水利重要数据安全保护要求（征求意见稿）.docxVIP

1

水利重要数据安全保护要求

1范围

本标准规定了水利重要数据的安全保护要求，包括总体要求、水利重要数据识别、数据处理安全、数据安全管理、数据安全运营等。

本标准适用于水利行业各单位开展水利重要数据的安全保护建设和监督管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。凡是注日期的引用文件，仅该日期对应的版本适用于本标准。

GB/T41479—2022信息安全技术网络数据处理安全要求

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T39786—2021信息安全技术信息系统密码应用基本要求

GB/T36951-2018信息安全技术物联网感知终端应用安全技术要求

GB/TAAAAA-2023信息安全技术数据分类分级规则

SL/T803—2020水利网络安全保护技术规范

3术语和定义

3.1水利数据waterresourcesdata

在水利行业工作中，任何以电子或者其他方式对信息的记录。

3.2重要数据waterresourceskeydata

特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。

[来源：GB/TAAAAA—2023，3.2，有修改]

3.3核心数据waterresourcescoredata

对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害政治安全。

[来源：GB/TAAAAA—2023，3.3，有修改]

3.4一般数据waterresourcesgeneraldata除重要数据、核心数据以外的其他数据。

[来源：GB/TAAAAA—2023，3.4]

3.5数据处理dataprocessing

数据的收集、存储、使用、加工、传输、提供、公开、销毁等活动的总称。

3.6数据安全datasecurity

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

[来源：GB/T41479—2022，3.4]

3.7数据处理者dataprocessor

在数据处理活动中自主决定处理目的、处理方式的组织、个人。

2

[来源：GB/TAAAAA—2023，3，11]

3.8数据载体datacarrier

承载数据的平台/系统及其基础设施等。

4缩略语

下列缩略语适用于本标准。

API：应用程序接口（ApplicationProgrammingInterface）

APP：应用程序（Application）

SQL：结构化查询语言（StructuredQueryLanguage）

IP：网际互连协议（InternetProtocol）

WEB：全球广域网（WorldWideWeb）

5总体要求

5.1基本原则

水利重要数据安全保护应遵循以下基本原则：

a)依法合规原则：应确保水利重要数据处理活动的合法性和正当性，按照数据安全法、个人信息保护法等法律法规要求，开展水利重要数据安全保护；

b)权责一致原则：应按照“谁管业务、谁管业务数据、谁管数据安全”明确水利重要数据安全保护的责任和要求，有关部门及人员应积极落实有关措施，履行数据安全保护职责；

c)技管并重原则：应坚持数据安全管理措施和技术措施相辅相成、紧密结合，确保管理要求实现有技术手段支撑，技术手段实施有管理要求规范；

d)全程可控原则：应采取必要的管控机制和技术措施，确保水利重要数据在数据处理活动各环节的保密性、完整性和可用性；

e)持续完善原则：应定期更新重要数据目录，根据数据的重要性、面临的数据安全威胁、已有的数据安全措施等，持续完善数据安全保护措施；

f)有机统一原则：应统筹发展和安全，促进数据安全保护和业务应用共同发展。

5.2一般要求

水利重要数据安全保护应满足以下一般要求：

a)资产识别要求：应识别数据处理活动中涉及的数据，梳理本组织的数据资产清单；

b)分类分级要求：对本组织数据资产实施分类分级保护，对水利重要数据要按本文件要求落实保护措施，对一般数据、敏感数据可参照本文件开展保护；

c)系统安全要求：处理重要数据的系统应符合GB/T22239—2019第三级安全要求和SL/T803—2020第三级安全要求，并通过网络安全等级保护三级（含）以上测评；

d)密码应用要求：应按照GB/T39786—2021的规定