ICS35.110 CCSF10 14 山西省地方标准 DB14/T3552—2025 能源企业数据安全保护管理规范 2025-08-26发布 2025-12-01实施 山西省市场监督管理局  发布DB14/T3552—2025 I目次 前言........................................................................................................................................................................II 1范围...................................................................................................................................................................1 2规范性引用文件..............................................................................................................................................1 3术语和定义......................................................................................................................................................1 4管理框架..........................................................................................................................................................1 5总体要求..........................................................................................................................................................2 6数据运行安全..................................................................................................................................................3 7数据处理活动安全..........................................................................................................................................5 参考文献.................................................................................................................................................................8DB14/T3552—2025 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由山西省能源局提出、组织实施和监督检查。 山西省市场监督管理局对本文件的组织实施情况进行监督检查。 本文件由山西省能源标准化技术委员会（SXS/TC42）归口。 本文件起草单位：太原清众鑫科技有限公司、山西省煤炭规划设计院（集团）有限公司、中国矿业 大学（北京）、中煤科工开采研究院有限公司、山西省市场监督管理局企业档案数据中心、大唐山西发 电有限公司、中煤平朔集团信息产业公司、国网山西建设分公司、太原科技大学。 本文件主要起草人：靳黎忠、宋雪娇、左明、张燕平、田子建、庞义辉、赵明、王瑞、赵士杰、任 健铭、肖华、高改梅。 DB14/T3552—2025 1能源企业数据安全保护管理规范 1范围 本文件规定了能源企业开展数据安全保护工作的管理框架及总体要求、数据运行安全以及数据处理 活动的安全保护措施。 本文件适用于能源企业开展数据安全保护工作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T35295信息技术大数据术语 GB/T39786信息安全技术信息系统密码应用基本要求 GB/T41479信息安全技术网络数据处理安全要求 GB/T45577数据安全技术数据安全风险评估方法 DB14/T3551能源数据安全保护分类分级指南 3术语和定义 GB/T22239、GB/T35295、GB/T39786、GB/T41479、GB/T45577、DB14/TXXXX界定的以及下列 术语和定义适用于本文件。 3.1 数据处理活动 数据的采集、传输、存储、使用加工、交换、销毁等过程。 3.2 数据载体 数据处理活动中使用的系统、平台、设备、媒介等。 4管理框架 能源企业数据安全保护管理框架由总体要求、数据运行安全和数据处理活动安全三个部分组成,见 图1。总体要求从组织保障、制度管理、数据分类分级等方面奠定数据安全保护基础；数据运行安全从 数据载体安全、权限管理、接口管理、日志管理、数据安全审计、风险监测预警与应急处置、数据安全 评估、数据维护安全等方面规范了数据运行条件的安全保护措施；数据处理活动安全是能源企业数据安 全保护管理框架的核心，明确了数据的采集、传输、存储、使用加工、交换、销毁等数据处理活动各个 环节的安全保护要求。 DB14/T3552—2025 2能源企业按照管理框架对一般数据、重要数据采取对应数据级别的安全保护措施，核心数据、个人 信息等涉及法律法规有专门管理要求的数据类别，按照有关规定和标准进行安全保护；重要数据涉及委 托他人处理的情形，还应要求被委托方具备相应的数据安全保护能力，双方明确各自的数据安全责任和 义务。管理框架具体如下： 图1能源企业数据安全保护管理框架图 5总体要求 5.1组织保障 5.1.1一般数据应符合以下要求： a)设立数据安全管理责任部门，明确数据安全责任人，统筹开展数据安全管理工作； b)数据安全管理机构设立数据安全管理员、数据安全审计员等岗位，定义各岗位职责，保障数 据安全管理与审计工作开展； c)加强人员管理，明确人员录用、离岗、离职、安全教育培训、外部人员管理等方面的管理规 定并严格落实； d)制定数据安全岗位人员教育和培训计划，对数据安全相关岗位人员定期开展教育培训。 5.1.2重要数据除符合5.1.1的要求，还应符合以下要求： a)明确本单位法定代表人或者主要负责人是数据安全第一责任人，分管数据安全的负责人是直 接责任人，每季度召开数据安全专项会议，协调其他相关部门与安全部门协同工作，并建立 常态化沟通与协作机制； b)建立数据安全工作体系，覆盖数据安全责任部门以及研发设计、生产制造、经营管理、运行 维护、外部服务、采购、审计、法务等相关部门； c)明确数据安全关键岗位，并与关键岗位人员签署保密协议； d)在数据安全培训过程中明确年度培训时长，并对参加培训的人员进行考核评定，考核不合格 者暂停数据操作权限。 5.2制度管理 5.2.1一般数据应符合以下要求：DB14/T3552—2025 3a)建立数据安全管理制度体系，包括但不限于数据安全总体策略、组织机构与人员管理、数据 分类分级、数据处理活动安全管理要求、数据访问控制、数据安全评估、数据安全审计、数 据安全风险监测预警、数据安全应急与处置、数据安全教育培训、合作方管理、数据出境、 投诉举报受理处置等制度； b)建立数据安全制度文件管理控制流程，规范制度文件的建立、审批、发布、修订和废止，实 施文件版本控制，确保制度文件的及时更新和有效访问； c)定期对数据安全管理制度的合理性、充分性和适用性进行论证和评价，对存在不足或需要改 进的数据安全管理制度进行修订。 5.2.2重要数据除应符合5.2.1的要求外，宜建立监督评价机制，定期对数据安全管理制度落实情况进 行评价。 5.3数据分类分级 5.3.1一般数据应符合以下要求： a)识别数据资源，形成数据资源清单； b)参照DB14/TXXXX《能源数据安全保护分类分级指南》，建立能源企业自身数据分类分级规 则，根据业务需求、数据来源和用途等因素，进行数据分类；根据数据重要程度和可能造成 的影响程度，确定数据安全级别，形成数据分类分级清单； c)根据数据资源变动和分类分级要求变动等情况，及时更新数据分类分级清单。 5.3.2重要数据除符合5.3.1的要求外，还应按照有关要求识别并形成重要数据目录，并按