安机关要持续加大对煤矿企业落实网络安全等级保护和关键信息基础设施安全保护工作的督导检查力度,对检查中发现的问题要责令煤矿企业限期整改,及时消除风险隐患;对未按照要求开展网络安全等级保护定级、测评、备案和整改以及对发现的问题隐患拒不整改,发生重大网络安全案(事)件的,将依法对有关企业作出行政处罚并追究相关领导和直接责任人的责任。

 

 

      人:  市能源局       13080391321

                市公安局  施沛峰   18334956549  

资料报送邮箱:  szsmtqywlaqdbgz@163.com 

 

附件1朔州市煤矿企业网络安全等级保护工作行业主管部门任务分解

附件2煤矿企业网络安全等级保护定级审核意见书