在《网络安全法》颁布5年之后。去年,国家能源局发布并实行了《电力行业网络安全等级保护基本要求》(DL/T 2614-2023)(以下简称“电力等保2.0”)。
(图来源于网络,侵删)
电力等保要求适用于电力行业客户,包括安全总体要求、安全通用要求和安全扩展要求,覆盖第二级到第四级要求。
在业务层面上将等级保护对象分为电力监控系统()和管理信息系统;技术层面分类上分物联网应用、云计算平台/系统、移动互联网应用、大数据平台/系统,
电力等保要求分为总体技术要求和总体管理要求,重点内容可整理成如下内容:
1.坚持行业36号文件要求,贯彻“十六字方针原则”。36号文是电力行业网络安全建设基石,此处总体技术要求强化了基石作用。
2.增加云计算平台技术要求,要求生产控制大区云计算平台与管理信息大区云计算平台采用不同云基础设施,相互数据通信需要横向隔离。
3.总体管理要求明确“就高”原则,即在生产控制大区或管理信息大区内部含有不同安全保护等级信息系统时,应分别按照各大区最高安全等级系统的保护要求进行管理。
其他要求请咨询安智云科技或者参考往期文章等保三级的要求。以下是常见电力系统定级建议。
总之:电力等保2.0是电力行业落实《中华人民共和国网络安全法》、《信息安全等级保护管理办法》(公通字[2007]43号)等法律法律的重要体现。按照《电力行业网络安全等级保护管理办法》(国能发安全规〔2022〕101号)第十八条规定。电力企业选择测评机构要为公安三所所认定的权威官方机构,具体要求为从事电力监控系统第二级网络等级保护测评的机构应当具备近2年内30套以上工业控制系统等级保护测评或风险评估服务经验;从事电力监控系统第三级网络等级保护测评的机构应当具备近3年内50套以上电力监控系统等级保护测评或安全防护评估服务经验;从事电力监控系统第四级及以上网络等级保护测评的机构应当具备近5年内90套以上电力监控系统等级保护测评或安全防护评估服务经验。值得注意的是在公司发展壮大或者上市审计期间要注意评测机构不能长期为一家,否侧会导致审计风险。
