2023數(shù)據安全管理體系要求

數(shù)據安全管理體系要求II目 次前言 II范圍 1規(guī)性用件 1術和義 1組環(huán)境 2理組及環(huán)境 2理相方需期望 2確數(shù)安管范圍 2數(shù)安管體系 2領作用 2領作和諾 2方針 3組的位職權限 3策劃 3對險機的施 3據全險估 3據全險置 4據全標其現(xiàn)的劃 4支持 44455件信息 5件信的建更新 5件信的制 5運行 5行策和制 5據生周管理 6績評價 6視測、析評價 6部核 6理核 67不合糾措施 7持改進 7附錄A（料）據全管體控措施 8參考獻 1322數(shù)據安全管理體系要求范圍本文件規(guī)定了數(shù)據安全管理體系的要求，包括基于ISO管理體系高層架構的數(shù)據安全管理要求和配套技術能力要求。本文件適用于企業(yè)組織開展數(shù)據安全管理體系的建設，也適用于第三方機構對企業(yè)組織的數(shù)據安全管理體系進行評價測試工作。下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文（GB/T35273—2020信息安全技術個人信息安全規(guī)范下列術語和定義適用于本文件。3.1數(shù)據全 datasecurity通過采取必要措施,保障數(shù)據得到有效保護和合法利用,并持續(xù)處于安全狀態(tài)的能力。3.2個人息 personalinformation個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。［來源：GB/T35273—2020，3.1］3.3敏感人息 personalsensitiveinformation一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。［來源：GB/T35273—2020，3.2］3.4個人息理者 personalinformationdealer在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。注：與GB/T35273—2020中的“個人信息控制者”所指一致。3.5去標化 de-identification個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。［來源：GB/T35273—2020，3.15］3.6匿名化 anonymization個人信息經過處理無法識別特定自然人且不能復原的過程。注：［GB/T35273—2020，3.14］組織應確定與其戰(zhàn)略方向及業(yè)務活動相關并影響其實現(xiàn)數(shù)據安全管理及合規(guī)應用的各種外部和內部因素。組織應確定與數(shù)據安全管理有關的內外部相關方，并持續(xù)監(jiān)視評價相關方的信息。組織應識別相關方對于數(shù)據安全管理方面的要求和期望，并形成相關方的要求和期望清單。在確定范圍時，組織應考慮：4.14.233方針最高管理者應制定、實施和保持數(shù)據安全管理方針，該方針應：滿足4.1和4.2方針應保持成文信息，并在組織內得到溝通、理解和應用。最高管理者應確保組織與數(shù)據安全管理相關的職責、權限得到分配和溝通。最高管理者應分配職責和權限，以：最高管理者應確保組織按附錄A中組織機構的相關要求建立數(shù)據安全組織架構，明確崗位職責，確定數(shù)據安全主要負責人。策劃4.14.2組織應策劃：應對這些風險和機遇的措施；如何在數(shù)據安全管理能力過程中整合并實施這些措施；如何評價這些措施的有效性。組織應建立數(shù)據安全風險評估過程，過程應包括：組織應制定并維護數(shù)據安全風險準則，準則應包括：44組織應依據數(shù)據安全風險評估準則定期開展數(shù)據安全風險評估活動，風險評估活動應包括：組織應依據數(shù)據安全風險準則開展數(shù)據安全風險的分析及評價，應包括：組織應實施數(shù)據安全風險處置過程，過程應滿足：將6.3b）組織應在相關職能和層級上建立數(shù)據安全目標。數(shù)據安全目標應：（）；注：數(shù)據安全目標及戰(zhàn)略規(guī)劃具體控制措施參考附錄A數(shù)據安全戰(zhàn)略規(guī)劃。支持資源組織應確定并提供建立、實現(xiàn)、維護和持續(xù)改進數(shù)據安全管理體系所需的資源。能力組織應：55注：教育培訓的具體控制措施見附錄A人員管理。意識組織應確保在其控制下的工作人員意識到：注：建立意識的具體措施可參考附錄A人員管理中的責任保持部分。溝通組織的數(shù)據安全管理體系應包括：注：組織的文件化體系內容見附錄A制度保障。組織創(chuàng)建和更新數(shù)據安全管理體系文件化信息時，組織應確保適當?shù)模海ǎ桓袷剑ǎ?；應控制?shù)據安全管理體系和本標準所要求的成文信息，以確保：）。）；對于組織確定的策劃和運行數(shù)據安全管理體系所必須的來自外部的成文信息，組織應進行適當識別，并予以控制。運行66應在必要的范圍和程度上保留文件化信息，以確信相關措施已按照計劃得到執(zhí)行。組織應評價數(shù)據安全績效以及數(shù)據安全管理體系的有效性。組織應確定：組織應按計劃的時間間隔進行內部審核，確定數(shù)據安全管理體系：組織應依據安全審計的相關要求，實施內部審核。注：安全審計的具體控制措施見附錄A安全審計。管理評審應考慮：1）管理評審的輸出，應包括與持續(xù)改進機會相關的決定，以及變更數(shù)據安全管理能力的任何需求。77管理評審結果，應保留成文信息。改進當發(fā)生不符合時，組織應：d）評審任何所采取的的糾正措施的有效性；e）必要時，對數(shù)據安全管理體系進行變更。糾正措施應與不符合的影響相適合。不符合的糾正過程，應保留成文信息。組織應持續(xù)改進數(shù)據安全管理體系的適宜性、充分性、有效性。88附 錄 A（規(guī)范性）數(shù)據安全管理體系控制措施數(shù)據安全管理體系控制措施見表A.1。表A.1 據全理控制施控制措施內容組織機構數(shù)據安全組織架構（管理措施）應建立數(shù)據安全管理組織架構，架構應至少包括決策層、管理層、執(zhí)任與權力。崗位職責（管理措施計、合作方管理、應急響應、教育培訓、舉報投訴等方面。主要責任人（管理措施）組織應明確數(shù)據安全主要責任人，責任人履行職責包括但不限于：人員管理責任保持（管理措施）應明確數(shù)據安全追責機制，定期對責任部門和崗位進行安全檢查，形成檢查報告。（管理措施）應與接觸敏感個人信息、重要數(shù)據、核心數(shù)據的關鍵崗位人員簽署安全責任書，并在其調離崗位或解除勞動合同前，與其簽署保密協(xié)議。（管理措施）應對接觸敏感個人信息、重要數(shù)據、核心數(shù)據的關鍵崗位人員進行背景調查，調查應涉及法律法規(guī)、行業(yè)道德準則、專業(yè)能力等方面內容。（管理措施應建立明確的獎懲制度體系并在組織內部進行宣貫以確保相關人員建立數(shù)據安全意識。教育培訓（管理措施）組織應制定數(shù)據安全管理相關崗位人員培訓計劃，并按計劃定期開展響應、專業(yè)知識及技術工具應用、安全意識等。（管理措施30并留存培訓考核記錄。制度保障制度體系（管理措施）組織應建立完整的制度體系，應至少包括以下四個層級：文件，相關文件應覆蓋組織的數(shù)據安全管理方針、安全目標、安全原則；舉報投訴等方面內容；99表A.1 據全理系控措（）控制措施內容制度保障制度體系并形成相應的配套模板；d)第四層級，在相關管理制度執(zhí)行過程中應形成相應的計劃、表格、報告、運行/檢查記錄、日志文件等。數(shù)據安全戰(zhàn)略規(guī)劃（管理措施）應明確符合組織數(shù)據戰(zhàn)略規(guī)劃的數(shù)據安全總體策略，明確數(shù)據安全目標、方針和原則。（管理措施）應明確組織數(shù)據安全戰(zhàn)略規(guī)劃路徑，包括各階段目標、任務、工作重點等，并保證其與組織的實際業(yè)務規(guī)劃相適應。數(shù)據資產管理（管理措施）組織應建立數(shù)據資產管理制度，明確數(shù)據資產登記機制，建立數(shù)據資產清單，明確數(shù)據資產相關方。（管理措施）組織應定期梳理數(shù)據資產，并根據數(shù)據資產范圍的變化更新數(shù)據資產清單。（技術措施）組織應建立數(shù)據資產識別技術手段，定期對相關平臺系統(tǒng)進行梳理，明確數(shù)據資源內容、數(shù)據量、類別分布等信息，應具備發(fā)現(xiàn)敏感個人信息、重要數(shù)據、核心數(shù)據的技術能力。分類分級（管理措施）組織應建立數(shù)據分類分級制度，明確數(shù)據分類分級的原則、方法和手段。（管理措施）組織應對其數(shù)據資產實施分類分級管理工作，并形成數(shù)據分類分級清單；分類分級清單應覆蓋組織全部數(shù)據資產。（技術措施）組織應根據組織的業(yè)務特點和外部合規(guī)要求，對不同類別和級別的數(shù)據建立差異化的權限控制、加密脫敏、存儲防護等安全保障措施。權限管理（管理措施）組織應制定權限管理辦法，明確對涉及數(shù)據處理相關的系統(tǒng)和數(shù)據庫的身份標識與鑒別、訪問控制及權限的分配、變更、撤銷等管理要求。（管理措施）應明確系統(tǒng)平臺及數(shù)據庫的用戶賬號權限審批和操作流程，形成并定期更新權限分配表。（管理措施）應按最小夠用等原則對用戶賬號權限進行分配。（管理措施）應定期審核數(shù)據訪問權限，及時清理回收過期賬戶權限。（管理措施）涉及數(shù)據重大操作的（如數(shù)據批量復制、傳輸、處理、開放共享和銷毀等），組織應采取多人審批授權或操作監(jiān)督，并實施日志審計。（技術措施）關鍵系統(tǒng)和數(shù)據庫應具備訪問控制功能，具備對用戶權限進行分配的能力。安全審計（管理措施）組織應建立數(shù)據安全審計相關制度規(guī)范，明確審計對象、審計內容、實施周期、審計流程等要求，明確數(shù)據安全審計過程中各相關方的職責。（管理措施組織應配備數(shù)據安全管理審計人員，定期對數(shù)據安全管理體系建設、運行過程及相關控制措施進行審計。（管理措施）組織應定期對內部員工數(shù)據操作行為進行人工審計。（管理措施IP訪問行為提供支撐，日志保存時間不少于180天，但法律法規(guī)另有規(guī)定的除外。1010表A.1 據全理系控措（）控制措施內容安全審計（技術措施）應建立針對數(shù)據訪問和操作的日志監(jiān)控技術工具，實現(xiàn)對數(shù)據異常行為的告警與處置等核心功能。（技術措施）應建立部署數(shù)據防泄漏技術手段，具備對不同渠道數(shù)據導入導出行為進行監(jiān)控及對個人信息、重要數(shù)據等的外發(fā)行為進行告警上報的能力。合作方管理（管理措施）組織應建立合作方數(shù)據安全管理制度規(guī)范，確定數(shù)據合作的目標及原則，明確數(shù)據合作管理的責任部門和人員、合作方資質能力、合作方監(jiān)督管理等要求。（管理措施）應明確針對數(shù)據合作方的數(shù)據安全能力標準規(guī)范，根據該規(guī)范對數(shù)據供應商的數(shù)據安全能力進行評估，并將評估結果應用于供應商選擇、供應商審核等供應商管理過程中。（管理措施）建立合作方管理臺賬機制，梳理形成并定期更新合作方清單，清單應至少包括：合作方企業(yè)名稱、合作業(yè)務或系統(tǒng)、合作形式、合作期限、合作方聯(lián)系人等。（管理措施（企業(yè)），合作結束后數(shù)據刪除要求，合作方違約責任和處罰等。應急響應（管理措施）組織應建立數(shù)據安全事件管理和應急響應的策略規(guī)劃，制定數(shù)據安全應急響應預案，明確應急響應及應急處置方案。（管理措施）應根據數(shù)據安全事件對組織的影響等因素劃分事件類型、等級，明確不同類別事件的處置流程和方法，形成相應類型事件的應急預案。（管理措施）應明確應急響應負責人，定期組織開展應急演練活動。舉報投訴（管理措施）組織應建立數(shù)據安全舉報投訴與受理機制，明確舉報投訴與受理責任部門和人員、處理流程、處理要求等。（管理措施在線客服等。（管理措施）應建立舉報投訴臺賬，對舉報投訴的來源、事件描述、處理過程、處理結果、處理周期等方面進行留檔記錄。數(shù)據全生命周期保護數(shù)據收集（管理措施）組織應制定數(shù)據收集管理規(guī)范，明確數(shù)據收集的原則、渠道、流程、方法、數(shù)據格式等要求。（管理措施）利用外部數(shù)據源采集數(shù)據時，應對數(shù)據源的合法合規(guī)性進行確認，并定期開展數(shù)據收集合規(guī)性審查。（管理措施的授權同意。（技術措施）應采取技術手段對外部收集的數(shù)據和數(shù)據源進行識別和記錄。數(shù)據傳輸（管理措施）組織應建立數(shù)據傳輸安全管理規(guī)范，明確數(shù)據傳輸加密場景，形成相應場景下的安全傳輸策略和操作規(guī)程。1111表A.1 據全理系控措（）控制措施內容數(shù)據全生命周期保護數(shù)據傳輸（技術措施）應具備對數(shù)據進行加密傳輸?shù)募夹g能力，如采用相應的加密算法或安全傳輸通道（SSL/TLS/IPsec等方式）。（管理措施）傳輸敏感個人信息時，應依據相關法律法規(guī)及組織分類分級原則，對敏感個人信息采取加密等安全措施。（管理措施）應明確組織數(shù)據出境業(yè)務場景，按照國家數(shù)據出境相關管理辦法要求執(zhí)行數(shù)據出境安全評估等工作，并留存相關安全評估記錄。數(shù)據存儲（管理措施）組織應建立數(shù)據存儲的安全管理規(guī)范，結合數(shù)據分類分級策略和管理設備的安全管理規(guī)定。（管理措施）組織應建立數(shù)據備份與恢復的管理制度，明確數(shù)據備份與恢復的操作規(guī)程，確定數(shù)據備份的周期、方式、地點及恢復驗證機制等要求。（管理措施）對授權收集到的敏感個人信息、重要數(shù)據、核心數(shù)據，應采取加密存儲的方式，并且個人信息存儲期限應為實現(xiàn)個人信息主體授權使用的目的所需的最短時間。（技術措施）應建立技術手段支撐數(shù)據安全存儲管理和備份恢復，應具備如配置掃描、身份鑒別、訪問控制等能力。數(shù)據使用（管理措施）組織應結合數(shù)據分類分級策略和管理要求，制定不同目的下的數(shù)據使用審批流程、數(shù)據脫敏處理規(guī)則等，明確數(shù)據使用的安全策略和操作規(guī)程。（管理措施）應建立數(shù)據使用的評估制度，涉及敏感個人信息、重要數(shù)據及核心數(shù)據的使用應先進行安全影響評估，滿足國家合規(guī)要求后，允許使用。（管理措施）除為達到用戶授權同意的使用目的外，使用個人信息時應消除明確身人信息主體產生的影響。（管理措施應再次征得用戶明示同意。（技術措施數(shù)據開放共享（管理措施）組織應建立數(shù)據開放共享管理規(guī)范，確定數(shù)據開放共享安全策略和操作規(guī)程，明確數(shù)據開放共享范圍、內容與有效控制機制。（管理措施）應建立數(shù)據開放共享安全評估機制，確保數(shù)據開放共享未超出需求及授權范圍。（管理措施）應定期對共享發(fā)布的的數(shù)據進行審查，確保數(shù)據開放共享的合規(guī)性。（管理措施）應制定數(shù)據接口安全管理規(guī)范，明確數(shù)據接口的技術控制策略，如身份鑒別、訪問控制、授權策略、安全