重要数据目录报送内容包括但不限于数据类别、级别、规模、精度、来源、载体、适用范围、对外共享、跨境传输、安全情况及责任单位等数据字段信息，不包括数据内容本身。

  第十条省级能源主管部门、能源央企分别负责汇总审核本地区、本企业的能源行业重要数据目录，并报送国家能源局。对按程序确认为能源行业重要数据和能源行业核心数据的，省级能源主管部门、能源央企应及时告知能源数据处理者。

  第十一条上一次报送重要数据目录后，能源行业重要数据、核心数据的级别、责任主体情况、数据处理情况、数据安全情况内容发生重大变化的，能源数据处理者应在三个月内重新按程序报送重要数据目录。

第三章能源行业数据保护要求

  第十二条能源数据处理者开展数据处理活动，应建立健全数据安全管理制度，明确数据全生命周期各环节的管理要求；定期组织开展能源行业数据安全知识和技能教育培训。能源行业重要数据、能源行业核心数据的处理者应建立数据安全工作体系，加强人员和经费保障，并配合有关部门开展监督检查工作。

  第十三条利用互联网等信息网络开展能源行业数据处理活动的，应落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求。

  存储处理能源行业重要数据的信息网络应落实三级及以上网络安全等级保护要求。

  存储处理能源行业核心数据的信息网络，如涉及关键信息基础设施，应在网络安全等级保护制度的基础上，落实关键信息基础设施安全保护要求；不涉及关键信息基础设施的，应落实四级网络安全等级保护要求。

  法律法规和国家有关规定要求使用商用密码进行保护的，还应遵守商用密码保护有关规定。

  第十四条能源行业重要数据的处理者应自行或者委托具有风险评估能力的第三方评估机构，对其数据处理活动每年至少开展一次风险评估，及时整改风险问题，并按省级能源主管部门要求报送风险评估报告。省级能源主管部门、能源央企应将本地区、本企业数据安全风险评估情况按年度报送至国家能源局。

  风险评估报告应当准确、清晰地描述评估活动的主要内容，具体包括但不限于数据处理者基本信息，评估团队基本情况，开展数据处理活动的情况及其合规性评价，处理的能源行业重要数据的种类、数量，面临的数据安全风险及其应对措施，风险评估结论和整改建议等要素。

  第十五条能源行业数据安全风险评估重点评估以下内容：

  （一）能源行业重要数据和核心数据识别认定的基本情况、所处安全状态及风险分析；

  （二）数据处理活动是否合法、正当、必要；

  （三）数据安全负责人、管理机构、岗位配备和职责履行情况；

  （四）全流程数据安全管理制度及保障机制的建立和落实情况；

  （五）数据处理活动相关人员管理和教育培训情况；

  （六）国家数据分类分级保护制度落实情况，以及对能源行业重要数据和核心数据保护要求落实情况；

  （七）数据安全技术防护能力建设及应用情况；

  （八）已发生的数据安全案事件和处置情况，以及数据安全风险监测预警工作落实情况；

  （九）涉及数据提供、转移、委托处理、共同处理的，数据接收方的安全保障能力、责任义务约束和履行情况；

  （十）其他涉及数据安全的有关情况。

  第十六条能源行业重要数据的处理者在重要数据的收集、存储、使用、加工、传输、提供、公开、删除等环节，应综合运用加密、鉴权、认证、脱敏、校验、审计等技术手段进行安全保护。

  第十七条能源行业重要数据的处理者，应按照业务需要和最小授权原则，依据岗位职责设定数据处理权限，控制重要数据的接触范围，发生人员变动时应及时调整权限。

  第十八条能源行业重要数据的处理者应加强对数据共享、调用的安全管控，采取技术措施定期监测数据共享、调用情况，并配备风险隔离、认证鉴权、威胁告警等安全保护措施。

  第十九条委托他人处理或者与他人共同处理能源行业重要数据的，委托人应当提前告知受托人数据等级，数据安全责任不因委托而改变。委托方应严格审批明确受托方的数据处理权限和保护责任，监督受托方履行数据安全保护义务。受托方应依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供能源行业重要数据。

总共4页  [1] 2 [3] [4] 
上一页  下一页