YD T 3956-2021 电信网和互联网数据安全评估规范.pdf

资源描述

1、 ICS 33.040 CCS M10 中华人民共和国工业和信息化部发布 - - 实施 - - 发布 YD/T XXXX 20XX 中华人民共和国通信行业标准 YD 电信网和互联网数据安全评估规范（报批稿） The specification of telecommunication networks and Internet data security YD/T XXXX-20XX 目录前言 . 1 范围 . 2 规范性引用文件 . 3 术语、定义和缩略语 . 3.1 术语和定义 . 3.2 缩略

2、语 . 4 概述 . 4.1 评估总体原则 . 4.2 评估启动条件 . 4.3 评估流程 . 4.4 报告规范要求 . 5 通用性管理评估规范 . 5.1 组织机构 . 5.2 人员保障 . 5.3 数据资产梳理 . 5.4 数据分类分级 . 5.5 权限管理 . 5.6 日志留存 . 5.7 安全审计 . 5.8 应急响应 . 5.9 举报投诉处理 . 5.10 教育培训 . 5.11 合作方管理 . 5.12 平台系统安全管理 . 6 全生命周期管理评估规范 . 6.1 数据采集 . 6.2

3、数据传输 . 6.3 数据存储 . 6.4 数据使用 . 6.5 数据开放共享 . 6.6 数据销毁 . 附录（资料性）数据安全评估报告模板 . 附录（资料性）数据安全评估指标项 . YD/T XXXX-20XX 前言本文件按照GB/T 1.1-2020 标准化工作导则第1 部分：标准化文件的结构和起草规则的规定起草。本文件是“ 电信网和互联网数据安全 ”系列标准之一。该系列标准预计结构及名称如下： 1、电信网和互联网数据安全通用要求 2、电信网和互联网数

4、据安全评估规范（本文件） 3、电信网和互联网数据安全评估技术实施指南请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由中国通信标准化协会提出并归口。本文件起草单位：中国信息通信研究院、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国电信集团有限公司、数据通信科学技术研究所、北京天融信网络安全技术有限公司、华信咨询设计研究院有限公司、中安威士（北

5、京）科技有限公司、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、北京金山云网络技术有限公司。本文件主要起草人：郭建南、尚铁力、魏薇、张媛媛、庞妺、姜宇泽、张硕、张峰、江为强、孙艺、于文良、国强、王渭清、韩冬、皇甫敏娜、陈希、王晟、胡鸥、姚琴、李觅、李雯、吴璟、李金罡、李昀、李贵军、张英义、杨小梅、刘松涛、范楠、袁舒平、谢毅、邓淼、何欣、陈晓、夏江丽、李江、曲嘉杰、严飞虹、胡四维、张雯、李明、陈

6、峰、王红波、汪志、冯程、刘晓、侯文浩、范亚辉、符加龙、王媛媛、董平、李德智、邱云翔、戴林、赵伟全、王峰、武杨、倪平、郭岳、张娜。 1 电信网和互联网数据安全评估规范 1 范围本文件规定了数据安全评估实施流程和数据安全相关管理及技术措施的评估要点。本文件适用于电信网和互联网服务提供商组织开展的网络数据安全评估工作，也适用于第三方机构对电信网和互联网服务提供商数据安全保障能力进行审查和评估。 2 规范性引用文件

7、下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 35273-2020 信息安全技术个人信息安全规范 YD/T 3802-2020 电信网和互联网数据安全通用要求 YD/T 3813-2020 基础电信企业数据分类分级方法 3 术语、定义和缩略语 3.1 术语和定义下列术语和定义适用于本文件。 3.1.1

8、网络数据 network data 通过网络收集、存储、传输、处理和产生的各种电子数据。中华人民共和国网络安全法，定义第七十六条第四款 3.1.2 数据安全 data security 通过管理和技术措施,确保数据有效保护和合规使用的状态。 GBT 37988 2019 定义3.1 3.1.3 数据资产 data assets 以电子形式记录的组织机构所拥有和控制的数据。电信网和互联网数据安全通用要求，定义3.1.7 3.1.4 保密性 confidentiality 使信息不泄漏给未授权的个人、实体、进程,

9、或不被其利用的特性。 YD/T 2 GB/T 25069 2010 ，定义2.1.1 3.1.5 完整性 integrity 准确和完备的特性。 GB/T 29246 2017 ，定义2.40 3.1.6 可用性 availability 已授权实体一旦需要就可访问和使用的数据和资源的特性。 GB/T 25069 2017 ，定义2.1.20 3.1.7 合规 compliance 对数据安全所适用的法律法规的符合程度。 GB/T 37988-2019, 定义3.16 3.1.8 数据处理 data processing 对原始数据进行

10、抽取、转换、加载的过程。 GB/T 37988-2019, 定义3.13 3.1.9 规程 procedure 对执行一个给定任务所采取动作历程的书面描述。 GB/T 25069 2010 ，定义2.1.7 3.1.10 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。注：关于个人信息的范围和类型依据GB/T35273-2020 定义3.1 中要求。 GB/T 35273-2020 ，定义3.1 3.1.11 个人敏感信

11、息 personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。注：关于个人敏感信息的范围和类型依据GB/T 35273-2020 定义3.2中要求。 GB/T 35273-2020 ，定义3.2 3 3.1.12 个人信息主体 personal information subject 个人信息所标识或关联到的自然人。 GB/T 35273-2020 ，定义3.3 3.1.13 个人信息控制者 personal i

12、nformation controller 有能力决定个人信息处理目的、方式等的组织或个人。 GB/T 35273-2020 ，定义3.4 3.1.14 明示同意 explicit consent 个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。注：肯定性动作包括个人信息主体主动勾选、主动点击同意、注册、发送、拨打、主动填写或提供等。 GB/T 35273-2020 ，定义3.6 3.1.15 收集 co

13、llect 获得对个人信息的控制权的行为。注1：包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为，以及通过共享、转让、搜集公开信息等间接获取个人信息等行为。注2 ：如果产品或服务的提供者提供工具供个人信息主体使用，提供者不对个人信息进行访问的，则不属于本标准所称的收集行为。例如，离线导航软件在终端获取用户位置信息后，如不回传至软件提供者，则不属于个人信息收集行为。 GB/T 35273-2020 ，定义3.5 3.1.16 开放共享 sharing

14、 and opening 电信业务经营者、互联网信息服务提供者进行全部或部分数据复制、分享等行为。 YD/T 3802-2020 ，定义3.1.9 3.1.17 合作方 partner 受托代理市场销售和提供业务合作、技术支撑、数据服务等可能接触到组织机构数据的外部机构。其中，业务合作主要包括数据业务合作推广、渠道接入等形式；技术支撑主要包括系统开发集成、系统维护、技术支撑等形式；数据服务主要包括数据建模、数据挖掘、数据分析等数据服务能力提

15、供形式。 YD/T 3802-2020 ，定义3.1.10 YD/T 4 3.1.18 删除 delete 在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态。 GB/T 35273-2020 ，定义3.10 3.1.19 销毁 destruction 通过清除、消磁、粉碎等技术手段使电子信息载体中存储的信息不可再用，且不可恢复的过程。 TD/T 2692-2014 ，定义2.6 3.1.20 去标识化 de-identification 通过对个人信息的技术处理，使

16、其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。注：去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的标识。 GB/T 35273-2020 ，定义3.15 3.1.21 数据脱敏 data desensitization 对某些敏感信息通过一定规则进行数据的变形，实现敏感隐私数据的可靠保护。 YD/T 3802-2020 ，定义3.1.14 3.2 缩略语下列缩略语适用于本文件。网际互连协议网络设备物理地址安全套接字

17、协议传输层安全协议 4 概述 4.1 评估总体原则 4.1.1 总体框架电信网和互联网数据安全评估主要利用文件查验、系统演示及测评验证等多种方法评估企业在各类数据处理活动及数据承载系统平台的保障措施合规情况，从通用性管理与全生命周期管理两方面出发，针对各个指标项明确评估涉及的重要管理措施、重点技术措施及判断 5 标准，明确被评估事项合规性保障基线，以提升企业数据安全管理及相关技术保障措施能力水平，评估框架如图1所示。数

18、据安全评估通用性管理评估规范组织机构人员保障数据资产梳理数据分类分级举报投诉处理权限管理日志留存安全审计应急响应教育培训合作方管理全生命周期管理评估规范数据采集数据传输数据销毁数据存储数据使用数据开放共享平台系统安全管理图1 总体框架 4.1.2 评估原则标准性原则：指遵循电信网和互联网行业相关标准开展数据安全评估工作。客观公正原则：指评估人员在评估活动中应充分收集证据，对评估对象实施的安全措施的有效性和可靠性做出客观公正的判断。可重复和可再现原则：

19、指在相同的环境下，对同一评估对象，不同的评估人员依照同样的要求，使用同样的方法，对每个评估实施过程的重复执行都应得到同样的评估结果。可控性原则：在评估过程中，应保障参与评估的人员、使用的技术和工具、评估过程都是可控的。完备性原则：严格按照被评估对象所涉及的评估范围进行全面的评估。最小影响原则：从相关管理层面和工具技术层面，将评估工作对数据和承载数据的应用、系统、网络正常运行的可能影响降低到最

20、低限度，不会对被评估对象涉及的应用、系统、网络运行产生显著影响。保密原则：指评估人员开展数据安全评估工作前，需要与被评估单位就数据安全保密责任义务进行认定与划分，包括不限于保密协议签署等，应对评估中获取的相关信息、评估过程文档等严格保密，以保障被评估方的数据安全。 4.2 评估启动条件 YD/T 6 满足下列情形之一的，应及时启动数据安全评估： a) 业务运营阶段，在数据承载环境发生较大变化时开展评估：如数据采集渠

21、道变更、数据存储系统升级改造、数据处理技术变更等； b) 企业应在开展数据重要操作（如开放数据对外接口、数据共享、数据转移、数据加工、数据出境等）前对涉及到的数据相关管理措施、技术措施开展评估； c) 行业主管部门要求企业进行数据安全评估的； d) 满足国家法律法规有关情形时，应开展数据安全评估。 4.3 评估流程 4.3.1 评估准备阶段评估准备阶段应包含以下内容： a) 组建评估团队应组建适当的数据安全评估团队

22、，包括评估管理单位、责任单位和开发运营单位，评估人员需具备数据安全评估相关能力，以支撑整个评估过程的推进及有效开展。当被评估组织委托安全服务机构开展数据安全评估时，应与被委托单位共同组建评估团队。 b) 确定评估范围应根据数据评估对象进行评估范围界定，确定数据涉及的生命周期阶段，以及各阶段所涉及的应用、系统、平台范围。数据评估对象可以为具有收集、使用用户个人信息功能的业务，涉及存储用户个人信息和

23、核心网络数据的业务支撑系统等，例如，评估范围可界定为行业热点业务、业务支撑网运营管理系统、大数据分析系统等。 c) 评估对象调研数据安全评估团队应对被评估企业的数据安全相关工作进行充分调研，调研内容包括被评估企业数据安全管理相关制度和流程、数据安全设备部署情况等，从而为后续数据安全评估实施奠定基础。 4.3.2 评估实施阶段评估组织实施阶段，对标数据安全基线要求，采用包括文档查验、人员访谈、系统演示、测评验

24、证等方式对管理措施和技术措施进行评估，对不合规项逐项提出针对性整改建议。数据安全评估团队评估实践过程中，应当对评估佐证材料进行收集、整理，做好评估过程记录。评估实践过程通常可包括数据安全初评实践、数据安全复评实践两部分： 7 a) 数据安全初评实践：指数据安全评估团队在完成评估准备阶段后，对评估对象的初步评估。数据安全评估团队应根据初步评估结果，结合评估对象实际情况，对评估不合规项逐项提出针对性整改建议，

25、给出评估对象初评结论。 b) 数据安全整改复核：指数据安全评估团队在评估对象完成整改或达到整改期限后，对评估对象的整改复核评估。数据安全评估团队应根据初步评估结果及整改建议，检查评估对象整改措施有效性、合规性，确定评估对象是否完成整改，给出评估对象复评结论。具体评估方法包括但不限于以下方法： a) 文档查验文档查验是指评估人员查阅数据安全相关文件资料，如企业数据安全管理制度、业务技术资料和其他相关文件，用以评估

26、数据安全管理相关制度文件是否符合标准要求的一种方法。通常在评估准备阶段以及数据安全管理类基线评估部分使用该方法，企业需要事先完整准备上述文档以供评估人员查阅。 b) 人员访谈人员访谈是指评估人员通过与被评估企业相关人员进行交流、讨论、询问等活动，以评估数据安全保障措施是否有效的一种方法。通常在评估过程中深入企业实地调研时使用，企业需要安排熟悉数据流转过程，以及承载数据的应用、系统、网络情况的人员参加访谈

27、。 c) 系统演示系统演示是指企业相关人员演示、评估人员查看承载数据的应用、系统、网络，包括数据采集界面、数据展示界面、数据存储界面、数据操作日志记录等，以评估数据安全保障措施是否有效的一种方法。通常在评估过程中深入企业现场调研时使用，企业需要安排相关人员进行现场演示，评估人员根据系统演示情况进行查验。如系统存在高度保密性、可用性的要求，评估可通过事后提供日志列表或测试环境等方式进行。 d) 测评验证测评验证是

28、指评估人员通过实际测试承载数据的应用、系统、网络，查看、分析被测试响应输出结果，以评估数据安全保障措施是否有效的一种方法。通常是评估人员针对数据全生命周期涉及的相关技术指标进行验证时使用，评估人员需要事先进行业务注册、准备验证工具等以完成相关评估指标。 YD/T 8 4.3.3 评估总结阶段评估总结阶段包括召开专家评审会，对评估实施过程及评估意见、评估整改落实情况进行核验，确认评估企业或评估对象是否已经

29、配套数据安全管理措施和数据安全技术措施，满足数据安全基线要求，并撰写形成评估报告。 4.4 报告规范要求安全评估报告应当包括以下组成部分（见附录）： a) 概述，包括被评估企业数据安全管理情况、被评估业务或系统平台具体功能及数据安全情况； b) 数据安全评估流程，包括评估工作情况概述、评估人员组成、评估实施流程等； c) 数据安全评估矩阵，根据通用性管理评估规范及全生命周期管理评估规范，梳理总结出合规性评测矩阵表；针对每

30、一项评估指标，综合运用多种评估方法，收集佐证材料；对佐证材料进行研判评估，得出数据安全保障措施合规或完善程度有关结论； d) 问题分析，根据评估结论梳理评估指标项中不合规项，指出存在问题； e) 整改建议，依据存在问题逐项提出有针对性整改建议； f) 整改落实情况，如涉及整改，需体现整改方案及整改措施、结果； g) 复核结果及签字（建议盖章）。 5 通用性管理评估规范 5.1 组织机构依据YD/T 3802-2020 第7.1 节要求开

31、展评估。评估企业是否已设立数据安全管理责任部门，负责牵头承担企业内部数据安全管理工作，具体包括以下内容：查验企业文件通报或数据安全管理办法，是否明确数据安全管理责任部门（新设部门或指定某个原部门均可），是否明确部门名称及负责人，相关文件是否已面向组织机构内部发文通报（如OA发文、纸质发文、公司领导办公会决议等），在企业内部进行流转传达。查验企业文件通报或数据安全管理办法，是否明确数据安全管理责任部

32、门职责，部门职责是否包括但不限于制定数据安全管理整体方针策略，协调建立数据安全技术保障措施，牵头做好数据安全合规性评估、安全审计管理、数据安全事件应急处置、教育培训等工作。查验企业文件通报或数据安全管理办法，是否明确划分数据安全管理责任部门与各项工作执行落实部门分工界面，工作执行落实部门是否完整包含数据协同管理部门（信息化、客户服务、市场部门等）、数据使用部门（业务部门）、运维支撑部门（

33、网络运维、系统集成等部门）、可能涉及的子公司等。查验企业数据安全监督检查制度，是否明确由责任部门定期对执行部门数据安全管理制度执行落实情况和落实效果进行监督检查，是否能够通过监督检查及时发现问题并督促整改，是否将数据安全工作执行部门落实情况和效果纳入企业内部绩效考核体系。 5.2 人员保障 9 依据YD/T 3802-2020 第7.2 节要求开展评估。评估企业是否在数据安全管理责任部门和相关部门配备数据安全管理专职人员

34、，是否明确相关人员数据安全工作职责，负责具体承担落实数据安全管理工作。具体包括以下内容：查验企业数据安全岗位职责说明文件或人员任命书，是否通过正式文件明确企业数据安全管理责任人，是否明确其职责范围，包括但不限于负责牵头制定数据安全管理制度，指导数据安全管理责任部门、协调各相关部门开展数据保护工作，提出数据安全保护的对策建议，监督管理制度和措施的执行落实情况等。查验企业数据安全岗位人员名单，是否

35、梳理各部门数据安全岗位人员配备情况，包括部门名称、姓名、联系方式和工作职责等，是否在数据安全管理责任部门至少配备一名数据安全专职人员，相关工作执行落实部门至少配备一名数据安全责任人，组织开展部门内数据安全相关工作。相关人员工作职责是否包括权限管理、安全审计、应急响应、合规性评估、数据安全事件处置和信息报送等。查验企业数据安全岗位人员工作记录文件，验证企业数据安全管理责任部门和相关部门人员是否按照要求履职。 5.3 数据资产梳理依据YD/T 3802-2020 第7.10 节要求开展评估。评估企业是否建立数据资产梳理制度，是否明确数据资产

展开阅读全文