能源工业互联网平台 数据安全管理规范.pdf

能源工业互联网平台 数据安全管理规范 1 适用范围 本文件规定了能源工业互联网平台数据安全管理规范的总则、数据安全管理要素、基础管理要求、 数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁、预警监测、应急处置。 本文件适用于指导能源工业互联网平台的数据安全管理工作。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本 文件。 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 25058-2019 信息安全技术 信息系统安全等级保护实施指南 GB/T 35274-2017 信息安全技术 数据服务安全能力要求 GB/T 35295-2017 信息技术 数据 术语 GB/T 35589-2017 信息技术 数据 技术参考模型 GB/T 36073-2018 数据管理能力成熟度评估模型 GB/T 37721-2019 信息技术 数据分析系统功能要求 GB/T 37973-2019 信息安全技术 数据安全管理指南 GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型 GB/T 38555-2020 信息技术 数据 工业产品核心元数据 文件中实际未引用这些文件， 3 术语和定义 下列术语和定义适用于本文件。 3.1 数据安全管理体系 data security management systems 在信息安全管理体系的基础上，针对数据安全，形成的完整的数据安全管理体系。 3.2 数据安全 data security 通过管理和技术措施，确保数据有效保护和合规使用的状态。 3.3 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 3.4 数据供应链 data supply chain 为满足数据供应关系，通过资源和过程将需方、供方相互关联的结构。 3.5 1 完整性 integrity 准确和完备的特性。 3.6 可用性 availability 已授权实体一旦需要就可访问和使用的数据和资源的特性。 3.7 数据脱敏 data desensitization 在评估中用于确定任何安全过程域或基本实践的实施能力的评定准则。包括但不限于能访问原始数 据，提供数据计算、数据存储、数据交换、数据分析、数据挖掘、数据展示。 3.8 合规 compliance 对数据安全所适用的法律法规的符合程度。 4 总则 图1 数据安全管理总体框架图 2 4.1 数据安全管理框架 数据安全管理是用来实现和维护数据保密性、完整性、可用性、可核查性、真实性和可靠性的过程。 数据安全管理总体框架，界定了数据安全管理的角色、职责、边界、各部分的层级关系和内在联系，框 架图见图1。 4.2 明确职责 根据数据规模、重要性等因素，成立有专门的数据安全管理团队，为数据及使用安全负责；明确内 部不同角色的数据安全管理职责；明确数据生命周期各活动的实施主体及安全责任。 4.3 依法依规 对数据的收集、使用、使用需基于法律依据。应制定相关流程确保数据的收集和使用方式没有违反 任何法律义务，包括法律法规、合同条款等。需要承担的内部和外部的责任包括但不限于： a) 所有数据集和数据流的安全； b) 正确处理个人信息、重要信息； c) 实施了合理的跨数据域保留的策略和实践； d) 理解数据相关的法律义务，并履行了这些义务。 4.4 保障质量 实施适当的措施确保数据的准确性、相关性、完整性和时效性；建立控制机制定期检查收集和存储 的数据的质量。 4.5 数据最小化 应采取适当的措施最