為進一步規范工作流程、加強工作協調、提升工作效能，國家能源局對《電力行業網絡與信息安全管理辦法》（國能安全〔2014〕317號）、《電力行業信息安全等級保護管理辦法》（國能安全〔2014〕318號）進行修訂，形成了《電力行業網絡安全管理辦法（修訂征求意見稿）》《電力行業網絡安全等級保護管理辦法（修訂征求意見稿）》，本次修改的電力行業兩個管理辦法具體有哪些內容呢，一起來了解下吧。

一
新增條款解讀：

《電力行業網絡安全管理辦法（修訂征求意見稿）》與《電力行業網絡與信息安全管理辦法》（國能安全〔2014〕317號）相比較新增條款內容如下：
1、第一章總則中明確了本管理辦法適用電力企業的范圍，只要是在我國境內的電力企業均應該遵守本辦法的規定。

2、第二章監督管理職責中明確了國家能源局及各省級能源主管部門具有對電力行業關鍵信息基礎設施實施安全保護和監督管理的責任以及工作職責范圍。包含網絡安全等級保護、關鍵信息基礎設施安全保護、數據安全、網絡安全審查、風險評估、監測預警、信息通報、應急處置、事件調查與處理、工控設備安全性檢測、專業人員管理、容災備份、安全審計、信任體系建設等方面，更重要的是明確指出電力行業應建設網絡安全仿真驗證環境（靶場）系統以及應對電力監控系統開展自評估工作，同時定期向國家能源局及其派出機構、地方能源主管部門匯報技術監督工作的開展情況。

3、第三章電力企業職責明確了電力行業應明確安全管理責任人及設立專門的安全管理機構，將網絡安全保護制度納入安全生產管理體系。電力監控系統生產控制大區的接入涉網安全產品需經電力調度機構同意。電力企業在規劃設計時要遵循安全技術措施“同步規劃、同步建設、同步使用”的三同步原則，關鍵信息基礎設施運營者應優先選擇安全可靠的網絡產品和服務，信息系統建設完成后要經過第三方網絡安全服務機構的測試才可以投入使用。電力企業除了開展網絡安全風險評估、等保測評外，還需進行關鍵信息基礎設施安全檢測和風險評估、商用密碼應用安全性評估、網絡安全審查等工作，及時了解網絡產品安全漏洞，發現安全漏洞應及時驗證與修補。電力企業應建設網絡安全態勢感知平臺，對企業網絡安全態勢進行全天候在線監測，同時可與國家能源局、公安機關等有關平臺對接。同時還應對企業數據進行分類分級，對重要數據進行重點保護。電力企業應設立網絡安全專項預算，預算不能低于信息化總投入的5%。應定期對企業的網絡安全工作開展情況、等保測評情況、數據安全保護情況、安全計劃、下一年度工作計劃等內容上報國家能源局及其派出機構、地方能源主管部門。

4、第四章監督檢查中明確了國家能源局及其派出機構、地方能源主管部門應定期開展網絡安全檢查工作，發現網絡安全風險隱患進行通報并采取防范措施，同時要嚴格保守監督管理職責中知悉的秘密。

二
新增條款解讀：

《電力行業網絡安全等級保護管理辦法（修訂征求意見稿）》與《電力行業信息安全等級保護管理辦法》（國能安全〔2014〕318號）相比較新增條款內容如下：
1、第一章總則明確了本管理辦法適用電力企業的范圍，只要是在我國境內的電力企業均應該遵守本辦法的規定。同時對開展網絡安全等級保護的網絡范圍進行了定義，含電力監控系統、管理信息系統及通信網絡設施。

2、第三章等級保護的實施與管理中明確了第二級及以上的網絡電力企業應組織網絡安全專家進行定級評審，并報送國家能源局審核。第四級及以上的網絡由國家能源局統一組織國家網絡安全等級保護專家進行定級評審。第二級網絡每兩年至少進行一次自查，第三級及以上網絡每年至少進行一次自查。

電力監控系統網絡安全等級保護測評工作應與電力監控系統安全防護評估、關鍵信息基礎設施網絡安全檢測評估、商用密碼應用性安全性評估等工作相互銜接測評。從事電力監控系統網絡安全等級保護測評機構應取得國家認證機構發放的等保測評認證證書同時在等保測評與檢測評估機構目錄中，應對電力監控系統業務熟悉，具有相應的服務能力和經驗。

等保測評機構服務能力要求:（第二級網絡安全等保測評機構應具備近2年內30套以上工業控制系統等級保護測評或風險評估服務經驗，第三級網絡安全等保測評機構應具備近3年內50套以上電力監控系統安全防護評估服務經驗，第四級及以上網絡等級保護測評的機構應具備5年以上電力監控系統安全防護評估服務經驗。）

3、第四章網絡安全等級保護的密碼管理明確了第三級及以上網絡在網絡規劃、建設和運行階段，按照商用密碼應用安全性評估管理辦法和標準規范，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估工作。

4、第五章法律責任明確了測評機構違反國家法律法規和電力行業規范性文件要求的不良行為進行了界定。



圣博潤以政策合規、企業需求為出發點，結合電力行業網絡安全支撐保障實際情況，基于等保2.0打造一個中心三重防護的縱深防御體系，同時融合P2DR模型和IATF技術框架模型理念，實現事前預防、事中響應、事后審計的可信、可控客觀的安全防御體系。
圣博潤針對國家能源局及其派出機構、各地方能源主管部門、電力調度機構對電力系統的檢查、自評估工作可以提供電力行業專業的檢查工具（工控安全評估系統），工控安全評估系統以工控設備指紋庫、漏洞庫為技術支撐，對PLC、DCS、RTU、SCADA、HMI等工業控制系統中的控制設備、應用或系統進行掃描、識別，檢測工業控制系統存在的已知漏洞，對工控網絡進行旁路審計并對異常行為實時告警。同時根據檢測結果提供專業的報告定制，生成系統分析報告，并給出修復建議和預防措施，幫助企業用戶彌補漏洞，消除安全隱患。
圣博潤可以幫助電力企業和運營者搭建網絡安全態勢感知平臺。圣博潤網絡安全態勢感知平臺是一款基于大數據、機器學習等技術的企業級智能安全分析平臺。

平臺收集工業網絡內部各個關鍵系統產生的業務數據，提供集中存儲、快速檢索、實時分析及告警、威脅響應、可視化展現和安全報告等功能。平臺充分發揮大數據收集能力，實時匯聚各種設備產生的日志、威脅事件、網絡流量數據，接收上級的威脅情報，完善本地安全事件庫，從而構建基于大數據的工業企業安全態勢感知體系。利用安全大數據的深度挖掘和機器學習智能分析等技術。

為企業安全事件及異常行為檢測、安全態勢感知、運維管理和應用分析提供了一個智能、高效、可靈活擴展的解決方案。

圣博潤可以幫助電力企業、運營者和主管部門建設網絡安全仿真驗證環境（靶場），圣博潤工業互聯網安全靶場以云計算、虛擬化技術為基礎，融合工業軟硬件資源、平行仿真技術、安全攻防技術、測試驗證環境等關聯因素于一體，構建一個無限接近于真實網絡環境的虛擬數字平臺，實現競賽運維、教學實訓、攻防演練、仿真測試、考核選拔等業務功能，幫助用戶基于在實戰的場景下，完成工業信息安全攻防訓練、測試、研究和開發工作。可為業主量身打造火電、水電、風電、光伏、核電等不同業務類型的靶場環境。