1、2022修订版全文学习 汇报:XXX时间:XX月XX日电力行业网络安全等级保护管理办法是为规范电力行业网络安全等级保护管理,提高电力行业网络安全保障能力和水平,维护国家安全、社会稳定和公共利益,根据中华人民共和国网络安全法中华人民共和国密码法中华人民共和国计算机信息系统安全保护条例关键信息基础设施安全保护条例信息安全等级保护管理办法等法律法规和规范性文件,制定的办法。办法解读办法全文学习010201国家能源局本次在对管理办法(2014)等保办法(2014)修订中较为明显的变化是,将文件名称从“网络与信息安全”和“信息安全”统一修改为“网络安全”。等保办法第二条对“网络”作出定义,即由计算机或者
2、其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括电力监控系统、管理信息系统及通信网络设施。该定义系在网络安全法第七十六条对“网络”的定义3中加入了对电力行业“网络”的不完全列举,为在电力行业网络安全管理及等级保护中主管部门的职责、电力企业等责任主体的义务明确对象提供了参考。电力行业“网络”的定义 根据管理办法第五条、第六条,国家能源局、地方各级能源主管部门是电力行业网络安全的主管部门,履行电力行业网络安全监督九大管理职责。值得注意的是,根据网络安全法关键信息基础设施安全保护条例电力行业属于能源重要领域,一旦遭到破坏、丧失功能或者数据泄露,可能严
3、重危害国家安全、国计民生、公共利益等,很可能被认定为关键信息基础设施(“CII”)。相较于管理办法(2014),管理办法在网络安全法关键信息基础设施安全保护条例的基础上,增加对电力行业关键信息基础设施(电力行业“CII”)的监管要求和方式,并明确国家能源局直接负责电力行业CII的安全保护工作,由各省级能源主管部门实施安全保护和监督管理,由国家能源局、地方各级能源主管部门负责组织认定电力行业CII,下文电力行业关键信息基础设施运营者(电力行业“CIIO”)的职责部分将对此进行更加深入分析。根据等保办法第三条,国家能源局负责组织制定适用于电力行业的网络安全等级保护管理规范和技术标准,对电力行业网络
4、安全等级保护工作的实施进行指导和监督管理。同时,国家能源局的派出机构在授权范围内,对本辖区电力企业网络安全等级保护工作的实施进行监督管理。等保办法在第六条进一步明确,国家能源局根据网络安全等级保护定级指南(GB/T 22240)等国家标准规范,结合电力行业网络特点,制定电力行业网络安全等级保护定级指南,指导电力行业网络安全等级保护定级工作。相较于等保办法(2014),等保办法更新并减少了定级过程中所依据的相关的国家标准。电力行业网络安全相关主体及职责 管理办法和等保办法均明确规定,电力企业是本单位网络安全和履行网络安全等级保护义务的责任主体。相较于管理办法(2014)等保办法(2014),管理
5、办法等保办法进一步细化了电力企业的一般职责。很多电力企业都开始探索网络安全管理的制度与新思路,如南方电网在“数据资产管理体系”研究和建设实践的基础上形成了南方电网数据资产管理体系框架,“管理职能包括数据战略、数据治理、数据运营、数据流通、组织保障、技术支撑六个模块,共计36项管理职能。其中在数据运营模块主要包括数据共享开放管理、数据分类分级管理等”,具体包括“对公司数据实施有效的分类分级,识别整理敏感数据域,制定数据类别、制定敏感等级、数据归类归级、形成数据分类分级全景视图、常态化开展数据分类分级工作”。此外,我们也了解到电力行业正在探索形成电力数据分级分类相关制度规则,电力数据网络安全相关标
6、准也在制定过程中。一般电力企业的职责 相较于管理办法(2014)等保办法(2014),管理办法等保办法还增加了对于电力行业CIIO的特殊职责。根据2021年9月实施的关键信息基础设施安全保护条例第九条,负责关键信息基础设施安全保护工作的部门结合本行业、本领域实际,制定CIIO认定规则,并报国务院公安部门备案。虽然国家能源局在指导意见中明确,要研究制定电力行业CII认定规则。但是我们看到,此次国家能源局发布的管理办法等保办法,均尚未明确电力行业CIIO认定规则,我们期待后续相关认定规则的制定与出台。在目前电力行业CII认定规则不明确的情况下,我们为电力企业就电力行业网络安全管理合规提供两个思路:
7、(1)根据网络安全法关键信息基础设施安全保护条例第二条,其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统属于关键信息基础设施。根据等保办法对电力行业网络安全等级划分的标准,其中第三级的划分标准之一为“受到破坏后,会对社会秩序和公共利益造成严重危害。”第四级的划分标准之一为“受到破坏后,对国家安全造成严重危害。”并且,等保办法第十五条规定,国家能源局及其派出机构在定期组织的对运营有第三级及以上网络的电力企业开展抽查时,需结合关键信息基础设施网络安全检查。由此我们理解,等保定级为第三级及以上的电力行业网络被认定为电力CII的可能性较大。(2)
8、根据管理办法第十条,我们建议电力企业主动认真按照主管部门的要求履行报送工作,并在提交相关材料后密切关注主管部门的动态,积极协助、配合主管部门开展电力CII认定工作。电力行业CIIO的职责确定电力行业网络安全保护等级的划分标准,是电力企业在电力行业网络安全等级保护的实施中,确定自身主体责任的前提。等保办法对电力行业网络划分为五个安全保护等级,为电力企业提供了定级的原则性依据:相较于等保办法(2014),等保办法借鉴了网络安全等级保护条例(征求意见稿)中网络等级的划分标准,将四个等级调整为五个等级,并在“损害”的基础上增加了“危害”的概念,对应区分三个级别(一般、严重、特别严重),但是也未对这两个
9、概念和三个级别做出具体界定,相关定级规则未明确电力行业地特殊性,规定相对抽象,企业在实践中较难以此自行准确定级,需要结合网络安全等级保护定级指南(GB/T 22240)等国家标准规范和电力行业网络安全等级保护定级指南,确定网络安全保护等级。我们期待电力行业网络安全等级保护定级指南的出台,结合电力行业网络特点明确更加具体的定级方式,以为实践做出指导。电力行业网络安全保护等级划分的标准(一)面临监督检查和事件调查管理办法第四章关于规定与管理办法(2014)第二十条的规定完全一致,国家能源局及其派出机构、地方能源主管部门负责在职责范围内对电力企业网络安全工作进行监督检查,并定期开展电力行业CII网络
10、安全检查检测。管理办法第三十一条关于国家能源局及其派出机构、地方能源主管部门监督检查方式的规定与管理办法(2014)第二十条完全一致,即:可以采取进入电力企业检查;询问相关单位的工作人员,要求其对有关检查事项作出说明;查阅复制相关资料等措施,对可能被转移、隐匿、损毁的文件、资料予以封存;对检查中发现的问题,可责令电力企业当场改正或限期改正。不合规的电力企业的风险与责任(二)行业通报值得注意的是,管理办法规定,如在检查中发现电力企业网络存在较大安全风险或者发生安全事件的,电力企业法定代表人或者主要负责人将受到主管部门的约谈,情节严重的依据国家有关法律、法规予以处理。并且相关主管部门也可就网络安全
11、缺陷、漏洞等风险隐患、网络安全事件开展行业通报。情节严重的,将依据国家有关法律法规处理。这也是在管理办法(2014)的基础上新增加的要点。不合规的电力企业的风险与责任(三)限期改正和警告对违反国家关于电力行业网络安全等级保护规定及等级保护管理的电力企业,由国家能源局及其派出机构按照职责分工责令限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,造成严重损害的,由公安机关、密码管理部门依照有关法律、法规予以处理。管理办法等级保护管理为规范性文件,未规定行政处罚相关内容,具体处罚规定依照相关上位法律法规规定执行。不合规的电力企业的风险
12、与责任02为规范电力行业网络安全等级保护管理,提高电力行业网络安全保障能力和水平,维护国家安全、社会稳定和公共利益,根据中华人民共和国网络安全法中华人民共和国密码法中华人民共和国计算机信息系统安全保护条例关键信息基础设施安全保护条例信息安全等级保护管理办法等法律法规和规范性文件,制定本办法。电力企业在中华人民共和国境内建设、运营、维护、使用网络(除核安全外),开展网络安全等级保护工作,适用本办法。本办法所称网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括电力监控系统、管理信息系统及通信网络设施。本办法不适用于涉及国家秘密的网
13、络。涉及国家秘密的网络应当按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合网络实际情况进行管理。国家能源局根据国家网络安全等级保护政策法规和技术标准要求,结合行业实际,组织制定适用于电力行业的网络安全等级保护管理规范和技术标准,对电力行业网络安全等级保护工作的实施进行指导和监督管理。国家能源局各派出机构根据国家能源局授权,对本辖区电力企业网络安全等级保护工作的实施进行监督管理。电力企业依照国家和电力行业相关法律法规和规范性文件,履行网络安全等级保护的义务和责任。根据电力行业网络在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失
14、、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,电力行业网络划分为五个安全保护等级:第一级,受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益。第二级,受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全。第三级,受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害。第四级,受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害。第五级,受到破坏后,会对国家安全造成特别严重危害。电力行
15、业网络安全等级保护坚持分等级保护、突出重点、积极防御、综合防范的原则。国家能源局根据信息安全技术 网络安全等级保护定级指南(GB/T 22240)等国家标准规范,结合电力行业网络特点,制定电力行业网络安全等级保护定级指南,指导电力行业网络安全等级保护定级工作。电力企业应当在网络规划设计阶段,依据信息安全技术 网络安全等级保护定级指南(GB/T 22240)等国家标准规范和电力行业网络安全等级保护定级指南,确定定级对象(网络)及其安全保护等级,并在网络功能、服务范围、服务对象和处理的数据等发生重大变化时,及时申请变更其安全保护等级。对拟定为第二级及以上的网络,电力企业应当组织网络安全专家进行定级
16、评审。其中,拟定为第四级及以上的网络,还应当由国家能源局统一组织国家网络安全等级保护专家进行定级评审。全国电力安全生产委员会企业成员单位汇总集团总部拟定为第二级及以上网络的定级结果和专家评审意见,报国家能源局审核。各区域(省)内的电力企业汇总本单位拟定为第二级及以上网络的定级结果,报国家能源局派出机构审核。电力企业办理网络安全等级保护定级审核手续时,应当提交电力行业网络安全等级保护定级审核表(详见附件),含各定级对象的定级报告及专家评审意见。国家能源局或其派出机构应当在收到审核材料之日起30日内反馈审核意见。电力企业应当在收到国家能源局或其派出机构审核意见后,按照有关规定向公安机关备案并按照第
17、八条规定的定级审核权限向国家能源局或其派出机构报告定级备案结果。电力企业应当采购、使用符合国家法律法规和有关标准规范要求且满足网络安全等级保护需求的网络产品和服务。对于电力监控系统,应当按照电力监控系统安全防护有关要求,采购和使用电力专用横向单向安全隔离装置、电力专用纵向加密认证装置或者加密认证网关等设备设施;在设备选型及配置时,禁止选用经国家能源局通报存在漏洞和风险的系统及设备,对已经投入运行的系统及设备应及时整改并加强运行管理和安全防护。采购网络产品和服务,影响或可能影响国家安全的,应当按照国家网络安全规定通过安全审查。电力企业在网络规划、建设、运营过程中,应当遵循同步规划、同步建设、同步
18、使用的原则,并按照该网络的安全保护等级要求,建设网络安全设备设施,制定并落实安全管理制度,健全网络安全防护体系。网络建设完成后,电力企业应当依据国家和行业有关标准或规范要求,定期对网络安全等级保护状况开展网络安全等级保护测评。第二级网络应当每两年进行一次等级保护测评,第三级及以上网络应当每年进行一次等级保护测评。新建的第三级及以上网络应当在通过等级保护测评后投入运行。电力监控系统网络安全等级保护测评工作应当与电力监控系统安全防护评估、关键信息基础设施网络安全检测评估、商用密码应用安全性评估工作相衔接,避免重复测评。电力企业应当定期对网络安全状况、安全保护制度及措施的落实情况进行自查。第二级电力
19、监控系统应当每两年至少进行一次自查,第三级及以上网络应当每年至少进行一次自查。电力企业应当对自查和等级保护测评中发现的安全风险隐患,制定整改方案,并开展安全建设整改。电力企业应当要求网络安全等级保护测评机构(以下简称测评机构)组织专家对第三级及以上网络的等级保护测评报告进行评审,并随测评报告提交专家评审意见。电力企业应当按照第八条规定的定级审核权限,每年向国家能源局或其派出机构报告网络安全等级保护工作情况,包括网络安全等级保护定级备案、等级保护测评、安全建设整改、安全自查等情况。国家能源局及其派出机构结合关键信息基础设施网络安全检查,定期组织对运营有第三级及以上网络的电力企业开展抽查。开展网络
20、安全检查时应当加强协同配合和信息沟通,避免不必要的检查和交叉重复检查。检查事项主要包括:(一)网络安全等级保护定级工作开展情况,包括定级评审、审核、备案及根据网络安全需求变化调整定级等情况;(二)电力企业网络安全管理制度、措施的落实情况;(三)电力企业对网络安全状况的自查情况;(四)网络安全等级保护测评工作开展情况;(五)网络安全产品使用情况;(六)网络安全建设整改情况;(七)备案材料与电力企业及其网络的符合情况;(八)其他应当进行监督检查的事项。电力企业应当接受国家能源局及其派出机构的安全监督、检查、指导,根据需要如实提供下列有关网络安全等级保护的信息资料及数据文件:(一)网络安全等级保护定
21、级备案事项变更情况;(二)网络安全组织、人员、岗位职责的变动情况;(三)网络安全管理制度、措施变更情况;(四)网络运行状况记录;(五)电力企业对网络安全状况的自查记录;(六)测评机构出具的网络安全等级保护测评报告;(七)网络安全产品使用的变更情况;(八)网络安全事件应急预案,网络安全事件应急处置结果报告;(九)网络数据容灾备份情况;(十)网络安全建设、整改结果报告;(十一)其他需要提供的材料。针对网络安全检查发现的问题,电力企业应当按照网络安全等级保护管理规范和技术标准组织整改。必要时,国家能源局及其派出机构可对整改情况进行抽查。电力企业选择测评机构进行网络安全等级保护测评时,应当遵循以下要求
22、:(一)测评机构应当获得由国家认证认可委员会批准的认证机构发放的网络安全等级测评与检测评估机构服务认证证书(以下简称测评机构服务认证证书);(二)从事电力监控系统网络安全等级保护测评的机构应当熟悉电力监控系统网络安全管理和技术防护要求,具备相应的服务能力和经验。从事电力监控系统第二级网络等级保护测评的机构应当具备近2年内30套以上工业控制系统等级保护测评或风险评估服务经验;从事电力监控系统第三级网络等级保护测评的机构应当具备近3年内50套以上电力监控系统等级保护测评或安全防护评估服务经验;从事电力监控系统第四级及以上网络等级保护测评的机构应当具备近5年内90套以上电力监控系统等级保护测评或安全
23、防护评估服务经验;(三)对属于电力行业关键信息基础设施的网络,选择测评机构时应当保证其安全可信,必要时可要求测评机构及其主要负责人、技术骨干提供无犯罪记录证明等材料;(四)不得委托近3年内被国家能源局通报有本办法规定不良行为,或被认证机构通报取消或暂停使用测评机构服务认证证书,或被国家网络安全等级保护工作主管部门、行业协会通报暂停开展等级保护测评业务并处于整改期内的测评机构;(五)电力企业应当采取签署保密协议、开展安全保密培训和现场监督等措施,加强对测评机构、测评人员和测评过程的安全保密管理,避免发生失泄密事件。国家能源局及其派出机构在开展电力企业网络安全检查工作时,可同步对测评机构开展的测评
24、工作情况进行监督检查。国家能源局鼓励电力企业按照国家有关要求开展测评机构建设、申请测评机构服务认证,支持电力企业参与制定电力行业网络安全等级保护技术标准。电力企业采用密码进行等级保护的,应当遵照中华人民共和国密码法等有关法律法规和国家密码管理部门制定的网络安全等级保护密码技术标准执行。电力企业网络安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。运用密码技术进行网络安全等级保护建设与整改时,应当采用商用密码检测、认证机构检测认证合格的商用密码产品和服务。涉及商用密码进口的,还应当符合国家商用密码进口许可有关要求。电力企业应当按照有关法律法规要求,开展商用密码应用安全性
25、评估工作。各级密码管理部门对网络安全等级保护工作中密码配备、使用和管理的情况进行检查和安全性评估时,相关电力企业应当积极配合。对于检查和安全性评估发现的问题,应当按照要求及时整改。电力企业违反国家相关规定及本办法规定,由国家能源局及其派出机构按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,造成严重损害的,由公安机关、密码管理部门依照有关法律、法规予以处理。有关部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。测评机构违反有关法律法规和规范性文件要
26、求,发生以下不良行为时,国家能源局可向国家有关部门、认证机构、行业协会等提出限期整改、取消/暂停使用测评机构服务认证证书等建议,并向电力企业通报相关风险信息:(一)提供不客观、不公正的等级保护测评服务,出具虚假或不符合实际情况的测评报告,影响等级保护测评的质量和效果;(二)泄露、出售或者非法向他人提供在服务中知悉的国家秘密、工作秘密、商业秘密、重要数据、个人信息和隐私,非法使用或擅自发布、披露在服务中收集掌握的数据信息和系统漏洞、恶意代码、网络入侵攻击等网络安全信息;(三)由于测评机构从业人员的因素,导致发生网络安全事件;(四)未向公安机关报备,测评机构从业人员擅自参加境外组织的网络安全竞赛等活动;(五)其他危害或可能危害电力生产安全或网络安全的行为。本办法自发布之日起施行,有效期5年。电力行业信息安全等级保护管理办法(国能安全2014318号)同时废止。电力行业网络安全等级保护管理办法(2022修订版)汇报:XXX时间:XX月XX日