数据安全管理体系要求.docx

《数据安全管理体系要求.docx》由会员分享，可在线阅读，更多相关《数据安全管理体系要求.docx（21页珍藏版）》请在优知文库上搜索。

1、ICS33.050CCSM30团体标准T/TAFXXX-XXXX数据安全管理体系要求Requirementsofdatasecuritymanagementsystem2023- XX - XX 实施2023-XX-XX发布电信终端产业协会发布目次前言III1范围12规范性引用文件13术语和定义14组织环境24.1 理解组织及其环境24.2 理解相关方的需求和期望24.3 确定数据安全管理的范围24.4 数据安全管理体系25领导作用21. 1领导作用和承诺25. 2方针35.3组绷勺岗位、职责和权限，.36策划36. 1应对风险和机遇的措施36.1 数据安全风险评估Ai36.2 数据安全风险处

2、置46.3 数据安全目标及其实现的策划47支持j46.4 资源.基题46.5 能力JHMI47. 3意识57. 4沟通57. 5文件化信息58. 6文件化信息的创建和更新59. 7文件化信息的控制58运行58.1 运行的策划和控制58.2 数据全生命周期管理69绩效评价69.1监视、测量、分析和评价69.2内部审核69.3管理审核610改进710.1不符合及纠正措施710.2持续改进7参考文献-.Z-刖三本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协

3、会提出并归口。本文件起草单位：中国信息通信研究院、泰尔认证中心有限公司、北京通和实益电信科学技术研究所有限公司。本规范主要起草人：陈思宇、凌大兵、胡越男、范晓杰、薛刚、李杰强、李思桥、刘晓、叶东岳、陈思、汪志、赵昕、王雪、杨光、田崇贤。数据安全管理体系要求1范围本文件规定了数据安全管理体系的要求，包括基于ISO管理体系高层架构的数据安全管理要求和配套技术能力要求。本文件适用于企业组织开展数据安全管理体系的建设也适用于第三方机构对企业组织的数据安全管理体系进行评价测试工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适

4、用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T190002016质量管理体系基础和术语GB/T250692010信息安全技术术语GB/T35273-2020信息安全技术个人信息安全规范3术语和定义下列术语和定义适用于本文件。3.1数据安全通过管理和技术措施，确保数据有效保护和合规使用的状态。来源:GB/T379882019,3.23.2个人信息个人信息是以电子或者其他方式记录的与己识别或者可识别的自然人有关的各种信息不包括匿名化处理后的信息。来源:GB/T352732020,3.13.3敏感个人信息一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者

5、人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。来源：GB/T352732020,3.23.4 个人信息处理者在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。注：与GB/T35273-2020中的“个人信息控制者”所指一致。3.5 去标识化个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。来源:GB/T352732020,3.153.6 匿名化个人信息经过处理无法识别特定自然人且不能复原的过程。注：匿名化处理后的信息不属于个人信息。来源：GB/T352732020,3.

6、144组织环境4.1 理解组织及其环境组织应确定与其战略方向及业务活动相关并影响其实现数据安全管理及合规应用的各种外部和内部因组织应在核心业务中识别敏感个人信息、重要数据、核心数据及数据出境的情况，并建立数据安全合规清单。4.2 理解相关方的需求和期望组织应确定与数据安全管理有关的内外部相关方，并持续监视评价相关方的信息。组织应识别相关方对于数据安全管理方面的要求和期望，并形成相关方的要求和期望清单。4.3 确定数据安全管理的范围组织应针对不同业务条线形成不同颗粒度和侧重点的数据安全管理要求，并确定不同业务条线间的数据安全管理边界和适用性，以明确其范围。在确定范围时，组织应考虑：a) 4.1中

7、提及的各种内外部因素；b) 4.2中提及的相关方的要求和期望；c)不同业务条线的数据安全需求及特点。4.4 数据安全管理体系组织应按照本标准的要求，建立、实施、保持和持续改进数据安全管理体系，包括所需的控制及其相互作用。5领导作用5.1 领导作用和承诺最高管理者应通过以下方面，证实其对数据安全管理能力的领导作用和承诺：a) b) c) d) e) f) g) h)确保建立了数据安全战略和目标，并与组织的战略方向致;确保数据安全管理要求融入组织的业务过程；促进使用过程方法和基于风险的思维；确保数据安全管理体系所需的资源是可获得的；确保数据安全管理能力实现其预期结果；指导并支持相关人员为数据安全管

8、理体系的有效性作出贡献;推动持续改进数据安全管理体系；支持其他相关管理者在其职责范围内发挥领导作用。5.2 方针最高管理者应制定、实施和保持数据安全管理方针，该方针应：a）满足4.1和4.2中提及的组织内外部因素、相关方需求和期望；b）符合组织的战略发展方向及数据战略规划；c）为建立数据安全目标提供框架。方针应保持成文信息，并在组织内得到沟通、理解和应用。5.3 组织的岗位、职责和权限最高管理者应确保组织与数据安全管理相关的职责、权限得到分配和沟通。最高管理者应分配职责和权限，以：a）确保数据安全管理体系符合本标准的要求；b）向最高管理者报告数据安全管理体系的绩效；最高管理者应确保组织按附录A

9、中组织机构的相关要求建立数据安全组织架构，明确岗位职责，确定数据安全主要负责人。6策划6.1 应对风险和机遇的措施组织在策划数据安全管理体系时，应考虑4.1所提及的因素和4.2所提及的要求，并确定需要应对的数据安全风险和机遇。组织应策划：应对这些风险和机遇的措施；如何在数据安全管理能力过程中整合并实施这些措施;如何评价这些措施的有效性。6.2 数据安全风险评估组织应建立数据安全风险评估过程，过程应包括：a）制定数据安全风险准则；b）实施数据安全风险评估活动；c）开展数据安全风险的分析及评价；组织应制定并维护数据安全风险准则，准则应包括：a）明确数据安全风险评估原则；b）明确数据安全风险评估的实

10、施流程；c）明确数据安全威胁及脆弱性分类；d）明确风险责任人；组织应依据数据安全风险评估准则定期开展数据安全风险评估活动，风险评估活动应包括：a）识别数据资产及数据应用场景；b）识别威胁、脆弱性及已有安全措施；组织应依据数据安全风险准则开展数据安全风险的分析及评价，应包括：a）依据数据资产、威胁及脆弱性等相关影响因素确定安全事件发生可能性；b）依据数据资产及脆弱性程度确定安全事件影响程度；c）依据安全事件发生可能性及安全事件影响程度，确定数据资产在相应场景下的安全风险项；d）综合各场景中的风险项，确定总体安全风险；6.3 数据安全风险处置组织应实施数安全风险处置过程，过程应满足：a）建立数据安

11、全风险处置计划，并按计划实施数据安全风险处置活动；b）根据安全风险及相关分析评价结果，确定需进行数据安全风险处置的风险项；c）将6.3b）确定的风险项所采取的控制措施与附录A中的控制进行比较，并验证没有忽略必要的控制；6.4 数据安全目标及其实现的策划组织应在相关职能和层级上建立数据安全目标。数据安全目标应：a）基于组织的数据安全总体策略，与数据安全方针保持一致；b）可测量（如可实现）；c）考虑适用的数据安全法律法规、数据安全风险及相关方的要求；d）得到监视及沟通；e）适时更新。组织应保持有关数据安全目标的成文信息。策划如何实现数据安全目标时，组织应确定：a）要做什么；b）所需资源；c）由谁负

12、责；d）何时完成；e）如何评价结果。注：数据安全目标及战略规划具体控制措施参考附录A数据安全战略规划。7支持7.1 资源组织应确定并提供建立、实现、维护和持续改进数据安全管理体系所需的资源。7.2 能力组织应：a）确定在组织控制下从事会影响组织数据安全绩效的工作人员的必要能力；b）确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作；c）适用时，采取措施以获得必要的能力，并评估所采取措施的有效性；d）保留适当的文件化信息作为能力的证明。注：教育培训的具体控制措施见附录A人员管理。7.3 意识组织应确保在其控制下的工作人员意识到：a）数据安全管理方针；b）其对数据安全管理体系有效性的贡献，

13、包括改进数据安全管理体系绩效的益处；c）不符合数据安全管理体系要求的后果。注：建立意识的具体措施可参考附录A人员管理中的责任保持部分。7.4 沟通组织应确定与数据安全管理体系相关的内部和外部的沟通需求，包括：沟通内容、沟通时机、沟通对象、沟通方式等。7.5 文件化信息组织的数据安全管理体系应包括：a）本标准要求的文件化信息；b）为数据安全管理体系有效性，组织所确定的必要的文件化信息；注：组织的文件化体系内容见附录A制度保障。7.6 文件化信息的创建和更新组织创建和更新数据安全管理体系文件化信息时，组织应确保适当的：a）标识和描述（如标题、日期、作者或引用编号）；b）格式（如语言、版本、图表）和

14、介质（如纸质或电子）；c）对适宜性和充分性的评审和批准。7.7 文件化信息的控制应控制数据安全管理体系和本标准所要求的成文信息，以确保：a）在需要的场合和时机，均可获得并适用；b）予以妥善保护（如防止泄密、不当使用或损失）；为控制文件化信息，适用时，组织应强调以下活动：c）审批、分发、访问、检索和使用；d）存储和保护，包括保持可读性；e）控制变更（如版本控制）；f）保留和处理。对于组织确定的策划和运行数据安全管理体系所必须的来自外部的成文信息，组织应进行适当识别，并予以控制。8运行8.1 运行的策划和控制为满足数据安全的要求，并实施第6章所确定的措施，组织应通过以下措施对所需的过程进行策划、实施和控制：a）建立附录A所列明的数据安全管理体系控制措施，包括数据安全组织机构、人员管理、制度保障、数据安全战略规划、数据资产管理、分类分级、权限管理、安全审计、合作方管理、应急响应、举报投诉相关管理控制措施；b）按照相关控制措施对实际的实施过程进行控制；应在必要的范围和程度上保留文件化信息，以确信相关措施己按照计划得到执行。8.2 数据全生命周期管理组织应按附录A建立数据全生命周期的管理，明确针对数据采集、数据传输、数据存储、数据使用、数据开放共享及数据销