文章核心观点 - 国家能源局正式印发《能源行业数据安全管理办法（试行）》，旨在规范能源行业数据处理活动，加强数据安全管理，促进数据开发利用，该办法将于2026年7月1日起施行，有效期5年 [3][30] 政策适用范围与核心定义 - 办法适用于在中华人民共和国境内开展能源行业数据处理活动及其安全监督管理 [5] - 能源行业数据指在能源相关规划、设计、建设、生产、储运、消费、科研等活动中收集和产生的数据 [6] - 能源数据处理者指开展数据收集、存储、使用、加工、传输、提供、公开、删除等活动的能源行业各类单位 [7] 数据分类分级标准 - 根据数据重要性、精度、规模、安全风险等，将能源行业数据分为一般、重要、核心三级 [8] - 能源行业重要数据指一旦泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据 [8] - 能源行业核心数据指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据，一旦被非法使用或共享，可能直接影响政治安全 [8] 监管职责与数据目录管理 - 国家能源局负责能源行业数据安全监督管理，组织制定数据分类分级标准，审核并确定重要数据目录，提出核心数据目录建议 [11] - 省级能源主管部门负责本地区数据安全监督管理，编制并按年度更新报送本地区能源行业重要数据目录 [11] - 能源数据处理者需识别并编制本单位重要数据目录，并按省级能源主管部门要求报送，目录内容包括数据类别、级别、规模、精度等字段信息，但不包括数据内容本身 [12] - 重要数据或核心数据的级别、责任主体等情况发生重大变化时，数据处理者应在三个月内重新报送目录 [13] 数据处理者的基本职责与保护要求 - 能源数据处理者应建立健全数据安全管理制度，明确数据全生命周期管理要求，并定期开展数据安全教育培训 [12] - 重要数据和核心数据的处理者应建立数据安全工作体系，加强人员和经费保障，并配合监督检查 [12] - 存储处理重要数据的信息网络应落实三级及以上网络安全等级保护要求 [15] - 存储处理核心数据的信息网络，如涉及关键信息基础设施，需落实关键信息基础设施安全保护要求；不涉及的，应落实四级网络安全等级保护要求 [15] 风险评估与具体保护措施 - 重要数据的处理者每年至少开展一次数据处理活动风险评估，并按省级能源主管部门要求报送报告 [14] - 重要数据的处理者在数据全生命周期各环节，应综合运用加密、鉴权、认证、脱敏、校验、审计等技术手段进行安全保护 [16] - 应按照业务需要和最小授权原则设定数据处理权限，控制重要数据的接触范围 [17] - 委托他人处理或共同处理重要数据时，数据安全责任不因委托而改变，委托方需监督受托方履行保护义务 [19] - 涉及重要数据的信息系统建设、运维项目不得未经批准转包、分包 [20] - 重要数据处理活动需记录安全日志，涉及安全事件处置、溯源的日志留存不少于一年；涉及向他人提供、委托处理、共同处理的日志留存不少于三年 [21] 数据出境与核心数据特殊要求 - 在我国境内收集和产生的重要数据，确需向境外提供的，应依法依规申报数据出境安全评估 [23] - 核心数据处理者跨不同法人主体提供、转移、共享核心数据，自当年度1月1日起可能累计达到上一年度末该项数据静态总量30%及以上的，应经国家能源局报有关部门组织风险评估；未达到30%的，由省级能源主管部门提出初步评估意见报国家能源局评估 [24] - 核心数据的处理者可优先使用商用密码、安全可信的产品和服务、第三方评估机构，涉及核心数据安全事件的日志留存时间不少于三年，并对关键岗位人员等进行国家安全背景审查 [25] 监测预警与应急处置 - 省级能源主管部门和能源央企应加强数据安全监测预警和应急处置能力建设，指导数据处理者做好风险监测和事件处置 [27] - 发生数据安全事件时，能源数据处理者应立即处置，并按规定告知用户、向省级能源主管部门报告 [28] - 发现可能直接危害国家安全、经济运行、社会稳定等的重大或特别重大安全风险、事件，应在1个工作日内将情况报送国家能源局 [30]