文档介绍:该【电力大数据安全管理规范 】是由【书籍1243595614】上传分享,文档一共【18】页,该文档可以免费在线阅读,需要了解更多关于【电力大数据安全管理规范 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。T/CECXXXXX—XXXX14ICS点击此处添加ICS号点击此处添加中国标准文献分类号?????T/CEC中国电力企业联合会标准T/CECXXXXX—XXXX?????电力大数据安全管理规范(草案)BigdatasecuritymanagementspecificationsforthepowerindustryXXXX-XX-XX发布XXXX-XX-XX实施中国电力企业联合会???发布T/CECXXXXX—XXXXIT/CECXXXXX—XXXX14电力大数据安全管理规范范围本文件提出了电力大数据安全管理目标,明确了电力大数据安全管理基本原则、电力大数据活动及安全要求、电力大数据安全风险评估等安全要点,规定了非涉及国家秘密的电力数据安全级别划分方式及各级数据从数据采集、传输、存储、处理、交换、销毁等全生命周期各环节安全能力要求,规范了客户个人信息保护原则。本文件适用于电力企业大数据安全管理体系设计建设及检查评价。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069信息安全技术术语GB/T35273信息安全技术个人信息安全规范GB/T37973信息安全技术大数据安全管理指南GB/T37988信息安全技术数据安全能力成熟度模型术语和定义下列术语和定义适用于本文件。电力大数据electricbigdata电力企业围绕电力生产、传输、消费而开展的经营和管理活动过程中产生的海量数据,包括物联网终端运行、电力调度、电力销售等数据。电力大数据活动electricbigdataactivity围绕电力企业发展,多方组织机构共同面向电力数据开展的采集、传输、存储、处理、共享、销毁等活动。电力大数据平台electricbigdataplatform采用分布式存储和计算技术,提供电力大数据的访问和处理,支持电力大数据应用安全高效运行的软硬件集合。T/CECXXXXX—XXXX1T/CECXXXXX—XXXX14数据交换需求dataexchangerequirements数据需求方向大数据服务方提出的数据交换申请,说明需要的数据范围、交换频率、交换时限以及交换用途等。国家核心数据nationalcoredata关系国家安全、国民经济命脉、重要民生、重大公共利益等数据。行业重要数据importantindustrydata在各地区、各部门确定的本地区、本部门以及相关行业、领域的重要数据具体目录内的数据。电力大数据安全管理概述电力大数据安全管理目标电力大数据安全管理目标主要包括以下内容:符合国家数字化发展战略、数据安全相关法律法规等要求;实现电力大数据活动过程中数据的保密性、完整性、可用性;满足电力大数据相关方的数据保护要求,实现数据共享、跨境数据流动的安全合规。电力大数据安全管理基本原则电力大数据安全管理应遵循以下原则:权责清晰:应约定电力大数据活动各方权利和安全责任;最小必要:电力大数据活动各方应将交互的数据及权限限制在最小必要范围内;合法正当:应制定策略和规程,确保电力大数据活动满足合规要求;分类分级:应遵从国家数据分类分级保护制度,对国家核心数据等进行重点保护;保障权益:应在法规允许及有效授权范围内开展涉及个人信息的电力大数据活动;安全可控:应采用管理和技术措施保障电力大数据活动安全风险可控;可感可审:应开展电力大数据活动全过程监测工作,并对关键环节进行审计。电力大数据安全管理体系电力大数据安全管理框架电力企业应从以下几方面构建电力大数据活动安全管理框架:遵从国家数据安全法律法规、监管要求,明确数据安全策略;设立组织内数据安全归口管理部门及各部门数据安全工作岗位;T/CECXXXXX—XXXX13T/CECXXXXX—XXXX2梳理组织内各部门在大数据活动中的角色,明确其大数据安全需求、安全责任;制定大数据活动安全相关制度,明确大数据活动安全要求;依据组织内大数据活动安全要求、安全责任,建立大数据安全管理工作流程及安全工作标准;建立大数据活动安全监控机制,及时发现处置大数据活动隐患;定义大数据安全管理的考核指标和考核办法,并定期进行相关的考核;定期评估大数据安全管理措施落实情况、与组织大数据活动需求及外部监管要求匹配度。电力大数据安全管理角色及责任概述根据电力大数据活动典型场景明确不同角色及其职责,至少包含以下角色:数据提供方:向电力大数据平台或应用提供数据的组织机构;大数据服务方:通过电力大数据平台或应用提供电力大数据服务的组织机构;大数据需求方:通过电力大数据平台或应用获取其它数据提供方数据的机构。数据提供方的安全职责数据提供方的安全职责有:应保证提供的数据真实性、完整性;应确保提供的数据来源符合法律法规相关要求;应明确数据使用范围、使用条件、存储方式及保密等安全要求。大数据服务方的安全职责大数据服务方的安全职责有:确认获取的数据范围、数量、种类、授权时限等信息;根据国家、行业规定对数据进行分类分级;为电力大数据活动相关方分配指定范围数据访问权限;在法规允许、协议约定范围内开展电力大数据活动;监督电力大数据平台或应用内电力大数据活动合规性;保障电力大数据平台或应用内电力大数据活动安全性;定期审核大数据需求方开展的电力大数据活动安全要求落实情况;对电力大数据活动进行监测,记录数据活动的相关日志;定期开展数据安全风险评估工作、处置安全事件。大数据需求方的安全职责T/CECXXXXX—XXXX3T/CECXXXXX—XXXX4大数据需求方的安全职责有:明确数据需求范围、需求目的及需求时限;与数据管理方共同确认安全合规要求并签署协议;在合同或协议约定范围内使用获取的数据,并在使用过程中遵守相应安全要求。电力大数据活动及安全要求数据采集电力大数据采集活动指数据提供方在生产经营过程中产生数据、从组织机构外部获取数据,以及大数据服务方从数据提供方获取的数据过程,存在数据泄露、数据源伪造、数据篡改等安全风险。应通过以下方式加强数据采集阶段的电力大数据安全:数据提供方在采集数据过程中:应规范面向不同类型对象的数据采集渠道、采集流程;应跟踪记录数据获取过程,确保数据采集阶段的可追溯性;应明确采集的数据级别,并采取加密等措施保障国家核心数据、行业重要数据和个人敏感信息在采集阶段的保密性、可用性;应采取必要的技术手段和管理措施,对采集数据进行完整性、真实性和一致性校验;应定期开展数据采集活动数据安全风险及合规评估,针对数据采集、转化、上传等场景,从数据授权、数据输入、数据传输等关键节点管控、技防措施落实情况及操作过程审计等方面进行评估,排查明确各场景安全风险。数据提供方通过电力物联终端采集数据的过程中,)要求的基础上还需满足以下要求:应对电力物联终端进行身份鉴别和记录,并定期开展信息校验确认终端运行状态;应建立电力物联终端数据访问准入控制机制,确保电力物联终端采集数据完整性和有效性;应根据业务需求限制电力物联终端采集接口功能并进行安全配置,防范对采集数据的篡改;应规范电力物联网终端数据清理、转换和加载操作后上传的数据内容及格式,并在导入数据库前进行安全检测;应开展电力物联网终端数据上传监测工作,及时发现处理数据安全隐患。数据提供方在采集个人信息等数据过程中,)要求的基础上还需满足以下要求:应遵循“依法合规、最小必要”原则,并征得客户同意,并向个人信息主体告知处理个人信息的目的和范围;T/CECXXXXX—XXXX13T/CECXXXXX—XXXX4应制定和公开个人信息隐私保护政策,并通过弹窗等明显的方式向个人信息主体展示隐私声明;隐私声明应明确具体、简单通俗、易于访问,至少包括收集使用个人信息的目的、范围、方式、安全保护措施,以及个人信息保存地点、期限及到期后的处理方式;隐私声明应明确个人信息主体的保护权益,包括个人信息主体撤销同意、查询、更正、删除个人信息的途径和方法,以及投诉、举报渠道和方法等;通过爬虫等技术采集互联网公开内容时,应仅在被采集方允许的范围内开展采集活动并强化合规审核。大数据服务方在获取数据提供方数据过程中:应建立获取不同类型数据提供方数据的安全合规工作流程;应与数据提供方签署协议,确认数据来源、内容、类型、总量、级别、合规性、安全要求、授权时限范围及各方安全责任等;应与数据提供方共同确认个人信息数据的授权有效性;应与数据提供方确认可达到其安全要求的安全技术措施;应对数据获取活动进行备案、审计,保障数据的获取活动安全合规;应定期开展数据获取活动数据安全风险及合规评估,针对个人信息采集、数据获取等场景,从采集个人信息授权同意、个人信息隐私声明、数据获取协议、授权审批等关键节点进行评估,排查明确数据采集场景安全风险。数据传输电力大数据传输活动指大数据服务方与数据提供方传输数据的过程,存在数据窃取、篡改等安全风险。应通过以下方式加强数据传输阶段的电力大数据安全:大数据服务方在传输数据过程中:应围绕大数据平台组织构建安全可靠的传输体系;应结合大数据平台网络安全架构、数据传输场景规范面向不同类型数据提供方、大数据需求方的数据传输方式、加密算法和加密方式;应建立数据传输链路冗余机制,保证数据传输可靠性和网络传输服务可用性;应在传输过程中,采用端口认证等措施鉴别数据传输双方身份;应在传输过程中采用密码技术或其他保护措施,保障传输通道安全性;应采用数据完整性校验机制,保护数据传输完整性;应在数据传输完成后对数据进行确认、梳理、标准化后方导入电力大数据平台或应用,并及时清除传输历史缓存数据;T/CECXXXXX—XXXX5T/CECXXXXX—XXXX14应定期开展数据传输活动数据安全风险及合规评估,针对内部系统间数据传输、终端数据传输、对外交互数据传输等场景,从接口认证、加密传输、缓存清理等关键节点管控、技防措施落实情况及操作过程审计等方面进行评估,排查明确各场景安全风险。大数据服务方传输国家核心数据、行业重要数据和个人敏感信息过程中,)要求的基础上还需满足以下要求:应采用国家密码主管部门认可的密码技术,保障数据传输过程中的完整性、保密性;在传输国家核心数据、行业重要数据过程中,安全措施还应符合国家、行业相关规定。数据提供方在传输数据过程中:应采用与大数据服务方约定的密码技术对国家核心数据、行业重要数据和个人敏感信息进行加密;应采用与大数据服务方约定的传输安全措施,保障传输过程安全;应确认短时间内无需再进行传输活动后,及时开展关闭传输通道、清除缓存等工作。数据存储电力大数据存储活动是大数据服务方对数据进行持久化保存的过程,可能存在数据泄露、篡改、丢失、不可用等安全风险。应通过以下方式加强数据存储阶段的电力大数据安全:大数据服务方在存储数据过程中:应构建安全可靠的电力大数据平台或应用存储及备份架构;应建立数据存储时限管控机制,在数据提供方授权时限范围内存储数据;宜根据安全级别、重要性、量级、使用频率等因素,将数据分区分域存储;应对结构化、非结构化等不同类型数据采取适宜的存储方式、索引方式及安全防护措施;宜将去标识化后的数据与可用于恢复识别个人的信息分开存储;应根据电力大数据活动需要,结合用户身份标识与鉴别、访问控制等措施保障存储过程的安全性;应定期对电力大数据平台或应用存储体系进行安全检查和加固,包括配置检查、***、数据库权限设置、数据防泄漏等措施;应建立数据备份与恢复机制,并在备份恢复过程中保障多副本数据存储的保密性、完整性和一致性;应记录保存数据存储媒体访问和操作行为,并常态开展安全审计工作;应定期开展大数据存储活动数据安全风险及合规评估,针对电力大数据入库、存储、访问等场景,从数据规范化、大数据存储架构、访问账号权限、大数据备份恢复等关键节点管控、技防措施落实情况及操作过程审计等方面进行评估,排查明确各场景安全风险。T/CECXXXXX—XXXX13T/CECXXXXX—XXXX6大数据服务方存储国家核心数据、行业重要数据和个人敏感信息过程中,)要求的基础上还需满足以下要求:宜采取国家密码主管部门认可的密码技术,保障数据存储过程中的保密性;应在存储个人生物识别信息时仅存储不可逆的摘要信息,且与个人身份信息分开存储;宜对国家核心数据、行业重要数据和个人敏感信息建立数据逻辑存储隔离授权机制,实现多用户存储的安全隔离;在存储国家核心数据、行业重要数据过程中,安全措施还应符合国家、行业相关规定。数据处理电力大数据处理活动是大数据服务方对数据进行加工、计算、分析、展示等操作的过程,可能存在数据泄露、篡改、不正当使用等安全风险。应通过以下方式加强数据处理阶段的电力大数据安全:大数据服务方在处理数据过程中:应在国家法律法规和数据提供方限定的范围内,开展电力大数据处理活动;应建立电力大数据处理活动安全审核机制,对数据处理目的、范围等开展审核,评估数据处理活动的风险,确保处理活动合法、正当;应结合电力大数据处理活动场景,建立相应强度或粒度的管控机制、限定处理过程中相关角色可访问的数据范围及处理权限;应根据数据提供方要求及电力大数据处理活动场景安全需求,采取身份鉴别、文件标识、脱敏加密、数据防泄漏等措施,保障数据处理过程中的安全性;应采用技术措施实现各项电力大数据处理活动间的逻辑隔离;宜及时对个人信息开展去标识化处理,并在后续的个人信息处理中不重新识别个人;应采用监控审计措施,确认电力大数据处理活动目的及结果与其声明一致,不超过已授权的范围;应对涉及国家核心数据、行业重要数据和个人敏感信息的大数据处理活动结果采取相应的安全管控措施,并采取必要的技术手段和管控措施保证共享大数据处理活动结果不泄露重要信息;应定期开展电力大数据处理活动安全审查工作,对数据处理审核流程、数据安全措施有效性及安全风险防控措施合理性进行审查;应定期开展大数据处理活动数据安全风险及合规评估,针对电力大数据分析、建模、数据访问等数据处理场景,从账号权限合理性、处理活动是否在授权范围内等关键节点管控、技防措施落实情况及操作过程审计等方面进行评估,排查明确各场景安全风险。大数据服务方处理国家核心数据、行业重要数据和个人敏感信息过程中,)要求的基础上还需满足以下要求:T/CECXXXXX—XXXX7T/CECXXXXX—XXXX14涉及到个人敏感信息的访问、修改等行为,宜在角色权限控制的基础上,结合特定业务场景触发操作授权;应对涉及个人敏感信息的电力大数据处理活动开展事前个人信息保护影响评估工作,并将相关文件至少保存三年;应对数据处理过程中的操作进行记录,定期开展审计工作并对违规行为进行分析溯源及追责;在处理国家核心数据、行业重要数据过程中,安全措施还应符合国家、行业相关规定。数据交换电力大数据交换活动是大数据服务方与大数据需求方交换数据以进行分析、应用的过程,可能存在数据泄露、篡改、不正当使用等安全风险。应通过以下方式加强数据交换阶段的电力大数据安全:大数据服务方通过电力大数据平台或应用服务大数据需求方交换活动过程中:应受理大数据需求方数据交换活动申请,审核交换需求必要性、合规性,对数据需求方的数据安全防护措施进行评估;数据交换活动申请涉及个人信息数据时,应审核个人信息主体对大数据需求方的授权情况;应在数据交换前与大数据需求方签署协议,明确安全合规要求及各方安全责任;应采用电力大数据平台或应用提供的规范性接口开展数据交换活动,仅对外交换处理结果;应采用技术措施实现各项电力大数据交换活动之间的逻辑隔离,并将电力大数据交换活动与处理活动分区;应结合电力大数据交换需求采用目录管控、访问控制、链路监测等措施,保障大数据需求方只在授权范围内开展数据交换活动;应对电力大数据交换过程参与的终端、用户或服务组件等进行身份鉴别,验证身份的真实性和可靠性;应对电力大数据交换过程进行监测,及时发现数据安全风险并进行处理;应对电力大数据交换活动产生的结果进行审查,确认与数据交换需求的一致性;应对涉及国家核心数据、行业重要数据和个人敏感信息的大数据交换活动结果采取相应的安全管控措施,并采取必要的技术手段和管控措施保证共享大数据交换活动结果不泄露重要信息;应在电力大数据交换活动到期后,及时删除账号、释放资源、清除缓存;应定期开展大数据交换活动数据安全风险及合规评估,针对大数据交换算法部署、算法运行、结果输出等数据交换场景,从活动合规性、代码安全性、结果一致性等关键节点管控、技防措施落实情况及操作过程审计等方面进行评估,排查明确各场景安全风险。T/CECXXXXX—XXXX13T/CECXXXXX—XXXX8