2024數(shù)據(jù)安全技術(shù)能力評估要求

數(shù)據(jù)安全技術(shù)能力評估要求目??次范圍 3規(guī)范性引用文件 3術(shù)語和定義 3數(shù)據(jù)安全技術(shù)能力要求 5數(shù)據(jù)資產(chǎn)與數(shù)據(jù)識別 5權(quán)限管理與操作規(guī)范 5數(shù)據(jù)防泄漏與溯源 6敏感數(shù)據(jù)保護 6業(yè)務(wù)流量風(fēng)險監(jiān)控 6敏感操作發(fā)現(xiàn) 6數(shù)據(jù)安全管理能力要求 6組織架構(gòu)及人員保障 6數(shù)據(jù)使用分級管控 7合作方管理 7數(shù)據(jù)安全工作自評估 71數(shù)據(jù)安全技術(shù)能力評估要求范圍本文件規(guī)定了應(yīng)具備數(shù)據(jù)安全能力的企事業(yè)單位、政府部門等組織的數(shù)據(jù)安全技術(shù)能力要求。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T25069-2022信息安全技術(shù)術(shù)語GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T36073-2018數(shù)據(jù)管理能力成熟度評估模型GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求GB/T37973-2019信息安全技術(shù)大數(shù)據(jù)安全管理指南GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范GB/T39335-2020信息技術(shù)個人信息安全評估指南GB/T19000-2016質(zhì)量管理體系基礎(chǔ)和術(shù)語術(shù)語和定義GB/T41479-2022GB/T37988-2019GB/T36073-2018GB/T25069-2022GB/T35273-2020GB/T39335-2020、GB/T19000-2016、GB/T37973-2019等國家標準界定的以及下列術(shù)語和定義適用于本文件。3.1數(shù)據(jù)data任何以電子或者其他方式對信息的記錄。3.2數(shù)據(jù)處理dataprocessing對原始數(shù)據(jù)進行抽取、轉(zhuǎn)換、加載的過程。3.3數(shù)據(jù)安全datasecurity3.4個人信息personalinformation個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息。注1：個人信息包括姓名、出生日期、公民身份證號、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。3注2：不包括匿名化處理后的信息。3.5個人敏感信息personalsensitiveinformation一旦泄露、非法使用或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇的個人信息。3.6去標識化de-identification個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。3.7匿名化anonymization個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程。注：匿名化處理后的信息不屬于個人信息。3.8重要數(shù)據(jù)importantdata一旦泄露可能直接影響國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的數(shù)據(jù)。注：重要數(shù)據(jù)包括未公開的政府信息，數(shù)量達到一定規(guī)模的基因、地理、礦產(chǎn)信息等，原則上不包括個人信息、企業(yè)內(nèi)部經(jīng)營管理信息等。3.9敏感數(shù)據(jù)sensitivedata指包含個人身份信息、醫(yī)療記錄、支付信息、信用卡號碼、社會保險號碼等敏感信息的數(shù)據(jù)類型。3.10數(shù)據(jù)脫敏datamasking通過一系列數(shù)據(jù)處理方法對原始數(shù)據(jù)進行處理以屏蔽敏感數(shù)據(jù)的一種數(shù)據(jù)保護方法。3.11數(shù)據(jù)資產(chǎn)dataasset是指由組織（政府機構(gòu)、企事業(yè)單位等）合法擁有或控制的數(shù)據(jù)資源，以電子或其他方式記錄，例如文本、圖像、語音、視頻、網(wǎng)頁、數(shù)據(jù)庫、傳感信號等結(jié)構(gòu)化或非結(jié)構(gòu)化數(shù)據(jù)，可進行計量或交易，能直接或間接帶來經(jīng)濟效益和社會效益。3.12數(shù)據(jù)分類dataclassification3.13結(jié)構(gòu)化數(shù)據(jù)structuraldata能夠用數(shù)據(jù)或統(tǒng)一結(jié)構(gòu)加以表示，一般存儲在數(shù)據(jù)庫中，如客戶資料、銷售記錄等。3.14非結(jié)構(gòu)化數(shù)據(jù)unstructureddata無法用數(shù)字或統(tǒng)一的結(jié)構(gòu)表示，如辦公文檔、圖像、聲音、網(wǎng)頁、設(shè)計圖紙等。3.15半結(jié)構(gòu)化數(shù)據(jù)semi-structureddata介于結(jié)構(gòu)化和非結(jié)構(gòu)化之間的數(shù)據(jù)，結(jié)構(gòu)隱含在數(shù)據(jù)中，如HTML，XML，JSON，RDF等。3.164數(shù)據(jù)分級datastaging3.17用戶端clientside指數(shù)據(jù)處理或計算發(fā)生在用戶設(shè)備上的計算機處理方式。數(shù)據(jù)安全技術(shù)能力要求數(shù)據(jù)資產(chǎn)與數(shù)據(jù)識別確定企業(yè)擁有或控制的所有數(shù)據(jù)資產(chǎn)；明確數(shù)據(jù)資產(chǎn)內(nèi)容、數(shù)據(jù)量、數(shù)據(jù)來源、存放位置、使用范圍、責(zé)任主體、數(shù)據(jù)共享情況等；按照分類分級法，確定組織的數(shù)據(jù)資產(chǎn)類別、敏感等級；組織應(yīng)建立數(shù)據(jù)分類分級管理過程，并保持成文信息。覆蓋的范圍應(yīng)包括數(shù)據(jù)處理活動涉及的所有平臺系統(tǒng)。在數(shù)據(jù)分類的基礎(chǔ)上，對每一類數(shù)據(jù)類型制定數(shù)據(jù)分級標準。分級標準應(yīng)考慮以下因素：數(shù)據(jù)重要及敏感程度；數(shù)據(jù)的安全保護需求；數(shù)據(jù)泄露、丟失或破壞可能造成的危害程度。在數(shù)據(jù)資源識別時，應(yīng)配備技術(shù)能力，定期對相關(guān)平臺系統(tǒng)數(shù)據(jù)庫中的結(jié)構(gòu)化與半結(jié)構(gòu)化數(shù)據(jù)權(quán)限管理與操作規(guī)范涉及數(shù)據(jù)重大操作的（如數(shù)據(jù)批量復(fù)制、傳輸、處理、開放共享和銷毀等），組織應(yīng)采取多人/組織應(yīng)視內(nèi)部安全風(fēng)險威脅情況，對數(shù)據(jù)安全相關(guān)審批采用自動化審批流程，保障管控有效。無法實現(xiàn)自動化審批的，應(yīng)加入人工控制手段，實現(xiàn)與數(shù)據(jù)級別聯(lián)動，實現(xiàn)差異化審批保護。5組織應(yīng)對高風(fēng)險用數(shù)場景應(yīng)實施操作過程監(jiān)督，監(jiān)督過程應(yīng)完整記錄，定期審計。數(shù)據(jù)防泄漏與溯源（網(wǎng)盤FTPUSB及即時通訊工敏感數(shù)據(jù)保護對授權(quán)收集到的敏感數(shù)據(jù)信息，應(yīng)采取去標識化、關(guān)鍵字段加密安全存儲措施。根據(jù)相關(guān)方要求，刪除、銷毀的個人信息可進行匿名化處理，不可繼續(xù)使用；在跨安全域或通過互聯(lián)網(wǎng)傳輸敏感數(shù)據(jù)信息時，采用加密傳輸措施；注:適宜的加密傳輸措施，例如可確保安全的加密算法或傳輸通道。在用戶端顯示敏感數(shù)據(jù)信息時，應(yīng)采取措施防止未授權(quán)人員獲取敏感數(shù)據(jù)信息。組織應(yīng)配備技術(shù)能力有效防止脫敏失效，如偽脫敏、弱脫敏等情況；組織應(yīng)根據(jù)數(shù)據(jù)的敏感級別，以及操作人員的數(shù)據(jù)權(quán)限，建立統(tǒng)一的數(shù)據(jù)交付策略，實現(xiàn)同一級別數(shù)據(jù)在不同平臺系統(tǒng)中，管控措施的一致、可靠及高效。業(yè)務(wù)流量風(fēng)險監(jiān)控具備對內(nèi)外部訪問流量的自動化分析能力，發(fā)現(xiàn)數(shù)據(jù)處理平臺系統(tǒng)的接口資產(chǎn)，并根據(jù)接口資具備對API接口的脆弱性（安全性漏洞，業(yè)務(wù)邏輯性漏洞）及外部攻擊行為的自動化發(fā)現(xiàn)能力;具備應(yīng)用系統(tǒng)的安全合規(guī)性進行檢查，對于業(yè)務(wù)系統(tǒng)未經(jīng)加密直接傳輸?shù)拿舾行畔?，可進行告警，并記錄相關(guān)信息的傳輸途徑和位置。敏感操作發(fā)現(xiàn)數(shù)據(jù)安全管理能力要求組織架構(gòu)及人員保障6數(shù)據(jù)安全第一責(zé)任人應(yīng)分配職責(zé)和權(quán)限，以：確保數(shù)據(jù)安全管理能力符合本技術(shù)規(guī)范的要求；確保各過程獲得其預(yù)期輸出；報告數(shù)據(jù)安全管理能力的績效以及改進機會，特別是向最高管理者報告；確保在整個組織中推動數(shù)據(jù)安全管理；確保在策劃和實施數(shù)據(jù)安全管理能力變更時保持其完整性。應(yīng)明確數(shù)據(jù)安全崗位人員、職責(zé)劃分，落實數(shù)據(jù)安全管理工作。數(shù)據(jù)使用分級管控組織應(yīng)識別并確定內(nèi)部所有用數(shù)場景，并針對不同場景制定明確的審批流程，形成對應(yīng)審批流程圖。包括但不限于以下使用數(shù)據(jù)場景：數(shù)據(jù)查看數(shù)據(jù)導(dǎo)出數(shù)據(jù)外發(fā)、共享數(shù)據(jù)接