6月12日,为进一步规范工作流程、加强工作协调、提升工作效能,国家能源局发布《电力行业网络安全管理办法(修订征求意见稿)》、《电力行业网络安全等级保护管理办法(修订征求意见稿)》。
原文链接:http://www.nea.gov.cn/2022-06/14/c_1310622577.htm
武汉安域能源事业部摘取《电力行业网络安全等级保护管理办法(修订征求意见稿)》内容和《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)对比,主要变化如下:
第一条 根据《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国计算机信息系统安全保护条例》《关键信息基础设施安全保护条例》《信息安全等级保护管理办法》等法律法规和规范性文件,制定本办法。
变化:修订征求意见稿加入了《中华人民共和国网络安全法》《中华人民共和国密码法》《关键信息基础设施安全保护条例》。
第四条 根据电力行业网络在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,电力行业网络划分为五个安全保护等级。
变化:现有318号文件,电力系统的安全保护等级分为一到四级;修订征求意见稿将电力行业网络划分为五个安全保护等级。
第六条 国家能源局根据《网络安全等级保护定级指南》(GB/T22240)等国家标准规范,结合电力行业网络特点,制定电力行业网络安全等级保护定级指南,指导电力行业网络安全等级保护定级工作。
变化:在新型电力系统发展背景下,国家能源局制定新的电力行业网络安全等级保护定级指南。
第七条 对拟定为第二级及以上的网络,电力企业应当组织网络安全专家进行定级评审。其中,拟定为第四级及以上的网络,还应由国家能源局统一组织国家网络安全等级保护专家进行定级评审。
变化:明确了二级及以上的系统需要定级评审,四级及以上的系统应由国家能源局统一组织定级评审。
第九条 电力企业办理网络安全等级保护定级审核手续时,应当提交《电力行业网络安全等级保护定级审核表》(附件)。
变化:新增等级审核表(附件要求),依据等保2.0新定级指南要求,需要在主管部门进行报送备案。
第十一条 采购网络产品和服务,影响或可能影响国家安全的,应当依据国家网信部门制定的网络安全审查办法申报网络安全审查 。
变化:按照《网络安全审查办法》进行网络产品和服务审查。
第十三条 第二级网络每两年应进行一次等级保护测评,第三级及以上网络每年应进行一次等级保护测评。新建的第三级及以上网络应当在通过网络安全等级保护测评后投入运行。
变化:新增了明确等级测评周期要求、二级系统每两年一次,三级每年开展一次,三级系统上线之前通过等级测评后投运。
第十三条 电力监控系统网络安全等级保护测评工作应当与电力监控系统安全防护评估、关键信息基础设施网络安全检测评估、商用密码应用安全性评估工作相衔接,避免重复测评。
变化:新增了关键信息基础设施网络安全检测评估、商用密码应用安全性评估工作相衔接。
第十八条 从事电力监控系统网络安全等级保护测评的机构应熟悉电力监控系统网络安全管理和技术防护要求,具备相应的服务能力和经验。从事电力监控系统第二级网络等级保护测评的机构应具备近2年内30套以上工业控制系统等级保护测评或风险评估服务经验;从事电力监控系统第三级网络等级保护测评的机构应具备近3年内50套以上电力监控系统安全防护评估服务经验;从事电力监控系统第四级及以上网络等级保护测评的机构应具备5年以上电力监控系统安全防护评估服务经验。
变化:明确了电力系统测评服务工作经验要求。第二级系统,要求2年内开展30套工控系统服务;第三级系统测评要求,要求具备3年50套电力监控系统评估服务经验;第四级及以上系统,要求具备5年以上电力监控系统安全防护评估服务经验。
第二十二条 对第三级及以上网络,电力企业应在网络规划、建设和运行阶段,按照商用密码应用安全性评估管理办法和标准规范,自行或者委托商用密码检测机构开展商用密码应用安全性评估工作。
变化:明确了按照商用密码应用安全性评估管理办法和标准规范,自行或者委托商用密码检测机构开展商用密码应用安全性评估工作。
