ICS 35.030 CCS L70 YD 中华人民共和国通信行业标准 YD/TxXXX-2023 数据安全治理能力通用评估方法 General evaluation method of data security governance capability (报批稿) 行业标准信息服务平台 2022年10月8日 [××××]-[××]-[××]发布 [××××]-[××]-[××]实施 中华人民共和国工业和信息化部 发布
前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国信息通信研究院、中国移动通信集团有限公司、奇安信科技集团股份有限 公司、杭州安恒信息技术股份有限公司、蚂蚁科技集团股份有限公司、北京百度网讯科技有限公司、 上海观安信息技术股份有限公司、北京数读科技有限公司、杭州美创科技有限公司、郑州信大捷安信 息技术股份有限公司、联通华盛通信有限公司、北京天融信网络安全技术有限公司、0PPO广东移动通 信有限公司、中国移动通信集团有限公司、联通数字科技有限公司、浪潮云信息技术股份公司、北京 数安行科技有限公司、北京国双科技有限公司、北京亿赛通科技发展有限责任公司、恒安嘉新(北京) 科技股份公司、中兴通讯股份有限公司、深圳市和讯华谷信息技术有限公司、上海新炬网络信息技术 股份有限公司.
本文件主要起草人:刘雪花、李雪妮、龚诗然、闫树、魏凯、姜春宇、李天阳、郝志婧、张越、 张亚兰、范东媛、王新华、梁伟、马冰珂、孟小楠、郭建领、孙硕、谢江、裴超、王泽、刘为华、尚 品、陈卓、郑涛、陈洪运、付艳艳、温暖、李文琦、刘飞龙、何晓倩、周庆勇、刘玉红、张柏、李楷、 孟娟、王文娟、马超、张艺伟、黄国标.
行业标准信息服务平台
YD/T xxxx-2022 目次 前言. 1范围 .1 2规范性引|用文件, 1 3术语和定义 1 4概述 .2 4.1评估原则 .2 4.2评估实施方法 .2 4.3评估实施过程, .2 5数据安全治理体系框架 .3 6数据安全治理能力总体要求 7评估等级 5 7.1第一级初始级 5 7.2第二级重点执行级 5 7.3第三级全面治理级 .5 7.4第四级量化评估级 6 7.5第五级持续优化级 6 8数据安全战略. .6 8.1数据安全规划 6 8.2机构人员管理. 6 9数据全生命周期安全 .13 9.1数据采集安全 .13 9.2数据传输安全 ..17 9.3数据存储安全 .21 9.4数据使用安全 .25 9.5数据共享安全 .29 9.6数据销毁安全 ..33 10基础安全. 36 10.1数据分类分级 .36 10.2合规管理 39 10.3合作方管理 42 10.4监控审计 45 10.5身份认证与访问控制 .48 10.6安全风险分析, .52 10.7安全事件应急 54 参考文献 .58
YD/T xxxx-2021 数据安全治理能力通用评估方法 1范围 本文件规定了数据安全治理能力通用评估方法,包括评估实施方法,评估结果等级划分和数据安 全治理能力在各等级的具体要求和评估细则.
本文件适用于企业针对其拥有的数据开展数据安全治理工作,为其数据安全治理能力评估提供参 考和指引.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适 用于本文件.
GB/T25069信息安全技术术语 GB/T29246一2017信息技术安全技术信息安全管理体系 GB/T37988-2019信息安全技术数据安全能力成熟度模型 GB/T35273信息安全技术个人信息安全规范 3术语和定义 GB/T37988-2019和GB/T35273界定的以及下列术语和定义适用于本文件.
3. 1 数据安全治理data securitygovernance 在组织数据安全战略的指导下,为确保组织数据处于有效保护和合法利用的状态,以及具备保障 持续安全状态的能力,内外部相关方协作实施的一系列活动集合.
注:活动包括建立数据安全治理组织架构,制定数据安全制度规范,构建数据安全技术体系,建设数据安全人才 梯队等.
服务平 3.2 数据使用datausing 在组织内部开展的数据开发利用活动的过程.
3. 3 数据共享data disclosing and sharing 在组织之间、组织与外部个人之间进行数据提供或交换的过程.
YD/T xxxx-2021 3. 4 合规pliance 对数据安全所适用的法律法规的符合程度.
[来源:GB/T 37988-2019 3.16] 3.5 个人信息personalinformation 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定 自然人活动情况的各种信息.
[来源:GB/T35273 3.1 有修改] 3.6 敏感个人信息personalsensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或 歧视性待遇等的个人信息.
[来源:GB/T 35273 3.2] 4概述 4.1评估原则 数据安全治理能力评估应遵守如下原则: a)标准性原则:评估工作应依据本文件展开; b)客观公正原则:评估发现、评估结论和评估报告应真实和准确地反映评估活动,不带评估人 员个人偏见,以确保评估发现和评估结论仅建立在评估证据的基础上: c)保密原则:评估人员应审慎使用和保护在评估过程获得的信息,以保障被评估方数据安全.
可以在评估前与被评估单位就数据安全保密责任义务进行认定与划分,包括不限于保密协议 签署等.
4.2评估实施方法 评估实施方法主要通过文档查验、人员访谈、工具演示等方式对评估对象的实际建设情况进行评 估.
文档查验是指评估人员查阅数据安全相关文件资料,如组织数据安全管理制度、业务技术资料和 其他相关文件,用以评估数据安全治理相关制度文件是否符合标准要求,评估对象需要事先完整准备 上述文档以供评估人员查阅.
人员访谈是指评估人员通过与评估对象相关人员进行交流、讨论、询问等活动,以评估数据安全 保障措施是否有效.
评估对象需要安排熟悉数据流转过程,以及承载数据的应用、系统、规划等情况 的人员参加访谈.
工具演示是指由评估对象相关人员进行展示,评估人员查看承载数据的应用、系统等,以评估数 据安全保障措施是否有效.
评估对象需要安排相关人员进行现场演示,评估人员根据系统演示情况进 行查验.
