日前,国家能源局正式印发《电力行业网络安全管理办法》和《电力行业网络安全等级保护管理办法》(以下合称“两办法”,分别简称《网安办法》《等保办法》)两个部门规章,无疑是朝着塑造电力行业网络安全保障体系的目标迈出了坚实步伐。
两个特点、三个变化
概括来看,可从体系发展和内容演变两方面,来简要了解两办法的大致发展脉络。
体系发展的两个特点
一是电力行业网络安全在依法治理方面起步较早且持续更新。两办法是时隔8年之后,对其前一版本的修订和更新。稍作追溯就会发现《网安办法》最早可追溯至2007年的《电力行业网络与信息安全监督管理暂行规定》(电监信息〔2007〕50号),《等保办法》可追溯至2014年的《电力行业信息安全等级保护管理办法》(国能安全[2014]318号)。可见,电力行业比较重视以法治手段统筹行业网络安全管理,且基本保持了5年左右更新修订一次的频率。
二是电力行业网络安全管理范畴基本稳定且不断完善。梳理电力行业近十年来的网络安全相关法规和规范性文件,可以发现网络安全管理、等级保护管理是电力行业网络安全管理的两大基本范畴。在二者关系上,前者涵盖后者,后者或因其具有相对独立的工作体系而单独成规、要求更加具体化。同时,随着国家网络安全保障体系的不断发展,电力行业网络安全管理和等保管理各自的内容也都持续丰富健全。
内容修订的三个变化
两办法与此前版本相比,内容有较多补充发展,而以下三方面修订,则更加集中。
一是规章名称。两办法名称从“网络与信息安全”和“信息安全”统一修改为“网络安全”,并且对于“电力网络”给出了相对明确的界定。这也充分体现了前一版办法发布以来,相关网络安全上位法律法规的发展成果。
二是主体权责。两办法首先更加细化了国家能源局及其派出机构、地方各级能源主管部门的分工定位和具体职责。同时,相应对于电力企业的主体责任也做出了较大篇幅的细化完善。
三是管理流程。两办法依据相关法律法规的要求,对电力行业的网络安全管理、等级保护管理相关管理流程进行了细化规定,如网络安全监督检查方式、等保测评机构的选取标准等;同时,还将近年来国家网络安全的重要制度在电力行业的落地进行了细化,如:关键信息基础设施保护、数据安全、供应链安全等。
三大管理要点
两办法立足电力行业网络安全管理工作,重点优化和更新了三个方面的规定和要求,即:监管机制、主体责任、管理保障。
监管机制
监管机制旨在明确各相关监管主体的构成和职责。
《网安办法》规定的监管主体主要包括“行业部门”和“电力调度机构”两类。首先从构成上看:一是“行业部门”,包括“国家能源局及其派出机构、负有电力行业网络安全监督管理职责的地方能源主管部门”,其中的“派出机构”主要是指6个区域监管局和12个省(自治区)监管办公室;而“地方能源主管部门”目前则包含省级能源局、加挂能源局牌子的省级发改委、以及省级发改委相关处室代行能源管理职责的体系三种类型。二是“电力调度机构”,主要是指我国当前的五级电力调度机构,即国家调度中心、网局调度中心、省级调度中心、地区调度中心和县级调度中心。其次,从职责上看:“行业部门”主要侧重于电力行业网络安全相关制度方面的监管,而“电力调度机构”则侧重于对其下一级各类机构电力监控系统网络安全的技术监管,且需对行业部门进行年度汇报。具体职责不作赘述。
《等保办法》涉及的相关监管主体则相对层次更加清晰一些。包括两类主体,即:国家能源局及其派出机构、各级密码管理部门。前者是电力行业等保的主要监管机构,后者则仅在涉及密码管理时发挥其监管职责。
主体责任
两办法都明确了电力企业在相关网络安全建设实施过程中的“主体责任”定位。
《网安办法》第三章“电力企业责任义务”具体规定了电力企业需要履行的十余项“主体责任”,其中有2项需要特别关注。一是明确建立“首席网络安全官”制度,该制度的适用范围是“电力行业关键信息基础设施运营者”,担任者的层级要求是“领导班子成员(非公有制经济组织运营者明确一名核心经营管理团队成员)”,其主要职责是“专职管理或分管关键信息基础设施安全保护工作”。二是明确提出电力企业网络安全“资金保障制度”,该制度适用于所有电力企业,且网络安全投入比例“不低于信息化总投入的5%”。
《等保办法》规定的电力企业“主体责任”中,也有2项需要特别关注。一是增加了一档等保测评频次要求,即要求“第二级网络应当每两年进行一次等级保护测评”,这是对《信息安全等级保护管理办法》要求的拓展。二是对于电力企业选择测评机构规定了明确、严格的条件,具有“认证证书”只是最基本的条件之一,除此之外认证机构还须同时满足达到规定的业绩案例数量、相关人员无犯罪记录、机构无不良行为、签署保密协议等硬性条件。
管理保障
两办法在保障各项管理要求的落实方面,都提出了系列保障举措,除了常规的检查、报备、处罚等监管手段之外,两办法均提出了具有较大创新意义的保障措施。
《网安办法》第三十二条明确规定了约谈和通报机制。即:基于行业部门的职责,发现较大网络安全风险和事件时,可以启动约谈机制,约谈该电力企业法定代表人或者主要负责人;行业部门还可以就网络安全风险、威胁和事件进行通报,要求及时排查并采取防范措施。可见,约谈和通报机制实质是在处罚前增加了一道有效保障,有助于推动实现“治病救人”的最佳效果。
《等保办法》第二十七条规定了对测评机构的监督约束机制。即:电力等保测评机构若有规定的五种不良行为时,国家能源局可向国家有关部门、认证机构、行业协会等提出限期整改、取消/暂停使用测评机构服务认证证书等建议,并向电力企业通报相关风险信息。可见,办法将作为第三方的测评机构纳入责任体系,以生态治理的思路保障规范要求的切实遵守。
产业机会分析
两办法的发布,在进一步完善电力行业网络安全监管体系的同时,也将为网络安全相关产业的发展带来潜在市场机会。
潜在机会一电力行业网络安全专用产品和服务
两办法对于电力企业使用专用产品和服务提出了明确需求,包括:电力行业商用密码产品和服务、电力行业安全可信网络产品和服务、电力监控系统专用安全产品、电力专用横向单向安全隔离装置、电力专用纵向加密认证装置或者加密认证网关等设备设施等等。
潜在机会二电力行业关键信息基础设施安全保护
按照《关键信息基础设施安全保护条例》的规定,电力行业本就是关键信息基础设施安全保护的八个重点行业之一;此次两办法也明确大幅度增加了有关关基保护的相关规定。从产业机会来看,电力关基监测预警、检测和风险评估、应急演练、事件处置等等都是较为确定的市场机会。
潜在机会三电力行业等级保护相关服务
两办法从完善管理体系、细化管理要求的不同角度,分别对加强电力行业等级保护做出了规定部署。对于网络安全产业发展而言,电力行业等级保护增加一档等保测评频次要求、强化对测评机构相关人员背景要求、明确监督检查和抽查要求等,极大程度上会对网络安全等级保护相关的人员培训、工具供给、运营支撑等产生实质性的市场拉动。
服务电力等重点行业网络安全及关键信息基础设施保护,一直是绿盟科技的重要业务方向之一。我们立足技术创新,密切结合合规要求和攻防动态的变化,全面打造并持续更新网安全产品体系和服务模式,满足不同规模客户的需求。多年来,我们以过硬的技术和务实的服务赢得了广泛市场认可。相信电力行业“两办法”的发布,将进一步壮大相关市场动能,我们也将继续秉承“专攻术业、成就所托”的一贯宗旨,继续发挥自身技术创新优势,与各界协同合作,为构建更加牢固的电力行业网络安全屏障持续贡献力量。
Anna艳娜
安全侠
Andrew
RacentYY
RacentYY
X0_0X
ManageEngine卓豪
Coremail邮件安全
Anna艳娜
