国家能源局 电力行业等级保护定级指南.docxVIP

一、定级依据

核心法规

《中华人民共和国网络安全法》

《关键信息基础设施安全保护条例》

《电力行业网络安全管理办法》（国家能源局2021年修订）

《信息安全技术网络安全等级保护定级指南》（GB/T22240-2020）

行业标准

《电力监控系统安全防护规定》（国家发改委令第14号）

《电力行业信息系统安全等级保护基本要求》（DL/T2451-2021）

二、定级对象

电力行业等级保护对象包括：

生产控制类系统：调度自动化系统、配电自动化系统、发电厂监控系统（如DCS、SCADA）、电力市场交易系统等。

管理信息类系统：电力营销系统、财务管理系统、OA系统、电力通信网等。

新型基础设施：智能电表数据平台、新能源集控系统、电力物联网（IoT）终端等。

三、定级原则

自主定级：运营单位依据系统重要性自主确定等级，报主管部门审核。

动态调整：系统功能、服务范围或数据变化时需重新定级。

重点保护：优先保障电力监控系统（原则上不低于第三级）及关键基础设施。

四、定级流程

步骤1：确定定级对象

将具有独立业务功能、承载关键数据的系统或网络区域作为独立定级对象。

示例：省级电力调度数据网、某火电厂DCS系统。

步骤2：划分业务类型

业务类型

示例系统

典型影响

生产控制类

电网调度自动化系统、变电站监控系统

直接影响电力供应安全、社会稳定

管理信息类

电力营销系统、人力资源管理系统

影响企业运营或公民个人信息安全

公共服务类

电力缴费平台、新能源并网服务平台

影响公众服务或大规模用户权益

步骤3：评估受侵害程度

从公民权益、社会秩序、公共利益、国家安全四个维度，评估系统破坏后的影响程度：

等级

侵害后果

第一级

损害公民、法人权益，但不影响社会秩序或公共利益

第二级

严重损害公民权益，或影响局部社会秩序、公共利益

第三级

严重危害社会秩序、公共利益，或造成国家安全一般威胁

第四级

造成特别严重社会秩序混乱、公共利益重大损失，或严重威胁国家安全

第五级

造成国家安全极端严重威胁（电力行业一般不涉及）

步骤4：综合定级

安全保护等级（S）?=max{业务信息安全等级（B），系统服务安全等级（G）}

电力行业典型系统定级参考：

第三级：省级及以上调度控制系统、特高压输电监控系统、核电厂工控系统。

第二级：地市级电力营销系统、110kV变电站监控系统、新能源场站集控系统。

步骤5：专家评审与备案

组织3名以上网络安全专家评审定级结果，形成《定级报告》。

通过“国家能源局网络安全等级保护管理系统”提交备案，获得《等级保护备案证明》。

五、技术要求（以第三级为例）

物理安全：机房分区隔离（生产控制大区与管理信息大区物理隔离）。

网络安全：部署工业防火墙、纵向加密认证装置，禁止跨区穿透。

数据安全：关键控制指令双向身份认证，重要数据加密存储。

应急响应：建立电力监控系统网络安全事件应急预案，每年至少1次攻防演练。

六、法律责任

未履行定级义务：依据《网络安全法》第59条，处1万-10万元罚款，对责任人处5000-5万元罚款。

定级不实导致事故：可能被追究重大责任事故罪或危害公共安全罪。

七、政策动态（2023年更新）

新型电力系统扩展：

氢能储能系统、虚拟电厂平台等新业态需参照传统电力系统定级。

数据分级管理：

电力用户敏感信息（如用电行为数据）纳入等级保护对象，定级不低于第二级。

操作建议：

使用国家能源局发布的《电力行业网络安全等级保护定级工具》辅助定级。

定期参加国家能源局组织的等级保护培训（如“护网2023”专项培训）。

对跨境数据传输系统（如跨国电网互联控制系统）需额外遵守《数据出境安全评估办法》。

附：电力行业等级保护定级流程图

确定定级对象→划分业务类型→评估侵害程度→综合定级→专家评审→备案→实施防护

如需具体系统的定级模板或政策原文，可登录国家能源局官网查询。