对能源行业而言,数据安全不仅关乎企业生存发展,更与国家能源安全息息相关。
国家能源局近日发布《能源行业数据安全管理办法(试行)》(以下简称《办法》),提出能源行业重要数据、核心数据在处理、出境、跨主体提供等方面的保护要求。国家能源局有关负责人表示,《办法》是能源行业落实《中华人民共和国数据安全法》的首个规范性文件,明确了国家能源主管部门、省级能源主管部门、能源数据处理者的基本职责和权利义务,对能源行业重要数据、核心数据的精准识别和安全保护提出明确要求,为做好能源行业数据安全工作奠定制度基础。
■■数据泄露失窃风险时有发生
某煤炭企业井下安全监测数据遭泄露,不法分子借此制造安全恐慌,直接导致矿井停产整顿,每日损失高达数百万元;某化工企业核心生产配方与工艺流程数据被竞争对手窃取,原本占据领先优势的产品瞬间丧失竞争力;某火电厂核心工程资料泄露,被用于攻击工具,引发多电站APT攻击,导致区域电网大范围停电……这些真实发生的案例,为能源行业敲响警钟。
“在国家能源管理的数字化转型过程中,产生海量高价值能源数据。这些数据不仅关乎能源管理效率,也关乎国家能源安全、经济运行稳定乃至国家安全,一旦被非法窃取、篡改或滥用,可能会引发非常严重的后果。”中国矿业大学公共管理学院应急管理系主任许超告诉《中国能源报》记者,“能源数据必须上好‘安全锁’。”
在实践层面,能源企业已有丰富实践。山东能源集团旗下云鼎科技股份有限公司数字化解决方案总监崔润兴介绍,新一代信息技术在能源领域广泛应用,能源数据呈现出规模大、类型多、关联性强、跨主体流动频繁等特点。数据一旦经过汇聚、关联和深度分析,其敏感性和安全风险会显著放大,对传统管理方式提出新挑战。“仅依靠分散、经验式管理已难以有效应对数据安全风险,需通过制度化、体系化方式加以规范。”
“《办法》回应了上述难题,标志着我国在能源领域的数据安全治理开始走向制度化、规范化、分级化和责任化的新阶段。”许超说,例如《办法》明确数据处理者为责任主体,法定代表人为第一责任人。“这种‘谁处理、谁负责’与‘条块结合’的机制,有助于破解以往数据安全管理中权责不清、执行乏力问题。”
■■让数据“有人管、管得住、管得久”
值得注意的是,《办法》首次在能源行业层面,对数据按一般、重要、核心三级进行明确划分,并围绕不同等级数据提出差异化、可操作的管理和保护要求,进一步压实数据安全主体责任。对企业而言,既是合规要求的明确化,也为实际工作提供清晰的行动路径。
业内人士表示,企业尤需关注在保障数据安全的前提下,准确识别重要数据和核心数据边界,建立规范的数据目录、风险评估和全流程管理机制,避免“一刀切”管理对业务运行和数据价值释放造成影响。同时,政策也明确鼓励在安全合规基础上的数据开发利用,这为企业在推进数字化、智能化转型过程中实现“安全与发展并重”提供了制度保障。
“然而,如何将制度要求真正转化为可执行、可持续的日常管理能力,成为数据安全在落地过程中面临的最大挑战。”崔润兴坦言。
“一方面,能源行业数据来源多、类型复杂,涉及规划、生产、运行、调度、科研等多个环节,不同系统之间标准不统一。如何在不影响正常生产经营的前提下,准确开展数据分类分级、建立完整的数据目录,并实现全生命周期管理,是一项系统性工程。”崔润兴表示,另一方面,数据安全不仅是技术问题,更是管理问题。很多风险并非来自单一技术漏洞,而源于职责不清、流程割裂、外包运维管理不到位等现实情况。将数据安全责任落实到具体岗位和业务流程中,形成“有人管、管得住、管得久”的机制,是落地过程中的关键难点。“同时,随着数据在跨系统共享、委托处理、云服务等场景下流动日益频繁,如何在保障安全的同时兼顾业务效率,避免过度管控影响数据价值释放,也对企业治理能力提出更高要求。”
■■有效管理仍需多层面协同推进
《中国能源报》记者了解到,管理好能源行业的数据安全,仍需在制度、治理、技术和意识等多个层面协同推进。
在许超看来,《办法》出台只是我国在能源数据安全管理方面迈出的第一步,要想真正使其落地见效,还需进一步出台相关实施细则。“能源活动涉及规划、生产、消费全链条,不同环节数据的敏感性和风险差异显著。《办法》并未明确具体分类标准,可能导致企业执行时‘一刀切’或遗漏关键数据。”
崔润兴建议,应持续完善制度体系和标准规范。“比如,在国家数据安全法律法规框架下,结合能源行业特点,细化数据分类分级、目录管理、风险评估等要求,使数据安全有章可循、有据可依。”
另外,如何平衡跨境业务中的发展与安全关系也是亟待解决的问题。许超指出,能源数据常常涉及跨省调度,但《办法》未明确数据跨区流动时的责任衔接机制,可能会导致监控真空。“对于跨境问题,虽然《办法》规定重要数据出境需申报安全评估,但在实践中可能会导致一些企业的跨境业务合规性大大增加,很多项目需频繁向境外合作伙伴提供数据,但评估流程的复杂性可能阻碍业务效率。”
在技术支撑和防护能力方面,崔润兴建议,结合能源系统数字化运行特点,持续加强访问控制、日志审计、加密脱敏、风险监测和应急处置等基础能力建设,提高对复杂场景和新技术应用下数据安全风险的应对水平。“同时,还要注重平衡安全与发展的关系。在确保安全可控的前提下,规范推进数据共享和开发利用,避免过度管控制约数据价值释放,形成以安全促发展、以发展强安全的良性循环。”
