煤矿企业贯彻落实网络安全等级__保护制度和关键信息基础设施安全保护__制度的工作实施方案.pdf

1 山 西 省 能 源 局 山 西 省 公 安 厅 晋晋能源信监发〔2021〕94 号 山西省能源局 山西省公安厅 关于印发煤矿企业贯彻落实网络安全等级 保护制度和关键信息基础设施安全保护 制度的工作实施方案的通知 各市能源局、市公安局，各省属国有重点煤炭集团公司 为深入贯彻落实国家网络安全等级保护制度和关键信息基础 设施安全保护制度，健全完善全省煤矿企业网络安全综合防控体 系，有效防范网络安全威胁，根据中华人民共和国网络安全法 文件 2 贯彻落实网络安全等级保护制度和关键信息基础设施安全保护 制度的指导意见 煤炭企业网络安全等级保护工作管理办法 ， 省能源局会同省公安厅联合制定了煤矿企业贯彻落实网络安全 等级保护制度和关键信息基础设施安全保护制度的工作实施方 案 ，现予以印发，请各市能源局按行政区域划分转发至属地各有 关煤炭主体集团公司和各煤矿企业，并遵照执行。 山西省能源局山西省公安厅 2021 年 3 月 1 日 3 煤矿企业贯彻落实网络安全等级保护制度 和关键信息基础设施安全保护制度的工作实施方案 为深入贯彻落实国家网络安全等级保护（以下简称“等保” ） 制度和关键信息基础设施安全保护制度，健全完善全省煤矿企业 网络安全综合防控体系，有效防范网络安全威胁，全面推进煤矿 企业网络基础设施、信息系统、智能化工业控制系统等网络在新 技术、新应用环境下等保工作的有序开展，根据中华人民共和 国网络安全法 网络安全等级保护基本要求等法律法规和国家 标准，现就规范定级审核、备案受理、等级测评、建设整改等工 作，结合我省实际，制定如下实施方案。 一、总体要求 （一）指导思想（一）指导思想 以习近平新时代中国特色社会主义思想和网络强国战略思想 为指导，紧紧围绕省委、省政府“四为四高两同步”总体思路和 要求，全面加强全省煤炭行业网络安全工作统筹规划，以贯彻落 实等保制度和关键信息基础设施安全保护制度为基础，以保护关 键信息基础设施、重要网络和数据安全为重点，全面推进煤矿企 业网络安全防范管理、监测预警、应急处置等各项工作，积极构 建良好的网络安全保护生态，为全省煤炭行业高质量发展提供有 力保障。 4 （二）基本原则（二）基本原则 坚持分级保护，突出重点的原则。坚持分级保护，突出重点的原则。各煤矿企业对建设、 运营、维护和使用的信息基础设施、信息系统、智能化工业控制 系统等各类网络要根据网络安全等级保护实施指南 网络安全 等级保护定级指南等国家标准，进行合理定级并开展相应等级 的安全保护。要按照煤矿安全规程 网络安全等级保护基本要 求 ，将生产调度、监测监控、信息通讯等系统和列入 2021 年智 能综采（掘）工作面建设的智能化工业控制系统纳入重点防护。 坚持常态监督，综合防护的原则。坚持常态监督，综合防护的原则。各级能源局是各煤矿 企业的行业主管部门，按照属地管理的原则依法组织、指导本行 业落实网络安全等级保护制度。各级公安机关依法履行监督管理 职责，双方要密切协作，形成合力，监督指导煤矿企业强化和落 实网络安全主体防护责任。要充分发挥和调动社会各方力量，综 合利用人工智能、大数据分析等技术措施，加强煤矿企业在新技 术、新应用情况下工业控制系统、监测监控系统、智能运销系统 和数据资源等新业态的安全防护。 坚持同步建设，动态调整的原则。坚持同步建设，动态调整的原则。各煤矿企业要根据网 络的建设、运营、使用和维护情况，坚持“同步规划、同步建设、 同步使用”的原则，同步落实相应等级的网络安全保护措施。当 网络功能、服务范围、服务对象和处理的数据等发生重大变化或 信息安全技术、外部环境、安全威胁等因素发生变化时，要根据 5 等级保护的管理规范和技术标准要求，对安全保护等级进行动态 调整，并实施相应等级的安全保护。 （三）（三）目标任务目标任务 2021 年全省 661 座生产煤矿、94 座建设煤矿（不含停缓建 和未开工煤矿）和各煤炭集团公司建设、运营网络全部完成等保 定级备案工作，具体任务分解（见附件 1） ；各煤矿企业等级保护 对象数量清晰、定级准确；网络安全保护机构健全、职责明确、 保障措施有力；网络安全管理制度健全，应急预案科学齐备，应 急处置机制完善，应急演练常态化开展；网络安全综合防控体系 基本形成。 “十四五”期间全省煤矿企业网络安全保护“实战化、体 系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、 整体防控、联防联控”的“三化六防”措施得到有效落实，网络 安全保护良好生态基本建立，综合防护能力和水平显著提升。 （四）（四）实施范围实施范围 山西省行政区域内依法批准的从事煤炭资源开采的煤矿企业 和各煤矿企业的上级集团公司所运营、使用的网络均在实施方案 范围内。 三、落实并实施国家网络安全等级保护制度 （一）深化网络定级备案工作（一）深化网络定级备案工作 工作流程明确定级对象→分类拟定等级→组织专家评审→ 6 主管部门审核→公安机关备案。 1.明确定级对象。明确定级对象。各煤矿企业新建和已建成运行的各类网络 （包括云计算平台、物联网、工业控制系统、移动互联系统、通 讯网络设施、数据资源等）均应当作为等保定级对象。 2.分类拟定等级。分类拟定等级。根据国家标准，等级保护对象的安全保护 等级依次分为以下五级 第一级，等级保护对象受到破坏后，会对相关公民、法人和 其他组织的合法权益造成一般损害，但不危害国家安全、社会秩 序和公共利益； 第二级，等级保护对象受到破坏后，会对相关公民、法人和 其他组织的合法权益造成严重损害或特别严重损害，或者对社会 秩序和公共利益造成危害，但不危害国家安全； 第三级，等级保护对象受到破坏后，会对社会秩序和公共利 益造成严重危害，或者对国家安全造成危害； 第四级，等级保护对象受到破坏后，会对社会秩序和公共利 益造成特别严重危害，或者对国家安全造成严重危害； 第五级，等级保护对象受到破坏后，会对国家安全造成特别 严重危害。 根据煤矿安全规程和网络安全等级保护基本要求 ，各 煤矿企业须将“矿用有线调度通信系统、井下应急广播系统、煤 矿安全监控系统、煤矿井下作业人员管理系统、煤矿图像监视系 7 统、煤矿产量监控系统”和列入 2021 年智能综采（掘）工作面建 设的智能化工业控制系统的网络安全等级定为第二级及以上；其 余在本矿区范围内运行的各类网络可按照网络安全等级保护定 级指南自主定级；各煤矿企业和上级集团公司或分公司间跨设 区的市或者全省、全国统一联网运行的数据汇聚平台，其网络安 全保护等级不低于第三级。 各煤各煤矿企业已运行的网络， 须在矿企业已运行的网络， 须在 2021 年年 7 月底前全部完成网月底前全部完成网 络安全等级定级备案；新建网络，须在项目规划、设计阶段完成络安全等级定级备案；新建网络，须在项目规划、设计阶段完成 网络安全等级定级。网络安全等级定级。 3.组织专家评审。组织专家评审。各煤矿企业已运行和新建的网络，需在拟 定安全等级后，由企业组织专家开展定级合理性评审。在专家出 具评审意见后，确定安全保护等级为第二级及以上的网络，企业 须在安全保护等级确定后 5 个工作日内，通过“山西省能源企业 网络安全管理系统”报送网络安全等级保护定级专家评审意见 书 （见附件 2）和信息系统安全等级保护定级报告 （见关 于开展全国重要信息系统安全等级保护定级工作的通知公信安 〔2007〕861 号） ，向省、市能源局申请定级审核。 网络安全等级保护定级专家组应由信息安全专家和煤炭行业 信息化专家构成，专家组成员总数应为单数，且最低不少于 3 名。 4.主管部门审核。主管部门审核。全省各煤矿企业和上级集团公司间跨设区 的市或者全省、全国统一联网运行的网络和全省一级安全生产标 8 准化矿井网络的等保定级审核由省能源局负责；全省二级安全生 产标准化矿井、剩余未评级生产矿井和建设煤矿（不含停缓建和 未开工煤矿）网络的等保定级审核按照行政区域划分由各市能源 局负责。 省、市两级能源局在收到煤矿企业提交的审核申请后，依法 对定级报告和专家评审意见进行审核。对定级准确、评审意见符 合等级保护要求的，在收到审核申请后 5 个工作日内通过“山西 省能源企业网络安全管理系统”出具煤矿企业网络安全等级保 护定级审核意见书 （见附件 3） ；对不符合等级保护要求的，在 收到审核申请之日起 5 个工作日内通知企业予以改正；发现定级 不准的，在收到审核申请之日起 5 个工作日内通知企业重新确定 等级。 5.公安部门备案。公安部门备案。各煤矿企业在收到审核意见书后，应通过 “网络安全等级保护综合服务平台”填写信息系统安全等级保 护备案表 （见附件 4） ，并到所在市的公安机关进行备案；属于 跨设区的市或全省统一联网的计算机信息系统，报省级公安机关 备案。对定级准确、备案材料符合等级保护要求的，公安机关在 收到备案申请后 10 个工作日内颁发 信息系统安全等级保护备案 证明 （见附件 5） ；公安机关对不符合等级保护要求的，在收到 备案申请之日起 10 个工作日内通知企业予以纠正； 发现定级不准 的， 在收到备案申请之日起 10 个工作日内通知企业重新审核确定 9 等级。 各煤矿企业已备案的等级保护对象主体或所处理的业务信息 和服务范围发生变化时，应当按照上述流程重新确定定级对象和 安全保护等级；因网络撤销或变更调整安全保护等级的，须当网 络撤销或变更调整后 10 个工作日内向原受理审核、 备案的能源局 和公安机关办理备案撤销或变更手续。 （二）定期开展网络安全等级测评（二）定期开展网络安全等级测评 各煤矿企业取得备案证明后，须对定级备案的网络进行网络 安全等级保护测评，并及时将网络安全等级保护测评报告向 定级审核的能源局和受理备案的公安机关报备。安全保护等级为 第二级的网络应当每两年至少开展一次网络安全等级测评；安全 保护等级为第三级的网络应当每年至少开展一次网络安全等级测 评；安全保护等级为第四级的网络每半年至少开展一次网络安全 等级保护测评；安全保护等级为第五级的网络应当依据特殊安全 需求进行网络安全等级保护测评。 （三）科学开展安全建设整改（三）科学开展安全建设整改 各煤矿企业网络建设项目应按照国家网络安全管理规范和技 术标准进行建设，并实行工程监理制，项目建设单位须按照信息 系统工程监理有关规定，委托信息工程监理单位对项目建设进行 工程监理；项目建设完成后，煤矿企业应委托第三方软件专业测 试机构对建设项目进行功能测试、性能测试、安全性测试等方面 10 工作。已运行的网络要按照定级情况落实安全保护措施，并结合 自查和网络安全等级保护测评过程中发现的问题隐患，按照“一 个中心（安全管理中心） 、三重防护（安全通信网络、安全区域边 界、安全计算环境） ”的要求，开展网络安全建设和整改。对已运 行却未能满足网络安全相应等级防护的网络，应遵循“不推倒重 建，在原有系统基础上完善”的原则，鼓励由系统原开发企业负 责整改建设落实，严格杜绝增加企业建设成本的情况发生。 （四）全面加强网络安全防护措施（四）全面加强网络安全防护措施 各煤矿企业一是一是要健全完善网络安全管理制度；二是二是要建立 网络安全事件应急处置机制，制定应急预案、开展应急演练，发 生网络安全事件时能够快速报告和处置；三是三是要做到底数清晰， 在网络投入运行前实现对网络资产的有效安全（分级）管控，收 敛网络实际攻击面，提高安全防护能力；四是四是要实现有效的数据 安全防护，在数据安全治理、数据备份恢复、数据监督管理及大 数据协同安全等方面有效提高数据安全防护能力。管理制度和技 术手段两手都要抓，两手都要硬，全面加强网络安全防护措施。 五是五是要落实网络安全态势感知监测预警措施，部署网络安全威胁 分析设备，对网络运行状态、网络流量、用户行为、网络安全案 （事）件等进行监测分析，并于 6 月底前与“山西省能源企业网 络安全管理系统”对接。 （五）加强供应链安全管理（五）加强供应链安全管理 煤矿企业应加强网络关键人员的安全管理，第二级及以上网 11 络运营者应对为其提供设计、建设、运维、技术服务的机构和人 员加强管理，评估服务过程中可能存在的安全风险，并采取相应 的管控措施。煤矿企业应加强网络运维管理，因业务需要确需通 过互联网远程运维的，应进行评估论证，并采取相应的管控措施。 煤矿企业应采购、使用符合国家法律法规和有关标准规范要求的 网络产品及服务，第二级及以上网络运营者应积极应用安全可信 的网络产品及服务，应优先使用核心技术、关键部件具有中国自 主知识产权的信息安全产品。 （六）落实密码安全防护要求（六）落实密码安全防护要求 各煤矿企业要贯彻落实中华人民共和国密码法等有关法 律法规规定和密码应用相关标准规范。网络安全保护等级确定为 第二级及以上的网络， 应在网络规划、 建设和运行阶段， 按照 密 码应用安全性评估管理办法和相关标准，在网络安全等级测评 中同步开展密码应用安全性评估；应正确、有效采用密码技术进 行保护，并使用符合相关要求的密码产品和服务。 四、落实并实施国家关键信息基础设施安全保护制度 根据党中央和公安部有关规定，各煤矿企业要积极开展关键 信息基础设施认定工作，且明确企业主要负责人是本单位关键信 息基础设施安全保护的第一责任人。要明晰关键信息基础设施安 全保护工作职责分工，要落实关键信息基础设施重点防护措施。 发现问题和风险隐患要及时整改，依据关键信息基础设施安全保 12 护标准，加强安全保护和保障，并进行安全检测评估。要强化核 心岗位人员管理、整体防护、监测预警、应急处置、数据保护等 重点保护措施，对关键信息基础设施中的重要网络和数据库进行 容灾备份，并采取身份鉴别、访问控制、密码保护、安全审计、 安全隔离、可信验证等关键技术措施，切实保护重要数据全生命 周期安全。 五、有关要求 （一）要加强责任落实，提高防护能力（一）要加强责任落实，提高防护能力 各级能源局、各煤矿企业要按照“谁主管谁负责、谁运营谁 负责”的原则，厘清网络安全保护边界，明确安全保护工作责任， 建立等保工作责任制，落实责任追究制度，做到“守土有责、守 土尽责” ，要深刻领会网络安全和信息化、智能化建设是一体之两 翼，驱动之双轮。要定期组织专门力量开展网络安全自查、检测 评估和风险评估， 及时发现网络安全隐患和薄弱环节并予以整改， 不断提高全省煤矿企业网络安全保护能力和水平。 （二）要加强经费保障，强化专业指导（二）要加强经费保障，强化专业指导 各煤矿企业要做好网络安全年度经费预算，要通过多种经费 渠道、保障关键信息基础设施、第二级及以上网络开展等级测评、 风险评估、密码应用等安全性检测、演练竞赛、安全建设整改、 安全保护平台建设、密码保障系统建设、运行维护、监督检查、 教育培训等经费投入。在做出网络安全和信息化有关决策时应有 13 网络安全管理机构人员参与。 （三）要加强实践探索，推行试点示范（三）要加强实践探索，推行试点示范 各市能源局要迅速对所辖煤矿企业网络安全工作进行调查摸 底，选定本行政区域内 2 个煤矿企业（安全生产标准化一级、二 级煤矿企业各 1 个）作为试点煤矿，立即开展等级保护定级备案、 等级测评、建设整改等各项工作，先行先试，探索科学合理、贴 近实际的煤矿企业网络安全等级保护工作模式和思路，并于 2021 年 3 月 31 日前将试点煤矿名单报省能源局。 （四）要加强监督检查，建立长效机制（四）要加强监督检查，建立长效机制 从本实施方案下发之日起，各煤矿企业已运营或新建各类网 络，特别是智能化工业控制系统、数据资源等，未落实网络安全 等级保护制度要求的，要通过安全自查、等级测评等方式，找出 问题、 发现隐患， 务必于 2021 年 9 月底前按照国家标准整改完毕。 2021 年 10 月开始，省能源局将会同省公安厅分组对全省煤矿企 业等保工作落实情况进行全面检查。 各市能源局从第三季度起，每季度最后一个工作日向省能源 局报送所辖行政区域内煤矿企业网络等保定级备案及测评情况。 联 系 人王晓宇 范晓临 联 系 电 话0351-4117540 4117545 表格下载邮箱nyjxxc2 密码nyjxxc123 资料报送邮箱nyjxxc1 14 附件1.全省煤矿企业网络安全等级保护工作行业主管部门 任务分解 2.（单位名称）专家评审意见书 3.（单位名称）审核意见书 4.信息系统安全等级保护备案表 5.信息系统安全等级保护备案证明 15 附件 1 全省煤矿企业网络安全等级保护工作 行业主管部门任务分解 单位个 地市 生产煤矿 建设煤矿 集团公司 （主体企业） 数量 （省局审核） 生产煤矿数 量 安全生产 标准化一级 矿井数量 （省局审核） 安全生产 标准化二级 矿井数量 （市局审核） 建设煤矿数量 （不含停缓建） （市局审核） 太原市 31 9 22 3 12 大同市 44 9 34 7 6 朔州市 56 19 37 4 13 忻州市 45 13 31 5 2 吕梁市 89 26 61 16 30 晋中市 99 12 87 6 29 阳泉市 34 5 25 3 12 长治市 92 23 66 11 18 晋城市 92 29 58 22 14 临汾市 73 32 41 14 26 运城市 6 0 6 3 4 合计 661 177 468 94 166 备注上述各市生产煤矿总数中包含 16 座安全生产标准化未评级煤矿，由各市能源局负责 督促其按照本实施方案开展相关工作。 16 附件 2 网络安全等级保护网络安全等级保护定级定级 专家专家评审意见评审意见书书 评 审 单 位 （盖章） 评 审 日 期 17 系统名称系统名称 责任部门责任部门 责任人责任人 联系电话联系电话 分类拟定分类拟定 安全等级安全等级 专家评审专家评审 建议等级建议等级 系统 级 级 评评 审审 专专 家家 组组 成成 员员 姓姓 名名 单单 位位 职称职称 / 职务职务 联系电话联系电话 评审专家组组长（签字） 评审专家组组长（签字） 评审专家组成员（签字） 评审专家组成员（签字） 注注1.此意见书一式三份，煤矿企业、审核行业主管部门、网络安全管理部门各一份。 2.评审专家组详细意见附后。 18 评审专家组意见 XXXX 年 XX 月 XX 日，XXXX（单位名称）组织网络安全等级 保护专家组对本单位拟备案的 XXXX 系统进行了安全等级定级评审。 专家组听取了该系统情况介绍，审议了有关材料，经过认真讨论， 形成如下评审意见 1.提交评审的资料基本齐全，符合等级保护定级评审要求； 2.系统划分合理，并具有明确的安全责任部门和信息系统的基本要 素； 3.XXXX 系统定级 1）XXXX 系统的业务信息主要包括 XXXXXX（系统介绍） 。业 务信息遭到破坏后，所侵害的客体XXXXXX（公民、法人和其他组织 的合法权益/社会秩序、公共利益/国家安全） ，侵害程度XXX（一般损 害/严重损害/特别严重损害） 。根据 信息安全技术 网络安全等级保护 定级指南 （GBT 22240-2020） ，业务信息安全保护等级为第 X 级； XXXX 系统的服务范围为 XXXXXX（服务范围描述） 。系统服务遭 破坏后所侵害客体 XXXXXX（公民、法人和其他组织的合法权益/社会 秩序、公共利益/国家安全） ，侵害程度XXX（一般损害/严重损害/特别 严重损害） 。 根据信息安全技术 网络安全等级保护定级指南 （GB/T 22240-2020） ，系统服务安全保护等级为第 X 级。 经综合考虑上述要素，专家组讨论认为XXXX 系统安全保护等级 为第 X 级。 （多个系统按照上述方法依次给出定级意见） 19 附件 3 煤矿企业网络安全等级保护定级 审核意见书 填报时间 年 月 日 注注1.审核编号前 2 位为审核行业主管部门编号，4-6 位为年份，7-10 位为系统编号； 2.地区编号为00 省级，01 太原，02 大同，03 朔州，04 忻州，05 吕梁，06 晋中， 07 阳泉，08 长治，09 晋城，10 临汾，11 运城；3.此意见书一式三份，煤矿企业、 审核行业主管门、网络安全管理部门各一份。 企业名称 （盖 章） 注册地址 市 （县/区） （乡/镇） 安全生产标准化等级 级 信息系统网络安全等级保护定级情况信息系统网络安全等级保护定级情况 序号 信息系统名称 分类拟定 安全等级 专家评审 建议等级 审核安全 保护等级 1 2 3 4 行业主管部门 审核意见 审核编号xx-xxxx-xxxx （公章） 年 月 日 20 附件 4 信息系统安全等级保护信息系统安全等级保护 备案表备案表 备 案 单 位 （盖章） 备 案 日 期 受理备案单位 （盖章） 受 理 日 期 中华人民共和国公安部监制中华人民共和国公安部监制 备案表编号 21 附件 5 信息系统安全等级保护备案证明 22 （信息公开形式主动公开） 抄送省应急厅。 山西省能源局 2021 年 3 月 1 日印发