從“兩辦法”看電力行業網絡安全管理要點和行業機會

日前，國家能源局正式印發《電力行業網絡安全管理辦法》和《電力行業網絡安全等級保護管理辦法》（以下合稱“兩辦法”，分別簡稱《網安辦法》《等保辦法》）兩個部門規章，無疑是朝著塑造電力行業網絡安全保障體系的目標邁出了堅實步伐。

兩個特點、三個變化

概括來看，可從體系發展和內容演變兩方面，來簡要了解兩辦法的大致發展脈絡。

體系發展的兩個特點

一是電力行業網絡安全在依法治理方面起步較早且持續更新。兩辦法是時隔8年之后，對其前一版本的修訂和更新。稍作追溯就會發現《網安辦法》最早可追溯至2007年的《電力行業網絡與信息安全監督管理暫行規定》（電監信息〔2007〕50號），《等保辦法》可追溯至2014年的《電力行業信息安全等級保護管理辦法》（國能安全[2014]318號）。可見，電力行業比較重視以法治手段統籌行業網絡安全管理，且基本保持了5年左右更新修訂一次的頻率。

二是電力行業網絡安全管理范疇基本穩定且不斷完善。梳理電力行業近十年來的網絡安全相關法規和規范性文件，可以發現網絡安全管理、等級保護管理是電力行業網絡安全管理的兩大基本范疇。在二者關系上，前者涵蓋后者，后者或因其具有相對獨立的工作體系而單獨成規、要求更加具體化。同時，隨著國家網絡安全保障體系的不斷發展，電力行業網絡安全管理和等保管理各自的內容也都持續豐富健全。

內容修訂的三個變化

兩辦法與此前版本相比，內容有較多補充發展，而以下三方面修訂，則更加集中。

一是規章名稱。兩辦法名稱從“網絡與信息安全”和“信息安全”統一修改為“網絡安全”，并且對于“電力網絡”給出了相對明確的界定。這也充分體現了前一版辦法發布以來，相關網絡安全上位法律法規的發展成果。

二是主體權責。兩辦法首先更加細化了國家能源局及其派出機構、地方各級能源主管部門的分工定位和具體職責。同時，相應對于電力企業的主體責任也做出了較大篇幅的細化完善。

三是管理流程。兩辦法依據相關法律法規的要求，對電力行業的網絡安全管理、等級保護管理相關管理流程進行了細化規定，如網絡安全監督檢查方式、等保測評機構的選取標準等；同時，還將近年來國家網絡安全的重要制度在電力行業的落地進行了細化，如：關鍵信息基礎設施保護、數據安全、供應鏈安全等。

三大管理要點

兩辦法立足電力行業網絡安全管理工作，重點優化和更新了三個方面的規定和要求，即：監管機制、主體責任、管理保障。

監管機制

監管機制旨在明確各相關監管主體的構成和職責。

《網安辦法》規定的監管主體主要包括“行業部門”和“電力調度機構”兩類。首先從構成上看：一是“行業部門”，包括“國家能源局及其派出機構、負有電力行業網絡安全監督管理職責的地方能源主管部門”，其中的“派出機構”主要是指6個區域監管局和12個省（自治區）監管辦公室；而“地方能源主管部門”目前則包含省級能源局、加掛能源局牌子的省級發改委、以及省級發改委相關處室代行能源管理職責的體系三種類型。二是“電力調度機構”，主要是指我國當前的五級電力調度機構，即國家調度中心、網局調度中心、省級調度中心、地區調度中心和縣級調度中心。其次，從職責上看：“行業部門”主要側重于電力行業網絡安全相關制度方面的監管，而“電力調度機構”則側重于對其下一級各類機構電力監控系統網絡安全的技術監管，且需對行業部門進行年度匯報。具體職責不作贅述。

《等保辦法》涉及的相關監管主體則相對層次更加清晰一些。包括兩類主體，即：國家能源局及其派出機構、各級密碼管理部門。前者是電力行業等保的主要監管機構，后者則僅在涉及密碼管理時發揮其監管職責。

主體責任

兩辦法都明確了電力企業在相關網絡安全建設實施過程中的“主體責任”定位。

《網安辦法》第三章“電力企業責任義務”具體規定了電力企業需要履行的十余項“主體責任”，其中有2項需要特別關注。一是明確建立“首席網絡安全官”制度，該制度的適用范圍是“電力行業關鍵信息基礎設施運營者”，擔任者的層級要求是“領導班子成員（非公有制經濟組織運營者明確一名核心經營管理團隊成員）”，其主要職責是“專職管理或分管關鍵信息基礎設施安全保護工作”。二是明確提出電力企業網絡安全“資金保障制度”，該制度適用于所有電力企業，且網絡安全投入比例“不低于信息化總投入的5%”。

《等保辦法》規定的電力企業“主體責任”中，也有2項需要特別關注。一是增加了一檔等保測評頻次要求，即要求“第二級網絡應當每兩年進行一次等級保護測評”，這是對《信息安全等級保護管理辦法》要求的拓展。二是對于電力企業選擇測評機構規定了明確、嚴格的條件，具有“認證證書”只是最基本的條件之一，除此之外認證機構還須同時滿足達到規定的業績案例數量、相關人員無犯罪記錄、機構無不良行為、簽署保密協議等硬性條件。

管理保障

兩辦法在保障各項管理要求的落實方面，都提出了系列保障舉措，除了常規的檢查、報備、處罰等監管手段之外，兩辦法均提出了具有較大創新意義的保障措施。

《網安辦法》第三十二條明確規定了約談和通報機制。即：基于行業部門的職責，發現較大網絡安全風險和事件時，可以啟動約談機制，約談該電力企業法定代表人或者主要負責人；行業部門還可以就網絡安全風險、威脅和事件進行通報，要求及時排查并采取防范措施。可見，約談和通報機制實質是在處罰前增加了一道有效保障，有助于推動實現“治病救人”的最佳效果。

《等保辦法》第二十七條規定了對測評機構的監督約束機制。即：電力等保測評機構若有規定的五種不良行為時，國家能源局可向國家有關部門、認證機構、行業協會等提出限期整改、取消/暫停使用測評機構服務認證證書等建議，并向電力企業通報相關風險信息。可見，辦法將作為第三方的測評機構納入責任體系，以生態治理的思路保障規范要求的切實遵守。

產業機會分析

兩辦法的發布，在進一步完善電力行業網絡安全監管體系的同時，也將為網絡安全相關產業的發展帶來潛在市場機會。

潛在機會一電力行業網絡安全專用產品和服務

兩辦法對于電力企業使用專用產品和服務提出了明確需求，包括：電力行業商用密碼產品和服務、電力行業安全可信網絡產品和服務、電力監控系統專用安全產品、電力專用橫向單向安全隔離裝置、電力專用縱向加密認證裝置或者加密認證網關等設備設施等等。

潛在機會二電力行業關鍵信息基礎設施安全保護

按照《關鍵信息基礎設施安全保護條例》的規定，電力行業本就是關鍵信息基礎設施安全保護的八個重點行業之一；此次兩辦法也明確大幅度增加了有關關基保護的相關規定。從產業機會來看，電力關基監測預警、檢測和風險評估、應急演練、事件處置等等都是較為確定的市場機會。

潛在機會三電力行業等級保護相關服務

兩辦法從完善管理體系、細化管理要求的不同角度，分別對加強電力行業等級保護做出了規定部署。對于網絡安全產業發展而言，電力行業等級保護增加一檔等保測評頻次要求、強化對測評機構相關人員背景要求、明確監督檢查和抽查要求等，極大程度上會對網絡安全等級保護相關的人員培訓、工具供給、運營支撐等產生實質性的市場拉動。

服務電力等重點行業網絡安全及關鍵信息基礎設施保護，一直是綠盟科技的重要業務方向之一。我們立足技術創新，密切結合合規要求和攻防動態的變化，全面打造并持續更新網安全產品體系和服務模式，滿足不同規模客戶的需求。多年來，我們以過硬的技術和務實的服務贏得了廣泛市場認可。相信電力行業“兩辦法”的發布，將進一步壯大相關市場動能，我們也將繼續秉承“專攻術業、成就所托”的一貫宗旨，繼續發揮自身技術創新優勢，與各界協同合作，為構建更加牢固的電力行業網絡安全屏障持續貢獻力量。