《水利數(shù)據(jù)安全能力評估指南》（征求意見稿）

CCSA9041I II 1 1 14水利數(shù)據(jù)安全能力評估概述 1 1 1 2 2 2 3 3 4 4 4 4 4 4 4 5 5 5 5 5 6本文件按照GB/T1.1—2020《標準化本文件主要起草人：王駿、劉念龍、宋博、唐學哲、李延峰、韓慧穎1本文件規(guī)定了水利數(shù)據(jù)安全評估原則、方法、內(nèi)容、流程及結(jié)論，明確下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包DB41/T2534—2023水利網(wǎng)絡安全建GB/T25069—2022、GB/T29246—2b)文檔查驗：查驗安全管理制度、風險評估報告、等保測評、密碼測評報告等有關(guān)材料及落實按照數(shù)據(jù)安全管理和數(shù)據(jù)安全技術(shù)兩方面內(nèi)容開展評估。其中數(shù)據(jù)安全設、數(shù)據(jù)安全制度體系、數(shù)據(jù)安全人員管理、數(shù)據(jù)分類分級管理、供應鏈管理、評估項，數(shù)據(jù)安全技術(shù)包含網(wǎng)絡安全防護、數(shù)據(jù)資產(chǎn)識別、數(shù)據(jù)安全防護、安全數(shù)據(jù)安全能力評估流程，主要包括準備、評估、總結(jié)三個階段315237456565447568559575755Vm=x×....................m——小類評估指標賦值。n——小類評估指標中數(shù)量。本評估采用評分制，總分100分，水利數(shù)據(jù)安全能力Vm............................................5優(yōu)良中差a)設立水利數(shù)據(jù)安全管理機構(gòu)，明確數(shù)據(jù)安全責任分工，規(guī)范數(shù)據(jù)處理活動，提升c)設立水利數(shù)據(jù)安全監(jiān)管小組，負責監(jiān)督數(shù)據(jù)分類分級、數(shù)據(jù)安全管理、67c)采用國產(chǎn)密碼技術(shù)保障數(shù)據(jù)在傳輸、存儲、處理過程中的機密性、完整891查閱是否設立了負責數(shù)據(jù)安全的管理機構(gòu)，2查閱是否明確單位主要負責人數(shù)據(jù)安全第一責3查閱是否設立了數(shù)據(jù)安全監(jiān)管小組，成員至少等相關(guān)部門的主要負責人，工作職責是否涵蓋數(shù)據(jù)45查閱是否包括數(shù)據(jù)安全管理、業(yè)務數(shù)據(jù)處理6查閱數(shù)據(jù)安全管理制度規(guī)范及其更新修訂記錄7查閱數(shù)據(jù)安全管理工作規(guī)劃或工作方案，是否89查閱相關(guān)文件，在組織架構(gòu)發(fā)生重大調(diào)整或業(yè)查閱數(shù)據(jù)安全管理制度，評估是否明確數(shù)據(jù)安全查閱數(shù)據(jù)處理、流轉(zhuǎn)等過程中是否有審批記錄，查閱是否定期開展網(wǎng)絡與數(shù)據(jù)安全風險評估，查閱是否與所有涉及數(shù)據(jù)服務的人員簽訂安查閱在人員轉(zhuǎn)崗或離崗時，是否及時終止或變更查閱在人員轉(zhuǎn)崗或離崗時，是否明確告知其繼查閱是否制定年度數(shù)據(jù)安全培訓計劃，明確數(shù)任人和責任部門，規(guī)范本年度數(shù)據(jù)安全教育、技訪談相關(guān)人員定期開展數(shù)據(jù)安全培訓情況，查閱留存培查閱是否明確特權(quán)賬戶所有者、關(guān)鍵數(shù)據(jù)處理查閱是否建立數(shù)據(jù)資產(chǎn)臺賬，明確資產(chǎn)臺賬查閱數(shù)據(jù)資產(chǎn)清單至少包括數(shù)據(jù)類型、功能、查閱數(shù)據(jù)分類管理文件是否參照國家、水利行求查閱分級保護策略和數(shù)據(jù)分類分級保護措施等記策略、訪問控制、數(shù)據(jù)加解密、數(shù)據(jù)脫敏等安查閱相關(guān)文檔，評估重要數(shù)據(jù)是否參照相關(guān)重查閱是否明確數(shù)據(jù)資產(chǎn)管理范圍和屬性，確保理查閱與合作機構(gòu)及人員簽訂的保密協(xié)議或保密查閱雙方合同或協(xié)議內(nèi)容，包括安全職責、保核查合作機構(gòu)人員對數(shù)據(jù)與系統(tǒng)的訪問權(quán)限核查合作機構(gòu)人員數(shù)據(jù)導出操作或數(shù)據(jù)外發(fā)操查閱是否制定數(shù)據(jù)安全應急預案，包含應急響查閱是否制定數(shù)據(jù)安全事件分級、數(shù)據(jù)安全事訪談相關(guān)人員是否建立應急演練工作機制和計劃，定期練查閱當發(fā)生數(shù)據(jù)安全事件時采取處置措施是否查閱網(wǎng)絡拓撲結(jié)構(gòu)、區(qū)域劃分、數(shù)據(jù)資產(chǎn)等文查閱網(wǎng)絡安全縱深防御、安全監(jiān)測預警、安況，是否參照《SL/T803-2020水利網(wǎng)絡安全保核查相關(guān)安全設備配置，是否與安全框架或安查閱是否定期開展等級保護測評、商用密碼查閱上述合規(guī)性安全檢查情況，針對發(fā)現(xiàn)問詢問數(shù)據(jù)收集是否存在竊取、超范圍、未經(jīng)合法授查閱相關(guān)文件或協(xié)議合同，是否對產(chǎn)生數(shù)據(jù)的驗證是否利用自動化技術(shù)手段對數(shù)據(jù)資產(chǎn)進行識別，核查是否對數(shù)據(jù)收集終端進行安全監(jiān)測和防護核查數(shù)據(jù)存儲、處理所涉及數(shù)據(jù)庫、設備、應核查身份鑒別是否采用口令技術(shù)、密碼技術(shù)、核查身份鑒別信息是否滿足復雜度要求并定期核查是否采用如HTTPS、SSL等協(xié)議進行遠程訪核查是否采用服務器密碼機、簽名驗簽等設備核查是否采用數(shù)據(jù)脫敏等工具，保障水利應用核查是否基于數(shù)字簽名技術(shù)，保障訪問用戶身核查是否采用防范數(shù)據(jù)防泄漏技術(shù)，是否能對查閱是否明確數(shù)據(jù)訪問權(quán)限申請、審批機制，限核查數(shù)據(jù)訪問權(quán)限是否以滿足業(yè)務實際需要最核查是否對于不再使用的數(shù)據(jù)資產(chǎn)，具備對資核查是否定期對用戶賬號及用戶數(shù)據(jù)訪問權(quán)限用戶賬戶，是否存在未及時清理的離職人員核查是否部署審計設備對數(shù)據(jù)操作進行日志留核查是否對數(shù)據(jù)批量復制、下載、導出、修改驗證是否采用技術(shù)工具做到安全監(jiān)測預警，并生成核查相關(guān)安全設備，是否能對異常行為事件進核查針對敏感數(shù)據(jù)的批量傳輸、下載、導出等核查相關(guān)安全設備的配置及日志信息，是否實核查是否能對網(wǎng)絡運行狀態(tài)、網(wǎng)絡流量、用戶核查是否對風險信息進行研判，