YD_T 3644-2020 面向互联网的数据安全能力技术框架.docx

ICS 35.240 L67 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3644—2020 面向互联网的数据安全能力技术框架 Technical framework for Internet oriented data security capability 2020-04-16发布 2020-07-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3644—2020 目 次 前言 Ⅱ 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 3.1 术语和定义 1 3.2 缩略语 1 4 互联网行业的数据安全能力特点 1 4.1 互联网业务数据的生命周期 1 4.2 互联网业务的数据特点 3 4.3 互联网业务的数据安全风险 3 5 互联网行业的数据安全能力框架 4 5.1 能力框架图 4 5.2 数据安全风险 4 5.3 数据安全维度 5 5.4 数据安全维度与数据安全风险的对应关系 7 5.5 数据安全维度与数据生命周期的对应关系 7 6 数据生命周期的安全管理 7 6.1 数据产生阶段 7 6.2 数据存储阶段 8 6.3 数据使用阶段 8 6.4 数据传输 8 6.5 数据共享 8 6.6 数据销毁 8 Ⅱ YD/T 3644—2020 前 言 本标准依据GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准主要起草单位：阿里巴巴(中国)有限公司、国家计算机网络应急技术处理协调中心、大唐 电信科技产业集团(电信科学技术研究院)、中国联合网络通信集团有限公司、中兴通讯股份有限公司、 中国信息通信研究院。 本标准主要起草人：朱红儒、李克鹏、梅婧婷、潘亮、郑斌、李海灵、强倩、王卫东、俞播、白晓 媛、林兆骥、贺晓能、于成丽。 YD/T 3644—2020 面向互联网的数据安全能力技术框架 1 范围 本标准定义了互联网行业的数据安全能力技术框架，该框架基于互联网行业的业务特点，在分析了 覆盖数据全生命周期的数据安全威胁的基础上，提炼了数据安全能力建设的技术框架，并对框架内容进 行了详细的描述。 本标准适用于互联网行业的组织机构进行自身的数据安全管理，提升自身的数据安全能力。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069—2010 信息安全技术术语 3 术语、定义和缩略语 3.1 术语和定义 GB/T 25069—2010 确立的术语和定义适用于本文件。 3.2 缩略语 下列缩略语适用于本文件。 CPU Central Processing Unit 中央处理器 RAM Random Access Memory 随机存取存储器 4 互联网行业的数据安全能力特点 4.1 互联网业务数据的生命周期 互联网业务中的数据生命周期如图1所示。 2 YD/T 3644—2020 数据存储 数据存储 数据产生 数据传输 数据使用 数据销毁 数据共享 图 1 组织数据生命周期的六个阶段 互联网业务数据的生命周期包括以下六个阶段。 a) 数据产生 数据产生阶段是指新的数据产生或现有的数据内容发生显著改变或更新的阶段。在互联网业务中， 数据的产生包括两种组要形式， 一种是各类业务流程中生成的数据，另一种是互联网业务中从相关用户、 合作方等第三方收集的数据。 b) 数据存储 数据存储阶段是指非动态数据以任何数字格式进行物理存储的阶段。其中，动态数据是指被存储在 非持久性数字状态的数据，如计算机的随机存取存储器 (RAM)、CPU 高速缓存或CPU 寄存器的活性 数据。在互联网业务中，静态存储在数据库、网盘、电脑硬盘中的数据，均属于数据存储阶段。数据存 储阶段和数据产生阶段存在紧密的联系，产生的数据往往也会即可进入数据存储阶段。 c) 数据传输 数据传输阶段是指数据在组织机构内部从一个实体通过网络流动到另一个实体的阶段。数据传输阶 段主要涉及互联网企业内部的网络线路，实现互联网业务相关的系统之间的数据流动以及员工终端和系 统之间的数据流动。 d) 数据使用 数据使用阶段是指组织机构在内部针对动态数据进行的一系列活动的阶段，如对数据的查询、分析、 处理。数据使用和数据产生、存储、传输都相关，在数据使