《电力行业数据安全分类分级指南》征求意见稿.docx

2

T/CAGXXXXX—XXXX

电力行业数据安全分类分级指南

1范围

本文件给出了电力行业数据的分类分级的基本原则、数据分类、数据分级、数据分类分级管理。本文件适用于全国性电力行业开展电力数据分类分级工作作为参照。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

《中华人民共和国数据安全法》

GB/T35295-2017信息技术大数据术语

GB/T38667-2020信息技术大数据数据分类指南

GB/T35273—2020信息安全技术个人信息安全规范GBT43697-2024数据安全技术数据分类分级规则

JR/T0158—2018证券期货业数据分类分级指引JR/T0197—2020金融数据安全数据安全分级指南YD_T3813-2020基础电信企业数据分类分级方法

DB33/T2351-2021数字化改革公共数据分类分级指南

TC260-PG-20212A网络安全标准实践指南—网络数据分类分级指引GB∕T20986-2023信息安全技术网络安全事件分类分级指南

3术语和定义

下列术语和定义适用于本文件。

3.1数据分类

根据大数据的属性和特征，将其按一定的原则和方法进行区分和归类，并建立起一定的分类体系和

排列顺序的过程。

3.2数据分级

数据分级是指按照一定的分级原则对分类后的数据进行定级，为数据安全保护策略的制定提供支撑。

3.3敏感数据

敏感数据是指一旦泄露可能会对客户或公司造成损失的数据。

3.4数据资产目录

3

T/CAGXXXXX—XXXX数据资产目录是指对数据中有价值、可用于分析和应用的数据进行提炼形成的目录体系。

4数据分类分级原则

数据分类分级宜遵循以下原则：

(1)科学实用原则：数据分类应从便于数据管理和使用的角度，科学选择常见、稳定的属性或特征作为数据分类的依据，并结合实际需要对数据进行细化分类。

(2)边界清晰原则：数据分级的主要目的是为了数据安全，各个数据级别应做到边界清晰，对不同级别的数据采取相应的保护措施。

(3)就高从严原则：采用就高不就低的原则确定数据分级，当多个因素可能影响数据分级时，按照可能造成的最高影响对象和影响程度确定数据级别。

(4)点面结合原则：数据分级既要考虑单项数据分级，也要充分考虑多个领域、群体或区域的数据汇聚融合后对数据重要性、安全风险等的影响，通过定量与定性相结合的方式综合确定数据级别。

(5)动态更新原则：根据数据的业务属性、重要性和可能造成的危害程度的变化，对数据分类分级、重要数据目录等进行定期审核更新。

5数据分类

5.1一般要求

(1)应按电力数据的多维特征及其相互间存在的逻辑关联进行科学、系统的分类。

(2)使用的词语或短语应能准确表达数据类目的实际内容、内涵和外延，相同概念的用语应保持一致。

(3)应结合现实需求，符合标准使用者对电力数据区分和归类的普遍认知。每个类目下都有电力数据，不设没有意义的类目。

(4)应保持与国家、地方、行业法律法规关于电力数据分类分级的标准和要求相一致。

(5)原则上同一分类维度内，同一条数据只分入一个类目。

(6)应选择分类对象的最稳定的本质特性作为数据分类的基础和依据。

5.2分类维度

电力行业根据本行业本领域业务属性，将业务条线作为业务一级子类进行细分，确定业务二级子类，并对其命名。常见业务属性包括但不限于：

(1)业务领域维度：业务领域维度是以电力行业的业务为导向，依据业务范围对对电力数据的一级大类进行细分。如以生产、管理、营销三个大类进行业务主题划分。

(2)数据主体维度：数据主体维度基于电力行业的业务大类，按照不同的数据主体或属主进行细化分类。

(3)数据来源维度：数据来源维度是按照数据来源、收集方式进行细化分类，通过以数据的归属为界限对数据进行划分。

4

T/CAGXXXXX—XXXX

5.3分类方法

数据分类可根据数据管理和使用需求，结合已有数据分类基础，灵活选择业务属性将数据细化分类。具体参考以下步骤开展行业领域数据分类。

(1)明确数据范围：按照行业领域主管（监管）部门职责，明确本领域管理的数据范围。

(2)细化业务分类：对本领域业务进行细化分类，包括：

1)结合部门职责分工，明确行业领域或业务条线的分类；

注：1.电力领域数据，根据业务性质将公司业务分为生产业务、营销业务、管理业务三大类。

2)按