GB/T 42447-2023 信息安全技术 电信领域数据安全指南.pdf

GB/T 42447-2023 信息安全技术 电信领域数据安全指南.pdf
仅供个人学习
反馈
标准编号:
文件类型:.pdf
资源大小:3.4 M
标准类别:环境保护标准
资源ID:389586
下载资源

标准规范下载简介

GB/T 42447-2023 信息安全技术 电信领域数据安全指南.pdf

本文件按照GB/个1.1一2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:中国移动通信集团有限公司、中国电子技术标准化研究院、中国信息通信研究院 中国联合网络通信集团有限公司、中国电信集团有限公司、中国人民银行数字货币研究所、成都思维世 纪科技有限责任公司、中国科学院信息工程研究所、北京优炫软件股份有限公司、国家工业信息安全发 展研究中心、北京东方通网信科技有限公司、北京亚鸿世纪科技发展有限公司、山谷网安科技股份有限 公司、重庆邮电大学、北京明朝万达科技股份有限公司、闪捷信息科技有限公司、上海观安信息技术股份 有限公司、北京邮电大学、慧盾信息安全科技(苏州)股份有限公司。 本文件主要起草人:张滨、张峰、杨亭亭、江为强、邱勤、张鑫月、魏薇、王光涛、温暖、于乐、上官晓丽、 任兰芳、张媛媛、陈活、胡影、粟栗、庞妹、何申、李文琦、刘明辉、静静、赵一宁、徐羽佳、孙艺、耿冠和 钟志成、黄志军、钟立、林飞、易永波、蔺思涛、宋玲娓、刘玉岭、柳彩云、崔婷婷、王世彪、瞿宏锋、赵蓓 金科、韩言妮、耿慧拯、顾慧琼、陈广辉、李春梅、左洪强、徐雨晴、谢江、赵帅、程渤、王晓波

全技术电信领域数据安全指南

本文件给出了开展电信领域数据处理活动的安全原则、通用安全措施,及在实施数据收集、存储、使 用加工、传输、提供、公开、销毁等过程中宜采取的相应安全措施。 本文件适用于指导电信数据处理者开展数据安全保护工作武汉市轨道交通四号线二期工程区间及车站模板及支架专项施工方案,也适用于指导第三方机构开展电信数 据安全评估工作

MAC:媒体访问控制(mediaaccesscontrol) SSL:安全套接层协议(secure socketlayer) VPN:虚拟专用网络(virtualprivatensetwork) 4A:账号管理、授权管理、认证管理、审计管理(account、authentication、authorization、audin

电信数据处理者在开展数据处理活动过程中,提供适当的安全措施,以降低电信数据处理风险。 电信数据处理者按照有关要求和标准进行数据分类分级保护,在识别电信领域核心数据、重要数 据、一般数据的基础上,采取数据安全措施,开展数据处理活动。第7章及第8章给出的安全措施分为 般措施和增强措施;处理一般数据时,电信数据处理者宜采取一般措施保护数据安全;处理重要数据 和核心数据时,电信数据处理者宜在采取一般措施的基础上同时采取增强措施保护数据安全。 注1:重要数据和核心数据识别规则参考国家、行业相关规范,其他均属于一般数据。由于一般数据涵盖数据范围 较广,电信数据处理者可根据生产经营需求对一般数据进行细化分级。 注2:对于未区分一般措施和增强措施的环节,一般数据、重要数据和核心数据参考同等措施进行保护

电信数据处理者遵循如下原则: Aa) 1 安全三同步原则:在承载数据的相关平台设计、建设和运行过程中,做到数据安全保护措施的 同步规划、同步建设、同步运行; b) 分类分级保护原则:对数据进行分类分级,并根据类别属性、重要及敏感程度等差异性特征,采 取适当的、与数据安全风险相适应的安全措施,保障数据安全; C) 最小必要原则:在数据的收集、存储、使用、加工、传输、提供、公开、销毁等各处理活动开展过程 中,所使用的数据类型及数据规模仅限定为业务开展所必需,且具有合法、正当、必要的目的; d) 全生命周期管控原则:数据安全保护措施涵盖数据从产生到销毁的生命周期全过程; e) 持续评估优化原则:对安全措施进行常态化、全面化安全评估,并根据评估结果持续动态优化 数据安全保护措施。

电信数据处理者在组织保障方面宜采取以下安全措施。 a)一般措施: 1)明确数据安全管理职责部门,配备数据安全管理人员,制定数据安全制度规范和操作规 程,配备数据安全技术能力; 2)建立数据安全保护情况监督检查和考核管理制度,开展数据安全监督检查和考核管理。 b)增强措施: 1)建立数据安全工作体系,明确数据安全管理机构,设置数据安全管理专职岗位,建立数据 安全管理机构与相关部门的协作机制; 2)明确组织内数据安全管理第一责任人员等关键角色;

5 梳理涉及重要数据和核心数据处理的工作岗位,明确岗位职责,签署数据安全责任书或保 密协议

电信数据处理者在数据分类分级方面宜采取以下安全措施。 a) )一般措施: 1)定期梳理数据资产,形成并及时更新数据资产清单,按照有关规定开展数据分类分级 工作; 2) 根据业务需求、数据来源和用途等因素,划分组织机构数据类别,并根据数据资产变动和 分类分级要求变动情况,及时更新数据资产清单。 b)增强措施:形成更新重要数据和核心数据目录,按照有关规定开展目录备案工作

电信数据处理者在权限管理方面宜采取以下安全措施。 a) 厂一般措施: 1)对开展数据处理活动的平台系统账号,明确审批流程和操作要求; 2)遵循安全策略和最小授权原则,合理界定数据处理权限,设置相关岗位角色并确保职责分 离,形成并定期更新数据处理权限记录表; 3)对开展数据处理活动的平台系统,使用技术手段进行权限管理和账号管理(如4A),同时 控制超级管理员权限账户数量; 4)涉及数据重大操作的,采取多人审批授权或操作监督方式。 b)增强措施: 1)明确重要数据和核心数据处理权限审批、登记方式和流程,控制权限范围,留存登记、审批 记录; 2) 对开展重要数据和核心数据处理活动的平台系统,具备基于IP地址、账号与口令等的用 户身份认证和多因子认证的能力,并配备权限管理保障功能。

电信数据处理者在日志留存方面宜采取以下安全措施。 Aa) 1 对数据全生命周期处理过程进行日志记录,日志记录内容完整准确,内容包括操作时间、操作 账号、处理方式、授权情况、操作对象和数据量级等。 b)日志留存时间不少于6个月,定期对日志进行备份,日志记录可被查询检索。

电信数据处理者在安全审计方面宜采取以下安全措施。 ) 一般措施: 1)明确数据安全审计统筹部门,配备安全审计员,对权限分配审批、数据处理日志等开展安 全审计工作; 2) 1M 确定必要的数据安全审计策略,明确审计对象、审计内容和实施周期,开展数据重大操作 越权访问数据和远程访问数据等重点场景安全审计和数据分析; 3) )针对审计发现的问题及时处置、整改、跟踪复核,按照有关规定定期形成数据安全审计情

电信数据处理者在安全评估方面宜采取以下安全措施。 a) )一般措施: 1)定期对本单位整体数据安全保护水平、重点业务与平台系统数据安全保障情况进行梳理 和自查; 2)对自查总结过程进行记录,形成总结报告,对发现的问题进行原因分析、明确改进措施和 计划。 b)增强措施: 1)开展重要数据和核心数据风险评估,对于评估中发现的安全风险隐患,结合重要数据处理 场景,及时采取有效应对措施消除风险隐患; 2)按照有关规定向相关部门报送风险评估报告

电信数据处理者在教育培训方面宜采取以下安全措施。 a) )一般措施: 1)制定数据安全岗位人员教育和培训计划,对数据安全相关岗位人员定期开展教育培训; 2)明确数据安全岗位年度培训时长,并对参加培训的人员进行考核评定。 b)增强措施:重要数据和核心数据处理岗位定期开展教育和培训,明确培训内容、培训时长、考桂

电信数据处理者开展数据收集活动,宜采取以下安全措施: Aa) )一般措施:遵循合法、正当原则开展数据收集活动,规范数据收集渠道、流程和方式; b) 增强措施: 1)通过间接途径获取重要数据和核心数据的,与数据提供方通过签署相关协议、承诺书等方 式某高校机电安装施工组织设计,明确双方法律责任: 2)开展重要数据和核心数据收集人员设备安全管理,采取安全防护手段防止针对数据收集 设备的网络攻击

电信数据处理者开展数据存储活动,宜采取以下安全措施。 一般措施: 1)按照有关规定和用户约定进行数据存储,规范数据存储方式、流程,针对数据存储环境、存 储平台系统实施安全管理; 2)建立数据备份和恢复验证机制,保障存储数据的可用性和完整性。 b)增强措施: 1)采用校验技术、密码技术等措施保障数据安全存储; 2)实施容灾备份和存储介质安全管理,定期开展数据恢复测试和灾难恢复演练,对备份数据 的有效性和可用性进行检查和恢复验证,

电信数据处理者开展数据使用加工活动,宜采取以下安全措施。 一般措施: 1)明确数据使用加工的审批流程及处理规则; 2)利用数据进行自动化决策的,开展数据处理算法管理,保证自动化决策的透明度和结果的 公平合理性。 增强措施:使用访问控制、数据脱敏等技术措施保障重要数据使用加工过程的安全性

电信数据处理者开展数据传输活动,宜采取以下安全措施。 业 一般措施: 1) 1M 根据业务流程、网络部署和安全风险等情况,划分网络系统安全域。根据传输的数据类 型、级别和应用场景等,明确数据安全策略并采取保护措施; 2)年 制定数据传输接口安全管理工作规范,明确接口安全管理与保护措施。梳理接口情况,形 成接口清单并定期更新,对监控发现存在安全问题或已下线的接口采取相应处理措施, b)增强措施: 1) )对跨网、跨安全域传输重要数据的活动,提前进行安全审批,并采取校验技术、密码技术

电信数据处理者开展数据提供活动,宜采取以下安全措施。 a) 一般措施: 1)明确数据提供的范围、类别、条件、程序等,定期梳理形成数据提供清单,确保清单内容完 整准确; 2)在服务合同或协议中明确数据安全保护条款某训练基地工程安全文明施工组织设计方案,明确数据接收方可接触的数据范围、使用权 限、目的及安全保护责任; 3)数据提供涉及数据出境时,按照国家相关规定和相关标准的要求执行。 b)增强措施:核验数据接收方数据安全保护能力,评估安全风险,并采取数据脱敏、数据加密等安 全保障措施。

电信数据处理者开展数据公开活动,宜采取以下安全措施: 2 一般措施:明确数据公开的范围、类别、条件、程序等,在数据公开前分析研判可能对国家安全 公共利益产生的影响程度,存在重大影响的不得公开; b) )增强措施:建立重要数据公开审批机制,对于法律法规要求公开的数据,使用数据脱敏技术实 施保护

电信数据处理者开展数据销毁活动,宜采取以下安全措施。 A 一般措施: 1)建立数据销毁制度,明确销毁场景、规则、流程和技术等要求,制定存储介质销毁处理规 范,配备必要的数据销毁工具; 2)数据批量销毁采用多人操作模式,单人不得拥有完整操作权限。 b)增强措施: 1)建立重要数据和核心数据销毁活动审批机制,设置销毁监督角色; 2)销毁重要数据和核心数据后,不以任何理由、任何方式进行恢复,并按照有关规定更新 备案。

©版权声明
相关文章