云平台数据安全管理规范.docxVIP

云平台数据安全管理规范

本规范依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》，以及GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、GB/T35273-2020《信息安全技术个人信息安全规范》、GB/T31167-2014《信息安全技术云计算服务安全指南》制定，适用于所有云平台运营主体、云租户主体、第三方运维服务主体开展云环境下的数据全生命周期安全管理工作，所有相关操作环节均需严格遵守本规范要求，确保云平台数据全流程可管可控、不发生违规泄露、篡改、丢失事件。

第一章总则

一、规范适用范围

本规范覆盖云平台数据采集、传输、存储、使用、共享、销毁全生命周期所有环节，适用于公有云、私有云、混合云三类部署形态的云服务场景，所有接入云平台的业务系统、数据资产、运维操作行为均需纳入本规范管控范围。面向公众提供服务的云平台需额外符合等级保护三级的安全管控要求，面向内部业务使用的私有云平台需符合等级保护二级的安全管控要求，涉及国家关键信息基础设施的云平台需同步满足关键信息基础设施安全保护条例的相关规定。

二、管理目标

本规范设定的核心管理目标包括三个维度，第一是实现云平台数据分级分类覆盖率达到100%，所有进入云平台的数据均完成明确的级别划定和标签标识；第二是实现云平台敏感数据泄露事件发生率降至0，全年不发生涉及100