ICS 33.040 YD CCS M 10 中华人民共和国通信行业标准 YD/T395620XX 代替YD/T3956-2021 电信领域数据安全风险评估规范 (报批稿) Specification for telemunication field data security risk assessment 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部发布
YD/T 3956-20XX 目次 1 范围. 2 规范性引用文件 3 术语和定义 4 缩略语. .2 5 概述 5. 1 评估原则 5.2 评估内容, .3 风险评估流程.
.3 6. 1 评估整体流程, .3 6.2 组建评估团队 .4 6.3 确定评估范围. .5 6.4 制定评估方案. .5 6.5 实施风险评估. .5 6.6 形成评估报告, .5 风险评估方法.
.. 7. 1 人员访谈 .6 7.2 资料查验, ..6 7.3 人工核验 .6 7.4 工具测试 .6 8 实施风险评估, . 8.1 数据处理活动分析. .6 8.2 合规性评估.
.6 8.2.1 概述. .6 8.2.2 正当必要性评估. .7 8.2.3 基础性安全评估 8.2.4 数据全生命周期安全评估 .1 8.3 安全风险分析 .16 8.3.1 风险源识别. .1. 8.3.2 安全影响分析 .22 8.3.3 综合风险研判 .24 8.3.4 评估结果与风险控制 .24 评估工具, .24 9.1 评估工具的安全要求.
.24 9.2 评估工具的使用要求 .24 6 常用数据安全风险评估工具, .25 附录A(资料性)电信领域数据分类参考. .26 参考文献. .28
YD/T 3956-20XX 前言 草.
本文件是“电信领域数据安全”系列标准之一.
该系列标准预计结构及名称如下: 1、《电信领域数据安全通用要求》 2、《电信领域数据安全风险评估规范》(本文件) 3、《电信网和互联网数据安全评估技术实施指南》 本文件代替YD/T3956-2021《电信网和互联网数据安全评估规范》.
与YD/T3956-2021相比,除 结构调整和编辑性改动外,主要技术变化如下: a)更改了标准的适用范围,将标准的适用范围调整为适用于电信领域重要数据和核心数据处理 者在中华人民共和国境内开展数据处理活动的数据安全风险评估.
b)增加数据处理活动分析过程,正当必要性评估依据,包括风险源识别、安全影响分析及综合 风险研判等内容的安全风险分析,评估工具等章节(见8.1、8.2.2、8.3、9): c)增加资料性附录A,用于进行典型领域数据分类参考: 请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国信息通信研究院、中国移动通信集团有限公司、中国联合网络通信集团有 限公司、中国电信集团有限公司、北京通和实益电信科学技术研究限公司、重庆市信息通信咨询 设计院有限公司、北京天融信网络安全技术有限公司、华信咨询设计研究院有限公司、重庆数达信息 安全技术有限公司、深信服科技股份有限公司、阿里巴巴(中国)有限公司、北京快手科技有限公司、 华为技术有限公司、北京数安行科技有限公司、广州竞远安全技术股份有限公司、北京明朝万达科技 股份有限公司、杭州安恒信息技术股份有限公司、东软集团股份有限公司、北京三快在线科技有限公 司.
YD/T 3956-20XX 本文件主要起草人:张媛媛、郭建南、姜宇泽、魏薇、庞妹、张硕、李秋昆、沈怡欣、叶东岳、 江为强、孙艺、江浩、张晓琴、范亚辉、郭晓乐、李德智、宋博韬、邵萌、孙勇、张坤、王昕、刘玉 红、何刚、王世彪、曹玉珍、彭雪娜、宋文娣.
本文件及其所代替文件的历次版本发布情况为: 一-2021年首次发布; 一一本次为第一次修订.
行业标准信息服务平台
电信领域数据安全风险评估规范 1范围 本文件规定了电信领域数据安全风险评估的原则、流程、方法及工具等.
本文件适用于电信领域重要数据和核心数据处理者在中华人民共和国境内开展数据处理活动 的数据安全风险评估.
电信领域一般数据处理者对其数据处理活动的数据安全风险评估,也可参 照本文件.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引 用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修 改单)适用于本文件.
GB/T25069信息安全技术术语 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件.
3. 1 数据data 任何以电子或者其他方式对信息的记录.
3. 2 风险评估riskassessment 风险识别、风险分析和风险评价的全过程.
息服务 [米源:GB/T 29246-2017,2.71,有修改] 3. 3 合规性评估pliance assessment 评估数据处理活动是否符合法律法规、政策文件、标准规范等相关要求的过程.
电信数据处理者telemunication dataprocessor 取得电信业务经营许可证,且在电信数据处理活动中自主决定处理目的、处理方式的电信业 务经营者.
