2024数据安全治理能力评估方法.docx

数据安全治理能力评估方法目  次1 范围 12 规范性引用文件 13 术语和定义 14 概述 24.1 评估原则 34.2 评估实施方法 34.3 评估实施过程 35 数据安全治理能力总体要求 46 评估等级 46.1 第一级：基础级 46.2 第二级：优秀级 46.3 第三级：先进级 57 数据安全战略 57.1 数据安全规划 57.2 机构人员管理 78 数据全生命周期安全 108.1 数据采集安全 108.2 数据传输安全 128.3 存储安全 158.4 数据备份与恢复 178.5 使用安全 198.6 数据处理环境安全 218.7 数据内部共享安全 238.8 数据外部共享安全 258.9 数据销毁安全 289 基础安全 309.1 数据分类分级 309.2 合规管理 329.3 合作方管理 349.4 监控审计 379.5 鉴别与访问 399.6 风险和需求分析 419.7 安全事件应急 43参 考 文 献 46I数据安全治理能力评估方法1 范围本文件描述了各类数据治理活动及其相关平台应遵循的数据安全治理能力要求和评估方法，包括评估 等级划分方法，以及数据安全战略、数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据 共享安全、数据销毁安全、基础安全等能力的具体评估等级确定原则。

本文件适用于电信网和互联网等企业开展数据治理工作，为其数据安全治理能力评估提供参考和指引2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB/T 25069—2010 信息安全技术 术语GB/T 29765—2013 信息安全技术 数据备份与恢复产品技术要求与测试评价方法 术语和定义GB/T 29246—2017 信息技术 安全技术信息安全管理体系 概述和词汇GB/T 37988—2019 信息安全技术 数据安全能力成熟度模型 术语和定义GB/T 35273—2020 信息安全技术 个人信息安全规范 术语和定义3 术语和定义GB/T 25069—2010、GB/T 29765—2013、GB/T 29246—2017、GB/T 37988—2019和GB/T 35273—2020界定的以及下列术语和定义适用于本文件3.1数据安全 data security通过管理和技术措施，确保数据有效保护和合规使用的状态 [来源：GB/T 37988—2019，3.1]3.2保密性 confidentiality使信息不泄漏给未授权的个人、实体、进程，或不被其利用的特性。

[来源：GB/T 25069—2010，2.1.1]3.3完整性 integrity准确和完备的特性[来源：GB/T 29246—2017，2.40]3.41备份数据 backup data存储在（通常可移动的）非易失性存储介质上某一时间点的数据集合，用于原数据丢失或不可访问时 的数据恢复[来源：GB/T 29765-2013，3.1]3.5备份 backup创建备份数据的过程[来源：GB/T 29765-2013，3.2]3.6技术工具technical tool通过技术手段或平台工具等方式支撑组织数据安全治理能力的建设3.7内部共享internal sharing在单个组织内部环境下的数据交换过程3.8外部共享external sharing在任意两个或多个组织之间的数据交换过程3.9数据血缘data consanguinity记录了对原始数据的处理步骤，标明了数据产生的链路关系3.10个人信息personal information以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人 活动情况的各种信息注1： 个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息[来源：GB/T 35273-2020，3.1，有修改]3.11个人敏感信息 personal sensitive information一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视 性待遇等的个人信息[来源：GB/T 35273-2020，3.2]4 概述24.1 评估原则（1） 标准性原则：评估工作应依据本文件展开2） 客观公正原则：评估发现、评估结论和评估报告应真实和准确地反映评估活动，不带评估人员个人偏见，以确保评估发现和评估结论仅建立在评估证据的基础上3） 保密原则：评估人员应审慎使用和保护在评估过程获得的信息，以保障被评估方数据安全可以在评估前与被评估单位就数据安全保密责任义务进行认定与划分，包括不限于保密协议签署等4.2 评估实施方法主要通过文档查验、人员访谈、系统演示等方式对评估对象的实际建设情况进行评估文档查验是指评估人员查阅数据安全相关文件资料，如组织数据安全管理制度、业务技术资料和其他 相关文件，用以评估数据安全治理相关制度文件是否符合标准要求。

评估对象需要事先完整准备上述文档 以供评估人员查阅人员访谈是指评估人员通过与评估对象相关人员进行交流、讨论、询问等活动，以评估数据安全保障 措施是否有效评估对象需要安排熟悉数据流转过程，以及承载数据的应用、系统、规划等情况的人员参 加访谈系统演示是指由评估对象相关人员进行展示，评估人员查看承载数据的应用、系统等，以评估数据安全保障措施是否有效评估对象需要安排相关人员进行现场演示，评估人员根据系统演示情况进行查验4.3 评估实施过程评估实施过程主要包括评估准备、评估执行和评估审核三个阶段，与评估对象的沟通和洽谈贯穿整个 过程，评估实施过程见图1图1 评估实施过程评估准备阶段由评估机构受理评估对象的评估申请，确定评估小组成员，并进行评估策划，通过对评估对象进行资料收集与解读，了解评估对象的基本情况，如评估对象的组织架构、评估对象的数据安全理 系统清单、数据安全治理制度清单、数据安全治理的工具使用情况、数据治理部门职责和人员角色等评估执行阶段由评估小组进入评估对象现场进行正式评估，由评估对象安排相关工作人员按照评估等 级要求逐项展示相关资料，供评估小组成员审阅及询问3评估审核阶段由评审专家通过评审会的形式对评估报告的编制进行审核，以最终确定评估等级，并进 行评估的等级证书发放。

5 数据安全治理能力总体要求数据安全治理能力包括数据安全战略、数据全生命周期安全、基础安全三部分，见图2所示 数据安全战略能力包括：数据安全规划、机构人员管理数据全生命周期安全能力包括：数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据 共享安全、数据销毁安全基础安全能力包括：数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分 析、安全事件应急数据安全战略数据生命周期安全基础安全能力项数据安全规划机构人员管理数据采集安全数据传输安全存储安全数据备份与恢复使用安全数据处理环境安全数据内部共享安全数据外部共享安全数据销毁安全数据分类分级合规管理合作方管理监控审计鉴别与访问风险和需求分析安全事件应急图2 数据安全治理能力评估框架6 评估等级数据安全治理能力评估等级将从组织建设的完备程度、制度流程覆盖面、技术工具支撑力度、人员能 力培养四个维度划分为三级，分别是基础级、优秀级、先进级，每个后一级的标准均是在前一级基础上的 加强6.1 第一级：基础级数据安全治理能力主要是体现在离散的项目中，建立了基本的管理流程和初步的体系，具体特征如下：a) 一般由各业务团队人员负责数据安全相关工作；b) 制定了初步的数据安全制度规范和管理流程，以保障组织核心业务的安全执行及故障恢复，并能 基本满足监管要求；c) 尝试采用技术手段和产品工具落实安全要求，但对业务和数据全生命周期的覆盖范围及支撑能力 有限；d) 开始关注组织内人员的数据安全意识，进行定期培训。

6.2 第二级：优秀级4数据安全治理能力体现在组织层面，具备完善的标准化管理机制，能够促进数据安全的规范化落地， 具体特征如下：a) 设立了专门的数据安全管理部门、岗位、人员，主要负责制定实施组织的数据安全战略规划、数 据安全制度流程，以覆盖数据全生命周期相关的业务、系统和应用；b) 具备完善的数据安全管理制度和流程，以保障组织全部业务的安全执行及故障恢复，并能完全满 足监管要求；c) 具备较强的技术能力，积累了大量的技术手段和产品工具，对数据全生命周期的安全过程和组织 内全业务流程的开展进行有效支撑；d) 对组织内部人员的安全意识和安全能力制定了相应的培训及考核机制，注重组织内部数据安全的 人才培养6.3 第三级：先进级数据安全治理能力体现在拥有完善的数据安全治理能力量化评估体系和持续优化策略，具体特征如下：a) 建立了统一的技术工具，能够为组织的数据安全治理提供支撑；b) 建立了可量化的评估指标体系，能够准确评估数据安全的治理效果，并根据评估结果及时对组织 建设情况进行调整优化；c) 当监管要求、组织架构、业务需求等发生变化时，能够及时调整相应的数据安全策略及规范。

7 数据安全战略7.1 数据安全规划7.1.1 概述根据数据安全风险状况建立组织整体数据安全规划，数据安全规划的内容应覆盖数据全生命周期的安全 风险管控7.1.2 等级要求7.1.2.1 基础级从组织建设、制度流程方面进行要求a) 组织建设：应设置相关岗位和人员负责核心业务的数据安全规划，推进规划的开展实施b) 制度流程：应对核心业务进行数据安全规划，明确基本的合规要求7.1.2.2 优秀级在基础级的等级要求基础上，从组织建设、制度流程、技术工具、人员能力方面进行强化a) 组织建设：应设置组织层面的数据安全管理部门、岗位和人员，负责协调安全管理、技术工具、 推进规划开展执行b) 制度流程：1) 应明确符合组织数据战略规划的数据安全战略，明确安全方针、安全目标和安全原则，其中 方针和策略应明确对组织的价值和意义、应以数据为核心围绕数据工作；2) 应明确数据安全规划活动的执行频率、审核机制及发布流程等；3。