一、工作簡況

1、任務(wù)來源

為貫徹《中華人民共和國數(shù)據(jù)安全法》，落實(shí)、細(xì)化、規(guī)范核能行業(yè)數(shù)據(jù)安

全具體工作，增強(qiáng)核能領(lǐng)域數(shù)據(jù)全生命周期安全防護(hù)的能力，提升核能行業(yè)整體

數(shù)據(jù)安全水平，中國核能行業(yè)協(xié)會信息化專業(yè)委員會組織行業(yè)內(nèi)外相關(guān)單位共同

編制核能領(lǐng)域數(shù)據(jù)安全系列標(biāo)準(zhǔn)。2022年12月15日，中國核能行業(yè)協(xié)會信息

化專業(yè)委員會（簡稱“信專委”）發(fā)函“關(guān)于商請參加核能領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)編

制工作的函”（核協(xié)信專函〔2022〕29號），本標(biāo)準(zhǔn)《核能領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評

估方法》為其中推薦用于核能行業(yè)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法的規(guī)范。

2、主要工作過程

本標(biāo)準(zhǔn)各階段進(jìn)度計(jì)劃安排如下：2022年底前完成工作研討和初步意向征集；

2023年第一季度基于對中核礦業(yè)科技集團(tuán)有限公司、福建福清核電有限公司開

展數(shù)據(jù)安全檢測評估活動契機(jī)，調(diào)研相關(guān)單位數(shù)據(jù)分類分級現(xiàn)狀；2023年第一

季度完成標(biāo)準(zhǔn)草案和立項(xiàng)工作；2023年第二季度完成定向意見征求；2023年第

三季度完成公開意見征求；2024年第二季度完成標(biāo)準(zhǔn)送審稿；2024年第三季度

完成標(biāo)準(zhǔn)報(bào)批稿。

當(dāng)前標(biāo)準(zhǔn)編制進(jìn)展描述如下：

2022年12月，信專委完成標(biāo)準(zhǔn)立項(xiàng)前的工作研討和初步意向征集；

2023年1月13日，中國核能行業(yè)協(xié)會召開團(tuán)體標(biāo)準(zhǔn)立項(xiàng)評審會，該標(biāo)準(zhǔn)在

會上通過立項(xiàng)審查，并通過公示期；

2023年3月2日，信專委組織召開了組內(nèi)工作推進(jìn)會議，完成了標(biāo)準(zhǔn)編寫

規(guī)范和方法的培訓(xùn)，并對標(biāo)準(zhǔn)立項(xiàng)評審過程中專家提的意見進(jìn)行了整改響應(yīng)；

2023年10月18日，信專委組織召開加快推進(jìn)核能領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)編制

工作會議，宣貫政府主管部門對核能領(lǐng)域數(shù)據(jù)安全工作新的要求，并提出加快數(shù)

據(jù)安全標(biāo)準(zhǔn)編制工作；

2023年11-12月，標(biāo)準(zhǔn)編制組對標(biāo)準(zhǔn)內(nèi)容進(jìn)一步完善，形成征求意見稿；

2024年2-3月，準(zhǔn)備標(biāo)準(zhǔn)定向征求意見、公開征求意見。

3、主要參加單位和工作組成員及其所作的工作等

本文件編制的參與單位和分工如下：

單位名稱編寫分工主要承擔(dān)工作

中核礦業(yè)科技集團(tuán)有限公司組長單位牽頭編制

國核示范電站有限責(zé)任公司成員單位參與編制

華能山東石島灣核電有限公司成員單位參與編制

同方知網(wǎng)數(shù)字出版技術(shù)股份有限公司成員單位參與編制

福建福清核電有限公司成員單位參與編制

核電運(yùn)行研究（上海）有限公司成員單位參與編制

中國核電工程有限公司成員單位參與編制

華能山東石島灣核電有限公司成員單位參與編制

中核蘭州鈾濃縮有限公司成員單位參與編制

中核武漢核電運(yùn)行技術(shù)股份有限公司成員單位參與編制

中國電子技術(shù)標(biāo)準(zhǔn)化研究院成員單位參與各階段的討論和評審

南華大學(xué)成員單位參與編制

中國信息通信研究院成員單位參與編制

中國核能行業(yè)協(xié)會成員單位參與編制

北京啟明星辰信息安全技術(shù)有限公司成員單位參與編制

中國寶原投資有限公司成員單位參與各階段的討論和評審

二、標(biāo)準(zhǔn)編制原則和主要內(nèi)容

1、標(biāo)準(zhǔn)編制原則

本標(biāo)準(zhǔn)的編制旨在指導(dǎo)核行業(yè)單位組織實(shí)施文檔評估，幫助管理主體查找短

板，提升文檔管理水平。本標(biāo)準(zhǔn)本著公正性、科學(xué)性、實(shí)用性的原則編制。

（1）公正性

本標(biāo)準(zhǔn)在實(shí)施過程中，要求以掌握的事實(shí)材料為依據(jù)，尊重客觀事實(shí)，不帶

有主觀隨意性，不受外界干擾、不遷就任何單位和個人的片面要求。

（2）科學(xué)性

本標(biāo)準(zhǔn)研究了國內(nèi)外企業(yè)文檔管理的指標(biāo)、評價(jià)體系的制定和執(zhí)行情況及

相關(guān)法規(guī)要求，基于國內(nèi)核行業(yè)單位文檔管理及評價(jià)體系的建設(shè)需求，參考相關(guān)

DA、GB標(biāo)準(zhǔn)，結(jié)合多個核行業(yè)單位的文檔管理實(shí)踐和管理特點(diǎn)進(jìn)行編制。

（3）實(shí)用性

本標(biāo)準(zhǔn)的指標(biāo)設(shè)計(jì)立足現(xiàn)有企事業(yè)文檔管理實(shí)踐，內(nèi)容全面、指導(dǎo)性強(qiáng)，達(dá)

到促進(jìn)企事業(yè)文檔管理規(guī)范、安全、有效的目的。

2、標(biāo)準(zhǔn)主要內(nèi)容的依據(jù)

2.1概述

按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草

規(guī)則》的規(guī)定起草。

本標(biāo)準(zhǔn)出了數(shù)據(jù)安全風(fēng)險(xiǎn)評估的基本要求、實(shí)施流程、評估內(nèi)容，明確了數(shù)

據(jù)安全風(fēng)險(xiǎn)評估各階段的實(shí)施要點(diǎn)和工作方法。

以適用范圍劃定工作思路，明確核能領(lǐng)域開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估活動的基本

要求、實(shí)施流程與實(shí)施內(nèi)容，給出了風(fēng)險(xiǎn)評估內(nèi)容指標(biāo)，并對評估的結(jié)果給出安

全分析和評價(jià)參考，指導(dǎo)行業(yè)各單位開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作，助力監(jiān)管部門

對各單位數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作的監(jiān)督指導(dǎo)。

圍繞核能領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估活動，關(guān)注風(fēng)險(xiǎn)評估的對象、要求、評估內(nèi)

容和評估結(jié)果的評價(jià)與分析等，重點(diǎn)關(guān)注實(shí)施過程中對于在建核電廠與運(yùn)營核電

廠的增強(qiáng)評估要求與整體風(fēng)險(xiǎn)評估內(nèi)容指標(biāo)。

特別說明：涉及國家秘密的數(shù)據(jù)和軍事數(shù)據(jù)不適用于本標(biāo)準(zhǔn)。開展涉及個人

信息的數(shù)據(jù)處理活動，還應(yīng)當(dāng)遵守有關(guān)法律、行政法規(guī)的規(guī)定。

2.2主要技術(shù)內(nèi)容說明

2.2.1第1章范圍

本章規(guī)定了本標(biāo)準(zhǔn)的編制目的和適用范圍。

本文件適用于指導(dǎo)核能領(lǐng)域網(wǎng)絡(luò)運(yùn)營者開展網(wǎng)絡(luò)數(shù)據(jù)處理活動的安全風(fēng)險(xiǎn)評

估，并為第三方安全評估機(jī)構(gòu)等單位開展核能領(lǐng)域網(wǎng)絡(luò)數(shù)據(jù)安全檢查與評估工作

提供參考。

2.2.2第2章規(guī)范性引用文件

GB/T25069—2022信息安全技術(shù)術(shù)語

2.2.3第3章術(shù)語和定義

本標(biāo)準(zhǔn)中的術(shù)語及定義部分參照國家、行業(yè)標(biāo)準(zhǔn)規(guī)范中已有的相應(yīng)術(shù)語給出

定義。

其中：

“數(shù)據(jù)、數(shù)據(jù)安全、數(shù)據(jù)處理活動、合理性”參照《數(shù)據(jù)安全法》給出術(shù)語

定義；“網(wǎng)絡(luò)數(shù)據(jù)、網(wǎng)絡(luò)運(yùn)營者”參照《網(wǎng)絡(luò)安全法》給出術(shù)語定義；“重要數(shù)據(jù)”

參照《GB/T41479—2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》給出術(shù)語定義。

“數(shù)據(jù)安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)評估、安全措施、業(yè)務(wù)、風(fēng)險(xiǎn)源”自定義。

2.2.4第4章核能領(lǐng)域風(fēng)險(xiǎn)評估基本要求與流程

本章針對通用對象尤其是重點(diǎn)對象，提出核能領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估的觸發(fā)

場景，圍繞評估的內(nèi)容框架，開展流程設(shè)計(jì)和事前預(yù)警及信息同步機(jī)制。

本章節(jié)主要內(nèi)容包括：

4.1評估適用對象開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估，首要關(guān)注評估的適用對象，標(biāo)

準(zhǔn)對通用評估對象和重點(diǎn)評估對象進(jìn)行說明，并明確重點(diǎn)評估對象的判斷情形。

4.2評估觸發(fā)場景評估的場景分為周期性評估和觸發(fā)性評估，一是明確了

周期性評估的對象和評估周期，二是重點(diǎn)描述了觸發(fā)風(fēng)險(xiǎn)評估的重要數(shù)據(jù)處理

場景。

4.3事前咨詢與風(fēng)險(xiǎn)評估報(bào)送明確了開展高風(fēng)險(xiǎn)數(shù)據(jù)處理活動事前咨詢

和重要數(shù)據(jù)者定期風(fēng)險(xiǎn)報(bào)告報(bào)送機(jī)制，有效規(guī)避數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)處理活動中

造成重大影響或損失，并和監(jiān)管部門及時(shí)進(jìn)行信息同步。

4.4評估實(shí)施流程定義了評估的實(shí)施流程包括“評估準(zhǔn)備、要素識別、風(fēng)

險(xiǎn)識別、安全分析、評估總結(jié)”五個階段。

4.5評估內(nèi)容框架定義了在風(fēng)險(xiǎn)要素識別的基礎(chǔ)上，數(shù)據(jù)安全風(fēng)險(xiǎn)評估內(nèi)

容包括數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)三方面。

主要依據(jù)如下：

—《數(shù)據(jù)安全法》

第三十條“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)

險(xiǎn)評估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告”的相關(guān)要求，開展數(shù)據(jù)安全風(fēng)險(xiǎn)

合規(guī)建設(shè)。

—GB/T41479—2022《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》

在總體要求中明確了網(wǎng)絡(luò)數(shù)據(jù)處理安全的數(shù)據(jù)識別是基礎(chǔ)、風(fēng)險(xiǎn)防控是核心

2.2.5第5章核能領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施

安全風(fēng)險(xiǎn)評估的核心內(nèi)容，包括評估準(zhǔn)備、要素識別、風(fēng)險(xiǎn)識別、安全分析

和評估總結(jié)。

本章節(jié)主要內(nèi)容包括：

5.1評估準(zhǔn)備包括目標(biāo)、范圍、規(guī)則的確定和團(tuán)隊(duì)組建等，評估的對象、

范圍和邊界，依據(jù)評估目標(biāo)確定。

5.2要素識別包括數(shù)據(jù)處理者、業(yè)務(wù)和信息系統(tǒng)識別、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處

理活動、安全保護(hù)措施。

5.3風(fēng)險(xiǎn)識別風(fēng)險(xiǎn)識別是數(shù)據(jù)安全風(fēng)險(xiǎn)評估的關(guān)鍵步驟，開展具體的風(fēng)險(xiǎn)

識別工作，要基于數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)三方面內(nèi)容的

特性劃分不同的風(fēng)險(xiǎn)識別類別，關(guān)注不同類別的重點(diǎn)評估內(nèi)容檢查項(xiàng)，依據(jù)重

點(diǎn)評估內(nèi)容的符合情況初步得出風(fēng)險(xiǎn)識別的評估結(jié)果。

5.4安全分析對數(shù)據(jù)風(fēng)險(xiǎn)評估活動發(fā)現(xiàn)的問題進(jìn)行風(fēng)險(xiǎn)分析并提出整改

建議。

5.5評估總結(jié)依據(jù)安全分析結(jié)果，結(jié)合評估過程，編制評估報(bào)告，提出風(fēng)

險(xiǎn)處置建議并分析殘余風(fēng)險(xiǎn)，最后通過評估后評價(jià)讓整體流程閉環(huán)。

2.2.6第6章核能領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估結(jié)果

利用模型計(jì)算公式對評估結(jié)果綜合計(jì)分，并依據(jù)過程中的安全問題和風(fēng)險(xiǎn)情

況劃分安全風(fēng)險(xiǎn)等級。并結(jié)合監(jiān)管關(guān)注重大事項(xiàng)的事實(shí)情況，根據(jù)事項(xiàng)對應(yīng)的評

價(jià)判罰，確定最終得分。

2.2.7第7章附錄

附錄A《核能領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估準(zhǔn)備清單》提供核能行業(yè)各單位和組

織開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估調(diào)研的前期準(zhǔn)備清單模版和參考。包括B.1相關(guān)方聯(lián)系

表、B.2資料收集清單、B.3評估準(zhǔn)備事項(xiàng)

附錄B《核能領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估輸出物模版》根據(jù)模板可輸出評估工

作的規(guī)范記錄，長期來看，利于數(shù)據(jù)安全風(fēng)險(xiǎn)評估和數(shù)據(jù)安全能力建設(shè)的工作對

比、整合和改進(jìn)。包括B.1-通用數(shù)據(jù)安全風(fēng)險(xiǎn)評估報(bào)告模板、B.2-高風(fēng)險(xiǎn)數(shù)據(jù)

處理活動事前咨詢信息提供模板、B.3-數(shù)據(jù)安全問題清單模板。

3、解決的主要問題

本標(biāo)準(zhǔn)主要用于落實(shí)《數(shù)據(jù)安全法》第三十條“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按

照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險(xiǎn)評估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)

告”的相關(guān)要求，開展數(shù)據(jù)安全風(fēng)險(xiǎn)合規(guī)建設(shè)。核能行業(yè)各單位結(jié)合業(yè)務(wù)實(shí)際開

展數(shù)據(jù)安全處理活動及風(fēng)險(xiǎn)評估、報(bào)送等工作缺乏細(xì)致的規(guī)范指導(dǎo)。為加快建立

健全的、針對性的、可落地的數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法和體系，推進(jìn)核能行業(yè)數(shù)據(jù)

依法合理有效利用，規(guī)范數(shù)據(jù)處理活動，提升數(shù)據(jù)安全保障水平，有效防范各類

數(shù)據(jù)安全風(fēng)險(xiǎn)。通過完善核能行業(yè)健全的、針對性的、可落地的數(shù)據(jù)安全風(fēng)險(xiǎn)評

估標(biāo)準(zhǔn)，完善數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作合規(guī)建設(shè)，實(shí)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作常態(tài)

化、標(biāo)準(zhǔn)化，推進(jìn)核能行業(yè)數(shù)據(jù)合理有效利用、依法安全流通，提升核能行業(yè)數(shù)

據(jù)安全綜合防護(hù)能力。

三、主要試驗(yàn)（或驗(yàn)證）情況

本標(biāo)準(zhǔn)提出核能領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法，相關(guān)技術(shù)和管理?xiàng)l款源于核能

企業(yè)數(shù)據(jù)全生命周期管理實(shí)踐。同時(shí)，為使標(biāo)準(zhǔn)內(nèi)容更加符合應(yīng)用實(shí)際，在標(biāo)準(zhǔn)

應(yīng)用階段可以更加有效地指導(dǎo)核能企業(yè)開展數(shù)據(jù)安全檢測評估工作，協(xié)會信專委

面向核行業(yè)廣泛征集數(shù)據(jù)安全問題及相關(guān)工作建議，經(jīng)研究后提煉共性問題、在

標(biāo)準(zhǔn)內(nèi)容中予以完善。

四、標(biāo)準(zhǔn)中涉及專利的情況

本標(biāo)準(zhǔn)的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。

五、預(yù)期達(dá)到的社會效益、對產(chǎn)業(yè)發(fā)展的作用等情況

本標(biāo)準(zhǔn)用于規(guī)范核能行業(yè)數(shù)據(jù)和數(shù)據(jù)處理活動的安全風(fēng)險(xiǎn)和違法違規(guī)問題

的識別、評價(jià)與預(yù)防改進(jìn)，定義一套行之有效的數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法，確立有

效的評估和監(jiān)管機(jī)制，對提升核能領(lǐng)域數(shù)據(jù)安全防護(hù)水平具有重大意義。

六、與國際、國外對比情況

目前未查詢到核能領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法相關(guān)的國際、國外標(biāo)準(zhǔn)。

七、在標(biāo)準(zhǔn)體系中的位置，與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及標(biāo)準(zhǔn)，特

別是強(qiáng)制性標(biāo)準(zhǔn)的協(xié)調(diào)性

我國現(xiàn)有的