核能领域数据安全风险评估方法.pdfVIP

核能领域数据安全风险评估方法

1范围

本文件提出了核能领域数据安全风险评估的基本要求、实施流程、评估内容、评估方法及评估结果

判定准则，明确了数据安全风险评估各阶段的实施要点和工作方法。

本文件适用于指导核能领域网络运营者开展数据处理活动的安全风险评估工作，并为监管机构或第

三方安全评估机构等单位开展核能领域数据安全评估工作提供参考。

注：涉及国家秘密的数据和军事数据不适用于本文件。开展涉及个人信息的数据处理活动，还应当遵守有关法律、

行政法规的规定。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本

文件。

GB/T25069—2022信息安全技术术语

3术语和定义、缩略词

3.1术语和定义

GB/T25069-2022界定的以及下列术语和定义适用于本文件。

3.1.1

数据data

任何以电子或者其他方式对信息的记录。

[来源:数据安全法，第三条]

3.1.2

网络数据networkdata

通过网络收集、存储、传输、处理和产生的各种电子数据。

注：本文件中评估的数据类型限定为网络数据。

[来源:网络安全法，第七十六条]

3.1.3

网络运营者networkoperator

网络的所有者、管理者和网络服务提供者

[来源:网络安全法，第七十六条]

3.1.4

数据安全datasecurity

4

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

[来源:数据安全法，第三条]

3.1.5

数据处理活动dataprocessingactivities

数据的收集、存储、使用和加工、传输、提供、公开、交易、出境、销毁等活动。

[来源:数据安全法，第三条，有修改：增加“交易、出境、销毁”]

3.1.6

合理性rationality

数据处理活动遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，不危

害国家安全、公共利益，不得损害组织的合法权益。

[来源:数据安全法，第八条，有修改]

3.1.7

数据安全风险datasecurityrisk

由于开展数据处理活动不合理、缺少有效的数据安全措施等，导致数据安全事件的发生及其对国家

安全、公共利益或者组织合法权益造成的影响。

3.1.8

数据安全风险评估datasecurityriskassessment

对数据和数据处理活动的安全风险和违法违规问题进行检测评估的过程。

3.1.9

安全措施securitymeasure

保护数据和数据处理活动、抵御数据安全风险事件而实施的各种安全管理和技术实践、规程和机制。

3.1.10

业务business

组织为实现某项发展战略而开展的运营活动，该活动具有明确的目标，并延续一段时间。

3.1.11

风险源risksource

可能导致危害数据和数据处理的必威体育官网网址性、完整性、可用性和合理性等不希望事故的原因、条件、情

形或行为。

注:风险源，既包括安全威胁利用脆弱性可能导致数据安全事件的风险源(简称为“数据安全风险源”)，也包括数

据处理活动不合理操作可能造成违法违规处理事件的风险源(简称为“违法违规处理风险源”)。

3.1.12

重要数据importantdata

一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据。

注：重要数据包括未公开的政府信息,数量达到一定规模的基因、地理、矿产信息等,原则上不包括个人信息、企业

内部经营管理信息等。

5

[来源:GB/T41479—2022信息安全技术网络数据处理安全要求，3.9]

3.1.13

核能领域nuclearenergyfield

涉及核能、核技术科研及应用的相关领域。覆盖铀矿冶、核燃料、核电、核工程建设、装备制造、

后处理、核技术科研、核技术应用、核环保等核科技工业