国家电网公司信息安全风险评估管理暂行办法

时间:2023-07-30 16:33:45 管理 我要投稿
  • 相关推荐

国家电网公司信息安全风险评估管理暂行办法

国家电网公司信息安全风险评估管理暂行办法1

  第一章总则

国家电网公司信息安全风险评估管理暂行办法

  第一条为加强和规范国家电网公司(以下简称公司)信息安全风险评估工作,加强公司信息安全的全过程动态管理,进一步提高公司信息安全水平,根据国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》,特制定本办法。

  第二条公司信息安全风险评估是对公司一体化企业级信息系统的潜在威胁、薄弱环节、防护措施等进行分析评估,以识别信息安全风险,发现信息网络、信息系统的脆弱性和薄弱环节,提出有针对性的信息安全整改工作建议,提高信息系统整体防护水平。

  第三条公司一体化企业级信息系统包括一体化企业级信息集成平台和八大业务应用。一体化企业级信息集成平台(简称“一体化平台”)包含信息网络、数据交换、数据中心、应用集成和企业门户;八大业务应用包括财务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。

  第四条本办法适用于公司总部,各区域电网、省(自治区、直辖市)电力公司和公司直属单位(以下简称各单位)信息安全风险评估工作。

  第二章职责分工

  第五条信息工作办公室(以下简称信息办)是公司信息安全风险评估工作的归口管理部门,主要职责:

  (一)负责贯彻落实国家有关部门要求,制定公司信息安全风险评估工作规范等文件;

  (二)负责统筹制定公司一体化企业级信息系统安全风险评估工作计划;

  (三)负责对各单位实施信息安全风险评估工作落实情况进行监督、检查;

  (四)负责组织以中国电力科学研究院和国网南京自动化研究院为主,公司有关人员参加的信息安全风险评估工作队伍/技术支撑单位,统筹开展公司各单位信息安全风险评估工作。

  第六条各单位负责本单位范围内信息网络和信息系统安全风险评估的具体实施工作,主要职责:

  (一)细化本单位信息安全风险评估实施计划,落实工作组织机构;

  (二)具体委托公司信息安全风险评估工作队伍/技术支撑单位,开展本单位范围内信息安全风险评估实施工作;

  (三)根据评估结果提出信息安全加固与整改工作计划报信息办批准后组织实施。

  第七条中国电力科学研究院和国网南京自动化研究院为公司信息安全风险评估工作队伍/技术支撑单位,主要职责:

  (一)协助信息办制定和完善公司信息安全风险评估工作规范等文件编制工作;

  (二)根据信息办要求,接受各单位委托,开展信息安全风险评估工作,承担具体信息安全风险评估任务;

  (三)会同各单位完成信息安全风险评估报告。

  第三章内容和过程

  第八条信息安全风险评估包括资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。

  第九条各单位的信息安全风险评估实施总体分为启动准备、风险要素评估、风险计算分析建议、安全整改等四个阶段。

  第四章组织实施

  第十条公司信息安全风险评估分为自评估和检查评估。信息安全风险自评估工作周期为两至三年;等级保护级别高的信息系统,按照国家有关部门要求开展信息安全风险自评估工作。检查评估工作根据国家有关部门要求,结合公司信息安全实际情况,不定期组织开展。

  第十一条各单位根据信息安全风险评估周期要求,结合本单位实际情况,于每年10月前提出下一年度信息安全风险自评估工作计划并报信息办。信息办结合公司各单位信息安全情况,统筹考虑并确定公司下一年度信息安全风险评估工作计划。

  第十二条对于纳入下一年度信息安全风险评估计划的单位要按照具体的时间要求,提前落实工作负责人,落实经费,联系风险评估技术支撑单位,细化工作计划,做好各项准备工作。

  第十三条各单位的信息安全风险评估工作要依据公司信息安全风险评估工作规范等文件,严格按照信息安全风险评估工作步骤、环节、内容,坚持信息安全风险评估标准,保证信息安全风险评估工作的科学性、规范性、客观性和实效性。

  第十四条各单位在开展信息安全风险评估工作时,对在线运行信息系统实施有关测试,要事前建立应急预案,落实应急措施,确保信息系统安全、可靠运行。对于因进行信息安全风险评估工作导致信息系统运行异常和故障的情况,要认真分析原因,提出改进措施,避免类似事件再次发生。

  第十五条各单位要高度重视信息安全风险评估专业人员培养工作,加强自身专业人员技术培训,认真做好技术支撑单位服务工作的配合、督促和评价工作。

  第十六条各单位计划内信息安全风险评估工作要于当年完成,并形成信息安全风险评估安全自评估报告、工作报告、技术报告、风险分析报告,整改建议报告,并报信息办。

  第十七条各单位要本着实事求是的原则开展安全整改,对于信息安全风险评估发现的`安全风险如果不需要增加新的安全技术手段和安全项目解决的问题,如通过修改配和加载补丁的安全加固等,应立即着手组织实施;对于需要通过安全项目解决的问题,各单位要选择重点,在整改建议报告中提出项目规模、内容、实施时间和有关建议。

  第十八条各单位要加强评估过程的保密管理。评估单位和评估实施单位对评估的信息负有保密责任,不得对外泄露。

  第十九条中国电力科学研究院、国网南京自动化研究院要按照信息安全风险评估工作常态化、延续性和保密性要求,建立持续、稳定的信息安全风险评估工作技术支撑队伍,加强技术支撑能力与服务能力建设,完善评估工具,切实承担起信息安全风险评估服务与指导工作任务。

  第二十条在业务流程、系统状况发生重大变化需进行计划外信息安全风险评估时,各单位要及时报公司信息办,信息办将根据实际情况组织实施。

  第二十一条各单位要按照公司统一制定的信息安全风险评估费用测算办法,根据实际情况认真核算工作量与评估费用,与公司信息安全风险评估技术支撑单位签订信息安全风险评估技术服务委托合同或协议。

  第五章附则

  第二十二条本规定由国家电网公司信息工作办公室负责解释并监督执行。

  第二十三条本规定自印发之日起执行。

国家电网公司信息安全风险评估管理暂行办法2

  第一章总则

  第一条为贯彻落实“安全第一、预防为主、综合治理”的安全工作方针,规范电网工程施工安全风险识别、评估与控制管理,制定本办法。

  第二条本办法根据《中华人民共和国安全生产法》、《建设工程安全生产管理条例》等国家现行安全生产法律、法规及《国家电网公司安全风险管理工作基本规范》、《生产作业风险管控工作规范》等公司有关规章制度、标准而制定。

  第三条本办法按照动态识别、科学评估、分级控制的原则,对电网工程施工安全风险进行管理。通过电网工程开工前的固有风险分析,并结合项目实际作业特点对电网工程作业前的动态风险进行识别、评估,不同动态风险等级采取不同的管理措施,保证电网工程施工安全风险始终处于可控、在控、能控状态。

  第四条本办法根据LEC安全风险评价方法中LEC值的大小及所对应的风险危害程度,将风险从小到大分为五级(一到五级分别对应:稍有风险、一般风险、显著风险、高度风险、极高风险)进行管理与控制。

  第五条本办法适用于国家电网公司(以下简称公司)系统投资建设的110(66)千伏及以上电网工程施工过程的安全风险管理。

  第二章施工安全风险管理职责

  第六条公司总部管理职责

  (一)按照国家有关安全生产的法律、法规,制订电网工程施工安全风险识别、评估及控制管理办法,并根据实施情况适时修订。

  (二)指导省级公司开展电网工程施工安全风险管理工作,检查省级公司施工安全风险识别、评估及控制管理办法贯彻执行情况,评价省级公司电网工程施工过程安全风险管理有效性。

  (三)全面掌握公司系统电网工程五级施工安全风险情况,必要时开展现场督导。

  第七条公司分部管理职责

  (一)检查区域省公司施工安全风险识别、评估及控制管理办法贯彻执行情况,评价区域省公司电网工程施工过程安全风险管理有效性。

  (二)全面掌握区域省公司电网工程施工五级风险情况,必要时开展现场督导。

  (三)参与并配合本办法的编写、修订工作。

  第八条省级公司管理职责

  (一)负责落实公司电网工程施工安全风险管理要求。

  (二)负责对五级风险作业的控制及降低等级进行现场监督检查。

  (三)负责对建设管理单位,所属施工、监理单位电网工程施工安全风险管理工作开展情况进行评价、考核。

  (四)按月向公司总部报送施工安全风险管理信息。第九条建设管理单位管理职责

  (一)指导、检查、通报施工、监理单位在电网工程施工项目中开展施工安全风险管理的情况,及时解决执行中存在的问题。

  (二)负责对四级以上风险作业的控制工作进行现场监督检查。

  (三)负责每月汇总并从基建管理信息系统上报作业风险情况表。

  (四)签订电网工程建设合同(设计、监理、施工等)时,明确施工安全风险管理责任条款,在施工过程中严格执行。

  第十条设计单位管理责任

  (一)负责将项目环境(海拔、地质、边坡等)、工程主要特点(高支模、深基坑、线路工程重要跨越、变电工程间隔扩建等)等内容写入设计文件,并进行安全风险交底。

  (二)配合施工过程安全风险管理工作。第十一条监理单位管理责任

  (一)负责组织本单位员工开展施工风险管理技能培训,确保监理人员熟悉施工安全风险管理流程并认真执行,及时完成相关工作。

  (二)四级及以上风险作业时,监理单位应组织开展现场检查、旁站监督。

  (三)对监理项目部施工安全风险管理状况开展检查、评价、考核,及时掌握监理项目部工程施工安全风险管理情况,提出整改措施。

  第十二条施工单位管理责任

  (一)施工单位履行施工安全风险识别、评估及控制管理主体责任,必须严格执行公司施工安全风险作业管理有关规定。

  (二)建立健全电网工程施工安全风险识别、评估及控制的制度,组织本单位员工开展风险管理技能培训,确保施工人员熟悉施工安全风险管理流程并认真执行,及时完成相关工作。

  (三)审查施工项目部报送的《三级及以上施工安全风险识别、评估和预控清册》。

  (四)指导、督促各施工项目部落实风险识别、评估、预控及风险控制过程各项工作。

  (五)四级及以上风险作业时,施工单位分管领导和相关管理人员必须到现场检查监督。

  第十三条业主项目部管理职责

  (一)编制项目《建设管理纲要》时,明确安全风险管理要求。负责项目建设过程中安全风险管理要求的落实。

  (二)工程开工前,负责组织项目设计单位对施工、监理单位进行项目作业风险交底及风险点的初勘工作。

  (三)审查施工项目部编制的《三级及以上施工安全风险识别、评估、预控清册》及动态风险计算结果。

  (四)负责对三级以上风险作业的控制工作进行现场监督检查。

  第十四条监理项目部管理责任

  (一)工程开工前,参与项目安全风险交底及风险点的初勘。

  (二)审查施工项目部报送的《三级及以上施工安全风险识别、评估和预控清册》及动态风险计算结果。

  (三)严格控制三级及以上风险作业,作业过程必须进行旁站监理。

  (四)对《电网工程安全施工作业票》(见附录D.3、附录D.4)中施工作业风险控制流程执行情况进行重点监督和检查,对存在问题及时提出整改意见并实现闭环管理。

  第十五条施工项目部管理责任

  (一)施工项目部是现场施工安全风险识别、评估及控制的执行主体,必须严格执行本办法的各项规定。

  (二)组织本项目部所有员工学习本办法,确保施工项目部管理人员、施工人员熟悉施工安全风险管理流程及相关工作。

  (三)开展现场初勘,确定本项目各工序固有风险。编制《施工安全风险识别、评估、预控清册》,对三级及以上作业风险逐一进行复测并填写《施工作业风险现场复测单》(见附录D.2)。

  (四)将《三级及以上施工安全风险识别、评估和预控清册》和《作业风险现场复测单》报监理项目部审核并报业主项目部备案。

  (五)根据作业前动态因素,计算确定作业动态风险等级,建立《三级及以上施工安全风险动态识别、评估及预控措施台帐》(见附录D.1),并根据动态风险等级采取相应措施。

  (六)三级及以上风险作业前,相关管理人员必须到岗到位。

  (七)三级及以上风险作业必须填写《电网工程安全施工作业票B》(见附录D.4)。同时,按照作业步骤填写《电网工程安全施工作业票B》中的作业风险控制卡有关项目,并由工作负责人逐项确认。

  第三章施工安全风险等级与类别

  第十六条为便于风险识别、评估,电网工程施工安全风险等级划分为五级。

  一级风险:指作业过程存在较低的安全风险,不加控制可能发生轻伤及以下事件的施工作业;

  二级风险:指作业过程存在一定的安全风险,不加控制可能发生人身轻伤事故的施工作业;

  三级风险:指作业过程存在较高的安全风险,不加控制可能发生人身重伤或人身死亡事故的施工作业;

  四级风险:指作业过程存在高的安全风险,不加控制容易发生人身死亡事故的施工作业;

  五级风险:指作业过程存在很高的安全风险,不加控制可能发生群死群伤事故的施工作业。

  第十七条电网工程施工安全风险类别分为固有风险、动态风险。

  固有风险(D1)是指在正常情况下,施工作业过程中存在的`安全风险。

  动态风险(D2)是指在作业时的特定情况下,施工作业过程中存在的安全风险。

  动态风险等级是在固有风险等级的基础上,按作业时特定的作业人员、机械设备配备及材料、施工方法、环境、安全管理情况进行计算修正的结果。

  第十八条动态风险等级作为实际作业过程风险控制的依据。

  第四章施工安全风险等级识别与评估

  第十九条电网工程固有施工安全风险识别与评估。

  (一)电网工程开工前,业主项目部组织设计、监理、施工单位开展项目交底及风险点初勘工作。

  (二)施工项目部根据项目交底及风险点初勘结果,从《电网工程固有风险汇总清册》(见附录E)中选择符合本工程的作业工序及其对应的风险等级,确定本工程各施工工序固有风险等级,编制本工程的《施工安全风险识别、评估、预控清册》。

  (三)施工项目部筛选本工程三级及以上固有风险工序,建立《三级及以上施工安全风险识别、评估和预控清册》,报监理项目部审查、业主项目部确认后发布。

  第二十条电网工程动态施工安全风险识别与评估。

  (一)施工项目部根据施工方法、作业人员、机械设备、材料、环境、安全管理等六个维度影响因素的实际情况,在分项工程作业前按照《动态风险值计算》(见附录A.3)计算出各工序作业风险动态修正系数K,对《三级及以上施工安全风险识别、评估和预控清册》中固有风险值(D1)进行修正,得出动态风险值D2。

  (二)依据动态风险值D2,查阅《施工安全风险值D与风险等级关系表》(见附录A.2.1.4),确认实际作业存在的安全风险等级,建立《三级及以上施工安全风险动态识别、评估及预控措施台帐》。

  (三)实际作业时再次确认六个维度影响因素的取值情形与作业实际情形是否一致。当出现情形变化时,应根据六个维度影响因素的实际情况,重新计算动态风险值及作业存在的安全风险等级。

  第二十一条监理项目部、业主项目部对《三级及以上施工安全风险识别、评估和预控清册》和施工项目部动态风险计算成果进行签字确认。

  第五章施工安全风险控制

  第二十二条二级及以下施工安全风险等级工序作业由施工项目部组织开展风险控制。

  (一)二级及以下固有风险工序作业前,施工项目部要复核各工序动态因素风险值,仍属二级风险的,按照常态安全管理组织施工。

  (二)二级及以下固有风险动态升级为三级及以上风险的,要采取措施尽可能降低至二级及以下风险。否则,按照三级以上等级风险控制办法组织实施。

  第二十三条三级及以上施工安全风险控制管理。

  (一)三级及以上固有风险工序作业前,施工项目部要组织进行实地复测,填写《施工作业风险现场复测单》,按照动态安全风险等级确定方法,计算动态风险等级。

  (二)要优先采用针对性措施降低三级及以上施工工序风险等级。采取措施后仍然在三级及以上风险的,要严格执行《电网工程安全施工作业票B》,制定“电网工程施工作业风险控制卡”,(见附录D.4“(示例)”),报监理项目部审查、业主项目部确认。

  (三)四级及以下固有风险经过动态修正后出现五级风险的,要通过改善作业人员、机械设备、材料、施工方法、环境、安全管理等六个维度中某些维度的条件,把风险等级减低为四级及以下之后,再行施工。

  (四)采取措施后仍然出现五级风险作业工序时,施工项目部必须重新编制专项施工方案(含安全技术措施),业主项目部组织专家进行方案论证,并报省公司基建部备案。作业时各级管理人员要到岗到位,安全措施落实到位,条件不能满足时必须停止施工。

  第二十四条三级及以上风险等级的施工工序,相关人员要按照《电网工程三级及以上施工安全风险管理人员到岗到位要求》(见附录C)进行作业监督检查,按作业步骤对风险控制卡进行逐项确认后,方可开展作业。

  (一)作业负责人要在实际作业前组织对作业人员进行全员安全风险交底,安全风险交底与作业票交底同时进行并在作业票交底记录上全员签字。

  (二)在作业过程中,施工负责人按照作业流程对《电网工程安全施工作业票B》中的作业风险控制卡逐项确认。

  (三)监理项目部必须对作业进行旁站监理,并对《电网工程安全施工作业票B》执行情况进行确认。

  (四)四级及以上风险等级作业时,业主项目部必须进行现场监督,并对《电网工程安全施工作业票B》的执行进行签字确认。

  (五)各级人员要按要求加强对四级及以上风险等级作业现场的监督检查。

  第二十五条特殊条件(暴雨、雷雨、大雾、冰雪等恶劣天气时的户外作业)下,经动态因素调整后,对风险等级低于二级的,考虑到作业条件的特殊性,应将风险等级按照三级及以上风险进行控制,极端情况下,应停止施工。

  第二十六条电网工程施工安全风险识别、评估及控制管理流程见附录B。

  第六章考核评价

  第二十七条公司及分部对各省级公司开展施工安全风险识别、评估及控制管理情况进行检查与通报,检查情况纳入基建安全管理综合评价。

  第二十八条省级公司及时开展电网工程施工安全风险识别、评估及控制管理执行情况检查,检查情况纳入本单位基建安全管理相关工作考核与评价。

  第二十九条建设管理单位将施工安全风险识别、评估及控制管理工作纳入设计、施工、监理等合同条款,并严格考核。

  第三十条公司所属监理、施工单位应结合本单位实际,制定相应考核办法,对项目部执行施工安全风险识别、评估及控制情况进行考核。

  第三十一条施工安全风险管理职责履行不到位或预控措施执行不到位导致事故发生的,对责任单位和有关人员,按公司有关规定进行处罚。

  第七章附则

  第三十二条术语及定义

  (一)风险因素:风险因素是指一个系统中具有潜在能量和物质释放风险的、在一定的触发因素作用下可转化为事故的部位、区域、场所、空间、岗位、设备、装及其状态。

  (二)风险因素识别:识别风险因素的存在并确定其特性的过程。

  (三)风险评估:评估风险大小以及确定风险是否容许的全过程。

  (四)风险:是对某种可预见的风险情况发生的可能性和后果严重程度两个指标的综合描述。即是一个事故产生人们不希望的后果的可能性。风险不仅意味着风险的存在,还意味着风险发生有渠道和可能性。

  (五)风险识别:识别风险因素的存在并确定其特性的过程。风险识别首先要确定风险因素的存在,然后确定风险因素的性质,即应识别出不同作业活动或设备的风险因素的种类与分布、伤害或损失产生的方式、途径和性质。

  (六)风险控制:风险控制是针对施工现场作业和电网设备已识别出的风险因素和风险评价的结果,制定和实施消除、降低、控制风险的有效措施。风险控制应体现成本、利益、风险三者间的关系,要从最经济的角度来处理风险,选择最低成本、最佳效益、最大安全保障的方法,制定风险应对决策。

  (七)风险管理:即运用系统的观念和方法研究风险与环境之间的关系,运用安全系统工程的理念,通过识别、评价、量化、分析风险,并在此基础上有效控制风险,用最经济合理的方法来综合处风险,以实现最大安全保障和最经济的科学管理方法。

  第三十三条本办法由国家电网公司基建部负责解释并监督执行。

  第三十四条本办法自20xx年1月1日起正式实施。

【国家电网公司信息安全风险评估管理暂行办法】相关文章:

风险评估管理制度05-06

《公司战略与风险管理》知识点之收集风险管理初始信息05-05

风险评估和管理制度03-20

《公司战略与风险管理》信息系统知识点05-05

公司战略与风险管理04-03

《公司战略与风险管理》知识点之内部信息传递05-04

公司战略与风险管理技巧06-04

如何进行投资风险评估06-03

安全风险管理制度09-01

《公司战略与风险管理》知识点05-04