《電力交易數(shù)據(jù)安全分類分級管理規(guī)范》征求意見稿

1電力交易數(shù)據(jù)安全分類分級管理規(guī)范本文件規(guī)定了電力交易機(jī)構(gòu)在保護(hù)電力交易數(shù)據(jù)時進(jìn)行分類、分級及保護(hù)措施的管本文件適用于指導(dǎo)電力交易機(jī)構(gòu)對電力交易數(shù)據(jù)進(jìn)行安全保護(hù)，也可供網(wǎng)絡(luò)安全相關(guān)主管部門以及下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本GB/T35273--2020信息安全技術(shù)個人JR/T0158—2018證券期貨業(yè)數(shù)據(jù)分類分電力交易機(jī)構(gòu)在開展電力交易過程中采集、傳輸、存儲、處理、交換、銷毀等環(huán)節(jié)，以電子或者其電力交易數(shù)據(jù)分類powertransactio根據(jù)電力交易數(shù)據(jù)具有的共同屬性或特征，將其按一定的原則和方法進(jìn)行區(qū)分和歸類，以便于電力根據(jù)電力交易數(shù)據(jù)的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用后，對國家安全、經(jīng)濟(jì)運行、社會穩(wěn)定、相關(guān)行業(yè)、市場主體、交易機(jī)構(gòu)等造成的危害程度，對電力交易數(shù)據(jù)進(jìn)a)系統(tǒng)性原則：數(shù)據(jù)分類應(yīng)基于對所有數(shù)據(jù)的考的分類體系，每一次劃分應(yīng)有單一、明確的依據(jù)。數(shù)據(jù)類目的排列應(yīng)依據(jù)內(nèi)在聯(lián)系，遵循概念邏輯，遵循最大效用原則，將全部類目系統(tǒng)地組織起2b)規(guī)范性原則：所使用的詞語或短語能確切表達(dá)數(shù)據(jù)類目的實際內(nèi)容范圍，內(nèi)表達(dá)相同的概念時，保證用語一致性；在不影響數(shù)據(jù)類目涵義表達(dá)的情況下，保證用語簡潔性。d)明確性原則：同一層級的數(shù)據(jù)類目間e)擴(kuò)展性原則：在數(shù)據(jù)類目的設(shè)置或?qū)蛹壍膭漛)可執(zhí)行性原則：數(shù)據(jù)定級規(guī)則避免過于復(fù)雜c)時效性原則：數(shù)據(jù)安全級別具有一定d)差異性原則：應(yīng)根據(jù)數(shù)據(jù)的類型、敏感程e)客觀性原則：數(shù)據(jù)定級規(guī)則是客觀且可校5.1建立數(shù)據(jù)分類分級組織保障a)應(yīng)明確數(shù)據(jù)分類分級的決策機(jī)構(gòu)和最高責(zé)任人。決策級工作的目標(biāo)、內(nèi)容、標(biāo)準(zhǔn)規(guī)范等。決策機(jī)構(gòu)的最高責(zé)任人對數(shù)據(jù)分類分級工作負(fù)全面b)應(yīng)明確數(shù)據(jù)分類分級的牽頭部門。牽頭部門負(fù)責(zé)牽頭推動數(shù)據(jù)分負(fù)責(zé)按照決策機(jī)構(gòu)議定的工作目標(biāo)和要求開展數(shù)據(jù)分類分級工作，牽頭制定企業(yè)管理辦法、制度、流程、標(biāo)準(zhǔn)規(guī)范，協(xié)調(diào)解決分類分級工作中的問題，牽頭進(jìn)行c)應(yīng)明確數(shù)據(jù)分類分級的實施部門，實施部門負(fù)括：按照牽頭部門制定的制度、流程、規(guī)范等梳理本部門的數(shù)據(jù)資源，并提交給牽頭部施部門包括信息技術(shù)部門和交易中心各業(yè)務(wù)科室，業(yè)務(wù)科室包括市5.2建立數(shù)據(jù)分類分級制度保障b)數(shù)據(jù)分類分級的相關(guān)制度、規(guī)范、標(biāo)準(zhǔn)、工作流程等的制定牽頭部門應(yīng)牽頭全面梳理企業(yè)內(nèi)部的所有數(shù)據(jù)資源，業(yè)務(wù)部門和技術(shù)部門配合數(shù)據(jù)梳理工作，梳理的內(nèi)容包括以物理或電子形式記錄的數(shù)據(jù)表、數(shù)據(jù)項、數(shù)據(jù)文件等，明確數(shù)據(jù)梳理的要求，包括數(shù)據(jù)內(nèi)容描述、數(shù)據(jù)量、保存位置、保存期限、數(shù)據(jù)處理情況（數(shù)據(jù)處理目的、數(shù)據(jù)處理所涉及的信息系統(tǒng)）、數(shù)據(jù)對外提供情況（共享轉(zhuǎn)讓、公開披露、數(shù)據(jù)出境）、數(shù)據(jù)生命周期各環(huán)節(jié)安全措施配套情況等內(nèi)容。3c)應(yīng)明確業(yè)務(wù)節(jié)點的數(shù)據(jù)資源的訪問對象、訪應(yīng)對每個部門的所有數(shù)據(jù)資源進(jìn)行邏輯匯聚，對所有部門的數(shù)據(jù)集合，進(jìn)行合并然后統(tǒng)一列表，形5.4建立數(shù)據(jù)資源目錄對每個部門的所有數(shù)據(jù)資源進(jìn)行邏輯匯聚，對所有部門的數(shù)據(jù)集合，進(jìn)行合并然后統(tǒng)一列表，形成5.5對數(shù)據(jù)資源分類根據(jù)電力交易數(shù)據(jù)自身管理特點，按照樹形結(jié)構(gòu)，建立數(shù)據(jù)資源分類目錄樹。并將整理后的數(shù)據(jù)資源列表對應(yīng)到目錄樹，確定數(shù)據(jù)資源列表中每個數(shù)據(jù)項在目錄樹中所在的位置，即確定該數(shù)據(jù)項的數(shù)據(jù)5.6對數(shù)據(jù)資源分級根據(jù)電力交易數(shù)據(jù)重要程度和敏感程度，確定數(shù)據(jù)資源的安5.7數(shù)據(jù)分類分級標(biāo)識5.8建立數(shù)據(jù)分類分級清單應(yīng)根據(jù)數(shù)據(jù)分類分級情況對數(shù)據(jù)資源進(jìn)行分類分級標(biāo)識后，輸出企業(yè)的數(shù)據(jù)分類分級清單。清單內(nèi)容至少包括所屬部門、所在系統(tǒng)、數(shù)據(jù)類型、安全等級、內(nèi)容描述、數(shù)據(jù)量、保存位置、保存期限、數(shù)據(jù)處理情況（數(shù)據(jù)處理目的、數(shù)據(jù)處理所涉及的信息系統(tǒng)）、數(shù)據(jù)對外提供情況（共享轉(zhuǎn)讓、公開披露、數(shù)據(jù)出境）、數(shù)據(jù)生命周期各環(huán)節(jié)安全措施配套情況等。且應(yīng)建設(shè)必要的網(wǎng)絡(luò)數(shù)據(jù)資源清單管理技術(shù)手段，確保網(wǎng)絡(luò)數(shù)據(jù)資源清單內(nèi)容覆蓋全面、信息真實數(shù)據(jù)分類以GB/T10113中的線分類法b)收集機(jī)構(gòu)內(nèi)所有部門的數(shù)據(jù)資源，包含以物理或電子形式記錄的數(shù)據(jù)表、數(shù)據(jù)項、數(shù)據(jù)文件等；），d)按照大類內(nèi)部的數(shù)據(jù)隸屬邏輯關(guān)系，將每個大類的數(shù)據(jù)分為若干層級，每個層級分為若干子類。所有數(shù)據(jù)類及數(shù)據(jù)子類構(gòu)成數(shù)據(jù)資源目錄樹，同一分支的同層級子類之間構(gòu)成并列關(guān)系，不同層級子類之間構(gòu)成隸屬關(guān)系。目錄樹的所有葉子節(jié)點是最小數(shù)據(jù)類。最小數(shù)據(jù)類是指屬性（或特征）相同或4破壞后可能影響的對象，包括相關(guān)行業(yè)、市場主體、交易b)步驟二：確定影響范圍。確定該類數(shù)據(jù)安全屬性（完整性c)步驟三：確定影響程度。確定該類數(shù)據(jù)安5無d)步驟四：綜合上述三要素，對數(shù)據(jù)定級。密性、可用性）遭到破壞后的影響對象、影響范圍、影響程度，對數(shù)據(jù)進(jìn)行定級如下：一般是“嚴(yán)重”后數(shù)據(jù)損失后,影響范圍中等(一般局限在后數(shù)據(jù)損失后,影響范圍較小(一般局限在本機(jī)程度一般是“輕微”或“無”構(gòu)無根據(jù)數(shù)據(jù)資源的分類分級情況，在數(shù)據(jù)生命周期的各個環(huán)節(jié)配套差異化的安全保護(hù)措施，a)根據(jù)數(shù)據(jù)分類分級管理制度對數(shù)據(jù)進(jìn)行分類分級標(biāo)識（如第3級數(shù)據(jù)），標(biāo)記應(yīng)細(xì)化至數(shù)據(jù)庫表的字段全控制等級為最高安全等級。b)原則上未經(jīng)過脫敏處理的數(shù)據(jù)不可降級使用。若確有需6c)數(shù)據(jù)傳輸過程中，若涉及高安全級別數(shù)據(jù)），d)在使用數(shù)據(jù)或披露前，涉及高安全級別數(shù)據(jù)的，數(shù)據(jù)安全保護(hù)要求對數(shù)據(jù)全生命周期的安全保護(hù)要求作出了具體要求，詳見附7市場主體企業(yè)注冊在申請過程中使用的基礎(chǔ)從業(yè)人員姓名、性別、工作單位、出生年月、證職業(yè)、職務(wù)、職稱、學(xué)歷、專業(yè)技術(shù)、從業(yè)年限、職指存放的交易規(guī)則數(shù)據(jù)，包括規(guī)則名稱、規(guī)則編指存放合同管理的基礎(chǔ)數(shù)據(jù)，包括合同類型、指計劃編制中用到的數(shù)據(jù)，包括計劃單元狀態(tài)指結(jié)算相關(guān)參數(shù)數(shù)據(jù)，包括計量表計的關(guān)口全稱識、電廠電量偏差配置、結(jié)算單配置、零售目標(biāo)曲等指電能結(jié)算結(jié)果數(shù)據(jù)，包括月結(jié)算單、電費結(jié)算指交易業(yè)務(wù)在合規(guī)監(jiān)視產(chǎn)生的數(shù)據(jù)，包括流程標(biāo)指評價市場主體信用數(shù)據(jù)，包括信用等級、判定料、欠費金額、違約金額、評價得分、信用指電力市場發(fā)布的市場運營數(shù)據(jù)，包括業(yè)務(wù)場景、指系統(tǒng)平臺正常運行需要配置的數(shù)據(jù)，包括版本8指為市場主體提供服務(wù)產(chǎn)生的數(shù)據(jù)，包括投訴建指電力系統(tǒng)在發(fā)電、輸電、配電過程中產(chǎn)生的各指使用計量器具經(jīng)檢測而出具的客戶數(shù)據(jù)，包括921業(yè)年限、職稱證書編號等可以精確標(biāo)識從業(yè)人員的信息;233233122布2布11213等3電力交易數(shù)據(jù)安全保護(hù)應(yīng)遵循國家監(jiān)管部門和行業(yè)部門指導(dǎo)和監(jiān)管的原則，落實數(shù)據(jù)保護(hù)的主體責(zé)任和監(jiān)管職責(zé)。應(yīng)遵循國家網(wǎng)絡(luò)安全等級保護(hù)、數(shù)據(jù)安全相關(guān)法律法規(guī)及標(biāo)準(zhǔn)規(guī)范要求。根據(jù)數(shù)據(jù)級別采取相應(yīng)的管理措施和技術(shù)手段對數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀等環(huán)節(jié)進(jìn)行有針對性的保護(hù)，個人信息、敏感數(shù)據(jù)和重要數(shù)據(jù)要加強(qiáng)安全管控措施。要求詳情見○○○○○○○○對數(shù)據(jù)采集的全過程應(yīng)進(jìn)行持續(xù)動態(tài)跟蹤，必要時采取○○○○○敏感級數(shù)據(jù)原則上不對外傳輸，若因業(yè)務(wù)需要確需傳輸授權(quán)，并采取技術(shù)措施確保數(shù)據(jù)保密性，如采用加密算法○○○○○○○采取多因素認(rèn)證、固定處理終端、固定處理程序或工具、○○建立數(shù)據(jù)訪問、導(dǎo)出、加工、展示、委托處理、匯○○○○○○○○○○○○○○○受委托第三方開展盡職調(diào)查、數(shù)據(jù)安全影響評估