T/CNS 83-2022 核电厂工业数据安全管理导则

ICS27.120.99

CCSF69

团体标准

T/CNS83—2022

核电厂工业数据安全管理导则

Guidelineforindustrydatasecuritymanagementofnuclearpowerplant

2022-12-16发布2023-04-01实施

中国核学会发布

T/CNS83—2022

目次

前言...................................................................III

引言.....................................................................V

1范围...................................................................1

2规范性引用文件.........................................................1

3术语和定义.............................................................1

4管理原则和基本要求.....................................................1

5管理细则...............................................................3

参考文献................................................................11

I

T/CNS83—2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国核学会提出。

本文件由核工业标准化研究所归口。

本文件起草单位：江苏核电有限公司、中核核电运行管理有限公司，福清核电有限公司。

本文件主要起草人：何培元、杨强、秦绪涛、支凤春、张钧鸣、杨文成、朱云飞、苏辉、朱旭东、

赵磊、罗科松、孟祥山、胡心宇、朱智强、叶林林、吴勤浩、周扬、邱杰峰、杨伟伟、李喆。

III

T/CNS83—2022

引言

本文件旨在推进核电企业全面梳理自身工业数据，提升数据安全管理能力，促进数据分类分级、数

据充分使用、全局流动和有序共享，实现数据的安全管控与资源共享。

本文件参考GB/T36073—2018数据管理能力成熟度评估模型、工业数据分类分级指南等有关文件标

准，针对我国核电数据安全管理的工作特点，结合核电厂数据分类分级的实践和经验编制而成。

V

T/CNS83—2022

核电厂工业数据安全管理导则

1范围

本文件规定了核电厂工业数据安全管理的原则、要求、维度与方法，通过管理、技术、运行维护等

方面的措施，建立全方位的、全过程的、完善的数据安全体系。

本文件适用于核电业主和（或）营运单位（运营公司）单位对核电数据的安全管理。核电设计单位、

建设单位核电数据的安全管理可参考使用。

2规范性引用文件

本文件没有规范性引用文件。

3术语和定义

下列术语和定义适用于本文件。

核电厂工业数据industrialdataofnuclearpowerplants

核电厂在建设、运营和管理活动过程中形成、收集、保管和运用的作为支持运营活动的数据，是核

电数据可再解释的形式化表示。

数据分类dataclassification

将具有某种共同属性或特征的数据，根据应用场景、数据来源、共享属性、开放属性等属性或特征，

按照一定的原则和方法进行归类。

数据分级datagrading

根据数据的敏感程度和数据遭篡改、破坏、泄露或非法利用后对受侵害客体的影响程度，按照一定

的原则和方法进行定级。

数据责任者dataresponsibleperson

对数据安全负有责任的核电厂内部组织或个人。

数据使用者datausers

出于数据分析利用或其他目的，而参与到数据的采集、传输、存储、使用等处理过程的核电厂内部

组织或个人。

数据管理者datamanager

承担数据管理职能的核电厂内部组织或个人。

4管理原则和基本要求

1

T/CNS83—2022

管理原则

4.1.1职责明确

根据数据规模、数据重要性、组织规模等因素，成立专职或兼职的数据安全管理组织，数据安全管

理组织为企业的数据及使用安全负责，明确企业内部不同角色的数据安全管理职责，明确数据生命周期

各活动的实施主体及安全责任。

4.1.2合法合规

对数据的处理应基于法律依据。应制订相关流程确保数据的处理方式没有违反任何法律义务，包括

法律法规、合同条款。需要确保履行应承担的内部和外部的责任，责任包括但不限于：

a)所有数据集和数据流是安全的；

b)正确处理企业及个人敏感数据；

c)实施了合理的跨组织数据保留的策略和实践；

d)理解数据相关的法律义务，并确保组织履行。

4.1.3最小授权

在保证业务功能完整实现的基础上应赋予数据活动中各角色最小的操作权限，确保用户或异常操

作所造成的损失最小。所有角色只能使用所授权范围内的数据，非授权范围内的数据使用应进行授权审

批。

4.1.4数据保护

应对数据进行分类分级管理，对不同安全级别的数据实施恰当的安全保护措施。应确保处理数据的

系统、平台的安全控制措施和策略，保护数据的完整性、机密性和可用性确保数据在整个生命周期里，

免遭诸如未授权访问、破坏、篡改、泄露或丢失等风险。应解决风险评估和安全检查中所发现的风险和

脆弱性，并对数据安全防护措施不当所造成的安全事件承担责任。

基本要求

4.2.1落实数据安全主体责任，做好统筹策划

核电单位应明确数据安全主体责任的主要负责人和责任部门，统筹负责数据安全监督管理；责任部

门应组织建立数据安全工作体系，将数据安全作为战略业务进行管控，管理工作应纳入本单位长期发展

规划和年度工作计划，纳入单位各级干部员工的职责范围及岗位责任制；数据管理关键岗位及人员应签

署数据安全责任书。

4.2.2与业务活动相结合，以业务为导向持续改进

数据安全责任部门和管理人员应参加本单位网络与信息化工作的主要相关活动，参加网络基础设

施建设工程和重大信息系统建设项目的立项、审查、验收等活动。

4.2.3与信息化建设项目进展同步

数据安全管理应与信息化建设项目进展工作同步，信息化建设项目应在立项、设计、上线和验收等

环节开展数据安全管理审查。

4.2.4支持核电生命周期管理

核电数据安全管理应以支持核电安全运营管理为目标，考虑核电全生命周期工程、运营、退役各阶

段对数据安全管理的需求，形成统一的、覆盖核电全生命周期的数据安全管理标准。

2

T/CNS83—2022

5管理细则

数据分类分级保护管理

5.1.1数据分类原则

核电项目运营和管理单位应遵循以下原则识别开展数据分类。

a)科学性原则：按照数据多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分类。

b)稳定性原则：数据的分类应以数据目录中的各种数据分类方法为基础，并以数据最稳定的特征

和属性为依据制订分类方案。

c)必要性原则：数据分类要确保每个类目下要有数据，不设没有意义的类目，数据类目划分要符

合用户对数据分类的普遍认识。

d)扩展性原则：数据分类方案在总体上应具有概括性和包容性，能够实现各种类型数据的分类，

以及满足将来可能出现的数据类型。

5.1.2数据分类规定

从便于进行数据管控的角度，由企业数据安全责任部门负责定义和更新数据主题的一级分类和二

级分类，对于更细层级的分类由具体业务部门根据业务数据的性质、功能、材质、技术手段等一系列问

题进行扩展细分。数据主题分类类目表，见表1。

表1核电厂数据主题分类类目表

序号一级分类二级分类

生产计划、运行、培训与资格、维修、大修、设备管理、配置管理、核燃料管理、化学、安全分

析与审查、科研管理、质量保证、工业安全、核安全管理、经验反馈及人因管理、辐射防护、放

1工程生产

射性废物管理、应急准备与响应、职业健康、环境保护、消防、保卫、体系管理与绩效提升、经

营管理、采购仓储、信息、文档、工程基建、设计管理、调试、生产准备

公司治理及证券事务、法律事务、财务、人力资源、行政、审计、后勤管理、资产管理、战略

2行政经营

与规划、投资管理、技术服务管理、核电新项目开发、电力市场管理、新能源管理

3党建群工党群、纪检监察、企业文化

5.1.3数据分级原则

核电项目运营和管理单位应遵循以下原则识别开展数据分级。

a)合法合规原则：应满足国家法律法规及行业主管部门的相关规定要求。

b)自主分级原则：企业应根据业务的自身管理需要，自主确定数据级别并采取相应的安全防护措

施。

c)需求明确原则：各业务部门在为各种类型数据确定了级别后，应该明确该级别的业务数据的开

放和共享需求，数据分发范围，是否需要脱密或脱敏处理等。

d)客观可行原则：数据分级的方法应切实可行，可以通过数据自身的属性和分级规则来客观确定

数据分级。

e)就高不就低原则：如果同一批数据中各属性或字段的分级不同，需按照定级最高的属性或字段

的级别一并实施安全管控，即“就高不就低”。

5.1.4数据分级要素

参考GB/T37973—2019，根据对不同影响对象的影响程度的高低判断数据分级。

数据分级的影响对象是在数据的保密性、完整性、可用性等安全特性被违背后受到影响的对象。根

据核电行业的特点，影响对象分为国家安全、公共利益、个人隐私、组织合法权益造成的危害程度，见

表2。

3

T/CNS83—2022

表2核电厂数据分级的影响对象

序号影响对象影响说明

在数据安全特性被破坏后，存在对国家政权、主权、统一和领土完整、人民福祉、核安全、经济社

1国家安全

会可持续发展和国家其他重大利益造成不利影响的风险

在数据安全特性被破坏后，存在对和平的社会秩序、生态环境、食品安全、人类健康、教育和文化、

2公共利益

经济和环境造成不利影响的风险

3个人隐私在数据安全特性被破坏后，存在对人身安全、个人财产、个人信息等造成不利影响的风险

在数据安全特性被破坏后，存在对企业或其他组织的生产生活、业务经营、公众形象等造成不利影

4组织合法权益

响的风险