Q/LB.□XXXXX-XXXX
PAGE2
ICS
FORMTEXT
CCS
FORMTEXT点击此处添加CCS号
FORMTEXT14
FORMTEXT山西省地方标准
DBFORMTEXT14/TFORMTEXTXXXX—FORMTEXTXXXX
FORMTEXT?????
FORMTEXT能源企业数据安全保护管理规范
FORMTEXT点击此处添加标准名称的英文译名
FORMDROPDOWN
FORMTEXT(本草案完成时间:2025-3-24)
FORMDROPDOWN
FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布
FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施
FORMTEXT山西省市场监督管理局??发布
STYLEREF标准文件_文件编号DB14/TXXXX—XXXX
PAGE1
STYLEREF标准文件_文件编号DB14/TXXXX—XXXX
PAGE10
能源企业数据安全保护管理规范
范围
本文件规定了能源企业开展数据安全保护的总体要求,以及采集、存储、传输、使用加工、交换、销毁等各数据处理活动环节的安全保护措施。
本文件适用于能源企业开展能源数据安全保护工作。
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T22239信息安全技术网络安全等级保护基本要求
GB/T35295信息技术大数据术语
GB/T37988信息安全技术数据安全能力成熟度模型
GB/T39786信息安全技术信息系统密码应用基本要求
GB/T41479信息安全技术网络数据处理安全要求
术语和定义
GB/T22239、GB/T35295、GB/T37988、GB/T39786、GB/T41479界定的以及下列术语和定义适用于本文件。
能源数据
在能源勘探、开发、生产、运输、储存、加工(转化)、交易、消费、回收、研发和装备制造等过程中产生和收集的数据。
能源数据处理活动
能源数据的采集、存储、传输、使用加工、交换、销毁等过程。
重要数据
特定领域、特定群体、特定区域或达到一定精度和规模的能源数据,如被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害国家安全、经济运行、社会稳定、能源供应、公共利益。
核心数据
对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的能源重要数据,如被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害政治安全、国家安全、国民经济、重要民生和重大公共利益。
一般数据
核心数据、重要数据之外的其他能源数据。
总体要求及管理框架
能源数据安全保护包括总体要求、数据运行安全和数据处理活动安全,总体要求为能源数据安全保护的基础,数据运行安全提供能源数据安全保护的技术支撑,数据处理活动旨在指导数据全生命周期安全保护。其中,重要数据保护应同时满足一般数据安全保护要求和重要数据安全保护要求;核心数据应同时满足重要数据和核心数据安全保护要求保。总体框架图见图1。
能源企业数据安全保护总体框架图
组织保障
一般数据
本项要求包括:
应设立数据安全管理责任部门,明确数据安全责任人,统筹开展数据安全管理工作;
数据安全管理机构应设立数据管理员、数据安全管理员、数据安全审计员等岗位,定义各岗位职责,保障数据安全管理与审计工作开展;
应加强人员管理,明确在人员录用、离岗离职、安全教育培训、外部人员管理等方面的管理规定并严格落实;
应制定数据安全岗位人员教育和培训计划,对数据安全相关岗位人员定期开展教育培训。
重要数据和核心数据
在4.1.1的基础上满足以下要求:
应明确本单位法定代表人或者主要负责人是数据安全第一责任人,分管数据安全的负责人是直接责任人,每季度召开数据安全专项会议,协调生产部门与安全部门协同工作,并建立常态化沟通与协作机制;
应建立数据安全工作体系,覆盖数据安全责任部门以及研发设计、生产制造、经营管理、运行维护、外部服务、采购、审计、法务等相关部门;
应明确数据安全关键岗位,并与关键岗位人员签署保密协议;
应在数据安全培训过程中明确年度培训时长,并对参加培训的人员进行考核评定,考核不合格者暂停数据操作权限。
制度管理
一般数据
本项要求包括:
应制定总体安全管理框架,建立由总体策略、管理规范、操作规程、记录表单等构成的数据安全管理制度体系,包括但不限于数据安全总体