SL/T 846-2025
水利重要数据安全保护要求
1范围 本标准规定了水利重要数据安全保护的基本原则、重要数据识别和安全保护框架,以及数据安全 管理、数据安全技术、数据安全运营等要求。
本标准适用于指导水利部、流城管理机构、地方水行政主管部门、水利工程管理单位等各级水利 部门开展重要数据安全保护建设和监督管理。
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。
其中,注日期的引用文 件,仅该日期对应的版本适用于本标准;不注日期的引用文件,其最新版本(包括的修改单)适 用于本标准。
GB/T22239信息安全技术网络安全等级保护基本要求 GB/T35273一2020信息安全技术个人信息安全规范 GB/T36951信息安全技术物联网感知终端应用安全技术要求 GB/T39786信息安全技术信息系统密码应用基本要求 GB/T43697数据安全技术数据分类分级规则 GB/T45574数据安全技术敏感个人信息处理安全要求 SL/T803水利网络安全保护技术规范 3术语和定义 下列术语和定义适用于本标准。
3.1 重要数据criticaldata 特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或纂改、损毁,可能直接 危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
注:仅影响组织自身或公民个体的数据一般不作为重要数据。
[米源:GB/T43697-2024,3.2] 3.2 数据安全datasecurity 通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的 能力。
[来源:GB/T41479-2022,3.4] 3.3 数据处理者dataprocessor 在数据处理活动中自主决定处理目的、处理方式的组织、个人。
[来源:GB/T 43697-2024,3.11] 3. 4 去标识化de-identification 通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体 的过程。
1
SL/T 846-2025 [来源:GB/T35273-2020.3.15] 4缩略语 下列缩略语适用于本标准。
SQl:结构化查询语言(Struetured QucryLanguage) App:应用程序(Application) SOAP:简单对象访问协议(SimpleObjectAccessProtocol) RESTful:表现层状态转化(ResourceRepresentational State Transfer) gRPC:谷歌远程过程调用(GoogleRemoteProcedure Call) VPN:虚拟专用网络(VirtualPrivateNetwork) SSL:安全套接字层(Secure SocketLayer) APl:应用程序接口(ApplicationProgrammingInterface) 5基本原则 水利重要数据安全保护基本原则如下: a)合规有效原则:应确保重要数据处理活动的合规性和正当性,应依据本标准和网络安全等级 保护、信息系统密码应用等国家标准规范要求开展数据安全保护。
b)权责一致原则:应按“谁管业务,谁管业务数据,谁管数据安全”的原则,梳理数据处理活 动涉及的业务部门、技术部门等,明确数据安全保护责任和义务。
c)全程可控原则:应采取必要的管控机制和技术措施,确保重要数据在数据处理活动各环节的 机密性、完整性和可用性。
d)持续完善原则:应定期更新重要数据日录,根据数据的重要性、面临的数据安全威胁、已有 的数据安全措施等,持续完善数据安全保护措施。
e)统筹协调原则:应统筹发展和安全,协调业务应用需求和安全保护措施,促进数据安金保护 和业务应用共同发展。
0)安全可信原则:应采用安全可靠的网络产品和服务。
6重要数据识别和安全保护框架 6.1重要数据识别 重要数据识别要求如下: a)应对数据资产(包括原始数据和衍生数据)进行梳理,形成数据资产情况表。
b)应依据GB/T43697和水利行业数据分类分级制度标准,确定数据资源所属的类别和级别, 识别重要数据,形成重要数据目录。
c)应全面梳理重要数据基本情况、责任主体、处理环节、相关参与者信息、出境情况、安全保 护情况等。
d)应根据数据类别和级别的定期评审结果,及时更新重要数据目录。
6.2安全保护框架 水利重要数据安全保护应以重要数据识别为前提和基础,对数据实行分类分级保护,加强对重要 数据的重点保护。
安全保护框架宜包含数据安全管理、数据安全技术、数据安全运营,如图1所示, 具体内容如下: a)数据安全管理应建立数据安全管理制度、明确数据安全管理机构、加强数据安全人员管理, 2
SL/T846-2025 从管理层面落实数据安全保护要求。
b)数据安全技术应围绕数据收集、存储、使用、加工、传输、提供、公开、销毁等数据处理活 动全流程采取技术管控措施。
c)数据安全运营应从资产管理、风险监测、威胁管理、风险评估、应急处置等方面,持续监控、 检测、分析和响应数据安全威肋和风险。
数据安全管理数据安全技术数据安全运营 数据安全管理数据收集数据存储数据伙用数据提供资产管理 制度风险监测 数据安全管理如成胁管理 机构
风险评估 数据安全人员应急处置 管理 重要数据识别数账资产校理数据分类分级客目落座动态更新管理 数据所处环境业务系统数据库系统存销设备服务终编设备数额传输难理]
图1水利重要数据安全保护框架 7数据安全管理 7.1数据安全管理制度 7.1.1数据安全管理制度及实施细则应覆盖全部数据处理活动,具体如下: a)应明确数据安全总体策略、方针、目标和原则。
b)应深度融合业务流程,建立数据安全日常管理及操作规程,对数据处理活动各环节的数据安 全保护措施提出具体要求。
c)应建立数据安全审查要求与操作程序;数据处理活动可能影响国家安全的,应对数据处理的 目的、范围、方式、安全防护措施、可能带来的风险等进行评估,并按要求申报数据安全审 查,评估和审批记录应留存3年以上。
d)应建立数据处理权限申请与审核机制,申请中应明确数据使用目的、内容、时限、技术防护 错施等,审批记录应留存3年以上。
e)应建立数据处理活动各环节相关记录表单,宜采用电子化手段实现记录和审核。
f)应建立数据安全风险监测预警机制,加强数据安全风险监测、分析、研判、预警的统筹协调。
g)应建立数据安全事件管理、处置规程和应急响应等机制,明确数据安全事件的处置流程及应 对方法。
7.1.2应加强数据处理过程中第三方组织的安全管理,具体如下: a)委托第三方组织建设、运行或维护数据基础设施,存储或加工数据的,应通过合同或协议等 形式,明确第三方组织的数据安全保护责任和义务:应对第三方组织的数据安全保护能力、 资质进行评估和核实。
b)向第三方组织提供或共享数据的,应与接收数据的第三方组织签订合同或协议等法律文件, 约定数据提供和共享的目的、范围、方式、数据量、安全保护措施、数据返还或销毁方式等; 应明确第三方组织发生收购、兼并、重组、破产时,需要继续履行的相关数据安全保护义务。
c)应对第三方组织履行数据安全保护义务进行监督,发现第三方组织落实安全管理责任有问题 3
SL/T846-2025 的,应及时督促整改或停止数据处理权限。
7.1.3应通过正式、有效的方式发布数据安全管理制度及实施细则,确保相关职能部门、岗位和人 员知悉。
7.1.4应定期审核和更新数据安全管理制度及实施细则。
7.1.5在组织架构发生重大调整或业务发生重大变化时,应及时评估和修订数据安全管理制度及实 施细则。
7.2数据安全管理机构 7.2.1应明确数据安全责任人,领导数据安全保护和重大数据安全事件处置工作,组织研究解决重 大数据安全问题。
7.2.2应明确数据安全管理机构,具体负责数据安全保护工作,履行下列职责: a)研究提出数据安全相关重大决策建议。
b)组织制定数据安全总体策略、发展规划、管理制度、实施细则和数据安全事件应急预案。
c)组织开展数据分类分级工作,建立并维护重要数据目录。
d)组织开展数据安全风险监测、风险评估、应急演练、宣传教育培训等活动,督促和协调安全 隐惠整改工作。
e)报告数据安全保护和事件处置情况。
f)组织受理和处置数据安全、举报。
7.2.3数据安全管理机构内应设立数据库管理员、数据安全管理员、数据安全审计员等数据安全关 键岗位,做到职责分离: a)数据库管理员负责数据库系统的日常运行维护。
b)数据安全管理员负责数据安全策略的实施、数据安全风险监测与处置。
c)数据安全审计员负责对数据库管理员、数据安全管理员操作行为等进行审计。
7.2.4业务部门、信息系统建设部门、信息系统运维部门应设立数据安全岗位,履行下列工作职责: a)根据数据安全相关策略、制度、细则等,落实本部门数据安全保护责任。
b)严格履行授权审批程序,为相关方分配数据权限。
c)对本部门数据处理活动各环节的数据安全管控措施有效性进行确认。
d)配合数据安全风险评估及检查检测等工作。
e)制定本部门数据安全应急预案,并定期开展数据安全应急演练。
f)处置本部门数据安全事件。
g)记录本部门数据处理活动日志。
7.3数据安全人员管理 7.3.1岗位权限 岗位权限要求如下: a)应定期植理更新数据安全关键岗位人员清单。
b)应明确数据库管理员、数据安全管理员、数据安全审计员等数据安全关键岗位的数据处理权 限,落实专人专岗要求。
c)数据安全关键岗位人员录用或上岗前,应进行背景审查,并签署岗位安全责任协议。
d)应定期对数据安全相关岗位人员进行评估和技能考核。
e)在人员离岗时,应立即终止并收回其数据处理权限,明确告知其继续履行有关信息的保密义 务,并签订保密承诺书。
4
SL/T846-2025 f)外部人员在访问数据资源前,应预先提出书面或电子化申请,明确访问的数据资源及权限, 批准后由专人开设账户、分配权限,并登记备案。
g)应要求外部人员签订数据安全协议。
7.3.2教育培训 教育培训要求如下: a)应制定年度数据安全培训计划,培训宜分为面向数据安全相关岗位人员的安全专项培训和面 向全体员工的安全意识培训。
b)应针对数据库管理员、数据安全管理员、数据安全审计员等不同数据安全岗位,在培训计划 中明确细化培训内容、培训时间、培训时长、考核评定等相关要求。
c)应根据实际情况及时调整或定期更新培训计划。
d)每年应至少开展1次数据安全专项培训。
8数据安全技术 8.1一般要求 8.1.1处理重要数据的系统应不低于GB/T22239第三级安全要求和SL/T803第三级安全要求,应 通过网络安全等级保护测评。
8.1.2处理重要数据的系统密码应用要求应不低于GB/T39786第三级规定,应通过商用密码应用 安全性评估。
8.1.3应在网络安全防护的基础上,采取身份鉴别与访问控制、加密、脱敏、备份、审计等技术措 施,保证重要数据处理活动全流程数据安全;数据处理活动涉及个人信息的,应遵循GB/T35273、 GB/T45574的规定对个人信息进行保护。
8.1.4应对重要数据处理活动各环节进行记录,确保重要数据处理活动可审计、可追溯;审计日志 应包括操作主体、操作客体、操作时间、操作类型、操作结果等内容,审计日志留存时间应不少于6 个月。
8.2数据收集 8.2.1基本要求 数据收集基本要求如下: a)应明确数据收集的目的、规模、方式、范围、频度、类型、存储期限、存储地点等,并在收 集前进行安全评估,确保数据收集符合国家和行业有关规定。
b)应遵循最小必要原则,收集的数据应为满足业务所必需的最少数量。
c)应采取...
