《水利数据安全能力评估指南》（征求意见稿）.docx

ICS35.030

CCSA9041

河南省地方标准

DB41/TXXXX—XXXX

水利数据安全能力评估指南

点击此处添加标准名称的英文译名

（征求意见稿）

（本草案完成时间：2024年7月2日）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

河南省市场监督管理局发布

I

DB41/TXXXX—XXXX

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4水利数据安全能力评估概述 1

4.1评估原则 1

4.2评估方法 1

4.3评估内容 2

4.4评估流程 2

4.5评估结论 2

5水利数据安全管理评估 3

5.1数据安全组织建设 3

5.2数据安全制度体系 4

5.3数据安全人员管理 4

5.4数据分类分级管理 4

5.5供应链管理 4

5.6数据安全应急管理 4

6水利数据安全技术评估 4

6.1网络安全防护 4

6.2数据资产识别 5

6.3数据安全防护 5

6.4数据安全审计 5

II

DB41/TXXXX—XXXX

6.5数据监测预警 5

6.6数据备份恢复 5

附录A（资料性）单项评估 6

III

DB41/TXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由河南省水利厅提出。

本文件由河南省水利标准化技术委员会（HN/TC22）归口。

本文件起草单位：河南省水文水资源中心、河南省水利科技应用中心。

本文件主要起草人：王骏、刘念龙、宋博、唐学哲、李延峰、韩慧颖、周彦平、侯琳琳、马广亮、韩建杰、张冰、王晶、闫晓敏、赵倩倩、刘子涵、吕鹏举、陈厚强、王峥、多国梁，云洪勇。

1

DB41/TXXXX—XXXX

水利数据安全能力评估指南

1范围

本文件规定了水利数据安全评估原则、方法、内容、流程及结论，明确了数据安全管理评估、技术评估主要内容和方法。

本文件适用于水利行业数据安全检查与评估工作，为提高水利数据安全能力提供参考和指引。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T

25069—2022

信息安全技术术语

GB/T

29246—2017

信息技术安全技术信息安全管理体系概述和词汇

GB/T

37988—2019

信息安全技术数据安全能力成熟度模型

SL/T803—2020水利网络安全保护技术规范

DB41/T2534—2023水利网络安全建设技术规范

3术语和定义

GB/T25069—2022、GB/T29246—2017和GB/T37988—2019界定的术语和定义适用于本文件。

4水利数据安全能力评估概述

4.1评估原则

评估原则在水利数据安全能力评估过程中起着指导性作用，遵循以下基本原则：

a)客观性：客观、公正，不受主观因素的影响；

b)可操作性：通过量化指标体系，使评估工作具备可行性及实用性；

c)可再现性：在相同评估环境下，对同一对象重复执行评估都将得到同样的结果；

2

DB41/TXXXX—XXXX

d)保密性：对评估过程中所涉及的信息严格保密。

4.2评估方法

水利数据安全能力评估采用的评估方法包括：

a)人员访谈：对相关人员进行访谈，核查规章制度、防护措施、安全责任落实情况；

b)文档查验：查验安全管理制度、风险评估报告、等保测评、密码测评报告等有关材料及落实情况；

c)安全核查：核查网络环境、数据库和大数据平台等相关系统的策略、配置、防护措施情况；

d)技术验证：应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。

4.3评估内容

按照数据安全管理和数据安全技术两方面内容开展评估。其中数据安全管理包含数据安全组织建设、数据安全制度体系、数据安全人员管理、数据分