能源是工業的糧食,能源安全事關國家根本安全。當今國際局勢風云變幻,全球地緣政治、經濟、科技體系正經歷深刻變化,能源局勢將更加錯綜復雜,威脅能源安全的各種“灰犀牛”“黑天鵝”事件時有發生,促使國際能源版圖深刻變遷。作為世界最大的能源消費國,如何有效保障國家能源安全、有力保障國家經濟社會發展,始終是我國能源發展的首要問題。只有把能源的飯碗端在自己手里,充分保障國家能源安全,才能把握未來發展主動權,牢牢守住新發展格局的安全底線。當下,隨著新一代信息技術的蓬勃發展,能源行業的數字化和智能化程度也在不斷加深,網絡與數據安全深刻影響著整體能源安全的各個方面。隨之,能源領域敏感數據的泄露、濫用、篡改等安全威脅也接踵而至,影響整體能源安全,進而威脅國家安全。因此,制定相關政策和標準,從合規維度賦能能源網絡與數據安全體系建設至關重要。
?
頂層設計賦能安全體系構建。建立能源網絡與數據安全政策體系有利于規范能源數據的合理使用,健全能源行業網絡與數據安全責任體系,完善安全監督管理體制機制,加強能源領域關鍵信息基礎設施安全保護,提升能源監控系統安全防護水平,保障能源系統安全穩定運行和能源的可靠供應,為我國國家安全筑牢關鍵一環。本文從國家法律、行政法規、部門規章等維度,整理了47項政策,涵蓋《國家安全法》《網絡安全法》《數據安全法》等法律;《電力安全事故應急處置和調查處理條例》《關鍵信息基礎設施安全保護條例》等行政法規;《電力行業網絡安全管理辦法》《電力行業網絡安全等級保護管理辦法》《2024年電力安全監管重點任務》等部門規章或其他規范性文件。
?
?技術標準推動安全實戰落地。技術標準是對標準化領域中需要協調統一的技術事項所制定的標準,是根據不同時期的科學技術水平和實踐經驗,針對具有普遍性和重復性出現的技術問題,提出的最佳解決方案,是企業進行產品研發和生產的重要技術基礎,在企業發展中起到舉足輕重的作用。本文整理了54項能源領域網絡與數據安全相關的技術標準,涵蓋了數據分類分級、個人信息保護、風險評估、全生命周期安全技術、新興技術,以及涉及能源業務相關的專項標準等維度,包括了國家標準、行業標準、團體標準和企業標準四種形式,為能源領域的網絡與數據安全落地工作提供了全方位參考。
為助力產業發展,煉石從權威官網與公開渠道,搜集整理了共計100余項能源領域相關的政策文件,為行業同仁提供參考和借鑒,歡迎廣大讀者探討交流。如有遺漏,歡迎后臺留言補充。
?
注:網絡與數據安全政策文件來源于國家官網以及網絡公開文件,如有侵權,請聯系刪除。
?
國家多層次立法明確能源安全要求
《國家安全法》《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》等法律的實施,從頂層規劃維度,為能源領域的數據安全保護工作指明方向。此外,我國在行政法規、部門規章、技術標準等維度,進一步對能源領域的數據安全保護工作,作出了具體細化要求。
從行政法規/部門規章/相關文件的維度來看,國務院、國家能源局等機構或部門歷年的政策發布頻率呈上升趨勢,從2021年開始迎來政策發布的黃金期,其中2023年3月28日,國家能源局發布的《關于加快推進能源數字化智能化發展的若干意見》提出:增強能源系統網絡安全保障能力。推動煤礦構建覆蓋業務全生命周期的“預警、監測、響應”動態防御體系,提升油氣田工業主機主動防御能力,加強電廠工控系統網絡安全防護,推進傳統能源廠(站)信息系統網絡安全動態防護、云安全防護、移動安全防護升級,加快實現核心裝備控制系統安全可信、自主可控。進一步完善電力監控系統安全防護體系,推進電力系統網絡安全風險態勢感知、預警和應急處置能力建設,強化電力行業網絡安全技術監督。加快推動能源領域工控系統、芯片、操作系統、通用基礎軟硬件等自主可控和安全可靠應用。
從技術標準維度來看,國家在電力、石油等領域就網絡數據安全作出了相關要求和規定,從2018年開始相關標準的發布頻率明顯增加,其中2021年11月1日實施的《GB/T 40063-2021 工業企業能源管控中心建設指南》,要求網絡及存儲設備宜按GB/T 22239二級及以上標準執行,根據實際需求配置數據安全管理系統,確保網絡傳輸和信息安全;2018年12月28日實施的《GB/T 37138-2018 電力行業信息系統安全等級保護實施指南》提出了立體防御原則,即:電力監控系統網絡安全防護應逐步建立包括基礎設施安全、體系結構安全、系統本體安全、可信安全免疫、安全應急措施、全面安全管理等措施形成的多維柵格狀立體防護體系。
01國家法律
《國家安全法》
?
施行日期:2015/7/1
發布單位:全國人民代表大會常務委員會
概述/要求:2015年7月1日,第十二屆全國人民代表大會常務委員會第十五次會議通過《國家安全法》,規定國家建設網絡與信息安全保障體系,提升網絡與信息安全保護能力,加強網絡和信息技術的創新研究和開發應用,實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控。
《網絡安全法》
施行日期:2017/6/1
發布單位:全國人民代表大會常務委員會
概述/要求:2016年11月7日,第十二屆全國人民代表大會常務委員會第二十四次會議通過《網絡安全法》,旨在保障網絡安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展。該法規定,國家鼓勵開發網絡數據安全保護和利用技術,促進公共數據資源開放,推動技術創新和經濟社會發展。
《密碼法》
?
施行日期:2020/1/1
發布單位:全國人民代表大會常務委員會
概述/要求:2019年10月26日,第十三屆全國人民代表大會常務委員會第十四次會議通過 《密碼法》旨在規范密碼應用和管理,促進密碼事業發展,保障網絡與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益。該法規定,公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。
《民法典》
施行日期:2021/1/1
發布單位:全國人民代表大會常務委員會
概述/要求:2020年5月28日,第十三屆全國人民代表大會第三次會議通過《民法典》,規定自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。信息處理者應當采取技術措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失。
《數據安全法》
施行日期:2021/9/1
發布單位:全國人民代表大會常務委員會
概述/要求:2021年6月10日,第十三屆全國人民代表大會常務委員會第二十九次會議通過《數據安全法》,作為我國數據安全領域的基礎性法律,該法涵蓋總則、數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任等方面,旨在規范數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益。
《個人信息保護法》
施行日期:2021/11/1
發布單位:全國人民代表大會常務委員會
概述/要求:2021年8月20日,第十三屆全國人大常委會第三十次會議表決通過《個人信息保護法》,該法涵蓋總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任等方面,旨在保護個人信息權益,規范個人信息處理活動,促進個人信息合理利用,標志著我國個人信息保護立法體系進入新的階段。
02行政法規/部門規章/其他規范性文件
行政法規
《電力安全事故應急處置和調查處理條例》
發布日期:2011/7/15
概述/要求:事故發生后,有關單位和人員應當妥善保護事故現場以及工作日志、工作票、操作票等相關材料,及時保存故障錄波圖、電力調度數據、發電機組運行數據和輸變電設備運行數據等相關資料,并在事故調查組成立后將相關材料、資料移交事故調查組。
《網絡安全等級保護條例(征)》
發布日期:2018/6/27
概述/要求:為加強網絡安全等級保護工作,提高網絡安全防范能力和水平,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,依據《中華人民共和國網絡安全法》、《中華人民共和國保守國家秘密法》等法律,制定本條例。
《關鍵信息基礎設施安全保護條例》
發布日期:2021/7/30
概述/要求:為了保障關鍵信息基礎設施安全,維護網絡安全,根據《中華人民共和國網絡安全法》,制定本條例。
《網絡數據安全管理條例(征)》
發布日期:2021/11/14
概述/要求:為了規范網絡數據處理活動,保障數據安全,保護個人、組織在網絡空間的合法權益,維護國家安全、公共利益,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律,制定本條例。
《商用密碼管理條例》
發布日期:2023/4/27
概述/要求:為了規范商用密碼應用和管理,鼓勵和促進商用密碼產業發展,保障網絡與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,根據《中華人民共和國密碼法》等法律,制定本條例。
部門規章/其他規范性文件
?
《關于組織實施2013年國家信息安全專項有關事項的通知》
發布日期:2013/8/12
發布單位:國家發展改革委辦公廳
概述/要求:按照信息安全等級保護的相關要求,在金融、能源、交通、電子政務、電子商務和互聯網服務領域,支持重點骨干企業,圍繞主要業務應用,采用安全可控的技術和產品,開展云計算和大數據安全應用試點示范,研究制定云計算和大數據應用的安全管理機制、責任認定機制、數據保護和使用安全機制與規范。
《電力行業網絡與信息安全管理辦法》
發布日期:2014/7/2
發布單位:國家能源局
概述/要求:為加強電力行業網絡與信息安全監督管理,規范電力行業網絡與信息安全工作,根據《中華人民共和國計算機信息系統安全保護條例》及國家有關規定,制定本辦法。注:已被《電力行業網絡安全管理辦法》替代
《電力監控系統安全防護規定》
發布日期:2014/8/1
發布單位:國家發展改革委
概述/要求:電力監控系統安全防護工作應當落實國家信息安全等級保護制度,按照國家信息安全等級保護的有關要求,“安全分區、網絡專用、橫向隔離、縱向認證”的原則,保障電力監控系統的安全。
《電力行業信息安全等級保護管理辦法》
發布日期:2014/9/22
發布單位:國家能源局
概述/要求:為規范電力行業信息安全等級保護管理,提高電力信息系統安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,根據《中華人民共和國計算機信息系統安全保護條例》、《信息安全等級保護管理辦法》,制定本辦法。
《電力監控系統安全防護總體方案》
發布日期:2015/2/4
發布單位:國家能源局
概述/要求:為了保障電力監控系統的安全,防范黑客及惡意代碼等對電力監控系統的攻擊及侵害,特別是抵御集團式攻擊,防止電力監控系統的崩潰或癱瘓,以及由此造成的電力設備事故或電力安全事故(事件),依據《電力監控系統安全防護規定》、《信息安全等級保護管理辦法》及國家有關規定,制定本方案。
《關于促進智能電網發展的指導意見》
發布日期:2015/7/6
發布單位:國家發展改革委、國家能源局
概述/要求:構建安全高效的信息通信支撐平臺。充分利用信息通信技術,構建一體化信息通信系統和適用于海量數據的計算分析和決策平臺,整合智能電網數據資源,挖掘信息和數據資源價值,全面提升電力系統信息處理和智能決策能力,為各類能源接入、調度運行、用戶服務和經營管理提供支撐。在統一的技術架構、標準規范和安全防護的基礎上,建設覆蓋規劃、建設、運行、檢修、服務等各領域信息應用系統。
《公共互聯網網絡安全突發事件應急預案》
發布日期:2017/11/14
發布單位:工業和信息化部
概述/要求:建立健全公共互聯網網絡安全突發事件應急組織體系和工作機制,提高公共互聯網網絡安全突發事件綜合應對能力,確保及時有效地控制、減輕和消除公共互聯網網絡安全突發事件造成的社會危害和損失,保證公共互聯網持續穩定運行和數據安全,維護國家網絡空間安全,保障經濟運行和社會秩序。
《App違法違規收集使用個人信息行為認定方法》
發布日期:2019/11/28
發布單位:國家互聯網信息辦公室秘書局等
概述/要求:根據《關于開展App違法違規收集使用個人信息專項治理的公告》,為監督管理部門認定App違法違規收集使用個人信息行為提供參考,為App運營者自查自糾和網民社會監督提供指引,落實《網絡安全法》等法律法規,制定本方法。
《工業數據分類分級指南(試行)》
發布日期:2020/2/27
發布單位:工業和信息化部辦公廳
概述/要求:為貫徹《促進大數據發展行動綱要》《大數據產業發展規劃(2016-2020年)》有關要求,更好推動《數據管理能力成熟度評估模型》(GB/T 36073-2018)貫標和《工業控制系統信息安全防護指南》落實,指導企業提升工業數據管理能力,促進工業數據的使用、流動與共享,釋放數據潛在價值,賦能制造業高質量發展,制定本指南。
《核動力廠網絡安全技術政策(試行)》
發布日期:2020/12/3
發布單位:國家核安全局、國家原子能機構
概述/要求:制訂本技術政策的目的在于指導營運單位通過建立和實施網絡安全大綱,對核電廠網絡安全風險進行監測和管理,以保證核電廠安全水平得以維持或得到提升。其他核設施營運單位可參照執行。
《常見類型移動互聯網應用程序必要個人信息范圍規定》
發布日期:2021/3/12
發布單位:國家互聯網信息辦公室秘書局等
概述/要求:為了規范移動互聯網應用程序(App)收集個人信息行為,保障公民個人信息安全,根據《中華人民共和國網絡安全法》,制定本規定。
《能源領域5G應用實施方案》
發布日期:2021/6/7
發布單位:國家發展改革委等
概述/要求:依托先進密碼、身份認證、加密通信等技術,研究適用于能源領域 5G 應用場景下的用戶、數據、設備與網絡之間信息傳遞、保存、分發的信息通信安全防護體系,確保 5G 融合應用相關網絡基礎設施和核心系統安全。健全能源領域 5G 應用安全技術標準,建立網絡穩定運行保障機制、電力終端入網安全認證機制、網絡切片隔離安全、分場景的業務安全測評和監測機制,提升 5G 網絡作為能源基礎通訊網絡的可靠性,避免在極端條件下影響能源領域安全生產。鼓勵國家級權威測評機構開展能源領域 5G 應用網絡安全測評和認證工作。落實 5G 網絡安全指南性文件,統籌安全與發展,將 5G 網絡安全保障納入能源領域 5G 應用的全流程全環節。
《電力安全生產“十四五”行動計劃》
發布日期:2021/12/8
發布單位:國家能源局
概述/要求:加強電力安全生產法規規章科學性、系統性、完備性建設,基于綜合管理、電網安全、發電安全、建設安全和質量、應急管理、網絡安全、大壩安全、行業監管八個縱向維度,技術、管理、文化、責任四個橫向要素,構建網格化的法規規章體系。
《網絡安全審查辦法(修訂)》
發布日期:2021/12/28
發布單位:國家互聯網信息辦公室
概述/要求:為了確保關鍵信息基礎設施供應鏈安全,保障網絡安全和數據安全,維護國家安全,根據《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《關鍵信息基礎設施安全保護條例》,制定本辦法。
《2022年能源工作指導意見》
發布日期:2022/3/17
發布單位:國家能源局
概述/要求:推進電力應急指揮中心、態勢感知平臺和網絡安全靶場建設,組織開展關鍵信息基礎設施安全保護監督檢查,推進大面積停電事件應急演練。
《電力可靠性管理辦法(暫行)》
發布日期:2022/4/16
發布單位:國家發展改革委
概述/要求:電力網絡安全堅持積極防御、綜合防范的方針,堅持安全分區、網絡專用、橫向隔離、縱向認證的原則,加強全業務、全生命周期網絡安全管理,提高電力可靠性。
《移動互聯網應用程序信息服務管理規定》
發布日期:2022/6/14
發布單位:國家互聯網信息辦公室
概述/要求:為了規范移動互聯網應用程序(以下簡稱應用程序)信息服務,保護公民、法人和其他組織的合法權益,維護國家安全和公共利益,根據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《中華人民共和國未成年人保護法》、《互聯網信息服務管理辦法》、《互聯網新聞信息服務管理規定》、《網絡信息內容生態治理規定》等法律、行政法規和國家有關規定,制定本規定。
《互聯網用戶賬號信息管理規定》
發布日期:2022/6/27
發布單位:國家互聯網信息辦公室
概述/要求:為了加強對互聯網用戶賬號信息的管理,弘揚社會主義核心價值觀,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,根據《中華人民共和國網絡安全法》、《中華人民共和國個人信息保護法》、《互聯網信息服務管理辦法》等法律、行政法規,制定本規定。
《數據出境安全評估辦法》
發布日期:2022/7/7
發布單位:國家互聯網信息辦公室
概述/要求:為了規范數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動,根據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規,制定本辦法。
《電力行業網絡安全等級保護管理辦法》
發布日期:2022/11/16
發布單位:國家能源局
概述/要求:為規范電力行業網絡安全等級保護管理,提高電力行業網絡安全保障能力和水平,維護國家安全、社會穩定和公共利益,根據《中華人民共和國網絡安全法》、《中華人民共和國密碼法》、《中華人民共和國計算機信息系統安全保護條例》、《關鍵信息基礎設施安全保護條例》、《信息安全等級保護管理辦法》等法律法規和規范性文件,制定本辦法。
《電力行業網絡安全管理辦法》
發布日期:2022/11/16
發布單位:國家能源局
概述/要求:為加強電力行業網絡安全監督管理,規范電力行業網絡安全工作,根據《中華人民共和國網絡安全法》、《中華人民共和國密碼法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《中華人民共和國計算機信息系統安全保護條例》、《關鍵信息基礎設施安全保護條例》及國家有關規定,制定本辦法。
《個人信息保護認證實施規則》
發布日期:2022/11/18
發布單位:國家市場監督管理總局、國家互聯網信息辦公室
概述/要求:本規則依據《中華人民共和國認證認可條例》制定,規定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。
《工業和信息化領域數據安全管理辦法(試行)》
發布日期:2022/12/8
發布單位:工業和信息化部辦公廳
概述/要求:為了規范工業和信息化領域數據處理活動,加強數據安全管理,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家安全和發展利益,根據《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國國家安全法》《中華人民共和國民法典》等法律法規,制定本辦法。
《互聯網信息服務深度合成管理規定》
發布日期:2022/12/11
發布單位:國家互聯網信息辦公室、工業和信息化部部長、公安部部長
概述/要求:為了加強互聯網信息服務深度合成管理,弘揚社會主義核心價值觀,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,根據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《互聯網信息服務管理辦法》等法律、行政法規,制定本規定。
《2023年電力安全監管重點任務》
發布日期:2023/1/17
發布單位:國家能源局綜合司
概述/要求:推進電力行業網絡與信息安全工作。組織開展網絡安全五年行動計劃中期評估,持續推進電力行業網絡安全“明目”“賦能”“強基”行動。加強網絡安全態勢感知能力建設,推進國家級電力網絡安全靶場建設,組織開展年度攻防演練。修訂行業網絡安全事件應急預案,建立完善網絡安全監督管理技術支撐體系,推動量子計算、北斗、商用密碼等在電力行業的應用。
《個人信息出境標準合同辦法》
發布日期:2023/2/24
發布單位:國家互聯網信息辦公室
概述/要求:為了保護個人信息權益,規范個人信息出境活動,根據《中華人民共和國個人信息保護法》等法律法規,制定本辦法。
《關于加快推進能源數字化智能化發展的若干意見》
發布日期:2023/3/28
發布單位:國家能源局
概述/要求:推動能源系統網絡安全技術突破。加強融合本體安全和網絡安全的能源裝備及系統保護技術研究,加快推進內生安全理論技術在能源系統網絡安全領域的應用,提升網絡安全智能防護技術水平,強化監控及調度系統網絡安全預警及響應處置,提高主動免疫和主動防御能力,實現自動化安全風險識別、風險阻斷和攻擊溯源。推動開展能源數據安全共享及多方協同技術研發,發展能源數據可信共享與精準溯源技術,強化數據共享中的確權及動態訪問控制,提高敏感數據泄露監測、數據異常流動分析等技術保障能力,促進構建數據可信流通環境,提高數據流通效率。
《網絡安全標準實踐指南—網絡數據安全風險評估實施指引》
發布日期:2023/5/26
發布單位:全國信息安全標準化技術委員會秘書處
概述/要求:本指南給出了網絡數據安全風險評估思路、工作流程和評估內容,提出從數據安全管理、數據處理活動、數據安全技術、個人信息保護等方面評估安全風險。本指南適用于指導數據處理者、第三方機構開展風險評估,也可為有關主管監管部門組織開展數據安全檢查評估提供參考。
《個人信息保護合規審計管理辦法(征)》
發布日期:2023/8/3
發布單位:國家互聯網信息辦公室
概述/要求:為指導、規范個人信息保護合規審計活動,提高個人信息處理活動合規水平,保護個人信息權益,根據《中華人民共和國個人信息保護法》等法律、行政法規和國家有關規定,制定本辦法。
《人臉識別技術應用安全管理規定(試行)(征)》
發布日期:2023/8/8
發布單位:國家互聯網信息辦公室
概述/要求:為規范人臉識別技術應用,保護個人信息權益及其他人身和財產權益,維護社會秩序和公共安全,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律,制定本規定。
《工業和信息化領域數據安全風險評估實施細則(試行)(征)》
發布日期:2023/10/9
發布單位:工業和信息化部辦公廳
概述/要求:根據《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《工業和信息化領域數據安全管理辦法(試行)》等法律法規、政策文件有關要求,引導工業和信息化領域數據處理者規范開展數據安全風險評估工作,提升數據安全管理水平,維護國家安全和發展利益,制定本細則。
《工業和信息化領域數據安全事件應急預案(征)》
發布日期:2023/12/14
發布單位:工業和信息化部網絡安全管理局
概述/要求:建立健全工業和信息化領域數據安全事件應急組織體系和工作機制,提高數據安全事件綜合應對能力,確保及時有效地控制、減輕和消除數據安全事件造成的危害和損失, 保護個人、組織的合法權益,維護國家安全和公共利益。
《工業控制系統網絡安全防護指南》
發布日期:2024/1/19
發布單位:工業和信息化部
概述/要求:工業控制系統是工業生產運行的基礎核心。為適應新時期工業控制系統網絡安全形勢,進一步指導企業提升工控安全防護水平,夯實新型工業化發展安全根基,制定本指南。
《2024年電力安全監管重點任務》
發布日期:2024/2/1
發布單位:國家能源局綜合司
概述/要求:完善網絡安全風險管控體系。推進《電力監控系統安全防護規定》《電力網絡安全事件應急預案》修訂,指導電力調度機構研究制定電力監控系統專用安全產品管理辦法。組織開展攻防實戰演習,指導電力行業關鍵信息基礎設施運營者加強供應鏈安全管理,不斷完善網絡安全監測預警和信息通報制度,指導行業共建共用行業級監測預警、信息共享和漏洞資源基礎設施。
《促進和規范數據跨境流動規定》
發布日期:2024/3/22
發布單位:國家互聯網信息辦公室
概述/要求:為了保障數據安全,保護個人信息權益,促進數據依法有序自由流動,根據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規,對于數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度的施行,制定本規定。
《關于深化智慧城市發展 推進城市全域數字化轉型的指導意見》
發布日期:2024/5/14
發布單位:? 國家發展改革委、國家數據局、財政部、自然資源部
概述/要求:加快推進城市數據安全體系建設,依法依規加強數據收集、存儲、使用、加工、傳輸、提供、公開等全過程安全監管,落實數據分類分級保護制度,壓實數據安全主體責任。加強個人隱私保護。推進建設有韌性的城市數據可信流通體系,健全數據要素流通領域數據安全實時監測預警、數據安全事件通報和應急處理機制。推動綜合能源服務與智慧社區、智慧園區、智慧樓宇等用能場景深度耦合,利用數字技術提升綜合能源服務綠色低碳效益。推動新能源汽車融入新型電力系統,推進城市智能基礎設施與智能網聯汽車協同發展。
03技術標準
?
數據分類分級
?
《電力行業信息系統安全等級保護實施指南》
標準號:GB/T 37138-2018
發布日期:2018/12/28
類型:國標
概述/要求:本標準規定了電力信息系統安全等級保護實施的基本原則、角色和職責,以及定級與備案、測評與評估、安全整改、退運等基本活動。適用于指導電力信息系統安全等級保護的實施
《信息技術 大數據 數據分類指南》
標準號:GB/T 38667-2020
發布日期:2020/4/28
類型:國標
概述/要求:本標準提供了大數據分類過程及其分類視角、分類維度和分類方法等方面的建議和指導。適用于指導大數據分類。
《信息安全技術 重要數據識別指南(征)》
標準號:/
發布日期:尚未發布
類型:/
概述/要求:本文件給出了識別重要數據的基本原則、考慮因素以及重要數據描述格式。本文件適用于數據處理者識別其掌握的重要數據,為重要數據安全保護工作提供支撐,也可供各地各部門制定本地區、本部門以及相關行業、領域的重要數據具體目錄提供參考。
《信息安全技術 重要數據處理安全要求(征)》
標準號:/
發布日期:尚未發布
類型:/
概述/要求:本文件規定了數據處理者處理重要數據的安全要求。適用于數據處理者對重要數據開展處理活動,也可供監管部門、評估機構或其他有關組織對重要數據處理活動實施安全監管、評估等活動時參考。
《信息安全技術 網絡數據分類分級要求(征)》
標準號:/
發布日期:尚未發布
類型:/
概述/要求:本文件給出了數據分類分級的原則和方法,包括數據分類分級基本原則、數據分類框架和方法、數據分級框架和方法等。適用于行業領域主管(監管)部門參考制定本行業本領域的數據分類分級標準規范,也適用于各地方、各部門開展本地區、本部門的數據分類分級工作,同時還可為數據處理者進行數據分類分級提供參考。
?
個人信息保護
?
《信息安全技術 公共及商用服務信息系統個人信息保護指南》
標準號:GB/Z 28828-2012
發布日期:2012/11/5
類型:國標
概述/要求:本指導性技術文件規范了全部或部分通過信息系統進行個人信息處理的過程,為信息系統中個人信息處理不同階段的個人信息保護提供指導。適用于指導除政府機關等行使公共管理職責的機構以外的各類組織和機構,如電信、金融、醫療等領域的服務機構,開展信息系統中的個人信息保護工作。
《信息安全技術 個人信息去標識化指南》
標準號:GB/T 37964-2019
發布日期:2019/8/30
類型:國標
概述/要求:本標準描述了個人信息去標識化的目標和原則,提出了去標識化過程和管理措施。本標準針對微數據提供具體的個人信息去標識化指導,適用于組織開展個人信息去標識化工作,也適用于網絡安全相關主管部門、第三方評估機構等組織開展個人信息安全監督管理、評估等工作。
《信息安全技術 個人信息安全規范》
標準號:GB/T 35273-2020
發布日期:2020/3/6
類型:國標
概述/要求:本標準規定了開展收集、存儲、使用、共享、轉讓、公開披露、刪除等個人信息處理活動的原則和安全要求。適用于規范各類組織的個人信息處理活動,也適用于主管監管部門、第三方評估機構等組織對個人信息處理活動進行監督、管理和評估。
《信息安全技術 個人信息安全影響評估指南》
標準號:GB/T 39335-2020
發布日期:2020/11/19
類型:國標
概述/要求:本標準給出了個人信息安全影響評估的基本原理、實施流程。適用于各類組織自行開展個人信息安全影響評估工作,同時可為主管監管部門、第三方測評機構等組織開展個人信息安全監督、檢查、評估等工作提供參考。
《信息安全技術 公有云中個人信息保護實踐指南》
標準號:GB/T 41574-2022
發布日期:2022/7/11
類型:國標
概述/要求:本文件給出了在公有云中實施個人信息保護的控制目標和控制措施,在GB/T 22081基礎上給出了公有云個人信息保護指南。適用于作為個人信息處理者的所有類型和規模的組織,包括公有和私營公司、政府機構和非營利組織。
《信息安全技術 步態識別數據安全要求》
標準號:GB/T 41773-2022
發布日期:2022/10/12
類型:國標
概述/要求:本文件規定了步態識別數據收集、存儲、傳輸、使用、加工、提供、公開、刪除等數據處理活動的安全要求。適用于步態識別數據處理者規范數據處理活動,監管部門、第三方評估機構對步態識別數據處理活動進行監督、管理、評估參照使用。
《信息安全技術 基因識別數據安全要求》
標準號:GB/T 41806-2022
發布日期:2022/10/12
類型:國標
概述/要求:本文件規定了基因識別數據及關聯信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等數據處理活動的安全要求。適用于基因識別數據及關聯信息的處理者規范數據處理活動,也可為監管部門、第三方評估機構對基因識別數據處理活動進行監督、管理、評估提供參考。
《信息安全技術 聲紋識別數據安全要求》
標準號:GB/T 41807-2022
發布日期:2022/10/12
類型:國標
概述/要求:本文件規定了聲紋識別數據的收集、存儲、使用、傳輸、提供、公開、刪除等活動中,對數據處理者的安全要求。適用于規范數據處理者的聲紋識別數據處理行為。
《信息安全技術 個人信息安全工程指南》
標準號:GB/T 41817-2022
發布日期:2022/10/12
類型:國標
概述/要求:本文件提出了個人信息安全工程的原則、目標、階段和準備,提供了網絡產品和服務在需求、設計開發、測試、發布階段落實個人信息安全要求的工程化指南。適用于涉及個人信息處理的網絡產品和服務(含信息系統),為其同步規劃、同步建設個人信息安全措施提供指導,也適用于組織在軟件開發生存周期開展隱私工程時參考。
《信息安全技術 人臉識別數據安全要求》
標準號:GB/T 41819-2022
發布日期:2022/10/12
類型:國標
概述/要求:本文件規定了人臉識別數據的安全通用要求以及收集、存儲、使用、傳輸、提供、公開、刪除等具體處理活動的安全要求。適用于數據處理者安全開展人臉識別數據處理活動。
風險評估
?
《信息安全技術 數據安全能力成熟度模型》
標準號:GB/T 37988-2019
發布日期:2019/8/30
類型:國標
概述/要求:本標準給出了組織數據安全能力的成熟度模型架構,規定了數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全的成熟度等級要求。本標準適用于對組織數據安全能力進行評估,也可作為組織開展數據安全能力建設時的依據。
《信息安全技術 數據安全風險評估方法(征)》
標準號:/
發布日期:尚未發布
類型:/
概述/要求:本文件給出了數據安全風險評估的基本概念、要素關系、分析原理、實施流程、評估內容、分析與評價方法等,明確了數據安全風險評估各階段的實施要點和工作方法。本文件適用于指導數據處理者、第三方評估機構開展數據安全風險評估,也可供有關主管監管部門實施數據安全檢查評估時參考。
?
全生命周期安全技術
《信息安全技術 數據備份與恢復產品技術要求與測試評價方法》
標準號:GB/T 29765-2021
發布日期:2013/9/18
類型:國標
概述/要求:本文件規定了數據備份與恢復產品安全功能要求、自身安全要求、安全保障要求與測試評價方法。本文件適用于對數據備份與恢復產品的研制、生產、測試和評價。
《信息安全技術 存儲介質數據恢復服務要求》
標準號:GB/T 31500-2015
發布日期:2015/5/15
類型:國標
概述/要求:本標準規定了實施存儲介質數據恢復服務所需的服務原則、服務條件、服務過程要求及管理要求。本標準適用于指導提供存儲介質數據恢復服務機構針對非涉及國家秘密的數據恢復服務實施和管理。
《電力行業數據災備系統存儲監控技術規范》
標準號:DL/T 1597-2016
發布日期:2016/8/16
類型:行標
概述/要求:本標準規定了電力行業數據災備系統存儲監控功能、監控內容、監控指標、監控方式等技術要求。適用于數據災備系統中的存儲設備、光纖交換機及磁帶庫(虛擬磁帶庫)設備的監控和管理及相關監控系統。
《電子數據恢復和銷毀技術要求》
標準號:DL/T 1757-2017
發布日期:2019/2/11
類型:行標
概述/要求:本標準規定了電力行業非涉及國家秘密的電子數據恢復和銷毀的技術要求,適用于電力企業非涉及國家秘密的電子數據的恢復和銷毀。
《信息安全技術 大數據安全管理指南》
標準號:GB/T 37973-2019
發布日期:2019/8/30
類型:國標
概述/要求:本標準提出了大數據安全管理基本原則,規定了大數據安全需求、數據分類分級、大數據活動的安全要求、評估大數據安全風險。本標準適用于各類組織進行數據安全管理,也可供第三方評估機構參考。
《信息安全技術 數據交易服務安全要求》
標準號:GB/T 37932-2019
發布日期:2020/3/1
類型:國標
概述/要求:本標準規定了通過數據交易服務機構進行數據交易服務的安全要求,包括數據交易參與方、交易對象和交易過程的安全要求。適用于數據交易服務機構進行安全自評估,也可供第三方測評機構對數據交易服務機構進行安全評估時參考。
《電力數據脫敏實施規范》
標準號:DL/T 2549-2022
發布日期:2022/11/4
類型:行標
概述/要求:本文件規定了電力數據脫敏的目標、原則、形態、典型場景、實施流程和相關技術要求,適用于電力行業非涉密信息系統中結構化數據的脫敏。
《信息安全技術 大數據服務安全能力要求》
標準號:GB/T 35274-2023
發布日期:2023/8/6
類型:國標
概述/要求:本文件規定了大數據服務提供者的大數據服務安全能力要求,包括大數據組織管理安全能力、大數據處理安全能力和大數據服務安全風險管理能力的要求,本文件適用于指導大數據服務提供者的大數據服務安全能力建設,也適用于第三方機構對大數據服務提供者的大數據服務安全能力進行評估。
《信息安全技術 數據出境安全評估指南(征)》
標準號:/
發布日期:尚未發布
類型:/
概述/要求:本標準對數據出境安全評估的工作要求、方法流程、評估內容和結果判定進行了規范。本標準適用于關鍵信息基礎設施運營者開展的數據出境安全評估工作,也適用于網絡安全相關主管部門、第三方評估機構等組織開展數據出境安全評估、監督管理等工作。
新興技術
《信息安全技術 邊緣計算安全技術要求》
標準號:GB/T 42564-2023
發布日期:2023/5/23
類型:國標
概述/要求:本文件規定了邊緣計算安全框架以及安全框架下的基礎設施安全、網絡安全、應用安全、數據安全、安全運維、安全支撐、端邊協同安全、云邊協同安全技術要求。本文件適用于指導邊緣計算提供者和邊緣計算開發者開展邊緣計算的研發、測試、部署和運營。
《信息安全技術 區塊鏈技術安全框架》
標準號:GB/T 42570-2023
發布日期:2023/5/23
類型:國標
概述/要求:本文件給出了區塊鏈技術安全框架,該框架包括區塊鏈密碼支撐、區塊鏈安全功能組件、區塊鏈安全管理運行和區塊鏈角色安全職責等部分。適用于指導區塊鏈業務提供者在區塊鏈設計、開發、部署、管理和運維的過程中進行整體規劃和安全框架設計,也可為開展區塊鏈安全評估提供參考。
?
涉及能源業務相關的專項標準
?
《電力系統控制及其通信數據和通信安全》
標準號:DL/Z 981-2005
發布日期:2005/11/28
類型:行標
概述/要求:本指導性技術文件適用于電力部門的計算機化的監視、控制、計量和保護系統。文件涉及這些系統的使用、訪問以及內部和系統之間的通信協議有關的安全方面問題。
《互聯網環境下的數據安全傳輸技術規范》
標準號:Q/GDW 1775-2012
發布日期:2013/11/6
類型:企業標準
概述/要求:本標準規定了互聯網終端通過互聯網(Internet)通道與公司對外服務類系統數據交互的信息安全傳輸的主要技術要求和安全防護原則。
《智能電網業務系統終端安全防護技術規范》
標準號:Q/GDW 1776-2012
發布日期:2013/11/6
類型:企業標準
概述/要求:本標準規定了設計、開發和使用智能電網業務終端時所應遵循的安全防護技術原則和技術要求,本標準描述的智能電網業務終端指通過無線APN專網接入業務系統的移動作業類終端、信息采集類終端。移動作業類終端包括 PC類終端和 PDA/手機類終端,信息采集類終端包括輸電線路狀態監測代理設備CMA、用電信息采集終端。
《能源計量數據公共平臺數據傳輸協議》
標準號:GB/T 29873-2013
發布日期:2013/11/12
類型:國標
概述/要求:本標準規定了能源計量數據公共平臺數據傳輸協議的公共平臺結構、協議層次和通訊協議。適用于能源計量數據公共平臺中的能源數據中心和用能單位能源計量數據集中采集終端之間的數據交換傳輸。
《石油數據映射應用指南》
標準號:SY/T 7004-2014
發布日期:2014/10/15
類型:行標
概述/要求:本標準規定了石油天然氣行業信息系統兩個數據庫之間數據映射的基本概念、流程、映射的分類以及各種映射規則。適用于石油行業各級信息系統的數據交換和數據集成。
《電力信息安全水平評價指標》
標準號:GB/T 32351-2015
發布日期:2015/12/31
類型:國標
概述/要求:本標準規定了電力信息安全水平評價指標,描述了評價指標量化方法。適用于電力監管機構對電網、發電、電力科研及電力設計施工等電力組織機構開展信息安全水平評價,也適用于上述電力組織機構開展信息安全水平自評價。信息安全服務提供商為電力組織機構提供服務時也可參考使用。
《電力信息系統安全檢查規范》
標準號:GB/T 36047-2018
發布日期:2018/3/15
類型:國標
概述/要求:本標準規定了電力信息安全檢查工作的流程、方法和內容等。適用于行業網絡與信息安全主管部門開展電力信息系統安全的檢查工作和電力企業在本集團(系統)范圍內開展相關信息系統安全的自查工作。
《信息安全技術 物聯網數據傳輸安全技術要求》
標準號:GB/T 37025-2018
發布日期:2018/12/28
類型:國標
概述/要求:本標準規定了物聯網(工控終端除外)數據傳輸安全分級及其基本級和增強級安全技術要求等。適用于相關方對物聯網數據傳輸安全的規劃、建設、運行、管理等。
《用能單位能耗在線監測技術要求》
標準號:GB/T 38692-2020
發布日期:2020/3/31
類型:國標
概述/要求:監測管理終端進行信息交換應采取跨區安全防護措施,具體包括,一是在接入外網前通過安全隔離網關進行安全隔離,安全隔離網關應符合GB/T 20279對網絡和終端隔離產品的技術要求;平臺連接應采用經過國家認證的統一的CA數字認證證書。
《信息安全技術 智慧城市建設信息安全保障指南》
標準號:GB/Z 38649-2020
發布日期:2020/4/28
類型:國標
概述/要求:本指導性技術文件提供了智慧城市建設全過程的信息安全保障指導,包括智慧城市建設從規劃與需求分析、設計、實施施工、檢測驗收、運營維護、監督檢查與評估到優化與持續改進的全過程信息安全保障的管理機制與技術規范。適用于智慧城市規劃、管理、建設、運營,也可為其他智慧城市建設信息安全相關標準的制定提供依據和參考。
《信息安全技術 政務信息共享 數據安全技術要求》
標準號:GB/T 39477-2020
發布日期:2020/11/19
類型:國標
概述/要求:本標準提出了政務信息共享數據安全要求技術框架,規定了政務信息共享過程中共享數據準備、共享數據交換、共享數據使用階段的數據安全技術要求以及相關基礎設施的安全技術要求。本標準適用于指導各級政務信息共享交換平臺數據安全體系建設,規范各級政務部門使用政務信息共享交換平臺交換非涉及國家秘密數據安全保障工作。
《信息安全技術 信息系統密碼應用基本要求》
標準號:GB/T 39786-2021
發布日期:2021/3/19
類型:國標
概述/要求:本標準規定了信息系統第一級到第四級的密碼應用的基本要求,從信息系統的物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全四個技術層面提出了第一級到第四級的密碼應用技術要求,并從管理制度、人員管理、建設運行和應急處置四個方面提出了第一級到第四級的密碼應用管理要求。
《工業企業能源管控中心建設指南》
標準號:GB/T 40063-2021
發布日期:2021/4/30
類型:國標
概述/要求:本標準提供了工業企業能源管控中心建設的基本原則、技術內容、功能、軟件、硬件及安全、運行維護管理等指導內容。適用于工業企業能源管控中心建設及改造,其他類型的機構可參照執行。要求網絡及存儲設備宜按GB/T 22239二級及以上標準執行,根據實際需求配置數據安全管理系統,確保網絡傳輸和信息安全
《電力物聯網數據安全分級保護要求》
標準號:Q/GDW 12111-2021
發布日期:2021/5/26
類型:企業標準
概述/要求:本標準規定了國家電網有限公司非涉及國家秘密的電力物聯網電子數據安全級別劃分以及各級數據從數據采集、傳輸、存儲、處理、交換、銷毀等全生命周期各環節安全要求。本標準適用于指導國家電網有限公司電力物聯網數據全生命周期安全分級防護。
《電力物聯網數據中臺服務接口規范》
標準號:Q/GDW 12105-2021
發布日期:2021/5/26
類型:企業標準
概述/要求:本標準規定了數據中臺服務接口規范,包括數據服務總體要求、技術要求兩部分。本標準適用于國家電網有限公司數據服務接口設計、開發、運行、維護等環節。
《電力移動應用APP安全防護標準》
標準號:DL/T 2398-2021
發布日期:2021/12/22
類型:行標
概述/要求:本文件規定了電力行業移動應用App 安全防護的技術要求,包括安裝部署、網絡傳輸、數據、應用、運行的安全。
《核電廠工業控制系統網絡安全管理要求》
標準號:GB/T 41241-2022
發布日期:2022/3/9
類型:國標
概述/要求:本文件規定了核電廠工業控制系統網絡安全方面的管理、技術防護和應急管理的要求,適用于核電廠領域工業控制系統生命周期的所有階段網絡安全活動,也適用于指導核電廠工業控制系統用戶改善和提高生產系統中網絡安全防護能力的系統維護活動。
《信息安全技術 移動互聯網應用程序(App)收集個人信息基本要求》
標準號:GB/T 41391-2022
發布日期:2022/4/15
類型:國標
概述/要求:本文件規定了App收集個人信息的基本要求,給出了常見服務類型App必要個人信息范圍和使用要求。適用于App運營者規范其個人信息收集活動,也適用于監管部門、第三方評估機構等對APP個人信息收集活動進行監督、管理和評估。
《信息安全技術 汽車數據處理安全要求》
標準號:GB/T 41871-2022
發布日期:2022/10/12
類型:國標
概述/要求:本文件規定了汽車數據處理者對汽車數據進行收集、傳輸等處理活動的通用安全要求、車外數據安全要求、座艙數據安全要求和管理安全要求。適用于汽車數據處理者開展汽車數據處理活動,適用于汽車的設計、生產、銷售、使用和運維,也適用于主管監管部門和第三方評估機構等對汽車數據處理活動進行監督、管理和評估。
《信息安全技術 即時通信服務數據安全要求》
標準號:GB/T 42012-2022
發布日期:2022/10/12
類型:國標
概述/要求:本文件規定了即時通信服務收集、存儲、傳輸、使用、加工、提供、公開、刪除、出境等數據處理活動的安全要求。適用于即時通信服務提供者規范數據處理活動,也可為監管部門、第三方評估機構對即時通信服務數據處理活動進行監督、管理、評估提供參考。
《信息安全技術 網絡支付服務數據安全要求》
標準號:GB/T 42015-2022
發布日期:2022/10/12
類型:國標
概述/要求:本文件規定了網絡支付服務收集、存儲、傳輸、使用、加工、提供、公開、刪除、出境等數據處理活動的安全要求。適用于網絡支付服務提供者規范數據處理活動,也可為監管部門、第三方評估機構對網絡支付服務數據處理活動進行監督、管理、評估提供參考。
《信息安全技術 網絡音視頻服務數據安全要求》
標準號:GB/T 42016-2022
發布日期:2022/10/12
類型:國標
概述/要求:本文件規定了網絡音視頻服務收集、存儲、使用、加工、傳輸、提供、公開、刪除等數據處理活動的安全要求。適用于網絡音視頻服務提供者規范數據處理活動,也可為監管部門、第三方評估機構對網絡音視頻服務數據處理活動進行監督、管理、評估提供參考。
《信息安全技術 關鍵信息基礎設施安全保護要求》
標準號:GB/T 39204-2022
發布日期:2022/10/12
類型:國標
概述/要求:本文件規定了關鍵信息基礎設施分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置等方面的安全要求。適用于指導運營者對關鍵信息基礎設施進行全生存周期安全保護,也可供關鍵信息基礎設施安全保護的其他相關方參考使用。
《能源大數據 數據安全分類分級指南》
標準號:T/JSIA 0001--2022
發布日期:2022/12/1
類型:團體標準
概述/要求:本文件定義了能源大數據中心數據資源的基本分類分級原則、方法,適用于指導能源大數據中心開展數據分類分級工作。
《電動汽車充電設施及運營平臺信息安全技術規范》
標準號:NB/T 11302-2023
發布日期:2023/10/11
類型:行標
概述/要求:本文件規定了電動汽車充電設施及運營平臺的網絡信息安全防護要求。適用于電動汽車充電設施及運營平臺、充電設備、移動智能終端充電軟件的信息安全防護設計、信息安全評估等。
《核電廠儀表和控制系統網絡安全防范管控》
標準號:GB/T 43532-2023
發布日期:2023/12/28
類型:國標
概述/要求:本文件規定了核電廠儀表和控制系統網絡安全防范管控分類清單,并供用戶進行選擇和應用,從而預防、檢測和修正核電廠數字化儀控系統的計算機網絡攻擊。適用于新建核電廠儀控系統生命周期所有階段安全管控措施選擇和執行活動,也適用于核電廠在役儀控系統的更新或改造。核電廠電氣系統的網絡安全防范管控也可參照本文件執行。
)
maven項目構建(命令))
-基于三維形狀和靜電相似性的DeepFMPO v3D安裝及使用)
