能源工业互联网平台数据安全管理规范(T-CSEIA 1006—2023).pdf
《能源工业互联网平台数据安全管理规范(T-CSEIA 1006—2023).pdf》由会员分享,可在线阅读,更多相关《能源工业互联网平台数据安全管理规范(T-CSEIA 1006—2023).pdf(11页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、ICS 35.110CCS F 10T/CSEIA中 关 村 智 慧 能 源 产 业 联 盟 团 体 标 准T/CSEIA 10062023能源工业互联网平台数据安全管理规范Energy industry internet platform-data security management specification2023-9-22 发布2023-10-22 实施中关村智慧能源产业联盟发 布T/CSEIA 10062023I目次前言.III1范围.12规范性引用文件.13 术语和定义.14总则.14.1安全管理目标.14.2安全管理主体.14.3安全管理责任.14.4安全管理技术.15数据安
2、全管理基本要求.25.1数据最小化.25.2责任不转移.25.3权限最小化.25.4分类分级.25.5可审计.26数据安全管理基本内容.37数据安全采集.37.1内容.37.2要求.37.3方法.38数据安全传输.48.1内容.48.2要求.48.3方法.49数据安全存储.49.1内容.49.2要求.59.3方法.510数据安全处理.510.1内容.510.2要求.510.3方法.611数据安全交换.611.1内容.611.2要求.611.3方法.612数据安全销毁.7T/CSEIA 10062023II12.1内容.712.2要求.712.3方法.7T/CSEIA 10062023III前言
3、本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村智慧能源产业联盟提出。本文件由中关村智慧能源产业联盟标准化专业委员会归口。本文件起草单位:中能融合智慧科技有限公司、北京能源工业互联网研究院有限公司、中国核工业集团有限公司、远景能源有限公司、中电投新疆能源化工集团五彩湾发电有限责任公司、清华大学、北京计算机技术及应用研究所、国网综合能源服务集团有限公司、北京科技大学、中关村国标节能低碳技术研究院、中关村智慧能源产业联盟、中国标准化研究院、北京市标准化研究院。本
4、文件主要起草人:刘长川、李巍、潘崇超、高汉军、仇永兴、朱金庆、郝哲、李娜、苗韧、冯刚、程歆、杨旭升、康通博、才宽、郭东旭、孙文峰、王雁河、王冠雄、周杰、曹龙。本文件首次发布。本文件在执行过程中的意见或建议反馈至中关村智慧能源产业联盟。T/CSEIA 100620231能源工业互联网平台数据安全管理规范1范围本文件规定了能源工业互联网平台的数据安全管理总则、基本要求、基本内容、数据安全采集、数据安全传输、数据安全存储、数据安全处理、数据安全交换、数据安全销毁。本文件适用于能源工业互联网平台的数据安全管理。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。3.1数据
5、安全data security通过管理和技术措施,确保数据处于有效保护和合规使用的状态。3.2数据安全管理体系 data security management systems涵盖数据处理全过程、以保护数据的保密性、完整性、可用性、可审计性为目标的管理体系。4总则4.1安全管理目标对能源工业互联网平台数据安全管理设置安全管理团队,建立安全管理制度,采用相关数据安全管理的技术、产品、系统或工具,落实数据安全管理目标,保证数据的保密性、完整性、可用性、可审计性。4.2安全管理主体根据能源工业互联网平台数据的规模、重要性等因素,明确数据全生命周期各阶段的实施主体及其数据安全责任,建立相应的数据安全管
6、理团队,明确不同角色的数据安全管理职责。4.3安全管理责任安全管理责任应包括:a)集和数据流安全;b)正确处理个人信息、重要信息;c)实施合理的跨数据域保留策略;d)执行网络安全等级保护要求;e)遵守能源行业数据安全监管要求,并履行义务。4.4安全管理技术T/CSEIA 100620232针对能源工业互联网平台数据,在数据采集、数据传输、数据存储、数据处理、数据共享、数据销毁全生命周期各阶段,为确保数据的保密性、完整性、可用性、可审计性,应采用相关数据安全管理的技术、产品、系统或工具等措施,包括但不限于网络通信加密、网络隔离、数据机密、数据脱敏、数据水印、数据审计等技术领域。5数据安全管理基本
7、要求5.1数据最小化应减少能源工业互联网平台的数据收集、使用和存储活动,以降低数据泄露和滥用的风险。5.2责任不转移在能源工业互联网平台业务域中,责任不转移的要求包括:a)当前控制数据方应对数据负责,当数据转移给其他数据方时,数据安全责任不应随数据转移而转移,对数据转移引发的数据安全事件应承担安全责任;b)数据转移前,应对数据进行风险评估,确保数据转移后的风险可承受,方可转移数据;c)数据转移前,应确保通过合同或其他强制策略等明确界定接收方接收数据范围和要求。5.3权限最小化在保证能源工业互联网平台业务功能完整实现的基础上应赋予数据活动中各角色最小的操作权限;所有角色应只能使用授权范围内的数据
8、,使用授权范围之外的数据应进行申请和审批,根据审批结果授权。5.4分类分级能源工业互联网平台的分类分级管理要求包括:a)应对数据分类分级管理对数据安全风险进行监控和管理,负责数据系统安全配置管理以及其他管理活动;b)应建立下列数据安全分类分级规则:1)针对不同类别和级别的数据建立安全管理策略与保障措施;2)制定数据采集规范,数据清洗、转换和加载操作安全管理规范;3)个人信息和重要数据等数据的清洗、转换与加载过程中的数据还原和恢复规范;4)数据采集质量管理控制策略和规范;数据资产类别与级别的建立及变更审核流程;5)数据采集的风险评估流程。c)应根据数据安全策略建立数据安全管理计划;d)应制定数据
9、安全管理规范与实施方案;e)应建立数据安全的实施、运营、评估和改进过程;f)应建立数据安全相关的内、外部间关系和联系;g)应进行数据安全意识和技能教育和培训;h)应提供数据安全保护技术及相关支持;i)应测试数据安全管理方案的有效性。5.5可审计应记录对能源工业互联网平台数据的修改、查询、导出、删除等操作,记录应可追溯和审计。T/CSEIA 1006202336数据安全管理基本内容能源工业互联网平台数据安全基础管理应包括下列内容:a)数据资产管理:应包括数据资产识别、录入、管理;数据资产分类分级标识;b)工单审批管理:应包括覆盖数据全生命周期和业务场景的工单申请、审批、流转跟踪等;根据申请内容,
10、与其他业务形成联动管理机制;c)合规管理:应包括法律法规、行业监管规范、企业合规要求等的文件管理;合规风险库管理;覆盖数据全生命周期和业务场景的合规评审计划、记录、报告、整改的管理等;d)合作方管理:应包括合作方录入、删除、更新等;合作商机评审管理;合作方安全评估计划、记录、报告等的管理;e)监控审计:应包括覆盖全部业务场景、系统、平台的数据流动及人员操作监控及审计;监控点及监控阈值管理;风险告警策略的配置管理;f)日志管理:应覆盖数据全生命周期和业务场景的数据处理日志收集、记录等;全部数据访问者的操作日志收集、记录;日志监控与分析;g)账号及权限管理:应包括账号申请、分配、回收等的管理;权限
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 能源工业互联网平台数据安全管理规范T-CSEIA 10062023 能源工业 互联网 平台 数据 安全管理 规范 CSEIA 1006 2023
限制150内