Q/LB.□XXXXX-XXXX
PAGE2
ICS
FORMTEXT
CCS
FORMTEXT点击此处添加CCS号
FORMTEXT14
FORMTEXT山西省地方标准
DBFORMTEXT14/TFORMTEXTXXXX—FORMTEXTXXXX
FORMTEXT?????
FORMTEXT能源数据安全保护分类分级要求
FORMTEXT点击此处添加标准名称的英文译名
FORMDROPDOWN
FORMTEXT(本草案完成时间:2024-03-22)
FORMDROPDOWN
FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布
FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施
FORMTEXT山西省市场监督管理局??发布
STYLEREF标准文件_文件编号DB14/TXXXX—XXXX
PAGE1
STYLEREF标准文件_文件编号DB14/TXXXX—XXXX
PAGE6
能源数据安全保护分类分级要求
范围
本文件规范了能源数据安全保护分类分级的基本原则、数据分类分级程序和规则。
本文件适用于能源数据处理者对能源数据进行分类分级识别。涉及军事、国家秘密信息、密码使用等数据处理活动,按照国家有关规定执行,不适用本标准。
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T22239信息安全技术网络安全等级保护基本要求
GB/T25069信息安全技术术语
GB/T43697数据安全技术数据分类分级规则
术语和定义
GB/T22239、GB/T25069、GB/T43697界定的以及下列术语和定义适用于本文件。
能源数据
在能源勘探、开发、生产、运输、储存、加工(转化)、交易、消费、回收、研发和装备制造等过程中产生和收集的数据。
能源数据处理者
能源数据处理者是指从事能源数据处理活动的独立法人或个人。
重要数据
特定领域、特定群体、特定区域或达到一定精度和规模的能源数据,如被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害国家安全、经济运行、社会稳定、能源供应、公共利益。
核心数据
对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要能源数据,如被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害政治安全、国家安全、国民经济、重要民生和重大公共利益。
一般数据
核心数据、重要数据之外的其他数据。
衍生数据
经过统计、关联、挖掘、聚合、去标识化等加工活动而产生的数据。
数据分类分级程序
建立组织体系
建立数据分类分级的组织保障体系,制定总体安全管理框架,结合企业自身数据特点,制定数据分类分级方法及数据分类分级细则。
数据资产梳理
全面梳理组织内部的所有数据资源,形成数据资源列表。
数据分类实施
根据能源企业业务范围、运营模式、业务流程等对能源数据进行分类。
数据分级实施
根据能源数据重要程度和敏感程度,确定数据资源的安全等级。
实现数据标识
根据分类分级要求对数据进行分类分级标识。。
目录审核上报
审核批准数据分类分级结果,形成数据分类分级清单,报送重要数据目录。
动态更新维护
根据数据因时间变化、政策变化、安全事件发生等发生改变,对数据分类分级进行动态更新维护。
数据分类分级程序
建立组织体系
能源数据处理者应建立数据分类分级组织机构,明确数据分类分级的决策机构和最高责任人,统筹数据分类分级工作。
能源数据处理者应制定总体数据分类分级框架,建立组织数据分类分级管理办法、制度、流程、规范等制度体系。
数据分类分级组织机构应结合各部门情况设立数据分类分级实施岗位,定义各岗位职责,保障数据分类分级工作开展。
能源数据处理者应加强人员管理,明确在人员录用、离岗离职、安全教育培训、外部人员管理等方面的管理规定并严格落实。
数据资产梳理
能源数据处理者应全面梳理企业内部的所有数据资源,内容包括以物理或电子形式记录的数据表、数据项、数据文件等,明确数据梳理的要求,包括数据内容描述、数据量、保存位置、保存期限、数据处理情况(数据处理目的、数据处理所涉及的信息系统)、数据对外提供情况(共享转让、公开披露、数据出境)、数据生命周期各环节安全措施配套情况等内容,进行逻辑汇总后统一列表,形成数据资源列表。
数据分类
明确业务分类
按照能源品类可以分为煤炭、电力、石油(含原油、成品油)、天然气(含常规天然