点右上角听全文,边听边读更轻松
《能源行业数据安全管理办法》7月施行,核电企业的三道必答题
? 内容提要? 距《能源行业数据安全管理办法(试行)》7月1日施行也就十几天了,该办法作为能源行业首个专门数据安全管理制度文件,对核电企业的数据安全治理提出了哪些具体要求?核电企业最紧迫的三件事是什么?本文从数据分类分级、风险评估与安全防护、组织体系建设三个维度深度解析。
6月2日,北京网络安全大会(BCS 2026)上,比亚迪安全负责人说了一句话让我印象深刻:"攻击已进入工业化时代,防御还停留在手工时代。"核电行业的网络和数据安全防线,能不能经受AI工业化攻击的考验?这是个让人后背发凉的问题。
半个月后,也就是2026年7月1日,《能源行业数据安全管理办法(试行)》将正式施行。这份由国家能源局2025年12月印发的文件,是能源行业首个专门的数据安全管理制度。对于核电企业来说,这不只是一份需要归档学习的法规文件,更是一份必须在倒计时内完成的行动方案。
第一道题:数据家底清了吗?
办法的核心制度是数据分类分级。将能源行业数据分为三级:一般数据、重要数据、核心数据。核电企业的生产运行数据、安全监管数据、设备监测数据、核材料衡算数据……哪类属于"重要数据"?哪类触及"核心数据"?这需要企业自己先识别、先编制目录。
关键时间节点《办法》第七条要求:能源数据处理者应"识别并编制本单位重要数据目录,并向数据载体所在地的省级能源主管部门报送"。换句话说,7月1日前,核电企业必须完成数据分类分级工作和目录编制。倒计时就半个月。
这不是走流程。分类分级决定了后续所有安全措施的力度——重要数据需要三级及以上等保,核心数据涉及关基保护的需落实关基保护要求。分错了,轻则合规不达标,重则数据安全防线从根上就是虚的。
核电企业的情况还更复杂。核电基地往往涉及多个法人主体:运营公司、检修公司、技术服务公司……数据在各主体间流动,哪些共享算"提供",哪些共享算"委托处理",办法都有不同要求。对一个核电基地来说,第一步是把数据资产的"家底"摸清楚。
这里我特别想提醒一点:核电厂的DCS系统数据、役检数据、设备振动监测数据等生产运维数据,就其精度和规模而言,很可能属于"重要数据"甚至"核心数据"。不要因为长期在内部流转就低估了它的数据安全级别。
第二道题:制度和技术跟上了吗?
分类分级只是起点。办法对重要数据提出了明确的安全管理要求,包括但不限于:
- 等级保护:存储处理重要数据的信息网络落实三级及以上等保;
- 风险评估:重要数据处理者每年至少开展一次风险评估,报送省级能源主管部门;
- 日志留存:重要数据处理活动的安全事件日志留存不少于一年,提供、委托处理的日志不少于三年;
- 技术措施:数据全生命周期综合运用加密、鉴权、脱敏、审计等技术手段;
- 权限管理:遵循最小授权原则,按岗位职责设定数据处理权限;
- 数据出境:境内收集的重要数据向境外提供,需申报数据出境安全评估。
这些要求对核电企业来说,既有"补课"的一面,也有"升级"的一面。
"补课"体现在哪里?坦率说,部分核电企业的数据安全治理起步较晚,数据资产底数不清、权限管理粗放、日志审计不完善等问题并非个例。办法的施行相当于给出了一个明确的合规时间表。
"升级"又体现在哪里?办法强调的数据全生命周期安全、加密和脱敏等技术要求,以及数据出境的专门管理,都是以前没有明确对标标准的领域。特别是数据出境的安全评估——核电企业引进国外技术、与海外研究机构合作时,难免涉及数据的跨境流动,这块需要提前布局。
还有一个容易被忽视的细节:办法要求"委托他人处理重要数据的,需严格审批并监督受托方,不得擅自转包、分包"。核电大修期间,大量外委队伍进厂,他们的数据怎么接、怎么管、怎么清,都需要在合同层面和技术层面同步落实。
第三道题:责任体系建了吗?
办法明确了两条硬性要求:企业法定代表人或主要负责人是数据安全第一责任人;企业应明确数据安全负责人和管理机构。
这不是发个红头文件、挂个牌就完事。责任体系的实质是要有人、有钱、有机制。
核能行业的特殊性
核电企业的数据安全不仅关乎企业自身,还关乎核安全监管。办法要求发生重大或特别重大安全事件时,"省级能源主管部门/能源央企在1个工作日内报送国家能源局"——这意味着核电企业的数据安全事件报告时限远短于一般行业。
再往深想一层:核电企业的数字化进程正在加速。2026年4月发布的《中国核能发展报告2026》显示,核电数字化转型已成为行业共识,中核、中广核、国家电投、华能都在大力推进。但数字化转型和数据安全合规不是两张皮,必须同步推进。
BCS 2026上,多位专家提到了AI安全的风险——AI在赋能核电数字化的同时,也给数据安全带来了新的挑战。AI模型训练需要大量数据,这些数据的脱敏、权限管控、使用留痕,都是数据安全的新课题。办法虽然没有专门针对AI的规定,但其"全面覆盖、分层保护"的框架天然适用于AI场景。
还有一个好消息值得关注:同样在6月初发布的2025年生态环境状况公报显示,2025年全国核与辐射安全态势总体平稳,核设施未发生1级及以上事件。平稳的安全态势为核电行业集中精力推进数据安全合规提供了良好的窗口期。如果安全问题频发,根本腾不出手来做数据治理。
不是选择题,而是必答题
写到这里,我想说一句可能不太中听的话:有些核电从业者觉得,核心系统都在物理隔离的内网里,数据安全风险不大。但在数字化、智能化的今天,核电企业内部的经营管理数据、供应链数据、远程运维数据,都在不同程度上暴露在网络环境中。物理隔离不等于数据绝对安全。
BCS 2026上,齐向东把AI时代的网络安全形势概括为"三个攻防失衡"——攻击高效化、防护静态化、"AI+"赛道竞速中攻击方天然占优。这些判断同样适用于数据安全领域。攻击者可以用AI工具在几分钟内完成数据窃取,而防守方如果还在靠人工审计日志、手工梳理数据,这仗没法打。
所以,《能源行业数据安全管理办法》的施行,不是一个需要消极应付的合规任务,而是一次倒逼核电行业数据安全能力系统性升级的机会。距7月1日也就半月,三道必答题摆在面前:
- 数据家底,清了没有?
——抓紧完成数据分类分级和目录编制; - 制度技术,跟上了没有?
——落实等保、加密、日志、风险评估等措施; - 责任体系,建了没有?
——明确数据安全负责人,建立常态化管理机制。
答好这三道题,核电行业的数据安全才能从"手工时代"真正走进"体系化时代"。
? 参考文献
[1] 国家能源局.《能源行业数据安全管理办法(试行)》. 中国政府网. https://www.gov.cn/zhengce/zhengceku/202512/content_7051044.htm
[2] 东方财富网. 2026北京网络安全大会开幕 齐向东提出打造"三位一体"协同联动的安全体系. 2026-06-02. http://finance.eastmoney.com/a/202606023757819248.html
[3] 搜狐新闻. 齐向东:有了AI挖漏洞后,网络攻击会从几年一遇变成随时遭遇. 2026-06-03. https://www.sohu.com/a/1032300614_121478296
[4] 中新社. 2025年中国核与辐射安全态势总体平稳. 2026-06-05. 原文链接
[5] 中国经济网. 2026北京网络安全大会(BCS)开幕. 2026-06-03. http://www.ce.cn/xwzx/gnsz/gdxw/202606/t20260603_3008059.shtml
[6] 腾讯新闻. 2026中国AI智能体领航者揭晓. 2026-06-05. https://news.qq.com/rain/a/20260605A06WF200
延伸阅读
