能源是工业的粮食,能源安全事关国家根本安全。 当今国际局势风云变幻,全球地缘政治、经济、科技体系正经历深刻变化,能源局势将更加错综复杂,威胁能源安全的各种"灰犀牛""黑天鹅"事件时有发生,促使国际能源版图深刻变迁。 作为世界最大的能源消费国,如何有效保障国家能源安全、有力保障国家经济社会发展,始终是我国能源发展的首要问题。只有把能源的饭碗端在自己手里,充分保障国家能源安全,才能把握未来发展主动权,牢牢守住新发展格局的安全底线。 当下,随着新一代信息技术的蓬勃发展,能源行业的数字化和智能化程度也在不断加深,网络与数据安全深刻影响着整体能源安全的各个方面。随之,能源领域敏感数据的泄露、滥用、篡改等安全威胁也接踵而至,影响整体能源安全,进而威胁国家安全。因此,制定相关政策和标准,从合规维度赋能能源网络与数据安全体系建设至关重要。
顶层设计赋能安全体系构建。 建立能源网络与数据安全政策体系有利于规范能源数据的合理使用,健全能源行业网络与数据安全责任体系,完善安全监督管理体制机制,加强能源领域关键信息基础设施安全保护,提升能源监控系统安全防护水平,保障能源系统安全稳定运行和能源的可靠供应,为我国国家安全筑牢关键一环。本文从国家法律、行政法规、部门规章等维度,整理了47项政策,涵盖《国家安全法》《网络安全法》《数据安全法》等法律;《电力安全事故应急处置和调查处理条例》《关键信息基础设施安全保护条例》等行政法规;《电力行业网络安全管理办法》《电力行业网络安全等级保护管理办法》《2024年电力安全监管重点任务》等部门规章或其他规范性文件。
技术标准推动安全实战落地。 技术标准是对标准化领域中需要协调统一的技术事项所制定的标准,是根据不同时期的科学技术水平和实践经验,针对具有普遍性和重复性出现的技术问题,提出的最佳解决方案,是企业进行产品研发和生产的重要技术基础,在企业发展中起到举足轻重的作用。本文整理了54项能源领域网络与数据安全相关的技术标准,涵盖了数据分类分级、个人信息保护、风险评估、全生命周期安全技术、新兴技术,以及涉及能源业务相关的专项标准等维度,包括了国家标准、行业标准、团体标准和企业标准四种形式,为能源领域的网络与数据安全落地工作提供了全方位参考。
为助力产业发展,炼石从权威官网与公开渠道,搜集整理了共计100余项能源领域相关的政策文件,为行业同仁提供参考和借鉴,欢迎广大读者探讨交流。如有遗漏,欢迎后台留言补充。
注:网络与数据安全政策文件来源于国家官网以及网络公开文件,如有侵权,请联系删除。
国家多层次立法明确能源安全要求
《国家安全法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》等法律的实施,从顶层规划维度,为能源领域的数据安全保护工作指明方向。此外,我国在行政法规、部门规章、技术标准等维度,进一步对能源领域的数据安全保护工作,作出了具体细化要求。
从行政法规/部门规章/相关文件的维度来看 ,国务院、国家能源局等机构或部门历年的政策发布频率呈上升趋势,从2021年开始迎来政策发布的黄金期,其中2023年3月28日,国家能源局发布的《关于加快推进能源数字化智能化发展的若干意见》提出:增强能源系统网络安全保障能力。推动煤矿构建覆盖业务全生命周期的"预警、监测、响应"动态防御体系,提升油气田工业主机主动防御能力,加强电厂工控系统网络安全防护,推进传统能源厂(站)信息系统网络安全动态防护、云安全防护、移动安全防护升级,加快实现核心装备控制系统安全可信、自主可控。进一步完善电力监控系统安全防护体系,推进电力系统网络安全风险态势感知、预警和应急处置能力建设,强化电力行业网络安全技术监督。加快推动能源领域工控系统、芯片、操作系统、通用基础软硬件等自主可控和安全可靠应用。
从技术标准维度来看,国家在电力、石油等领域就网络数据安全作出了相关要求和规定,从2018年开始相关标准的发布频率明显增加,其中2021年11月1日实施的《GB/T 40063-2021 工业企业能源管控中心建设指南》,要求网络及存储设备宜按GB/T 22239二级及以上标准执行,根据实际需求配置数据安全管理系统,确保网络传输和信息安全; 2018年12月28日实施的《GB/T 37138-2018 电力行业信息系统安全等级保护实施指南》提出了立体防御原则,即:电力监控系统网络安全防护应逐步建立包括基础设施安全、体系结构安全、系统本体安全、可信安全免疫、安全应急措施、全面安全管理等措施形成的多维栅格状立体防护体系。
01 国家法律
《国家安全法》
施行日期:2015/7/1
发布单位:全国人民代表大会常务委员会
概述/要求:2015年7月1日,第十二届全国人民代表大会常务委员会第十五次会议通过《国家安全法》,规定国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。
《网络安全法》
施行日期:2017/6/1
发布单位:全国人民代表大会常务委员会
概述/要求:2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过《网络安全法》,旨在保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。该法规定,国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
《密码法》
施行日期:2020/1/1
发布单位:全国人民代表大会常务委员会
概述/要求:2019年10月26日,第十三届全国人民代表大会常务委员会第十四次会议通过 《密码法》旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。该法规定,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
《民法典》
施行日期:2021/1/1
发布单位:全国人民代表大会常务委员会
概述/要求:2020年5月28日,第十三届全国人民代表大会第三次会议通过《民法典》,规定自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。
《数据安全法》
施行日期:2021/9/1
发布单位:全国人民代表大会常务委员会
概述/要求:2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《数据安全法》,作为我国数据安全领域的基础性法律,该法涵盖总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,旨在规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。
《个人信息保护法》
施行日期:2021/11/1
发布单位:全国人民代表大会常务委员会
概述/要求:2021年8月20日,第十三届全国人大常委会第三十次会议表决通过《个人信息保护法》,该法涵盖总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等方面,旨在保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,标志着我国个人信息保护立法体系进入新的阶段。
02 行政法规/部门规章/其他规范性文件
行政法规
《电力安全事故应急处置和调查处理条例》
发布日期:2011/7/15
概述/要求:事故发生后,有关单位和人员应当妥善保护事故现场以及工作日志、工作票、操作票等相关材料,及时保存故障录波图、电力调度数据、发电机组运行数据和输变电设备运行数据等相关资料,并在事故调查组成立后将相关材料、资料移交事故调查组。
《网络安全等级保护条例(征)》
发布日期:2018/6/27
概述/要求:为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。
《关键信息基础设施安全保护条例》
发布日期:2021/7/30
概述/要求:为了保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定本条例。
《网络数据安全管理条例(征)》
发布日期:2021/11/14
概述/要求:为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。
《商用密码管理条例》
发布日期:2023/4/27
概述/要求:为了规范商用密码应用和管理,鼓励和促进商用密码产业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国密码法》等法律,制定本条例。
部门规章/其他规范性文件
《关于组织实施2013年国家信息安全专项有关事项的通知》
发布日期:2013/8/12
发布单位:国家发展改革委办公厅
概述/要求:按照信息安全等级保护的相关要求,在金融、能源、交通、电子政务、电子商务和互联网服务领域,支持重点骨干企业,围绕主要业务应用,采用安全可控的技术和产品,开展云计算和大数据安全应用试点示范,研究制定云计算和大数据应用的安全管理机制、责任认定机制、数据保护和使用安全机制与规范。
《电力行业网络与信息安全管理办法》
发布日期:2014/7/2
发布单位:国家能源局
概述/要求:为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。注:已被《电力行业网络安全管理办法》替代
《电力监控系统安全防护规定》
发布日期:2014/8/1
发布单位:国家发展改革委
概述/要求:电力监控系统安全防护工作应当落实国家信息安全等级保护制度,按照国家信息安全等级保护的有关要求,"安全分区、网络专用、横向隔离、纵向认证"的原则,保障电力监控系统的安全。
《电力行业信息安全等级保护管理办法》
发布日期:2014/9/22
发布单位:国家能源局
概述/要求:为规范电力行业信息安全等级保护管理,提高电力信息系统安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》,制定本办法。
《电力监控系统安全防护总体方案》
发布日期:2015/2/4
发布单位:国家能源局
概述/要求:为了保障电力监控系统的安全,防范黑客及恶意代码等对电力监控系统的攻击及侵害,特别是抵御集团式攻击,防止电力监控系统的崩溃或瘫痪,以及由此造成的电力设备事故或电力安全事故(事件),依据《电力监控系统安全防护规定》、《信息安全等级保护管理办法》及国家有关规定,制定本方案。
《关于促进智能电网发展的指导意见》
发布日期:2015/7/6
发布单位:国家发展改革委、国家能源局
概述/要求:构建安全高效的信息通信支撑平台。充分利用信息通信技术,构建一体化信息通信系统和适用于海量数据的计算分析和决策平台,整合智能电网数据资源,挖掘信息和数据资源价值,全面提升电力系统信息处理和智能决策能力,为各类能源接入、调度运行、用户服务和经营管理提供支撑。在统一的技术架构、标准规范和安全防护的基础上,建设覆盖规划、建设、运行、检修、服务等各领域信息应用系统。
《公共互联网网络安全突发事件应急预案》
发布日期:2017/11/14
发布单位:工业和信息化部
概述/要求:建立健全公共互联网网络安全突发事件应急组织体系和工作机制,提高公共互联网网络安全突发事件综合应对能力,确保及时有效地控制、减轻和消除公共互联网网络安全突发事件造成的社会危害和损失,保证公共互联网持续稳定运行和数据安全,维护国家网络空间安全,保障经济运行和社会秩序。
《App违法违规收集使用个人信息行为认定方法》
发布日期:2019/11/28
发布单位:国家互联网信息办公室秘书局等
概述/要求:根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,制定本方法。
《工业数据分类分级指南(试行)》
发布日期:2020/2/27
发布单位:工业和信息化部办公厅
概述/要求:为贯彻《促进大数据发展行动纲要》《大数据产业发展规划(2016-2020年)》有关要求,更好推动《数据管理能力成熟度评估模型》(GB/T 36073-2018)贯标和《工业控制系统信息安全防护指南》落实,指导企业提升工业数据管理能力,促进工业数据的使用、流动与共享,释放数据潜在价值,赋能制造业高质量发展,制定本指南。
《核动力厂网络安全技术政策(试行)》
发布日期:2020/12/3
发布单位:国家核安全局、国家原子能机构
概述/要求:制订本技术政策的目的在于指导营运单位通过建立和实施网络安全大纲,对核电厂网络安全风险进行监测和管理,以保证核电厂安全水平得以维持或得到提升。其他核设施营运单位可参照执行。
《常见类型移动互联网应用程序必要个人信息范围规定》
发布日期:2021/3/12
发布单位:国家互联网信息办公室秘书局等
概述/要求:为了规范移动互联网应用程序(App)收集个人信息行为,保障公民个人信息安全,根据《中华人民共和国网络安全法》,制定本规定。
《能源领域5G应用实施方案》
发布日期:2021/6/7
发布单位:国家发展改革委等
概述/要求:依托先进密码、身份认证、加密通信等技术,研究适用于能源领域 5G 应用场景下的用户、数据、设备与网络之间信息传递、保存、分发的信息通信安全防护体系,确保 5G 融合应用相关网络基础设施和核心系统安全。健全能源领域 5G 应用安全技术标准,建立网络稳定运行保障机制、电力终端入网安全认证机制、网络切片隔离安全、分场景的业务安全测评和监测机制,提升 5G 网络作为能源基础通讯网络的可靠性,避免在极端条件下影响能源领域安全生产。鼓励国家级权威测评机构开展能源领域 5G 应用网络安全测评和认证工作。落实 5G 网络安全指南性文件,统筹安全与发展,将 5G 网络安全保障纳入能源领域 5G 应用的全流程全环节。
《电力安全生产"十四五"行动计划》
发布日期:2021/12/8
发布单位:国家能源局
概述/要求:加强电力安全生产法规规章科学性、系统性、完备性建设,基于综合管理、电网安全、发电安全、建设安全和质量、应急管理、网络安全、大坝安全、行业监管八个纵向维度,技术、管理、文化、责任四个横向要素,构建网格化的法规规章体系。
《网络安全审查办法(修订)》
发布日期:2021/12/28
发布单位:国家互联网信息办公室
概述/要求:为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法。
《2022年能源工作指导意见》
发布日期:2022/3/17
发布单位:国家能源局
概述/要求:推进电力应急指挥中心、态势感知平台和网络安全靶场建设,组织开展关键信息基础设施安全保护监督检查,推进大面积停电事件应急演练。
《电力可靠性管理办法(暂行)》
发布日期:2022/4/16
发布单位:国家发展改革委
概述/要求:电力网络安全坚持积极防御、综合防范的方针,坚持安全分区、网络专用、横向隔离、纵向认证的原则,加强全业务、全生命周期网络安全管理,提高电力可靠性。
《移动互联网应用程序信息服务管理规定》
发布日期:2022/6/14
发布单位:国家互联网信息办公室
概述/要求:为了规范移动互联网应用程序(以下简称应用程序)信息服务,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国未成年人保护法》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》、《网络信息内容生态治理规定》等法律、行政法规和国家有关规定,制定本规定。
《互联网用户账号信息管理规定》
发布日期:2022/6/27
发布单位:国家互联网信息办公室
概述/要求:为了加强对互联网用户账号信息的管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。
《数据出境安全评估办法》
发布日期:2022/7/7
发布单位:国家互联网信息办公室
概述/要求:为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。
《电力行业网络安全等级保护管理办法》
发布日期:2022/11/16
发布单位:国家能源局
概述/要求:为规范电力行业网络安全等级保护管理,提高电力行业网络安全保障能力和水平,维护国家安全、社会稳定和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国密码法》、《中华人民共和国计算机信息系统安全保护条例》、《关键信息基础设施安全保护条例》、《信息安全等级保护管理办法》等法律法规和规范性文件,制定本办法。
《电力行业网络安全管理办法》
发布日期:2022/11/16
发布单位:国家能源局
概述/要求:为加强电力行业网络安全监督管理,规范电力行业网络安全工作,根据《中华人民共和国网络安全法》、《中华人民共和国密码法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国计算机信息系统安全保护条例》、《关键信息基础设施安全保护条例》及国家有关规定,制定本办法。
《个人信息保护认证实施规则》
发布日期:2022/11/18
发布单位:国家市场监督管理总局、国家互联网信息办公室
概述/要求:本规则依据《中华人民共和国认证认可条例》制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。
《工业和信息化领域数据安全管理办法(试行)》
发布日期:2022/12/8
发布单位:工业和信息化部办公厅
概述/要求:为了规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国民法典》等法律法规,制定本办法。
《互联网信息服务深度合成管理规定》
发布日期:2022/12/11
发布单位:国家互联网信息办公室、工业和信息化部部长、公安部部长
概述/要求:为了加强互联网信息服务深度合成管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。
《2023年电力安全监管重点任务》
发布日期:2023/1/17
发布单位:国家能源局综合司
概述/要求:推进电力行业网络与信息安全工作。组织开展网络安全五年行动计划中期评估,持续推进电力行业网络安全"明目""赋能""强基"行动。加强网络安全态势感知能力建设,推进国家级电力网络安全靶场建设,组织开展年度攻防演练。修订行业网络安全事件应急预案,建立完善网络安全监督管理技术支撑体系,推动量子计算、北斗、商用密码等在电力行业的应用。
《个人信息出境标准合同办法》
发布日期:2023/2/24
发布单位:国家互联网信息办公室
概述/要求:为了保护个人信息权益,规范个人信息出境活动,根据《中华人民共和国个人信息保护法》等法律法规,制定本办法。
《关于加快推进能源数字化智能化发展的若干意见》
发布日期:2023/3/28
发布单位:国家能源局
概述/要求:推动能源系统网络安全技术突破。加强融合本体安全和网络安全的能源装备及系统保护技术研究,加快推进内生安全理论技术在能源系统网络安全领域的应用,提升网络安全智能防护技术水平,强化监控及调度系统网络安全预警及响应处置,提高主动免疫和主动防御能力,实现自动化安全风险识别、风险阻断和攻击溯源。推动开展能源数据安全共享及多方协同技术研发,发展能源数据可信共享与精准溯源技术,强化数据共享中的确权及动态访问控制,提高敏感数据泄露监测、数据异常流动分析等技术保障能力,促进构建数据可信流通环境,提高数据流通效率。
《网络安全标准实践指南---网络数据安全风险评估实施指引》
发布日期:2023/5/26
发布单位:全国信息安全标准化技术委员会秘书处
概述/要求:本指南给出了网络数据安全风险评估思路、工作流程和评估内容,提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。本指南适用于指导数据处理者、第三方机构开展风险评估,也可为有关主管监管部门组织开展数据安全检查评估提供参考。
《个人信息保护合规审计管理办法(征)》
发布日期:2023/8/3
发布单位:国家互联网信息办公室
概述/要求:为指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,保护个人信息权益,根据《中华人民共和国个人信息保护法》等法律、行政法规和国家有关规定,制定本办法。
《人脸识别技术应用安全管理规定(试行)(征)》
发布日期:2023/8/8
发布单位:国家互联网信息办公室
概述/要求:为规范人脸识别技术应用,保护个人信息权益及其他人身和财产权益,维护社会秩序和公共安全,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本规定。
《工业和信息化领域数据安全风险评估实施细则(试行)(征)》
发布日期:2023/10/9
发布单位:工业和信息化部办公厅
概述/要求:根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规、政策文件有关要求,引导工业和信息化领域数据处理者规范开展数据安全风险评估工作,提升数据安全管理水平,维护国家安全和发展利益,制定本细则。
《工业和信息化领域数据安全事件应急预案(征)》
发布日期:2023/12/14
发布单位:工业和信息化部网络安全管理局
概述/要求:建立健全工业和信息化领域数据安全事件应急组织体系和工作机制,提高数据安全事件综合应对能力,确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失, 保护个人、组织的合法权益,维护国家安全和公共利益。
《工业控制系统网络安全防护指南》
发布日期:2024/1/19
发布单位:工业和信息化部
概述/要求:工业控制系统是工业生产运行的基础核心。为适应新时期工业控制系统网络安全形势,进一步指导企业提升工控安全防护水平,夯实新型工业化发展安全根基,制定本指南。
《2024年电力安全监管重点任务》
发布日期:2024/2/1
发布单位:国家能源局综合司
概述/要求:完善网络安全风险管控体系。推进《电力监控系统安全防护规定》《电力网络安全事件应急预案》修订,指导电力调度机构研究制定电力监控系统专用安全产品管理办法。组织开展攻防实战演习,指导电力行业关键信息基础设施运营者加强供应链安全管理,不断完善网络安全监测预警和信息通报制度,指导行业共建共用行业级监测预警、信息共享和漏洞资源基础设施。
《促进和规范数据跨境流动规定》
发布日期:2024/3/22
发布单位:国家互联网信息办公室
概述/要求:为了保障数据安全,保护个人信息权益,促进数据依法有序自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行,制定本规定。
《关于深化智慧城市发展 推进城市全域数字化转型的指导意见》
发布日期:2024/5/14
发布单位: 国家发展改革委、国家数据局、财政部、自然资源部
概述/要求:加快推进城市数据安全体系建设,依法依规加强数据收集、存储、使用、加工、传输、提供、公开等全过程安全监管,落实数据分类分级保护制度,压实数据安全主体责任。加强个人隐私保护。推进建设有韧性的城市数据可信流通体系,健全数据要素流通领域数据安全实时监测预警、数据安全事件通报和应急处理机制。推动综合能源服务与智慧社区、智慧园区、智慧楼宇等用能场景深度耦合,利用数字技术提升综合能源服务绿色低碳效益。推动新能源汽车融入新型电力系统,推进城市智能基础设施与智能网联汽车协同发展。
03技术标准
数据分类分级
《电力行业信息系统安全等级保护实施指南》
标准号:GB/T 37138-2018
发布日期:2018/12/28
类型:国标
概述/要求:本标准规定了电力信息系统安全等级保护实施的基本原则、角色和职责,以及定级与备案、测评与评估、安全整改、退运等基本活动。适用于指导电力信息系统安全等级保护的实施
《信息技术 大数据 数据分类指南》
标准号:GB/T 38667-2020
发布日期:2020/4/28
类型:国标
概述/要求:本标准提供了大数据分类过程及其分类视角、分类维度和分类方法等方面的建议和指导。适用于指导大数据分类。
《信息安全技术 重要数据识别指南(征)》
标准号:/
发布日期:尚未发布
类型:/
概述/要求:本文件给出了识别重要数据的基本原则、考虑因素以及重要数据描述格式。本文件适用于数据处理者识别其掌握的重要数据,为重要数据安全保护工作提供支撑,也可供各地各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录提供参考。
《信息安全技术 重要数据处理安全要求(征)》
标准号:/
发布日期:尚未发布
类型:/
概述/要求:本文件规定了数据处理者处理重要数据的安全要求。适用于数据处理者对重要数据开展处理活动,也可供监管部门、评估机构或其他有关组织对重要数据处理活动实施安全监管、评估等活动时参考。
《信息安全技术 网络数据分类分级要求(征)》
标准号:/
发布日期:尚未发布
类型:/
概述/要求:本文件给出了数据分类分级的原则和方法,包括数据分类分级基本原则、数据分类框架和方法、数据分级框架和方法等。适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地方、各部门开展本地区、本部门的数据分类分级工作,同时还可为数据处理者进行数据分类分级提供参考。
个人信息保护
《信息安全技术 公共及商用服务信息系统个人信息保护指南》
标准号:GB/Z 28828-2012
发布日期:2012/11/5
类型:国标
概述/要求:本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。
《信息安全技术 个人信息去标识化指南》
标准号:GB/T 37964-2019
发布日期:2019/8/30
类型:国标
概述/要求:本标准描述了个人信息去标识化的目标和原则,提出了去标识化过程和管理措施。本标准针对微数据提供具体的个人信息去标识化指导,适用于组织开展个人信息去标识化工作,也适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。
《信息安全技术 个人信息安全规范》
标准号:GB/T 35273-2020
发布日期:2020/3/6
类型:国标
概述/要求:本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的原则和安全要求。适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
《信息安全技术 个人信息安全影响评估指南》
标准号:GB/T 39335-2020
发布日期:2020/11/19
类型:国标
概述/要求:本标准给出了个人信息安全影响评估的基本原理、实施流程。适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。
《信息安全技术 公有云中个人信息保护实践指南》
标准号:GB/T 41574-2022
发布日期:2022/7/11
类型:国标
概述/要求:本文件给出了在公有云中实施个人信息保护的控制目标和控制措施,在GB/T 22081基础上给出了公有云个人信息保护指南。适用于作为个人信息处理者的所有类型和规模的组织,包括公有和私营公司、政府机构和非营利组织。
《信息安全技术 步态识别数据安全要求》
标准号:GB/T 41773-2022
发布日期:2022/10/12
类型:国标
概述/要求:本文件规定了步态识别数据收集、存储、传输、使用、加工、提供、公开、删除等数据处理活动的安全要求。适用于步态识别数据处理者规范数据处理活动,监管部门、第三方评估机构对步态识别数据处理活动进行监督、管理、评估参照使用。
《信息安全技术 基因识别数据安全要求》
标准号:GB/T 41806-2022
发布日期:2022/10/12
类型:国标
概述/要求:本文件规定了基因识别数据及关联信息的收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动的安全要求。适用于基因识别数据及关联信息的处理者规范数据处理活动,也可为监管部门、第三方评估机构对基因识别数据处理活动进行监督、管理、评估提供参考。
《信息安全技术 声纹识别数据安全要求》
标准号:GB/T 41807-2022
发布日期:2022/10/12
类型:国标
概述/要求:本文件规定了声纹识别数据的收集、存储、使用、传输、提供、公开、删除等活动中,对数据处理者的安全要求。适用于规范数据处理者的声纹识别数据处理行为。
《信息安全技术 个人信息安全工程指南》
标准号:GB/T 41817-2022
发布日期:2022/10/12
类型:国标
概述/要求:本文件提出了个人信息安全工程的原则、目标、阶段和准备,提供了网络产品和服务在需求、设计开发、测试、发布阶段落实个人信息安全要求的工程化指南。适用于涉及个人信息处理的网络产品和服务(含信息系统),为其同步规划、同步建设个人信息安全措施提供指导,也适用于组织在软件开发生存周期开展隐私工程时参考。
《信息安全技术 人脸识别数据安全要求》
标准号:GB/T 41819-2022
发布日期:2022/10/12
类型:国标
概述/要求:本文件规定了人脸识别数据的安全通用要求以及收集、存储、使用、传输、提供、公开、删除等具体处理活动的安全要求。适用于数据处理者安全开展人脸识别数据处理活动。
风险评估
《信息安全技术 数据安全能力成熟度模型》
标准号:GB/T 37988-2019
发布日期:2019/8/30
类型:国标
概述/要求:本标准给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。本标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。
《信息安全技术 数据安全风险评估方法(征)》
标准号:/
发布日期:尚未发布
类型:/
概述/要求:本文件给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等,明确了数据安全风险评估各阶段的实施要点和工作方法。本文件适用于指导数据处理者、第三方评估机构开展数据安全风险评估,也可供有关主管监管部门实施数据安全检查评估时参考。
全生命周期安全技术
《信息安全技术 数据备份与恢复产品技术要求与测试评价方法》
标准号:GB/T 29765-2021
发布日期:2013/9/18
类型:国标
概述/要求:本文件规定了数据备份与恢复产品安全功能要求、自身安全要求、安全保障要求与测试评价方法。本文件适用于对数据备份与恢复产品的研制、生产、测试和评价。
《信息安全技术 存储介质数据恢复服务要求》
标准号:GB/T 31500-2015
发布日期:2015/5/15
类型:国标
概述/要求:本标准规定了实施存储介质数据恢复服务所需的服务原则、服务条件、服务过程要求及管理要求。本标准适用于指导提供存储介质数据恢复服务机构针对非涉及国家秘密的数据恢复服务实施和管理。
《电力行业数据灾备系统存储监控技术规范》
标准号:DL/T 1597-2016
发布日期:2016/8/16
类型:行标
概述/要求:本标准规定了电力行业数据灾备系统存储监控功能、监控内容、监控指标、监控方式等技术要求。适用于数据灾备系统中的存储设备、光纤交换机及磁带库(虚拟磁带库)设备的监控和管理及相关监控系统。
《电子数据恢复和销毁技术要求》
标准号:DL/T 1757-2017
发布日期:2019/2/11
类型:行标
概述/要求:本标准规定了电力行业非涉及国家秘密的电子数据恢复和销毁的技术要求,适用于电力企业非涉及国家秘密的电子数据的恢复和销毁。
《信息安全技术 大数据安全管理指南》
标准号:GB/T 37973-2019
发布日期:2019/8/30
类型:国标
概述/要求:本标准提出了大数据安全管理基本原则,规定了大数据安全需求、数据分类分级、大数据活动的安全要求、评估大数据安全风险。本标准适用于各类组织进行数据安全管理,也可供第三方评估机构参考。
《信息安全技术 数据交易服务安全要求》
标准号:GB/T 37932-2019
发布日期:2020/3/1
类型:国标
概述/要求:本标准规定了通过数据交易服务机构进行数据交易服务的安全要求,包括数据交易参与方、交易对象和交易过程的安全要求。适用于数据交易服务机构进行安全自评估,也可供第三方测评机构对数据交易服务机构进行安全评估时参考。
《电力数据脱敏实施规范》
标准号:DL/T 2549-2022
发布日期:2022/11/4
类型:行标
概述/要求:本文件规定了电力数据脱敏的目标、原则、形态、典型场景、实施流程和相关技术要求,适用于电力行业非涉密信息系统中结构化数据的脱敏。
《信息安全技术 大数据服务安全能力要求》
标准号:GB/T 35274-2023
发布日期:2023/8/6
类型:国标
概述/要求:本文件规定了大数据服务提供者的大数据服务安全能力要求,包括大数据组织管理安全能力、大数据处理安全能力和大数据服务安全风险管理能力的要求,本文件适用于指导大数据服务提供者的大数据服务安全能力建设,也适用于第三方机构对大数据服务提供者的大数据服务安全能力进行评估。
《信息安全技术 数据出境安全评估指南(征)》
标准号:/
发布日期:尚未发布
类型:/
概述/要求:本标准对数据出境安全评估的工作要求、方法流程、评估内容和结果判定进行了规范。本标准适用于关键信息基础设施运营者开展的数据出境安全评估工作,也适用于网络安全相关主管部门、第三方评估机构等组织开展数据出境安全评估、监督管理等工作。
新兴技术
《信息安全技术 边缘计算安全技术要求》
标准号:GB/T 42564-2023
发布日期:2023/5/23
类型:国标
概述/要求:本文件规定了边缘计算安全框架以及安全框架下的基础设施安全、网络安全、应用安全、数据安全、安全运维、安全支撑、端边协同安全、云边协同安全技术要求。本文件适用于指导边缘计算提供者和边缘计算开发者开展边缘计算的研发、测试、部署和运营。
《信息安全技术 区块链技术安全框架》
标准号:GB/T 42570-2023
发布日期:2023/5/23
类型:国标
概述/要求:本文件给出了区块链技术安全框架,该框架包括区块链密码支撑、区块链安全功能组件、区块链安全管理运行和区块链角色安全职责等部分。适用于指导区块链业务提供者在区块链设计、开发、部署、管理和运维的过程中进行整体规划和安全框架设计,也可为开展区块链安全评估提供参考。
涉及能源业务相关的专项标准
《电力系统控制及其通信数据和通信安全》
标准号:DL/Z 981-2005
发布日期:2005/11/28
类型:行标
概述/要求:本指导性技术文件适用于电力部门的计算机化的监视、控制、计量和保护系统。文件涉及这些系统的使用、访问以及内部和系统之间的通信协议有关的安全方面问题。
《互联网环境下的数据安全传输技术规范》
标准号:Q/GDW 1775-2012
发布日期:2013/11/6
类型:企业标准
概述/要求:本标准规定了互联网终端通过互联网(Internet)通道与公司对外服务类系统数据交互的信息安全传输的主要技术要求和安全防护原则。
《智能电网业务系统终端安全防护技术规范》
标准号:Q/GDW 1776-2012
发布日期:2013/11/6
类型:企业标准
概述/要求:本标准规定了设计、开发和使用智能电网业务终端时所应遵循的安全防护技术原则和技术要求,本标准描述的智能电网业务终端指通过无线APN专网接入业务系统的移动作业类终端、信息采集类终端。移动作业类终端包括 PC类终端和 PDA/手机类终端,信息采集类终端包括输电线路状态监测代理设备CMA、用电信息采集终端。
《能源计量数据公共平台数据传输协议》
标准号:GB/T 29873-2013
发布日期:2013/11/12
类型:国标
概述/要求:本标准规定了能源计量数据公共平台数据传输协议的公共平台结构、协议层次和通讯协议。适用于能源计量数据公共平台中的能源数据中心和用能单位能源计量数据集中采集终端之间的数据交换传输。
《石油数据映射应用指南》
标准号:SY/T 7004-2014
发布日期:2014/10/15
类型:行标
概述/要求:本标准规定了石油天然气行业信息系统两个数据库之间数据映射的基本概念、流程、映射的分类以及各种映射规则。适用于石油行业各级信息系统的数据交换和数据集成。
《电力信息安全水平评价指标》
标准号:GB/T 32351-2015
发布日期:2015/12/31
类型:国标
概述/要求:本标准规定了电力信息安全水平评价指标,描述了评价指标量化方法。适用于电力监管机构对电网、发电、电力科研及电力设计施工等电力组织机构开展信息安全水平评价,也适用于上述电力组织机构开展信息安全水平自评价。信息安全服务提供商为电力组织机构提供服务时也可参考使用。
《电力信息系统安全检查规范》
标准号:GB/T 36047-2018
发布日期:2018/3/15
类型:国标
概述/要求:本标准规定了电力信息安全检查工作的流程、方法和内容等。适用于行业网络与信息安全主管部门开展电力信息系统安全的检查工作和电力企业在本集团(系统)范围内开展相关信息系统安全的自查工作。
《信息安全技术 物联网数据传输安全技术要求》
标准号:GB/T 37025-2018
发布日期:2018/12/28
类型:国标
概述/要求:本标准规定了物联网(工控终端除外)数据传输安全分级及其基本级和增强级安全技术要求等。适用于相关方对物联网数据传输安全的规划、建设、运行、管理等。
《用能单位能耗在线监测技术要求》
标准号:GB/T 38692-2020
发布日期:2020/3/31
类型:国标
概述/要求:监测管理终端进行信息交换应采取跨区安全防护措施,具体包括,一是在接入外网前通过安全隔离网关进行安全隔离,安全隔离网关应符合GB/T 20279对网络和终端隔离产品的技术要求;平台连接应采用经过国家认证的统一的CA数字认证证书。
《信息安全技术 智慧城市建设信息安全保障指南》
标准号:GB/Z 38649-2020
发布日期:2020/4/28
类型:国标
概述/要求:本指导性技术文件提供了智慧城市建设全过程的信息安全保障指导,包括智慧城市建设从规划与需求分析、设计、实施施工、检测验收、运营维护、监督检查与评估到优化与持续改进的全过程信息安全保障的管理机制与技术规范。适用于智慧城市规划、管理、建设、运营,也可为其他智慧城市建设信息安全相关标准的制定提供依据和参考。
《信息安全技术 政务信息共享 数据安全技术要求》
标准号:GB/T 39477-2020
发布日期:2020/11/19
类型:国标
概述/要求:本标准提出了政务信息共享数据安全要求技术框架,规定了政务信息共享过程中共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求。本标准适用于指导各级政务信息共享交换平台数据安全体系建设,规范各级政务部门使用政务信息共享交换平台交换非涉及国家秘密数据安全保障工作。
《信息安全技术 信息系统密码应用基本要求》
标准号:GB/T 39786-2021
发布日期:2021/3/19
类型:国标
概述/要求:本标准规定了信息系统第一级到第四级的密码应用的基本要求,从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用管理要求。
《工业企业能源管控中心建设指南》
标准号:GB/T 40063-2021
发布日期:2021/4/30
类型:国标
概述/要求:本标准提供了工业企业能源管控中心建设的基本原则、技术内容、功能、软件、硬件及安全、运行维护管理等指导内容。适用于工业企业能源管控中心建设及改造,其他类型的机构可参照执行。要求网络及存储设备宜按GB/T 22239二级及以上标准执行,根据实际需求配置数据安全管理系统,确保网络传输和信息安全
《电力物联网数据安全分级保护要求》
标准号:Q/GDW 12111-2021
发布日期:2021/5/26
类型:企业标准
概述/要求:本标准规定了国家电网有限公司非涉及国家秘密的电力物联网电子数据安全级别划分以及各级数据从数据采集、传输、存储、处理、交换、销毁等全生命周期各环节安全要求。本标准适用于指导国家电网有限公司电力物联网数据全生命周期安全分级防护。
《电力物联网数据中台服务接口规范》
标准号:Q/GDW 12105-2021
发布日期:2021/5/26
类型:企业标准
概述/要求:本标准规定了数据中台服务接口规范,包括数据服务总体要求、技术要求两部分。本标准适用于国家电网有限公司数据服务接口设计、开发、运行、维护等环节。
《电力移动应用APP安全防护标准》
标准号:DL/T 2398-2021
发布日期:2021/12/22
类型:行标
概述/要求:本文件规定了电力行业移动应用App 安全防护的技术要求,包括安装部署、网络传输、数据、应用、运行的安全。
《核电厂工业控制系统网络安全管理要求》
标准号:GB/T 41241-2022
发布日期:2022/3/9
类型:国标
概述/要求:本文件规定了核电厂工业控制系统网络安全方面的管理、技术防护和应急管理的要求,适用于核电厂领域工业控制系统生命周期的所有阶段网络安全活动,也适用于指导核电厂工业控制系统用户改善和提高生产系统中网络安全防护能力的系统维护活动。
《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》
标准号:GB/T 41391-2022
发布日期:2022/4/15
类型:国标
概述/要求:本文件规定了App收集个人信息的基本要求,给出了常见服务类型App必要个人信息范围和使用要求。适用于App运营者规范其个人信息收集活动,也适用于监管部门、第三方评估机构等对APP个人信息收集活动进行监督、管理和评估。
《信息安全技术 汽车数据处理安全要求》
标准号:GB/T 41871-2022
发布日期:2022/10/12
类型:国标
概述/要求:本文件规定了汽车数据处理者对汽车数据进行收集、传输等处理活动的通用安全要求、车外数据安全要求、座舱数据安全要求和管理安全要求。适用于汽车数据处理者开展汽车数据处理活动,适用于汽车的设计、生产、销售、使用和运维,也适用于主管监管部门和第三方评估机构等对汽车数据处理活动进行监督、管理和评估。
《信息安全技术 即时通信服务数据安全要求》
标准号:GB/T 42012-2022
发布日期:2022/10/12
类型:国标
概述/要求:本文件规定了即时通信服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。适用于即时通信服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对即时通信服务数据处理活动进行监督、管理、评估提供参考。
《信息安全技术 网络支付服务数据安全要求》
标准号:GB/T 42015-2022
发布日期:2022/10/12
类型:国标
概述/要求:本文件规定了网络支付服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。适用于网络支付服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对网络支付服务数据处理活动进行监督、管理、评估提供参考。
《信息安全技术 网络音视频服务数据安全要求》
标准号:GB/T 42016-2022
发布日期:2022/10/12
类型:国标
概述/要求:本文件规定了网络音视频服务收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动的安全要求。适用于网络音视频服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对网络音视频服务数据处理活动进行监督、管理、评估提供参考。
《信息安全技术 关键信息基础设施安全保护要求》
标准号:GB/T 39204-2022
发布日期:2022/10/12
类型:国标
概述/要求:本文件规定了关键信息基础设施分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。适用于指导运营者对关键信息基础设施进行全生存周期安全保护,也可供关键信息基础设施安全保护的其他相关方参考使用。
《能源大数据 数据安全分类分级指南》
标准号:T/JSIA 0001--2022
发布日期:2022/12/1
类型:团体标准
概述/要求:本文件定义了能源大数据中心数据资源的基本分类分级原则、方法,适用于指导能源大数据中心开展数据分类分级工作。
《电动汽车充电设施及运营平台信息安全技术规范》
标准号:NB/T 11302-2023
发布日期:2023/10/11
类型:行标
概述/要求:本文件规定了电动汽车充电设施及运营平台的网络信息安全防护要求。适用于电动汽车充电设施及运营平台、充电设备、移动智能终端充电软件的信息安全防护设计、信息安全评估等。
《核电厂仪表和控制系统网络安全防范管控》
标准号:GB/T 43532-2023
发布日期:2023/12/28
类型:国标
概述/要求:本文件规定了核电厂仪表和控制系统网络安全防范管控分类清单,并供用户进行选择和应用,从而预防、检测和修正核电厂数字化仪控系统的计算机网络攻击。适用于新建核电厂仪控系统生命周期所有阶段安全管控措施选择和执行活动,也适用于核电厂在役仪控系统的更新或改造。核电厂电气系统的网络安全防范管控也可参照本文件执行。