电力行业网络安全管理及等级保护合规要点总结.docx

电力行业网络安全管理及等级保护合规要点总结 2022年6月12日，国家能源局综合司发布《电力行业网络安全管理办法（修订征求意见稿）》（下称“《管理办法（修订征求意见稿）》”）和《电力行业网络安全等级保护管理办法（修订征求意见稿）》（下称“《等保办法（修订征求意见稿）》”）并向社会公开征求意见。《管理办法（修订征求意见稿）》和《等保办法（修订征求意见稿）》是在网络安全、数据安全等相关的法律法规相继实施的背景下，时隔八年对《电力行业网络与信息安全管理办法》（国能安全〔2014〕317号）（下称“《管理办法（2014）》”）[1]、《电力行业信息安全等级保护管理办法》（国能安全〔2014〕318号）（以下简称“《等保办法（2014）》”）[2]进行修订，结合现行法律法规很大程度上丰富了原先两部文件的内容。这两部规范性文件如正式出台，将作为电力行业相关企业在网络安全工作中落实各项职责的重要依据，值得关注。 本文将从电力行业网络安全管理及等级保护中各主体的职责及电力行业网络安全保护等级的划分、实施出发，对《管理办法（修订征求意见稿）》和《等保办法（修订征求意见稿）》中的要点进行梳理与介绍，以期为电力企业网络安全管理合规工作提供思路。 一、电力行业“网络”的定义 国家能源局本次在对《管理办法（2014）》《等保办法（2014）》修订中较为明显的变化是，将文件名称从“网络与信息安全”和“信息安全”统一修改为“网络安全”。《等保办法（修订征求意见稿）》第二条对“网络”作出定义，即由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，包括电力监控系统、管理信息系统及通信网络设施。该定义系在《网络安全法》第七十六条对“网络”的定义[3]中加入了对电力行业“网络”的不完全列举，为在电力行业网络安全管理及等级保护中主管部门的职责、电力企业等责任主体的义务明确对象提供了参考。 二、电力行业网络安全相关主体及职责 （一）主管部门及职责 根据《管理办法（修订征求意见稿）》第五条、第六条，国家能源局、地方各级能源主管部门是电力行业网络安全的主管部门，履行电力行业网络安全监督九大管理职责。值得注意的是，根据《网络安全法》《关键信息基础设施安全保护条例》电力行业属于能源重要领域，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益等，很可能被认定为关键信息基础设施（“CII”）。相较于《管理办法（2014）》，《管理办法（修订征求意见稿）》在《网络安全法》《关键信息基础设施安全保护条例》的基础上，增加对电力行业关键信息基础设施（电力行业“CII”）的监管要求和方式，并明确国家能源局直接负责电力行业CII的安全保护工作，由各省级能源主管部门实施安全保护和监督管理，由国家能源局、地方各级能源主管部门负责组织认定电力行业CII，下文电力行业关键信息基础设施运营者（电力行业“CIIO”）的职责部分将对此进行更加深入分析。 根据《等保办法（修订征求意见稿）》第三条，国家能源局负责组织制定适用于电力行业的网络安全等级保护管理规范和技术标准，对电力行业网络安全等级保护工作的实施进行指导和监督管理。同时，国家能源局的派出机构在授权范围内，对本辖区电力企业网络安全等级保护工作的实施进行监督管理。《等保办法（修订征求意见稿）》在第六条进一步明确，国家能源局根据《网络安全等级保护定级指南》（GB/T 22240）等国家标准规范，结合电力行业网络特点，制定电力行业网络安全等级保护定级指南，指导电力行业网络安全等级保护定级工作。相较于《等保办法（2014）》，《等保办法（修订征求意见稿）》更新并减少了定级过程中所依据的相关的国家标准。 《管理办法（修订征求意见稿）》《等保办法（修订征求意见稿）》更加细化了国家能源局及其派出机构、地方各级能源主管部门的主要具体职责，如下表所示： 具体职责 组织落实 国家关于网络安全的方针、政策和重大部署，并与电力生产安全监督管理工作相衔接。 组织制定 电力行业网络安全的发展战略和总体规划； 组织制定电力行业网络安全等级保护、关键信息基础设施安全保护、数据安全、网络安全审查、风险评估、监测预警、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范，并监督实施； 电力行业CII安全规划，建立监测预警制度，组织开展网络安全检查检测； 电力行业网络安全事件应急预案，督促、指导电力企业网络安全应急工作，组织或参加网络安全事件的调查与处理； 根据国家网络安全等级保护政策法规和技术标准要求，结合行业实际，组织制定适用于电力行业的网络安全等级保护管理规范和技术标准。 组织认定 电力行业CII。 组织建立 电力行业网络安全工