《核能领域数据安全风险评估方法》-编制说明

《核能领域数据安全风险评估方法》编制说明（征求意见稿）一、工作简况1、任务来源为贯彻《中华人民共和国数据安全法》，落实、细化、规范核能行业数据安全具体工作，增强核能领域数据全生命周期安全防护的能力，提升核能行业整体数据安全水平，中国核能行业协会信息化专业委员会组织行业内外相关单位共同编制核能领域数据安全系列标准。2022年12月15日，中国核能行业协会信息化专业委员会（简称“信专委”）发函“关于商请参加核能领域数据安全标准编制工作的函”（核协信专函〔2022〕29号），本标准《核能领域数据安全风险评估方法》为其中推荐用于核能行业开展数据安全风险评估方法的规范。2、主要工作过程本标准各阶段进度计划安排如下：2022年底前完成工作研讨和初步意向征集；2023年第一季度基于对中核矿业科技集团有限公司、福建福清核电有限公司开展数据安全检测评估活动契机，调研相关单位数据分类分级现状；2023年第一季度完成标准草案和立项工作；2023年第二季度完成定向意见征求；2023年第三季度完成公开意见征求；2024年第二季度完成标准送审稿；2024年第三季度完成标准报批稿。当前标准编制进展描述如下：2022年12月，信专委完成标准立项前的工作研讨和初步意向征集；2023年1月13日，中国核能行业协会召开团体标准立项评审会，该标准在会上通过立项审查，并通过公示期；2023年3月2日，信专委组织召开了组内工作推进会议，完成了标准编写规范和方法的培训，并对标准立项评审过程中专家提的意见进行了整改响应；2023年10月18日，信专委组织召开加快推进核能领域数据安全标准编制工作会议，宣贯政府主管部门对核能领域数据安全工作新的要求，并提出加快数据安全标准编制工作；2023年11-12月，标准编制组对标准内容进一步完善，形成征求意见稿；2024年2-3月，准备标准定向征求意见、公开征求意见。3、主要参加单位和工作组成员及其所作的工作等本文件编制的参与单位和分工如下：单位名称编写分工主要承担工作中核矿业科技集团有限公司组长单位牵头编制国核示范电站有限责任公司成员单位参与编制华能山东石岛湾核电有限公司成员单位参与编制同方知网数字出版技术股份有限公司成员单位参与编制福建福清核电有限公司成员单位参与编制核电运行研究（上海）有限公司成员单位参与编制中国核电工程有限公司成员单位参与编制华能山东石岛湾核电有限公司成员单位参与编制中核兰州铀浓缩有限公司成员单位参与编制中核武汉核电运行技术股份有限公司成员单位参与编制中国电子技术标准化研究院成员单位参与各阶段的讨论和评审南华大学成员单位参与编制中国信息通信研究院成员单位参与编制中国核能行业协会成员单位参与编制北京启明星辰信息安全技术有限公司成员单位参与编制中国宝原投资有限公司成员单位参与各阶段的讨论和评审二、标准编制原则和主要内容1、标准编制原则本标准的编制旨在指导核行业单位组织实施文档评估，帮助管理主体查找短板，提升文档管理水平。本标准本着公正性、科学性、实用性的原则编制。公正性本标准在实施过程中，要求以掌握的事实材料为依据，尊重客观事实，不带有主观随意性，不受外界干扰、不迁就任何单位和个人的片面要求。科学性本标准研究了国内外企业文档管理的指标、评价体系的制定和执行情况及相关法规要求，基于国内核行业单位文档管理及评价体系的建设需求，参考相关DA、GB标准，结合多个核行业单位的文档管理实践和管理特点进行编制。实用性本标准的指标设计立足现有企事业文档管理实践，内容全面、指导性强，达到促进企事业文档管理规范、安全、有效的目的。2、标准主要内容的依据2.1概述按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本标准出了数据安全风险评估的基本要求、实施流程、评估内容，明确了数据安全风险评估各阶段的实施要点和工作方法。以适用范围划定工作思路，明确核能领域开展数据安全风险评估活动的基本要求、实施流程与实施内容，给出了风险评估内容指标，并对评估的结果给出安全分析和评价参考，指导行业各单位开展数据安全风险评估工作，助力监管部门对各单位数据安全风险评估工作的监督指导。围绕核能领域数据安全风险评估活动，关注风险评估的对象、要求、评估内容和评估结果的评价与分析等，重点关注实施过程中对于在建核电厂与运营核电厂的增强评估要求与整体风险评估内容指标。特别说明：涉及国家秘密的数据和军事数据不适用于本标准。开展涉及个人信息的数据处理活动，还应当遵守有关法律、行政法规的规定。2.2主要技术内容说明2.2.1第1章范围 本章规定了本标准的编制目的和适用范围。本文件适用于指导核能领域网络运营者开展网络数据处理活动的安全风险评估，并为第三方安全评估机构等单位开展核能领域网络数据安全检查与评估工作提供参考。2.2.2第2章规范性引用文件GB/T25069—2022信息安全技术术语2.2.3第3章术语和定义本标准中的术语及定义部分参照国家、行业标准规范中已有的相应术语给出定义。其中：“数据、数据安全、数据处理活动、合理性”参照《数据安全法》给出术语定义；“网络数据、网络运营者”参照《网络安全法》给出术语定义；“重要数据”参照《GB/T41479—2022信息安全技术网络数据处理安全要求》给出术语定义。“数据安全风险、数据安全风险评估、安全措施、业务、风险源”自定义。2.2.4第4章核能领域风险评估基本要求与流程本章针对通用对象尤其是重点对象，提出核能领域数据安全风险评估的触发场景，围绕评估的内容框架，开展流程设计和事前预警及信息同步机制。本章节主要内容包括：4.1评估适用对象开展数据安全风险评估，首要关注评估的适用对象，标准对通用评估对象和重点评估对象进行说明，并明确重点评估对象的判断情形。4.2评估触发场景评估的场景分为周期性评估和触发性评估，一是明确了周期性评估的对象和评估周期，二是重点描述了触发风险评估的重要数据处理场景。4.3事前咨询与风险评估报送明确了开展高风险数据处理活动事前咨询和重要数据者定期风险报告报送机制，有效规避数据处理者进行数据处理活动中造成重大影响或损失，并和监管部门及时进行信息同步。4.4评估实施流程定义了评估的实施流程包括“评估准备、要素识别、风险识别、安全分析、评估总结”五个阶段。4.5评估内容框架定义了在风险要素识别的基础上，数据安全风险评估内容包括数据处理活动、数据安全管理、数据安全技术三方面。主要依据如下：—《数据安全法》第三十条“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告”的相关要求，开展数据安全风险合规建设。— GB/T41479—2022《信息安全技术网络数据处理安全要求》在总体要求中明确了网络数据处理安全的数据识别是基础、风险防控是核心2.2.5第5章核能领域数据安全风险评估实施安全风险评估的核心内容，包括评估准备、要素识别、风险识别、安全分析和评估总结。本章节主要内容包括：5.1评估准备包括目标、范围、规则的确定和团队组建等，评估的对象、范围和边界，依据评估目标确定。5.2要素识别包括数据处理者、业务和信息系统识别、数据资产、数据处理活动、安全保护措施。5.3风险识别风险识别是数据安全风险评估的关键步骤，开展具体的风险识别工作，要基于数据处理活动、数据安全管理、数据安全技术三方面内容的特性划分不同的风险识别类别，关注不同类别的重点评估内容检查项，依据重点评估内容的符合情况初步得出风险识别的评估结果。5.4安全分析对数据风险评估活动发现的问题进行风险分析并提出整改建议。5.5评估总结依据安全分析结果，结合评估过程，编制评估报告，提出风险处置建议并分析残余风险，最后通过评估后评价让整体流程闭环。2.2.6第6章核能领域数据安全风险评估结果利用模型计算公式对评估结果综合计分，并依据过程中的安全问题和风险情况划分安全风险等级。并结合监管关注重大事项的事实情况，根据事项对应的评价判罚，确定最终得分。2.2.7第7章附录附录A《核能领域数据安全风险评估准备清单》提供核能行业各单位和组织开展数据安全风险评估调研的前期准备清单模版和参考。包括B.1相关方联系表、B.2资料收集清单、B.3评估准备事项附录B《核能领域数据安全风险评估输出物模版》根据模板可输出评估工作的规范记录，长期来看，利于数据安全风险评估和数据安全能力建设的工作对比、整合和改进。包括B.1-通用数据安全风险评估报告模板、B.2-高风险数据处理活动事前咨询信息提供模板、B.3-数据安全问题清单模板。3、解决的主要问题本标准主要用于落实《数据安全法》第三十条“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告”的相关要求，开展数据安全风险合规建设。核能行业各单位结合业务实际开展数据安全处理活动及风险评估、报送等工作缺乏细致的规范指导。为加快建立健全的、针对性的、可落地的数据安全风险评估方法和体系，推进核能行业数据依法合理有效利用，规范数据处理活动，提升数据安全保障水平，有效防范各类数据安全风险。通过完善核能行业健全的、针对性的、可落地的数据安全风险评估标准，完善数据安全风险评估工作合规建设，实现数据安全风险评估工作常态化、标准化，推进核能行业数据合理有效利用、依法安全流通，提升核能行业数据安全综合防护能力。三、主要试验（或验证）情况本标准提出核能领域数据安全风险评估方法，相关技术和管理条款源于核能企业数据全生命周期管理实践。同时，为使标准内容更加符合应用实际，在标准应用阶段可以更加有效地指导核能企业开展数据安全检测评估工作，协会信专委面向核行业广泛征集数据安全问题及相关工作建议，经研究后提炼共性问题、在标准内容中予以完善。四、标准中涉及专利的情况本标准的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。五、预期达到的社会效益、对产业发展的作用等情况本标准用于规范核能行业数据和数据处理活动的安全风险和违法违规问题的识别、评价与预防改进，定义一套行之有效的数据安全风险评估方法，确立有效的评估和监管机制，对提升核能领域数据安全防护水平具有重大意义。六、与国际、国外对比情况目前未查询到核能领域数据安全风险评估方法相关的国际、国外标准。七、在标准体系中的位置，与现行相关法律、法规、规章及标准，特别是强制性标准的协调性我国现有的相关标准，“GB/T37988-2019信息安全技术数据安全能力成熟度模型”主要提出了数据安全成熟度模型，“GB/T20984—2022信息安全技术信息安全风险评估方法”是网络与信息系统安全防护标准，“GB/T41479—2022《信息安全技术网络数据处理安全要求》”，在总体要求中明确了网络数据处理活动要求。2021年是我国数据安全政策元年，2021年9月，《数据安全法》正式出台，2022年数据安全合规建设全面启动，在数据安全安全防护总体要求中，数据识别是基础、风险防控是核心，在进行安全影响分析和风险评估的