《GB_T 42447-2023 信息安全技术 电信领域数据安全指南.docx》由会员分享,可在线阅读,更多相关《GB_T 42447-2023 信息安全技术 电信领域数据安全指南.docx(10页珍藏版)》请在课桌文档上搜索。
1、ICS35.030CCSI.80GB中华人民共和国家标准GB/1424472023信息安全技术电信领域数据安全指南Informationsecuritytechno1.ogyDatasecurityguide1.inesforte1.ecomfie1.d202D3-17发布2023-1Z)1实旅国家市场监督管理总局国家标准化管理委员会目次前才II范阳I2规范性引用文件13术喳和定义I4缩略语I5326安全原则27电信数据通用安全措据27.1 组织保砥27.2 数据分类分级37.3 权限管理37.4 I志留存37.5 安全审计37.6 风险监测预警47.7 应急响应47.8 安全评估47.9 教
2、育培训48电信数据处理安全措施58.1 数据收集58.2 数据存储58.3 数据使用加工58.4 数据传输58.5 数据提供68.6 数据公开68.7 数据销986参考文献7本文件按照GB,T1.12020虫标准化工作导则第1部分:标准化文件的结构和起点规则%的规定起草.请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.本文件由全国信息安全标准化技术委员会(SACTC2601提出并归口,本文件起草单位:中国移动通伯集团有限公司、中国电子技术标准化研究院、中国信息通侑研究院、中国联合网络迪信集团有限公司、中国电估集团行限公司、中国人民银行数字货币研究所、成都出维世纪科技有
3、限费任公司、中国科学院信息工程研究所、北京优炫软件般份有限公司、国家工业信息安全发展研究中心、北京东方通网信科技有限公司、北京亚鸿世纪科技发展行限公F、山谷网安科技股份有限公司、重庆加电大学、北京明朝万达科技股份有限公司、闪捷信息科技有限公司、上海观安信息技术股份有限公司、北京邮电大学、魅旃信息安全科技(苏州)股份有限公司。本文件主要起草人:张滨、张峰、杨亭亭、江为强、邱勋、张勤文魏薇、王光涛、温喉、于乐.f(晓丽、任兰芳、张媛媛、陈活、胡影、栗栗、魔妹、何小、李文琦、砌J蟀.静静、赵一宁、徐羽佳、孙艺、耿冠和、钟忐成、黄志军、钟立、林飞、易永波、葡思涛、宋玲限刘玉岭、梆彩X、崔婷婷、王世彪、
4、M宏锋、赵松金秣郭吉妮、耿意扬、毗驾琼、陈T辉、李春梅、左湖曲i、徐雨W、谢江、赵帆程渤、王波-信息安全技术电信领域数据安全指南1M本文件给出了开展电信领域数据处理活动的安全原则、通用安全措施,及在实魄数据收集、存储、使用加工、传输、提供、公开、销毁等过程中宜采取的相应安全措施,本文件适用于指导电信数据处理者开展数据安全保护工作,也适用于指9第三方机构开展电信数据安全评估工作.2n范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其以新版本(包括所有的移改单)适刖于本文件.GB,T41479-
5、2022信息安全技术网络数据处理安全要求3*iMGB41479-2022界定的以及下列术谱和定义适用于本文件.3.1电信金城Jwete1.ecomdata在电信领域业务经营活动中产生和收集的数据,注1:如川户身份信息、通话数据、位用蝴、信令数据、刘站建设及建的婶Irt*蟋优化数据等,注2:在硼起湎神愤况下,本文的W电信敏数据”简称“顿联”.326fMHHtte1.e三dataIrOCeeSCr取得电信业务经甘许可证,且在电信数据处理活动中自主决定处理目的、处理方式的电信业务经营者.注:电信数据处理者包括甚础电信业务经注者和互联网数据中心、互联网接入服务、花线数据处理与交易处理、互联网信息服务等
6、增的电伯业务经营者.33数据接收方authorizaion、audit)5型电信数据处理者在开展数据处理活动过程中,提供适当的安全措施,以降低电信数据处理风险。电信数据处理者按照有关要求和标准进行数据分类分级保护,在识别电信领域核心数据、jR要数据、一般IwB的基础上,采取数据安全措施,开展数IE处理活动.第7坐及第8章给出的安全措施分为-一般措施和增强措施:处理一般数据时,电信数据处理者宜采取一般措施保护数据安全:处理重要数据和核心数据时,电信数据处理者宜在采取一般措施的基础上同时枭取增强措施保护数据安全。注1:堀要数据和核心数据识别班划拿考IB家、行业相关规蔻,其他均碱JJe擞据。由FT支
7、数据i踊敢据范国物”.电信数据处理者可根楙生产经营需求对-殷数粕进行细化分堀.注2:对于未区分翻嵯H州弼;三的环节,股数据、E要数据和核心数据软网限施进行保护。6安全*则电信数据处理者遵循如卜原则:a)安全三同步原则:在承我数据的相关平分设计、建设和运行过程中.做到数据安全保护措施的同步规划、同步建设、同步运行:b)分类分级保护原则:时数据进行分类分级,并根据类别属性、重要及敏感程度等差异性特征,来取适当的、与数据安全风险相适应的安全措施,保障数据安全:C)最小必要区则:在数据的收集、存储、使用、加工、传临、提供、公开、销毁等各处理活动开屣过程中,所使用的数据类型及数据规模仅限定为业务开展所必
8、衢.且具有合法、正当、必要的目的;d)全生命周期管控原则:数据安全保护措施涵前数据从产牛.到销毁的生命周期全过程:e)持续评估优化原则:对安全措施进行常态化、全面化安全评估,并根据评估结果持续动态优化数据安全保护措施,7电.M用安全指.7.1 If1.iRMt电信数据处理者在组织保障方面宜采取以下安全措施.a)一般措施:1)明确数据安全管理职责部门,配需数据安全管理人员,制定数据安全制度规范和操作规程,配备数据安全技术能力;2)建立数据安全保护情况监督检查和考核管埋制度.开展数据安全监督检查和考核管理.b)增强措施:D建立数据安全工作体系.明确数据安全管理机构,设置数据安全管理专职岗位.建立数
9、据安全管理机构与相关部门的协作机制:2)明确组织内数据安全管理第一责任人员等关键地色;3)被理涉及重要数据和核心数据处理的工作岗位明确岗位职责,签署数据安全费任竹或保密协议.7.2电信数据处理者在数据分类分级方面宜采取以卜.安全措施。a)-一般措施:1)定期梳理数据资产,形成并及时更新数据资产清单,按照有关规定开展数据分类分级工作;2)根据业务需求、数据来源和用途等因素,划分立遮1机构数据类别,并根据数据资产变动和分类分级要求变动情况,及时更新数据资产清照.b)增强措施:形成更新更要数据和核心数据目录,按照有关规定开展目录案工作.7.3 emn电信数据处理拧在权限管理方面在采取以下安全措施,a
10、) 一段措施:1)对开展数据处理活动的平台系统账号,明确审批流程和操作要求;2)遵循安全策珞和最小授权原则,合理界定数据处理权限设四相关岗位角色并确保职费分离,形成并定期更新数据处理权限i已录表:3)时开展数据处理活动的平台系统,使用技术手段迸行权限管理和账号管理(如4A),同时控制超级管理员权限账户数地;-1)涉及数据重大操作的,采取多人审批授权或操作监督方式.b)增强措施:D明确重要数据和核心数据处理权限审批、商记方式和流程,控制权限范饵,留存登记、审批2)对开展武婴数据和核心数据处理活动的平台系统,具备携TiP地址、账号与口令等的用户身份认证和多囚了认证的能力,并配备权限管理保阳功能。7
11、.4日志留存电信数据处理者在日志留存方面宜采取以下安全措施,a)时数据全生命周期处理过程进行日忐记录,日志记录内容完整准确,内容包括操作时间、操作账号、处理方式、授权情况、操作对象和数据量级等.b) R志留存时间不少于6个月,定期对H志进行备份,日志记录可被查询检索,7.5ftW电信数据处理者在安全审计方面宜采取以下安全措施.a)一般措施:1)明确数据安全审计统筹部门,配备安全审计员,对权限分配审批、数据处理H志等开展安全审计工作:2)确定必要的数据安全审计策略明确审计对象、审计内容和实施周期,开展数据电大操作、越权访问数据和远程访问数据等近点场景安全审计和数据分析:3)针刻审计发现的问题及时
12、处置、整改、跟踪笈核,按照有关规定定期形成数据安全审计情况总结,b)增强措能:D开展数据安全审计技术能力建设()1A),细化常见风险和易发事件安全审计策略:2)按照有关规定定期形成重要数据、核心数据安全审计情况总结。7.6电值数据处埋者在风险监测预警方面宜采取以下安全措脩:开展数据安全风险监测对数据资产、数据处理环境、网络与系统设得、数据处理账号和内外部数楙流动等实施监JM巡查,对异常流动等行为进行持杳和预警,及时采取补救指施.时可能造成较大及以上安全事件的风险,按照有关规定进行上报。7.7电信数据处理者在应急响应方面宜果取以下安全措施.a)一般措施:1)制定数据安全W件应急预宴,根据犷件等级
13、明确应急响应成任分工、工作流程和处置措施等:2)制定数据安全事件应急演统计划,针对数据泄露、丢失、窃取、损坏、滥用、篡改、非法访问和城规传输等典型数据安全事件定期开展演练.形成演练总结报告:3)发生数据安全事件后,按照应急预窠及时开展应急处置,事件处用完成后,按照有关规定进行整改,形成总结报告并及时上报,b)地强措施:涉及重要数据和核心数据的安全事件,按照有关规定进行上报,同时开展事态跟踪分析,井及时采取相关措施降低事件影响。7.8 安全评估电信数据处理者在安全评估方面宜采取以卜安全措施。a)一般措施:1)定期对木舱位整体数据安全保护水平、池点业务与平台系统数据安全保嫄情况进行梳理和自西2)对
14、臼查总结过程诳行记录,形成总结报告,对发现的向Xfi进行原因分析、明确改进措脩和计划。b)增强措施:1)开展重要数据和核心数据风险评估,对于评估中发现的安全风险隐患,结合重要数据处理场景及时采取有效应对措施消除风险隐患:2)按照有关规定向相关部门报送风险评估报告。7.9 t育培,电信数据处理者在教仔培训方面宜采取以下安全措施.a)一般措施:1)制定数据安全闵位人员教讨和培训计划,对数据安全相关岗位人员定期开展教育培训:2明确数据安全岗位年度培训时长,并对参加培训的人员进行考核评定,b)增强措施;重要数据和核心数据处理岗位定期开展教方和培训,明确培训内容、培训时长、考核评定等相关要求。8电1m晚
15、理安MWI61 nmk电信数据处理者开展数据收集活动,宜采取以下安全措施:a)般措施:遵循合法、正当原则开展数据收.集活动,规范数据收奥臬道、流程和方式:b)增强措施:D通过间接途径获取Jft要数据和核心数据的,与数据提供方通过篮署相关协议、承诺书等方式,明确双方法律责任:2)开展更要数据和核心数据收集人员设得安全管理,采取安全防护手段防止针对数据收集设符的网络攻击.62 KCM电信数据处理者开展数据存储活动,宜采取以下安全措施.a)一般措施:I)按照有关规定和用户约定进行数据存储,规范数据存储方式、流程,针对数据存储环境、存砧平台系统实施安全管理:2)建立数据备份和恢史验证机制,保障存储数据
16、的可用性和完整性.b)增强措施:D采用校验技术、密码技术等措施保障数据安全存储:2)实施容灾径份和存储介质安全管理,定期开展数据修笈测试和灾难恢友演练,对法份数据的有效性和可用性进行检查和恢史验证”63 Mtt三nx电信数据处理者开展数据使用加工活动,宜采取以卜安全措施。a)一般措施:1)明确数据使用加工的审批流程及处理规则:2)利用数据进行自动化决策的,开展数据处理算法管理,保证自动化诀策的透明度和结果的公平台理性.b)增强措描:使用访问控制、数据脱数等技术措施保障垂要数据使用加工过程的安全性。64 HMm电信数据处理者开展数据传输活动,宜采取以下安全措施.a)一般措施:D依据业务流程、网络
17、部署和安全风险等情况,划分网络系统安全域“收据传输的数据类型、级别和应用场景等,明确数据安全策略并采取保护措幅2)制定数据传输接口安全管理工作规他,明确接口安全管理与保护借融樵理接口情况,形成接1.1.满取并定期更新,对监控发现存在安全问Sa或已下线的接1.I采取相应处理措施,b)噌强措施:D对跨网、跨安全域传输由要数据的活动,提曲进行安全审批,并采取校验技术、密码技术、安全传输通道(如VPN)或者安全传输例,议(如SS1.)等措施.保障也要数据传输的安全性:2)配备接口认证鉴权能力,支持通过MAC地址、IP地址或端口号绑定等方式限制非授权或述规设备接入,具备接口安全监测能力,支持发现非授权或
18、违规设备的接入,并进行告警和处置;3)具备接口流fit限速、阻断等能力,支拧对接口异常调用行为、座要数据异常传输事件等采取处置措施.65电信数据处理者开展数据提供活动,宜采取以下安全措施.a)一般措施:D明确数据提供的范用、类别、条件、程序等,定期梳理形成数据提供清单,确保清单内容完整准确:2)在股务合同或办议中明确数据安全保护条款,明确数据接收方可接触的数据范圉、使用权奴、H的及安全保护费任:3)数据提供涉及数据出境时按照国家相关规定和相关标准的要求执行。b)增强措施:核粉数据接收方数据安全保护能力,评估安全风险,并采取数据脱敏、数据加密等安全保障措施.66 MKHF电信数据处理者开展数据公
19、开活动,宜采取以下安全措施:a)一般措施:明酶数据公开的范用、类别、条件、程序等,在数据公开前分析研判可能对国家安全、公共利益产生的影响程度,存在重大歌响的不得公开;b)增强措施:电立更要数据公开审批机制,对于法律法规要求公开的数据,使用数据脱敏技术实施保护。67 mm电信数据处理者开展数据销毁活动,宜采取以下安全措施.a)一般措施:D建立数据俏毁制度,明确俏毁场景、规则、流程和技术等要求,制定存储介质梢毁处理规范,配备必要的数据销毁工具:2)数据批量销毁乘用多人操作模式,单人不得拥有完整操作权限b)增强措施:D建立重要数据和核心数据销毁活动.市批机制,设置销毁监督角色:2)销毁重要数据和核心
20、数据后,不以任何理由、任何方式近彳H央复并按照有关规定更新备案。考文IK11IGBT222392019信息安全技术网络安全等级保护基本要求2GBT35295-2017信息技术大数据术语3GB.T366242018信息技术安全技术可鉴别的加密机制(4GB,T37973-2019信息安全技术大数据安全管理指南5JGB,T37988-2019信息安全技术数据安全能力成熟度模型6GBT397862021信息安全技术信息系统定码应用基本要求Yiyr38012020电信网和互联网数据安全风险评估实施方法8YD,T38132020基础电信企业数据分类分线方法9国家互联网信息办公室,数据出境安全评估办法,20
21、22年7月7日10中华人民共和国国务院令第745号,关键信息基础设施安全保护条例,2021年7月30日1】国务院关于印发促进大数据发展行动纲要的通知,国发(2015)50号,2015年9月5H12 NISTSpecia1.Pub1.ication15(X)-2.NISTBigDataInteroperabi1.ityFraincworkzVoIuine2.BigDataTaXOnOmicS,Scpicmbcr16,201513 NISTSpecia1.Pub1.ication15004NISTBigDataInteroperabi1.ityFramework:Vo1.ume4.SecurityandPrivacy.September16.2015FraineworkiVoIuine14NISTSpecia1.Pub1.ica1.ionI5OO-6.NISTBigDataInteroperabi1.ity6,ReferenCeArchi(ectre.September16.2015