DB41
河南省地方标 准
水利数据安全能力评估指南
河南省市场监督管理局 发布
目次
前言.2规范性引用文件 1范围..3术语和定义4评估原则.5评估方法和程序6评估指标7评估结论附录A(资料性) 评估指标...附录B(资料性) 水利数据安全能力评估报告封面(样式)参考文献.
前言
本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任.
本文件由河南省水利厅提出.
本文件由河南省水利标准化技术委员会(HN/TC22)归口.
本文件起草单位:河南省水文水资源中心、河南省水利科技应用中心.
本文件主要起草人:宋博、唐学哲、闫长位、李延峰、马艳波、刘念龙、王骏、侯琳琳、韩建杰、韩慧颖、周彦平、马广亮、张冰、王晶、闫晓敏、赵倩倩、刘子涵、吕鹏举、陈厚强、王峥、多国梁、 云洪勇.
水利数据安全能力评估指南
1范围
本文件给出了水利数据安全评估的原则、方式、指标及程序. 本文件适用于水利行业数据安全检查的评估工作.
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款-其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
GB/T25069信息安全技术术语GB/T37988信息安全技术数据安全能力成熟度模型
3术语和定义
GB/T25069和GB/T37988界定的以及下列术语和定义适用于本文件.
3. 1
水利数据
在水利行业工作中,任何以电子或者其他方式对信息的记录.
4评估原则
4.1客观性:客观、公正,不受评估对象、评估时间、评估人员等任何因素影响.4.2可操作性:通过量化指标体系,使评估工作具备可行性及实用性.4.3可再现性:在相同评估环境下,对同一对象重复执行评估都将得到同样的结果.4.4保密性:对评估过程中所涉及的信息严格保密.
5评估方法和程序
5.1评分方法和指标分类
5.1.1评分方法采用百分制.5.1.2评估指标分为一级指标、二级指标和单项指标,见附录A.
5.2评估方式
5.2.1人员访谈:对相关人员进行访谈,核查规章制度、防护措施、安全责任落实情况.5.2.2文档查验:查验安全管理制度、数据分类分级有关材料、数据安全风险评估报告、网络安全等5.2.3安全核查:核查网络安全环境、数据全生命周期的策略、配置和防护措施情况. 级保护测评报告、商用密码应用安全性评估报告等.
DB41/T 2854-2025
5.2.4技术验证:宜采用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性.
5.3评估程序
5.3.1准备阶段:组建评估团队,制定工作计划,准备评估工具.确定评估目标和范围,明确涉及的5.3.2评估阶段:按照相应的评估方式对单项指标进行赋分,单项指标全部符合赋分,不符合不赋分. 数据资产、数据处理活动、业务等.留存人员访谈、文档查验、安全核查、技术验证等评估过程文档.5.3.3总结阶段:根据单项指标赋分结果计算总分,并给出评估报告.
6评估指标
6.1安全管理能力
6.1.1数据安全组织
6.1.1.1管理机构职责分工明确,数据处理活动规范.6.1.1.2责任人明确,数据安全资源调配工作合理.6.1.1.3监管小组负责监督数据分类分级、数据安全管理、数据安全防护等.6.1.1.4专职岗位明确.
6.1.2数据安全制度
6.1.2.1总体数据安全战略规划或年度工作计划明确,包含中长期工作目标、内容和计划.6.1.2.2落实网络安全责任制、数据安全责任制,建立网络和数据安全考核及监督间责机制.6.1.2.3明确责任部门与岗位的工作规范和规程. 6.1.2.4水利数据制度评审、发布及审核流程合规并有记录.6.1.2.5根据部门和岗位的职责明确审批权限.6.1.2.6定期开展水利数据安全风险评估和监督检查.
6.1.3数据安全人员管理
6.1.3.1人员签订保密承诺书,关键岗位人员签订岗位责任协议.6.1.3.2人员调离或终止劳动合同时,签订离岗保密承诺书或协议.6.1.3.3数据安全能力具有考核机制,定期开展数据安全专项培训.6.1.3.4关键岗位设立双人双岗.
6.1.4数据分类分级管理
6.1.4.1完成本单位(部门)的数据分类分级工作.6.1.4.2明确数据资产管理者或责任部门,落实数据资产登记机制.6.1.4.3数据分类分级变更和审核等按相关制度执行.
6.1.5供应链管理
6.1.5.1供应链各方的责任和义务明确,签订安全保密承诺书或协议.6.1.5.2供应链各方定期开展数据安全风险评估. 6.1.5.3供应链各方人员访问权限划分清晰.
