中国能源研究会团体标准T/CERS 0022—2023《电力移动互联网应用个人信息及接口安全防护技术要求》于2023年12月25日起实施。该标准规定了电力移动互联网应用个人信息及接口安全防护技术要求，包括电力移动互联网应用个人信息和接口类型、个人信息保护要求及接口安全防护要求。

1. 标准起草单位及主要起草人

（1）起草单位

国网智能电网研究院有限公司、上海上讯信息技术有限公司、国家电网公司客户服务中心、国网数字科技控股有限公司、国网重庆市电力公司、国网湖南省电力有限公司、国网江苏省电力有限公司。

（2）主要起草人

李勇、陈璐、卢子昂、陈牧、张涛、马媛媛、李尼格、邵志鹏、戴造建、方文高、王腾岩、陆晓雄、王晨飞、彭轼、靳敏、陈中伟、夏飞、李树、赵新建、石琳珊。

2. 标准制定背景

随着以“大云物移智链”等新技术与新型电力系统的融合创新发展，电力行业移动业务呈爆发式增长态势，移动互联网应用已成为电力企业开展各类数字化业务的重要支撑载体。然而随着电力移动应用承载业务重要性和用户规模不断增长，其面临的安全监管和防护风险问题突出，一方面电力移动互联网应用建设运营需要满足国家个人信息保护相关法律法规的安全监管，防止侵犯用户个人信息，另一方面为了推动具备开放互动特征的新型电力系统发展，其自身对外开放共享的移动业务服务接口也面临外部攻击威胁，可能导致企业敏感信息批量泄露等安全风险。因此，电力移动互联网应用面临的个人信息和接口安全防护问题日益突出。

目前整个电力行业在移动互联网应用的个人信息及接口安全防护标准方面尚有欠缺。本标准的制定可以有力填补电力行业移动互联网应用在个人信息及接口安全防护方面的空白，为电力行业移动互联网应用安全防护措施的落实提供指导。

3. 标准主要内容

（1）范围

本文件规定了电力移动互联网应用个人信息及接口安全防护技术要求，包括电力移动互联网应用个人信息和接口类型、个人信息保护要求及接口安全防护要求。

本文件适用电力移动互联网应用的技术评估、监督检查和安全防护。

（2）规范性引用文件

本标准主要引用的文件主要包括：

GB 17859 计算机信息系统安全保护等级划分准则

GB/T 22239 信息安全技术 网络安全等级保护基本要求

GB/T 25069 信息安全技术 术语

GB/T 32905 信息安全技术 SM3密码杂凑算法

GB/T 32907 信息安全技术 SM4分组密码算法

GB/T 35273 信息安全技术 个人信息安全规范

GB/T 35276 信息安全技术 SM2密码算法使用规范

GB/T 35278 信息安全技术 移动终端安全保护技术要求

GB/T 37964 信息安全技术 个人信息去标识化指南

GB/T 38636 信息安全技术 传输层密码协议(TLCP)

GB/T 41391 信息安全技术 移动互联网应用程序（App）收集个人信息基本要求

电力行业网络安全等级保护管理办法 国能发安全规〔2022〕101 号

（3）术语和定义

主要包括电力移动互联网应用、电力移动互联网应用接口、逻辑隔离、数据脱敏、数字水印、去标识化的定义。

（4）符号和缩略语

下列符号、代号和缩略语适用于本文件。

App：应用程序（Application）

API：应用程序接口（Application Programming Interface）

IMEI：国际移动设备识别码（International Mobile Equipment Identity）

IMSI：国际移动用户识别码（International Mobile Subscriber Identity）

MAC：介质访问控制（Medium Access Control）

REST：表述性状态传递（Representational State Transfer）

SDK：软件开发工具包（Software Development Kit）

SOAP：简单对象访问协议（Simple Object Access Protocol）

SQL：结构化查询语言（Structured Query Language）

SSL：安全套接层（Secure Sockets Layer）

TLS：安全传输层协议（Transport Layer Security

（5）总体要求

电力移动 App 个人信息安全要求应按照 GB/T 35273 的规定，满足“权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与”基本原则；电力移动 App 接口安全防护应按照 GB 17859 的规定，划分系统安全定级后，按照 GB/T 22239和《电力行业网络安全等级保护管理办法》的规定进行防护。

（6）电力移动互联网应用个人信息和接口类型

主要包括明确电力移动互联网应用个人信息类型和接口类型。

（7）个人信息保护要求

主要包括个人信息收集、个人信息传输、个人信息存储、个人信息使用、个人信息共享、转让和公开披露和个人信息主体权利的基本要求。

（8）接口安全防护要求  

主要包括接口安全基本要求、身份认证、访问控制、传输安全、集成和部署安全、风险控制和安全审计的基本要求。

4. 标准制定效益

该标准规范了电力移动互联网应用个人信息及接口安全防护技术要求，该标准效益主要体现在：

（1）定义电力移动互联网应用个人信息类型和接口类型，明确电力移动互联网应用安全保护对象。

（2）规范电力移动互联网应用个人信息安全保护要求，帮助电力企业更好地满足相关法律法规的要求，避免合规风险。

（2）规范电力移动应用服务接口安全防护要求，提升接口防护水平，防止攻击者通过接口入侵系统或窃取企业敏感数据。