《電力交易數(shù)據(jù)安全分類分級管理規(guī)范》征求意見稿

1電力交易數(shù)據(jù)安全分類分級管理規(guī)范本文件規(guī)定了電力交易機構在保護電力交易數(shù)據(jù)時進行分類、分級及保護措施的管本文件適用于指導電力交易機構對電力交易數(shù)據(jù)進行安全保護，也可供網(wǎng)絡安全相關主管部門以及下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本GB/T35273--2020信息安全技術個人JR/T0158—2018證券期貨業(yè)數(shù)據(jù)分類分電力交易機構在開展電力交易過程中采集、傳輸、存儲、處理、交換、銷毀等環(huán)節(jié)，以電子或者其電力交易數(shù)據(jù)分類powertransactio根據(jù)電力交易數(shù)據(jù)具有的共同屬性或特征，將其按一定的原則和方法進行區(qū)分和歸類，以便于電力根據(jù)電力交易數(shù)據(jù)的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用后，對國家安全、經(jīng)濟運行、社會穩(wěn)定、相關行業(yè)、市場主體、交易機構等造成的危害程度，對電力交易數(shù)據(jù)進a)系統(tǒng)性原則：數(shù)據(jù)分類應基于對所有數(shù)據(jù)的考的分類體系，每一次劃分應有單一、明確的依據(jù)。數(shù)據(jù)類目的排列應依據(jù)內(nèi)在聯(lián)系，遵循概念邏輯，遵循最大效用原則，將全部類目系統(tǒng)地組織起2b)規(guī)范性原則：所使用的詞語或短語能確切表達數(shù)據(jù)類目的實際內(nèi)容范圍，內(nèi)表達相同的概念時，保證用語一致性；在不影響數(shù)據(jù)類目涵義表達的情況下，保證用語簡潔性。d)明確性原則：同一層級的數(shù)據(jù)類目間e)擴展性原則：在數(shù)據(jù)類目的設置或?qū)蛹壍膭漛)可執(zhí)行性原則：數(shù)據(jù)定級規(guī)則避免過于復雜c)時效性原則：數(shù)據(jù)安全級別具有一定d)差異性原則：應根據(jù)數(shù)據(jù)的類型、敏感程e)客觀性原則：數(shù)據(jù)定級規(guī)則是客觀且可校5.1建立數(shù)據(jù)分類分級組織保障a)應明確數(shù)據(jù)分類分級的決策機構和最高責任人。決策級工作的目標、內(nèi)容、標準規(guī)范等。決策機構的最高責任人對數(shù)據(jù)分類分級工作負全面b)應明確數(shù)據(jù)分類分級的牽頭部門。牽頭部門負責牽頭推動數(shù)據(jù)分負責按照決策機構議定的工作目標和要求開展數(shù)據(jù)分類分級工作，牽頭制定企業(yè)管理辦法、制度、流程、標準規(guī)范，協(xié)調(diào)解決分類分級工作中的問題，牽頭進行c)應明確數(shù)據(jù)分類分級的實施部門，實施部門負括：按照牽頭部門制定的制度、流程、規(guī)范等梳理本部門的數(shù)據(jù)資源，并提交給牽頭部施部門包括信息技術部門和交易中心各業(yè)務科室，業(yè)務科室包括市5.2建立數(shù)據(jù)分類分級制度保障b)數(shù)據(jù)分類分級的相關制度、規(guī)范、標準、工作流程等的制定牽頭部門應牽頭全面梳理企業(yè)內(nèi)部的所有數(shù)據(jù)資源，業(yè)務部門和技術部門配合數(shù)據(jù)梳理工作，梳理的內(nèi)容包括以物理或電子形式記錄的數(shù)據(jù)表、數(shù)據(jù)項、數(shù)據(jù)文件等，明確數(shù)據(jù)梳理的要求，包括數(shù)據(jù)內(nèi)容描述、數(shù)據(jù)量、保存位置、保存期限、數(shù)據(jù)處理情況（數(shù)據(jù)處理目的、數(shù)據(jù)處理所涉及的信息系統(tǒng)）、數(shù)據(jù)對外提供情況（共享轉(zhuǎn)讓、公開披露、數(shù)據(jù)出境）、數(shù)據(jù)生命周期各環(huán)節(jié)安全措施配套情況等內(nèi)容。3c)應明確業(yè)務節(jié)點的數(shù)據(jù)資源的訪問對象、訪應對每個部門的所有數(shù)據(jù)資源進行邏輯匯聚，對所有部門的數(shù)據(jù)集合，進行合并然后統(tǒng)一列表，形5.4建立數(shù)據(jù)資源目錄對每個部門的所有數(shù)據(jù)資源進行邏輯匯聚，對所有部門的數(shù)據(jù)集合，進行合并然后統(tǒng)一列表，形成5.5對數(shù)據(jù)資源分類根據(jù)電力交易數(shù)據(jù)自身管理特點，按照樹形結構，建立數(shù)據(jù)資源分類目錄樹。并將整理后的數(shù)據(jù)資源列表對應到目錄樹，確定數(shù)據(jù)資源列表中每個數(shù)據(jù)項在目錄樹中所在的位置，即確定該數(shù)據(jù)項的數(shù)據(jù)5.6對數(shù)據(jù)資源分級根據(jù)電力交易數(shù)據(jù)重要程度和敏感程度，確定數(shù)據(jù)資源的安5.7數(shù)據(jù)分類分級標識5.8建立數(shù)據(jù)分類分級清單應根據(jù)數(shù)據(jù)分類分級情況對數(shù)據(jù)資源進行分類分級標識后，輸出企業(yè)的數(shù)據(jù)分類分級清單。清單內(nèi)容至少包括所屬部門、所在系統(tǒng)、數(shù)據(jù)類型、安全等級、內(nèi)容描述、數(shù)據(jù)量、保存位置、保存期限、數(shù)據(jù)處理情況（數(shù)據(jù)處理目的、數(shù)據(jù)處理所涉及的信息系統(tǒng)）、數(shù)據(jù)對外提供情況（共享轉(zhuǎn)讓、公開披露、數(shù)據(jù)出境）、數(shù)據(jù)生命周期各環(huán)節(jié)安全措施配套情況等。且應建設必要的網(wǎng)絡數(shù)據(jù)資源清單管理技術手段，確保網(wǎng)絡數(shù)據(jù)資源清單內(nèi)容覆蓋全面、信息真實數(shù)據(jù)分類以GB/T10113中的線分類法b)收集機構內(nèi)所有部門的數(shù)據(jù)資源，包含以物理或電子形式記錄的數(shù)據(jù)表、數(shù)據(jù)項、數(shù)據(jù)文件等；），d)按照大類內(nèi)部的數(shù)據(jù)隸屬邏輯關系，將每個大類的數(shù)據(jù)分為若干層級，每個層級分為若干子類。所有數(shù)據(jù)類及數(shù)據(jù)子類構成數(shù)據(jù)資源目錄樹，同一分支的同層級子類之間構成并列關系，不同層級子類之間構成隸屬關系。目錄樹的所有葉子節(jié)點是最小數(shù)據(jù)類。最小數(shù)據(jù)類是指屬性（或特征）相同或4破壞后可能影響的對象，包括相關行業(yè)、市場主體、交易b)步驟二：確定影響范圍。確定該類數(shù)據(jù)安全屬性（完整性c)步驟三：確定影響程度。確定該類數(shù)據(jù)安5無d)步驟四：綜合上述三要素，對數(shù)據(jù)定級。密性、可用性）遭到破壞后的影響對象、影響范圍、影響程度，對數(shù)據(jù)進行定級如下：一般是“嚴重”后數(shù)據(jù)損失后,影響范圍中等(一般局限在后數(shù)據(jù)損失后,影響范圍較小(一般局限在本機程度一般是“輕微”或“無”構無根據(jù)數(shù)據(jù)資源的分類分級情況，在數(shù)據(jù)生命周期的各個環(huán)節(jié)配套差異化的安全保護措施，a)根據(jù)數(shù)據(jù)分類分級管理制度對數(shù)據(jù)進行分類分級標識（如第3級數(shù)據(jù)），標記應細化至數(shù)據(jù)庫表的字段全控制等級為最高安全等級。b)原則上未經(jīng)過脫敏處理的數(shù)據(jù)不可降級使用。若確有需6c)數(shù)據(jù)傳輸過程中，若涉及高安全級別數(shù)據(jù)），d)在使用數(shù)據(jù)或披露前，涉及高安全級別數(shù)據(jù)的，數(shù)據(jù)安全保護要求對數(shù)據(jù)全生命周期的安全保護要求作出了具體要求，詳見附7市場主體企業(yè)注冊在申請過程中使用的基礎從業(yè)人員姓名、性別、工作單位、出生年月、證職業(yè)、職務、職稱、學歷、專業(yè)技術、從業(yè)年限、職指存放的交易規(guī)則數(shù)據(jù)，包括規(guī)則名稱、規(guī)則編指存放合同管理的基礎數(shù)據(jù)，包括合同類型、指計劃編制中用到的數(shù)據(jù)，包括計劃單元狀態(tài)指結算相關參數(shù)數(shù)據(jù)，包括計量表計的關口全稱識、電廠電量偏差配置、結算單配置、零售目標曲等指電能結算結果數(shù)據(jù)，包括月結算單、電費結算指交易業(yè)務在合規(guī)監(jiān)視產(chǎn)生的數(shù)據(jù)，包括流程標指評價市場主體信用數(shù)據(jù)，包括信用等級、判定料、欠費金額、違約金額、評價得分、信用指電力市場發(fā)布的市場運營數(shù)據(jù)，包括業(yè)務場景、指系統(tǒng)平臺正常運行需要配置的數(shù)據(jù)，包括版本8指為市場主體提供服務產(chǎn)生的數(shù)據(jù)，包括投訴建指電力系統(tǒng)在發(fā)電、輸電、配電過程中產(chǎn)生的各指使用計量器具經(jīng)檢測而出具的客戶數(shù)據(jù)，包括921業(yè)年限、職稱證書編號等可以精確標識從業(yè)人員的信息;233233122布2布11213等3電力交易數(shù)據(jù)安全保護應遵循國家監(jiān)管部門和行業(yè)部門指導和監(jiān)管的原則，落實數(shù)據(jù)保護的主體責任和監(jiān)管職責。應遵循國家網(wǎng)絡安全等級保護、數(shù)據(jù)安全相關法律法規(guī)及標準規(guī)范要求。根據(jù)數(shù)據(jù)級別采取相應的管理措施和技術手段對數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀等環(huán)節(jié)進行有針對性的保護，個人信息、敏感數(shù)據(jù)和重要數(shù)據(jù)要加強安全管控措施。要求詳情見○○○○○○○○對數(shù)據(jù)采集的全過程應進行持續(xù)動態(tài)跟蹤，必要時采取○○○○○敏感級數(shù)據(jù)原則上不對外傳輸，若因業(yè)務需要確需傳輸授權，并采取技術措施確保數(shù)據(jù)保密性，如采用加密算法○○○○○○○采取多因素認證、固定處理終端、固定處理程序或工具、○○建立數(shù)據(jù)訪問、導出、加工、展示、委托處理、匯○○○○○○○○○○○○○○○受委托第三方開展盡職調(diào)查、數(shù)據(jù)安全影響評估