《水利数据安全能力评估指南》（征求意见稿）

CCSA9041I II 1 1 14水利数据安全能力评估概述 1 1 1 2 2 2 3 3 4 4 4 4 4 4 4 5 5 5 5 5 6本文件按照GB/T1.1—2020《标准化本文件主要起草人：王骏、刘念龙、宋博、唐学哲、李延峰、韩慧颖1本文件规定了水利数据安全评估原则、方法、内容、流程及结论，明确下列文件中的内容通过文中的规范性引用而构成本文件必不件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包DB41/T2534—2023水利网络安全建GB/T25069—2022、GB/T29246—2b)文档查验：查验安全管理制度、风险评估报告、等保测评、密码测评报告等有关材料及落实按照数据安全管理和数据安全技术两方面内容开展评估。其中数据安全设、数据安全制度体系、数据安全人员管理、数据分类分级管理、供应链管理、评估项，数据安全技术包含网络安全防护、数据资产识别、数据安全防护、安全数据安全能力评估流程，主要包括准备、评估、总结三个阶段315237456565447568559575755Vm=x×....................m——小类评估指标赋值。n——小类评估指标中数量。本评估采用评分制，总分100分，水利数据安全能力Vm............................................5优良中差a)设立水利数据安全管理机构，明确数据安全责任分工，规范数据处理活动，提升c)设立水利数据安全监管小组，负责监督数据分类分级、数据安全管理、67c)采用国产密码技术保障数据在传输、存储、处理过程中的机密性、完整891查阅是否设立了负责数据安全的管理机构，2查阅是否明确单位主要负责人数据安全第一责3查阅是否设立了数据安全监管小组，成员至少等相关部门的主要负责人，工作职责是否涵盖数据45查阅是否包括数据安全管理、业务数据处理6查阅数据安全管理制度规范及其更新修订记录7查阅数据安全管理工作规划或工作方案，是否89查阅相关文件，在组织架构发生重大调整或业查阅数据安全管理制度，评估是否明确数据安全查阅数据处理、流转等过程中是否有审批记录，查阅是否定期开展网络与数据安全风险评估，查阅是否与所有涉及数据服务的人员签订安查阅在人员转岗或离岗时，是否及时终止或变更查阅在人员转岗或离岗时，是否明确告知其继查阅是否制定年度数据安全培训计划，明确数任人和责任部门，规范本年度数据安全教育、技访谈相关人员定期开展数据安全培训情况，查阅留存培查阅是否明确特权账户所有者、关键数据处理查阅是否建立数据资产台账，明确资产台账查阅数据资产清单至少包括数据类型、功能、查阅数据分类管理文件是否参照国家、水利行求查阅分级保护策略和数据分类分级保护措施等记策略、访问控制、数据加解密、数据脱敏等安查阅相关文档，评估重要数据是否参照相关重查阅是否明确数据资产管理范围和属性，确保理查阅与合作机构及人员签订的保密协议或保密查阅双方合同或协议内容，包括安全职责、保核查合作机构人员对数据与系统的访问权限核查合作机构人员数据导出操作或数据外发操查阅是否制定数据安全应急预案，包含应急响查阅是否制定数据安全事件分级、数据安全事访谈相关人员是否建立应急演练工作机制和计划，定期练查阅当发生数据安全事件时采取处置措施是否查阅网络拓扑结构、区域划分、数据资产等文查阅网络安全纵深防御、安全监测预警、安况，是否参照《SL/T803-2020水利网络安全保核查相关安全设备配置，是否与安全框架或安查阅是否定期开展等级保护测评、商用密码查阅上述合规性安全检查情况，针对发现问询问数据收集是否存在窃取、超范围、未经合法授查阅相关文件或协议合同，是否对产生数据的验证是否利用自动化技术手段对数据资产进行识别，核查是否对数据收集终端进行安全监测和防护核查数据存储、处理所涉及数据库、设备、应核查身份鉴别是否采用口令技术、密码技术、核查身份鉴别信息是否满足复杂度要求并定期核查是否采用如HTTPS、SSL等协议进行远程访核查是否采用服务器密码机、签名验签等设备核查是否采用数据脱敏等工具，保障水利应用核查是否基于数字签名技术，保障访问用户身核查是否采用防范数据防泄漏技术，是否能对查阅是否明确数据访问权限申请、审批机制，限核查数据访问权限是否以满足业务实际需要最核查是否对于不再使用的数据资产，具备对资核查是否定期对用户账号及用户数据访问权限用户账户，是否存在未及时清理的离职人员核查是否部署审计设备对数据操作进行日志留核查是否对数据批量复制、下载、导出、修改验证是否采用技术工具做到安全监测预警，并生成核查相关安全设备，是否能对异常行为事件进核查针对敏感数据的批量传输、下载、导出等核查相关安全设备的配置及日志信息，是否实核查是否能对网络运行状态、网络流量、用户核查是否对风险信息进行研判，