數(shù)據(jù)安全治理能力評(píng)估方法

T/ISC-0011-2021

目次

前言....................................................................................II

弓I言....................................................................................II

1范圍...................................................................................1

2規(guī)范性引用文件.........................................................................1

3術(shù)語(yǔ)和定義.............................................................................1

4概述...................................................................................2

4.1評(píng)估原則..........................................................................3

4.2評(píng)估實(shí)施方法......................................................................3

4.3評(píng)估實(shí)施過(guò)程......................................................................3

5數(shù)據(jù)安全治理能力總體要求..............................................................4

6評(píng)估等級(jí)...............................................................................4

6.1第一級(jí)：基礎(chǔ)級(jí)...................................................................4

6.2第二級(jí)：優(yōu)秀級(jí)....................................................................4

6.3第三級(jí)：先進(jìn)級(jí)....................................................................5

7數(shù)據(jù)安全戰(zhàn)略...........................................................................5

7.1數(shù)據(jù)安全規(guī)劃.....................................................................5

7.2機(jī)構(gòu)人員管理......................................................................7

8數(shù)據(jù)全生命周期安全...................................................................10

8.1數(shù)據(jù)采集安全....................................................................10

8.2數(shù)據(jù)傳輸安全.....................................................................12

8.3存儲(chǔ)安全.........................................................................15

8.4數(shù)據(jù)備份與恢復(fù)...................................................................17

8.5使用安全.........................................................................19

8.6數(shù)據(jù)處理環(huán)境安全................................................................21

8.7數(shù)據(jù)內(nèi)部共享安全................................................................23

8.8數(shù)據(jù)外部共享安全.................................................................25

8.9數(shù)據(jù)銷毀安全.....................................................................28

9基礎(chǔ)安全..............................................................................30

9.1數(shù)據(jù)分類分級(jí)....................................................................30

9.2合規(guī)管理..........................................................................32

9.3合作方管理.......................................................................34

9.4監(jiān)控審計(jì)..........................................................................37

9.5鑒別與訪問(wèn).......................................................................39

9.6風(fēng)險(xiǎn)和需求分析...................................................................41

9.7安全事件應(yīng)急.....................................................................43

參考文獻(xiàn)................................................................................46

I

T/ISC-0011-2021

數(shù)據(jù)安全治理能力評(píng)估方法

1范圍

本文件描述了各類數(shù)據(jù)治理活動(dòng)及其相關(guān)平臺(tái)應(yīng)遵循的數(shù)據(jù)安全治理能力要求和評(píng)估方法，包括評(píng)估

等級(jí)劃分方法，以及數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)使用安全、數(shù)據(jù)

共享安全、數(shù)據(jù)銷毀安全、基礎(chǔ)安全等能力的具體評(píng)估等級(jí)確定原則。

本文件適用于電信網(wǎng)和互聯(lián)網(wǎng)等企業(yè)開展數(shù)據(jù)治理工作，為其數(shù)據(jù)安全治理能力評(píng)估提供參考和指引O

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文

件。

GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)

GB/T29765—2013信息安全技術(shù)數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測(cè)試評(píng)價(jià)方法術(shù)語(yǔ)和定義

GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型術(shù)語(yǔ)和定義

GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范術(shù)語(yǔ)和定義

3術(shù)語(yǔ)和定義

GB/T25069—2010、GB/T29765—2013、GB/T29246—2017、GB/T37988—2O1/I3GB/T35273—2020

界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

數(shù)據(jù)安全datasecurity

通過(guò)管理和技術(shù)措施，確保數(shù)據(jù)有效保護(hù)和合規(guī)使用的狀態(tài)。

[來(lái)源：GB/T37988—2019,3.1]

3.2

保密性confidentiality

使信息不泄漏給未授權(quán)的個(gè)人、實(shí)體、進(jìn)程，或不被其利用的特性。

[來(lái)源：GB/T25069—2010,2.1.1]

3.3

完整性integrity

準(zhǔn)確和完備的特性。

[來(lái)源：GB/T29246—2017,2.40]

3.4

1

T/ISC-0011-2021

和殿backipdata

存儲(chǔ)在（通?？梢苿?dòng)的）非易失性存儲(chǔ)介質(zhì)上某一時(shí)間點(diǎn)的數(shù)據(jù)集合，用于原數(shù)據(jù)丟失或不可訪問(wèn)時(shí)

的數(shù)據(jù)恢復(fù)。

［來(lái)源：GB/T29765-2013,3.1］

3.5

backi?）

創(chuàng)建備份數(shù)據(jù)的過(guò)程。

［來(lái)源：GB/T29765-2013,3.2］

3.6

技術(shù)工具technicaltool

通過(guò)技術(shù)手段或平臺(tái)工具等方式支撐組織數(shù)據(jù)安全治理能力的建設(shè)。

3.7

內(nèi)部共享internalsharing

在單個(gè)組織內(nèi)部環(huán)境下的數(shù)據(jù)交換過(guò)程。

3.8

外部共享externalsharing

在任意兩個(gè)或多個(gè)組織之間的數(shù)據(jù)交換過(guò)程。

3.9

數(shù)據(jù)血緣dataconsanguinity

記錄了對(duì)原始數(shù)據(jù)的處理步驟，標(biāo)明了數(shù)據(jù)產(chǎn)生的鏈路關(guān)系。

3.10

個(gè)人信息personalinformation

以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人

活動(dòng)情況的各種信息。

注1：個(gè)人信息包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、

賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

注2:個(gè)人信息控制者通過(guò)個(gè)人信息或其他信息加工處理后形成的信息，例如，用戶畫像或特征標(biāo)簽，能夠單獨(dú)或者與

其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的，屬于個(gè)人信息。

［來(lái)源：GB/T35273-2020,3.1,有修改］

3.11

個(gè)人敏感信息personalsensitiveinformation

一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視

性待遇等的個(gè)人信息。

［來(lái)源：GB/T35273-2020,3.2］

4儂

2

T/ISC-0011-2021

4.1評(píng)估原則

(1)標(biāo)準(zhǔn)性原則：評(píng)估工作應(yīng)依據(jù)本文件展開。

(2)客觀公正原則：評(píng)估發(fā)現(xiàn)、評(píng)估結(jié)論和評(píng)估報(bào)告應(yīng)真實(shí)和準(zhǔn)確地反映評(píng)估活動(dòng)，不帶評(píng)估人員

個(gè)人偏見，以確保評(píng)估發(fā)現(xiàn)和評(píng)估結(jié)論僅建立在評(píng)估證據(jù)的基礎(chǔ)上。

(3)保密原則：評(píng)估人員應(yīng)審慎使用和保護(hù)在評(píng)估過(guò)程獲得的信息，以保障被評(píng)估方數(shù)據(jù)安全?？?/p>

以在評(píng)估前與被評(píng)估單位就數(shù)據(jù)安全保密責(zé)任義務(wù)進(jìn)行認(rèn)定與劃分，包括不限于保密協(xié)議簽署等。

4.2評(píng)估實(shí)施方法

主要通過(guò)文檔查驗(yàn)、人員訪談、系統(tǒng)演示等方式對(duì)評(píng)估對(duì)象的實(shí)際建設(shè)情況進(jìn)行評(píng)估。

文檔查驗(yàn)是指評(píng)估人員查閱數(shù)據(jù)安全相關(guān)文件資料，如組織數(shù)據(jù)安全管理制度、業(yè)務(wù)技術(shù)資料和其他

相關(guān)文件，用以評(píng)估數(shù)據(jù)安全治理相關(guān)制度文件是否符合標(biāo)準(zhǔn)要求。評(píng)估對(duì)象需要事先完整準(zhǔn)備上述文檔

以供評(píng)估人員查閱。

人員訪談是指評(píng)估人員通過(guò)與評(píng)估對(duì)象相關(guān)人員進(jìn)行交流、討論、詢問(wèn)等活動(dòng)，以評(píng)估數(shù)據(jù)安全保障

措施是否有效。評(píng)估對(duì)象需要安排熟悉數(shù)據(jù)流轉(zhuǎn)過(guò)程，以及承載數(shù)據(jù)的應(yīng)用、系統(tǒng)、規(guī)劃等情況的人員參

加訪談。

系統(tǒng)演示是指由評(píng)估對(duì)象相關(guān)人員進(jìn)行展示，評(píng)估人員查看承載數(shù)據(jù)的應(yīng)用、系統(tǒng)等，以評(píng)估數(shù)據(jù)安

全保障措施是否有效。評(píng)估對(duì)象需要安排相關(guān)人員進(jìn)行現(xiàn)場(chǎng)演示，評(píng)估人員根據(jù)系統(tǒng)演示情況進(jìn)行查驗(yàn)。

4.3評(píng)估實(shí)施過(guò)程

評(píng)估實(shí)施過(guò)程主要包括評(píng)估準(zhǔn)備、評(píng)估執(zhí)行和評(píng)估審核三個(gè)階段，與評(píng)估對(duì)象的溝通和洽談貫穿整個(gè)

過(guò)程，評(píng)估實(shí)施過(guò)程見圖1

圖1評(píng)估實(shí)施過(guò)程

評(píng)估準(zhǔn)備階段由評(píng)估機(jī)構(gòu)受理評(píng)估對(duì)象的評(píng)估申請(qǐng)，確定評(píng)估小組成員，并進(jìn)行評(píng)估策劃，通過(guò)對(duì)評(píng)

估對(duì)象進(jìn)行資料收集與解讀，了解評(píng)估對(duì)象的基本情況，如評(píng)估對(duì)象的組織架構(gòu)、評(píng)估對(duì)象的數(shù)據(jù)安全理

系統(tǒng)清單、數(shù)據(jù)安全治理制度清單、數(shù)據(jù)安全治理的工具使用情況、數(shù)據(jù)治理部門職責(zé)和人員角色等。

評(píng)估執(zhí)行階段由評(píng)估小組進(jìn)入評(píng)估對(duì)象現(xiàn)場(chǎng)進(jìn)行正式評(píng)估，由評(píng)估對(duì)象安排相關(guān)工作人員按照評(píng)估等

級(jí)要求逐項(xiàng)展示相關(guān)資料?，供評(píng)估小組成員審閱及詢問(wèn)。

3

T/ISC-0011-2021

評(píng)估審核階段由評(píng)審專家通過(guò)評(píng)審會(huì)的形式對(duì)評(píng)估報(bào)告的編制進(jìn)行審核，以最終確定評(píng)估等級(jí)，并進(jìn)

行評(píng)估的等級(jí)證書發(fā)放。

5數(shù)據(jù)安全店能力總體要求

數(shù)據(jù)安全治理能力包括數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)全生命周期安全、基礎(chǔ)安全三部分，見圖2所示。

數(shù)據(jù)安全戰(zhàn)略能力包括：數(shù)據(jù)安全規(guī)劃、機(jī)構(gòu)人員管理。

數(shù)據(jù)全生命周期安全能力包括：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)使用安全、數(shù)據(jù)

共享安全、數(shù)據(jù)銷毀安全。

基礎(chǔ)安全能力包括：數(shù)據(jù)分類分級(jí)、合規(guī)管理、合作方管理、監(jiān)控審計(jì)、鑒別與訪問(wèn)、風(fēng)險(xiǎn)和需求分

6評(píng)估等級(jí)

數(shù)據(jù)安全治理能力評(píng)估等級(jí)將從組織建設(shè)的完備程度、制度流程覆蓋面、技術(shù)工具支撐力度、人員能

力培養(yǎng)四個(gè)維度劃分為三級(jí)，分別是基礎(chǔ)級(jí)、優(yōu)秀級(jí)、先進(jìn)級(jí)，每個(gè)后一級(jí)的標(biāo)準(zhǔn)均是在前一級(jí)基礎(chǔ)上的

加強(qiáng)。

6.1第一級(jí)：基礎(chǔ)級(jí)

數(shù)據(jù)安全治理能力主要是體現(xiàn)在離散的項(xiàng)目中，建立了基本的管理流程和初步的體系，具體特征如下：

a）一般由各業(yè)務(wù)團(tuán)隊(duì)人員負(fù)責(zé)數(shù)據(jù)安全相關(guān)工作；

b）制定了初步的數(shù)據(jù)安全制度規(guī)范和管理流程，以保障組織核心業(yè)務(wù)的安全執(zhí)行及故障恢復(fù)，并能

基本滿足監(jiān)管要求；

c）嘗試采用技術(shù)手段和產(chǎn)品工具落實(shí)安全要求，但對(duì)業(yè)務(wù)和數(shù)據(jù)全生命周期的覆蓋范圍及支撐能力

有限;

d）開始關(guān)注組織內(nèi)人員的數(shù)據(jù)安全意識(shí)，進(jìn)行定期培訓(xùn)。

6.2第二級(jí)：優(yōu)秀級(jí)

4

T/ISC-0011-2021

數(shù)據(jù)安全治理能力體現(xiàn)在組織層面，具備完善的標(biāo)準(zhǔn)化管理機(jī)制，能夠促進(jìn)數(shù)據(jù)安全的規(guī)范化落地，

具體特征如下：

a）設(shè)立了專門的數(shù)據(jù)安全管理部門、崗位、人員，主要負(fù)責(zé)制定實(shí)施組織的數(shù)據(jù)安全戰(zhàn)略規(guī)劃、數(shù)

據(jù)安全制度流程，以覆蓋數(shù)據(jù)全生命周期相關(guān)的業(yè)務(wù)、系統(tǒng)和應(yīng)用；

b）具備完善的數(shù)據(jù)安全管理制度和流程，以保障組織全部業(yè)務(wù)的安全執(zhí)行及故障恢復(fù)，并能完全滿

足監(jiān)管要求；

c）具備較強(qiáng)的技術(shù)能力，積累了大量的技術(shù)手段和產(chǎn)品工具，對(duì)數(shù)據(jù)全生命周期的安全過(guò)程和組織

內(nèi)全業(yè)務(wù)流程的開展進(jìn)行有效支撐；

d）對(duì)組織內(nèi)部人員的安全意識(shí)和安全能力制定了相應(yīng)的培訓(xùn)及考核機(jī)制，注重組織內(nèi)部數(shù)據(jù)安全的

人才培養(yǎng)。

6.3第三級(jí)：先進(jìn)級(jí)

數(shù)據(jù)安全治理能力體現(xiàn)在擁有完善的數(shù)據(jù)安全治理能力量化評(píng)估體系和持續(xù)優(yōu)化策略，具體特征如下:

a）建立了統(tǒng)一的技術(shù)工具，能夠?yàn)榻M織的數(shù)據(jù)安全治理提供支撐；

b）建立了可量化的評(píng)估指標(biāo)體系，能夠準(zhǔn)確評(píng)估數(shù)據(jù)安全的治理效果，并根據(jù)評(píng)估結(jié)果及時(shí)對(duì)組織

建設(shè)情況進(jìn)行調(diào)整優(yōu)化；

c）當(dāng)監(jiān)管要求、組織架構(gòu)、業(yè)務(wù)需求等發(fā)生變化時(shí)，能夠及時(shí)調(diào)整相應(yīng)的數(shù)據(jù)安全策略及規(guī)范。

7數(shù)據(jù)安全戰(zhàn)略

7.1數(shù)據(jù)安全規(guī)劃

7.1.1雌

根據(jù)數(shù)據(jù)安全風(fēng)險(xiǎn)狀況建立組織整體數(shù)據(jù)安全規(guī)劃，數(shù)據(jù)安全規(guī)劃的內(nèi)容應(yīng)覆蓋數(shù)據(jù)全生命周期的安

全風(fēng)險(xiǎn)管控。

7.1.2等級(jí)要求

7.1.2.1基礎(chǔ)級(jí)

從組織建設(shè)、制度流程方面進(jìn)行要求。

a）組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)核心業(yè)務(wù)的數(shù)據(jù)安全規(guī)劃，推進(jìn)規(guī)劃的開展實(shí)施。

b）制度流程：應(yīng)對(duì)核心業(yè)務(wù)進(jìn)行數(shù)據(jù)安全規(guī)劃，明確基本的合規(guī)要求。

7.1.2.2優(yōu)秀級(jí)

在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。

a）組織建設(shè)：應(yīng)設(shè)置組織層面的數(shù)據(jù)安全管理部門、崗位和人員，負(fù)責(zé)協(xié)調(diào)安全管理、技術(shù)工具、

推進(jìn)規(guī)劃開展執(zhí)行。

b）制度流程：

1）應(yīng)明確符合組織數(shù)據(jù)戰(zhàn)略規(guī)劃的數(shù)據(jù)安全戰(zhàn)略，明確安全方針、安全目標(biāo)和安全原則，其中

方針和策略應(yīng)明確對(duì)組織的價(jià)值和意義、應(yīng)以數(shù)據(jù)為核心圍繞數(shù)據(jù)工作；

2）應(yīng)明確數(shù)據(jù)安全規(guī)劃活動(dòng)的執(zhí)行頻率、審核機(jī)制及發(fā)布流程等；

3）應(yīng)制定數(shù)據(jù)保護(hù)計(jì)劃，明確需要執(zhí)行的活動(dòng)、所需資源、支持崗位、時(shí)間安排和實(shí)施步驟。

c）技術(shù)工具：應(yīng)建立數(shù)據(jù)安全規(guī)劃分發(fā)及管理平臺(tái)在組織內(nèi)部對(duì)數(shù)據(jù)安全規(guī)劃進(jìn)行推廣。

5

T/ISC-0011-2021

d）人員能力：

1）應(yīng)了解組織的業(yè)務(wù)發(fā)展目標(biāo)，能夠?qū)?shù)據(jù)安全工作的目標(biāo)和業(yè)務(wù)發(fā)展的目標(biāo)進(jìn)行有機(jī)結(jié)合；

2）應(yīng)具備資源統(tǒng)籌協(xié)調(diào)能力，定期開展宣貫工作在組織內(nèi)推進(jìn)計(jì)劃實(shí)施；

3）應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。

7.1.2.3先進(jìn)級(jí)

在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。

a）制度流程：

1）應(yīng)在組織架構(gòu)發(fā)生重大調(diào)整或數(shù)據(jù)服務(wù)業(yè)務(wù)發(fā)生重大變化時(shí)，及時(shí)評(píng)估數(shù)據(jù)安全制度與規(guī)程

的實(shí)施效果，并將效果反應(yīng)到安全制度和規(guī)程文件的修訂過(guò)程中；

2）應(yīng)對(duì)數(shù)據(jù)安全制度和規(guī)程進(jìn)行體系化的評(píng)估，制定數(shù)據(jù)安全治理能力提升計(jì)劃；

3）應(yīng)對(duì)數(shù)據(jù)安全戰(zhàn)略規(guī)劃進(jìn)行評(píng)估，確保數(shù)據(jù)安全總體策略、安全目標(biāo)和戰(zhàn)略規(guī)劃內(nèi)容的合規(guī)

性。

b）技術(shù)工具：應(yīng)建立數(shù)據(jù)安全規(guī)劃動(dòng)態(tài)調(diào)整機(jī)制，通過(guò)信息化系統(tǒng)執(zhí)行對(duì)數(shù)據(jù)安全規(guī)劃的動(dòng)態(tài)管理。

7.1.3評(píng)估方法

7.1.3.1基礎(chǔ)級(jí)

根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程方面進(jìn)行查驗(yàn)。

a）查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)安全規(guī)劃的崗位和人員。

b）查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)安全規(guī)劃相關(guān)制度文件：

1）查驗(yàn)該文件是否明確了相關(guān)數(shù)據(jù)全生命周期的數(shù)據(jù)安全策略；

2）查驗(yàn)該文件是否定義了合規(guī)要求。

7.1.3.2優(yōu)秀級(jí)

根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。

a）查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)安全安全規(guī)劃的部門、崗位和人員，并規(guī)定了職責(zé)范圍。

b）查驗(yàn)是否在組織層面制定了數(shù)據(jù)安全規(guī)劃相關(guān)制度文件：

1）查驗(yàn)該文件的制定是否考慮了國(guó)家法律法規(guī)和監(jiān)管要求，以及組織的數(shù)據(jù)安全需求；

2）查驗(yàn)該文件是否制定了組織的數(shù)據(jù)安全總體策略，明確了安全方針、安全目標(biāo)和安全原則等

內(nèi)容；

3）查驗(yàn)該文件是否明確了組織的數(shù)據(jù)安全戰(zhàn)略規(guī)劃，包括各階段目標(biāo)、任務(wù)、工作重點(diǎn)，并保

障其與業(yè)務(wù)規(guī)劃相適應(yīng)；

4）查驗(yàn)該文件是否明確了數(shù)據(jù)保護(hù)機(jī)制；

5）查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)安全規(guī)劃制度的編制、評(píng)審、發(fā)布、更新流程。

c）查驗(yàn)是否在組織層面制定了數(shù)據(jù)安全管理相關(guān)制度文件：

1）查驗(yàn)該文件是否明確了數(shù)據(jù)安全管理的目的、范圍、崗位、責(zé)任、管理層承諾、內(nèi)外部協(xié)調(diào)

機(jī)制及合規(guī)目標(biāo)等；

2）查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)安全制度的分發(fā)機(jī)制；

3）查驗(yàn)該文件是否明確了數(shù)據(jù)安全制度的編制、評(píng)審、發(fā)布、更新流程；

4）由數(shù)據(jù)安全規(guī)劃組織對(duì)數(shù)據(jù)安全策略進(jìn)行統(tǒng)一規(guī)劃、發(fā)布、更新。

d）查驗(yàn)組織技術(shù)工具：

1）是否開展數(shù)據(jù)安全規(guī)劃研討會(huì)；

6

T/ISC-0011-2021

2）是否具備數(shù)據(jù)安全規(guī)劃推廣平臺(tái)，且能正常運(yùn)行。

e）驗(yàn)證組織的人員能力：通過(guò)訪談、查驗(yàn)培訓(xùn)記錄、查驗(yàn)考試記錄或查驗(yàn)相關(guān)人員制定的解決方案

等方式，驗(yàn)證組織的人員具備相應(yīng)的能力。

7.1.3.3先進(jìn)級(jí)

根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。

a）查驗(yàn)組織是否明確了數(shù)據(jù)安全管理制度、規(guī)劃效果的量化評(píng)估方式：

1）是否定義了量化評(píng)估指標(biāo)；

2）是否規(guī)定了量化評(píng)估頻率。

b）查驗(yàn)組織是否明確了數(shù)據(jù)安全規(guī)劃的優(yōu)化工作機(jī)制：

1）是否支持根據(jù)政策變化、架構(gòu)調(diào)整、業(yè)務(wù)發(fā)展等需求優(yōu)化規(guī)劃制度；

2）是否支持根據(jù)評(píng)估結(jié)果優(yōu)化管理制度。

c）查驗(yàn)組織的技術(shù)工具：是否具備安全規(guī)劃管理平臺(tái)，動(dòng)態(tài)調(diào)整機(jī)制，通過(guò)信息化對(duì)于數(shù)據(jù)安全規(guī)

劃進(jìn)行動(dòng)態(tài)管理。

7.2機(jī)構(gòu)人員管理

7.2.1概述

建立負(fù)責(zé)組織內(nèi)部數(shù)據(jù)安全工作的部門、崗位和人員，并與人力資源管理部門進(jìn)行聯(lián)動(dòng)，防范機(jī)構(gòu)人

員管理過(guò)程中存在的數(shù)據(jù)安全風(fēng)險(xiǎn)。

7.2.2等級(jí)要求

7.2.2.1基礎(chǔ)級(jí)

從組織建設(shè)、制度流程、人員能力方面進(jìn)行要求。

a）組織建設(shè)：應(yīng)設(shè)置具有數(shù)據(jù)安全職能的崗位和人員，以實(shí)現(xiàn)對(duì)關(guān)鍵業(yè)務(wù)環(huán)節(jié)數(shù)據(jù)安全風(fēng)險(xiǎn)的有效

管理。

b）制度流程：

1）應(yīng)明確核心業(yè)務(wù)數(shù)據(jù)安全違規(guī)的紀(jì)律處理制度；

2）應(yīng)對(duì)核心業(yè)務(wù)崗位候選者從法律法規(guī)、行業(yè)道德準(zhǔn)則等層面執(zhí)行背景調(diào)查；

3）應(yīng)明確核心業(yè)務(wù)數(shù)據(jù)安全崗位的職責(zé)；

4）應(yīng)明確核心業(yè)務(wù)數(shù)據(jù)安全培訓(xùn)計(jì)劃，并按計(jì)劃對(duì)相關(guān)人員開展數(shù)據(jù)安全培訓(xùn)；

5）應(yīng)與所有涉及數(shù)據(jù)服務(wù)的人員簽訂安全責(zé)任協(xié)議和保密協(xié)議。

c）人員能力：

1）應(yīng)能夠充分了解目前數(shù)據(jù)安全在組織整體業(yè)務(wù)目標(biāo)中的定位；

2）應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。

7.2.2.2優(yōu)秀級(jí)

在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。

a）組織建設(shè)：

1）應(yīng)明確組織層面負(fù)責(zé)數(shù)據(jù)安全管理的部門、崗位和人員，具備數(shù)據(jù)安全管理責(zé)任體系，并指

定機(jī)構(gòu)最高管理者或授權(quán)代表?yè)?dān)任責(zé)任人，明確其責(zé)任與權(quán)力；

2）應(yīng)建立組織的監(jiān)督管理職能部門，負(fù)責(zé)對(duì)組織內(nèi)部的數(shù)據(jù)操作行為進(jìn)行監(jiān)督；

7

T/ISC-0011-2021

3）應(yīng)制定組織的數(shù)據(jù)安全規(guī)劃、安全建設(shè)、安全運(yùn)營(yíng)和系統(tǒng)維護(hù)工作的責(zé)任部門；

4）應(yīng)明確組織層面擔(dān)任機(jī)構(gòu)人員數(shù)據(jù)安全培訓(xùn)職責(zé)的崗位和人員，負(fù)責(zé)對(duì)數(shù)據(jù)安全培訓(xùn)需求的

分析及落地方案的制定和推進(jìn)。

b）制度流程：

1）應(yīng)明確數(shù)據(jù)安全崗位和人員的要求，明確其工作職責(zé)，以及職能部門之間的協(xié)作關(guān)系和配合

機(jī)制；

2）應(yīng)明確數(shù)據(jù)安全追責(zé)機(jī)制，定期對(duì)責(zé)任部門和安全崗位組織安全檢查，形成檢查報(bào)告；

3）應(yīng)明確數(shù)據(jù)服務(wù)人力資源安全策略，明確不同崗位人員在數(shù)據(jù)生命周期各階段相關(guān)的工作范

疇和安全管控措施；

4）應(yīng)明確組織層面的數(shù)據(jù)服務(wù)人員招聘、錄用、上崗、調(diào)崗、離崗、考核、選拔等人員安全管

理制度；

5）應(yīng)明確數(shù)據(jù)服務(wù)涉敏崗位的權(quán)限分離、多人共管等安全管理要求；

6）應(yīng)根據(jù)組織內(nèi)部員工的崗位職責(zé)，制定相應(yīng)的數(shù)據(jù)安全培訓(xùn)計(jì)劃，按計(jì)劃定期對(duì)員工開展數(shù)

據(jù)安全培訓(xùn)。

c）技術(shù)工具：

1）應(yīng)及時(shí)終止或變更離崗和轉(zhuǎn)崗員工的數(shù)據(jù)操作權(quán)限，并及時(shí)將人員的變更通知到相關(guān)方；

2）員工入職時(shí)應(yīng)按最小必要原則分配初始權(quán)限；

3）應(yīng)以公開信息且可查詢的形式，面向組織全員公布數(shù)據(jù)安全職能部門的組織架構(gòu)。

d）人員能力：

1）負(fù)責(zé)機(jī)構(gòu)人員管理的員工應(yīng)充分理解人力資源管理流程中可對(duì)安全風(fēng)險(xiǎn)進(jìn)行把控的環(huán)節(jié)；

2）應(yīng)開展針對(duì)員工入職過(guò)程中的數(shù)據(jù)安全教育，通過(guò)培訓(xùn)、考試等手段提升其整體的數(shù)據(jù)安全

意識(shí)，形成組織的數(shù)據(jù)安全保護(hù)文化；

3）負(fù)責(zé)設(shè)置數(shù)據(jù)安全職能的人員應(yīng)能夠明確組織的數(shù)據(jù)安全工作目標(biāo)及組織的戰(zhàn)略發(fā)展方向。

7.2.2.3先進(jìn)級(jí)

在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。

a）組織建設(shè)：

1）應(yīng)根據(jù)職責(zé)分離原則設(shè)置數(shù)據(jù)安全管理的崗位和人員；

2）應(yīng)建立覆蓋各業(yè)務(wù)部門的體系化的數(shù)據(jù)安全管理部門，且配備必要的管理人員和技術(shù)人員；

b）制度流程：

1）應(yīng)明確重要崗位人員安全能力要求，并確定其培訓(xùn)技能考核內(nèi)容與考核指標(biāo)，定期對(duì)重要崗

位人員進(jìn)行審查和能力考核；

2）應(yīng)定期對(duì)數(shù)據(jù)安全培訓(xùn)內(nèi)容、計(jì)劃審核更新，對(duì)數(shù)據(jù)安全培訓(xùn)效果進(jìn)行量化評(píng)估；

3）應(yīng)定期對(duì)機(jī)構(gòu)人員的管理效果進(jìn)行量化評(píng)估；

4）應(yīng)對(duì)數(shù)據(jù)安全職能的運(yùn)行效果以量化指標(biāo)的形式進(jìn)行定期衡量，并出具相關(guān)報(bào)告持續(xù)改進(jìn)數(shù)

據(jù)安全計(jì)劃；

5）應(yīng)定期評(píng)估在當(dāng)前組織職能架構(gòu)下，數(shù)據(jù)安全職能崗位與業(yè)務(wù)職能崗位之間的關(guān)系是否平衡,

是否能夠保證安全需求在業(yè)務(wù)中的推廣。

c）技術(shù)工具：應(yīng)建立人員數(shù)據(jù)安全意識(shí)或能力的客觀評(píng)價(jià)工具，定期更新反饋結(jié)果。

b）人員能力：

1）應(yīng)具備較強(qiáng)的數(shù)據(jù)安全保護(hù)意識(shí)，形成組織的數(shù)據(jù)安全保護(hù)品牌；

2）負(fù)責(zé)組織和人員管理的人員應(yīng)定期反饋數(shù)據(jù)安全培訓(xùn)和考核情況，及時(shí)和數(shù)據(jù)安全管理部門

8

T/ISC-0011-2021

有關(guān)領(lǐng)導(dǎo)匯報(bào)。

7.2.3評(píng)估方法

7.2.3.1基礎(chǔ)級(jí)

根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、人員能力方面進(jìn)行查驗(yàn)。

a）查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)數(shù)據(jù)安全管理的崗位和人員，及其職責(zé)范圍。

b）查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)安全管理辦法。

c）查驗(yàn)是否制定了數(shù)據(jù)安全管理人員的培訓(xùn)計(jì)劃。

d）查驗(yàn)組織是否明確了針對(duì)數(shù)據(jù)安全違規(guī)的處理制度。

e）查驗(yàn)組織是否簽訂了數(shù)據(jù)安全泄露相關(guān)的保密協(xié)議。

f）驗(yàn)證組織的人員能力：通過(guò)培訓(xùn)記錄、考試記錄，驗(yàn)證組織的人員能力。

7.2.3.2優(yōu)秀級(jí)

根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。

a）查驗(yàn)是否在組織層面設(shè)立了數(shù)據(jù)安全管理責(zé)任部門、崗位及領(lǐng)導(dǎo)人員，明確規(guī)定了其職責(zé)范圍。

b）查驗(yàn)組織是否在各部門配備了數(shù)據(jù)安全崗位和人員，具體執(zhí)行落實(shí)部門內(nèi)數(shù)據(jù)安全工作。

c）查驗(yàn)組織是否建立了數(shù)據(jù)安全責(zé)任體系，包括安全規(guī)劃、建設(shè)、運(yùn)營(yíng)等在內(nèi)的各責(zé)任部門。

d）查驗(yàn)是否建立組織層面的數(shù)據(jù)安全治理績(jī)效評(píng)價(jià)體系，對(duì)數(shù)據(jù)安全崗位人員的履職情況制定績(jī)效

考核方法。

e）查驗(yàn)組織是否制定了團(tuán)隊(duì)培訓(xùn)、能力提升計(jì)劃，通過(guò)引入內(nèi)部、外部資源定期開展人員培訓(xùn)，提

升團(tuán)隊(duì)人員的數(shù)據(jù)安全治理技能。

f）查驗(yàn)組織是否設(shè)立了數(shù)據(jù)安全的監(jiān)督部門，該部門負(fù)責(zé)對(duì)于組織內(nèi)部數(shù)據(jù)安全操作行為進(jìn)行監(jiān)督。

g）查驗(yàn)組織的技術(shù)工具：

1）是否支持人員流動(dòng)與數(shù)據(jù)操作權(quán)限的聯(lián)動(dòng)管理；

2）是否實(shí)現(xiàn)了安全規(guī)劃的公開查詢。

h）驗(yàn)證組織的人員能力：通過(guò)訪談、查驗(yàn)培訓(xùn)記錄、查驗(yàn)考試記錄或查驗(yàn)相關(guān)人員制定的解決方案

等方式，驗(yàn)證組織的人員具備相應(yīng)的能力。

7.2.3.3先進(jìn)級(jí)

根據(jù)先進(jìn)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。

a）查驗(yàn)組織是否支持職責(zé)分離的數(shù)據(jù)安全管理崗位和人員設(shè)置。

b）查驗(yàn)組織是否明確了人員管理效果的量化評(píng)估方式：

1）是否定義了量化評(píng)估指標(biāo)；

2）是否規(guī)定了量化評(píng)估頻率。

c）查驗(yàn)組織是否明確了數(shù)據(jù)安全培訓(xùn)效果的量化評(píng)估方式：

1）是否定義了量化評(píng)估指標(biāo)；

2）是否規(guī)定了量化評(píng)估頻率。

d）查驗(yàn)組織是否明確了人員管理的優(yōu)化工作機(jī)制：

1）是否支持人員能力的定期考核；

2）是否支持根據(jù)評(píng)估結(jié)果優(yōu)化培訓(xùn)、考核等管理制度；

e）查驗(yàn)組織的技術(shù)工具：是否具備對(duì)人員數(shù)據(jù)安全意識(shí)或能力進(jìn)行客觀評(píng)價(jià)的工具。

f）查驗(yàn)組織的人員能力：是否具備完善的人才培養(yǎng)體系。

9

T/ISC-0011-2021

8數(shù)據(jù)全生命周期安全

8.1數(shù)據(jù)采集安全

8.1.1儂

在直接采集或間接收集外部數(shù)據(jù)的過(guò)程中，組織應(yīng)明確采集數(shù)據(jù)目的和用途的真實(shí)性、有效性，滿足

采集最小必要等原則要求，并明確數(shù)據(jù)采集渠道、規(guī)范數(shù)據(jù)采集格式以及相關(guān)的流程，從而保證數(shù)據(jù)采集

的合法性、合規(guī)性、正當(dāng)性。

8.1.2等級(jí)要求

8.1.2.1基礎(chǔ)級(jí)

從組織建設(shè)、制度流程方面進(jìn)行要求。

a）組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)數(shù)據(jù)采集安全的管理，配合推動(dòng)相關(guān)要求的執(zhí)行。

b）制度流程：

1）應(yīng)定義核心業(yè)務(wù)的數(shù)據(jù)采集規(guī)則，如采集原則、采集渠道等，以保證該業(yè)務(wù)數(shù)據(jù)采集的合法、

正當(dāng)；

2）應(yīng)明確核心業(yè)務(wù)的數(shù)據(jù)采集合規(guī)性評(píng)估工作機(jī)制；

3）核心業(yè)務(wù)應(yīng)明確個(gè)人信息采集的目的、方式、范圍、保存期限，當(dāng)涉及個(gè)人敏感信息時(shí)，應(yīng)

明確采集的必要性及對(duì)個(gè)人的影響。

4）應(yīng)明確個(gè)人信息的采集需要用戶授權(quán)同意。

5）應(yīng)明確當(dāng)已知采集的個(gè)人信息為不滿十四周歲未成年人個(gè)人信息時(shí)的采集規(guī)范，并應(yīng)取得監(jiān)

護(hù)人同意。

8.1.2.2優(yōu)秀級(jí)

在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。

a）組織建設(shè)：應(yīng)設(shè)立相關(guān)部門、崗位和人員，負(fù)責(zé)統(tǒng)一制定相關(guān)的數(shù)據(jù)采集安全管理的制度，配合

推動(dòng)相關(guān)要求的執(zhí)行。

b）制度流程：

1）應(yīng)明確數(shù)據(jù)采集安全管理要求，包括組織采集數(shù)據(jù)時(shí)的原則，定義業(yè)務(wù)數(shù)據(jù)的直接或間接采

集流程和方法；

2）應(yīng)明確外部數(shù)據(jù)源已獲得的個(gè)人信息處理的授權(quán)同意范圍，包括使用目的、采集范圍、個(gè)人

信息主體是否授權(quán)同意共享等；

3）應(yīng)規(guī)定數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源鑒定方式，并對(duì)采集來(lái)源方式、數(shù)據(jù)范圍和類型進(jìn)行記

錄，確保不收集與提供服務(wù)無(wú)關(guān)的個(gè)人信息；

4）應(yīng)規(guī)定數(shù)據(jù)采集過(guò)程中個(gè)人信息的知悉范圍和需要采取的控制措施，確保采集過(guò)程中的個(gè)人

信息不被泄漏，尤其是個(gè)人敏感信息。

5）應(yīng)規(guī)定當(dāng)用戶注銷賬戶時(shí)，不得設(shè)置過(guò)多不合理的注銷條件。

c）技術(shù)工具：

1）應(yīng)建立數(shù)據(jù)采集工具，具備詳細(xì)的日志記錄功能，保障數(shù)據(jù)采集授權(quán)過(guò)程的完整記錄；

2）應(yīng)采取相應(yīng)的技術(shù)手段，保證數(shù)據(jù)采集過(guò)程中個(gè)人信息不被泄漏。

d）人員能力：

1）應(yīng)能充分理解數(shù)據(jù)采集的法律要求、安全和業(yè)務(wù)需求，并能根據(jù)組織的業(yè)務(wù)提出針對(duì)性的解

10

T/ISC-0011-2021

決方案，能就具體業(yè)務(wù)場(chǎng)景開展評(píng)估；

2）應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。

8.1.2.3先進(jìn)級(jí)

在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。

a）制度流程：

1）應(yīng)規(guī)定數(shù)據(jù)采集安全管理效果的量化評(píng)估方式；

2）應(yīng)規(guī)定相關(guān)流程確保對(duì)行業(yè)新技術(shù)、最佳實(shí)踐、法律法規(guī)要求、行業(yè)標(biāo)準(zhǔn)等合規(guī)要求新變化

的持續(xù)跟蹤，并及時(shí)修正數(shù)據(jù)采集安全管理工作。

b）技術(shù)工具：

1）應(yīng)根據(jù)制度流程的更新，不斷升級(jí)優(yōu)化數(shù)據(jù)采集工具；

2）應(yīng)基于合規(guī)評(píng)估的數(shù)據(jù)采集策略（如原則、頻度、范圍等），實(shí)現(xiàn)數(shù)據(jù)合規(guī)性監(jiān)控與告警；

3）應(yīng)具備對(duì)采集工具進(jìn)行統(tǒng)一管理的平臺(tái)。

8.1.3評(píng)估方法

8.1.3.1基礎(chǔ)級(jí)

根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程方面進(jìn)行查驗(yàn)。

a）查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)采集安全管理的崗位和人員。

b）查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)采集安全相關(guān)制度文件：

1）查驗(yàn)該文件是否明確規(guī)定了數(shù)據(jù)采集原則、采集渠道、采集流程、采集方式、采集頻度、采

集類型、采集范圍、采集數(shù)據(jù)格式及停止采集等要求；

2）查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)采集的合規(guī)性評(píng)估流程；

3）查驗(yàn)該文件是否明確了個(gè)人信息采集，尤其是個(gè)人敏感信息采集的目的、方式、范圍、保存

時(shí)限、到處理方式等。

4）查驗(yàn)該文件是否規(guī)定了個(gè)人敏感信息的采集應(yīng)明確必要性及對(duì)個(gè)人的影響

5）查驗(yàn)該文件是否明確了未滿十四周歲未成年人的個(gè)人信息采集規(guī)范，及監(jiān)護(hù)人的授權(quán)同意。

c）查驗(yàn)該業(yè)務(wù)的隱私政策文件及用戶協(xié)議：

1）是否符合國(guó)家法律法規(guī)和監(jiān)管要求；

2）查驗(yàn)該文件是否明確了個(gè)人信息采集，尤其是個(gè)人敏感信息采集的目的、方式、范圍、保存

時(shí)限、到處理方式等。

3）查驗(yàn)該文件是否規(guī)定了個(gè)人敏感信息的采集應(yīng)明確必要性及對(duì)個(gè)人的影響。

4）查驗(yàn)該文件是否明確了未滿十四周歲未成年人的個(gè)人信息采集規(guī)范，及監(jiān)護(hù)人的授權(quán)同意。

8.1.3.2優(yōu)秀級(jí)

根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。

a）查驗(yàn)組織是否設(shè)立了負(fù)責(zé)數(shù)據(jù)采集安全管理的部門、崗位、人員。

b）查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)采集安全相關(guān)制度文件：

1）查驗(yàn)該文件是否覆蓋了組織內(nèi)涉及采集活動(dòng)的全部業(yè)務(wù)；

2）查驗(yàn)該文件是否對(duì)直接和間接采集進(jìn)行區(qū)分管理；

3）查驗(yàn)該文件是否明確規(guī)定了數(shù)據(jù)采集原則、采集渠道、采集流程、采集方式、采集頻度、采

集類型、采集范圍、采集數(shù)據(jù)格式及停止采集等要求；

4）查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)采集的合規(guī)性評(píng)估流程。

11

T/ISC-0011-2021

c）查驗(yàn)組織隱私政策文件及用戶協(xié)議：

5）是否符合國(guó)家法律法規(guī)和監(jiān)管要求；

6）是否明確了個(gè)人信息采集，尤其是個(gè)人敏感信息采集的目的、用途、范圍、保存時(shí)限、到期

處理方式等；

7）是否規(guī)定了涉及個(gè)人信息采集授權(quán)同意及合規(guī)性評(píng)估流程；

8）是否規(guī)定了個(gè)人信息采集過(guò)程中防泄漏措施；

9）是否規(guī)定了用戶提出終止服務(wù)時(shí)的停止采集要求。

d）查驗(yàn)組織的技術(shù)工具：

1）是否支持?jǐn)?shù)據(jù)采集過(guò)程的自動(dòng)化實(shí)現(xiàn)及日志記錄；

2）是否實(shí)現(xiàn)了對(duì)采集環(huán)境，如采集設(shè)備、采集接口等的安全管控，防止數(shù)據(jù)泄露；

3）是否采用了有效的防護(hù)手段，保障用戶個(gè)人信息采集的安全性。

e）驗(yàn)證組織的人員能力：通過(guò)訪談、查驗(yàn)培訓(xùn)記錄、查驗(yàn)考試記錄或查驗(yàn)相關(guān)人員制定的解決方案

等方式，驗(yàn)證組織的人員具備相應(yīng)的能力。

8.1.3.3先進(jìn)級(jí)

根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。

a）查驗(yàn)組織是否明確了數(shù)據(jù)采集安全管理效果的量化評(píng)估方式：

1）是否定義了量化評(píng)估指標(biāo)；

2）是否規(guī)定了量化評(píng)估頻率。

b）查驗(yàn)組織是否明確了數(shù)據(jù)采集安全的優(yōu)化工作機(jī)制：

1）是否支持根據(jù)政策變化、業(yè)務(wù)發(fā)展等需求優(yōu)化管理制度；

2）是否支持根據(jù)評(píng)估結(jié)果優(yōu)化管理制度。

c）驗(yàn)證組織的技術(shù)工具：

1）是否定期對(duì)采集工具進(jìn)行安全測(cè)試、適用性評(píng)估、合規(guī)性評(píng)估等；

2）是否支持?jǐn)?shù)據(jù)合規(guī)性的監(jiān)控與告警：

3）是否具備統(tǒng)一的數(shù)據(jù)采集工具管理平臺(tái)。

8.2數(shù)據(jù)傳輸安全

8.2.1概述

根據(jù)組織對(duì)內(nèi)和對(duì)外的數(shù)據(jù)傳輸需求，建立不同的數(shù)據(jù)加密保護(hù)策略和安全防護(hù)措施，防止傳輸過(guò)程

中的數(shù)據(jù)泄漏。

8.2.2等級(jí)要求

8.2.2.1基礎(chǔ)級(jí)

從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行要求。

a）組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)數(shù)據(jù)傳輸安全的管理，配合推動(dòng)相關(guān)要求的執(zhí)行。

b）制度流程：應(yīng)根據(jù)合規(guī)要求和業(yè)務(wù)性能的需求，明確核心業(yè)務(wù)中需要加密傳輸?shù)臄?shù)據(jù)范圍和加密

算法。

c）技術(shù)工具：

1）應(yīng)實(shí)現(xiàn)對(duì)傳輸通道兩端的主體身份鑒別和認(rèn)證；

2）應(yīng)建立傳輸數(shù)據(jù)加密的技術(shù)方案和工具，包括針對(duì)關(guān)鍵的數(shù)據(jù)傳輸通道的加密方案（如采用

12

T/ISC-0011-2021

TLS/SSL方式），及對(duì)傳輸數(shù)據(jù)內(nèi)容進(jìn)行加密等；

3）傳輸個(gè)人敏感信息時(shí)，應(yīng)實(shí)施加密技術(shù)進(jìn)行保護(hù)。

8.2.2.2優(yōu)秀級(jí)

在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。

a）組織建設(shè)：應(yīng)設(shè)置相關(guān)部門、崗位和人員，負(fù)責(zé)數(shù)據(jù)傳輸安全的解決方案制定，配合推動(dòng)相關(guān)要

求的執(zhí)行。

b）制度流程：

1）在數(shù)據(jù)分類分級(jí)定義的基礎(chǔ)上制定數(shù)據(jù)傳輸安全管理規(guī)范，明確各業(yè)務(wù)場(chǎng)景下的數(shù)據(jù)傳輸安

全要求（如傳輸通道加密、數(shù)據(jù)內(nèi)容加密、簽名驗(yàn)簽、身份鑒別、數(shù)據(jù)傳輸接口安全等）；

2）應(yīng)明確境內(nèi)或跨境傳輸個(gè)人信息，尤其是個(gè)人敏感信息時(shí)的安全管理規(guī)范；

3）應(yīng)建立數(shù)據(jù)傳輸接口安全管理工作規(guī)范，包括安全域內(nèi)、安全域間等數(shù)據(jù)傳輸接口規(guī)范；

4）應(yīng)建立對(duì)數(shù)據(jù)傳輸安全策略變更進(jìn)行審核和監(jiān)控的制度。

c）技術(shù)工具

1）應(yīng)提供滿足數(shù)據(jù)傳輸安全策略相應(yīng)的安全控制技術(shù)方案，包括安全通道、可信通道、數(shù)據(jù)加

密等；

2）應(yīng)提供對(duì)數(shù)據(jù)傳輸安全策略的變更進(jìn)行審核和監(jiān)控的技術(shù)方案和工具；

3）應(yīng)部署對(duì)通道安全配置、密碼算法配置等保護(hù)措施進(jìn)行審核及監(jiān)控的技術(shù)工具。

4）應(yīng)提供對(duì)數(shù)據(jù)傳輸接口的審核及監(jiān)控手段。

d）人員能力：

1）應(yīng)了解市場(chǎng)上主流的安全通道和可信通道建立方案、身份鑒別和認(rèn)證技術(shù)、數(shù)據(jù)加密算法和

國(guó)家推薦的數(shù)據(jù)加密算法，從而能夠基于具體的業(yè)務(wù)場(chǎng)景選擇合適的數(shù)據(jù)傳輸安全管理方式,

并具備針對(duì)數(shù)據(jù)傳輸安全管理要求在實(shí)際業(yè)務(wù)場(chǎng)景中制定解決方案的能力；

2）應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，考核人員能力與崗位的匹配程度。

8.22.3先進(jìn)級(jí)

在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。

a）制度流程：

1）應(yīng)規(guī)定數(shù)據(jù)傳輸安全效果的量化評(píng)估方式；

2）應(yīng)規(guī)定根據(jù)政策變化和業(yè)務(wù)需求等對(duì)數(shù)據(jù)傳輸制度進(jìn)行優(yōu)化的機(jī)制；

3）應(yīng)制定密鑰管理規(guī)范，對(duì)不同場(chǎng)景的密鑰使用，明確全生命周期的安全管理措施。

b）技術(shù)工具：

1）應(yīng)能夠綜合量化敏感數(shù)據(jù)加密和數(shù)據(jù)傳輸通道加密的實(shí)現(xiàn)效果和成本，定期審核并調(diào)整數(shù)據(jù)

加密的實(shí)現(xiàn)方案；

2）應(yīng)提供數(shù)據(jù)加密模塊供開發(fā)傳輸功能的人員調(diào)用，能夠根據(jù)不同數(shù)據(jù)類型和級(jí)別進(jìn)行數(shù)據(jù)加

密處理。

3）應(yīng)提供全鏈路的數(shù)據(jù)流轉(zhuǎn)的監(jiān)控體系，能夠?qū)崟r(shí)了解數(shù)據(jù)的流向，傳輸情況。

4）應(yīng)對(duì)輸入輸出的數(shù)據(jù)進(jìn)行安全攔截，及時(shí)發(fā)現(xiàn)數(shù)據(jù)傳輸中的安全問(wèn)題，能夠自動(dòng)化應(yīng)急處理。

8.2.3評(píng)估方法

8.2.3.1基礎(chǔ)級(jí)

根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。

13

T/ISC-0011-2021

a）查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)傳輸安全管理的崗位和人員。

b）查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)傳輸安全相關(guān)制度文件：

1）查驗(yàn)該文件是否明確規(guī)定了數(shù)據(jù)傳輸?shù)募用芤蠹凹用芊桨福?/p>

2）查驗(yàn)該文件規(guī)定的加密要求及加密方案是否結(jié)合了合規(guī)要求及業(yè)務(wù)性能需求；

3）查驗(yàn)該文件是否規(guī)定了傳輸通道兩側(cè)的身份鑒別與認(rèn)證。

c）查驗(yàn)組織的技術(shù)工具：

1）是否支持對(duì)傳輸數(shù)據(jù)（尤其是個(gè)人敏感信息）、傳輸通道的加密；

2）是否支持對(duì)傳輸通道兩側(cè)的身份驗(yàn)證。

8.2.3.2優(yōu)秀級(jí)

根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。

a）查驗(yàn)組織是否設(shè)立了負(fù)責(zé)整體數(shù)據(jù)傳輸安全防護(hù)的部門、崗位和人員。

b）查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)傳輸安全相關(guān)制度文件：

1）查驗(yàn)該文件的制定是否結(jié)合了組織的數(shù)據(jù)分類分級(jí)策略，并明確提出相匹配的數(shù)據(jù)加密傳輸

要求;

2）查驗(yàn)該文件是否對(duì)組織內(nèi)、外的傳輸場(chǎng)景進(jìn)行了區(qū)分，并規(guī)定了差異化的加密措施；

3）查驗(yàn)該文件是否定義了傳輸策略變更的審批和監(jiān)控機(jī)制；

4）查驗(yàn)該文件是否明確了數(shù)據(jù)跨境傳輸?shù)墓芾硪?，尤其是個(gè)人信息的跨境傳輸，以符合國(guó)家

規(guī)定及監(jiān)管要求。

c）查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)傳輸接口安全管理規(guī)范：

1）查驗(yàn)該文件是否規(guī)定了新增接口、變更接口、廢棄接口等的處理流程；

2）查驗(yàn)該文件是否定義了傳輸流程的技術(shù)管控及安全防護(hù)措施；

3）查驗(yàn)該文件是否規(guī)定了接口梳理的工作制度；

4）查看該文件是否規(guī)定了對(duì)涉及個(gè)人信息傳輸?shù)慕涌趹?yīng)實(shí)施調(diào)用監(jiān)控制度。

d）查驗(yàn)組織的技術(shù)工具：

1）是否支持對(duì)接口調(diào)用的監(jiān)控，尤其是涉及個(gè)人信息傳輸?shù)慕涌?，包括?quán)限控制、流量監(jiān)控、

調(diào)用過(guò)載保護(hù)等；

2）是否支持接口調(diào)用的自動(dòng)化的日志記錄；

3）是否支持定期對(duì)接口權(quán)限控制等相關(guān)功能的安全評(píng)估：

4）是否支持安全通道、可信通道、加密算法等多種安全控制措施；

5）是否支持系統(tǒng)間接口的身份鑒別與認(rèn)證；

6）是否支持對(duì)傳輸通道緩存的自動(dòng)刪除；

7）是否支持對(duì)傳輸安全策略變更的審核及監(jiān)控。

e）驗(yàn)證組織的人員能力：通過(guò)訪談、查驗(yàn)培訓(xùn)記錄、查驗(yàn)考試記錄或查驗(yàn)相關(guān)人員制定的解決方案

等方式，驗(yàn)證組織的人員具備相應(yīng)的能力。

8.2.3.3先進(jìn)級(jí)

根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。

a）查驗(yàn)組織是否明確了數(shù)據(jù)傳輸安全防護(hù)效果的量化評(píng)估方式：

1）是否定義了傳輸數(shù)據(jù)、傳輸通道加密效果的量化評(píng)估指標(biāo)；

2）是否規(guī)定了傳輸數(shù)據(jù)、傳輸通道加密效果的量化評(píng)估頻率。

b）查驗(yàn)組織是否明確了根據(jù)評(píng)估結(jié)果、業(yè)務(wù)需要、監(jiān)管要求等進(jìn)行傳輸方案優(yōu)化的制度。

14

T/ISC-0011-2021

c）查驗(yàn)相關(guān)數(shù)據(jù)安全傳輸制度文件是否明確了密鑰全生命周期管理的相關(guān)要求。

d）查驗(yàn)組織的技術(shù)工具：

1）是否實(shí)現(xiàn)了分?jǐn)?shù)據(jù)類型、分重要級(jí)別的數(shù)據(jù)加密模塊；

2）是否實(shí)現(xiàn)了全鏈路的數(shù)據(jù)流轉(zhuǎn)監(jiān)控體系；

3）是否支持?jǐn)?shù)據(jù)傳輸過(guò)程的安全問(wèn)題自動(dòng)發(fā)現(xiàn)及處理。

8.3存儲(chǔ)安全

8.3.1概述

根據(jù)組織內(nèi)部數(shù)據(jù)存儲(chǔ)介質(zhì)的訪問(wèn)和使用場(chǎng)景，以及業(yè)務(wù)特性和數(shù)據(jù)存儲(chǔ)安全要求，提供有效的技術(shù)

和管理手段，防止對(duì)存儲(chǔ)介質(zhì)的不當(dāng)使用而可能引發(fā)的數(shù)據(jù)泄漏風(fēng)險(xiǎn)，實(shí)現(xiàn)對(duì)數(shù)據(jù)邏輯存儲(chǔ)、存儲(chǔ)容器等

的有效安全控制。

8.3.2等級(jí)要求

8.3.2.1基礎(chǔ)級(jí)

從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行要求。

a）組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)數(shù)據(jù)存儲(chǔ)安全工作，負(fù)責(zé)各項(xiàng)制度的推進(jìn)落實(shí).

b）制度流程：應(yīng)在核心業(yè)務(wù)建立數(shù)據(jù)存儲(chǔ)安全的制度規(guī)范，對(duì)存儲(chǔ)環(huán)境變更、存儲(chǔ)介質(zhì)、邏輯存儲(chǔ)

訪問(wèn)控制規(guī)則進(jìn)行基本約束。

c）技術(shù)工具：應(yīng)提供工具支撐存儲(chǔ)介質(zhì)及邏輯存儲(chǔ)空間的安全管理工作，提供如權(quán)限控制、存儲(chǔ)空

間的身份鑒別、邏輯訪問(wèn)控制以及運(yùn)維管理的基本能力。

8.3.2.2優(yōu)秀級(jí)

在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。

a）組織建設(shè)：應(yīng)建立體系化的存儲(chǔ)管理部門，在存儲(chǔ)介質(zhì)和邏輯存儲(chǔ)管理設(shè)置專門的安全管理崗位

和人員，遵循組織層面統(tǒng)一的安全管理原則，并執(zhí)行推進(jìn)實(shí)施。

b）制度流程：

1）應(yīng)建立存儲(chǔ)介質(zhì)及邏輯存儲(chǔ)管理遵循的安全管理制度體系，包括安全管理政策、實(shí)施細(xì)則及

指導(dǎo)方案，尤其是個(gè)人信息存儲(chǔ)相關(guān)規(guī)范；

2）應(yīng)建立存儲(chǔ)介質(zhì)及邏輯存儲(chǔ)的資產(chǎn)管理機(jī)制，對(duì)于數(shù)據(jù)存儲(chǔ)介質(zhì)及其類型進(jìn)行定義，如物理

實(shí)體介質(zhì)、虛擬存儲(chǔ)介質(zhì)等，資源應(yīng)具備資產(chǎn)標(biāo)識(shí)，并能夠識(shí)別存儲(chǔ)內(nèi)容敏感度和數(shù)據(jù)屬主；

3）應(yīng)建立存儲(chǔ)介質(zhì)的保存環(huán)境制度規(guī)范，明確存儲(chǔ)介質(zhì)引入流程、出入庫(kù)規(guī)范、保存環(huán)境要求、

以及可用性保障要求；

4）應(yīng)建立存儲(chǔ)介質(zhì)的環(huán)境變更機(jī)制、邏輯存儲(chǔ)資源的配置變更機(jī)制，對(duì)配置規(guī)則、操作流程、

發(fā)布要求、授權(quán)管理等標(biāo)準(zhǔn)進(jìn)行規(guī)范；

5）應(yīng)定義存儲(chǔ)介質(zhì)、邏輯存儲(chǔ)、存儲(chǔ)系統(tǒng)架構(gòu)的設(shè)計(jì)及安全要求。

c）技術(shù)工具：

1）應(yīng)提供邏輯存儲(chǔ)的安全配置掃描工具，并定期掃描；

2）存儲(chǔ)空間應(yīng)根據(jù)數(shù)據(jù)的保密性提供完善的加密存儲(chǔ)能力。

d）人員能力：應(yīng)熟悉存儲(chǔ)結(jié)構(gòu)，組織應(yīng)定期對(duì)人員進(jìn)行培訓(xùn)，并考核人員能力與崗位的匹配程度。

8.3.2.3先進(jìn)級(jí)

15

T/ISC-0011-2021

在優(yōu)秀級(jí)的等級(jí)要求基礎(chǔ)上，從制度流程、技術(shù)工具方面進(jìn)行強(qiáng)化。

a）制度流程：

1）應(yīng)制定數(shù)據(jù)存儲(chǔ)的操作流程手冊(cè)和配置規(guī)則，確立可遵照?qǐng)?zhí)行、有準(zhǔn)確描述的操作步驟、配

置指標(biāo)。

2）應(yīng)規(guī)定相關(guān)流程確保對(duì)行業(yè)新技術(shù)、最佳實(shí)踐、法律法規(guī)要求、行業(yè)標(biāo)準(zhǔn)等合規(guī)要求新變化

的持續(xù)跟蹤，并及時(shí)修正數(shù)據(jù)存儲(chǔ)安全管理工作。

3）應(yīng)制定數(shù)據(jù)存儲(chǔ)安全的量化評(píng)估機(jī)制，定期對(duì)存儲(chǔ)安全管理效果進(jìn)行量化評(píng)估。

b）技術(shù)工具：

1）應(yīng)提供平臺(tái)化工具支撐存儲(chǔ)介質(zhì)管理，支持存儲(chǔ)介質(zhì)的使用授權(quán)、傳遞追蹤等；

2）應(yīng)采用可擴(kuò)展的數(shù)據(jù)存儲(chǔ)架構(gòu)；

3）應(yīng)根據(jù)數(shù)據(jù)敏感度，提供不同的安全存儲(chǔ)管理能力。

4）應(yīng)提供數(shù)據(jù)審查、保護(hù)系統(tǒng)，能夠?qū)崟r(shí)發(fā)現(xiàn)敏感數(shù)據(jù)信息，保障在查詢、輸出時(shí)及時(shí)脫敏處

理。

8.3.3評(píng)估方法

8.3.3.1基礎(chǔ)級(jí)

根據(jù)基礎(chǔ)級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。

a）查驗(yàn)業(yè)務(wù)團(tuán)隊(duì)是否明確了負(fù)責(zé)本業(yè)務(wù)數(shù)據(jù)存儲(chǔ)安全的崗位和人員。

b）查驗(yàn)是否在核心業(yè)務(wù)層級(jí)制定了數(shù)據(jù)存儲(chǔ)策略相關(guān)制度文件：

1）查驗(yàn)該文件是否明確了數(shù)據(jù)安全存儲(chǔ)的配置規(guī)則；

2）查驗(yàn)該文件是否明確了存儲(chǔ)媒體的購(gòu)買、標(biāo)記、使用等安全制度。

c）查驗(yàn)組織的技術(shù)工具：是否實(shí)現(xiàn)了存儲(chǔ)系統(tǒng)的訪問(wèn)控制、身份鑒別、運(yùn)維管理等。

8.3.3.2優(yōu)秀級(jí)

根據(jù)優(yōu)秀級(jí)要求，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行查驗(yàn)。

a）查驗(yàn)組織是否設(shè)立了整體負(fù)責(zé)數(shù)據(jù)存儲(chǔ)安全的部門、崗位和人員。

b）查驗(yàn)是否在組織層級(jí)制定了數(shù)據(jù)存儲(chǔ)策略相關(guān)制度文件：

1）查驗(yàn)該文件的制定是否結(jié)合了組織的數(shù)據(jù)分類分級(jí)策略，并規(guī)定了差異化的安全存儲(chǔ)保護(hù)方

式等；

2）查驗(yàn)該文件是否規(guī)定了數(shù)據(jù)存儲(chǔ)系統(tǒng)的安全配置規(guī)則，如權(quán)限管理、訪問(wèn)控制、加密管理等；

3）查驗(yàn)該文件是否規(guī)定了邏輯存儲(chǔ)資源的配置變更機(jī)制，對(duì)操作流程、安全配置進(jìn)行規(guī)范；

4）查驗(yàn)該文件是否明確了個(gè)人信息存儲(chǔ)的相關(guān)規(guī)定，以符合國(guó)家法律法規(guī)和監(jiān)管要求。

c）查驗(yàn)是否在組織層面制定了數(shù)據(jù)存儲(chǔ)介質(zhì)安全相關(guān)制度文件：

1）查驗(yàn)該文件是否規(guī)定了存儲(chǔ)介質(zhì)的登記、審批、標(biāo)記、接入、保存環(huán)境、可用性要求等安全

管理措施；

2）查驗(yàn)該文件是否明確了存儲(chǔ)介質(zhì)的安全配置規(guī)則、配置變更流程及授權(quán)管理規(guī)范等；

3）查驗(yàn)該文件是否定義了存儲(chǔ)介質(zhì)的獲取（購(gòu)買）、使用、維護(hù)、銷毀等流程。

d）查驗(yàn)組織的技術(shù)工具：

1）是否實(shí)現(xiàn)了邏輯存儲(chǔ)系統(tǒng)和存儲(chǔ)介質(zhì)的權(quán)限管理、訪問(wèn)控制等技術(shù)手段；

2）是否提供多種加密存儲(chǔ)手段（如磁盤加密、文檔加密、數(shù)據(jù)庫(kù)表行級(jí)加密等），滿足不同的

數(shù)據(jù)保密要求；

3）是否支持分類分級(jí)的差異化數(shù)據(jù)存儲(chǔ)管理；

16

T/ISC-0011-2021

4）是否能夠?qū)Υ鎯?chǔ)系統(tǒng)的安全配置進(jìn)行定期掃描。

e）驗(yàn)證組織的人員能力：通過(guò)訪談、查驗(yàn)培訓(xùn)記錄、查驗(yàn)考試記錄或查驗(yàn)相關(guān)人員制定的解決方案

等方式，驗(yàn)證組織的人員具備相應(yīng)的能力。

8.3.3.3先進(jìn)級(jí)

根據(jù)先進(jìn)級(jí)要求，從制度流程、技術(shù)工具方面進(jìn)行查驗(yàn)。

a）查驗(yàn)組織是否明確了數(shù)據(jù)存儲(chǔ)安全管理效果的量化評(píng)估方式：

1）是否定義了量化評(píng)估指標(biāo)；

2）是否規(guī)定了量化評(píng)估頻率。

b）查驗(yàn)組織是否明確了數(shù)據(jù)存儲(chǔ)安全的優(yōu)化工作機(jī)制：

1）是否支持根據(jù)政策變化、業(yè)務(wù)發(fā)展等需求優(yōu)化管理制度；

2）是否支持根據(jù)評(píng)估結(jié)果優(yōu)化管理制度。

c）查驗(yàn)組織的技術(shù)工具：

1）是否具備存儲(chǔ)介質(zhì)的統(tǒng)一管理工具，對(duì)存儲(chǔ)介質(zhì)的使用授權(quán)等進(jìn)行管理；

2）是否支持可擴(kuò)展的數(shù)據(jù)存儲(chǔ)架構(gòu)；

3）是否支持根據(jù)數(shù)據(jù)的敏感度，提供不同的安全存儲(chǔ)管理能力；

4）是否支持定期更新加密密鑰；

5）是否具備敏感數(shù)據(jù)識(shí)別、保護(hù)的工具或平臺(tái)。

8.4數(shù)據(jù)備份與恢復(fù)

8.4.1概述

規(guī)范數(shù)據(jù)存儲(chǔ)的冗余管理流程，實(shí)現(xiàn)定期數(shù)據(jù)備份與恢復(fù)，保障數(shù)據(jù)可用性。

8.4.2等級(jí)要求

8.4.2.1基礎(chǔ)級(jí)

從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行要求。

a）組織建設(shè)：應(yīng)設(shè)置相關(guān)崗位和人員負(fù)責(zé)核心業(yè)務(wù)的數(shù)據(jù)備份與恢復(fù)工作，負(fù)責(zé)各項(xiàng)制度的推進(jìn)落

實(shí)。

b）制度流程：應(yīng)建立關(guān)于核心業(yè)務(wù)的數(shù)據(jù)存儲(chǔ)冗余策略和恢復(fù)管理機(jī)制。

c）技術(shù)工具：存儲(chǔ)系統(tǒng)應(yīng)具備數(shù)據(jù)備份與恢復(fù)功能。

d）人員能力：

1）應(yīng)了解數(shù)據(jù)備份和恢復(fù)的重要性。

2）應(yīng)熟練操作系統(tǒng)自身備份與恢復(fù)功能。

8.4.2.2優(yōu)秀級(jí)

在基礎(chǔ)級(jí)的等級(jí)要求基礎(chǔ)上，從組織建設(shè)、制度流程、技術(shù)工具、人員能力方面進(jìn)行強(qiáng)化。

a）組織建設(shè)：應(yīng)在組織層面設(shè)立負(fù)責(zé)數(shù)據(jù)備份和恢復(fù)工作的部門、崗位，并配備人員負(fù)責(zé)建立相應(yīng)

的制度流程并部署相關(guān)的安全措施。

b）制度流程：

1）應(yīng)制定數(shù)據(jù)備份與恢復(fù)的管理制度，以滿足數(shù)據(jù)服務(wù)可靠性、可用性等安全目標(biāo)；

2）應(yīng)制定數(shù)據(jù)備份與恢復(fù)的操作規(guī)程，明確定義數(shù)據(jù)備份和恢復(fù)的范圍、頻率、工具、過(guò)程、

17

T/ISC-0011-2021

日志記錄、數(shù)據(jù)保存時(shí)長(zhǎng)等；

3）應(yīng)建立數(shù)據(jù)備份與恢復(fù)的定期檢查和更新工作規(guī)程，包括數(shù)據(jù)副本的更新頻率、保存期限、

一致性檢查等；

4）應(yīng)根據(jù)數(shù)據(jù)生命周期和業(yè)務(wù)規(guī)范，建立數(shù)據(jù)生命周期各階段數(shù)據(jù)歸檔的操作流程；

5）應(yīng)明確組織適用的合規(guī)要求，按照法律法規(guī)和監(jiān)管規(guī)定對(duì)相關(guān)數(shù)據(jù)予以記錄和保存。

c）