1、 ICS 27.120.99 CCS F 69 团体标准 T/CNS 832022 核电厂工业数据安全管理导则 Guideline for industry data security management of nuclear power plant 2022-12-16 发布 2023-04-01 实施 中国核学会 发 布 T/CNS 832022 I 目次 前言.III 引言.V 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 管理原则和基本要求.1 5 管理细则.3 参考文献.11 T/CNS 832022 III 前言 本文件按照GB/T 1.12020标准化工作导则
2、第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国核学会提出。本文件由核工业标准化研究所归口。本文件起草单位:江苏核电有限公司、中核核电运行管理有限公司,福清核电有限公司。本文件主要起草人:何培元、杨强、秦绪涛、支凤春、张钧鸣、杨文成、朱云飞、苏辉、朱旭东、赵磊、罗科松、孟祥山、胡心宇、朱智强、叶林林、吴勤浩、周扬、邱杰峰、杨伟伟、李喆。T/CNS 832022 V 引言 本文件旨在推进核电企业全面梳理自身工业数据,提升数据安全管理能力,促进数据分类分级、数据充分使用、全局流动和有序共享,实现数据的安全管控与资
3、源共享。本文件参考GB/T 360732018数据管理能力成熟度评估模型、工业数据分类分级指南等有关文件标准,针对我国核电数据安全管理的工作特点,结合核电厂数据分类分级的实践和经验编制而成。T/CNS 832022 1 核电厂工业数据安全管理导则 1 范围 本文件规定了核电厂工业数据安全管理的原则、要求、维度与方法,通过管理、技术、运行维护等方面的措施,建立全方位的、全过程的、完善的数据安全体系。本文件适用于核电业主和(或)营运单位(运营公司)单位对核电数据的安全管理。核电设计单位、建设单位核电数据的安全管理可参考使用。2 规范性引用文件 本文件没有规范性引用文件。3 术语和定义 下列术语和定
4、义适用于本文件。核电厂工业数据 industrial data of nuclear power plants 核电厂在建设、运营和管理活动过程中形成、收集、保管和运用的作为支持运营活动的数据,是核电数据可再解释的形式化表示。数据分类 data classification 将具有某种共同属性或特征的数据,根据应用场景、数据来源、共享属性、开放属性等属性或特征,按照一定的原则和方法进行归类。数据分级 data grading 根据数据的敏感程度和数据遭篡改、破坏、泄露或非法利用后对受侵害客体的影响程度,按照一定的原则和方法进行定级。数据责任者 data responsible person 对
5、数据安全负有责任的核电厂内部组织或个人。数据使用者 data users 出于数据分析利用或其他目的,而参与到数据的采集、传输、存储、使用等处理过程的核电厂内部组织或个人。数据管理者 data manager 承担数据管理职能的核电厂内部组织或个人。4 管理原则和基本要求 T/CNS 832022 2 管理原则 4.1.1 职责明确 根据数据规模、数据重要性、组织规模等因素,成立专职或兼职的数据安全管理组织,数据安全管理组织为企业的数据及使用安全负责,明确企业内部不同角色的数据安全管理职责,明确数据生命周期各活动的实施主体及安全责任。4.1.2 合法合规 对数据的处理应基于法律依据。应制订相关
6、流程确保数据的处理方式没有违反任何法律义务,包括法律法规、合同条款。需要确保履行应承担的内部和外部的责任,责任包括但不限于:a)所有数据集和数据流是安全的;b)正确处理企业及个人敏感数据;c)实施了合理的跨组织数据保留的策略和实践;d)理解数据相关的法律义务,并确保组织履行。4.1.3 最小授权 在保证业务功能完整实现的基础上应赋予数据活动中各角色最小的操作权限,确保用户或异常操作所造成的损失最小。所有角色只能使用所授权范围内的数据,非授权范围内的数据使用应进行授权审批。4.1.4 数据保护 应对数据进行分类分级管理,对不同安全级别的数据实施恰当的安全保护措施。应确保处理数据的系统、平台的安全控制措施和策略,保护数据的完整性、机密性和可用性确保数据在整个生命周期里,免遭诸如未授权访问、破坏、篡改、泄露或丢失等风险。应解决风险评估和安全检查中所发现的风险和脆弱性,并对数据安全防护措施不当所造成的安全事件承担责任。基本要求 4.2.1 落实数据安全主体责任,做好统筹策划 核电单位应明确数据安全主体责任的主要负责人和责任部门,统筹负责数据安全监督管理;责任部门应组织建立数据安全工作体系,将数