核能领域数据安全风险评估方法.docx

T/CNEA团体标准T/CNEA*-*核能领域数据安全风险评估方法Riskassessmentmethodfordatasecurityfornuclearenergyfield（征求意见稿）20XXXXXX发布20XXXXXX实施中国核能行业协会发布1葩围本文件提出了核能领域数据安全风险评估的荔本要求、实施流程、评估内容、评估方法及评估结果判定准则,明确了数据安全风险评估各阶段的实施要点和工作方法.本文件适用于指导核能领域网络运营者开展数据处理活动的安全风险评估工作,并为监管机构或第三方安全评估机构等单位开展核能领域数据安全评估工作提供参考，注：涉及国网秘密的数据和4数据不论用于本文件.开展涉及个人均息的数据处理活动,还应当遵守有关法律、行政法规的双定.2规葩性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.大中,注日期的引用文件.仅该日期时应的版本适用于本文件：不注日期的引用文件,其最新版本（包括所考的修改单适用于本文件。GB/T250692022信息安全技术术语3术语和定义、缩略词11术语和定义GB/T2506r2022界定的以及下列术语和定义适用于本文件.3.1.1数据data任何以电子或者兑他方式对伯息的记录.来源:数照安全法第三条）3.1.2网络数据networkdata通过网络收集、存储、传输、处理和产生的各种电子数据。注：本文件中评估的数界类型限定为M络数据.【来源:网络安全法,第七十六条】3.1.3网络运,菖者networkoperator网络的所有拧.管理者和网络服务提供者来源:网络安全法.第七十六条J3.1.4敛据安全datasecurity通过采取必要措脩.确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力.来源：散粼安全法第三条3. 1.5数据处理活动dataprocessingactivities数据的收集、存储、使用和加工、传输、提供、公开、交易、出境、销费等活动。【来源:数第安全法，第三条，在林改：增加“交易、出境.m-13.1.6合理性rationality数据处理活动遵守法律、法规，辱重社会公馈和伦理，遵守商业遒伤和职业道牌，诚实守信，不危害国家安全、公共利益,不得损害组织的合法权益.来源:数据安全核.第八条.有修改3.1.7数据安全风险datasecurityrisk由于开展数据处理活动不合埋、缺少有效的数据安全措施等，导致数据安全事件的发生及其对国家安全、公共利益或者组织合法权益造成的影响。3.1.8数据安全风险评估datasecurityriskassessment对数据和数据处理活动的安全风险和Hi法违规问题进行检测评估的过程，3.1.9安全措施securitymeasure保护数据和数据处理活动、抵御数据安全风险W件而实施的各种安全管理和技术实践、规程和机制。3.1.10业务business组织为实现某项发展战略而开展的运营活动，该活动具有明确的目标，并延续一段时间。3.1.11风险源risksource可能导致危杏数据和数据处理的保密性、完整性、可用性和合理性等不希里少故的原因、条件、俏形或行为.注：网险源,既包括安全成物料性可能导致数据安全事件的以险源（的称为“数据安全网险源”），也包括数据处理活动不合理操作可徙造成珏法违规处理事件的风l¾at（简称为-ii法Hj畿处FEM阶源一）.3.1.12重要效据importantdata一旦泄舒可能直接影响国家安全、公共安全、羟济安全和社会稳定的致批;.注：亚要数抠包括未公开的政解伯息.依设达到定规校的延因、地理、犷产伯息等½j则r、包括个人估息、企业内部姓者管理俗等.来源：GB114M79-2022信息安全技术网络数据处理安全要求.193.1.13T/CNEA*-核能领域nuclearenergyfield涉及核能、核技术科研及应用的相关领域.摄t矿冶、核燃料'核电、核工程建设、装备制造、后处理、核技术科研、核技术应用、核环保等核科技工业全产业柢，包含研发设计、工程建造安装、运甘、退役等全周期业务流程。3.1.14数据处理者dataprocessor在数据处理活动中自主决定处理目的和处理方式的独立法人单位。3.1.15数据交易datatransaction数据供H和需方之间以数据Ifii品作为交易对象，进行的以货币或货币等价物交换数据曲品的行为。注1：数推商品包括用于交易的15!蛤数鼎或加工处理后的数据衍生，'品注2：数蛆交易包括以大灶据或其衍生出作为数据裔瞌的数据交易,也包括以传统数据成族衍牛：丛作为数据心从的、数据交马.iWCB37932-2OIg伯息安仝技术数据交物服务安全要求.3.13.1.16数据出境dataexport数据处理者向境外提供在中华人民共和国境内运耕中收集和产生的Hl要数据和个人信息。【来源:数第出境安全褥估办法，第二条,fttSAJ32缩略语下列缩略语适用于本文件.API：应用程序编程接口(ApplicationPrograamingInterface)SDK：软件开发工具包(SoftwareDevelopmentKit)SaaS:软件服务(SoftwareasaService)OA：办公自动化(OfficeAutoointion)4核能领域风险评估基本要求与流程4.1评估适用对双A11通用评估对象核能数据拥有方、核能数据处理方,视为核能额域数据安全评估对象.4t5市点评估对故符合以下情形之一的，觇为核能领域数据安全重点评估对散：a)理要数据或核心数据处理者：b)关犍佶息基础设施运营者：C)大型数据平台运昔者；图1数据安全风险评估实施流程图4.5评估内容框架在要素识别的聪础上，数据安全风险评估主要用绕数据处理活动、数据安全管理、数据安全技术等方面开展，评估内容框架如图2所示。要素识别风险识别图2数据安全风险评估内容框架图5核能领域数据安全风险评估实施5.1评估准备511确定评估目标明确数据安全风险评估的目标，常见目标包括但不限:a）对核能领域数据处理者的数据和数据处理活动进行全面安全评估，了解处理的数据及开展数据处理活动的情况,发现存在的数据安全风险和违法连规问题,及时防范数据安全风险：b）对曳要数据处理活动定期开展风险评估,了解处埋的吏耍数据的种类、数尿、分布及开展数据处理活动的情况，对面临的数据安全风险及其应对措施进行评估；C）对开展共享、交易、委托处理、向境外提供重要数据的活动进行数据安全风险评估，发现对外提供型要数据可能存在的数据安全风险和问题：d）在开展可能直接影响国家安全、公共利益或者大出组织合法权益的数据处理活动的开展数据安全风险评估，发现可能存在数据安全风险和违法违规向题：e）根据数据安全事件和监管需求，由国家、行业或地方主管血管部门如织开展数据安全评估榜S-发现数据安全风险和何跑.5t?确定评估范围根据评估目标确逆数据安全风险评估的对象、范用和边界，明确评估涉及的数据资产、数据处理活动、业务、信息系统、人员和内外部组织等.数据安全M险评估工作主要困绕数据和数据处理活动开展，评估范用可能是组织全部的数据及数据处理活动相关的各类资产和部门,也可能是某个独立的业务.信息系统、数据资产、数据处理活动或部门等.评估范国应至少包含评估对象开展数据处理活动所涉及的班高等级数据，以供判断该评估对象的教据安全风险等级全猊，核能领域数据安全重点钾估对象,露增强评估要求.评估范用应包括但不限于以下内容：a）涉及的评估对象应包括核能领域核心、重要数据处埋者，及其与总包方、监理方、施工方和其他技术和服务提供总位工作中收集、产生和处理的数据；b）涉及的数据应包括结构化数据和非结构化数据,数据存储介质应包含但不限磁锹、光盘、磁带等电子存储.数楙存储方式包含但不限于本地存储、私有云及互联网公有云存储等：C）涉及的数据处理活动包括核能城域项目班划设计、调研选址、工程建设和施1.设备制造和安装、系统和设备调试、移交接产、运首期信息系统运行、安全生产及羟替管理数据处理等：d）涉及的信息系统包括自有及使用其他单位提供的管理类信息系统、生产控制系统、网络和信息化工具软件,管理类信息系统如各类OA系统、ERP系统、工程管理系统等，生产控制系统包括核电厂电力监控系统、核应急系统等。St1组建评估团队根据评估目标和评估范围，组建数据安全风险评估团队，由评估管理单位、评估方、被评估方等相关人员组成，必要时也可遨请有羟紧的数据安全专家组成专家俎。a）被评估方通常由组织的数据安全负责人和安全、法务、合规、运维、研发、业务、数据、风险等部门相关人员组成：b）如需选择第三方评估机构,应按照有关规定或标准选择满足数据安全评估机构能力要求的评估机构：c）评估团队应做好评估前的表格、文档、评估工具等各项准备工作,并按照需求签署保密办议.评估团队在检查评估中获取的信息只能用于评估工作和实施数据安全保护.核能颔域数据安全景点评估财象,需增强评估要求，组建评估出队应包括但不限于以下内容：a）根据评侪目标和评侑范围，数据安全风险评估团队,应由核徒领域数据安全电点评估对象祖织包括木单位、上级公司网络安全、数据安全团队、同行、相关t会、及其总包方、监理方、施工方和其他技术和用务提佻单位有经验的数据安全专家姐成.必要时也可勘请当地公安、行业主管部委及有经验的数据安全专家组参亏：b）评俏团队应包含被评估对象所在取位的数据安全管理人员和倒货人力、网络安全和信息化专业人员、生产控瓶系统相关专业人员、安全管理人员以及相关的法务、合规、业务等部门人员,以及与上述人员工作句繇切数据往来的总包方、监理方、施工方和其他技术和服务人员IO如需选择第三方评估机构,应按照有关规定或标准选择满足数据安全评估机构能力要求的评估机构,评估机构应该具备能源、电力或核能领域.工作相关评侑羟验：d）评估团限人员应不少Fs人，外部成员应不少F6,评估处长应由外部成员担任。E1A制定评估方案根据评估目标、评估范明和调研情况，明确数据安全风嗫评估的评估依据、评估内容和评价准则，制定评估方案.a）确定评估依据.针对评估目标和范围确定评估依据,常见评估依据包括但不限于：I）数掘安全法律、行政法规、司法解糅.如£网络安全法hE数据安全法？等：S?S安全防护措施识别识别安全防护措施情况,包括但不限于：a）数据安全管埋组织、人员及制度情况：b）数据资产及分类分级管理情况：O防火墙、入侵检测、入侵防御等网络安全设备及策略情况：d）访问控制和身份鉴别情况：e）河络安全漏洞管理及修复情况：f）VPN等远程管理软件的用户及管理情况；X）设务、系统及用户的账号或口令管理情况：h）加密、脱敏、匿名化、去标识化等安全技术应用情况.5.3 风险识别SaI概述数据安全风险识别,主要围绕数据安全措施、数据安全风险源和不合理处埋数据风险源，通过对数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面进行评估，发现可能存在的数据安全问题和风险除患，具体实施时UJ按照以卜步骤开展：a）如果被评估方已开展过相关的评估工作应先对已开展的评估工作结论进行分析：b）数据处理者均应针对数据处理活动、数据安全管理与数据安全技术三方面内容进行风限评估：C）梳理各评估项的评估结果和发现的风险问题,输