YD_T 3956-2021 电信网和互联网数据安全评估规范.docx

ICS 33.040 CCS M10 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3956—2021 电信网和互联网数据安全评估规范 The specification of telecommunication networks and Internet data security 2021-12-02发布 2022-04-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3956—2021 目 次 前言 Ⅲ 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 4 概述 4 4.1 评估总体原则 4 4.2 评估启动条件 5 4.3 评估流程 5 4.4 报告规范要求 7 5 通用性管理评估规范 7 5.1 组织机构 7 5.2 人员保障 8 5.3 数据资产梳理 8 5.4 数据分类分级 9 5.5 权限管理 10 5.6 日志留存 10 5.7 安全审计 11 5.8 应急响应 11 5.9 举报投诉处理 12 5.10 教育培训 12 5.11 合作方管理 13 5.12 平台系统安全管理 16 6 全生命周期管理评估规范 17 6.1 数据采集 17 6.2 数据传输 18 6.3 数据存储 19 6.4 数据使用 21 Ⅱ YD/T 3956—2021 6.5 数据开放共享 22 6.6 数据销毁 23 附录A(资料性附录)数据安全评估报告模板 25 附录B(资料性附录)数据安全评估指标项 27 Ⅲ YD/T 3956—2021 前 言 本文件按照GB/T1.1—2020 《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是“电信网和互联网数据安全”系列标准之一。该系列标准预计结构及名称如下： 1) 《电信网和互联网数据安全通用要求》; 2) 《电信网和互联网数据安全评估规范》(本文件); 3) 《电信网和互联网数据安全评估技术实施指南》。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、中国移动通信集团有限公司、中国联合网络通信集团有限 公司、中国电信集团有限公司、数据通信科学技术研究所、北京天融信网络安全技术有限公司、华信咨 询设计研究院有限公司、中安威士(北京)科技有限公司、深圳市腾讯计算机系统有限公司、阿里云计 算有限公司、北京金山云网络技术有限公司。 本文件主要起草人：郭建南、尚铁力、魏薇、张媛媛、庞妹、姜宇泽、张硕、张峰、江为强、孙艺、 于文良、国强、王渭清、韩冬、皇甫敏娜、陈希、王晟、胡鸥、姚琴、李觅、李雯、吴璟、李金罡、李 昀、李贵军、张英义、杨小梅、刘松涛、范楠、袁舒平、谢毅、邓淼、何欣、陈晓、夏江丽、李江、曲 嘉杰、严飞虹、胡四维、张雯、李明、陈峰、王红波、汪志、冯程、刘晓、侯文浩、范亚辉、符加龙、 王媛媛、董平、李德智、邱云翔、戴林、赵伟全、王峰、武杨、倪平、郭岳、张娜。 YD/T 3956—2021 电信网和互联网数据安全评估规范 1 范围 本文件规定了数据安全评估实施流程和数据安全相关管理及技术措施的评估要点。 本文件适用于电信网和互联网服务提供商组织开展的网络数据安全评估工作，也适用于第三方机构 对电信网和互联网服务提供商数据安全保障能力进行审查和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本 文件。 GB/T 35273—2020 信息安全技术个人信息安全规范 YD/T 3802—2020 电信网和互联网数据安全通用要求 YD/T 3813—2020 基础电信企业数据分类分级方法 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 网络数据 network data 通过网络收集、存储、传输、处理和产生的各种电子数据。 [中华人民共和国网络安全法，定义第七十六条第四款] 3.1.2 数据安全 data security 通过管理和技术措施，确保数据有效保护和合规使用的状态。 [GB/T 37988—2019 定义3.1] 3.1.3 数据资产 data assets 以电子形式记录的组织机构所拥有和控制的数据。 [电信网和互联网数据安全通