《核能領(lǐng)域數(shù)據(jù)安全風(fēng)險評估方法》-編制說明

《核能領(lǐng)域數(shù)據(jù)安全風(fēng)險評估方法》編制說明（征求意見稿）一、工作簡況1、任務(wù)來源為貫徹《中華人民共和國數(shù)據(jù)安全法》，落實、細(xì)化、規(guī)范核能行業(yè)數(shù)據(jù)安全具體工作，增強(qiáng)核能領(lǐng)域數(shù)據(jù)全生命周期安全防護(hù)的能力，提升核能行業(yè)整體數(shù)據(jù)安全水平，中國核能行業(yè)協(xié)會信息化專業(yè)委員會組織行業(yè)內(nèi)外相關(guān)單位共同編制核能領(lǐng)域數(shù)據(jù)安全系列標(biāo)準(zhǔn)。2022年12月15日，中國核能行業(yè)協(xié)會信息化專業(yè)委員會（簡稱“信專委”）發(fā)函“關(guān)于商請參加核能領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)編制工作的函”（核協(xié)信專函〔2022〕29號），本標(biāo)準(zhǔn)《核能領(lǐng)域數(shù)據(jù)安全風(fēng)險評估方法》為其中推薦用于核能行業(yè)開展數(shù)據(jù)安全風(fēng)險評估方法的規(guī)范。2、主要工作過程本標(biāo)準(zhǔn)各階段進(jìn)度計劃安排如下：2022年底前完成工作研討和初步意向征集；2023年第一季度基于對中核礦業(yè)科技集團(tuán)有限公司、福建福清核電有限公司開展數(shù)據(jù)安全檢測評估活動契機(jī)，調(diào)研相關(guān)單位數(shù)據(jù)分類分級現(xiàn)狀；2023年第一季度完成標(biāo)準(zhǔn)草案和立項工作；2023年第二季度完成定向意見征求；2023年第三季度完成公開意見征求；2024年第二季度完成標(biāo)準(zhǔn)送審稿；2024年第三季度完成標(biāo)準(zhǔn)報批稿。當(dāng)前標(biāo)準(zhǔn)編制進(jìn)展描述如下：2022年12月，信專委完成標(biāo)準(zhǔn)立項前的工作研討和初步意向征集；2023年1月13日，中國核能行業(yè)協(xié)會召開團(tuán)體標(biāo)準(zhǔn)立項評審會，該標(biāo)準(zhǔn)在會上通過立項審查，并通過公示期；2023年3月2日，信專委組織召開了組內(nèi)工作推進(jìn)會議，完成了標(biāo)準(zhǔn)編寫規(guī)范和方法的培訓(xùn)，并對標(biāo)準(zhǔn)立項評審過程中專家提的意見進(jìn)行了整改響應(yīng)；2023年10月18日，信專委組織召開加快推進(jìn)核能領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)編制工作會議，宣貫政府主管部門對核能領(lǐng)域數(shù)據(jù)安全工作新的要求，并提出加快數(shù)據(jù)安全標(biāo)準(zhǔn)編制工作；2023年11-12月，標(biāo)準(zhǔn)編制組對標(biāo)準(zhǔn)內(nèi)容進(jìn)一步完善，形成征求意見稿；2024年2-3月，準(zhǔn)備標(biāo)準(zhǔn)定向征求意見、公開征求意見。3、主要參加單位和工作組成員及其所作的工作等本文件編制的參與單位和分工如下：單位名稱編寫分工主要承擔(dān)工作中核礦業(yè)科技集團(tuán)有限公司組長單位牽頭編制國核示范電站有限責(zé)任公司成員單位參與編制華能山東石島灣核電有限公司成員單位參與編制同方知網(wǎng)數(shù)字出版技術(shù)股份有限公司成員單位參與編制福建福清核電有限公司成員單位參與編制核電運(yùn)行研究（上海）有限公司成員單位參與編制中國核電工程有限公司成員單位參與編制華能山東石島灣核電有限公司成員單位參與編制中核蘭州鈾濃縮有限公司成員單位參與編制中核武漢核電運(yùn)行技術(shù)股份有限公司成員單位參與編制中國電子技術(shù)標(biāo)準(zhǔn)化研究院成員單位參與各階段的討論和評審南華大學(xué)成員單位參與編制中國信息通信研究院成員單位參與編制中國核能行業(yè)協(xié)會成員單位參與編制北京啟明星辰信息安全技術(shù)有限公司成員單位參與編制中國寶原投資有限公司成員單位參與各階段的討論和評審二、標(biāo)準(zhǔn)編制原則和主要內(nèi)容1、標(biāo)準(zhǔn)編制原則本標(biāo)準(zhǔn)的編制旨在指導(dǎo)核行業(yè)單位組織實施文檔評估，幫助管理主體查找短板，提升文檔管理水平。本標(biāo)準(zhǔn)本著公正性、科學(xué)性、實用性的原則編制。公正性本標(biāo)準(zhǔn)在實施過程中，要求以掌握的事實材料為依據(jù)，尊重客觀事實，不帶有主觀隨意性，不受外界干擾、不遷就任何單位和個人的片面要求。科學(xué)性本標(biāo)準(zhǔn)研究了國內(nèi)外企業(yè)文檔管理的指標(biāo)、評價體系的制定和執(zhí)行情況及相關(guān)法規(guī)要求，基于國內(nèi)核行業(yè)單位文檔管理及評價體系的建設(shè)需求，參考相關(guān)DA、GB標(biāo)準(zhǔn)，結(jié)合多個核行業(yè)單位的文檔管理實踐和管理特點(diǎn)進(jìn)行編制。實用性本標(biāo)準(zhǔn)的指標(biāo)設(shè)計立足現(xiàn)有企事業(yè)文檔管理實踐，內(nèi)容全面、指導(dǎo)性強(qiáng)，達(dá)到促進(jìn)企事業(yè)文檔管理規(guī)范、安全、有效的目的。2、標(biāo)準(zhǔn)主要內(nèi)容的依據(jù)2.1概述按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本標(biāo)準(zhǔn)出了數(shù)據(jù)安全風(fēng)險評估的基本要求、實施流程、評估內(nèi)容，明確了數(shù)據(jù)安全風(fēng)險評估各階段的實施要點(diǎn)和工作方法。以適用范圍劃定工作思路，明確核能領(lǐng)域開展數(shù)據(jù)安全風(fēng)險評估活動的基本要求、實施流程與實施內(nèi)容，給出了風(fēng)險評估內(nèi)容指標(biāo)，并對評估的結(jié)果給出安全分析和評價參考，指導(dǎo)行業(yè)各單位開展數(shù)據(jù)安全風(fēng)險評估工作，助力監(jiān)管部門對各單位數(shù)據(jù)安全風(fēng)險評估工作的監(jiān)督指導(dǎo)。圍繞核能領(lǐng)域數(shù)據(jù)安全風(fēng)險評估活動，關(guān)注風(fēng)險評估的對象、要求、評估內(nèi)容和評估結(jié)果的評價與分析等，重點(diǎn)關(guān)注實施過程中對于在建核電廠與運(yùn)營核電廠的增強(qiáng)評估要求與整體風(fēng)險評估內(nèi)容指標(biāo)。特別說明：涉及國家秘密的數(shù)據(jù)和軍事數(shù)據(jù)不適用于本標(biāo)準(zhǔn)。開展涉及個人信息的數(shù)據(jù)處理活動，還應(yīng)當(dāng)遵守有關(guān)法律、行政法規(guī)的規(guī)定。2.2主要技術(shù)內(nèi)容說明2.2.1第1章范圍 本章規(guī)定了本標(biāo)準(zhǔn)的編制目的和適用范圍。本文件適用于指導(dǎo)核能領(lǐng)域網(wǎng)絡(luò)運(yùn)營者開展網(wǎng)絡(luò)數(shù)據(jù)處理活動的安全風(fēng)險評估，并為第三方安全評估機(jī)構(gòu)等單位開展核能領(lǐng)域網(wǎng)絡(luò)數(shù)據(jù)安全檢查與評估工作提供參考。2.2.2第2章規(guī)范性引用文件GB/T25069—2022信息安全技術(shù)術(shù)語2.2.3第3章術(shù)語和定義本標(biāo)準(zhǔn)中的術(shù)語及定義部分參照國家、行業(yè)標(biāo)準(zhǔn)規(guī)范中已有的相應(yīng)術(shù)語給出定義。其中：“數(shù)據(jù)、數(shù)據(jù)安全、數(shù)據(jù)處理活動、合理性”參照《數(shù)據(jù)安全法》給出術(shù)語定義；“網(wǎng)絡(luò)數(shù)據(jù)、網(wǎng)絡(luò)運(yùn)營者”參照《網(wǎng)絡(luò)安全法》給出術(shù)語定義；“重要數(shù)據(jù)”參照《GB/T41479—2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》給出術(shù)語定義?！皵?shù)據(jù)安全風(fēng)險、數(shù)據(jù)安全風(fēng)險評估、安全措施、業(yè)務(wù)、風(fēng)險源”自定義。2.2.4第4章核能領(lǐng)域風(fēng)險評估基本要求與流程本章針對通用對象尤其是重點(diǎn)對象，提出核能領(lǐng)域數(shù)據(jù)安全風(fēng)險評估的觸發(fā)場景，圍繞評估的內(nèi)容框架，開展流程設(shè)計和事前預(yù)警及信息同步機(jī)制。本章節(jié)主要內(nèi)容包括：4.1評估適用對象開展數(shù)據(jù)安全風(fēng)險評估，首要關(guān)注評估的適用對象，標(biāo)準(zhǔn)對通用評估對象和重點(diǎn)評估對象進(jìn)行說明，并明確重點(diǎn)評估對象的判斷情形。4.2評估觸發(fā)場景評估的場景分為周期性評估和觸發(fā)性評估，一是明確了周期性評估的對象和評估周期，二是重點(diǎn)描述了觸發(fā)風(fēng)險評估的重要數(shù)據(jù)處理場景。4.3事前咨詢與風(fēng)險評估報送明確了開展高風(fēng)險數(shù)據(jù)處理活動事前咨詢和重要數(shù)據(jù)者定期風(fēng)險報告報送機(jī)制，有效規(guī)避數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)處理活動中造成重大影響或損失，并和監(jiān)管部門及時進(jìn)行信息同步。4.4評估實施流程定義了評估的實施流程包括“評估準(zhǔn)備、要素識別、風(fēng)險識別、安全分析、評估總結(jié)”五個階段。4.5評估內(nèi)容框架定義了在風(fēng)險要素識別的基礎(chǔ)上，數(shù)據(jù)安全風(fēng)險評估內(nèi)容包括數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)三方面。主要依據(jù)如下：—《數(shù)據(jù)安全法》第三十條“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估，并向有關(guān)主管部門報送風(fēng)險評估報告”的相關(guān)要求，開展數(shù)據(jù)安全風(fēng)險合規(guī)建設(shè)?！?GB/T41479—2022《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》在總體要求中明確了網(wǎng)絡(luò)數(shù)據(jù)處理安全的數(shù)據(jù)識別是基礎(chǔ)、風(fēng)險防控是核心2.2.5第5章核能領(lǐng)域數(shù)據(jù)安全風(fēng)險評估實施安全風(fēng)險評估的核心內(nèi)容，包括評估準(zhǔn)備、要素識別、風(fēng)險識別、安全分析和評估總結(jié)。本章節(jié)主要內(nèi)容包括：5.1評估準(zhǔn)備包括目標(biāo)、范圍、規(guī)則的確定和團(tuán)隊組建等，評估的對象、范圍和邊界，依據(jù)評估目標(biāo)確定。5.2要素識別包括數(shù)據(jù)處理者、業(yè)務(wù)和信息系統(tǒng)識別、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理活動、安全保護(hù)措施。5.3風(fēng)險識別風(fēng)險識別是數(shù)據(jù)安全風(fēng)險評估的關(guān)鍵步驟，開展具體的風(fēng)險識別工作，要基于數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)三方面內(nèi)容的特性劃分不同的風(fēng)險識別類別，關(guān)注不同類別的重點(diǎn)評估內(nèi)容檢查項，依據(jù)重點(diǎn)評估內(nèi)容的符合情況初步得出風(fēng)險識別的評估結(jié)果。5.4安全分析對數(shù)據(jù)風(fēng)險評估活動發(fā)現(xiàn)的問題進(jìn)行風(fēng)險分析并提出整改建議。5.5評估總結(jié)依據(jù)安全分析結(jié)果，結(jié)合評估過程，編制評估報告，提出風(fēng)險處置建議并分析殘余風(fēng)險，最后通過評估后評價讓整體流程閉環(huán)。2.2.6第6章核能領(lǐng)域數(shù)據(jù)安全風(fēng)險評估結(jié)果利用模型計算公式對評估結(jié)果綜合計分，并依據(jù)過程中的安全問題和風(fēng)險情況劃分安全風(fēng)險等級。并結(jié)合監(jiān)管關(guān)注重大事項的事實情況，根據(jù)事項對應(yīng)的評價判罰，確定最終得分。2.2.7第7章附錄附錄A《核能領(lǐng)域數(shù)據(jù)安全風(fēng)險評估準(zhǔn)備清單》提供核能行業(yè)各單位和組織開展數(shù)據(jù)安全風(fēng)險評估調(diào)研的前期準(zhǔn)備清單模版和參考。包括B.1相關(guān)方聯(lián)系表、B.2資料收集清單、B.3評估準(zhǔn)備事項附錄B《核能領(lǐng)域數(shù)據(jù)安全風(fēng)險評估輸出物模版》根據(jù)模板可輸出評估工作的規(guī)范記錄，長期來看，利于數(shù)據(jù)安全風(fēng)險評估和數(shù)據(jù)安全能力建設(shè)的工作對比、整合和改進(jìn)。包括B.1-通用數(shù)據(jù)安全風(fēng)險評估報告模板、B.2-高風(fēng)險數(shù)據(jù)處理活動事前咨詢信息提供模板、B.3-數(shù)據(jù)安全問題清單模板。3、解決的主要問題本標(biāo)準(zhǔn)主要用于落實《數(shù)據(jù)安全法》第三十條“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估，并向有關(guān)主管部門報送風(fēng)險評估報告”的相關(guān)要求，開展數(shù)據(jù)安全風(fēng)險合規(guī)建設(shè)。核能行業(yè)各單位結(jié)合業(yè)務(wù)實際開展數(shù)據(jù)安全處理活動及風(fēng)險評估、報送等工作缺乏細(xì)致的規(guī)范指導(dǎo)。為加快建立健全的、針對性的、可落地的數(shù)據(jù)安全風(fēng)險評估方法和體系，推進(jìn)核能行業(yè)數(shù)據(jù)依法合理有效利用，規(guī)范數(shù)據(jù)處理活動，提升數(shù)據(jù)安全保障水平，有效防范各類數(shù)據(jù)安全風(fēng)險。通過完善核能行業(yè)健全的、針對性的、可落地的數(shù)據(jù)安全風(fēng)險評估標(biāo)準(zhǔn)，完善數(shù)據(jù)安全風(fēng)險評估工作合規(guī)建設(shè)，實現(xiàn)數(shù)據(jù)安全風(fēng)險評估工作常態(tài)化、標(biāo)準(zhǔn)化，推進(jìn)核能行業(yè)數(shù)據(jù)合理有效利用、依法安全流通，提升核能行業(yè)數(shù)據(jù)安全綜合防護(hù)能力。三、主要試驗（或驗證）情況本標(biāo)準(zhǔn)提出核能領(lǐng)域數(shù)據(jù)安全風(fēng)險評估方法，相關(guān)技術(shù)和管理條款源于核能企業(yè)數(shù)據(jù)全生命周期管理實踐。同時，為使標(biāo)準(zhǔn)內(nèi)容更加符合應(yīng)用實際，在標(biāo)準(zhǔn)應(yīng)用階段可以更加有效地指導(dǎo)核能企業(yè)開展數(shù)據(jù)安全檢測評估工作，協(xié)會信專委面向核行業(yè)廣泛征集數(shù)據(jù)安全問題及相關(guān)工作建議，經(jīng)研究后提煉共性問題、在標(biāo)準(zhǔn)內(nèi)容中予以完善。四、標(biāo)準(zhǔn)中涉及專利的情況本標(biāo)準(zhǔn)的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。五、預(yù)期達(dá)到的社會效益、對產(chǎn)業(yè)發(fā)展的作用等情況本標(biāo)準(zhǔn)用于規(guī)范核能行業(yè)數(shù)據(jù)和數(shù)據(jù)處理活動的安全風(fēng)險和違法違規(guī)問題的識別、評價與預(yù)防改進(jìn)，定義一套行之有效的數(shù)據(jù)安全風(fēng)險評估方法，確立有效的評估和監(jiān)管機(jī)制，對提升核能領(lǐng)域數(shù)據(jù)安全防護(hù)水平具有重大意義。六、與國際、國外對比情況目前未查詢到核能領(lǐng)域數(shù)據(jù)安全風(fēng)險評估方法相關(guān)的國際、國外標(biāo)準(zhǔn)。七、在標(biāo)準(zhǔn)體系中的位置，與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及標(biāo)準(zhǔn)，特別是強(qiáng)制性標(biāo)準(zhǔn)的協(xié)調(diào)性我國現(xiàn)有的相關(guān)標(biāo)準(zhǔn)，“GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型”主要提出了數(shù)據(jù)安全成熟度模型，“GB/T20984—2022信息安全技術(shù)信息安全風(fēng)險評估方法”是網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)，“GB/T41479—2022《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》”，在總體要求中明確了網(wǎng)絡(luò)數(shù)據(jù)處理活動要求。2021年是我國數(shù)據(jù)安全政策元年，2021年9月，《數(shù)據(jù)安全法》正式出臺，2022年數(shù)據(jù)安全合規(guī)建設(shè)全面啟動，在數(shù)據(jù)安全安全防護(hù)總體要求中，數(shù)據(jù)識別是基礎(chǔ)、風(fēng)險防控是核心，在進(jìn)行安全影響分析和風(fēng)險評估的