一、工作簡況

1、任務來源

為貫徹《中華人民共和國數據安全法》，落實、細化、規范核能行業數據安

全具體工作，增強核能領域數據全生命周期安全防護的能力，提升核能行業整體

數據安全水平，中國核能行業協會信息化專業委員會組織行業內外相關單位共同

編制核能領域數據安全系列標準。2022年12月15日，中國核能行業協會信息

化專業委員會（簡稱“信專委”）發函“關于商請參加核能領域數據安全標準編

制工作的函”（核協信專函〔2022〕29號），本標準《核能領域數據安全風險評

估方法》為其中推薦用于核能行業開展數據安全風險評估方法的規范。

2、主要工作過程

本標準各階段進度計劃安排如下：2022年底前完成工作研討和初步意向征集；

2023年第一季度基于對中核礦業科技集團有限公司、福建福清核電有限公司開

展數據安全檢測評估活動契機，調研相關單位數據分類分級現狀；2023年第一

季度完成標準草案和立項工作；2023年第二季度完成定向意見征求；2023年第

三季度完成公開意見征求；2024年第二季度完成標準送審稿；2024年第三季度

完成標準報批稿。

當前標準編制進展描述如下：

2022年12月，信專委完成標準立項前的工作研討和初步意向征集；

2023年1月13日，中國核能行業協會召開團體標準立項評審會，該標準在

會上通過立項審查，并通過公示期；

2023年3月2日，信專委組織召開了組內工作推進會議，完成了標準編寫

規范和方法的培訓，并對標準立項評審過程中專家提的意見進行了整改響應；

2023年10月18日，信專委組織召開加快推進核能領域數據安全標準編制

工作會議，宣貫政府主管部門對核能領域數據安全工作新的要求，并提出加快數

據安全標準編制工作；

2023年11-12月，標準編制組對標準內容進一步完善，形成征求意見稿；

2024年2-3月，準備標準定向征求意見、公開征求意見。

3、主要參加單位和工作組成員及其所作的工作等

本文件編制的參與單位和分工如下：

單位名稱編寫分工主要承擔工作

中核礦業科技集團有限公司組長單位牽頭編制

國核示范電站有限責任公司成員單位參與編制

華能山東石島灣核電有限公司成員單位參與編制

同方知網數字出版技術股份有限公司成員單位參與編制

福建福清核電有限公司成員單位參與編制

核電運行研究（上海）有限公司成員單位參與編制

中國核電工程有限公司成員單位參與編制

華能山東石島灣核電有限公司成員單位參與編制

中核蘭州鈾濃縮有限公司成員單位參與編制

中核武漢核電運行技術股份有限公司成員單位參與編制

中國電子技術標準化研究院成員單位參與各階段的討論和評審

南華大學成員單位參與編制

中國信息通信研究院成員單位參與編制

中國核能行業協會成員單位參與編制

北京啟明星辰信息安全技術有限公司成員單位參與編制

中國寶原投資有限公司成員單位參與各階段的討論和評審

二、標準編制原則和主要內容

1、標準編制原則

本標準的編制旨在指導核行業單位組織實施文檔評估，幫助管理主體查找短

板，提升文檔管理水平。本標準本著公正性、科學性、實用性的原則編制。

（1）公正性

本標準在實施過程中，要求以掌握的事實材料為依據，尊重客觀事實，不帶

有主觀隨意性，不受外界干擾、不遷就任何單位和個人的片面要求。

（2）科學性

本標準研究了國內外企業文檔管理的指標、評價體系的制定和執行情況及

相關法規要求，基于國內核行業單位文檔管理及評價體系的建設需求，參考相關

DA、GB標準，結合多個核行業單位的文檔管理實踐和管理特點進行編制。

（3）實用性

本標準的指標設計立足現有企事業文檔管理實踐，內容全面、指導性強，達

到促進企事業文檔管理規范、安全、有效的目的。

2、標準主要內容的依據

2.1概述

按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草

規則》的規定起草。

本標準出了數據安全風險評估的基本要求、實施流程、評估內容，明確了數

據安全風險評估各階段的實施要點和工作方法。

以適用范圍劃定工作思路，明確核能領域開展數據安全風險評估活動的基本

要求、實施流程與實施內容，給出了風險評估內容指標，并對評估的結果給出安

全分析和評價參考，指導行業各單位開展數據安全風險評估工作，助力監管部門

對各單位數據安全風險評估工作的監督指導。

圍繞核能領域數據安全風險評估活動，關注風險評估的對象、要求、評估內

容和評估結果的評價與分析等，重點關注實施過程中對于在建核電廠與運營核電

廠的增強評估要求與整體風險評估內容指標。

特別說明：涉及國家秘密的數據和軍事數據不適用于本標準。開展涉及個人

信息的數據處理活動，還應當遵守有關法律、行政法規的規定。

2.2主要技術內容說明

2.2.1第1章范圍

本章規定了本標準的編制目的和適用范圍。

本文件適用于指導核能領域網絡運營者開展網絡數據處理活動的安全風險評

估，并為第三方安全評估機構等單位開展核能領域網絡數據安全檢查與評估工作

提供參考。

2.2.2第2章規范性引用文件

GB/T25069—2022信息安全技術術語

2.2.3第3章術語和定義

本標準中的術語及定義部分參照國家、行業標準規范中已有的相應術語給出

定義。

其中：

“數據、數據安全、數據處理活動、合理性”參照《數據安全法》給出術語

定義；“網絡數據、網絡運營者”參照《網絡安全法》給出術語定義；“重要數據”

參照《GB/T41479—2022信息安全技術網絡數據處理安全要求》給出術語定義。

“數據安全風險、數據安全風險評估、安全措施、業務、風險源”自定義。

2.2.4第4章核能領域風險評估基本要求與流程

本章針對通用對象尤其是重點對象，提出核能領域數據安全風險評估的觸發

場景，圍繞評估的內容框架，開展流程設計和事前預警及信息同步機制。

本章節主要內容包括：

4.1評估適用對象開展數據安全風險評估，首要關注評估的適用對象，標

準對通用評估對象和重點評估對象進行說明，并明確重點評估對象的判斷情形。

4.2評估觸發場景評估的場景分為周期性評估和觸發性評估，一是明確了

周期性評估的對象和評估周期，二是重點描述了觸發風險評估的重要數據處理

場景。

4.3事前咨詢與風險評估報送明確了開展高風險數據處理活動事前咨詢

和重要數據者定期風險報告報送機制，有效規避數據處理者進行數據處理活動中

造成重大影響或損失，并和監管部門及時進行信息同步。

4.4評估實施流程定義了評估的實施流程包括“評估準備、要素識別、風

險識別、安全分析、評估總結”五個階段。

4.5評估內容框架定義了在風險要素識別的基礎上，數據安全風險評估內

容包括數據處理活動、數據安全管理、數據安全技術三方面。

主要依據如下：

—《數據安全法》

第三十條“重要數據的處理者應當按照規定對其數據處理活動定期開展風

險評估，并向有關主管部門報送風險評估報告”的相關要求，開展數據安全風險

合規建設。

—GB/T41479—2022《信息安全技術網絡數據處理安全要求》

在總體要求中明確了網絡數據處理安全的數據識別是基礎、風險防控是核心

2.2.5第5章核能領域數據安全風險評估實施

安全風險評估的核心內容，包括評估準備、要素識別、風險識別、安全分析

和評估總結。

本章節主要內容包括：

5.1評估準備包括目標、范圍、規則的確定和團隊組建等，評估的對象、

范圍和邊界，依據評估目標確定。

5.2要素識別包括數據處理者、業務和信息系統識別、數據資產、數據處

理活動、安全保護措施。

5.3風險識別風險識別是數據安全風險評估的關鍵步驟，開展具體的風險

識別工作，要基于數據處理活動、數據安全管理、數據安全技術三方面內容的

特性劃分不同的風險識別類別，關注不同類別的重點評估內容檢查項，依據重

點評估內容的符合情況初步得出風險識別的評估結果。

5.4安全分析對數據風險評估活動發現的問題進行風險分析并提出整改

建議。

5.5評估總結依據安全分析結果，結合評估過程，編制評估報告，提出風

險處置建議并分析殘余風險，最后通過評估后評價讓整體流程閉環。

2.2.6第6章核能領域數據安全風險評估結果

利用模型計算公式對評估結果綜合計分，并依據過程中的安全問題和風險情

況劃分安全風險等級。并結合監管關注重大事項的事實情況，根據事項對應的評

價判罰，確定最終得分。

2.2.7第7章附錄

附錄A《核能領域數據安全風險評估準備清單》提供核能行業各單位和組

織開展數據安全風險評估調研的前期準備清單模版和參考。包括B.1相關方聯系

表、B.2資料收集清單、B.3評估準備事項

附錄B《核能領域數據安全風險評估輸出物模版》根據模板可輸出評估工

作的規范記錄，長期來看，利于數據安全風險評估和數據安全能力建設的工作對

比、整合和改進。包括B.1-通用數據安全風險評估報告模板、B.2-高風險數據

處理活動事前咨詢信息提供模板、B.3-數據安全問題清單模板。

3、解決的主要問題

本標準主要用于落實《數據安全法》第三十條“重要數據的處理者應當按

照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報

告”的相關要求，開展數據安全風險合規建設。核能行業各單位結合業務實際開

展數據安全處理活動及風險評估、報送等工作缺乏細致的規范指導。為加快建立

健全的、針對性的、可落地的數據安全風險評估方法和體系，推進核能行業數據

依法合理有效利用，規范數據處理活動，提升數據安全保障水平，有效防范各類

數據安全風險。通過完善核能行業健全的、針對性的、可落地的數據安全風險評

估標準，完善數據安全風險評估工作合規建設，實現數據安全風險評估工作常態

化、標準化，推進核能行業數據合理有效利用、依法安全流通，提升核能行業數

據安全綜合防護能力。

三、主要試驗（或驗證）情況

本標準提出核能領域數據安全風險評估方法，相關技術和管理條款源于核能

企業數據全生命周期管理實踐。同時，為使標準內容更加符合應用實際，在標準

應用階段可以更加有效地指導核能企業開展數據安全檢測評估工作，協會信專委

面向核行業廣泛征集數據安全問題及相關工作建議，經研究后提煉共性問題、在

標準內容中予以完善。

四、標準中涉及專利的情況

本標準的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。

五、預期達到的社會效益、對產業發展的作用等情況

本標準用于規范核能行業數據和數據處理活動的安全風險和違法違規問題

的識別、評價與預防改進，定義一套行之有效的數據安全風險評估方法，確立有

效的評估和監管機制，對提升核能領域數據安全防護水平具有重大意義。

六、與國際、國外對比情況

目前未查詢到核能領域數據安全風險評估方法相關的國際、國外標準。

七、在標準體系中的位置，與現行相關法律、法規、規章及標準，特

別是強制性標準的協調性

我國現有的