等级测评机构或许迎来新的考验

测评机构迎来新的考验

——由《电力行业网络安全等级保护管理办法》引发的一点感想

前几天，也就是12月12日，国家能源局发布《电力行业网络安全管理办法》。《电力行业网络安全管理办法》指出，电力行业关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责，要明确一名领导班子成员(非公有制经济组织运营者明确一名核心经营管理团队成员)作为首席网络安全官，专职管理或分管关键信息基础设施安全保护工作;为每个关键信息基础设施明确一名安全管理责任人;设立专门安全管理机构，确定关键岗位及人员，并对机构负责人和关键岗位人员进行安全背景审查。　

　（分享本文，截图后台回复，获得思维导图清晰版）

我们今天主要谈一下该办法的第十八条第二项和第四项、第十三条第五款，即：

第十八条 ……

（二）从事电力监控系统网络安全等级保护测评的机构应当熟悉电力监控系统网络安全管理和技术防护要求，具备相应的服务能力和经验。从事电力监控系统第二级网络等级保护测评的机构应当具备近2年内30套以上工业控制系统等级保护测评或风险评估服务经验；从事电力监控系统第三级网络等级保护测评的机构应当具备近3年内50套以上电力监控系统等级保护测评或安全防护评估服务经验；从事电力监控系统第四级及以上网络等级保护测评的机构应当具备近5年内90套以上电力监控系统等级保护测评或安全防护评估服务经验；

……

（四）不得委托近3年内被国家能源局通报有本办法规定不良行为，或被认证机构通报取消或暂停使用测评机构服务认证证书，或被国家网络安全等级保护工作主管部门、行业协会通报暂停开展等级保护测评业务并处于整改期内的测评机构；

第十三条……

电力企业应当要求网络安全等级保护测评机构（以下简称测评机构）组织专家对第三级及以上网络的等级保护测评报告进行评审，并随测评报告提交专家评审意见。

首先，作为开展电力监控系统网络安全等级保护测评的机构要熟悉安全管理和技术防护要求，具备相应的服务能力和经验。同时，第二级网络网络系统要求2年内完成30套工控系统或者风险评估，而第三级则要求5年内完成90套电力监控系统的等级保护测评或安全防护评估服务。这个无疑加大了对测评机构的要求，倒逼测评机构在工业控制领域加大学习，投入更多的精力和成本满足要求，否则电力市场则不再为不思进取的测评机构开放。若电力机构再结合实际情况，要求具备工控系统经验的测评师，那么对测评机构更加是一个考验。

再次，不得委托存在不良行为的测评机构。这里包括进入国家能源局黑名单的测评机构，也包括或被认证机构通报取消或暂停使用测评机构服务认证证书，或被国家网络安全等级保护工作主管部门、行业协会通报暂停开展等级保护测评业务并处于整改期内的测评机构。也就是说，像中国信息通信研究院被要求限期整改的机构，也是不能参与电力行业测评或安全评估的，那么回到前置第二级网络安全系统要求2年内完成30套工控系统以及第三级要5年内完成90套电力监控系统，那么也就说被要求整改的企业将用更长时间才能参与电力监控系统的测评业务。

其三，以《电力行业网络安全等级保护管理办法》为开始，可能随着等级保护工作的进一步加强与监管进一步加强，其他行业可能出现类似的严格要求。那么，一旦测评机构被处罚，有一种可能基本上就推出测评领域，无法再开展测评。

其四，管理办法要求电力企业应当要求网络安全等级保护测评机构（以下简称测评机构）组织专家对第三级及以上网络的等级保护测评报告进行评审，并随测评报告提交专家评审意见。当然，由测评机构组织专家对测评报告进行评审，必然增加测评机构的成本，也增加测评的难度。因为国家能源局及其派出机构每年都会要求电力企业对等级保护工作进行汇报，其履行监管职责，专家将对等级测评的质量把控提供了支撑，同时，测评机构若因报告问题被国家能源局或监管部门通报，则附带对专家的权威性带来冲击。

专家在评审报告时，其实应该是结合电力企业业务与实际情况开展评审，最为合宜，因为一个测评报告最重要的是其客观真实性，而脱离环境的报告，其实是很容易出现偏差的，无论专家能力多强也是一样无法对自己不了解的东西发表恰切的看法。在确定专家评审的必要性的同时，监管部门则需要考虑评审的一个形式主义的问题。等级测评受到公安机关、行业主管部门、认证认可委、联盟协会等等的监管，任何一方都可能对报告的真实情况进行检查或者抽查，那么这也对测评报告的客观真实性要求更加严格。

基于以上内容，我们可以看到对于电力行业的等级保护来说，则越来越严格。另一方面像国字头的测评机构，也被要求开展整改的事情屡见不鲜，所以测评机构作为等级保护工作的重要组成部分，应当且行且珍惜。同样，一些安全服务相比测评工作监管来说，可能更松懈，有待各方一起去健全完善促进整个市场向好发展，为国家网络安全提供真实可靠的助力服务。

只能说，随着网络安全等级保护工作的全面进入2.0，网络安全的重要性越发凸显，等级保护制度的大力执行，监管及市场的多重考验，对于很多机构来说是寒意越来越强。但是体质好的人，自然不会畏惧严寒的。寒冬来临，不知道多少测评机构准备好了？