涉及使用云计算服务处理能源行业重要数据的，可以选择通过云计算服务安全评估的云计算服务，并遵守本管理办法有关要求。

  第二十条未经委托方批准，涉及能源行业重要数据的信息系统建设、运维项目不得转包、分包。

  未经委托方明确授权，涉及能源行业重要数据信息系统建设、运维人员不得处理委托方的重要数据。

  对涉及能源行业重要数据的信息系统建设、运维过程中收集、产生的数据，不得用于其他用途，服务完成后按照与委托方约定处理或者及时删除。

  第二十一条能源行业重要数据处理活动应记录维护数据安全所需的日志，涉及安全事件处置、溯源的，相关日志留存时间不少于一年。涉及向他人提供、委托处理、共同处理能源行业重要数据的，相关日志留存时间不少于三年。

  能源行业重要数据的处理者在组织数据安全风险评估时，应对其数据查询、下载、修改、删除等重点操作的日志开展审计分析，发现违规或者异常行为应采取相应处置措施。

  第二十二条能源行业重要数据的处理者因合并、分立、解散、被宣告破产等原因需要转移、销毁能源行业重要数据的，应采取必要的安全保护措施，并事前向省级能源主管部门报告数据处置方案。引起重要数据目录变化的，应及时向数据载体所在地省级能源主管部门报备。

  第二十三条在我国境内收集和产生的能源行业重要数据，确需向境外提供的，能源数据处理者应依法依规申报数据出境安全评估。

  第二十四条能源行业核心数据的处理者跨不同法人主体提供、转移、共享核心数据的，应采取必要的安全保护措施，并告知数据接收方按照对应级别进行分类分级保护。自当年度1月1日起可能累计达到上一年度末该项核心数据静态总量30%及以上的，应经国家能源局报有关部门组织风险评估；未达到30%的，由省级能源主管部门提出初步评估意见，报国家能源局开展评估。涉及国家机关依法履职、国家机关或企事业单位内部流动的能源行业核心数据除外。

  第二十五条能源行业核心数据的处理者在落实以上能源行业重要数据保护要求的基础上，可以采取以下措施加强对能源行业核心数据的保护：

  （一）优先使用商用密码进行保护；

  （二）优先使用安全可信的产品和服务；

  （三）优先使用第三方评估机构开展风险评估；

  （四）涉及核心数据安全事件处置、溯源的相关日志，留存时间不少于三年；

  （五）对相关关键岗位人员、涉及核心数据信息系统建设和运维单位等，依法依规提交公安机关、国家安全机关进行国家安全背景审查。

  第二十六条不同类别、级别数据同时被处理且难以分别采取保护措施的，应按照其中级别最高的要求实施保护，确保数据集整体持续处于有效保护和合法利用的状态。

第四章能源行业数据安全监测预警和应急处置

  第二十七条省级能源主管部门、能源央企应分别加强本地区、本企业能源行业数据安全监测预警和应急处置能力建设，指导本地区数据处理者和能源央企各级子公司、控股企业做好风险监测、事件处置和报告等工作，强化对新技术新应用的能源行业数据安全风险研究和评估，强化对公开渠道数据汇聚、关联后可能引发能源行业数据安全风险的监测能力。

  第二十八条能源数据处理者发现数据安全缺陷、漏洞等风险时，应立即采取补救措施；发生数据安全事件时，应立即采取处置措施，按照规定及时告知相关用户并向省级能源主管部门报告，其中，能源央企各级子公司、控股企业应同步向能源央企总部报告。

  风险监测预警的内容应包括：风险基本情况、可能产生的危害和程度、风险演化发展态势、可能影响的范围、处置风险的对策建议及其他应报告的情况。

  事件情况报告的内容应包括：事件发生时间、事件简要经过、造成的危害和影响、已采取的措施、下一步对策建议及其他应报告的情况。

  第二十九条本地区、本企业发生能源行业数据安全事件时，省级能源主管部门、能源央企应根据事件级别依法启动应急预案，采取相应应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。

  第三十条省级能源主管部门、能源央企发现可能直接危害国家安全、经济运行、社会稳定、公共健康和安全，以及直接影响政治安全的重大或者特别重大的能源行业数据安全风险、事件，应于发现或者得知后1个工作日内将有关情况报送国家能源局，并按要求进行续报。紧急情况下可以通过电话联系方式及时报告，随后补报书面报告。国家能源局负责按规定向有关部门报告相关情况。

总共4页  [1] [2] 3 [4] 
上一页  下一页