T/CEPPC 23-2024 发电企业数据分类分级方法

ICS 27.100
CCS F20
团体标准
T/CEPPC 23—2024
发电企业数据分类分级方法
Methods for classification and gradation of power generation enterprise data
2024-12-2发布 2024-12-2 实施
中国电力发展促进会 发布

目 次
前 言 ..................................................................................................................................................................................I
引 言 ................................................................................................................................................................................II
1 范围 ................................................................................................................................................................................1
2 规范性引用文件 .........................................................................................................................................................1
3 术语和定义 ...................................................................................................................................................................1
4 分类分级原则 ..............................................................................................................................................................2
5 数据分类 .......................................................................................................................................................................2
6 数据分级 .......................................................................................................................................................................2
6.1 数据级别 ...................................................................................................................................................................2
6.2 分级方法 ...................................................................................................................................................................2
6.3 分级要素 ...................................................................................................................................................................3
6.4 影响分析 ...................................................................................................................................................................3
6.5 分级参考规则 ..........................................................................................................................................................4
6.6 综合确定级别 ..........................................................................................................................................................5
附录A （资料性） 发电企业数据分类分级参考示例 .....................................................................7
附录B （资料性） 安全风险常见考虑因素 .....................................................................................18
附录C （资料性） 影响程度参考示例 ..............................................................................................19
附录D （资料性） 衍生数据定级参考 ..............................................................................................21
参考文献 .........................................................................................................................................................................22
I
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。
本文件由中国电力发展促进会提出并归口。
本文件起草单位：国能信控技术股份有限公司、中国电力发展促进会、中国软件评测中心、山东核电有限公司、华北电力大学、长扬科技（北京）股份有限公司、北京云集至科技有限公司、杭州安恒信息技术股份有限公司、北京熙宁赫科技有限公司、国家能源集团数据中心、国家能源集团山西电力有限公司、国家能源集团山西电力有限公司霍州发电厂、国家能源集团江苏电力有限公司、国能江西新能源产业有限公司、华电辽宁能源发展股份有限公司、北京华电博瑞电力自动化工程技术有限公司、北京睿数信安科技有限公司、北京毅通信息技术有限公司。
本文件主要起草人：卢宝林、程杰、高柱、李航、刘楷、汪义舟、张良、杨国柱、朱宏杰、徐宁、何磊、马祎静、胡菂、赵华、崔康、高彦超、余康、尚清保、崔永吉、张传升、马红星、王艳丽、刘曙元、唐刚、郑班超、上官岗、于伟东、赵佩崎、黄涛、王皓、张健、杨林、黄峥、张妍、李奡然、李增辉、姜玉琳、刘琳、高宠博、李陟峰、田昊昕、周英、齐稚。
II
引 言
2021年9月1日，《中华人民共和国数据安全法》正式施行，明确规定“国家建立数据分类分级保护制度”，提出“根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、损毁、泄露或者非法获取、非法使用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”。
2024年，国家标准管理委员会发布《GB/T 43697-2024 数据安全技术 数据分类分级规则》，给出了分类分级的通用规则，指导各行业领域开展数据分类分级工作。
开展数据分类分级保护工作，首先需要对数据进行分类分级，识别涉及的核心数据和重要数据，然后建立相应的数据安全保护措施。发电行业作为国家能源体系的基础核心组成部分，是保障国家能源安全、维护社会稳定的重要保障行业。发电企业的数据，除了个人隐私和常规企业运营相关数据以外，还存在具备发电企业特有的生产和运营数据，与通用的分类分级有较大不同。制定本分类分级方法文件，可方便发电企业更好地组织和管理海量数据，保障发电企业的数据和隐私安全，优化企业运营效率和决策，消除数字鸿沟，更好的推进数据共享和数字化转型。
1
发电企业数据分类分级方法
1 范围
本文件规定了发电企业数据分类分级的原则、过程、方法，并给出了分类和分级的示例。
本文件适用于发电企业数据分类分级管理。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改版）适用于本文件。
GB/T 31464-2022 电网运行准则
GB/T 43697-2024 数据安全技术 数据分类分级规则
3 术语和定义
3.1
发电企业 power generation enterprise
并入电网运行(拥有单个或数个发电厂)的发电公司,或拥有发电厂的电力企业。
[来源：GB/T 31464-2022,3.1.5]
3.2
重要数据 key data
特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
注：仅影响组织自身或公民个体的数据一般不作为重要数据。
[来源：GB/T 43697-2024,3.2]
3.3
核心数据 core data
对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。
注：核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉,重要民生,重大公共利益的数据,经国家有关部门评估确定的其他数据。
[来源：GB/T 43697-2024,3.3]
3.4
一般数据 general data
核心数据、重要数据之外的其他数据，分为：敏感数据、内部数据、公开数据。
注1：敏感数据为数据一旦被泄露或篡改、损毁，可能直接给公共利益产生轻微危害，给企业权益和个人权益造成特别严重危害或严重危害的数据。
注2：内部数据为数据一旦被泄露或篡改、损毁，可能直接给企业权益和个人权益造成一般危害或轻微危害的数据。
注3：公开数据为发电企业可以对外公开的数据。
[来源：GB/T 43697-2024,3.4 有修订]
2
4 分类分级原则
发电企业数据分类分级应遵循以下原则：
a）科学实用原则：从便于数据管理和使用的角度，科学选择常见、稳定的属性或特征作为数据分类的依据，并结合实际需要对数据进行细化分类。
b）边界清晰原则：数据分级的各个数据级别应做到边界清晰，对不同级别的数据采取相应的保护措施。
c）就高从严原则：当多个因素可能影响数据分级时，按照可能造成的各个影响对象的最高影响程度确定数据级别。
d）点面结合原则：数据分级既要考虑单项数据分级，也要充分考虑多个领域、群体或区域的数据汇聚融合后对数据重要性、安全风险等的影响，综合确定数据级别。
e）动态更新原则：根据数据量、数据内容等的变动情况、业务属性、重要性和可能造成的危害程度的变化，对已经分类、分级的数据，定期进行类别、级别的适用性评估，更新数据类别、级别，并更新重要数据和核心数据目录等。
5 数据分类
发电企业将数据分为基础数据、经营管理数据、业务数据、其他数据四个类别。
基础数据：指在业务开展过程中收集和产生的最基础、最原始的数据，是可被整个组织或系统共享的数据,如企业基本数据、企业组织结构数据等；
经营管理数据：指在经营和内部管理过程中收集和产生的数据,如人资管理数据、经营管理数据、发展规划数据等；
业务数据：指在研发、生产业务开展过程中收集和产生的数据，如设计研发数据、生产运行数据等；
其他数据:指除基础数据、经营管理数据、业务数据以外的数据，如系统运维数据和网络安全数据等。
根据发电企业数据业务价值和数据应用场景大小，发电企业可进一步根据业务的类型、流程、规模和特性等因素，在整体四个类别的基础上，对每个类别细分为三个层级的子类，最终形成企业数据目录，发电企业数据分类参考示例见附录A。
6 数据分级
6.1 数据级别
根据数据在经济社会发展中的重要程度，以及一旦遭到泄露、篡改、破坏或者非法获取、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、企业权益及个人权益造成的危害程度，可将数据级别从高到低分为核心数据、重要数据、一般数据三类，并将一般数据进一步划分为敏感数据、内部数据、公开数据，即5个数据级别为：核心数据L5、重要数据L4、敏感数据L3、内部数据L2、公开数据L1。
6.2 分级方法
数据分级通过定量与定性相结合的方式，首先确定数据分级对象并识别数据分级要素，然后开展数据影响分析，确定数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能影响的对象和影响程度，最终综合确定数据级别，可参考以下步骤进行数据分级。
a)
确定分级对象：将定义的分类数据作为数据分级对象。
b)
分级要素识别：结合自身数据特点,识别数据涉及的分级要素。
3
c)
数据影响分析：结合数据分级要素识别情况，分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能影响的对象和影响程度。
d)
综合确定级别：按照分级参考规则以及脱敏、汇聚融合等因素综合确定数据级别。
6.3 分级要素
影响数据分级的要素，包括数据精度、规模、深度、覆盖度、重要性等，其中重要性通常属于定性描述的分级要素，精度、规模、覆盖度属于定量描述的分级要素，深度通常作为衍生数据的分级要素。数据分级应首先识别以下数据分级要素情况。
a)
精度：是指数据的精确或准确程度，数据精度越高表示采集数据和真实数据的误差越小。数据精度识别可考虑数值精度、空间精度、时间精度等因素。
b)
规模：是指数据规模及数据描述的对象范围或能力大小，数据规模识别可考虑数据存储量、群体规模、区域规模、领域规模、生产加工能力等因素。
c)
深度：是指通过数据统计、关联、挖掘或融合等加工处理，对数据描述对象的隐含信息或多维度细节信息的刻画程度。数据深度识别可考虑数据在刻画描述对象的经济运行、发展态势、行踪轨迹、活动记录、对象关系、历史背景、产业供应链等方面的情况。
d)
覆盖度：是指数据对领域、群体、区域、时段等的覆盖分布或疏密程度。数据覆盖度识别可考虑对特定领域、特定群体、特定区域、时间段的覆盖占比、覆盖分布等因素。
e)
重要性：是指数据在经济社会发展中的重要程度。重要性识别可考虑数据在经济建设、社会建设、政治建设、文化建设、生态文明建设等的重要程度。
6.4 影响分析
6.4.1 影响对象
影响对象是指数据面临安全风险时，可能影响的对象。其中，安全风险主要考虑数据遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享等风险，见附录B。影响对象通常包括国家安全、经济运行、社会秩序、公共利益、企业权益、个人权益，判断影响对象的常见考虑因素见GB/T 43697-2024 附录E。
a)
国家安全：影响国家政治、国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等国家利益安全。
b)
经济运行：影响市场经济运行秩序、宏观经济形势、国民经济命脉等经济运行机制。
c)
社会秩序：影响社会治安和公共安全、社会日常生活秩序、民生福祉、法治和伦理道德等社会秩序。
d)
公共利益：影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等公共利益。
e)
企业权益：影响企业自身或其他企业的生产运营、声誉形象、公信力、知识产权等企业权益。
f)
个人权益：影响自然人的人身权、财产权、隐私权、个人信息权益等个人权益。
6.4.2 影响程度
影响程度从高到低可分为特别严重危害、严重危害、一般危害、轻微危害、无危害。对不同影响对象进行影响程度判断时，采取的基准不同。如果影响对象是国家安全、经济运行、社会秩序或公共利益，则以国家、社会或行业领域的整体利益作为判断影响程度的基准。如果影响对象是企业权益或个人权益，则以本企业或本人的权益作为判断影响程度的基准。开展数据影响分析时,应按照以下规则确定影响程度,影响程度参考示例见附录C。
a)
当影响对象是国家安全时：
1)
如果直接影响政治安全，应将影响程度确定为特别严重危害；
2)
如果关系其他国家安全重点领域，应将影响程度确定为严重危害；
3)
其他直接危害国家安全的情形，应将影响程度确定为一般危害。
b)
当影响对象是经济运行时：
4
1)
如果关系国民经济命脉，应将影响程度确定为特别严重危害；
2)
如果直接危害宏观经济运行，或对其他经济运行重点领域造成严重危害，应将影响程度确定为严重危害；
3)
其他危害经济运行的情形，应将影响程度确定为一般危害。
c)
当影响对象是社会秩序时：
1)
如果关系重要民生，应将影响程度确定为特别严重危害；
2)
如果直接危害社会稳定，应将影响程度确定为严重危害；
3)
其他危害社会秩序的情形，应将影响程度确定为一般危害。
d)
当影响对象是公共利益时：
1)
如果关系重大公共利益，应将影响程度确定为特别严重危害；
2)
如果直接危害公共健康和安全，应将影响程度确定为严重危害；
3)
如果影响小范围社会成员使用公共设施、获取公开数据资源、接受公共服务等，应将影响程度确定为一般危害；
4)
其他危害公共利益的情形，应将影响程度确定为轻微危害。
e)
当影响对象是企业组织时：
1)
如果关系到企业特别重大权益，应将影响程度设置为特别严重危害；
2)
如果关系到企业重大权益，应将影响程度确定为严重危害或一般危害；
3)
其他危害企业组织的情形，应将影响程度确定为轻微危害。
f)
当影响对象是个人时：
1)
如果关系到个人特别重大权益，应将影响程度设置为特别严重危害；
2)
如果关系到个人重大权益，应将影响程度确定为严重危害或一般危害；
3)
其他危害个人的情形，应将影响程度确定为轻微危害。
6.5 分级参考规则
在分级要素识别、数据影响分析的基础上，可参考以下规则确定数据级别，数据级别与影响对象、影响程度的对应关系见表1。
a)
满足以下任一条件的数据，确定为核心数据（L5）：
1)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享,直接对国家安全造成特别严重危害或严重危害；
2)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享，直接对经济运行造成特别严重危害；
3)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享，直接对社会秩序造成特别严重危害；
4)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享，直接对公共利益造成特别严重危害；
b)
满足以下任一条件的数据，确定为重要数据（L4）：
1)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享，直接对国家安全造成一般危害；
2)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享，直接对经济运行造成严重危害或一般危害；
3)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享，直接对社会秩序造成严重危害或一般危害；
4)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享，直接对公共利益造成严重危害或一般危害；
5)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享，直接对企业权益造成特别严重危害，且对国家安全、经济运行、社会秩序、公共权益造成危害；
5
6)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享，直接对个人利益造成特别严重危害，且对国家安全、经济运行、社会秩序、公共权益造成危害；
c)
一般数据可细分为敏感数据、内部数据和公开数据三类；
d)
满足以下任一条件的数据，确定为敏感数据（L3）：
1)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享，直接对公共利益造成轻微危害；
2)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享，直接对企业权益造成特别严重危害或严重危害；
3)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享，直接对个人利益造成特别严重危害或严重危害；
e)
满足以下任一条件的数据，确定为内部数据（L2）：
1)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享，可能直接对本单位内多个业务部门业务运行造成一般危害或轻微危害；
2)
数据一旦遭到泄露、篡改、破坏或非法获取、非法使用、非法共享，可能直接对个人利益造成一般危害或轻微危害；
f)
公开数据为发电企业可以对外公开的数据（L1）。
表 1 数据分级确定参考规则表
影响程度
影响对象
特别严重危害
严重危害
一般危害
轻微危害
无危害
国家安全
核心数据
核心数据
重要数据
/
/
经济运行
核心数据
重要数据
重要数据
/
/
社会秩序
核心数据
重要数据
重要数据
/
/
公共利益
核心数据
重要数据
重要数据
敏感数据
/
企业权益
重要数据 /敏感数据
敏感数据
内部数据
内部数据
公开数据
个人权益
重要数据 /敏感数据
敏感数据
内部数据
内部数据
公开数据
注1:如果影响大规模的个人或组织权益,影响对象可能不只包括个人权益或组织权益,也可能对国家安全、经济运行、社会秩序或公共利益造成影响。 注2:仅对企业自身或公民个体造成特别严重危害的数据作为敏感数据，同时对国家安全、经济运行、社会秩序、公共权益造成影响的为重要数据。
6.6 综合确定级别
在分级要素识别、数据影响分析的基础上，按照6.5分级参考规则综合确定数据级别，发电企业数据分级参考示例见附录A。
a)
综合确定级别时，可按照核心数据、重要数据、一般数据的顺序进行确定。
注：一般数据可根据发电企业各单位实际情况与需求进一步划分多个数据级别。
6
b)
数据会在多个情形下进行级别的变化，具体包含以下情形：
1)
数据的集合：数据集级别可在数据项级别的基础上，按照就高从严的原则，可以将数据集包含数据项的最高级别作为数据集默认级别，但同时也要考虑分级要素（如数据规模）变化可能需要调整级别，如因数据脱敏或汇聚融合导致数据安全级别发生变化，数据安全级别升降示例包括但不限于表2中的数据。
表2 数据安全级别升降示例
数据变化情况
定级变化参考
数据体量增加到特定规模导致重大影响
升级
达到国家有关部门规定的精度数据
升级
关联多个业务部门数据
升级
大量多维数据进行关联
升级
发生特定事件导致数据敏感性增强
升级
未经披露的上市公司生产经营数据
升级
核电等特殊行业数据
升级
数据已被公开或披露
降级
数据进行脱敏或删除关键字段
降级
数据进行个人信息去标识化、假名化、匿名化
降级
数据发生特定时间导致数据失去敏感性
降级
2)
衍生数据：衍生数据级别可按照就高从严原则，在原始数据级别的基础上进行分级，同时综合考虑加工后的数据深度等分级要素对国家安全、经济运行、社会秩序、公共利益、企业权益及个人权益的影响，对数据级别进行调整，衍生数据定级参考见附录D。
c)
数据级别可根据物理环境、地理位置、安全等级以及潜在危害等因素的变化进行动态调整。
7
附录A （资料性） 发电企业数据分类分级参考示例
表A.1给出了发电企业数据分类分级参考示例。
表A.1 发电企业数据分类分级参考示例
数据分类
一级子类
二级子类
三级子类
参考
级别
说明
基本信息
个人基本资料
L3
指自然人基本情况信息，如个人姓名、生日、年龄、性别、民族、国籍、籍贯、政治面貌、婚姻状况、家庭关系、住址、个人电话号码、电子邮件地址、兴趣爱好等
个人证件信息
L3
指可直接标识自然人身份的信息，如身份证、军官证、护照、驾驶证、工作证、社保卡、居住证、港澳台通行证等证件号码、证件照片或影印件等其中特定身份信息属于敏感个人信息，具体参见敏感个人信息国家标准
生物识别信息
L4
指个人面部识别特征、虹膜、指纹、基因、声纹、步态、耳廓、眼纹等生物特征识别信息，包括生物特征识别原始信息（如样本、图像）、比对信息（如特征值、模板）等
身份信息
网络身份信息
L4
指可标识网络或通信用户身份的信息及账户相关资料信息，如用户账号、用户 ID、即时通信账号、网络社交用户账号、用户头像、昵称、个性签名、IP 地址等
医疗健康信息
L4
指与个人身体健康状况相关的个人信息，如体重、身高、体温、肺活量、血压、血型等，个人因疾病诊疗等医疗健康服务产生的相关信息，如医疗就诊记录、生育信息、既往病史等
教育工作信息
L2
指个人教育和培训的相关信息，如学历、学位、教育经历、学号、成绩单、资质证书、培训记录、奖惩信息、受资助信息等，个人求职和工作的相关信息，如个人职业、职位、职称、工作单位、工作地点、工作经历、工资、工作表现、简历、离退休状况等
基础数据
人员信息
工作生活信息
金融资产信息
L3
指金融账户信息，交易过程中产生的交易信息和消费记录，如交易订单、交易金额、支付记录、透支记录、交易状态、交易日志、交易凭证、账单，证券委托、成交、持仓信息，保单信息、理赔信息等
8
组织经营信息
L1
指单位基础概况数据，如法定代表人姓名、企业名称、统一社会信用代码、经营许可证、经营范围、行业分类、经济类型等
基本信息
组织办公信息
L1
指单位办公的相关信息，如企业的地址、邮编、网址、电话、联系人等
部门关系信息
L2
指部门设置、隶属关系等信息，如部门的名称、人员、岗位、隶属关系等
组织信息
企业组织信息
股权关系信息
L3
指组织的股权投资关系信息，如股权证号码、股权转让、持股数量等
土地图件信息
L2
指土地利用图、土地类型图、土地评价图等信息等
土地信息
遥感数据信息
L3
指土地的遥感影像信息等
位置信息
L2
指建筑物的经纬度，所属地区省份，地级市区县等信息等
建筑信息
基本信息
L1
指建筑物所处位置、摊位/厂房地址、详细地址等信息等
设备信息
设备基本信息
L2
指设备的基本信息，如设备名称、功率、产地、功能、保质期等信息等
系统软件信息
L2
指企业在办公、经营活动中使用的各类软件，如每款应用软件的名称、版本等
知识产权类信息
L1
指专利技术交底书、专利申请提交前的过程文件、专利无效或诉讼过程中尚未公开等文件等
资产信息
非固定
资产信息
权益类信息
L2
指企业经营过程中产生的资源权、土地使用权、经营权等权益等
一般公文信息
L3
指文件标题、文号、关键词、正文、附件、领导批示意见、办理结果等
公文信息
涉密公文信息
L4
指涉密的文件标题、文号、关键词、正文、附件、领导批示意见、办理结果等
车辆基本信息
L2
指车辆名称、车辆编号、车辆用途、车辆状态、责任人等
经营管理数据
综合
行政信息
车辆信息
车辆运行信息
L3
指车辆行驶记录、车辆定位、车辆保险信息、出险信息等
9
一般档案信息
L3
指档案文件、编号、存储位置等
档案信息
涉密档案信息
L4
指档案文件、编号、存储位置等
审计信息
L2
指项目编号、项目名称、项目建设单位、项目金额、项目验收、费用支出信息等
审计信息
法务信息
L2
指合同签署、商务谈判、法律纠纷及诉讼事件处理情况数据等
行政信息
规章制度信息
L2
指公司章程、公司财务管理制度、公司资产管理制度、信息技术管理制度信息等
党员公示信息
L2
指党员姓名、年龄、职务、公示内容等
党组织
信息
党员非公示信息
L3
指党员公示信息以外的其他信息
党团组织信息
L3
指党组名称、职能信息、党员组织关系介绍信、党员证明信和流动党员活动证以及转移和接收正式组织关系信息等
党务信息
L2
指党员（包括预备党员）人数、党组织建制信息等
党组活动信息
L2
指开展党建、纪检等工作中记录的数据、党风廉政建设情况、纪律监督数据，党组织活动中产生的党风廉政建设、反思信息等
生活保障信息
L2
指生活福利信息、福利发放信息等
党建信息
党建管理信息
工会活动信息
L2
指宣传教育活动信息、技能评比竞赛信息等
财务收入信息
收入类信息
L3
指企业的各类财务收入信息，如平均售热单价、平均售电单价、粉煤灰销售收入、炉渣销售收入、入炉煤标准单价、资源综合利用销售收入总额等
支出类信息
L3
指财务支出类相关信息，如年度预算、研发费用、研发支出、科研项目投入数据等
财务支出信息
投资类信息
L3
指企业投资产生的信息，如投资预审、标的企业、股权结构、初步交易方案、风险分析、提请审议、投资协议及交割材料信息等
财务信息
资产负债信息
资产负责信息
L2
指资负债相关信息，如货币资金、应收票据、应收账款、存货、在建工程、无形资产；应付账款、合同负债应付票据、应付职工薪酬、应
10
交税费；资产负债率、股本、资本公积、未分配利润信息等
销项发票信息
L3
指销项发票数据明细表、发票代码、发票号码、数电票号码、销方识别号、销方名称、购方识别号、购买方名称、开票日期、总金额、税额、发票来源、发票票种、发票状态、发票风险等级、发票进销项数据等
发票信息
进项发票信息
L3
指进项发票数据明细表、发票代码、发票号码、发票类型、销方公司名称、销方公司税号、不含税单价、不含税金额、税率、税额、含税金额数据等
财务会计信息
L3
指金融资产、其他流动资产、长期投资、固定资产、无形资产、递延资产、流动负债、非流动负债、所有者权益的确认及计量数据等
财务管理信息
L3
指预算核批金额、预算执行率数据等
账务信息
报账信息
L3
指报账单据、报账审核、报账结算、报账汇总数据等
账户信息
L3
指账户基本信息、账户金额、账户开立变更、账户管理台账等
现金流信息
L3
指现金的流入、流出相关信息，如收入和支出名称、金额、日期信息等
票据信息
L3
指票据本票、汇票、支票凭证、票据使用登记台账、票据盘点记录、票据存根登记的数据等
资金信息
财务支出信息
L3
指供应商管理数据、采购相关信息、费用报销信息、供应商信息数据等
发票管理信息
L3
指发票编号、客户名称、开户银行账号、开票金额、开票日期、开票单位及收付款凭证明细数据等
税务信息
税务申报信息
L3
指申报表、纳税主体、税率、税种、扣缴税款报告表的数据等
采购目录信息
L3
指采购编号、物资名称、物资参数、预算金额、采购要求数据等
物采信息
采购管理
采购计划信息
L4
指采购物资需求、物资名称、数量、单位、供货时间、规格型号、质量要求、供货方式、供应商名称等
11
招采信息
L4
指招标文件、投标文件、招标人、标的物、标的限价金额、投标人信息等
采购合同
管理信息
L3
指合同编号、合同名称、甲\乙方名称、合同金额、付款方式等
供应商信息
L3
指供应商注册信息、营业执照、税务登记证、供应商的经营状况等
供应商
管理
供应商评价信息
L2
指供应商供货质量服务水平、准时性、信用度信息等
物资资源管理
物资资源信息
L3
指物资编号、物资名称、仓库信息的数据等
发展战略
L4
指战略资源管理、投资项目管理、计划管理、预算管理、经营战略的数据等
规划信息
公司规划信息
发展计划信息
L4
指经营计划、投资计划、信息化计划的数据等
客户管理信息
客户信息
L3
指客户基础信息、客户信用信息、客户档案信息等
市场营销
信息
市场行情信息
价格信息
L3
指平均售热单价、平均售电单价、钢材价格、汽油价格、聚丙烯价格、甲醇价格、月度发电量趋势的数据等
人力组织信息
L2
指企业各层级单位的组织盘点、过往人员盘点、公司人效情况、公司人力资源规划、目标及策略、人才分类体系、人才指标体系等组织信息
劳动关系信息
L2
指企业用工的劳动关系处理信息，如用工专题劳动政策、年休假专题、劳动争议、工资争议、奖金争议、群体争议、结案、诉求、胜诉、涉案金额信息等
人力资本信息
员工管理信息
L2
指企业的员工管理类信息，如人才规划、人才指标、员工花名册、干部管理、员工管理、教育培训、体检信息、人力资源制度信息等
人力资源效率信息
薪酬管理信息
L3
指员工工资明细表、工资汇总表、年度预算、薪酬、福利、绩效等
人力资源
信息
人力资源运作信息
招聘信息信息
L1
指员工岗位，职责，人员，数量，简历、背调报告信息等
12
岗位管理信息
岗位信息
L3
指岗级、岗位层次、岗位分类、岗位属性、岗位所属单位、岗位调整信息等
组织管理信息
组织机构信息
L3
指组织名称、公司代码、法人、组织机构信息、组织单位、组织代码等
薪酬信息
L3
指人员编号、职称等级、工龄、工资结算方式、工资总金额等
薪酬变动信息
L3
指人员编号、职称等级、工龄、工资结算方式、工资总金额、变动日期等
薪酬管理信息
薪酬计划信息
L3
指薪酬需求、薪酬计划申报、审批、下达信息等
绩效管理信息
绩效信息
L3
指绩效指标、绩效计算、考核周期、绩效结果等
公积金信息
L3
指员工编号、员工姓名、公积金参与人数、缴纳单位、缴纳时间等
社保信息
L3
指员工编号、员工姓名、社保人员人数、缴纳单位、缴纳时间等
福利信息
福利信息
L3
指福利名称、福利类型、福利发放、福利统计等
项目基本信息
L3
指项目基本信息、项目名称、范围、金额等
基建管理
信息
项目基本信息
项目执行信息
L3
指需求说明书、设计说明书、电路图、结构图、建筑设计图等项目进度、设计类相关图纸信息、立项材料、进度、验收、预算、结算信息等
设计文档信息
L4
指需求说明书、设计说明书等
设计图纸信息
L4
指电路图、结构图、建筑设计图等
设计文件信息
设计审查信息
L4
指审查文件编号、名称、审查意见、审查结论等
研发文件信息
源代码数据
L4
指程序说明文件、程序代码等
工艺流程信息
工艺文档信息
L4
指工艺说明书、工艺流程图等
业务数据
设计研发
信息
测试信息
测试用例信息
L2
指测试用例文集、测试操作说明书等
13
测试信息
L2
指测试样本数据、测试结果数据等
试点信息
试点信息
L3
指试点过程中收集的数据等
发电信息
单机组发电信息
L3
指发电量、上网电量、每小时发电量、首次并网日期的数据等
生产计划
L2
指生产计划、计划通知、计划变更等
生产计划信息
检修计划
L2
指检修计划信息、换料信息等
隔离信息
L3
指位置、设备、机组、系统挂牌、存在风险信息等
工单信息
L2
指工单描述、工单类型、状态、机组、设备、功能位置、工作许可信息等
行政许可
L2
指工作类型、房间号、状态、系统、计划开始时间、计划完成时间、实际开始时间、实际完成时间等
运行记录信息
L2
指运行台账、撞塌记录、值班日志数据等
两票数据信息
L2
指生产运行工作票、操作票数据等
巡检记录信息
L2
指巡检记录、巡检采集回传入库的数据等
设备运行信息
L3
指设备在运行过程中产生的数据，如运行参数、报警数据、运行状态、运行工况等
日常运行
记录信息
L2
指设备在运行过程中的日常记录，如开机时间、运营状态、检修记录等
生产报表信息
L3
指生产日报、周报、月报、季报、年报等
设备运行
状态信息
L3
指设备运行状态数据等
生产系统
技术信息
L3
指生产系统数据库、生产系统中间缓存数据等
生产运行
信息
生产运行信息
交接班信息
L2
指交接班台账等
应急管理
L3
指应急文件、演练、处置信息的数据等
安健环信息
安全管理
职业健康管理
L3
指危险因素识别、个人防护、职业病危害信息、劳保用品配置信息等
14
安全事件管理
L3
指安全事故时间记录、整改信息等
经验反馈
L3
指状态报告、不符合项报告、内部事件报告、外部事件报告等
纠正行动
L3
指行动项、质量缺陷报告等
人员管理信息
L3
指门禁记录、进出厂区信息、违章管理的数据等
车辆管理信息
L3
指进出厂区信息、违章管理等
安保信息
承包商管理信息
L3
指承包商管理、门禁记录、进出厂区人员信息、违章管理等
设备安全
运行信息
L3
指设备安全运行情况统计信息等
设备安全信息
设备中高风险
信息
L3
指两措、设备中高风险管理办法、安全生产标准化等，如不同设备的制造设计、抗震、质保与监督要求等
危险化学品分布信息
L4
指危险化学品分布位置信息等
重大危险数据
重大危险源信息
L4
指重大危险源信息等
月度安全
隐患信息
L3
指月度安全隐患、安全生产费用等
月度挂牌隐患
整治信息
L3
指月度挂牌隐患整治情况、超期工作牌管理，专项任务管理等
安全隐患信息
安全隐患
L3
指隐患台账、发现记录、跟踪督办记录等
质量监督
L2
指质量监督报告信息等
检查信息
L2
指监查计划、提问单、监查记录、质量监督报告等
不符合项信息
L2
指不符合项报告单、措施单、关闭单的数据等
质量管理
质量控制信息
L2
指质量控制整改通知单、停工令、复工申请信息等
环境信息
污染源指标检测信息
L3
指污染源指标检测信息等
15
环境监测信息
L2
指监测日期、地点、辐射信息等
环境影响
评估信息
L2
指辐射水平情况、排放物对环境影响数据等
放射性物质数据
L3
指放射性物质的种类、数量、分布；建筑物、设备、土壤表面的放射性污染程度数据等
废物信息
L2
指废物产生量、类型、等级、体积、存储位置数据等
废物处理
废物处理信息
L2
指处理过程、处理方法、处理效果数据等
污染控制
污染控制信息
L3
指废水、废气、噪声、固废的控制计划、实施情况等
核安全报告
L3
指核安全报告信息等
核安全
核安全监督检查信息
L3
指核安全监督检查记录信息等
报批手续
L3
指报批计划、批复建议的数据等
安全分析信息
L3
指环境影响评价、风险评估方案、应急预案等
运输计划
L3
指运输方式、运输路段、运输时间、专用车辆、容器、押运人员、防护设备及工具信息等
包装标记
L3
指包装要求、特殊标记信息等
运输监测
L3
指辐射监测信息、交通管制信息等
放射性物质运输
运输验收
L3
指验收要求、验收结果、验收人、后续处置计划等
放射性流出物
管理
L3
指流出物申请记录、取样分析记录等
放射性物质管理
放射性固体废物
L3
指废物跟踪记录、监督检查记录信息等
个人剂量信息
L2
指个人剂量检测记录信息、辐射工作许可证信息等
辐射防护管理
放射源管理
L3
指放射源进出、借用、报废信息等
用户信息
用热公司信息
L2
指用热公司信息、个人信息等
供热信息
热网信息
供热站信息
L3
指供热站压力、温度、焓值、供气量信息等
16
燃料采购信息
L3
指燃料制造及检查数据等
燃料基本信息
材料管制信息
L3
指材料实物盘存、实物保护等
市场信息
燃料市场信息
L3
指煤炭今日价格、历史价格、行情走势等
调运信息
调运信息
L3
指船运、铁运、汽运、入厂信息，煤船接卸情况、煤炭质量、卸货情况、年度卸煤汇总等
核燃料的贮存
L3
指堆芯、乏燃料池、新燃料贮存间的燃料贮存状态、每个燃料组件当前位置、燃料组件历史位置、燃耗、辐照历史、初始富集度、最大允许燃耗、组件历史检查情况等
核燃料内部转移
L3
指新燃料间与乏池、乏池与堆芯、以及组件的转移信息等
乏燃料处理管理信息
L3
指乏燃料处理管理信息等
存储与内部转移
信息
燃煤燃油进耗存信息
L4
指煤油进耗存信息、入厂煤信息、入炉煤信息煤种化验信息、燃料日报信息等
锅炉配煤
掺烧信息
L3
指锅炉配煤 主煤掺烧 煤种煤质热值情况 煤场回收物台账等
燃料组件完整性信息
L3
指堆芯功率分布参数监视及报警、燃耗分析、棒位监督等重要安全参数的监督及报警信息等
燃料管理
信息
使用管理
余热信息
L3
指停堆期间堆芯、乏燃料池、计划的停堆前等各期间堆芯余热信息等
日常运维信息
L3
指日常原材料使用数据(包括能耗数据)、生产流程数据、生产交易数据、电网交互数据等
基础信息
设备信息
L3
指设备型号、设备参数、设备厂家、软件/固件版本和维护记录等
图纸信息
L4
指网络拓扑图、数据流图、生产流程图、设计图等
IT系统管理信息
L3
指IT系统管理制度、IT系统管理流程、IT系统管理人员信息、IT系统管理记录等
运维数据
运维过程信息
运维计划信息
L3
指运维时间表、运维方案、运维制度、运维人员信息、运维日志等
其他数据
网络安全
资产基本
资产位置信息
L4
指关键设备位置信息等
17
资产配置信息
L3
指资产配置基线数据、资产配置日志等
资产状态信息
L3
指资产运行记录、资产属性信息等
资产数量信息
L3
指资产使用数量、资产消耗数量等
信息
资产级别信息
L3
指资产类别、资产分类标准、资产分类管理信息等
漏洞信息
L4
指已排查漏洞信息、漏洞管理信息、漏洞检查记录等
算法信息
L4
指使用加解密、身份认证相关信息等
资产安全信息
资产防护信息
L3
指信息安全布防系统信息、可疑攻击记录等
处置信息
L3
指处置预案、处置记录、处置演练信息等
事件基本信息
L3
指安全事件日志、处置方案、处置进度、处置结果等
溯源信息
L3
指受攻击信息、次数、时间，事件类别、等级信息等
数据
事件信息
事件报告
L3
指安全事件日志、安全事件分析报告、安全事件处置报告等
18
附录B （资料性） 安全风险常见考虑因素
数据影响分析通常考虑以下安全风险。
B.1 数据泄露风险
数据泄露，包括但不限于数据窃取、转移、发布至不安全环境等破坏数据保密性的相关风险。
B.2 数据篡改风险
数据篡改，包括但不限于未授权修改、注入、仿冒、伪造数据等破坏数据完整性的相关风险。
B.3 数据损毁风险
数据损毁，包括但不限于数据被损毁、数据质量下降、数据访问或使用中断等破坏数据可用性的相关风险。
B.4 非法获取数据风险
非法获取数据，包括但不限于违反法律、行政法规等有关规定,超范围收集、强制授权、非法获取公民个人信息等相关风险。
B.5 非法使用数据风险
非法使用数据，包括但不限于违反法律、行政法规等有关规定,使用、加工、委托处理数据等相关风险。
B.6 非法共享数据风险
非法共享数据，包括但不限于违反法律、行政法规等有关规定,向他人提供、交换、转移、交易、出境、公开数据等相关风险。
19
附录C （资料性） 影响程度参考示例
表C.1给出了不同影响对象对应的影响程度参考示例。
表C.1 影响程度参考示例
影响对象
影响程度
参考说明
特别严重危害
直接影响国家政治安全
严重危害
关系其他国家安全重点领域,或者对国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等安全造成严重威胁
国家安全
一般危害
对国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能安全造成威胁
特别严重危害
1) 直接影响关系国民经济命脉的重要行业和关键领域的经济利益安全 2) 直接影响关系国民经济命脉的重点产业、重大基础设施、重大建设项目以及其他重大经济利益安全 3) 对行业领域的经济发展、业务生产、技术进步、产业生态造成特别严重危害 4) 对省级行政区的经济运行造成特别严重危害
严重危害
1) 直接影响宏观经济运行状况和发展趋势 2) 直接影响地区、行业内多个企业或大规模用户,对行业发展、技术进步 和产业生态等造成严重影响,或者直接影响行业领域核心竞争力、核心业务运行、 关键产业链、核心供应链等
经济运行
一般危害
1) 对行业领域发展、业务经营、技术进步、产业生态等造成一般危害 2) 对单个行业领域或地区的经济运行造成一般危害
特别严重危害
1) 关系重要民生,直接影响人民群众重要民生保障的事项、物资、工程或项目等 2) 直接导致特别重大突发事件、特别重大群体性事件、暴力恐怖活动等,引起省级行政区大部分地区的社会恐慌,严重影响社会正常运行
严重危害
1) 直接导致重大突发事件、重大群体性事件等,影响地区的社会稳定 2) 严重影响人民群众的日常生活秩序 3) 严重影响各级政务部门履行公共管理和服务职能 4) 严重影响法治和社会伦理道德规范
社会秩序
一般危害
1) 对人民群众的日常生活秩序造成一般影响 2) 直接影响企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、
20
医疗卫生秩序 3) 直接影响公共场所的活动秩序、公共交通秩序
特别严重危害
1) 关系重大公共利益,导致省级行政区大部分地区的社会公共资源供应 长期、大面积瘫痪,大范围社会成员无法使用公共设施、获取公开数据资源、接受公共服务 2) 导致特别重大网络安全和数据安全事件,或者导致特别重大事故级别的安全生产事故,对公共利益造成特别严重影响,社会负面影响大 3) 导致特别重大突发公共卫生事件(Ⅰ级),造成社会公众健康特别严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件
严重危害
1) 直接危害公共健康和安全 2) 导致重大突发公共卫生事件(Ⅱ级),造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件 3) 导致一个或多个地市大部分地区的社会公共资源供应较长期中断,较大范围社会成员无法使用公共设施、获取公开数据资源、接受公共服务
一般危害
对公共利益产生一般危害,影响小范围社会成员使用公共设施、获取公开数据资源、接受公共服务等
公共利益
轻微危害
对公共利益产生轻微危害,对社会成员使用公共设施、获取公开数据资源、接受公共服务等产生轻微影响
特别严重危害
导致企业遭到监管部门严重处罚,或者影响重要/关键业务无法正常开展的情况,造成重大经济或技术损失,严重破坏机构声誉,企业面临破产
严重危害
导致企业遭到监管部门处罚,或者影响部分业务无法正常开展的情况,造成较大经济或技术损失,破坏机构声誉
一般危害
导致个别诉讼事件,或在某一时间造成部分业务中断,使组织的经济利益、声誉、技术等轻微受损
轻微危害
对企业的声誉、技术等产生轻微影响
企业权益
无危害
不对企业权益产生影响
特别严重危害
个人信息主体遭受重大的、不可消除的、可能无法克服的影响,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害
严重危害
个人信息主体遭受较大影响,个人信息主体克服难度高,消除影响代价较大
一般危害
个人信息主体会遭受困扰,但尚可以克服
轻微危害
个人信息主体会产生轻微影响
个人权益
无危害
不对个人权益产生影响
21
附录D （资料性） 衍生数据定级参考
衍生数据通常分为脱敏数据、标签数据、统计数据、融合数据等。衍生数据宜依据数据加工程度对照原始数据级别进行定级，在原始数据级别基础上进行升级或降级调整，衍生数据见表D.1。
表D.1 常见衍生数据分类
数据类别
类别定义
数据示例
脱敏数据
采用数据变形、填充、去标识化等技术手段降低敏感性的数据
如脱敏后的手机号1390******1等
标签数据
基于一定的算法，对数据进行区间化、分级化、统计分析后形成的非精确、模糊化的特征性数据
如购电高峰，供应商单位画像等
统计数据
对一定群体、对象的数据进行统计或分析后形成的数据
如某月份的发电总量、设备日利用率等
融合数据
对不同业务领域的数据汇聚、挖掘分析后的数据
如多个业务、领域的数据融合汇聚等
衍生数据级别可根据以下原则进行相应的调整：
a)
脱敏数据级别一般比原始数据级别低；
b)
标签数据级别一般比原始数据级别低；
c)
统计数据，如涉及未公开的、或大规模的群体特征的，应比原始数据级别高；
d)
融合数据，如降低了标识化程度，则级别可比原始数据级别低；如汇聚了更大规模的原始数据、挖掘分析出更敏感的数据，则级别应比原始数据级别高。
22
参考文献
[1]
GB/T 3704-2018 《信息安全技术物联网安全参考模型及通用要求》
[2]
GB/T 37025-2018 《信息安全技术 物联网数据传输安全技术要求》
[3]
DL/T 1757-2017 《电子数据恢复和销毁技术要求》
[4]
JR/T 0197-2020 《金融数据安全 数据安全分级指南》
[5]
《工业数据分类分级指南（试行）》（工信厅信发〔2020〕6号）
[6]
《工业和信息化领域数据安全管理办法（试行）》（工信部网安〔2022〕166号）
[7]
《工业和信息化领域数据安全风险评估实施细则（试行）》（工信部网安〔2024〕82号）