基于多年来的信息安全技术研究与测评工作经验，对电力行业信息安全等级保护政策标准进行专题解读。电力行业信息系统安全等级保护工作是信息安全等级保护标准在电力行业的落实与应用。电力行业信息系统安全等级保护测评的依据，除信息安全等级保护测评的政策要求和国家标准外，还包括以下电力行业的主要标准规范：

《关于开展电力行业信息系统安全等级保护定级工作的通知》（电监信息[2007]34号）

《电力行业网络与信息安全管理办法》（国能安全[2014]317号）

《电力行业信息安全等级保护管理办法》（国能安全[2014]318号）

《电力监控系统安全防护规定》

《电力行业信息系统安全等级保护定级指导意见》

《电力行业信息安全等级保护基本要求》

《电力行业信息安全等级保护基本要求释义》

本文主要通过对《电力行业网络与信息安全管理办法（国能安全[2014]317号）》和《电力行业信息安全等级保护管理办法（国能安全[2014]318号）》两个文件的解读，让读者快速了解电力行业信息安全及等级保护工作的内容和各方的责任等。

本文适用于能源行业信息安全监管部门、各能源相关企业信息安全在岗人员、信息安全等级保护测评机构的管理与技术人员等。

第一部分：电力行业网络与信息安全管理办法

解读：《电力行业网络与信息安全管理办法》对电力行业管理部门、电力企业等单位在电力行业网络与信息安全保护工作中的职责与工作内容做出了明确规定。

第一章主要对电力行业网络与信息安全的依据、目标和原则等做出了具体阐述。

第一章 总则

第一条 为加强电力行业网络与信息安全监督管理，规范电力行业网络与信息安全工作，根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定，制定本办法。

第二条 电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系，提高网络与信息安全防护能力，保障网络与信息安全，促进信息化工作健康发展。

第三条 电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针，遵循“统一领导、分级负责，统筹规划、突出重点”的原则。

 第二章 监督管理职责

解读：第二章主要明确了国家能源局及其派出机构对电力行业网络与信息安全工作的监管责任。国家能源局主管电力行业网络与信息安全工作，履行监督管理职责，并明确了国家能源局监督管理职责的主要内容。能源局派出机构根据授权，负责本辖区电力企业网络与信息安全监督管理。

第四条 国家能源局是电力行业网络与信息安全主管部门，履行电力行业网络与信息安全监督管理职责。国家能源局派出机构根据国家能源局的授权，负责具体实施本辖区电力企业网络与信息安全监督管理。

第五条 国家能源局依法履行电力行业网络与信息安全监督管理工作职责，主要内容为：

（一）组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署，并与电力生产安全监督管理工作相衔接；

（二）组织制定电力行业网络与信息安全的发展战略和总体规划；

（三）组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范，并监督实施；

（四）组织制定电力行业网络与信息安全应急预案，督促、指导电力企业网络与信息安全应急工作，组织或参加信息安全事件的调查与处理；

（五）组织建立电力行业网络与信息安全工作评价与考核机制，督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作；

（六）组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作；

（七）组织开展电力行业网络与信息安全的技术研发工作；

（八）电力行业网络与信息安全监督管理的其它事项。

第三章 电力企业职责

解读：第三章主要阐述电力企业在电力行业网络与信息安全工作的职责，明确了本单位的网络与信息安全工作的责任主体：电力企业（适用于两大电网公司、五大发电集团、中国核电和中广核等两家核电企业等）。网络与信息安全的第一责任人：电力企业主要负责人。遵循的制度与规定：信息安全等级保护制度和电力监控系统安全防护规定。开展的工作：电力监控系统安全防护评估、信息安全等级测评、信息安全风险评估、建立信息安全通报制度、制定应急预案等。

第六条 电力企业是本单位网络与信息安全的责任主体，负责本单位的网络与信息安全工作。

第七条 电力企业主要负责人是本单位网络与信息安全的第一责任人。电力企业应当建立健全网络与信息安全管理制度体系, 成立工作领导机构，明确责任部门，设立专兼职岗位，定义岗位职责，明确人员分工和技能要求,建立健全网络与信息安全责任制。

第八条 电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求，对本单位的网络与信息系统进行安全保护。

第九条 电力企业应当选用符合国家有关规定、满足网络与信息安全要求的信息技术产品和服务，开展信息系统安全建设或改建工作。

第十条 电力企业规划设计信息系统时，应明确系统的安全保护需求，设计合理的总体安全方案，制定安全实施计划，负责信息系统安全建设工程的实施。

第十一条 电力企业应当按照国家有关规定开展电力监控系统安全防护评估和信息安全等级测评工作，未达到要求的应当及时进行整改。

第十二条 电力企业应当按照国家有关规定开展信息安全风险评估工作，建立健全信息安全风险评估的自评估和检查评估制度，完善信息安全风险管理机制。

第十三条 电力企业应当按照网络与信息安全通报制度的规定，建立健全本单位信息通报机制，开展信息安全通报预警工作，及时向国家能源局或其派出机构报告有关情况。

第十四条 电力企业应当按照电力行业网络与信息安全应急预案，制定或修订本单位网络与信息安全应急预案，定期开展应急演练。

第十五条 电力企业发生信息安全事件后，应当及时采取有效措施降低损害程度，防止事态扩大，尽可能保护好现场，按规定做好信息上报工作。

第十六条 电力企业应当按照国家有关规定，建立健全容灾备份制度，对关键系统和核心数据进行有效备份。

第十七条 电力企业应当建立网络与信息安全资金保障制度，有效保障信息系统安全建设、运维、检查、等级测评和安全评估、应急及其它的信息安全资金。

第十八条 电力企业应当加强信息安全从业人员考核和管理。从业人员应当定期接受相应的政策规范和专业技能培训，并经培训合格后上岗。

第四章 监督检查

解读：第四章主要阐述了国家能源局及其派出机构对电力企业网络与信息安全工作进行监督检查的职责以及检查时可采取的措施。

第十九条 国家能源局及其派出机构依法对电力企业网络与信息安全工作进行监督检查。

第二十条 国家能源局及其派出机构进行监督检查和事件调查时，可以采取下列措施：

    （一）进入电力企业进行检查；

    （二）询问相关单位的工作人员，要求其对有关检查事项作出说明；

    （三）查阅、复制与检查事项有关的文件、资料，对可能被转移、隐匿、损毁的文件、资料予以封存；

    （四）对检查中发现的问题，责令其当场改正或者限期改正。 

第五章 附则

第二十一条 本办法由国家能源局负责解释。

第二十二条 本办法自发布之日起实施，有效期五年。2007年12月4日原国家电力监管委员会发布的《电力行业网络与信息安全监督管理暂行规定》（电监信息〔2007〕50号）同时废止。

第二部分 电力行业信息安全等级保护管理办法

解读：《电力行业信息安全等级保护管理办法》明确了电力行业信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务，为开展信息安全等级保护工作提供了规范保障。

  第一章为总则，阐述了电力行业开展等保的目的、电力行业管理部门和企业的职责与关系。

第一章 总则

  第一条 为规范电力行业信息安全等级保护管理，提高电力信息系统安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》，制定本办法。

  第二条 国家能源局根据国家信息安全等级保护管理规范和技术标准要求，督促、检查、指导电力行业信息系统运营、使用单位的信息安全等级保护工作，结合行业实际，组织制定适用于电力行业的信息安全等级保护管理规范和技术标准，组织电力企业对信息系统分等级实行安全保护，对等级保护工作的实施进行监督管理。

国家能源局派出机构根据国家能源局的授权,负责对本辖区电力企业信息系统安全等级保护工作的实施进行监督管理。

第三条 电力信息系统运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

 第二章 等级划分与保护

解读：第二章对电力行业信息安全等级的划分和对应等级的保护做了详细阐述。电力行业信息安全等级保护坚持自主定级、自主保护的原则。简言之，电力企业依据等级划分规定自主确定相应电力系统的安全保护等级，自主依据有关管理规定和技术标准对其进行保护。等级划分以信息系统的重要性为依据，通过评估系统收到破坏后对公民、法人和其他组织，社会秩序和公共利益，国家安全的损害程度，确定其重要性。对于自主定级有困难的，也可以咨询电力行业等保测评机构等单位。

  第四条 电力行业信息安全等级保护坚持自主定级、自主保护的原则。电力信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

   第五条 电力信息系统的安全保护等级分为以下四级：

   第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

   第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

   第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

   第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

  第六条 电力信息系统运营、使用单位应当分等级对信息系统进行保护，国家能源局及有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

    第一级电力信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

    第二级电力信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家能源局及有关信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

    第三级电力信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家能源局及有关信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

    第四级电力信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家能源局及有关信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

第三章 等级保护的实施与管理

解读：第三章对电力行业等级保护的实施过程做了详细阐述。电力信息系统运营、使用单位应按《实施指南》（GB/T 25058-2010）开展等保工作。具体包括定级、备案、安全建设/整改、等级测评、监督检查几个方面。 

  系统的定级和备案由电力信息系统运营、使用单位采用“自主定级、自主保护”的原则确定，各区域（省）内的电力企业的系统定级结果报报国家能源局派出机构备案。

  安全建设/整改（参见第十条）可请专业机构等实施。

  系统建设完成后需请符合规定（参见第十九条）第三方专业机构进行测评。

  监督检查根据系统安全保护级别确定是自主保护还是上级监管部门及其授权的派出机构负责。

   二级系统每两年至少进行一次自查，三级系统每年至少进行一次自查，四级系统每半年至少进行一次自查。国家能源局及其派出机构将对第三级及以上信息系统的测评报告组织专家评审。国家能源局及其派出机构对对重要第三级（生产控制类）及第四级电力信息系统每年应至少检查一次。

     第七条 电力信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》（GB/T 25058-2010）具体实施等级保护工作。电力信息系统运营、使用单位应当依据本办法、《信息系统安全等级保护定级指南》（GB/T 22240-2008）和《电力行业信息系统安全等级保护定级指导意见》确定信息系统的安全保护等级。

第八条 属于中央企业的电力集团公司汇总本单位运行、使用的信息系统的定级结果报国家能源局电力安全监管司备案。各区域（省）内的电力企业汇总本单位运行、使用的信息系统的定级结果报国家能源局派出机构备案。

第九条 电力信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展电力信息系统安全建设或者改建工作。

第十条 在电力信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）、《电力行业信息系统安全等级保护基本要求》等标准或规范要求，参照《信息系统等级保护安全设计要求》（GB/T25070-2010）、《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术服务器安全技术要求》（GB/T 21028-2007）、《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。

第十一条 电力信息系统运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息安全技术 信息系统安全等级保护基本要求》（GB/T22239-2008）、《电力行业信息系统安全等级保护基本要求》等标准或规范要求，制定并落实符合本系统安全保护等级要求的安全管理制度。   

第十二条 电力信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息安全技术 信息系统安全等级保护测评过程指南》（GB/T 28449-2012）、《信息安全技术 信息系统安全等级保护基本要求》（GB/T22239-2008）、《信息系统安全等级保护测评要求》（GB/T 28448-2012）、《电力行业信息系统安全等级保护基本要求》等标准或规范要求，定期对电力信息系统开展等级保护测评。电力监控系统信息安全等级测评工作应当与电力监控系统安全防护评估工作同步进行。

电力信息系统运营、使用单位应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第二级生产控制类信息系统和重要生产管理类信息系统应当每两年至少进行一次自查，第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查。

经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。

国家能源局及其派出机构将对第三级及以上信息系统的测评报告组织专家评审。

第十三条 已运营（运行）的第二级及以上电力信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

新建第二级以上电力信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

属于中央企业的电力集团公司，其跨省或者全国统一联网运行的电力信息系统，由电力集团公司向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

第十四条 办理电力信息系统安全保护等级备案手续时，应当填写公安部监制的《信息系统安全等级保护备案表》，第三级及以上信息系统应当同时提供以下材料：

    （一）系统拓扑结构及说明；

    （二）系统安全组织机构和管理制度；

    （三）系统安全保护设施设计实施方案或者改建实施方案；

    （四）系统使用的信息安全产品清单及其认证、销售许可证明；

    （五）测评后符合系统安全保护等级的技术检测评估报告；

    （六）信息系统安全保护等级专家评审意见；

    （七）国家能源局及其派出机构核准信息系统安全保护等级的意见。

在备案过程中，应当按照公安机关的审核意见，对不符合等级保护要求的备案材料进行纠正后重新备案。

第十五条 国家能源局及其派出机构对第三级及以上电力信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。根据《信息安全等级保护管理办法》，对重要第三级（生产控制类）及第四级电力信息系统每年应至少检查一次。

检查事项主要为：

    （一）信息系统安全需求是否发生变化，原定保护等级是否准确；

    （二）运营、使用单位安全管理制度、措施的落实情况；

    （三）运营、使用单位及其主管部门对信息系统安全状况的检查情况；

    （四）系统安全等级测评是否符合要求；

    （五）信息安全产品使用是否符合要求；

    （六）信息系统安全整改情况；

    （七）备案材料与运营、使用单位、信息系统的符合情况；

    （八）其他应当进行监督检查的事项。

第十六条 电力信息系统运营、使用单位应当接受国家能源局及其指定的专门机构的安全监督、检查、指导，如实向国家能源局及其指定的专门机构提供下列有关信息安全保护的信息资料及数据文件：

    （一）信息系统备案事项变更情况；

    （二）安全组织、人员、岗位职责的变动情况；

    （三）信息安全管理制度、措施变更情况；

    （四）信息系统运行状况记录；

    （五）运营、使用单位及上级部门定期对信息系统安全状况的检查记录；

    （六）对信息系统开展等级测评的技术测评报告；

    （七）信息安全产品使用的变更情况；

    （八）信息安全事件应急预案，信息安全事件应急处置结果报告；

    （九）信息系统数据容灾备份情况。

    （十）信息系统安全建设、整改结果报告。

第十七条 电力系统运营、使用单位应当根据信息安全等级保护工作检查整改通知要求，按照信息安全等级保护管理规范和技术标准进行整改。必要时，国家能源局及其派出机构可对整改情况进行抽查。

第十八条 电力信息系统应当选择使用通过国家检测认证的信息安全产品。

第十九条 第二级及以上电力信息系统应当选择符合下列条件的等级保护测评机构进行测评：

    （一）在中华人民共和国境内注册成立（港澳台地区除外）；

    （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；

    （三）从事电力信息系统相关检测评估工作两年以上，无违法记录；

    （四）工作人员仅限于中国公民；

    （五）法人及主要业务、技术人员无犯罪记录；

    （六）使用的技术装备、设施应当符合国家对信息安全产品的要求；

    （七）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

    （八）对国家安全、社会秩序、公共利益不构成威胁；

    （九）从事电力信息系统测评的技术人员应当通过国家能源局组织的电力系统专业技术培训和考核，开展电力信息系统测评的机构应向国家能源局备案且通过电力测评机构技术能力评估。

第二十条 从事电力信息系统安全等级测评的机构，应当履行下列义务：

    (一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；

    (二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；

    (三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。

第二十一条 涉及国家秘密的电力信息系统应当按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。非涉密电力信息系统不得处理国家秘密信息。

第四章 信息安全等级保护的密码管理

解读：第四章对等级保护的密码管理进行了详细阐述。对涉及国家秘密的系统采用秘密保护的，应该报国家密码管理局审批，并安要求涉及、使用和管理。

第二十二条 电力信息系统运营、使用单位采用密码进行等级保护的，应当遵照《信息安全等级保护商用密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和技术标准。

    第二十三条 电力信息系统安全等级保护中密码的配备、使用和管理等，应当严格执行国家密码管理的有关规定。

    第二十四条 电力信息系统运营、使用单位采用密码对涉及国家秘密的信息和信息系统进行保护的，应报经国家密码管理局审批，密码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和相关标准执行；采用密码对不涉及国家秘密的信息和信息系统进行保护的，须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准，其密码的配备使用情况应当向国家密码管理机构备案。

    第二十五条  电力信息系统运营、使用单位运用密码技术对电力信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准予销售的密码产品进行安全保护，不得采用国外引进或者擅自研制的密码产品；未经批准不得采用含有加密功能的进口信息技术产品。

    第二十六条  电力信息系统中采用的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码和密码设备进行评测和监控。

    第二十七条 各级密码管理部门对电力信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评时，相关电力企业应当积极配合。对于检查和测评中所反馈的问题，应当按照国家密码管理的相关规定要求及时整改。

 第五章 法律责任

解读：第五章明确了电力信息系统等级保护工作中监管部门及工作人员和各单位违反规定的惩处措施。

 第二十八条 第二级及以上电力信息系统运营、使用单位违反国家相关规定及本办法规定，由国家相关部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，造成严重损害的，由相关部门依照有关法律、法规予以处理。

    第二十九条 信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分；构成犯罪的，依法追究刑事责任。

第六章为附则。

第三部分：小结

     本文主要解读了《电力行业网络与信息安全管理办法（国能安全[2014]317号）》和《电力行业信息安全等级保护管理办法（国能安全[2014]318号）》等两个新近颁布的电力行业信息安全管理办法文件。

      上述两个文件，跟《电力监控系统安全防护规定（发改委2014年14号令）》和《电力监控系统安全防护总体方案（国能安全[2015]36号文）一同，构成了电力行业信息安全防护体系文件，体现了电力行业标准跟国家标准的基本差异，突出了电力行业业务特色和管理特征。