信息安全技術(shù) 電信領(lǐng)域數(shù)據(jù)安全指南_第1頁(yè)
信息安全技術(shù) 電信領(lǐng)域數(shù)據(jù)安全指南_第2頁(yè)
信息安全技術(shù) 電信領(lǐng)域數(shù)據(jù)安全指南_第3頁(yè)
信息安全技術(shù) 電信領(lǐng)域數(shù)據(jù)安全指南_第4頁(yè)
信息安全技術(shù) 電信領(lǐng)域數(shù)據(jù)安全指南_第5頁(yè)
已閱讀5頁(yè),還剩7頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息安全技術(shù)電信領(lǐng)域數(shù)據(jù)安全指南2023-03-17發(fā)布2023-10-01實(shí)施國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)GB/T42447—2023前言 I 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 15概述 26安全原則 27電信數(shù)據(jù)通用安全措施 27.1組織保障 27.2數(shù)據(jù)分類(lèi)分級(jí) 37.3權(quán)限管理 3 37.5安全審計(jì) 37.6風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警 47.7應(yīng)急響應(yīng) 47.8安全評(píng)估 47.9教育培訓(xùn) 48電信數(shù)據(jù)處理安全措施 58.1數(shù)據(jù)收集 58.2數(shù)據(jù)存儲(chǔ) 58.3數(shù)據(jù)使用加工 58.4數(shù)據(jù)傳輸 58.5數(shù)據(jù)提供 68.6數(shù)據(jù)公開(kāi) 68.7數(shù)據(jù)銷(xiāo)毀 6參考文獻(xiàn) 7本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位:中國(guó)移動(dòng)通信集團(tuán)有限公司、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中國(guó)信息通信研究院、中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、中國(guó)電信集團(tuán)有限公司、中國(guó)人民銀行數(shù)字貨幣研究所、成都思維世紀(jì)科技有限責(zé)任公司、中國(guó)科學(xué)院信息工程研究所、北京優(yōu)炫軟件股份有限公司、國(guó)家工業(yè)信息安全發(fā)展研究中心、北京東方通網(wǎng)信科技有限公司、北京亞鴻世紀(jì)科技發(fā)展有限公司、山谷網(wǎng)安科技股份有限公司、重慶郵電大學(xué)、北京明朝萬(wàn)達(dá)科技股份有限公司、閃捷信息科技有限公司、上海有限公司、北京郵電大學(xué)、慧盾信息安全科技(蘇州)股份有限公司。I信息安全技術(shù)電信領(lǐng)域數(shù)據(jù)安全指南本文件適用于指導(dǎo)電信數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)安全保護(hù)工作,也適用于指導(dǎo)第三方機(jī)構(gòu)開(kāi)展電信數(shù)下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文本文件。GB/T41479—2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求GB/T41479—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。在電信領(lǐng)域業(yè)務(wù)經(jīng)營(yíng)活動(dòng)中產(chǎn)生和收集的數(shù)據(jù)。注1:如用戶(hù)身份信息、通話數(shù)據(jù)、位置數(shù)據(jù)、信令數(shù)據(jù)、取得電信業(yè)務(wù)經(jīng)營(yíng)許可證,且在電信數(shù)據(jù)處理活動(dòng)中自主決定處理目的、處理方式的電信業(yè)務(wù)經(jīng)注:電信數(shù)據(jù)處理者包括基礎(chǔ)電信業(yè)務(wù)經(jīng)營(yíng)者和互聯(lián)網(wǎng)數(shù)據(jù)中心、互聯(lián)網(wǎng)接入服務(wù)、在線數(shù)據(jù)處理與交易處理、互聯(lián)網(wǎng)信息服務(wù)等增值電信業(yè)務(wù)經(jīng)營(yíng)者。4縮略語(yǔ)IP:互聯(lián)網(wǎng)協(xié)議(internetprotocol)1MAC:媒體訪問(wèn)控制(mediaaccesscontrol)SSL:安全套接層協(xié)議(securesocketlayer)VPN:虛擬專(zhuān)用網(wǎng)絡(luò)(virtualprivatensetwork)5概述電信數(shù)據(jù)處理者按照有關(guān)要求和標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)分類(lèi)分級(jí)保護(hù),在識(shí)別電信領(lǐng)域核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)的基礎(chǔ)上,采取數(shù)據(jù)安全措施,開(kāi)展數(shù)據(jù)處理活動(dòng)。第7章及第8章給出的安全措施分為和核心數(shù)據(jù)時(shí),電信數(shù)據(jù)處理者宜在采取一般措施的基礎(chǔ)上同時(shí)采取增強(qiáng)措施保護(hù)數(shù)據(jù)安全。注1:重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別規(guī)則參考國(guó)家、行業(yè)相關(guān)規(guī)范,其他均屬于一般數(shù)據(jù)。由于一般數(shù)據(jù)涵蓋數(shù)據(jù)范圍較廣,電信數(shù)據(jù)處理者可根據(jù)生產(chǎn)經(jīng)營(yíng)需求對(duì)一般數(shù)據(jù)進(jìn)行細(xì)化分級(jí)。注2:對(duì)于未區(qū)分一般措施和增強(qiáng)措施的環(huán)節(jié),一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)參考同等措施進(jìn)行保護(hù)。6安全原則電信數(shù)據(jù)處理者遵循如下原則:d)全生命周期管控原則:數(shù)據(jù)安全保護(hù)措施涵蓋數(shù)據(jù)從產(chǎn)生到銷(xiāo)毀的生命周期全過(guò)程;數(shù)據(jù)安全保護(hù)措施。7電信數(shù)據(jù)通用安全措施7.1組織保障電信數(shù)據(jù)處理者在組織保障方面宜采取以下安全措施。a)一般措施:1)明確數(shù)據(jù)安全管理職責(zé)部門(mén),配備數(shù)據(jù)安全管理人員,制定數(shù)據(jù)安全制度規(guī)范和操作規(guī)2)建立數(shù)據(jù)安全保護(hù)情況監(jiān)督檢查和考核管理制度,開(kāi)展數(shù)據(jù)安全監(jiān)督檢查和考核管理。b)增強(qiáng)措施:安全管理機(jī)構(gòu)與相關(guān)部門(mén)的協(xié)作機(jī)制;2)明確組織內(nèi)數(shù)據(jù)安全管理第一責(zé)任人員等關(guān)鍵角色;2電信數(shù)據(jù)處理者在數(shù)據(jù)分類(lèi)分級(jí)方面宜采取以下安全措施。1)定期梳理數(shù)據(jù)資產(chǎn),形成并及時(shí)更新數(shù)據(jù)資產(chǎn)清單,按照有關(guān)規(guī)定開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)7.3權(quán)限管理電信數(shù)據(jù)處理者在權(quán)限管理方面宜采取以下安全措施。3)對(duì)開(kāi)展數(shù)據(jù)處理活動(dòng)的平臺(tái)系統(tǒng),使用技術(shù)手段進(jìn)行權(quán)限管理和賬號(hào)管理(如4A),同時(shí)控制超級(jí)管理員權(quán)限賬戶(hù)數(shù)量;2)對(duì)開(kāi)展重要數(shù)據(jù)和核心數(shù)據(jù)處理活動(dòng)的平臺(tái)系統(tǒng),具備基于IP地址、賬號(hào)與口令等的用電信數(shù)據(jù)處理者在日志留存方面宜采取以下安全措施。7.5安全審計(jì)電信數(shù)據(jù)處理者在安全審計(jì)方面宜采取以下安全措施。越權(quán)訪問(wèn)數(shù)據(jù)和遠(yuǎn)程訪問(wèn)數(shù)據(jù)等重點(diǎn)場(chǎng)景安全審計(jì)和數(shù)據(jù)分析;3況總結(jié)。b)增強(qiáng)措施:1)開(kāi)展數(shù)據(jù)安全審計(jì)技術(shù)能力建設(shè)(如4A),細(xì)化常見(jiàn)風(fēng)險(xiǎn)和易發(fā)事件安全審計(jì)策略;2)按照有關(guān)規(guī)定定期形成重要數(shù)據(jù)、核心數(shù)據(jù)安全審計(jì)情況總結(jié)。電信數(shù)據(jù)處理者在風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警方面宜采取以下安全措施:開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè),對(duì)數(shù)據(jù)資產(chǎn)、進(jìn)行排查和預(yù)警,及時(shí)采取補(bǔ)救措施。對(duì)可能造成較大及以上安全事件的風(fēng)險(xiǎn),按照有關(guān)規(guī)定進(jìn)行上報(bào)。7.7應(yīng)急響應(yīng)電信數(shù)據(jù)處理者在應(yīng)急響應(yīng)方面宜采取以下安全措施。1)制定數(shù)據(jù)安全事件應(yīng)急預(yù)案,根據(jù)事件等級(jí)明確應(yīng)急響應(yīng)責(zé)任分工、工作流程和處置措施等:7.8安全評(píng)估電信數(shù)據(jù)處理者在安全評(píng)估方面宜采取以下安全措施。1)定期對(duì)本單位整體數(shù)據(jù)安全保護(hù)水平、重點(diǎn)業(yè)務(wù)與平臺(tái)系統(tǒng)數(shù)據(jù)安全保障情況進(jìn)行梳理和自查;計(jì)劃。b)增強(qiáng)措施:2)按照有關(guān)規(guī)定向相關(guān)部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。7.9教育培訓(xùn)電信數(shù)據(jù)處理者在教育培訓(xùn)方面宜采取以下安全措施。1)制定數(shù)據(jù)安全崗位人員教育和培訓(xùn)計(jì)劃,對(duì)數(shù)據(jù)安全相關(guān)崗位人員定期開(kāi)展教育培訓(xùn);48電信數(shù)據(jù)處理安全措施8.1數(shù)據(jù)收集2)開(kāi)展重要數(shù)據(jù)和核心數(shù)據(jù)收集人員設(shè)備安全管理,采取安全防護(hù)手段防止針對(duì)數(shù)據(jù)收集a)一般措施:1)明確數(shù)據(jù)使用加工的審批流程及處理規(guī)則;1)根據(jù)業(yè)務(wù)流程、網(wǎng)絡(luò)部署和安全風(fēng)險(xiǎn)等情況,劃分網(wǎng)絡(luò)系統(tǒng)安全域。根據(jù)傳輸?shù)臄?shù)據(jù)類(lèi)5安全傳輸通道(如VPN)或者安全傳輸協(xié)議(如SSL)等措施,保障重要數(shù)據(jù)傳輸?shù)陌?)數(shù)據(jù)提供涉及數(shù)據(jù)出境時(shí),按照國(guó)家相關(guān)規(guī)定和相b)增強(qiáng)措施:2)銷(xiāo)毀重要數(shù)據(jù)和核心數(shù)據(jù)后,不以任何理由、任何方式進(jìn)行恢復(fù),并按照有關(guān)規(guī)定更新6[1]GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[2]GB/T35295—2017信息技術(shù)大數(shù)據(jù)術(shù)語(yǔ)[3]GB/T36624—2018信息技術(shù)安全技術(shù)可鑒別的加密機(jī)制[4]GB/T37973—2019信息安全技術(shù)大數(shù)據(jù)安全管理指南[5]GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型1信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求[7]YD/T3801—2020電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法[8]YD/T3813—2020基礎(chǔ)電信企業(yè)數(shù)據(jù)分類(lèi)分級(jí)方法[9]國(guó)家互聯(lián)網(wǎng)信息辦公室,數(shù)據(jù)出境安全評(píng)估辦法,2022年7月7日[10]中華人民共和國(guó)國(guó)務(wù)院令第745號(hào),關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論