【國能發(fā)規(guī)劃規(guī)〔2025〕108號】國家能源局關于印發(fā)《能源行業(yè)數(shù)據(jù)安全管理辦法(試行)》的通知

文章來源:國家能源局碳交易網(wǎng)2025-12-12 11:51

國家能源局關于印發(fā)《能源行業(yè)數(shù)據(jù)安全管理辦法(試行)》的通知
 
(國能發(fā)規(guī)劃規(guī)〔2025〕108號)
 
各有關單位:
 
為落實《中華人民共和國數(shù)據(jù)安全法》等法律法規(guī),我局制定了《能源行業(yè)數(shù)據(jù)安全管理辦法(試行)》,現(xiàn)予印發(fā),自2026年7月1日起施行。
 
國家能源局
2025年12月8日
 
能源行業(yè)數(shù)據(jù)安全管理辦法(試行)
 
第一章 總  則
第一條 為規(guī)范能源行業(yè)數(shù)據(jù)處理活動,加強數(shù)據(jù)安全管理,防范數(shù)據(jù)安全風險,促進數(shù)據(jù)開發(fā)利用,保護個人、組織的合法權益,維護國家安全和發(fā)展利益,根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國能源法》《中華人民共和國個人信息保護法》《網(wǎng)絡數(shù)據(jù)安全管理條例》等法律法規(guī),制定本辦法。
第二條 本辦法適用于在中華人民共和國境內(nèi)開展能源行業(yè)數(shù)據(jù)處理活動及其安全監(jiān)督管理。
能源數(shù)據(jù)處理者開展涉及國家秘密或由其匯聚關聯(lián)后屬于國家秘密事項的能源行業(yè)數(shù)據(jù)處理活動時,應遵守《中華人民共和國保守國家秘密法》等法律、行政法規(guī)的規(guī)定。
第三條 本辦法所稱數(shù)據(jù),是指任何以電子或者其他方式對信息的記錄。
本辦法所稱能源行業(yè)數(shù)據(jù),是指在開展能源活動中收集和產(chǎn)生的數(shù)據(jù)。能源活動主要包括與能源相關的規(guī)劃、設計、建設、生產(chǎn)、儲運、消費、科研等。與城市燃氣、供熱、加油站等能源活動相關的數(shù)據(jù)應遵守有關主管部門規(guī)定。
本辦法所稱能源數(shù)據(jù)處理者,是指開展能源行業(yè)數(shù)據(jù)處理活動的能源行業(yè)各類單位。能源行業(yè)數(shù)據(jù)處理活動包括能源行業(yè)數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
本辦法所稱數(shù)據(jù)安全,是指通過采取必要措施,確保能源行業(yè)數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。
第四條 根據(jù)數(shù)據(jù)重要性、精度、規(guī)模、安全風險等,能源行業(yè)數(shù)據(jù)分為一般、重要、核心三級。
能源行業(yè)重要數(shù)據(jù)是指特定領域、特定群體、特定區(qū)域或達到一定精度和規(guī)模的能源行業(yè)數(shù)據(jù),一旦被泄露或篡改、損毀,可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全。僅影響組織自身或公民個體的能源行業(yè)數(shù)據(jù),一般不作為能源行業(yè)重要數(shù)據(jù)。
能源行業(yè)核心數(shù)據(jù)是指對領域、群體、區(qū)域具有較高覆蓋度或達到較高精度、較大規(guī)模、一定深度的能源行業(yè)重要數(shù)據(jù),一旦被非法使用或共享,可能直接影響政治安全。主要包括:關系國家安全重點領域的數(shù)據(jù),關系國民經(jīng)濟命脈、重要民生和重大公共利益的數(shù)據(jù),經(jīng)評估確定的其他能源行業(yè)數(shù)據(jù)。
能源行業(yè)一般數(shù)據(jù)是指能源行業(yè)重要數(shù)據(jù)、能源行業(yè)核心數(shù)據(jù)之外的其他能源行業(yè)數(shù)據(jù)。
第五條 鼓勵能源數(shù)據(jù)處理者積極開展能源行業(yè)數(shù)據(jù)創(chuàng)新應用,在保障安全合規(guī)的情況下促進數(shù)據(jù)開發(fā)利用。
第二章 能源行業(yè)數(shù)據(jù)安全基本職責
第六條 在國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)下,國家能源局負責能源行業(yè)數(shù)據(jù)安全監(jiān)督管理,督促指導各省、自治區(qū)、直轄市和新疆生產(chǎn)建設兵團能源主管部門(以下簡稱省級能源主管部門)開展數(shù)據(jù)安全監(jiān)督管理,督促指導國務院國資委管理的能源企業(yè)(以下簡稱能源央企)和國家能源局指導監(jiān)管的全國性能源行業(yè)協(xié)會依法依規(guī)履行能源數(shù)據(jù)處理者責任義務,組織制定和發(fā)布能源行業(yè)數(shù)據(jù)分類分級標準規(guī)范,審核并確定能源行業(yè)重要數(shù)據(jù)目錄,向有關部門提出核心數(shù)據(jù)目錄建議并實行動態(tài)管理,加強能源行業(yè)數(shù)據(jù)安全監(jiān)測預警和應急處置能力建設。
第七條 省級能源主管部門負責對本地區(qū)能源行業(yè)數(shù)據(jù)處理活動和安全保護進行監(jiān)督管理,督促指導本地區(qū)能源數(shù)據(jù)處理者(含能源央企在本地區(qū)的各級子公司、控股企業(yè))依法依規(guī)履行能源數(shù)據(jù)處理者責任義務,按照能源行業(yè)數(shù)據(jù)分類分級標準規(guī)范,編制并按年度更新報送本地區(qū)能源行業(yè)重要數(shù)據(jù)目錄,開展本地區(qū)能源行業(yè)數(shù)據(jù)安全監(jiān)測預警、信息報送、制定應急預案、開展應急處置等工作。
第八條 能源數(shù)據(jù)處理者應依法依規(guī)履行數(shù)據(jù)安全保護責任義務。能源行業(yè)重要數(shù)據(jù)和能源行業(yè)核心數(shù)據(jù)的處理者對自身的數(shù)據(jù)安全負主體責任,應明確數(shù)據(jù)安全負責人和管理機構(gòu),本單位法定代表人或者主要負責人是數(shù)據(jù)安全第一責任人,分管數(shù)據(jù)安全的領導是直接責任人。能源央企負責對其各級子公司、控股企業(yè)的數(shù)據(jù)處理活動和安全保護進行監(jiān)督管理。
第九條 能源數(shù)據(jù)處理者應依照能源行業(yè)數(shù)據(jù)分類分級標準規(guī)范,識別并編制本單位能源行業(yè)重要數(shù)據(jù)目錄,按照數(shù)據(jù)載體所在地省級能源主管部門要求報送重要數(shù)據(jù)目錄。能源央企各級子公司、控股企業(yè)編制的能源行業(yè)重要數(shù)據(jù)目錄,應按照數(shù)據(jù)載體所在地省級能源主管部門和能源央企總部要求分別報送。
重要數(shù)據(jù)目錄報送內(nèi)容包括但不限于數(shù)據(jù)類別、級別、規(guī)模、精度、來源、載體、適用范圍、對外共享、跨境傳輸、安全情況及責任單位等數(shù)據(jù)字段信息,不包括數(shù)據(jù)內(nèi)容本身。
第十條 省級能源主管部門、能源央企分別負責匯總審核本地區(qū)、本企業(yè)的能源行業(yè)重要數(shù)據(jù)目錄,并報送國家能源局。對按程序確認為能源行業(yè)重要數(shù)據(jù)和能源行業(yè)核心數(shù)據(jù)的,省級能源主管部門、能源央企應及時告知能源數(shù)據(jù)處理者。
第十一條 上一次報送重要數(shù)據(jù)目錄后,能源行業(yè)重要數(shù)據(jù)、核心數(shù)據(jù)的級別、責任主體情況、數(shù)據(jù)處理情況、數(shù)據(jù)安全情況內(nèi)容發(fā)生重大變化的,能源數(shù)據(jù)處理者應在三個月內(nèi)重新按程序報送重要數(shù)據(jù)目錄。
第三章 能源行業(yè)數(shù)據(jù)保護要求
第十二條 能源數(shù)據(jù)處理者開展數(shù)據(jù)處理活動,應建立健全數(shù)據(jù)安全管理制度,明確數(shù)據(jù)全生命周期各環(huán)節(jié)的管理要求;定期組織開展能源行業(yè)數(shù)據(jù)安全知識和技能教育培訓。能源行業(yè)重要數(shù)據(jù)、能源行業(yè)核心數(shù)據(jù)的處理者應建立數(shù)據(jù)安全工作體系,加強人員和經(jīng)費保障,并配合有關部門開展監(jiān)督檢查工作。
第十三條 利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展能源行業(yè)數(shù)據(jù)處理活動的,應落實網(wǎng)絡安全等級保護、關鍵信息基礎設施安全保護、密碼保護和保密等制度要求。
存儲處理能源行業(yè)重要數(shù)據(jù)的信息網(wǎng)絡應落實三級及以上網(wǎng)絡安全等級保護要求。
存儲處理能源行業(yè)核心數(shù)據(jù)的信息網(wǎng)絡,如涉及關鍵信息基礎設施,應在網(wǎng)絡安全等級保護制度的基礎上,落實關鍵信息基礎設施安全保護要求;不涉及關鍵信息基礎設施的,應落實四級網(wǎng)絡安全等級保護要求。
法律法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的,還應遵守商用密碼保護有關規(guī)定。
第十四條 能源行業(yè)重要數(shù)據(jù)的處理者應自行或者委托具有風險評估能力的第三方評估機構(gòu),對其數(shù)據(jù)處理活動每年至少開展一次風險評估,及時整改風險問題,并按省級能源主管部門要求報送風險評估報告。省級能源主管部門、能源央企應將本地區(qū)、本企業(yè)數(shù)據(jù)安全風險評估情況按年度報送至國家能源局。
風險評估報告應當準確、清晰地描述評估活動的主要內(nèi)容,具體包括但不限于數(shù)據(jù)處理者基本信息,評估團隊基本情況,開展數(shù)據(jù)處理活動的情況及其合規(guī)性評價,處理的能源行業(yè)重要數(shù)據(jù)的種類、數(shù)量,面臨的數(shù)據(jù)安全風險及其應對措施,風險評估結(jié)論和整改建議等要素。
第十五條 能源行業(yè)數(shù)據(jù)安全風險評估重點評估以下內(nèi)容:
(一)能源行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)識別認定的基本情況、所處安全狀態(tài)及風險分析;
(二)數(shù)據(jù)處理活動是否合法、正當、必要;
(三)數(shù)據(jù)安全負責人、管理機構(gòu)、崗位配備和職責履行情況;
(四)全流程數(shù)據(jù)安全管理制度及保障機制的建立和落實情況;
(五)數(shù)據(jù)處理活動相關人員管理和教育培訓情況;
(六)國家數(shù)據(jù)分類分級保護制度落實情況,以及對能源行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)保護要求落實情況;
(七)數(shù)據(jù)安全技術防護能力建設及應用情況;
(八)已發(fā)生的數(shù)據(jù)安全案事件和處置情況,以及數(shù)據(jù)安全風險監(jiān)測預警工作落實情況;
(九)涉及數(shù)據(jù)提供、轉(zhuǎn)移、委托處理、共同處理的,數(shù)據(jù)接收方的安全保障能力、責任義務約束和履行情況;
(十)其他涉及數(shù)據(jù)安全的有關情況。
第十六條 能源行業(yè)重要數(shù)據(jù)的處理者在重要數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等環(huán)節(jié),應綜合運用加密、鑒權、認證、脫敏、校驗、審計等技術手段進行安全保護。
第十七條 能源行業(yè)重要數(shù)據(jù)的處理者,應按照業(yè)務需要和最小授權原則,依據(jù)崗位職責設定數(shù)據(jù)處理權限,控制重要數(shù)據(jù)的接觸范圍,發(fā)生人員變動時應及時調(diào)整權限。
第十八條 能源行業(yè)重要數(shù)據(jù)的處理者應加強對數(shù)據(jù)共享、調(diào)用的安全管控,采取技術措施定期監(jiān)測數(shù)據(jù)共享、調(diào)用情況,并配備風險隔離、認證鑒權、威脅告警等安全保護措施。
第十九條 委托他人處理或者與他人共同處理能源行業(yè)重要數(shù)據(jù)的,委托人應當提前告知受托人數(shù)據(jù)等級,數(shù)據(jù)安全責任不因委托而改變。委托方應嚴格審批明確受托方的數(shù)據(jù)處理權限和保護責任,監(jiān)督受托方履行數(shù)據(jù)安全保護義務。受托方應依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務,不得擅自留存、使用、泄露或者向他人提供能源行業(yè)重要數(shù)據(jù)。
涉及使用云計算服務處理能源行業(yè)重要數(shù)據(jù)的,可以選擇通過云計算服務安全評估的云計算服務,并遵守本管理辦法有關要求。
第二十條 未經(jīng)委托方批準,涉及能源行業(yè)重要數(shù)據(jù)的信息系統(tǒng)建設、運維項目不得轉(zhuǎn)包、分包。
未經(jīng)委托方明確授權,涉及能源行業(yè)重要數(shù)據(jù)信息系統(tǒng)建設、運維人員不得處理委托方的重要數(shù)據(jù)。
對涉及能源行業(yè)重要數(shù)據(jù)的信息系統(tǒng)建設、運維過程中收集、產(chǎn)生的數(shù)據(jù),不得用于其他用途,服務完成后按照與委托方約定處理或者及時刪除。
第二十一條 能源行業(yè)重要數(shù)據(jù)處理活動應記錄維護數(shù)據(jù)安全所需的日志,涉及安全事件處置、溯源的,相關日志留存時間不少于一年。涉及向他人提供、委托處理、共同處理能源行業(yè)重要數(shù)據(jù)的,相關日志留存時間不少于三年。
能源行業(yè)重要數(shù)據(jù)的處理者在組織數(shù)據(jù)安全風險評估時,應對其數(shù)據(jù)查詢、下載、修改、刪除等重點操作的日志開展審計分析,發(fā)現(xiàn)違規(guī)或者異常行為應采取相應處置措施。
第二十二條 能源行業(yè)重要數(shù)據(jù)的處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移、銷毀能源行業(yè)重要數(shù)據(jù)的,應采取必要的安全保護措施,并事前向省級能源主管部門報告數(shù)據(jù)處置方案。引起重要數(shù)據(jù)目錄變化的,應及時向數(shù)據(jù)載體所在地省級能源主管部門報備。
第二十三條 在我國境內(nèi)收集和產(chǎn)生的能源行業(yè)重要數(shù)據(jù),確需向境外提供的,能源數(shù)據(jù)處理者應依法依規(guī)申報數(shù)據(jù)出境安全評估。
第二十四條 能源行業(yè)核心數(shù)據(jù)的處理者跨不同法人主體提供、轉(zhuǎn)移、共享核心數(shù)據(jù)的,應采取必要的安全保護措施,并告知數(shù)據(jù)接收方按照對應級別進行分類分級保護。自當年度1月1日起可能累計達到上一年度末該項核心數(shù)據(jù)靜態(tài)總量30%及以上的,應經(jīng)國家能源局報有關部門組織風險評估;未達到30%的,由省級能源主管部門提出初步評估意見,報國家能源局開展評估。涉及國家機關依法履職、國家機關或企事業(yè)單位內(nèi)部流動的能源行業(yè)核心數(shù)據(jù)除外。
第二十五條 能源行業(yè)核心數(shù)據(jù)的處理者在落實以上能源行業(yè)重要數(shù)據(jù)保護要求的基礎上,可以采取以下措施加強對能源行業(yè)核心數(shù)據(jù)的保護:
(一)優(yōu)先使用商用密碼進行保護;
(二)優(yōu)先使用安全可信的產(chǎn)品和服務;
(三)優(yōu)先使用第三方評估機構(gòu)開展風險評估;
(四)涉及核心數(shù)據(jù)安全事件處置、溯源的相關日志,留存時間不少于三年;
(五)對相關關鍵崗位人員、涉及核心數(shù)據(jù)信息系統(tǒng)建設和運維單位等,依法依規(guī)提交公安機關、國家安全機關進行國家安全背景審查。
第二十六條 不同類別、級別數(shù)據(jù)同時被處理且難以分別采取保護措施的,應按照其中級別最高的要求實施保護,確保數(shù)據(jù)集整體持續(xù)處于有效保護和合法利用的狀態(tài)。
第四章 能源行業(yè)數(shù)據(jù)安全監(jiān)測預警和應急處置
第二十七條 省級能源主管部門、能源央企應分別加強本地區(qū)、本企業(yè)能源行業(yè)數(shù)據(jù)安全監(jiān)測預警和應急處置能力建設,指導本地區(qū)數(shù)據(jù)處理者和能源央企各級子公司、控股企業(yè)做好風險監(jiān)測、事件處置和報告等工作,強化對新技術新應用的能源行業(yè)數(shù)據(jù)安全風險研究和評估,強化對公開渠道數(shù)據(jù)匯聚、關聯(lián)后可能引發(fā)能源行業(yè)數(shù)據(jù)安全風險的監(jiān)測能力。
第二十八條 能源數(shù)據(jù)處理者發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時,應立即采取補救措施;發(fā)生數(shù)據(jù)安全事件時,應立即采取處置措施,按照規(guī)定及時告知相關用戶并向省級能源主管部門報告,其中,能源央企各級子公司、控股企業(yè)應同步向能源央企總部報告。
風險監(jiān)測預警的內(nèi)容應包括:風險基本情況、可能產(chǎn)生的危害和程度、風險演化發(fā)展態(tài)勢、可能影響的范圍、處置風險的對策建議及其他應報告的情況。
事件情況報告的內(nèi)容應包括:事件發(fā)生時間、事件簡要經(jīng)過、造成的危害和影響、已采取的措施、下一步對策建議及其他應報告的情況。
第二十九條 本地區(qū)、本企業(yè)發(fā)生能源行業(yè)數(shù)據(jù)安全事件時,省級能源主管部門、能源央企應根據(jù)事件級別依法啟動應急預案,采取相應應急處置措施,防止危害擴大,消除安全隱患,并及時向社會發(fā)布與公眾有關的警示信息。
第三十條 省級能源主管部門、能源央企發(fā)現(xiàn)可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全,以及直接影響政治安全的重大或者特別重大的能源行業(yè)數(shù)據(jù)安全風險、事件,應于發(fā)現(xiàn)或者得知后1個工作日內(nèi)將有關情況報送國家能源局,并按要求進行續(xù)報。緊急情況下可以通過電話聯(lián)系方式及時報告,隨后補報書面報告。國家能源局負責按規(guī)定向有關部門報告相關情況。
第三十一條 省級能源主管部門、能源央企完成重大或者特別重大能源行業(yè)數(shù)據(jù)安全應急處置工作后,應及時總結(jié)提煉經(jīng)驗,并于3個工作日內(nèi)形成處置情況報告,于10個工作日內(nèi)形成總結(jié)報告,分別報送國家能源局。國家能源局負責按規(guī)定向有關部門報送總結(jié)報告。
第五章 監(jiān)督檢查和法律責任
第三十二條 國家能源局和省級能源主管部門應當依照《網(wǎng)絡數(shù)據(jù)安全管理條例》有關規(guī)定,對能源行業(yè)數(shù)據(jù)安全工作進行監(jiān)督檢查。
第三十三條 國家能源局和省級能源主管部門在履行數(shù)據(jù)安全監(jiān)督管理職責中,發(fā)現(xiàn)數(shù)據(jù)處理活動存在較大安全風險的,可以按照規(guī)定權限和程序約談相關能源數(shù)據(jù)處理者,要求采取措施進行整改,消除隱患,并將問題線索及時移送有關主管部門。
第三十四條 對于違反本辦法規(guī)定的行為,有關主管部門按照《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國個人信息保護法》《網(wǎng)絡數(shù)據(jù)安全管理條例》等法律法規(guī)規(guī)定予以處理處罰;構(gòu)成犯罪的,移送司法機關依法追究刑事責任。
第六章 附 則
第三十五條 開展涉及個人信息的數(shù)據(jù)處理活動,還應遵守有關法律法規(guī)的規(guī)定。
第三十六條 本辦法由國家能源局負責解釋。
第三十七條 本辦法自2026年7月1日起施行,有效期5年。
 
【版權聲明】本網(wǎng)為公益類網(wǎng)站,本網(wǎng)站刊載的所有內(nèi)容,均已署名來源和作者,僅供訪問者個人學習、研究或欣賞之用,如有侵權請權利人予以告知,本站將立即做刪除處理(QQ:51999076)。

省區(qū)市分站:(各省/自治區(qū)/直轄市各省會城市碳交易所,碳市場,碳平臺)

華北【北京、天津、河北石家莊保定、山西太原、內(nèi)蒙】東北【黑龍江哈爾濱、吉林長春、遼寧沈陽】 華中【湖北武漢、湖南長沙、河南鄭州】
華東【上海、山東濟南、江蘇南京、安徽合肥、江西南昌、浙江溫州、福建廈門】 華南【廣東廣州深圳、廣西南寧、海南海口】【香港,澳門,臺灣】
西北【陜西西安、甘肅蘭州、寧夏銀川、新疆烏魯木齊、青海西寧】西南【重慶、四川成都、貴州貴陽、云南昆明、西藏拉薩】
關于我們|商務洽談|廣告服務|免責聲明 |隱私權政策 |版權聲明 |聯(lián)系我們|網(wǎng)站地圖
批準單位:中華人民共和國工業(yè)信息部 國家工商管理總局? 指導單位:發(fā)改委 生態(tài)環(huán)境部 國家能源局 各地環(huán)境能源交易所
電話:13001194286
Copyright@2014 tanpaifang.com 碳排放交易網(wǎng) All Rights Reserved
國家工信部備案/許可證編號京ICP備2024055651號-1
中國碳交易QQ群:?6群碳交易—中國碳市場??5群中國碳排放交易網(wǎng)