为贯彻落实党的二十届三中全会精神，深化能源管理体制改革，完善电力监控系统网络安全技术防护体系，近日，国家发展改革委颁布了新修订的《电力监控系统安全防护规定》（国家发展改革委2024年第27号令，以下简称《规定》），自2025年1月1日起施行，原《电力监控系统安全防护规定》（国家发展改革委2014年第14号令）同时废止。

1、《规定》修订背景是什么？

　　原《规定》于2014年发布，是指导全国电力行业开展电力监控系统安全防护的基本法规，与电力安全生产工作密切相关，对电力监控系统网络安全防护工作发挥了重要作用。近年来，有关法律法规政策陆续发布或修订，国家对网络安全工作有了新的要求。同时，新型电力系统建设背景下，新业务形态和运行模式涌现，电力监控系统安全防护体系亟需健全完善。

2、《规定》修订原则是什么？

　　《规定》修订过程中突出三方面原则。一是坚持依法合规。确保《网络安全法》《关键信息基础设施安全保护条例》等法律法规和党中央国务院有关要求落实到位。二是坚持问题导向。针对近年来电力监控系统网络安全工作实践中暴露出来的电力监控系统定义模糊、安全接入区防护强度不足、专用安全产品管理流程有待优化、行政执法依据不足等问题，及新型电力系统接入主体更多样、边端分布更广泛、交互方式更丰富等特征带来的新风险，针对性补充技术和管理要求。三是坚持守正创新。在坚持“安全分区、网络专用、横向隔离、纵向认证”十六字原则的基础上，进一步明确电力监控系统范围，提出强化措施，优化管理体系。

3、《规定》主要修订内容有哪些？

　　本次修订对原《规定》做了多方的修改，并新增13条，修订后共六章37条。主要做了以下调整和完善。

　　一是明确电力监控系统范围，将罗列典型系统名称改为列举功能。

　　二是优化安全分区要求，在坚持原分区策略的基础上，调整原《规定》阐述逻辑及表述。

　　三是强化安全接入区防护要求，明确安全接入区加密认证、安全监测等技术要求。

　　四是强化技术防护措施，在坚持十六字原则的基础上，补充安全免疫、态势感知、动态评估和备用应急措施。

　　五是定义电力监控专用网络，明确承载电力监视和控制业务的专用广域数据网络、专用局域网络以及专用通信线路属于电力监控专用网络范畴。

　　六是强化供应链及电力监控系统专用安全产品管理，明确运营者应当以合同条款的方式对电力监控系统供应商提出安全要求，明确由国家电力调度控制中心牵头组建电力监控系统专用安全产品管理委员会。

　　七是优化技术监督管理，明确不同主体技术监督的工作要求，增加技术监督过程中风险管控措施。

　　八是细化罚则。

4、电力监控系统安全防护规定27号令对比14号令的14条更新

　　（1）法律依据更新：相比于14号令仅引用《电力监管条例》、《中华人民共和国计算机信息系统安全保护条例》等，27号令更新《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等法律法规作为制定依据，进一步提升了规定的法律效力，并将电力监控系统安全防护纳入关键信息基础设施保护的框架之下，其战略意义显著提升。

　　（2）适用范围扩展：27号令的适用范围在14号令基础上，不再局限于发电企业、电网企业及其相关单位，而是覆盖所有电力监控系统运营者及相关单位，进一步明确安全管理责任。

　　（3）安全防护原则扩展：新增“安全免疫、态势感知、动态评估和备用应急措施”作为电力监控系统安全防护的原则。

　　（4）安全分区进一步明确，新规定将电力监控系统分为生产控制区（安全Ⅰ区和安全Ⅱ区）和管理信息区（安全Ⅲ区和安全Ⅳ区），而2014年的规定只提到了生产控制大区和管理信息大区。

　　（5）安全Ⅲ区与安全Ⅳ区之间当设置具有访问控制功能的设备、防火墙或者相当功能的逻辑隔离设施（27号令第十条内容新增）。

本条款目的是需要通过访问控制等手段，确保电力监控系统内各个安全区之间的隔离，在此特提出要求在安全Ⅲ区与安全Ⅳ区之间的有效隔离，从而限制未经授权的访问、减少跨区风险传播、提高系统的整体安全性。

　　（6）生产控制区应当对外设接入行为进行管控（27号令第十三条内容新增）。

本条款强调在电力监控系统生产控制区应采取外设接入行为的管控措施，以降低内部攻击的风险以及防止数据泄露等情况发生。据调研，目前大部分电力监控系统未对移动介质的使用采取有效的管理措施，一旦出现由于移动介质的滥用导致的病毒感染事件，可能导致关键生产系统的中断，严重影响生产效率和业务连续性。

　　（7）电力监控系统投运前应当进行安全加固（27号令第十六条内容新增）。

本条款强调在电力监控系统投运前，必须采取额外的安全措施，增强系统的安全性，包括主机加固、系统加固等。

　　（8）运营者应当建立网络安全监测预警机制，建设基于内置探针等的网络安全监测手段，实时监视分析电力监控系统网络安全运行状态及可疑行为告警（27号令第十七条内容新增）。

本条款指的是运营者需建立一套全面的监控系统，通过技术手段实时跟踪电力监控系统的网络安全状态，通过分析实时数据，判断当前系统的安全性，发现潜在的安全事件和风险并发出预警。

　　（9）运营者在电力监控系统规划设计、建设运营过程中， 应当保证网络安全技术措施同步规划、 同步建设、 同步使用（27号令第十九条内容新增）。

本条款强化了电力监控系统运营者在规划设计、建设运营过程中开展网络安全建设“三同步”的要求。

　　（10）省级及以上电力调度机构应当定期将调管范围内电力监控系 统安全防护评估和整改情况报国家能源局及其派出机构（27号令二十一条内容新增）。

本条款明确提出了：“省级及以上电力调度机构应当定期将调管范围内电力监控系统安全防护评估和整改情况报国家能源局及其派出机构的要求”。

　　（11）运营者应当以合同条款的方式要求电力监控系统供应商保证：提供的产品和服务未设置恶意程序、不存在已知安全缺陷和漏洞，并在产品和服务的全生命周期内负责；当产品和服务存在安全缺陷、漏洞等风险时，立即采取补救措施，并及时告知运营者；当存在重大漏洞隐患时，及时向国家能源局及其派出机构报告（27号令二十二条内容新增）。

本条款引入供应链安全管理的相关内容，要求运营者通过合同条款明确供应商的安全责任。包括了供应商提供的产品无恶意程序：供应商提供的产品和服务无病毒、后门等恶意程序对电力监控系统的安全性造成严重威胁，避免数据泄露、系统崩溃以及恶意远程控制等情况发生；无已知的安全漏洞或缺陷：供应商提供的产品和服务已经过正规检测机构对已知漏洞或缺陷的安全检测，并在发现漏洞时可以及时修复；在产品和服务的全生命周期内负责：要求供应商不仅需保证在产品交付时的安全性也要保证在其使用过程中的稳定性，如在使用过程中无新的已知漏洞，且需及时提供漏洞修复和安全升级服务。

　　（12）在应急措施方面，27号令在第二十八条明确提出了建立系统备用和恢复机制的要求，以确保电力监控系统在面对故障、攻击或突发情况时，能够迅速恢复并继续正常运行。

　　（13）在第三十条，明确了电力调度机构、运营者的监督管理责任；明确了电力监控系统网络安全技术监督管理办法是由国家能源局负责制定。

　　（14）在第三十一条、三十二条，明确了对运营者违规的定量处罚细则，明确处罚金额。

其中，对电力监控系统运营者未按照以下等要求执行网络安全防护工作，给出了明确处罚机制：

（一）未采取安全分区、边界防护等防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（二）未采取网络安全监测预警等技术措施监测、记录网络运行状态、网络安全事件。

《国家能源局-电力监控系统安全防护规定-27号令-点击下载原文件》

免责声明

本文档提供有关 《电力监控系统安全防护规定》解读：从14个政策更新细节理解27号令 的信息，本文档未授予任何知识产权的许可，并未以明示或暗示，或以禁止发言或其它方式授予任何知识产权许可。除在其产品的销售条款和条件声明的责任之外, 我公司概不承担任何其它责任。

文中部分素材来源于网络，如有侵权请联系。