T_ISC 0059-2024 数据安全管理能力评估规范.docx

ICS35.240L60

团体标准

T/ISC0059—2024

数据安全管理能力评估规范

EvaluationSpecificationforDataSecurityManagementCapability

2023-9-3发布2024-10-3实施

中国互联网协会发布

I

T/ISC0059—2024

目次

1范围 1

2规范性引用文件 1

3术语和定义 1

4目标策划及风险机遇 2

4.1数据安全方针目标及其实现的策划 2

4.2应对风险和机遇的措施 3

5组织环境及制度保障 3

5.1内外部环境识别与资源支持 3

5.2相关方的需求与期望 3

5.3数据安全管理制度保障体系 3

5.4数据安全管理能力涉及范围 4

6组织架构及人员保障 4

6.1组织建设以及领导作用承诺 4

6.2组织的岗位、权责和权限 4

7数据安全管理运行 5

7.1策划 5

7.2数据分类分级与分级管控 5

7.3教育培训与考核 6

7.4举报投诉与处理 6

7.5权限管理与操作规范 6

7.6合作方管理 6

7.7管理内审及整改 7

7.8数据安全应急响应 7

8数据安全技术运行 7

8.1策划 7

8.2数据资产识别 7

8.3数据防泄漏与溯源 8

8.4敏感数据保护 8

8.5接口安全管理 8

8.6风险操作审计 8

9绩效评价与改进 8

9.1管理审核与纠正改进 8

附录A（规范性附录/资料性附录）XXX 10

II

T/ISC0059—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国互联网协会归口。

本标准主要起草单位：中国信息通信研究院、中互网来信息技术有限公司、中互智安(北京)科技有限公司。

本标准主要起草人：王景尧、吴荻、宛严、李玮、王亚宁、曹海啸。

1

T/ISC0059—2024

数据安全管理能力评估规范

1范围

本文件规定了组织数据安全管理能力评估规范和评估方法。

本文件适用于涉及数据安全的组织、组织及第三方专业机构开展数据安全管理能力评估工作，为提升组织数据安全管理能力、健全管理手段提供指引和依据。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2010信息安全技术术语

GB/T37988-2019信息安全技术数据安全能力成熟度模型GB/T36073-2018数据管理能力成熟度评估模型

GB/T41479-2022信息安全技术网络数据处理安全要求GB/T37973—2019信息安全技术大数据安全管理指南GB/T35273—2020信息安全技术个人信息安全规范

GB/T39477—2020信息安全技术政务信息共享数据安全技术要求GB/T29246—2017信息技术安全技术信息安全管理体系

GB/T39335—2020信息技术个人信息安全评估指南GB/T19000—2016质量管理体系基础和术语

3术语和定义

GB/T41479-2022、GB/T37988-2019、GB/T36073-2018、GB/T25069—2010、GB/T35273—2020、GB/T39335—2020、GB/T19000—2016等国家标准界定的以及下列术语和定义适用于本文件。

3.1

数据Data

任何以电子或者其他方式对信息的记录。3.2

数据处理DataProcessing

数据的收集、存储、使用、加工、传输、提供、公开等。3.3

数据安全DataSecurity

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

3.4

个人信息PersonalInformation

2

T/ISC0059—2024

个人信息是以电子