光伏电站电力监控系统的安全评估和等保测评

前言

电力监控系统对于风力发电、光伏发电等可再生能源发电项目的高效、安全、可控运行来说,必不可少。在建设新型电力系统的大背景下,如何加强电力监控系统的安全防护工作,成为光伏发电、风力发电等新型经营主体所需要面临的重要课题。其中,按要求开展安全防护评估、等保测评工作,又是现行法律法规以及监管机关的重点要求。本文简要梳理现行法规有关电力监控系统的安全评估和等保测评的要求,供新能源公司参考。

一、什么是安全防护评估和等保测评?

1. 安全防护评估

广义来说,电力监控系统安全防护评估是电力行业的一项重要工作制度,旨在发现电力监控系统的主要安全分析,提高电力监控系统安全防护能力,开展形式包括自评估、检查评估、上线安全评估和型式安全评估。在本文中,主要是指运行单位的“自评估”,即运行单位(如光伏发电企业)依照《电力监控系统安全防护规定》等对其本单位的电力监控系统安全防护情况组织实施的评估。

2. 等保测评

“等保测评”全称为“网络安全等级保护测评”,是指企业委托测评机构,依据网络安全等级保护制度的要求,按照有关管理规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测评估并出具书面报告的活动。等保测评是网络网络安全等级保护制度的一项重要内容。在整个网络安全等级保护工作中,电力企业应在系统建设完成后,按照规定完成定级、备案、测评、整改等各项工作,并接受公安机关和能源监管机关的监管。

二、开展评估和测评的法律依据

1.电力监控系统安全防护评估

首先,电力监控系统安全防护评估是电力行业监管部门的要求。

《电力监控系统安全防护规定》(国家发展和改革委员会令第27号)

第二十一条 健全电力监控系统安全防护评估制度,采取以自评估为主、检查评估为辅的方式,将电力监控系统安全防护评估纳入电力系统安全评价体系。

省级及以上电力调度机构应当定期将调管范围内电力监控系统安全防护评估和整改情况报国家能源局及其派出机构。

在实践中,调度机构根据监管机构的相关要求,在《并网调度协议》中约定由光伏发电企业开展电力监控系统安全防护评估,并提交安全评估报告:

《新能源场站并网调度协议示范文本(GF-2021-0513)》

14.2.3 对乙方涉网部分的电力监控系统安全防护实施技术监督,审核乙方的安全防护方案和风险评估报告,并参加安全防护体系建设的验收工作。

14.1.6 按照国家有关规定和标准的要求,对电力监控系统进行等级保护定级备案,定期开展等级保护测评工作,建立健全电力监控系统安全防护评估制度,电力监控系统安全防护评估应纳入电力系统安全评价体系。

(备注:上述甲方为电网企业;乙方为新能源发电企业)

除上述之外,能源监管机构和各地电网公司也有相关要求。

2.等保测评

根据《中华人民共和国网络安全法》第二十一条的规定,国家实行网络安全等级保护制度。其中,等保测评是落实网络安全等级保护制度的一项主要内容。对于电力行业的网络安全等级保护工作,归属于公安部门和能源机关部门的管理,分别出台了相关具体规定。

《信息安全等级保护管理办法》(公通字〔2007〕43号)

第十四条第一款 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。

《电力行业网络安全等级保护管理办法》

第十三条第一款 网络建设完成后,电力企业应当依据国家和行业有关标准或规范要求,定期对网络安全等级保护状况开展网络安全等级保护测评。第二级网络应当每两年进行一次等级保护测评,第三级及以上网络应当每年进行一次等级保护测评。新建的第三级及以上网络应当在通过等级保护测评后投入运行。

三、两者的异同

两者在标准依据和方法适用上不同。具体而言,等保测评主要依据的标准和规范有:《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》《GB∕T 25058-2019信息安全技术 网络安全等级保护实施指南》《GB/T 28448-2019信息安全技术网络安全等级保护测评要求》《电力行业网络安全等级保护管理办法》。

电力监控系统的安全评估主要主要依据的标准和规范有:《国家能源局关于印发电力监控系统安全防护总体方案和评估规范的通知》(国能安全〔2015〕36号)、《GBT 36572-2018 电力监控系统网络安全防护导则》 《GB/T 38318-2019 电力监控系统网络安全评估指南》。

另外,等保测评只是网络安全等级保护工作中的一项环节。在网络安全等级保护工作中,运行单位应在系统建设完成后,按照规定完成定级、备案、测评、整改等各项工作。网络安全等级保护工作的核心思想之一就是按照系统的重要程度区分不同等级进行保护,系统的定级直接会影响到系统安全的设计、实施和测评工作。在实践中,行业主管部门对200兆瓦以下规模的光伏电站监控系统,给出的定级建议为2级。

图片

(来源:《电力行业网络安全等级保护定级指南》)

当然,两者之间的工作内容也存在不少重合之处,为减轻企业负担,等保测评结合与安全防护评估工作进行:

《电力行业网络安全等级保护管理办法》

第十三条第二款 电力监控系统网络安全等级保护测评工作应当与电力监控系统安全防护评估、关键信息基础设施网络安全检测评估、商用密码应用安全性评估工作相衔接,避免重复测评。

小 结

一言概之,仅就新能源公司在各个项目上的电力监控系统而言,应按要求分别完成安全防护评估和等保测评工作,但可结合两者同步进行,并按主管部门的要求交付工作成果。因此,在采购相关安全咨询服务时,需要对有关服务内容和要求提前对供应商作出要求,既要避免遗漏,又要提高工作效率。