ICS 33.040 YD M10 中华人民共和国通信行业标准 YD/T3802-2020 电信网和互联网数据安全通用要求 General requirements of telemunication networks and Internet data security 2020-12-09发布 2021-01-01实施 中华人民共和国工业和信息化部 发布
YD/T3802--2020 目次 前言.. 1范围.. 2规范性引用文件. 3 术语、定义和缩略语 4 概述... 5 数据安全基本原则. 6 数据分类分级.. 7 通用安全管理.. 8 数据采集.. 9 数据传输. 10数据存储.. 11 数据使用.. 10 数据开放共享. .11 数据销毁. 12 14合作方管理... 13 15平台系统安全管理.. 14 附录A(资料性附录)数据资产清单示例, 17 参考文献.. 18
YD/T3802-2020 前言 本标准是“电信网和互联网数据安全”系列标准之一。
该系列标准预计的结构及名称如下: 《电信网和互联网数据安全通用要求》: 《电信网和互联网数据安全评估规范》: 《电信网和互联网数据安全评估实施技术要求》。
本标准按照GB/T1.1一2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别这些专利的责任。
本标准由中国通信标准化协会提出并归口。
本标准起草单位:中国信息通信研究院、中国移动通信集团有限公司、中国联合网络通信集团有限 公司、中国电信集团有限公司、数据通信科学技术研究所、阿里云计算有限公司。
本标准主要起草人:魏薇、张媛媛、庞妹、姚志杰、苗琳、郭建南、姜宇泽、江为强、贾强、孙艺、 王雷、国强、刘晓、冯程、闫希敏、谢俐惊、王远桂。
ⅡI
YD/T3802-2020 电信网和互联网数据安全通用要求 1范围 本标准规范了数据采集、传输、存储、使用、开放共享、销毁等数据处理活动及其相关平台系统应 遵循的原则和安全保护要求,包括组织保障、制度建设、规范建立等管理性要求,以及规范执行相关配 套技术性要求。
本标准主要适用于在电信服务和互联网信息服务提供过程中,在公用电信网和互联网网络单元和业 务系统中采集、产生、使用的数据。
适用于对电信网和互联网行业中组织开展的数据处理活动及与数据 发测试数据。
2规范性引用文件 下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件。
GB/T35273一2020《信息安全技术个人信息安全规范》 GB/T20986-2007《信息安全技术信息安全事件分类分级指南》 YD/T3169一2016《互联网新技术新业务安全评估指南》 3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件。
3.1.1 个人信息 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。
注:关于个人信息的范围和类型依据GB/T35273一2020附录A中要求。
3.1.2 个人敏感信息 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧
YD/T3802-2020 视性待遇等的个人信息。
注:关于个人敏感信息的范围和类型依据GB/T35273一2020附录B中要求。
3.1.3 个人信息主体 个人信息所标识或关联到的自然人。
3.1.4 用户数据 获取电信服务和互联网信息服务的主体所提供的数据,用户包括企业用户和个人用户。
3.1.5 合规性 对数据安全所适用的法律法规、部门规章和规范性文件的遵守。
3.1.6 合规性评估 运用科学的方法和手段,系统地识别组织机构存在的数据安全风险,评估风险导致的数据安全事件 一旦发生可能造成的危害程度,进而提出综合性和可操作性的预防数据安全事件发生的管理对策和安全 措施,实现将数据安全风险控制在可接受的水平,最大限度地满足合规性要求。
3.1.7 数据资产 以电子形式记录的组织机构所拥有和控制的数据。
3.1.8 生产经营数据 企业平台系统上承载的、且与个人信息无关的自有业务数据,如图形、文档、音视频数据等。
3.1.9 开放共享 电信业务经营者、互联网信息服务提供者进行全部或部分数据复制、分享等行为。
3.1.10 合作方 受托代理市场销售和提供业务合作、技术支撑、数据服务等可能接触到组织机构数据的外部机构。
其中,业务合作主要包括数据业务合作推广、渠道接入等形式:技术支撑主要包括系统开发集成、系统 维护、技术支撑等形式;数据服务主要包括数...
