《核能领域数据分类分级指南》-编制说明

《核能领域数据分类分级指南》编制说明（征求意见稿）一、工作简况1、任务来源为贯彻《中华人民共和国数据安全法》，落实、细化、规范核能行业数据安全具体工作，增强核能领域数据全生命周期安全防护的能力，提升核能行业整体数据安全水平，中国核能行业协会信息化专业委员会组织行业内外相关单位共同编制核能领域数据安全系列标准。2022年12月15日，中国核能行业协会信息化专业委员会（简称“信专委”）发函“关于商请参加核能领域数据安全标准编制工作的函”（核协信专函〔2022〕29号）。本标准《核能领域数据分类分级指南》为其中用于指导核能行业开展数据分类分级工作的规范。2、主要工作过程本标准各阶段进度计划安排如下：2022年底前完成工作研讨和初步意向征集；2023年第一季度基于对中核矿业科技集团有限公司、福建福清核电有限公司开展数据安全检测评估活动契机，调研相关单位数据分类分级现状；2023年第一季度完成标准草案和立项工作；2023年第二季度完成定向意见征求；2023年第三季度完成公开意见征求；2024年第二季度完成标准送审稿；2024年第三季度完成标准报批稿。当前标准编制进展描述如下：2022年12月，信专委完成标准立项前的工作研讨和初步意向征集；2023年1月13日，中国核能行业协会召开团体标准立项评审会，该标准在会上通过立项审查，并通过公示期；2023年3月2日，信专委组织召开了组内工作推进会议，完成了标准编写规范和方法的培训，并对标准立项评审过程中专家提的意见进行了整改响应；2023年10月18日，信专委组织召开加快推进核能领域数据安全标准编制工作会议，宣贯政府主管部门对核能领域数据安全工作新的要求，并提出加快数据安全标准编制工作；2023年11-12月，标准编制组对标准内容进一步完善，形成征求意见稿；2024年2-3月，准备标准定向征求意见、公开征求意见。3、主要参加单位和工作组成员及其所作的工作等本文件编制的参与单位和分工如下：单位名称编写分工主要承担工作中核矿业科技集团有限公司组长单位牵头编制国核示范电站有限责任公司成员单位参与编制华能山东石岛湾核电有限公司成员单位参与编制同方知网数字出版技术股份有限公司成员单位参与编制福建福清核电有限公司成员单位参与编制北京启明星辰信息安全技术有限公司成员单位参与编制中国宝原投资有限公司成员单位参与各阶段的讨论和评审二、标准编制原则和主要内容1、标准编制原则本标准的编制旨在指导核行业单位组织实施文档评估，帮助管理主体查找短板，提升文档管理水平。本标准本着公正性、科学性、实用性的原则编制。公正性本标准在实施过程中，要求以掌握的事实材料为依据，尊重客观事实，不带有主观随意性，不受外界干扰、不迁就任何单位和个人的片面要求。科学性本标准研究了国内外企业文档管理的指标、评价体系的制定和执行情况及相关法规要求，基于国内核行业单位文档管理及评价体系的建设需求，参考相关DA、GB标准，结合多个核行业单位的文档管理实践和管理特点进行编制。实用性本标准的指标设计立足现有企事业文档管理实践，内容全面、指导性强，达到促进企事业文档管理规范、安全、有效的目的。2、标准主要内容的依据2.1概述按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本标准给出了标准适用范围，明确了数据分类分级基本原则，制定了数据分类的框架方法、数据分级的框架方法，提供了数据分类分级基本实施流程等，增加了核能行业数据分类参考示例、影响对象影响程度描述、核能行业数据清单分级行业示例进一步进行补充说明。2.2主要技术内容说明2.2.1第1章范围 本章概述了本标准的编制内容，规定了本标准的编制目的和适用范围。本标准适用于核能领域数据处理者开展数据分类分级工作。2.2.2第2章规范性引用文件核能领域数据分类分级指南引用GB/T25069—2022信息安全技术术语的规范构成本文件。2.2.3第3章术语和定义本标准中的术语及定义部分参照国家、行业标准规范中已有的相应术语给出定义。其中：“数据”参照数据安全法中第三条给出的定义；“重要数据”参照GB/T41479—2022信息安全技术网络数据处理安全要求给出术语定义；“核心数据”参照《网络数据安全管理条例(征求意见稿)》第七十三条给出术语定义；“一般数据”、“组织数据”、“衍生数据”、“行业领域数据”参考借鉴全国信息安全标准化技术委员会(SAC/TC260)提出并归口《信息安全技术网络数据分类分级要求(征求意见稿)》给出的术语定义。“数据分类”、“数据分级”自定义。2.2.4第4章基本原则本章阐述了核能领域全产业链条、多业务场景数据进行分类分级基本原则。在遵循国家数据分类分级保护要求的基础上，优先开展数据分类分级管理，实现核能行业领域数据在数据全生命周期安全治理，数据分类分级遵循科学实用、边界清晰、就高从严、点面结合、灵活扩展、动态更新的六大原则。2.2.5第5章核能领域数据分类本章围绕核能行业数据的属性、特征阐述了数据分类的前置工作、细化框架、分类方法及步骤流程。数据分类是数据保护工作中的关键部分，构成专业化、标准化开展数据管理工作的重要基础。在开展核能领域数据分类之前，盘点数据拥有者的数据资产，建立数据资产全景，便于确定数据分类方法。按照业务属性维度搭建数据分类框架，包括但不限于业务领域、责任部门、描述对象、上下游环节、数据主题、数据用途、数据处理、数据来源。数据分类大致步骤为：先明确数据范围，明确核能行业领域管理数据范围；后细化业务划分，明确业务条线关键业务归属；再按需选择业务属性针对关键业务数据归类；最后根据数据管理和使用需求，确定分类规则。数据分类工作开展流程包括开展业务数据分类、判断是否存在法律法规或主管监管部门有专门管理要求的数据类别、识别核能领域数据分类规则未覆盖的数据分类。2.2.6第6章核能领域数据分级本章阐述了核能领域数据分级框架、分级要素、数据影响、分级规则及分级步骤等。数据分级能够为企业有针对性制定数据安全管控措施提供支撑。明确核能领域数据分级框架，数据分级主要从数据安全保护的角度，考虑影响对象、影响程度两个要素进行分级。根据核能数据内容，通过定量与定性相结合的方式,综合确定数据级别。

在数据分级框架中，影响对象要素描述核能行业数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享，可能影响的对象。影响程度要素说明数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后，所造成的危害影响大小。梳理数据分级工作开展步骤，依次为确定分级对象、识别分级要素、分析数据影响、综合确定级别。并在原有数据的安全级别不适用变化后的数据，应及时更新数据分类分级结果。以实际业务为导向，通过判断数据影响对象及影响程度，进行核能领域数据分级实践。2.2.7第7章数据分类分级识别流程本章总结了核能领域数据分类总体流程，数据处理者据此推进实施。数据分类分级实施流程包括数据资产梳理、数据分类、数据分级、审核上报目录、动态更新管理。全面梳理数据资产，形成数据资产识别清单；建立数据分类规则，完成行业数据分类；识别数据分级因素，综合确定数据定级；审核数据分类分级结果，报送上级主管部门；根据数据重要程度和可能造成的危害程度变化，动态更新数据级别。2.2.8附录《核能领域数据分类参考示例》、《影响对象影响程度描述》、《核能领域数据清单分级示例表》《核能领域数据分类参考示例》从数据描述对象角度列举核能领域分类示例，先确定行业领域数据主题域分类框架，基于管理和业务条线划分，再基于业务细分进行数据主题域划分，粒度划分到一、二级主题。《影响对象影响程度描述》结合组织管理与业务运行实际，针对国家安全、公共利益、组织合法权益三个影响对象，产生严重危害、一般危害、轻微危害、无危害的不同影响程度具体列举示例进行分析说明。《核能领域数据清单分级示例表》针对核能领域数据类型或数据能力，例如核燃料产能、储存数据，乏燃料后处理能力，设备数据等，给出数据清单名称，描述数据清单内容，给出数据建议分级，并提出分级依据，为核能行业数据分级工作推进提供参考。3、解决的主要问题核能产业数字化转型过程中，数据信息量剧增，数据权属、数据交换、数据价值挖掘等方面的工作都面临“数据安全”的威胁和挑战。目前仍缺少针对核能行业业务特点的一套行之有效的实操性方法，指导开展核能行业自己的数据安全风险评估工作。学习借鉴国家其它行业领域的经验，开展核能领域数据安全标准编制，制定了数据分类分级基本原则、数据分类的框架方法、数据分级的框架方法、基本实施流程等，增加了核能行业数据示例，有效规范数据处理活动、促进数据依法有序流动、促进数据开发利用，保障核能数据全生命周期安全。三、主要试验（或验证）情况本标准提出核能领域数据分类分级方法，相关技术和管理条款源于核能企业数据全生命周期管理实践。同时，为使标准内容更加符合应用实际，在标准应用阶段可以更加有效地指导核能企业开展数据安全检测评估工作，协会信专委面向核行业广泛征集数据安全分类分级问题及相关工作建议，经研究后提炼共性问题、在标准内容中予以完善。四、标准中涉及专利的情况本标准的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。五、预期达到的社会效益、对产业发展的作用等情况我国高度重视数据安全，2021年9月，我国出台《数据安全法》。其中，第二十一条明确规定国家建立数据分类分级保护制度，对数据实行分级分类保护。要求各地区、各部门应当按照数据分类分级保护制度，，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。核领域安全事关国家安危、人民健康、社会稳定、经济发展及大国地位，数据安全是核领域安全的重要组成部分。核能领域数据呈现多源异构的特点，价值各不相同，不能等同视之，核领域数据分类分级是实施数据全生命周期安全保护措施的重点和前提。核能行业出台数据分级分类指南意义重大，只有在科学规范的分类分级基础上，才能有效规范数据处理活动，保障数据安全，才能更好地促进数据依法有序自由流动，促进数据开发利用，才能有利于从操作层面推进数据分类分级落地实施，提升行业数据管理能力，进一步推动以数据为关键要素的数字经济发展。该标准紧密结合核能企业生产经营实践反馈，对接产业全链条全场景数据颗粒度，充分扩展标准的行业适应性，指导核能行业数据分类分级工作开展，促进分类分级标准在核能行业落地应用，提高核能企业数据安全保障能力。六、与国际、国外对比情况目前未查询到核能领域数据分类分级相关的国际、国外标准。七、在标准体系中的位置，与现行相关法律、法规、规章及标准，特别是强制性标准的协调性我国现有的相关标准，“GB/T37988-2019信息安全技术数据安全能力成熟度模型”主要提出了数据安全成熟度模型，“GB/T20984—2022信息安全技术信息安全风险评估方法”是网络与信息系统安全防护标准，“GB/T41479—2022《信息安全技术网络数据处理安全要求》”，在总体要求中明确了网络数据处理活动要求。2021年是我国数据安全政策元年，2021年9月，《数据安全法》正式出台，2022年数据安全合规建设全面启动，在数据安全安全