GB-T 42447-2023 信息安全技術(shù) 電信領(lǐng)域數(shù)據(jù)安全指南

信息安全技術(shù)電信領(lǐng)域數(shù)據(jù)安全指南2023-03-17發(fā)布2023-10-01實(shí)施學(xué)兔兔標(biāo)準(zhǔn)下載前言 I 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5概述 26安全原則 27電信數(shù)據(jù)通用安全措施 27.1組織保障 7.2數(shù)據(jù)分類分級 7.3權(quán)限管理 7.4日志留存 7.5安全審計(jì) 7.6風(fēng)險(xiǎn)監(jiān)測預(yù)警 7.7應(yīng)急響應(yīng) 7.8安全評估 47.9教育培訓(xùn) 8電信數(shù)據(jù)處理安全措施 8.1數(shù)據(jù)收集 8.2數(shù)據(jù)存儲 8.3數(shù)據(jù)使用加工 8.4數(shù)據(jù)傳輸 8.5數(shù)據(jù)提供 8.6數(shù)據(jù)公開 8.7數(shù)據(jù)銷毀 參考文獻(xiàn) 7本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：中國移動通信集團(tuán)有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國信息通信研究院、中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、中國電信集團(tuán)有限公司、中國人民銀行數(shù)字貨幣研究所、成都思維世紀(jì)科技有限責(zé)任公司、中國科學(xué)院信息工程研究所、北京優(yōu)炫軟件股份有限公司、國家工業(yè)信息安全發(fā)展研究中心、北京東方通網(wǎng)信科技有限公司、北京亞鴻世紀(jì)科技發(fā)展有限公司、山谷網(wǎng)安科技股份有限公司、重慶郵電大學(xué)、北京明朝萬達(dá)科技股份有限公司、閃捷信息科技有限公司、上海觀安信息技術(shù)股份有限公司、北京郵電大學(xué)、慧盾信息安全科技(蘇州)股份有限公司。I學(xué)兔兔標(biāo)準(zhǔn)下載信息安全技術(shù)電信領(lǐng)域數(shù)據(jù)安全指南1范圍本文件給出了開展電信領(lǐng)域數(shù)據(jù)處理活動的安全原則、通用安全措施，及在實(shí)施數(shù)據(jù)收集、存儲、使本文件適用于指導(dǎo)電信數(shù)據(jù)處理者開展數(shù)據(jù)安全保護(hù)工作，也適用于指導(dǎo)第三方機(jī)構(gòu)開展電信數(shù)據(jù)安全評估工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T41479—2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求3術(shù)語和定義GB/T41479—2022界定的以及下列術(shù)語和定義適用于本文件。電信領(lǐng)域數(shù)據(jù)telecomdata在電信領(lǐng)域業(yè)務(wù)經(jīng)營活動中產(chǎn)生和收集的數(shù)據(jù)。注1:如用戶身份信息、通話數(shù)據(jù)、位置數(shù)據(jù)、信令數(shù)據(jù)、基站建設(shè)及運(yùn)維數(shù)據(jù)和網(wǎng)絡(luò)優(yōu)化數(shù)據(jù)等。取得電信業(yè)務(wù)經(jīng)營許可證，且在電信數(shù)據(jù)處理活動中自主決定處理目的、處理方式的電信業(yè)務(wù)經(jīng)營者。注：電信數(shù)據(jù)處理者包括基礎(chǔ)電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)數(shù)據(jù)中心、互聯(lián)網(wǎng)接入服務(wù)、在線數(shù)據(jù)處理與交易處理、互聯(lián)網(wǎng)信息服務(wù)等增值電信業(yè)務(wù)經(jīng)營者。數(shù)據(jù)接收方datareceiver數(shù)據(jù)處理中接收數(shù)據(jù)的組織或個(gè)人。[來源：GB/T41479—2022,定義3.11]4縮略語下列縮略語適用于本文件。IP:互聯(lián)網(wǎng)協(xié)議(internetprotocol)學(xué)兔兔標(biāo)準(zhǔn)下載MAC:媒體訪問控制(mediaaccesscontrol)SSL:安全套接層協(xié)議(securesocketlayer)VPN:虛擬專用網(wǎng)絡(luò)(virtualprivatensetwork)5概述電信數(shù)據(jù)處理者在開展數(shù)據(jù)處理活動過程中，提供適當(dāng)?shù)陌踩胧越档碗娦艛?shù)據(jù)處理風(fēng)險(xiǎn)。電信數(shù)據(jù)處理者按照有關(guān)要求和標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)分類分級保護(hù)，在識別電信領(lǐng)域核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)的基礎(chǔ)上，采取數(shù)據(jù)安全措施，開展數(shù)據(jù)處理活動。第7章及第8章給出的安全措施分為一般措施和增強(qiáng)措施；處理一般數(shù)據(jù)時(shí)，電信數(shù)據(jù)處理者宜采取一般措施保護(hù)數(shù)據(jù)安全；處理重要數(shù)據(jù)和核心數(shù)據(jù)時(shí)，電信數(shù)據(jù)處理者宜在采取一般措施的基礎(chǔ)上同時(shí)采取增強(qiáng)措施保護(hù)數(shù)據(jù)安全。注1:重要數(shù)據(jù)和核心數(shù)據(jù)識別規(guī)則參考國家、行業(yè)相關(guān)規(guī)范，其他均屬于一般數(shù)據(jù)。由于一般數(shù)據(jù)涵蓋數(shù)據(jù)范圍較廣，電信數(shù)據(jù)處理者可根據(jù)生產(chǎn)經(jīng)營需求對一般數(shù)據(jù)進(jìn)行細(xì)化分級。注2:對于未區(qū)分一般措施和增強(qiáng)措施的環(huán)節(jié)，一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)參考同等措施進(jìn)行保護(hù)。6安全原則電信數(shù)據(jù)處理者遵循如下原則：a)安全三同步原則：在承載數(shù)據(jù)的相關(guān)平臺設(shè)計(jì)、建設(shè)和運(yùn)行過程中，做到數(shù)據(jù)安全保護(hù)措施的b)分類分級保護(hù)原則：對數(shù)據(jù)進(jìn)行分類分級，并根據(jù)類別屬性、重要及敏感程度等差異性特征，采取適當(dāng)?shù)?、與數(shù)據(jù)安全風(fēng)險(xiǎn)相適應(yīng)的安全措施，保障數(shù)據(jù)安全；中，所使用的數(shù)據(jù)類型及數(shù)據(jù)規(guī)模僅限定為業(yè)務(wù)開展所必需，且具有合法、正當(dāng)、必要的目的；d)全生命周期管控原則：數(shù)據(jù)安全保護(hù)措施涵蓋數(shù)據(jù)從產(chǎn)生到銷毀的生命周期全過程；e)持續(xù)評估優(yōu)化原則：對安全措施進(jìn)行常態(tài)化、全面化安全評估，并根據(jù)評估結(jié)果持續(xù)動態(tài)優(yōu)化數(shù)據(jù)安全保護(hù)措施。7電信數(shù)據(jù)通用安全措施7.1組織保障電信數(shù)據(jù)處理者在組織保障方面宜采取以下安全措施。a)一般措施：1)明確數(shù)據(jù)安全管理職責(zé)部門，配備數(shù)據(jù)安全管理人員，制定數(shù)據(jù)安全制度規(guī)范和操作規(guī)程，配備數(shù)據(jù)安全技術(shù)能力；2)建立數(shù)據(jù)安全保護(hù)情況監(jiān)督檢查和考核管理制度，開展數(shù)據(jù)安全監(jiān)督檢查和考核管理。b)增強(qiáng)措施：1)建立數(shù)據(jù)安全工作體系，明確數(shù)據(jù)安全管理機(jī)構(gòu)，設(shè)置數(shù)據(jù)安全管理專職崗位，建立數(shù)據(jù)安全管理機(jī)構(gòu)與相關(guān)部門的協(xié)作機(jī)制；2)明確組織內(nèi)數(shù)據(jù)安全管理第一責(zé)任人員等關(guān)鍵角色；2學(xué)兔兔標(biāo)準(zhǔn)下載3)梳理涉及重要數(shù)據(jù)和核心數(shù)據(jù)處理的工作崗位，明確崗位職責(zé)，簽署數(shù)據(jù)安全責(zé)任書或保密協(xié)議。7.2數(shù)據(jù)分類分級電信數(shù)據(jù)處理者在數(shù)據(jù)分類分級方面宜采取以下安全措施。a)一般措施：1)定期梳理數(shù)據(jù)資產(chǎn)，形成并及時(shí)更新數(shù)據(jù)資產(chǎn)清單，按照有關(guān)規(guī)定開展數(shù)據(jù)分類分級工作；2)根據(jù)業(yè)務(wù)需求、數(shù)據(jù)來源和用途等因素，劃分組織機(jī)構(gòu)數(shù)據(jù)類別，并根據(jù)數(shù)據(jù)資產(chǎn)變動和分類分級要求變動情況，及時(shí)更新數(shù)據(jù)資產(chǎn)清單。b)增強(qiáng)措施：形成更新重要數(shù)據(jù)和核心數(shù)據(jù)目錄，按照有關(guān)規(guī)定開展目錄備案工作。7.3權(quán)限管理電信數(shù)據(jù)處理者在權(quán)限管理方面宜采取以下安全措施。a)一般措施：1)對開展數(shù)據(jù)處理活動的平臺系統(tǒng)賬號，明確審批流程和操作要求；2)遵循安全策略和最小授權(quán)原則，合理界定數(shù)據(jù)處理權(quán)限，設(shè)置相關(guān)崗位角色并確保職責(zé)分離，形成并定期更新數(shù)據(jù)處理權(quán)限記錄表；3)對開展數(shù)據(jù)處理活動的平臺系統(tǒng)，使用技術(shù)手段進(jìn)行權(quán)限管理和賬號管理(如4A),同時(shí)控制超級管理員權(quán)限賬戶數(shù)量；4)涉及數(shù)據(jù)重大操作的，采取多人審批授權(quán)或操作監(jiān)督方式。b)增強(qiáng)措施：1)明確重要數(shù)據(jù)和核心數(shù)據(jù)處理權(quán)限審批、登記方式和流程，控制權(quán)限范圍，留存登記、審批2)對開展重要數(shù)據(jù)和核心數(shù)據(jù)處理活動的平臺系統(tǒng)，具備基于IP地址、賬號與口令等的用戶身份認(rèn)證和多因子認(rèn)證的能力，并配備權(quán)限管理保障功能。電信數(shù)據(jù)處理者在日志留存方面宜采取以下安全措施。a)對數(shù)據(jù)全生命周期處理過程進(jìn)行日志記錄，日志記錄內(nèi)容完整準(zhǔn)確，內(nèi)容包括操作時(shí)間、操作b)日志留存時(shí)間不少于6個(gè)月，定期對日志進(jìn)行備份，日志記錄可被查詢檢索。7.5安全審計(jì)電信數(shù)據(jù)處理者在安全審計(jì)方面宜采取以下安全措施。a)一般措施：1)明確數(shù)據(jù)安全審計(jì)統(tǒng)籌部門，配備安全審計(jì)員，對權(quán)限分配審批、數(shù)據(jù)處理日志等開展安全審計(jì)工作；2)確定必要的數(shù)據(jù)安全審計(jì)策略，明確審計(jì)對象、審計(jì)內(nèi)容和實(shí)施周期，開展數(shù)據(jù)重大操作、越權(quán)訪問數(shù)據(jù)和遠(yuǎn)程訪問數(shù)據(jù)等重點(diǎn)場景安全審計(jì)和數(shù)據(jù)分析；3)針對審計(jì)發(fā)現(xiàn)的問題及時(shí)處置、整改、跟蹤復(fù)核，按照有關(guān)規(guī)定定期形成數(shù)據(jù)安全審計(jì)情3學(xué)兔兔標(biāo)準(zhǔn)下載況總結(jié)。b)增強(qiáng)措施：1)開展數(shù)據(jù)安全審計(jì)技術(shù)能力建設(shè)(如4A),細(xì)化常見風(fēng)險(xiǎn)和易發(fā)事件安全審計(jì)策略；2)按照有關(guān)規(guī)定定期形成重要數(shù)據(jù)、核心數(shù)據(jù)安全審計(jì)情況總結(jié)。7.6風(fēng)險(xiǎn)監(jiān)測預(yù)警電信數(shù)據(jù)處理者在風(fēng)險(xiǎn)監(jiān)測預(yù)警方面宜采取以下安全措施：開展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測，對數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理環(huán)境、網(wǎng)絡(luò)與系統(tǒng)設(shè)備、數(shù)據(jù)處理賬號和內(nèi)外部數(shù)據(jù)流動等實(shí)施監(jiān)測巡查，對異常流動等行為進(jìn)行排查和預(yù)警，及時(shí)采取補(bǔ)救措施。對可能造成較大及以上安全事件的風(fēng)險(xiǎn)，按照有關(guān)規(guī)定進(jìn)行7.7應(yīng)急響應(yīng)電信數(shù)據(jù)處理者在應(yīng)急響應(yīng)方面宜采取以下安全措施。a)一般措施：1)制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，根據(jù)事件等級明確應(yīng)急響應(yīng)責(zé)任分工、工作流程和處置措施等；和違規(guī)傳輸?shù)鹊湫蛿?shù)據(jù)安全事件定期開展演練，形成演練總結(jié)報(bào)告；3)發(fā)生數(shù)據(jù)安全事件后，按照應(yīng)急預(yù)案及時(shí)開展應(yīng)急處置，事件處置完成后，按照有關(guān)規(guī)定進(jìn)行整改，形成總結(jié)報(bào)告并及時(shí)上報(bào)。b)增強(qiáng)措施：涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，按照有關(guān)規(guī)定進(jìn)行上報(bào)，同時(shí)開展事態(tài)跟蹤分析，并及時(shí)采取相關(guān)措施降低事件影響。7.8安全評估電信數(shù)據(jù)處理者在安全評估方面宜采取以下安全措施。a)一般措施：1)定期對本單位整體數(shù)據(jù)安全保護(hù)水平、重點(diǎn)業(yè)務(wù)與平臺系統(tǒng)數(shù)據(jù)安全保障情況進(jìn)行梳理和自查；2)對自查總結(jié)過程進(jìn)行記錄，形成總結(jié)報(bào)告，對發(fā)現(xiàn)的問題進(jìn)行原因分析、明確改進(jìn)措施和計(jì)劃。b)增強(qiáng)措施：1)開展重要數(shù)據(jù)和核心數(shù)據(jù)風(fēng)險(xiǎn)評估，對于評估中發(fā)現(xiàn)的安全風(fēng)險(xiǎn)隱患，結(jié)合重要數(shù)據(jù)處理場景，及時(shí)采取有效應(yīng)對措施消除風(fēng)險(xiǎn)隱患；2)按照有關(guān)規(guī)定向相關(guān)部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告。7.9教育培訓(xùn)電信數(shù)據(jù)處理者在教育培訓(xùn)方面宜采取以下安全措施。a)一般措施：1)制定數(shù)據(jù)安全崗位人員教育和培訓(xùn)計(jì)劃，對數(shù)據(jù)安全相關(guān)崗位人員定期開展教育培訓(xùn)；2)明確數(shù)據(jù)安全崗位年度培訓(xùn)時(shí)長，并對參加培訓(xùn)的人員進(jìn)行考核評定。b)增強(qiáng)措施：重要數(shù)據(jù)和核心數(shù)據(jù)處理崗位定期開展教育和培訓(xùn)，明確培訓(xùn)內(nèi)容、培訓(xùn)時(shí)長、考核4學(xué)兔兔標(biāo)準(zhǔn)下載評定等相關(guān)要求。8電信數(shù)據(jù)處理安全措施8.1數(shù)據(jù)收集電信數(shù)據(jù)處理者開展數(shù)據(jù)收集活動，宜采取以下安全措施：a)一般措施：遵循合法、正當(dāng)原則開展數(shù)據(jù)收集活動，規(guī)范數(shù)據(jù)收集渠道、流程和方式；b)增強(qiáng)措施：1)通過間接途徑獲取重要數(shù)據(jù)和核心數(shù)據(jù)的，與數(shù)據(jù)提供方通過簽署相關(guān)協(xié)議、承諾書等方式，明確雙方法律責(zé)任；2)開展重要數(shù)據(jù)和核心數(shù)據(jù)收集人員設(shè)備安全管理，采取安全防護(hù)手段防止針對數(shù)據(jù)收集設(shè)備的網(wǎng)絡(luò)攻擊。8.2數(shù)據(jù)存儲電信數(shù)據(jù)處理者開展數(shù)據(jù)存儲活動，宜采取以下安全措施。a)一般措施：1)按照有關(guān)規(guī)定和用戶約定進(jìn)行數(shù)據(jù)存儲，規(guī)范數(shù)據(jù)存儲方式、流程，針對數(shù)據(jù)存儲環(huán)境、存儲平臺系統(tǒng)實(shí)施安全管理；2)建立數(shù)據(jù)備份和恢復(fù)驗(yàn)證機(jī)制，保障存儲數(shù)據(jù)的可用性和完整性。b)增強(qiáng)措施：1)采用校驗(yàn)技術(shù)、密碼技術(shù)等措施保障數(shù)據(jù)安全存儲；2)實(shí)施容災(zāi)備份和存儲介質(zhì)安全管理，定期開展數(shù)據(jù)恢復(fù)測試和災(zāi)難恢復(fù)演練，對備份數(shù)據(jù)的有效性和可用性進(jìn)行檢查和恢復(fù)驗(yàn)證。8.3數(shù)據(jù)使用加工電信數(shù)據(jù)處理者開展數(shù)據(jù)使用加工活動，宜采取以下安全措施。a)一般措施：1)明確數(shù)據(jù)使用加工的審批流程及處理規(guī)則；2)利用數(shù)據(jù)進(jìn)行自動化決策的，開展數(shù)據(jù)處理算法管理，保證自動化決策的透明度和結(jié)果的公平合理性。b)增強(qiáng)措施：使用訪問控制、數(shù)據(jù)脫敏等技術(shù)措施保障重要數(shù)據(jù)使用加工過程的安全性。8.4數(shù)據(jù)傳輸電信數(shù)據(jù)處理者開展數(shù)據(jù)傳輸活動，宜采取以下安全措施。a)一般措施：1)根據(jù)業(yè)務(wù)流程、網(wǎng)絡(luò)部署和安全風(fēng)險(xiǎn)等情況，劃分網(wǎng)絡(luò)系統(tǒng)安全域。根據(jù)傳輸?shù)臄?shù)據(jù)類型、級別和應(yīng)用場景等，明確數(shù)據(jù)安全策略并采取保護(hù)措施；2)制定數(shù)據(jù)傳輸接口安全管理工作規(guī)范，明確接口安全管理與保護(hù)措施。梳理接口情況，形成接口清單并定期更新，對監(jiān)控發(fā)現(xiàn)存在安全問題或已下線的接口采取相應(yīng)處理措施。b)增強(qiáng)措施：1)對跨網(wǎng)、跨安全域傳輸重要數(shù)據(jù)的活動，提前進(jìn)行安全審批，并采取校驗(yàn)技術(shù)、密碼技術(shù)、5學(xué)兔兔標(biāo)準(zhǔn)下載安全傳輸通道(如VPN)或者安全傳輸協(xié)議(如SSL)等措施，保障重要數(shù)據(jù)傳輸?shù)陌踩裕?)配備接口認(rèn)證鑒權(quán)能力，支持通過MAC地址、IP地址或端口號綁定等方式限制非授權(quán)或違規(guī)設(shè)備接入，具備接口安全監(jiān)測能力，支持發(fā)現(xiàn)非授權(quán)或違規(guī)設(shè)備的接入，并進(jìn)行告警和處置；3)具備接口流量限速、阻斷等能力，支持對接口異常調(diào)用行為、重要數(shù)據(jù)異常傳輸事件等采取處置措施。8.5數(shù)據(jù)提供電信數(shù)據(jù)處理者開展數(shù)據(jù)提供活動，宜采取以下安全措施。a)一般措施：1)明確數(shù)據(jù)提供的范圍、類別、條件、程序等，定期梳理形成數(shù)據(jù)提供清單，確保清單內(nèi)容完整準(zhǔn)確；2)在服務(wù)合同或協(xié)議中明確數(shù)據(jù)安全保護(hù)條款，明確數(shù)據(jù)接收方可接觸的數(shù)據(jù)范圍、使用權(quán)3)數(shù)據(jù)提供涉及數(shù)據(jù)出境時(shí)，按照國家相關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)的要求執(zhí)行。b)增強(qiáng)措施：核驗(yàn)數(shù)據(jù)接收方數(shù)據(jù)安全保護(hù)能力，評估安全風(fēng)險(xiǎn)，并采取數(shù)據(jù)脫敏、數(shù)據(jù)加密等安全保障措施。8.6數(shù)據(jù)公開電信數(shù)據(jù)處理者開展數(shù)據(jù)公開活動，宜采取以下安全措施：a)一般措施：明確數(shù)據(jù)公開的范圍、類別、條件、程序等，在數(shù)據(jù)公開前分析研判可能對國家安全、公共利益產(chǎn)生的影響程度，存在重大影響的不得公開；b)增強(qiáng)措施：建立重要數(shù)據(jù)公開審批機(jī)制，對于法律法規(guī)要求公開的數(shù)據(jù)，使用數(shù)據(jù)脫敏技術(shù)實(shí)施保護(hù)。8.7數(shù)據(jù)銷毀電信數(shù)據(jù)處理者開展數(shù)據(jù)銷毀活動，宜采取以下安全措施。a)一般措施：1)建立數(shù)據(jù)銷毀制度，明確銷毀場景、規(guī)則、流程和技術(shù)等要求，制定存儲介質(zhì)銷毀處理規(guī)范，配備必要的數(shù)據(jù)銷毀工具；2)數(shù)據(jù)批量銷毀采用多人操作模式，單人不得擁有完整操作權(quán)限。b)增強(qiáng)措施：1)建立重要數(shù)據(jù)和核心數(shù)據(jù)銷毀活動審批機(jī)制，設(shè)置銷毀監(jiān)督角色；2)銷毀重要數(shù)據(jù)和核心數(shù)據(jù)后，不以任何理由、任何方式進(jìn)行恢復(fù)，并按照有關(guān)規(guī)定更新備案。6學(xué)兔兔標(biāo)準(zhǔn)下載GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T35295—2017信息技術(shù)大數(shù)據(jù)術(shù)語[3]GB/T36624—2018信息技術(shù)安全技術(shù)可鑒別的加密機(jī)制[4]GB/T37973—2019信息安全技術(shù)大數(shù)據(jù)安全管理指南5]GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型[6]GB/T