您的位置 : 环球研究 / 环球评论 / 新闻详情
电力行业网络安全管理及等级保护合规要点总结
2022年07月01日孟洁 | 戴畅 | 李晨瑜

2022年6月12日,国家能源局综合司发布《电力行业网络安全管理办法(修订征求意见稿)》(下称“《管理办法(修订征求意见稿)》”)和《电力行业网络安全等级保护管理办法(修订征求意见稿)》(下称“《等保办法(修订征求意见稿)》”)并向社会公开征求意见。《管理办法(修订征求意见稿)》和《等保办法(修订征求意见稿)》是在网络安全、数据安全等相关的法律法规相继实施的背景下,时隔八年对《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)(下称“《管理办法(2014)》”)[1]、《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)(以下简称“《等保办法(2014)》”)[2]进行修订,结合现行法律法规很大程度上丰富了原先两部文件的内容。这两部规范性文件如正式出台,将作为电力行业相关企业在网络安全工作中落实各项职责的重要依据,值得关注。

 

本文将从电力行业网络安全管理及等级保护中各主体的职责及电力行业网络安全保护等级的划分、实施出发,对《管理办法(修订征求意见稿)》和《等保办法(修订征求意见稿)》中的要点进行梳理与介绍,以期为电力企业网络安全管理合规工作提供思路。

 

一、电力行业“网络”的定义

 

国家能源局本次在对《管理办法(2014)》《等保办法(2014)》修订中较为明显的变化是,将文件名称从“网络与信息安全”和“信息安全”统一修改为“网络安全”。《等保办法(修订征求意见稿)》第二条对“网络”作出定义,即由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括电力监控系统、管理信息系统及通信网络设施。该定义系在《网络安全法》第七十六条对“网络”的定义[3]中加入了对电力行业“网络”的不完全列举,为在电力行业网络安全管理及等级保护中主管部门的职责、电力企业等责任主体的义务明确对象提供了参考。

 

二、电力行业网络安全相关主体及职责

 

(一)主管部门及职责

 

根据《管理办法(修订征求意见稿)》第五条、第六条,国家能源局、地方各级能源主管部门是电力行业网络安全的主管部门,履行电力行业网络安全监督九大管理职责。值得注意的是,根据《网络安全法》《关键信息基础设施安全保护条例》电力行业属于能源重要领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益等,很可能被认定为关键信息基础设施(“CII”)。相较于《管理办法(2014)》,《管理办法(修订征求意见稿)》在《网络安全法》《关键信息基础设施安全保护条例》的基础上,增加对电力行业关键信息基础设施(电力行业“CII”)的监管要求和方式,并明确国家能源局直接负责电力行业CII的安全保护工作,由各省级能源主管部门实施安全保护和监督管理,由国家能源局、地方各级能源主管部门负责组织认定电力行业CII,下文电力行业关键信息基础设施运营者(电力行业“CIIO”)的职责部分将对此进行更加深入分析。

 

根据《等保办法(修订征求意见稿)》第三条,国家能源局负责组织制定适用于电力行业的网络安全等级保护管理规范和技术标准,对电力行业网络安全等级保护工作的实施进行指导和监督管理。同时,国家能源局的派出机构在授权范围内,对本辖区电力企业网络安全等级保护工作的实施进行监督管理。《等保办法(修订征求意见稿)》在第六条进一步明确,国家能源局根据《网络安全等级保护定级指南》(GB/T 22240)等国家标准规范,结合电力行业网络特点,制定电力行业网络安全等级保护定级指南,指导电力行业网络安全等级保护定级工作。相较于《等保办法(2014)》,《等保办法(修订征求意见稿)》更新并减少了定级过程中所依据的相关的国家标准。

 

《管理办法(修订征求意见稿)》《等保办法(修订征求意见稿)》更加细化了国家能源局及其派出机构、地方各级能源主管部门的主要具体职责,如下表所示:

 


(二)责任主体及职责

 

1. 一般电力企业的职责

 

《管理办法(修订征求意见稿)》和《等保办法(修订征求意见稿)》均明确规定,电力企业是本单位网络安全和履行网络安全等级保护义务的责任主体。相较于《管理办法(2014)》《等保办法(2014)》,《管理办法(修订征求意见稿)》《等保办法(修订征求意见稿)》进一步细化了电力企业的一般职责如下图,具体职责请参见附件二:

 

图片

 

我们看到,很多电力企业都开始探索网络安全管理的制度与新思路,如南方电网在“数据资产管理体系”研究和建设实践的基础上形成了南方电网数据资产管理体系框架,“管理职能包括数据战略、数据治理、数据运营、数据流通、组织保障、技术支撑六个模块,共计36项管理职能。其中在数据运营模块主要包括数据共享开放管理、数据分类分级管理等”,具体包括“对公司数据实施有效的分类分级,识别整理敏感数据域,制定数据类别、制定敏感等级、数据归类归级、形成数据分类分级全景视图、常态化开展数据分类分级工作”。[4]此外,我们也了解到电力行业正在探索形成电力数据分级分类相关制度规则,电力数据网络安全相关标准也在制定过程中。

 

2. 电力行业CIIO的职责

 

相较于《管理办法(2014)》《等保办法(2014)》,《管理办法(修订征求意见稿)》《等保办法(修订征求意见稿)》还增加了对于电力行业CIIO的特殊职责,具体如下:

 


根据2021年9月实施的《关键信息基础设施安全保护条例》第九条,负责关键信息基础设施安全保护工作的部门结合本行业、本领域实际,制定CIIO认定规则,并报国务院公安部门备案。虽然国家能源局在《指导意见》中明确,要研究制定电力行业CII认定规则。但是我们看到,此次国家能源局发布的《管理办法(修订征求意见稿)》《等保办法(修订征求意见稿)》,均尚未明确电力行业CIIO认定规则,我们期待后续相关认定规则的制定与出台。在目前电力行业CII认定规则不明确的情况下,我们为电力企业就电力行业网络安全管理合规提供两个思路:

 

(1)根据《网络安全法》《关键信息基础设施安全保护条例》第二条,其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统属于关键信息基础设施。根据《等保办法(修订征求意见稿)》对电力行业网络安全等级划分的标准,其中第三级的划分标准之一为“受到破坏后,会对社会秩序和公共利益造成严重危害。”第四级的划分标准之一为“受到破坏后,对国家安全造成严重危害。”并且,《等保办法(修订征求意见稿)》第十五条规定,国家能源局及其派出机构在定期组织的对运营有第三级及以上网络的电力企业开展抽查时,需结合关键信息基础设施网络安全检查。由此我们理解,等保定级为第三级及以上的电力行业网络被认定为电力CII的可能性较大。

 

(2)根据《管理办法(修订征求意见稿)》第十条,我们建议电力企业主动认真按照主管部门的要求履行报送工作,并在提交相关材料后密切关注主管部门的动态,积极协助、配合主管部门开展电力CII认定工作。

 

(三)其他相关主体及职责

 

1. 电力调度机构及职责

 

根据国家能源局于2021年12月印发的《电力并网运行管理规定》(国能发监管规〔2021〕60号,下称“《并网管理规定》”)沿用了2006年发布的《发电厂并网运行管理规定》(电监市场〔2006〕42号,现已失效)对电力调度机构的职能定义[5],即负责电力系统运行的组织、指挥、指导和协调。我们理解,电力调度机构与电网调度机构的性质类似,代表电网管理部门行使调度权。[6]

 

虽然早在2006年就明确了电力调度机构的职责,但我们注意到,在《管理办法(2014)》中,并未进一步规定电力调度机构在电力行业网络与信息安全管理中的职责。此次《管理办法(修订征求意见稿)》第七条中明确规定,由电力调度机构负责直接调度范围内的下一级电力调度机构、集控中心、变电站、发电厂等各类机构涉网部分的电力监控系统安全防护技术监督。具体职责如下:

  • 自行组织或委托电力监控系统安全防护评估机构开展调度范围内电力监控系统的自评估工作,配合开展电力监控系统的检查评估工作;

  • 负责统一指挥调度范围内的电力监控系统安全应急处理,参与电力监控系统的网络安全事件调查和分析工作;

  • 组织并督促各相关单位开展电力监控系统安全防护技术培训和交流工作;

  • 负责对电力监控系统专用安全产品开展监督管理,制定电力监控系统专用安全产品管理办法并监督实施,且需要将并网电厂涉网部分电力监控系统的网络安全运行状态纳入监测;

  • 电力调度机构还应在每年11月1日向国家能源局及其派出机构、地方能源主管部门报送技术监督工作开展情况。

需要特别注意的是,根据《管理办法(修订征求意见稿)》第十二条的规定,电力企业在选用接入生产控制大区的涉网安全产品时,该产品除应符合国家有关规定、满足网络安全要求外,还需要经过电力调度机构的同意。

 

《管理办法(修订征求意见稿)》明确了电力调度机构在电力行业网络安全管理工作中的职责,在一定程度上表明,主管部门已经意识到电力调度机构在其履行电力系统运行相关的职能时,应发挥其在电力系统运行的组织、指挥、指导和协调工作中的职能优势,在电力行业网络安全管理中发挥作用。

 

2. 网络安全等级保护测评机构及职责

 

公安部于2018年6月发布的《网络安全等级保护条例(征求意见稿)》(下称“《等保条例(征求意见稿)》”)规定,新建的第三级以上网络上线运行前应当委托网络安全等级测评机构测评。国家对网络安全等级测评机构实行推荐目录管理。相较于《等保条例(征求意见稿)》中的“网络安全等级测评机构”,虽然《等保管理办法(修订征求意见稿)》中的“网络安全等级保护测评机构”(下称“测评机构”)在名称中多出“保护”二字,但根据《等保管理办法(修订征求意见稿)》第十八条第一项,测评机构(网络安全等级保护测评机构)应获得国家认证认可委员会批准的认证机构发放的《网络安全等级测评与检测评估机构服务认证证书》[7]并纳入《全国网络安全等级测评与检测评估机构目录》[8],因此我们理解二者很可能在实质上是同一类机构,我们期待在后续立法过程中确定此类测评机构的统一名称。

 

在《等保管理办法(修订征求意见稿)》中,规定网络安全等级保护测评由网络安全等级保护测评机构开展。测评机构出具的网络安全等级保护测评报告,是电力企业在接受国家能源局及其派出机构的安全监督、检查、指导时提供的资料之一。因此,《等保管理办法(修订征求意见稿)》第十八条规定,电力企业应该选择符合条件的测评机构进行网络安全等级测评。并且相较于《等保办法(2014)》,《等保办法(修订征求意见稿)》具体规定了测评机构的资质等要求(详见附件中问题8)。同时,《等保办法(修订征求意见稿)》第二十六条对测评机构的行为作出约束,如测评机构发生相应条款中的不良行为时,国家能源局可向国家有关部门提出限期整改、注销测评机构证书等建议,并向电力企业通报相关信息。

 

(四)各个主体间的关系

 

从上述分析中可以看出,在电力行业网络安全管理和等级保护中,各类主体各司其职:

 

国家能源局及其派出机构和地方各级能源主管部门(下图统称“国家能源主管部门”)履行监督管理职责,同时负责电力行业CII的认定和监管。

 

电力企业作为本单位网络安全的责任主体,在主管部门的监督和管理下,负责本单位的网络安全工作,履行网络安全等级保护的义务和责任。电力企业的网络如被认定为关键信息基础设施,则该电力企业还应作为电力行业CIIO履行相应的职责。

 

电力调度机构负责直接调度范围内的下一级电力调度机构、集控中心、变电站、发电厂等各类机构涉网部分的电力监控系统安全防护技术监督。

 

测评机构为电力企业定期开展的网络安全等级测评提供服务。国家能源局依据《等保管理办法(修订征求意见稿)》第二十六条的规定对测评机构进行监督。

 

各个主体在电力行业网络安全管理及等级保护中的关系如下图:

 

图片

 

三、电力行业网络安全保护等级划分的标准

 

确定电力行业网络安全保护等级的划分标准,是电力企业在电力行业网络安全等级保护的实施中,确定自身主体责任的前提。《等保办法(修订征求意见稿)》对电力行业网络划分为五个安全保护等级,为电力企业提供了定级的原则性依据:

 


相较于《等保办法(2014)》,《等保办法(修订征求意见稿)》借鉴了《网络安全等级保护条例(征求意见稿)》中网络等级的划分标准,将四个等级调整为五个等级,并在“损害”的基础上增加了“危害”的概念,对应区分三个级别(一般、严重、特别严重),但是也未对这两个概念和三个级别做出具体界定,相关定级规则未明确电力行业地特殊性,规定相对抽象,企业在实践中较难以此自行准确定级,需要结合《网络安全等级保护定级指南》(GB/T 22240)等国家标准规范和电力行业网络安全等级保护定级指南,确定网络安全保护等级。我们期待电力行业网络安全等级保护定级指南的出台,结合电力行业网络特点明确更加具体的定级方式,以为实践做出指导。

 

四、不合规的电力企业的风险与责任

 

(一)面临监督检查和事件调查

 

《管理办法(修订征求意见稿)》第四章关于规定与《管理办法(2014)》第二十条的规定完全一致,国家能源局及其派出机构、地方能源主管部门负责在职责范围内对电力企业网络安全工作进行监督检查,并定期开展电力行业CII网络安全检查检测。《管理办法(修订征求意见稿)》第三十一条关于国家能源局及其派出机构、地方能源主管部门监督检查方式的规定与《管理办法(2014)》第二十条完全一致,即:

  • 可以采取进入电力企业检查;

  • 询问相关单位的工作人员,要求其对有关检查事项作出说明;

  • 查阅复制相关资料等措施,对可能被转移、隐匿、损毁的文件、资料予以封存;

  • 对检查中发现的问题,可责令电力企业当场改正或限期改正。

(二)行业通报

 

值得注意的是,《管理办法(修订征求意见稿)》规定,如在检查中发现电力企业网络存在较大安全风险或者发生安全事件的,电力企业法定代表人或者主要负责人将受到主管部门的约谈,情节严重的依据国家有关法律、法规予以处理。并且相关主管部门也可就网络安全缺陷、漏洞等风险隐患、网络安全事件开展行业通报。情节严重的,将依据国家有关法律法规处理。这也是在《管理办法(2014)》的基础上新增加的要点。

 

(三)限期改正和警告

 

对违反国家关于电力行业网络安全等级保护规定及《等级保护管理(修订征求意见稿)》的电力企业,由国家能源局及其派出机构按照职责分工责令限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,造成严重损害的,由公安机关、密码管理部门依照有关法律、法规予以处理。

 

《管理办法(修订征求意见稿)》《等级保护管理(修订征求意见稿)》为规范性文件,未规定行政处罚相关内容,具体处罚规定依照相关上位法律法规规定执行。

 

结语

 

随着电力系统快速向信息化、数字化转型以及电力行业“新基建”的快速推进,电力行业网络安全的重要性越发凸显。此次国家能源局在我国数据安全、网络安全立法框架已经形成的大背景下,发布《管理办法(修订征求意见稿)》和《等保办法(修订征求意见稿)》,对2014年出台的《管理办法(2014)》《等保办法(2014)》进行修订,明确在电力行业网络安全管理以及电力行业网络安全等级保护中,主管部门、电力企业(包含电力行业CIIO)、电力调度机构、测评机构等相关部门的职责,为电力企业在电力行业网络安全管理工作中履行相应的义务指明了方向。我们建议,电力企业重点关注《管理办法(修订征求意见稿)》和《等保办法(修订征求意见稿)》的立法动态,对其中涉及的合规要点进行自我排查,提前布局,减少在电力行业网络安全管理及等级保护中的风险敞口。

 

请点击文末“相关下载”,查看附件内容:1. 电力企业在电力行业网络等级保护中的义务Q&A;2. 电力企业的一般职责。

 

注释:

[1] 根据《电力行业网络与信息安全管理办法》第二十二条的规定,《电力行业网络与信息安全管理办法》有效期为五年,即有效期至2019年7月3日。

[2] 根据《电力行业信息安全等级保护管理办法》第三十一条的规定,《电力行业信息安全等级保护管理办法》有效期为五年,即有效期至2019年9月23日。

[3] 《网络安全法》第七十六条,网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

[4] 《南方电网数据资产管理体系白皮书》2021年12月

[5] 《《电网调度管理条例实施办法》第五条规定,“电网调度机构是电网运行的组织、指挥、指导和协调机构,各级调度机构分别由本级电网管理部门直接领导。调度机构既是生产运行单位,又是电网管理部门的职能机构,代表本级电网管理部门在电网运行中行使调度权。”与“电力调度机构”相比增加了电力市场运营的职能。另外,根据《电力并网运行管理规定》(国能发监管规〔2021〕60号)第二十八条规定,国家能源局及其派出机构负责组织对电力调度机构和电力交易机构的执行情况进行评估和监管。国家标准《电网运行准则》(GB/T 31464-2015)将“电力系统”定义为由发电、供电(输电、变电、配电)、用电设施以及为保障其正常运行所需的继电保护和安全自动装置、计量装置、调度自动化、电力通信等二次设施构成的统一整体。

[6] 已于《电力并网运行管理规定》出台时同时废止。

[7] http://www.djbh.net/webdev/web/CheckGuideAction.do?p=getZcfg&id=8a8182567cf2de62017d3ae6ffc10043&xx=a57ea59e9f6cf27b129f9bf21f7111ee。访问于2022年6月25日。该证书由公安部第三研究所(国家认证认可委员会批准的认证机构)认证发放。

[8] http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=gzdtLv3&id=402885cb35d11a540135d168e41e000c。访问于2022年6月25日。该目录由中关村信息安全测评联盟发布,认证机构名称均为公安部第三研究所。

 

相关下载