TCSEIA1006-2023能源工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全管理規(guī)范

ICS35.110

CCSF10T/CSEIA

中關(guān)村智慧能源產(chǎn)業(yè)聯(lián)盟團(tuán)體標(biāo)準(zhǔn)

T/CSEIA1006—2023

能源工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全管理規(guī)范

Energyindustryinternetplatform-datasecuritymanagementspecification

學(xué)兔兔標(biāo)準(zhǔn)下載

2023-9-22發(fā)布2023-10-22實(shí)施

中關(guān)村智慧能源產(chǎn)業(yè)聯(lián)盟發(fā)布

T/CSEIA1006—2023

前??言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。

本文件由中關(guān)村智慧能源產(chǎn)業(yè)聯(lián)盟提出。

本文件由中關(guān)村智慧能源產(chǎn)業(yè)聯(lián)盟標(biāo)準(zhǔn)化專(zhuān)業(yè)委員會(huì)歸口。

本文件起草單位：中能融合智慧科技有限公司、北京能源工業(yè)互聯(lián)網(wǎng)研究院有限公司、中國(guó)核工業(yè)

集團(tuán)有限公司、遠(yuǎn)景能源有限公司、中電投新疆能源化工集團(tuán)五彩灣發(fā)電有限責(zé)任公司、清華大學(xué)、北

京計(jì)算機(jī)技術(shù)及應(yīng)用研究所、國(guó)網(wǎng)綜合能源服務(wù)集團(tuán)有限公司、北京科技大學(xué)、中關(guān)村國(guó)標(biāo)節(jié)能低碳技

術(shù)研究院、中關(guān)村智慧能源產(chǎn)業(yè)聯(lián)盟、中國(guó)標(biāo)準(zhǔn)化研究院、北京市標(biāo)準(zhǔn)化研究院。

本文件主要起草人：劉長(zhǎng)川、李巍、潘崇超、高漢軍、仇永興、朱金慶、郝哲、李娜、苗韌、馮剛、

程歆、楊旭升、康通博、才寬、郭東旭、孫文峰、王雁河、王冠雄、周杰、曹龍。

本文件首次發(fā)布。

本文件在執(zhí)行過(guò)程中的意見(jiàn)或建議反饋至中關(guān)村智慧能源產(chǎn)業(yè)聯(lián)盟。

學(xué)兔兔標(biāo)準(zhǔn)下載

III

T/CSEIA1006—2023

能源工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全管理規(guī)范

1范圍

本文件規(guī)定了能源工業(yè)互聯(lián)網(wǎng)平臺(tái)的數(shù)據(jù)安全管理總則、基本要求、基本內(nèi)容、數(shù)據(jù)安全采集、數(shù)

據(jù)安全傳輸、數(shù)據(jù)安全存儲(chǔ)、數(shù)據(jù)安全處理、數(shù)據(jù)安全交換、數(shù)據(jù)安全銷(xiāo)毀。

本文件適用于能源工業(yè)互聯(lián)網(wǎng)平臺(tái)的數(shù)據(jù)安全管理。

2規(guī)范性引用文件

本文件沒(méi)有規(guī)范性引用文件。

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

數(shù)據(jù)安全datasecurity

通過(guò)管理和技術(shù)措施，確保數(shù)據(jù)處于有效保護(hù)和合規(guī)使用的狀態(tài)。

3.2

數(shù)據(jù)安全管理體系datasecuritymanagementsystems

涵蓋數(shù)據(jù)處理全過(guò)程、以保護(hù)數(shù)據(jù)的保密性、完整性、可用性、可審計(jì)性為目標(biāo)的管理體系。

4總則

4.1安全管理目標(biāo)

對(duì)能源工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全管理設(shè)置安全管理團(tuán)隊(duì)，建立安全管理制度，采用相關(guān)數(shù)據(jù)安全管

理的技術(shù)、產(chǎn)品、系統(tǒng)或工具，落實(shí)數(shù)據(jù)安全管理目標(biāo)，保證數(shù)據(jù)的保密性、完整性、可用性、可審計(jì)

性。

4.2安全管理主體

根據(jù)能源工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)的規(guī)模、重要性等因素，明確數(shù)據(jù)全生命周期各階段的實(shí)施主體及其

數(shù)據(jù)安全責(zé)任，建立相應(yīng)的數(shù)據(jù)安全管理團(tuán)隊(duì)，明確不同角色的數(shù)據(jù)安全管理職責(zé)。

4.3安全管理責(zé)任

安全管理責(zé)任應(yīng)包括：

學(xué)兔兔a)集和數(shù)據(jù)流安全；標(biāo)準(zhǔn)下載

b)正確處理個(gè)人信息、重要信息；

c)實(shí)施合理的跨數(shù)據(jù)域保留策略；

d)執(zhí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)要求；

e)遵守能源行業(yè)數(shù)據(jù)安全監(jiān)管要求，并履行義務(wù)。

4.4安全管理技術(shù)

1

學(xué)兔兔標(biāo)準(zhǔn)下載

T/CSEIA1006—2023

針對(duì)能源工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)，在數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)共享、數(shù)據(jù)銷(xiāo)

毀全生命周期各階段，為確保數(shù)據(jù)的保密性、完整性、可用性、可審計(jì)性，應(yīng)采用相關(guān)數(shù)據(jù)安全管理的

技術(shù)、產(chǎn)品、系統(tǒng)或工具等措施，包括但不限于網(wǎng)絡(luò)通信加密、網(wǎng)絡(luò)隔離、數(shù)據(jù)機(jī)密、數(shù)據(jù)脫敏、數(shù)據(jù)

水印、數(shù)據(jù)審計(jì)等技術(shù)領(lǐng)域。

5數(shù)據(jù)安全管理基本要求

5.1數(shù)據(jù)最小化

應(yīng)減少能源工業(yè)互聯(lián)網(wǎng)平臺(tái)的數(shù)據(jù)收集、使用和存儲(chǔ)活動(dòng),以降低數(shù)據(jù)泄露和濫用的風(fēng)險(xiǎn)。

5.2責(zé)任不轉(zhuǎn)移

在能源工業(yè)互聯(lián)網(wǎng)平臺(tái)業(yè)務(wù)域中，責(zé)任不轉(zhuǎn)移的要求包括：

a)當(dāng)前控制數(shù)據(jù)方應(yīng)對(duì)數(shù)據(jù)負(fù)責(zé)，當(dāng)數(shù)據(jù)轉(zhuǎn)移給其他數(shù)據(jù)方時(shí)，數(shù)據(jù)安全責(zé)任不應(yīng)隨數(shù)據(jù)轉(zhuǎn)移而

轉(zhuǎn)移，對(duì)數(shù)據(jù)轉(zhuǎn)移引發(fā)的數(shù)據(jù)安全事件應(yīng)承擔(dān)安全責(zé)任；

b)數(shù)據(jù)轉(zhuǎn)移前，應(yīng)對(duì)數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)評(píng)估，確保數(shù)據(jù)轉(zhuǎn)移后的風(fēng)險(xiǎn)可承受，方可轉(zhuǎn)移數(shù)據(jù)；

c)數(shù)據(jù)轉(zhuǎn)移前，應(yīng)確保通過(guò)合同或其他強(qiáng)制策略等明確界定接收方接收數(shù)據(jù)范圍和要求。

5.3權(quán)限最小化

在保證能源工業(yè)互聯(lián)網(wǎng)平臺(tái)業(yè)務(wù)功能完整實(shí)現(xiàn)的基礎(chǔ)上應(yīng)賦予數(shù)據(jù)活動(dòng)中各角色最小的操作權(quán)限；

所有角色應(yīng)只能使用授權(quán)范圍內(nèi)的數(shù)據(jù)，使用授權(quán)范圍之外的數(shù)據(jù)應(yīng)進(jìn)行申請(qǐng)和審批，根據(jù)審批結(jié)果授

權(quán)。

5.4分類(lèi)分級(jí)

能源工業(yè)互聯(lián)網(wǎng)平臺(tái)的分類(lèi)分級(jí)管理要求包括：

a)應(yīng)對(duì)數(shù)據(jù)分類(lèi)分級(jí)管理對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行監(jiān)控和管理，負(fù)責(zé)數(shù)據(jù)系統(tǒng)安全配置管理以及其他

管理活動(dòng)；

b)應(yīng)建立下列數(shù)據(jù)安全分類(lèi)分級(jí)規(guī)則：

1)針對(duì)不同類(lèi)別和級(jí)別的數(shù)據(jù)建立安全管理策略與保障措施；

2)制定數(shù)據(jù)采集規(guī)范，數(shù)據(jù)清洗、轉(zhuǎn)換和加載操作安全管理規(guī)范；

3)個(gè)人信息和重要數(shù)據(jù)等數(shù)據(jù)的清洗、轉(zhuǎn)換與加載過(guò)程中的數(shù)據(jù)還原和恢復(fù)規(guī)范；

4)數(shù)據(jù)采集質(zhì)量管理控制策略和規(guī)范；數(shù)據(jù)資產(chǎn)類(lèi)別與級(jí)別的建立及變更審核流程；

5)數(shù)據(jù)采集的風(fēng)險(xiǎn)評(píng)估流程。

c)應(yīng)根據(jù)數(shù)據(jù)安全策略建立數(shù)據(jù)安全管理計(jì)劃；

d)應(yīng)制定數(shù)據(jù)安全管理規(guī)范與實(shí)施方案；

e)應(yīng)建立數(shù)據(jù)安全的實(shí)施、運(yùn)營(yíng)、評(píng)估和改進(jìn)過(guò)程；

f)應(yīng)建立數(shù)據(jù)安全相關(guān)的內(nèi)、外部間關(guān)系和聯(lián)系；

學(xué)兔兔g)應(yīng)進(jìn)行數(shù)據(jù)安全意識(shí)和技能教育和培訓(xùn)；標(biāo)準(zhǔn)下載

h)應(yīng)提供數(shù)據(jù)安全保護(hù)技術(shù)及相關(guān)支持；

i)應(yīng)測(cè)試數(shù)據(jù)安全管理方案的有效性。

5.5可審計(jì)

應(yīng)記錄對(duì)能源工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)的修改、查詢(xún)、導(dǎo)出、刪除等操作，記錄應(yīng)可追溯和審計(jì)。

2

T/CSEIA1006—2023

6數(shù)據(jù)安全管理基本內(nèi)容

能源工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全基礎(chǔ)管理應(yīng)包括下列內(nèi)容：

a)數(shù)據(jù)資產(chǎn)管理：應(yīng)包括數(shù)據(jù)資產(chǎn)識(shí)別、錄入、管理；數(shù)據(jù)資產(chǎn)分類(lèi)分級(jí)標(biāo)識(shí)；

b)工單審批管理：應(yīng)包括覆蓋數(shù)據(jù)全生命周期和業(yè)務(wù)場(chǎng)景的工單申請(qǐng)、審批、流轉(zhuǎn)跟蹤等；根據(jù)

申請(qǐng)內(nèi)容，與其他業(yè)務(wù)形成聯(lián)動(dòng)管理機(jī)制；

c)合規(guī)管理：應(yīng)包括法律法規(guī)、行業(yè)監(jiān)管規(guī)范、企業(yè)合規(guī)要求等的文件管理；合規(guī)風(fēng)險(xiǎn)庫(kù)管理；

覆蓋數(shù)據(jù)全生命周期和業(yè)務(wù)場(chǎng)景的合規(guī)評(píng)審計(jì)劃、記錄、報(bào)告、整改的管理等；

d)合作方管理：應(yīng)包括合作方錄入、刪除、更新等；合作商機(jī)評(píng)審管理；合作方安全評(píng)估計(jì)劃、

記錄、報(bào)告等的管理；

e)監(jiān)控審計(jì)：應(yīng)包括覆蓋全部業(yè)務(wù)場(chǎng)景、系統(tǒng)、平臺(tái)的數(shù)據(jù)流動(dòng)及人員操作監(jiān)控及審計(jì)；監(jiān)控點(diǎn)

及監(jiān)控閾值管理；風(fēng)險(xiǎn)告警策略的配置管理；

f)日志管理：應(yīng)覆蓋數(shù)據(jù)全生命周期和業(yè)務(wù)場(chǎng)景的數(shù)據(jù)處理日志收集、記錄等；全部數(shù)據(jù)訪(fǎng)問(wèn)者

的操作日志收集、記錄；日志監(jiān)控與分析；

g)賬號(hào)及權(quán)限管理：應(yīng)包括賬號(hào)申請(qǐng)、分配、回收等的管理；權(quán)限申請(qǐng)、分配、變更、回收等的

管理；涉敏/超級(jí)賬號(hào)的統(tǒng)一管理；

h)需求管理：應(yīng)包括業(yè)務(wù)數(shù)據(jù)安全需求申請(qǐng)、分析及安全方案管理；

i)風(fēng)險(xiǎn)管理：應(yīng)覆蓋數(shù)據(jù)全生命周期和業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全風(fēng)險(xiǎn)登記、評(píng)估、更新；與以上風(fēng)險(xiǎn)

相對(duì)應(yīng)的防控措施記錄及更新；

j)數(shù)據(jù)安全事件管理：應(yīng)包括數(shù)據(jù)安全事件登記、應(yīng)急處置記錄；數(shù)據(jù)安全事件宣導(dǎo)管理等。

7數(shù)據(jù)安全采集

7.1內(nèi)容

能源工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全采集關(guān)鍵活動(dòng)，應(yīng)包括下列內(nèi)容：

a)采集數(shù)據(jù)目的和用途的定義，數(shù)據(jù)采集源、采集范圍、采集頻度；

b)數(shù)據(jù)采集環(huán)境、采集設(shè)施和采集技術(shù)的安全管控；

c)數(shù)據(jù)采集過(guò)程中個(gè)人信息和重要數(shù)據(jù)等敏感數(shù)據(jù)的保密性保障；

d)采集數(shù)據(jù)的完整性和一致性校驗(yàn)；

e)數(shù)據(jù)清洗、轉(zhuǎn)換和加載過(guò)程中個(gè)人信息、重要數(shù)據(jù)等敏感數(shù)據(jù)處理過(guò)程記錄與保存；

f)數(shù)據(jù)采集過(guò)程中的質(zhì)量監(jiān)控；

g)數(shù)據(jù)按能源行業(yè)要求進(jìn)行分類(lèi)分級(jí)；

h)數(shù)據(jù)分別在生產(chǎn)區(qū)、管理區(qū)進(jìn)行采集。

7.2要求

針對(duì)數(shù)據(jù)安全采集活動(dòng)，應(yīng)編制數(shù)據(jù)采集格式、數(shù)據(jù)標(biāo)簽、數(shù)據(jù)審查校驗(yàn)等技術(shù)要求及規(guī)范，包括

學(xué)兔兔數(shù)據(jù)清洗比對(duì)、數(shù)據(jù)質(zhì)量監(jiān)控等。標(biāo)準(zhǔn)下載

7.3方法

數(shù)據(jù)安全采集應(yīng)采用下列相關(guān)技術(shù)、產(chǎn)品、系統(tǒng)或工具，保證數(shù)據(jù)采集過(guò)程的安全性：

a)數(shù)據(jù)安全分類(lèi)分級(jí)安全標(biāo)識(shí)工具；

b)記錄數(shù)據(jù)分類(lèi)分級(jí)操作、變更過(guò)程日志；

3

學(xué)兔兔標(biāo)準(zhǔn)下載

T/CSEIA1006—2023

c)在線(xiàn)數(shù)據(jù)采集過(guò)程日志；

d)在線(xiàn)數(shù)據(jù)監(jiān)控工具；

e)數(shù)據(jù)清洗、轉(zhuǎn)換和加載工具。

8數(shù)據(jù)安全傳輸

8.1內(nèi)容

能源工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全傳輸關(guān)鍵活動(dòng)，應(yīng)包括下列內(nèi)容：

a)應(yīng)控制技術(shù)方案制定與實(shí)施；

b)構(gòu)建傳輸通道前應(yīng)對(duì)通信雙方身份鑒別和認(rèn)證；

c)應(yīng)對(duì)傳輸數(shù)據(jù)完整性驗(yàn)證及相應(yīng)恢復(fù)控制；

d)應(yīng)對(duì)數(shù)據(jù)傳輸安全策略變更審核和監(jiān)控。

8.2要求

針對(duì)數(shù)據(jù)安全傳輸活動(dòng)，應(yīng)滿(mǎn)足下列要求：

a)數(shù)據(jù)傳輸應(yīng)編制規(guī)范數(shù)據(jù)傳輸過(guò)程中標(biāo)準(zhǔn)化的功能架構(gòu)、安全協(xié)議及安全技術(shù)要求，內(nèi)容應(yīng)包

括數(shù)據(jù)傳輸完整性保護(hù)、數(shù)據(jù)加密傳輸?shù)龋?/p>

b)針對(duì)安全域內(nèi)、安全域間等不同的數(shù)據(jù)服務(wù)，應(yīng)建立相關(guān)數(shù)據(jù)傳輸場(chǎng)景的數(shù)據(jù)傳輸安全策略和

規(guī)程；

c)應(yīng)包括不同類(lèi)型、級(jí)別數(shù)據(jù)的傳輸安全管理要求，以及數(shù)據(jù)傳輸接口安全管理工作規(guī)范。

8.3方法

數(shù)據(jù)安全傳輸應(yīng)采用下列相關(guān)技術(shù)、產(chǎn)品、系統(tǒng)或工具，保證數(shù)據(jù)傳輸過(guò)程的安全性：

a)不同安全區(qū)與能源工業(yè)互聯(lián)網(wǎng)平臺(tái)進(jìn)行數(shù)據(jù)傳輸時(shí)，應(yīng)采用數(shù)據(jù)通信專(zhuān)用網(wǎng)關(guān)；

b)支持國(guó)密算法的加密認(rèn)證設(shè)備；

c)雙向身份認(rèn)證工具；

d)傳輸數(shù)據(jù)完整性驗(yàn)證及恢復(fù)控制工具；

e)數(shù)據(jù)傳輸安全保護(hù)措施審核監(jiān)控工具。

9數(shù)據(jù)安全存儲(chǔ)

9.1內(nèi)容

能源工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全存儲(chǔ)關(guān)鍵活動(dòng)，應(yīng)包括下列內(nèi)容：

a)構(gòu)建開(kāi)放可伸縮數(shù)據(jù)存儲(chǔ)架構(gòu)；

b)數(shù)據(jù)存儲(chǔ)完整性、多副本一致性檢測(cè)與恢復(fù)；

c)構(gòu)建數(shù)據(jù)存儲(chǔ)跨地域容災(zāi)能力；

學(xué)兔兔d)數(shù)據(jù)邏輯存儲(chǔ)多租戶(hù)隔離及授權(quán)管理；標(biāo)準(zhǔn)下載

e)數(shù)據(jù)邏輯存儲(chǔ)分層和分級(jí)保護(hù)；

f)數(shù)據(jù)訪(fǎng)問(wèn)審計(jì)信息存儲(chǔ)保護(hù)和管控；

g)面向數(shù)據(jù)應(yīng)用訪(fǎng)問(wèn)控制；

h)數(shù)據(jù)存儲(chǔ)安全主動(dòng)防御；

i)數(shù)據(jù)冗余強(qiáng)一致性、弱一致性等控制；

4

T/CSEIA1006—2023

j)在線(xiàn)/離線(xiàn)的多級(jí)數(shù)據(jù)歸檔架構(gòu)及歸檔數(shù)據(jù)安全管理。

9.2要求

針對(duì)數(shù)據(jù)安全存儲(chǔ)活動(dòng)，應(yīng)滿(mǎn)足下列要求：

a)數(shù)據(jù)存儲(chǔ)應(yīng)編制規(guī)范存儲(chǔ)平臺(tái)安全機(jī)制、數(shù)據(jù)安全存儲(chǔ)方法、安全審計(jì)、安全防護(hù)技術(shù)等的標(biāo)

準(zhǔn)化文件和技術(shù)要求，內(nèi)容應(yīng)包括數(shù)據(jù)庫(kù)安全、數(shù)據(jù)安全審計(jì)、數(shù)據(jù)防泄漏等；

b)應(yīng)根據(jù)數(shù)據(jù)存儲(chǔ)架構(gòu)構(gòu)建安全策略，數(shù)據(jù)存儲(chǔ)設(shè)備運(yùn)行維護(hù)操作規(guī)程；

c)應(yīng)制定不同類(lèi)型、級(jí)別數(shù)據(jù)的加密存儲(chǔ)規(guī)則，以及數(shù)據(jù)存儲(chǔ)系統(tǒng)安全管理要求；

d)應(yīng)制定數(shù)據(jù)存儲(chǔ)冗余策略和管理制度，以及數(shù)據(jù)復(fù)制、備份與恢復(fù)的操作規(guī)程及定期檢查和更

新工作程序；

e)應(yīng)制定數(shù)據(jù)歸檔存儲(chǔ)制度及相應(yīng)安全審計(jì)與恢復(fù)制度，以及數(shù)據(jù)存儲(chǔ)時(shí)效性管理規(guī)則。

9.3方法

數(shù)據(jù)安全存儲(chǔ)應(yīng)采用下列相關(guān)技術(shù)、產(chǎn)品、系統(tǒng)或工具，保證數(shù)據(jù)存儲(chǔ)過(guò)程的安全性：

a)數(shù)據(jù)加密存儲(chǔ)工具及密鑰管理；

b)數(shù)據(jù)存儲(chǔ)系統(tǒng)配置掃描工具；

c)終端安全解決方案；

d)存儲(chǔ)系統(tǒng)數(shù)據(jù)及下載監(jiān)測(cè)工具；

e)數(shù)據(jù)權(quán)限管理平臺(tái)；

f)分布式數(shù)據(jù)存儲(chǔ)訪(fǎng)問(wèn)安全審計(jì)工具；

g)數(shù)據(jù)復(fù)制備份、恢復(fù)的工具；

h)數(shù)據(jù)存儲(chǔ)時(shí)效性管理工具。

10數(shù)據(jù)安全處理

10.1內(nèi)容

能源工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全處理關(guān)鍵活動(dòng)，應(yīng)包括下列內(nèi)容：

a)分布式處理節(jié)點(diǎn)間的可信連接認(rèn)證；

b)分布式處理過(guò)程中數(shù)據(jù)文件鑒別和訪(fǎng)問(wèn)用戶(hù)身份認(rèn)證；

c)定期的用戶(hù)操作審計(jì)；

d)對(duì)數(shù)據(jù)分析結(jié)果掃描并采取阻斷措施；

e)關(guān)鍵系統(tǒng)的多因素身份認(rèn)證；用戶(hù)和數(shù)據(jù)資源權(quán)限管理；

f)對(duì)數(shù)據(jù)權(quán)限的細(xì)粒度的訪(fǎng)問(wèn)控制；

g)基于溯源數(shù)據(jù)的數(shù)據(jù)業(yè)務(wù)與法律法規(guī)合規(guī)性審核；

h)對(duì)溯源數(shù)據(jù)的授權(quán)訪(fǎng)問(wèn)、備份和校驗(yàn)。

學(xué)兔兔10.2要求標(biāo)準(zhǔn)下載

針對(duì)數(shù)據(jù)安全處理活動(dòng)，應(yīng)滿(mǎn)足下列要求：

a)數(shù)據(jù)處理應(yīng)規(guī)范敏感數(shù)據(jù)、個(gè)人信息保護(hù)機(jī)制及技術(shù)要求，應(yīng)明確敏感數(shù)據(jù)保護(hù)場(chǎng)景、規(guī)則、

技術(shù)方法，應(yīng)包括匿名化/去標(biāo)識(shí)化、數(shù)據(jù)脫敏、異常行為識(shí)別等；

b)應(yīng)建立數(shù)據(jù)使用正當(dāng)性制度；數(shù)據(jù)資源操作規(guī)范及權(quán)限管理制度；數(shù)據(jù)分析結(jié)果輸出和使用安

全審查、合規(guī)風(fēng)險(xiǎn)評(píng)估和授權(quán)流程；不同類(lèi)型、級(jí)別數(shù)據(jù)加密規(guī)則；數(shù)據(jù)脫敏規(guī)范；數(shù)據(jù)溯源

5

學(xué)兔兔標(biāo)準(zhǔn)下載

T/CSEIA1006—2023

策略和管理制度。

10.3方法

數(shù)據(jù)安全處理應(yīng)采用下列相關(guān)技術(shù)、產(chǎn)品、系統(tǒng)或工具，保證數(shù)據(jù)處理過(guò)程的安全性：

a)個(gè)人數(shù)據(jù)執(zhí)行去標(biāo)識(shí)化處理工具；

b)個(gè)人身份信息、重要或敏感數(shù)據(jù)的操作行為日志；

c)數(shù)據(jù)分析過(guò)程的安全風(fēng)險(xiǎn)監(jiān)控平臺(tái)；

d)身份及訪(fǎng)問(wèn)管理平臺(tái)；

e)完整記錄數(shù)據(jù)使用過(guò)程的操作日志；

f)數(shù)據(jù)加密工具；

g)數(shù)據(jù)脫敏工具。

11數(shù)據(jù)安全交換

11.1內(nèi)容

能源工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全交換關(guān)鍵活動(dòng)，應(yīng)包括下列內(nèi)容：

a)數(shù)據(jù)導(dǎo)入導(dǎo)出終端、用戶(hù)或服務(wù)組件的訪(fǎng)問(wèn)控制；

b)關(guān)鍵敏感數(shù)據(jù)導(dǎo)入導(dǎo)出過(guò)程的數(shù)據(jù)加密；

c)數(shù)據(jù)導(dǎo)入導(dǎo)出操作人員的多因素身份鑒別；

d)數(shù)據(jù)導(dǎo)入導(dǎo)出接口的流量過(guò)載監(jiān)控；數(shù)據(jù)共享審計(jì)；

e)數(shù)據(jù)共享安全性評(píng)估；

f)對(duì)數(shù)據(jù)接收方的安全防護(hù)能力評(píng)估；

g)對(duì)數(shù)據(jù)交換雙方的身份鑒別；

h)保障數(shù)據(jù)交換的保密性、完整性和可用性的數(shù)據(jù)加密、安全通道、訪(fǎng)問(wèn)控制等技術(shù)措施；

i)對(duì)公開(kāi)發(fā)布的數(shù)據(jù)資源的定期審查；

j)定期對(duì)數(shù)據(jù)交換行為審計(jì)。

11.2要求

針對(duì)數(shù)據(jù)安全交換活動(dòng)，應(yīng)滿(mǎn)足下列要求：

a)數(shù)據(jù)交換應(yīng)規(guī)范數(shù)據(jù)安全交換模型、角色權(quán)責(zé)定義、安全管控技術(shù)框架，并應(yīng)明確數(shù)據(jù)溯源模

型、過(guò)程和方法，應(yīng)支撐包括數(shù)據(jù)交易在內(nèi)的各場(chǎng)景下的數(shù)據(jù)安全共享、審計(jì)和監(jiān)管，應(yīng)包括

安全多方計(jì)算、同態(tài)加密、接口安全、數(shù)據(jù)溯源等；

b)應(yīng)建立數(shù)據(jù)導(dǎo)入導(dǎo)出的安全要求及相應(yīng)安全審核和授權(quán)流程；數(shù)據(jù)共享原則、數(shù)據(jù)保護(hù)措施及

相應(yīng)的審核流程；數(shù)據(jù)資源公開(kāi)發(fā)布審核制度與流程；數(shù)據(jù)資源公開(kāi)事件應(yīng)急處理流程；數(shù)據(jù)

交換風(fēng)險(xiǎn)行為識(shí)別和評(píng)估規(guī)則。

學(xué)兔兔11.3方法標(biāo)準(zhǔn)下載

數(shù)據(jù)安全交換應(yīng)采用下列相關(guān)技術(shù)、產(chǎn)品、系統(tǒng)或工具，保證數(shù)據(jù)交換過(guò)程的安全性：

a)數(shù)據(jù)導(dǎo)入導(dǎo)出流程在線(xiàn)審核平臺(tái)；

b)數(shù)據(jù)導(dǎo)入導(dǎo)出日志；

c)數(shù)據(jù)共享流程在線(xiàn)審核平臺(tái)；

d)數(shù)據(jù)資源公開(kāi)數(shù)據(jù)庫(kù)；

6

T/CSEIA1006—2023

e)數(shù)據(jù)資源公開(kāi)事件應(yīng)急處理平臺(tái)；

f)數(shù)據(jù)交換監(jiān)控平臺(tái)。

12數(shù)據(jù)安全銷(xiāo)毀

12.1內(nèi)容

數(shù)據(jù)安全銷(xiāo)毀關(guān)鍵活動(dòng)，應(yīng)包括下列內(nèi)容：

a)針對(duì)網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)的硬銷(xiāo)毀或軟銷(xiāo)毀；

b)針對(duì)閃存、硬盤(pán)、磁帶、光盤(pán)等存儲(chǔ)數(shù)據(jù)的硬銷(xiāo)毀或軟銷(xiāo)毀；

c)基于安全策略、分布式雜湊算法等網(wǎng)絡(luò)數(shù)據(jù)分布式存儲(chǔ)的銷(xiāo)毀；

d)數(shù)據(jù)銷(xiāo)毀過(guò)程監(jiān)控與效果認(rèn)定。

12.2要求

針對(duì)數(shù)據(jù)安全銷(xiāo)毀活動(dòng)，應(yīng)滿(mǎn)足下列要求：

a)應(yīng)建立并明確數(shù)據(jù)存儲(chǔ)介質(zhì)的訪(fǎng)問(wèn)和使用管理制度，包括存儲(chǔ)介質(zhì)的購(gòu)買(mǎi)、獲取、標(biāo)記、檢查

規(guī)范流程；數(shù)據(jù)銷(xiāo)毀流程；存儲(chǔ)介質(zhì)銷(xiāo)毀流程、數(shù)據(jù)銷(xiāo)毀效果評(píng)估流程。

b)應(yīng)明確數(shù)據(jù)銷(xiāo)毀的安全機(jī)制和技術(shù)要求，確保數(shù)據(jù)能被永久刪除、不可恢復(fù)。

12.3方法

數(shù)據(jù)安全銷(xiāo)毀應(yīng)采用下列相關(guān)技術(shù)、產(chǎn)品、系統(tǒng)或工具，保證數(shù)據(jù)銷(xiāo)毀過(guò)程的安全性：

a)存儲(chǔ)介質(zhì)凈化處理工具；

b)介質(zhì)管理系統(tǒng)；

c)數(shù)據(jù)銷(xiāo)毀工具。

學(xué)兔兔標(biāo)準(zhǔn)下載

_________________________________

7

學(xué)兔兔標(biāo)準(zhǔn)下載

T/CSEIA1006—2023

目??次

前言...................................................................................................................................................................III

1范圍.................................................................................................................................................................1

2規(guī)范性引用文件.............................................................................................................................................1

3術(shù)語(yǔ)和定義.......................................................................................................................................................1

4總則.................................................................................................................................................................1

4.1安全管理目標(biāo).........................................................................................................................................1

4.2安全管理主體.........................................................................................................................................1

4.3安全管理責(zé)任.........................................................................................................................................1

4.4安全管理技術(shù).........................................................................................................................................1

5數(shù)據(jù)安全管理基本要求.................................................................................................................................2

5.1數(shù)據(jù)最小化.............................................................................................................................................2

5.2責(zé)任不轉(zhuǎn)移.............................................................................................................................................2

5.3權(quán)限最小化.............................................................................................................................................2

5.4分類(lèi)分級(jí).................................................................................................................................................2

5.5可審計(jì).....................................................................................................................................................2

6數(shù)據(jù)安全管理基本內(nèi)容.................................................................................................................................3

7數(shù)據(jù)安全采集.................................................................................................................................................3

7.1內(nèi)容.........................................................................................................................................................3

7.2要求.........................................................................................................................................................3

7.3方法.........................................................................................................................................................3

8數(shù)據(jù)安全傳輸.................................................................................................................................................4

8.1內(nèi)容.........................................................................................................................................................4

8.2要求.........................................................................................................................................................4

8.3方法.........................................................................................................................................................4

9數(shù)據(jù)安全存儲(chǔ).................................................................................................................................................4

9.1內(nèi)容.........................................................................................................................................................4

9.2要求.........................................................................................................................................................5

9.3方法.........................................................................................................................................................5

10數(shù)據(jù)安全處理...............................................................................................................................................5

10.1內(nèi)容.......................................................................................................................................................5

10.2要求.......................................................................................................................................................5

學(xué)兔兔10.3方法........................................................................................................標(biāo)準(zhǔn)下載...............................................6

11數(shù)據(jù)安全交換...............................................................................................................................................6

11.1內(nèi)容.......................................................................................................................................................6

11.2要求.......................................................................................................................................................6

11.3方法.......................................................................................................................................................6

12數(shù)據(jù)安全銷(xiāo)毀...............................................................................................................................................7

I

T/CSEIA1006—2023

12.1內(nèi)容.......................................................................................................................................................7

12.2要求.......................................................................................................................................................7

12.3方法.......................................................................................................................................................7

學(xué)兔兔標(biāo)準(zhǔn)下載

II

學(xué)兔兔標(biāo)準(zhǔn)下載

T/CSEIA1006—2023

能源工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全管理規(guī)范

1范圍

本文件規(guī)定了能源工業(yè)互聯(lián)網(wǎng)平臺(tái)的數(shù)據(jù)安全管理總則、基本要求、基本內(nèi)容、數(shù)據(jù)安全采集、數(shù)

據(jù)安全傳輸、數(shù)據(jù)安全存儲(chǔ)、數(shù)據(jù)安全處理、數(shù)據(jù)安全交換、數(shù)據(jù)安全銷(xiāo)毀。

本文件適用于能源工業(yè)互聯(lián)網(wǎng)平臺(tái)的數(shù)據(jù)安全管理。

2規(guī)范性引用文件

本文件沒(méi)有規(guī)范性引用文件。

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

數(shù)據(jù)安全datasecurity

通過(guò)管理和技術(shù)措施，確保數(shù)據(jù)處于有效保護(hù)和合規(guī)使用的狀態(tài)。

3.2

數(shù)據(jù)安全管理體系datasecuritymanagementsystems

涵蓋數(shù)據(jù)處理全過(guò)程、以保護(hù)數(shù)據(jù)的保密性、完整性、可用性、可審計(jì)性為目標(biāo)的管理體系。

4總則

4