生物安全管理，4.15国家安全教育日《生物安全法》——确保生物安全就是守护生命安全

2015年7月1日全国人大常委会通过的《国家安全法》将每年4月15日定为全民国家安全教育日，2021年4月15日是我国第六个全民国家安全教育日。作为国家安全的重要内容之一的《生物安全法》也将于2021年4月15日实施。该法明确了生物安全的重要地位和原则，规定生物安全是国家安全的重要组成部分。

生物安全法共分为十章88条。该法的制定旨在维护国家安全，防范和应对生物安全风险，保障人民生命健康考证含金量排行榜，保护生物资源和生态环境，促进生物技术健康发展与自然和谐生。其中与卫生健康领域密切相关的共有四个章节，需要卫生健康部门各级各单更加注重学习研究，确保学深学透、学以致用，依法依规做好生物安全管理工作。

《生物安全法》节选

第三章防控重大新发突发传染病、动植物疫情

第二十九条任何单位和个人发现传染病、动植物疫病的，应当及时向医疗机构、有关专业机构或者部门报告。

医疗机构、专业机构及其工作人员发现传染病、动植物疫病或者不明原因的聚集性疾病的，应当及时报告，并采取保护性措施。

依法应当报告的，任何单位和个人不得瞒报、谎报、缓报、漏报，不得授意他人瞒报、谎报、缓报，不得阻碍他人报告。

第五章 病原微生物实验室生物安全

第四十二条国家加强对病原微生物实验室生物安全的管理，制定统一的实验室生物安全标准。病原微生物实验室应当符合生物安全国家标准和要求。

从事病原微生物实验活动，应当严格遵守有关国家标准和实验室技术规范、操作规程，采取安全防范措施。

第四十三条国家根据病原微生物的传染性、感染后对人和动物的个体或者群体的危害程度，对病原微生物实行分类管理。

从事高致病性或者疑似高致病性病原微生物样本采集、保藏、运输活动生物安全管理，应当具备相应条件，符合生物安全管理规范。具体办法由国务院卫生健康、农业农村主管部门制定。

第四十四条设立病原微生物实验室，应当依法取得批准或者进行备案。

个人不得设立病原微生物实验室或者从事病原微生物实验活动。

第四十五条国家根据对病原微生物的生物安全防护水平，对病原微生物实验室实行分等级管理。

从事病原微生物实验活动应当在相应等级的实验室进行。低等级病原微生物实验室不得从事国家病原微生物目录规定应当在高等级病原微生物实验室进行的病原微生物实验活动。

第四十八条病原微生物实验室的设立单位负责实验室的生物安全管理，制定科学、严格的管理制度，定期对有关生物安全规定的落实情况进行检查，对实验室设施、设备、材料等进行检查、维护和更新，确保其符合国家标准。

病原微生物实验室设立单位的法定代表人和实验室负责人对实验室的生物安全负责。

第四十九条病原微生物实验室的设立单位应当建立和完善安全保卫制度，采取安全保卫措施，保障实验室及其病原微生物的安全。

第五十条病原微生物实验室的设立单位应当制定生物安全事件应急预案，定期组织开展人员培训和应急演练。发生高致病性病原微生物泄漏、丢失和被盗、被抢或者其他生物安全风险的生物安全管理，4.15国家安全教育日《生物安全法》——确保生物安全就是守护生命安全，应当按照应急预案的规定及时采取控制措施，并按照国家规定报告。

第八章 生物安全能力建设

第六十八条国家统筹布局全国生物安全基础设施建设。国务院有关部门根据职责分工，加快建设生物信息、人类遗传资源保藏、菌（毒）种保藏、动植物遗传资源保藏、高等级病原微生物实验室等方面的生物安全国家战略资源平台，建立共享利用机制，为生物安全科技创新提供战略保障和支撑。

电气行业安全管理，解读｜从“两办法”看电力行业网络安全管理要点和行业机会

全文共3058字，阅读大约需6分钟。

日前，国家能源局正式印发《电力行业网络安全管理办法》和《电力行业网络安全等级保护管理办法》（以下合称“两办法”，分别简称《网安办法》《等保办法》）两个部门规章，无疑是朝着塑造电力行业网络安全保障体系的目标迈出了坚实步伐。

两个特点、三个变化

概括来看考证书的正规网站，可从体系发展和内容演变两方面，来简要了解两办法的大致发展脉络。

01

体系发展的两个特点

一是电力行业网络安全在依法治理方面起步较早且持续更新。两办法是时隔8年之后，对其前一版本的修订和更新。稍作追溯就会发现《网安办法》最早可追溯至2007年的《电力行业网络与信息安全监督管理暂行规定》（电监信息〔2007〕50号），《等保办法》可追溯至2014年的《电力行业信息安全等级保护管理办法》（国能安全[2014]318号）。可见，电力行业比较重视以法治手段统筹行业网络安全管理，且基本保持了5年左右更新修订一次的频率。

二是电力行业网络安全管理范畴基本稳定且不断完善。梳理电力行业近十年来的网络安全相关法规和规范性文件，可以发现网络安全管理、等级保护管理是电力行业网络安全管理的两大基本范畴。在二者关系上，前者涵盖后者，后者或因其具有相对独立的工作体系而单独成规、要求更加具体化。同时，随着国家网络安全保障体系的不断发展，电力行业网络安全管理和等保管理各自的内容也都持续丰富健全。

02

内容修订的三个变化

两办法与此前版本相比，内容有较多补充发展，而以下三方面修订，则更加集中。

一是规章名称。两办法名称从“网络与信息安全”和“信息安全”统一修改为“网络安全”，并且对于“电力网络”给出了相对明确的界定。这也充分体现了前一版办法发布以来，相关网络安全上位法律法规的发展成果。

二是主体权责。两办法首先更加细化了国家能源局及其派出机构、地方各级能源主管部门的分工定位和具体职责。同时，相应对于电力企业的主体责任也做出了较大篇幅的细化完善。

三是管理流程。两办法依据相关法律法规的要求，对电力行业的网络安全管理、等级保护管理相关管理流程进行了细化规定电气行业安全管理，如网络安全监督检查方式、等保测评机构的选取标准等；同时，还将近年来国家网络安全的重要制度在电力行业的落地进行了细化，如：关键信息基础设施保护、数据安全、供应链安全等。

三大管理要点

两办法立足电力行业网络安全管理工作，重点优化和更新了三个方面的规定和要求，即：监管机制、主体责任、管理保障。

★ 监管机制

监管机制旨在明确各相关监管主体的构成和职责。

《网安办法》规定的监管主体主要包括“行业部门”和“电力调度机构”两类。首先从构成上看：一是“行业部门”，包括“国家能源局及其派出机构、负有电力行业网络安全监督管理职责的地方能源主管部门”，其中的“派出机构”主要是指6个区域监管局和12个省（自治区）监管办公室；而“地方能源主管部门”目前则包含省级能源局、加挂能源局牌子的省级发改委、以及省级发改委相关处室代行能源管理职责的体系三种类型。二是“电力调度机构”，主要是指我国当前的五级电力调度机构，即国家调度中心、网局调度中心、省级调度中心、地区调度中心和县级调度中心。其次，从职责上看：“行业部门”主要侧重于电力行业网络安全相关制度方面的监管，而“电力调度机构”则侧重于对其下一级各类机构电力监控系统网络安全的技术监管，且需对行业部门进行年度汇报。具体职责不作赘述。

《等保办法》涉及的相关监管主体则相对层次更加清晰一些。包括两类主体，即：国家能源局及其派出机构、各级密码管理部门。前者是电力行业等保的主要监管机构，后者则仅在涉及密码管理时发挥其监管职责。

★ 主体责任

两办法都明确了电力企业在相关网络安全建设实施过程中的“主体责任”定位。

《网安办法》第三章“电力企业责任义务”具体规定了电力企业需要履行的十余项“主体责任”，其中有2项需要特别关注。一是明确建立“首席网络安全官”制度，该制度的适用范围是“电力行业关键信息基础设施运营者”，担任者的层级要求是“领导班子成员（非公有制经济组织运营者明确一名核心经营管理团队成员）”，其主要职责是“专职管理或分管关键信息基础设施安全保护工作”。二是明确提出电力企业网络安全“资金保障制度”，该制度适用于所有电力企业，且网络安全投入比例“不低于信息化总投入的5%”。

《等保办法》规定的电力企业“主体责任”中电气行业安全管理，解读｜从“两办法”看电力行业网络安全管理要点和行业机会，也有2项需要特别关注。一是增加了一档等保测评频次要求，即要求“第二级网络应当每两年进行一次等级保护测评”，这是对《信息安全等级保护管理办法》要求的拓展。二是对于电力企业选择测评机构规定了明确、严格的条件，具有“认证证书”只是最基本的条件之一，除此之外认证机构还须同时满足达到规定的业绩案例数量、相关人员无犯罪记录、机构无不良行为、签署保密协议等硬性条件。

★ 管理保障

两办法在保障各项管理要求的落实方面，都提出了系列保障举措，除了常规的检查、报备、处罚等监管手段之外，两办法均提出了具有较大创新意义的保障措施。

《网安办法》第三十二条明确规定了约谈和通报机制。即：基于行业部门的职责，发现较大网络安全风险和事件时，可以启动约谈机制，约谈该电力企业法定代表人或者主要负责人；行业部门还可以就网络安全风险、威胁和事件进行通报，要求及时排查并采取防范措施。可见，约谈和通报机制实质是在处罚前增加了一道有效保障，有助于推动实现“治病救人”的最佳效果。

《等保办法》第二十七条规定了对测评机构的监督约束机制。即：电力等保测评机构若有规定的五种不良行为时，国家能源局可向国家有关部门、认证机构、行业协会等提出限期整改、取消/暂停使用测评机构服务认证证书等建议，并向电力企业通报相关风险信息。可见，办法将作为第三方的测评机构纳入责任体系，以生态治理的思路保障规范要求的切实遵守。

产业机会分析

两办法的发布，在进一步完善电力行业网络安全监管体系的同时，也将为网络安全相关产业的发展带来潜在市场机会。

潜在机会一

电力行业网络安全专用产品和服务

两办法对于电力企业使用专用产品和服务提出了明确需求，包括：电力行业商用密码产品和服务、电力行业安全可信网络产品和服务、电力监控系统专用安全产品、电力专用横向单向安全隔离装置、电力专用纵向加密认证装置或者加密认证网关等设备设施等等。

潜在机会二

电力行业关键信息基础设施安全保护

按照《关键信息基础设施安全保护条例》的规定，电力行业本就是关键信息基础设施安全保护的八个重点行业之一；此次两办法也明确大幅度增加了有关关基保护的相关规定。从产业机会来看，电力关基监测预警、检测和风险评估、应急演练、事件处置等等都是较为确定的市场机会。

潜在机会三

电力行业等级保护相关服务

两办法从完善管理体系、细化管理要求的不同角度，分别对加强电力行业等级保护做出了规定部署。对于网络安全产业发展而言，电力行业等级保护增加一档等保测评频次要求、强化对测评机构相关人员背景要求、明确监督检查和抽查要求等，极大程度上会对网络安全等级保护相关的人员培训、工具供给、运营支撑等产生实质性的市场拉动。

服务电力等重点行业网络安全及关键信息基础设施保护，一直是绿盟科技的重要业务方向之一。我们立足技术创新，密切结合合规要求和攻防动态的变化，全面打造并持续更新网安全产品体系和服务模式，满足不同规模客户的需求。多年来，我们以过硬的技术和务实的服务赢得了广泛市场认可。相信电力行业“两办法”的发布，将进一步壮大相关市场动能，我们也将继续秉承“专攻术业、成就所托”的一贯宗旨，继续发挥自身技术创新优势，与各界协同合作，为构建更加牢固的电力行业网络安全屏障持续贡献力量。