16970能源大數(shù)據(jù)中心數(shù)據(jù)共享安全導(dǎo)則72本標(biāo)準(zhǔn)規(guī)定了能源數(shù)據(jù)共享安全原則、能源數(shù)據(jù)共享管理要求和能源數(shù)據(jù)共享技術(shù)要求。73本標(biāo)準(zhǔn)所規(guī)定的能源數(shù)據(jù)范圍包括國家能源行業(yè)及能源企業(yè)生產(chǎn)經(jīng)營和管理活動(dòng)中產(chǎn)生、采集、加74工、使用或管理的與能源（水、電、油、煤、氣等）相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)和非網(wǎng)絡(luò)數(shù)據(jù)。752規(guī)范性引用文件76下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。77凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。78GB/T5271.17—2010信息技術(shù)詞匯第17部分：數(shù)據(jù)庫79GB/T25069-2010信息安全技術(shù)術(shù)語80GB/T29246-2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯81GB/T7408數(shù)據(jù)元和交換格式信息交換日期和時(shí)間表示法82GB/T1948電子能源數(shù)據(jù)元第1部分：設(shè)計(jì)和管理規(guī)范83GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型84GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范85GB/T35274—2017信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求86GB/T37973—2019信息安全技術(shù)大數(shù)據(jù)安全管理指南87GB/T22239—2019信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求88GB/T39786—2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求89GB/T41479—2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求903術(shù)語和定義91下列術(shù)語和定義適用于本文件。92GB/T25069-2010和GB/T29246-2017界定的以及下列術(shù)語和定義適用于本文件。933.194數(shù)據(jù)data95信息的可再解釋的形式化表示，以適用于通信、解釋或處理。963.297網(wǎng)絡(luò)network98由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、99交換、處理的系統(tǒng)，包括電力監(jiān)控系統(tǒng)、管理信息系統(tǒng)及通信網(wǎng)絡(luò)設(shè)施。101網(wǎng)絡(luò)數(shù)據(jù)networkdata102通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。104數(shù)據(jù)處理dataprocessing105對(duì)數(shù)據(jù)的采集、存儲(chǔ)、檢索、加工、變換和傳輸。107數(shù)據(jù)安全datasecurity108采用保護(hù)措施來防止數(shù)據(jù)受到未經(jīng)批準(zhǔn)的訪問并保持?jǐn)?shù)據(jù)機(jī)密性、完整性和可用性。2110網(wǎng)絡(luò)運(yùn)營者networkoperator111網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。113個(gè)人信息personalinformation114以電子或者其他方式記錄的與已識(shí)別或者可以識(shí)別自然人有關(guān)的各種信息。116敏感個(gè)人信息sensitivepersonalinformation117一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)嚴(yán)安全受到危害的個(gè)人118信息。120重要數(shù)據(jù)importantdata121以電子方式存在的，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公122共利益的數(shù)據(jù)。1233.10124第三方應(yīng)用thirdpartyapplication125由第三方提供的產(chǎn)品或者服務(wù),以及被接入或者嵌入網(wǎng)絡(luò)運(yùn)營者產(chǎn)品或者服務(wù)中的自動(dòng)化工具，包126括但不限于軟件開發(fā)工具包、第三方代碼、組件、腳本、接口、算法模型、小程序等。1273.11128機(jī)密性confidentiality129采用密碼技術(shù)保證信息不泄露的性質(zhì)。1303.12131可用性availability132可由經(jīng)授權(quán)實(shí)體按需訪問和使用的性質(zhì)。1333.13134完整性integrity135準(zhǔn)確和完備的的性質(zhì)。1364共享架構(gòu)1374.1總體架構(gòu)138能源數(shù)據(jù)共享應(yīng)遵循相關(guān)安全原則，滿足組織管理、角色管理、資產(chǎn)管理、共享流程、合規(guī)管理等139管理要求，同時(shí)滿足交換要求、溯源要求、運(yùn)營要求等技術(shù)要求。31411424.2共享原則1434.2.1共享融合，互利共贏144樹立數(shù)據(jù)開放共享理念，積極響應(yīng)數(shù)據(jù)對(duì)外開放需求，加強(qiáng)與外部機(jī)構(gòu)的溝通互動(dòng)，探索共享融合、145互利共贏的合作模式。通過內(nèi)外數(shù)據(jù)的開放共享和融合應(yīng)用，提升能源數(shù)據(jù)對(duì)外服務(wù)能力，發(fā)揮能源數(shù)146據(jù)價(jià)值，真正將資源優(yōu)勢(shì)轉(zhuǎn)化為競(jìng)爭(zhēng)優(yōu)勢(shì)。1474.2.2統(tǒng)籌規(guī)劃，分類施策148加強(qiáng)數(shù)據(jù)對(duì)外開放的頂層設(shè)計(jì)，統(tǒng)籌推進(jìn)能源數(shù)據(jù)開放工作，建立規(guī)范的數(shù)據(jù)開放標(biāo)準(zhǔn)、流程，實(shí)149現(xiàn)數(shù)據(jù)有序?qū)ν忾_放。結(jié)合不同需求主體和需求內(nèi)容，制定差異化的數(shù)據(jù)對(duì)外開放策略，充分發(fā)揮各部150門的專業(yè)優(yōu)勢(shì)，建立分級(jí)統(tǒng)籌、專業(yè)把關(guān)的工作機(jī)制。1514.2.3依法合規(guī)，確保安全152嚴(yán)格遵守國家法律、法規(guī)和公司相關(guān)規(guī)定，嚴(yán)格保護(hù)國家秘密、公司商業(yè)秘密、個(gè)人信息安全，嚴(yán)153格執(zhí)行國家跨境數(shù)據(jù)共享有關(guān)要求，在不損害公司、客戶等相關(guān)方利益的前提下，推動(dòng)能源數(shù)據(jù)有序開154放。加強(qiáng)前沿技術(shù)創(chuàng)新應(yīng)用，提升對(duì)能源共享數(shù)據(jù)的感知、監(jiān)測(cè)、追溯和控制能力，保障數(shù)據(jù)安全。1554.2.4健全機(jī)制，規(guī)范有序156健全能源數(shù)據(jù)開放制度和流程，持續(xù)規(guī)范和完善數(shù)據(jù)對(duì)外開放管理，推進(jìn)對(duì)外提供數(shù)據(jù)工作的制度157化和規(guī)范化?？偨Y(jié)經(jīng)驗(yàn)、迭代完善，逐步健全職責(zé)清晰、協(xié)同配合的數(shù)據(jù)對(duì)外開放體系。1595數(shù)據(jù)共享安全管理要求1605.1組織管理1615.1.1人員管理4162應(yīng)針對(duì)能源數(shù)據(jù)共享開放相關(guān)業(yè)務(wù)的參與人員進(jìn)行全面管理，包括但不限于背景調(diào)查、簽署保密協(xié)163議和數(shù)據(jù)安全崗位責(zé)任協(xié)議、人員調(diào)離崗位時(shí)的權(quán)限配置調(diào)整等。建立完善的人員管理制度，遵循最小164授權(quán)原則，落實(shí)管理要求，確保能源數(shù)據(jù)訪問、使用的安全可控。1655.1.2職責(zé)管理166應(yīng)建立責(zé)任明確、程序清晰的能源數(shù)據(jù)安全管理組織架構(gòu)，明確主管部門和相關(guān)部門工作職責(zé)、工167作程序和協(xié)調(diào)機(jī)制，確保部門內(nèi)外部管理的完整性。1685.1.3合作管理169應(yīng)明確合作方管理制度，對(duì)合作方進(jìn)行審查與評(píng)估，簽署數(shù)據(jù)合作協(xié)議，對(duì)第三方人員嚴(yán)格管理，170并對(duì)機(jī)構(gòu)及人員進(jìn)行監(jiān)督，確保不因外部機(jī)構(gòu)合作或第三方的應(yīng)用接入而危害能源數(shù)據(jù)安全。1715.1.4合規(guī)管理172應(yīng)建立合規(guī)風(fēng)險(xiǎn)識(shí)別、評(píng)估及處置的制度和流程。根據(jù)自身風(fēng)險(xiǎn)情況及業(yè)務(wù)實(shí)際，突出重點(diǎn)領(lǐng)域、173重點(diǎn)環(huán)節(jié)和重點(diǎn)人員，對(duì)風(fēng)險(xiǎn)發(fā)生的可能性、影響程度、潛在后果等進(jìn)行系統(tǒng)分析，針對(duì)發(fā)現(xiàn)的風(fēng)險(xiǎn)制174定預(yù)案，采取有效措施，及時(shí)應(yīng)對(duì)處置，切實(shí)防范合規(guī)風(fēng)險(xiǎn)。1755.2角色管理1765.2.1能源數(shù)據(jù)提供方177能源數(shù)據(jù)提供方（以下簡(jiǎn)稱“提供方”）指生產(chǎn)或收集能源數(shù)據(jù)，提供能源數(shù)據(jù)進(jìn)行共享的各類相178關(guān)能源企業(yè)。應(yīng)當(dāng)遵守國家相關(guān)政策要求開展數(shù)據(jù)共享工作，確保所提供的能源數(shù)據(jù)準(zhǔn)確有效、及時(shí)更179新和安全可靠。1805.2.2能源數(shù)據(jù)使用方181能源數(shù)據(jù)使用方（以下簡(jiǎn)稱“使用方”）指通過能源數(shù)據(jù)共享獲取、應(yīng)用共享的能源數(shù)據(jù)應(yīng)用企業(yè)。182應(yīng)當(dāng)遵守相關(guān)法律法規(guī)要求，在授權(quán)范圍內(nèi)獲取和使用能源數(shù)據(jù)，確保能源數(shù)據(jù)不丟失、不泄露、不被183未授權(quán)讀取或擴(kuò)大使用范圍。1845.2.3能源大數(shù)據(jù)平臺(tái)管理方185能源大數(shù)據(jù)平臺(tái)管理方（以下簡(jiǎn)稱“管理方”）指負(fù)責(zé)建設(shè)、管理和運(yùn)營能源大數(shù)據(jù)共享平臺(tái)，為186提供方和使用方提供平臺(tái)服務(wù)的相關(guān)機(jī)構(gòu)。應(yīng)建立和完善共享平臺(tái)的能源數(shù)據(jù)安全管理制度，以及能源187數(shù)據(jù)安全保護(hù)、安全服務(wù)和安全監(jiān)測(cè)等技術(shù)措施，為提供方和使用方提供安全支撐服務(wù)。1885.2.4能源數(shù)據(jù)服務(wù)提供方189能源數(shù)據(jù)服務(wù)提供方（以下簡(jiǎn)稱“服務(wù)方”）指為上述三類責(zé)任主體提供數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)分析處理、190數(shù)據(jù)安全保障、數(shù)據(jù)保護(hù)能力測(cè)評(píng)等技術(shù)和安全服務(wù)的企業(yè)或?qū)I(yè)機(jī)構(gòu)。應(yīng)與服務(wù)對(duì)象簽署服務(wù)協(xié)議，191為所提供的服務(wù)建立相應(yīng)的管理制度和專門團(tuán)隊(duì)，加強(qiáng)團(tuán)隊(duì)能源數(shù)據(jù)安全教育和能力培訓(xùn)，履行能源數(shù)192據(jù)安全承諾，確保服務(wù)過程中的能源數(shù)據(jù)安全。1935.2.5能源數(shù)據(jù)監(jiān)管方194能源數(shù)據(jù)監(jiān)管方（以下簡(jiǎn)稱“監(jiān)管方”）指經(jīng)過國家法律法規(guī)和政策文件的授權(quán)，對(duì)能源數(shù)據(jù)共享195進(jìn)行指導(dǎo)、監(jiān)督管理的相關(guān)部門。應(yīng)嚴(yán)格履行監(jiān)管職責(zé)，依據(jù)國家法律法規(guī)政策和標(biāo)準(zhǔn)，建立能源數(shù)據(jù)196共享管理制度，對(duì)上述四類責(zé)任主體進(jìn)行合法合規(guī)監(jiān)管，在產(chǎn)生沖突時(shí)進(jìn)行協(xié)調(diào)和仲裁。1975.3資產(chǎn)管理1985.3.1數(shù)據(jù)盤點(diǎn)199應(yīng)針對(duì)全部存量數(shù)據(jù)及新增數(shù)據(jù)進(jìn)行摸排梳理，統(tǒng)一數(shù)據(jù)資源清單格式，形成數(shù)據(jù)資源描述策略文200件，并建立對(duì)應(yīng)的數(shù)據(jù)目錄。2015.3.2分類分級(jí)5202應(yīng)使用分類分級(jí)工具，對(duì)數(shù)據(jù)進(jìn)行分級(jí)標(biāo)識(shí)，對(duì)涉及個(gè)人信息處理的，應(yīng)完成個(gè)人信息的分級(jí)保護(hù)，203并按照法律法規(guī)監(jiān)管要求、公司要求，對(duì)數(shù)據(jù)分級(jí)結(jié)果進(jìn)行審核。2045.4共享流程2055.4.1需求受理206提供方與使用方對(duì)接數(shù)據(jù)共享需求，使用方根據(jù)需求類型，填寫數(shù)據(jù)對(duì)外開放申請(qǐng)表，明確數(shù)據(jù)共207享目的、需求內(nèi)容、共享方式、申請(qǐng)理由等。涉及提供數(shù)據(jù)服務(wù)和數(shù)據(jù)產(chǎn)品的，提供方應(yīng)對(duì)服務(wù)和產(chǎn)品208進(jìn)行保密合規(guī)審查，并提報(bào)審核結(jié)果。2095.4.2需求分析與初審210提供方對(duì)數(shù)據(jù)需求進(jìn)行初審，分析其數(shù)據(jù)開放目的、開放內(nèi)容、開放方式等，提出審核意見。判斷211相關(guān)數(shù)據(jù)是否涉密，存在涉密數(shù)據(jù)的，同步履行涉密審查審核手續(xù)。2125.4.3保密合規(guī)審核213提供方負(fù)責(zé)本專業(yè)數(shù)據(jù)保密合規(guī)審查，監(jiān)管方負(fù)責(zé)公司商業(yè)秘密數(shù)據(jù)的保密審核及合規(guī)性審核。審214查審核存在問題時(shí)，相關(guān)部門應(yīng)給出建設(shè)性意見建議，共同研究提出解決方案。保密合規(guī)審核不通過的，215應(yīng)終止數(shù)據(jù)共享流程。2165.4.4數(shù)據(jù)歸口審核217服務(wù)方負(fù)責(zé)數(shù)據(jù)歸口管理審核，從數(shù)據(jù)歸口管理角度，分析數(shù)據(jù)提供方式、數(shù)據(jù)內(nèi)容、數(shù)據(jù)安全、218技術(shù)支撐等，提出審核意見。2195.4.5簽訂合同（協(xié)議）2201、應(yīng)根據(jù)提供數(shù)據(jù)涉密情況，由提供方根據(jù)審核意見，與使用方簽訂數(shù)據(jù)保密協(xié)議，明確需求提221出方應(yīng)遵循的保密要求。并按要求簽署數(shù)據(jù)服務(wù)合同，規(guī)定雙方的權(quán)利和義務(wù)、數(shù)據(jù)使用范圍、數(shù)據(jù)提222供方式、授權(quán)許可類型和數(shù)據(jù)交付期限、協(xié)議期限、費(fèi)用及支付方式、保密要求、免責(zé)條款等。2232、合同和協(xié)議應(yīng)按要求開展依法合規(guī)審查。2245.4.6提供服務(wù)225提供方與使用方對(duì)接，確定數(shù)據(jù)提交方式和保障措施等，按要求依法合規(guī)向使用方提供數(shù)據(jù)。若發(fā)226現(xiàn)使用方存在違反國家法律、法規(guī)，或者違反與公司簽署的保密協(xié)議、合同相關(guān)情況時(shí)，應(yīng)立即要求其227停止相關(guān)行為，同時(shí)終止數(shù)據(jù)共享，并按規(guī)定追究相關(guān)責(zé)任。另因合同（協(xié)議）到期未續(xù)簽的，應(yīng)終止228數(shù)據(jù)共享，并督促使用方對(duì)接收數(shù)據(jù)進(jìn)行擦除和銷毀等工作。2295.5合規(guī)管理2305.5.1法律法規(guī)遵從2311、應(yīng)遵守相關(guān)的法律法規(guī)和政策要求，包括但不限于數(shù)據(jù)保護(hù)、隱私保護(hù)、個(gè)人信息保護(hù)、數(shù)據(jù)232傳輸安全等相關(guān)法律法規(guī)的要求，并記錄合規(guī)性的證明和審查結(jié)果。2332、應(yīng)確保能源數(shù)據(jù)共享過程中符合隱私保護(hù)法律法規(guī)，如數(shù)據(jù)收集、使用、存儲(chǔ)等方面。2343、應(yīng)進(jìn)行合規(guī)性審查，并記錄合規(guī)性證明文件和審查結(jié)果。2355.5.2應(yīng)急管理2361、應(yīng)建立能源數(shù)據(jù)共享應(yīng)急管理制度，指導(dǎo)數(shù)據(jù)責(zé)任主體針對(duì)事件場(chǎng)景和影響程度制定有效的應(yīng)237急響應(yīng)預(yù)案，定期組織應(yīng)急演練，確保公共數(shù)據(jù)共享工作安全有序。2382、應(yīng)建立多層次的能源數(shù)據(jù)安全事件響應(yīng)和處置機(jī)制，及時(shí)處置安全事件告警，并在重大事件發(fā)239生時(shí)及時(shí)啟動(dòng)應(yīng)急響應(yīng)，明確事件處置規(guī)范和問責(zé)機(jī)制，及時(shí)分析和總結(jié)，動(dòng)態(tài)調(diào)整數(shù)據(jù)安全策略。2405.5.3合規(guī)性要求6241應(yīng)遵守相關(guān)的法律法規(guī)和隱私保護(hù)要求，如數(shù)據(jù)保護(hù)法規(guī)、行業(yè)標(biāo)準(zhǔn)等，考慮數(shù)據(jù)脫敏對(duì)隱私的影242響，確保脫敏操作滿足隱私保護(hù)要求，并與相關(guān)的隱私政策保持一致。保護(hù)能源數(shù)據(jù)在接口傳輸和共享243過程中的安全性和隱私性，并采取必要的安全措施。2446數(shù)據(jù)共享安全技術(shù)要求2456.1交換要求2466.1.1離線交換247應(yīng)對(duì)能源數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗和預(yù)處理，定義數(shù)據(jù)格式和結(jié)構(gòu)，并建立共享協(xié)議和規(guī)范，在交換前校248驗(yàn)數(shù)據(jù)完整性，并以安全的形式發(fā)送數(shù)據(jù)或存儲(chǔ)到介質(zhì)中。2496.1.2在線交換250應(yīng)定義標(biāo)準(zhǔn)的接口格式和協(xié)議，定義接口的異常響應(yīng)和錯(cuò)誤碼，并建立授權(quán)和認(rèn)證機(jī)制，采用合適251的加密算法和傳輸協(xié)議，確保接口及數(shù)據(jù)的安全性。2526.2溯源要求2536.2.1數(shù)據(jù)源標(biāo)識(shí)254應(yīng)對(duì)每個(gè)共享的數(shù)據(jù)元素進(jìn)行標(biāo)識(shí)，區(qū)分不同的數(shù)據(jù)，確保每個(gè)數(shù)據(jù)元素都有獨(dú)特的標(biāo)識(shí)符，以確255保能夠追溯數(shù)據(jù)的來源。包括但不限于數(shù)據(jù)的唯一標(biāo)識(shí)符、生產(chǎn)者、采集時(shí)間、地點(diǎn)等信息。2566.2.2數(shù)據(jù)留痕2576.2.2.1數(shù)據(jù)傳輸要求258應(yīng)記錄能源數(shù)據(jù)傳輸過程中是通過何種方式進(jìn)行交換，以及能源數(shù)據(jù)傳輸?shù)膮f(xié)議、路徑、過程、具259體時(shí)間，以確保數(shù)據(jù)傳輸?shù)目勺匪菪?，包括但不限于?shù)據(jù)交換的方式、傳輸協(xié)議、傳輸時(shí)間戳、API接2616.2.2.2數(shù)據(jù)使用要求262應(yīng)記錄能源數(shù)據(jù)被哪些人員或組織使用、使用的目的和方式、使用時(shí)間等信息，包括但不限于身份263信息、權(quán)限等級(jí)、分析、研究、決策支持等。2646.2.2.3數(shù)據(jù)處理要求265應(yīng)記錄對(duì)能源數(shù)據(jù)進(jìn)行的處理操作，以確保數(shù)據(jù)處理過程