T-DSAG 002-2025 数字政府重要数据基础设施安全控制标准

ICS35.020L70（SecurityControlStandardsforDigitalGovernmentKeyData）广东省数字安全协会发布T/DSAG002-2025 II 2规范性引用文件 3术语和定义 4数据资产管理 4.1重要数据识别 4.2数据资产管理 24.3数据暴露风险分析 25数据安全管控 25.1网络安全等级保护 25.2数据采集安全 25.3数据传输安全 35.4数据存储安全 35.5数据使用安全 45.6数据安全销毁 45.7数据监控审计 46数据安全事件处置 56.1应急预案和演练 56.2响应和处置 5T/DSAG002-2025本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由广东省数字安全协会归口管理。本文件起草单位：深信服科技股份有限公司、永信至诚科技集团股份有限公司、广东科城信服信息技术有限公司、奇安信网神信息技术(北京)股份有限公司、广州平腾信息科技有限公司。本文件主要起草人：常晓宇、陈周伟、黄福印、刘启超、谢岳鹏、曾磊、赵阳、赖骞、黎智敏、曾呈祥、陈志华。1T/DSAG002-2025数字政府重要数据安全控制策略本文件规定了重要数据资产管理、安全管控、事件处置方面的安全控制措施。本文件适用于指导数字政府重要数据运营者对数据安全提出全生存周期安全控制策略，也可供重要数据安全保护的其他相关方参考使用。下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20984信息安全技术信息安全风险评估方法GB/Z20986信息安全技术信息安全事件分类分级指南GB/T22239信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T29246信息技术安全技术信息安全管理体系概述和词汇GB/T32924信息安全技术网络安全预警指南GB/T35273信息安全技术个人信息安全规范GB/T36635信息安全技术网络安全监测基本要求与实施指南GB/T25069界定的以及下列术语和定义适用于本文件。重要数据keydata特定领城、特定群体、特定区域或达到一定精度和规模的数量，一旦被洪露或篡改、损毁，可能直接尤害国家安全、经济运行、社会稳定、公共健康和安全。注:重要数据不包拓国家秘密a）建立、实施重要数据识别流程和管理办法，形成相关记录文档；2T/DSAG002-2025b）识别重要数据及与其关联的业务，描述重要数据元数据属性信息等；c）结合本组织业务特征，分析识别本组织重要数据所依赖的外部数据采集；d）识别本组织重要数据承载的信息基础设施，确定信息基础设施的范围分布、运营情况、影响范围、业务类别、业务逻辑等；f）通过技术和管理措施监测本节所述信息基础设施各项业务属性的变化。4.2数据资产管理a）建立、实施数据资产识别流程和管理办法，明确数据资产管理责任人和部门，确定资产分类分级方法，形成相关记录文档；b）采用数据探测技术手段、大数据平台导入、人工录入、自动化检查等方式，识别重要数据所依赖的资产；c）建立、管理和维护各类重要数据资产清单，描述重要数据链相关的网络、系统、数据、服务和其他类资产等信息；d）分析重要数据类别以及所支撑业务的重要性，对重要数据进行优先排序，确定防护的优先级；e）采用重要数据管理相关技术工具，实现重要数据的统一管理，监测和更新重要数据所依赖资产的动态变化。4.3数据暴露风险分析a）建立、实施重要数据链风险分析和管理办法，形成相关记录文档；b）采用探测扫描、检测评估、攻防验证、情报共享等方式，对数据风险暴露、数据安全已有安全措施进行识别和分析，确定导致重要数据发生安全事件的可能性；c）综合安全事件所作用的资产价值及脆弱性的严重程度，分析重要数据主要安全风险点，确定风险处置的优先级，形成安全风险报告；d）动态监测风险变化情况，重点关注残余风险和新风险情况，每年重新开展一次重要数据风险分a)按照国家网络安全等级保护制度相关要求，重要数据安全保护的定级应不低于三级；b)实施相应安全措施，以满足GB/T22239相应等级的数据安全和数据所在环境安全要求，避免重要网络、系统和资产遭受未经授权的访问，防止重要数据泄露或者被窃取、篡改；c)按照国家网络安全等级保护制度和标准要求，开展测评工作；d)每年对定级备案、安全自查、等级测评、安全建设整改、通报预警、应急演练、事件处置等工作进行总结，形成总结报告。5.2数据采集安全a)通过数据资产安全管理工具，以流量采集与实时监测分析的方式，或每三个月定期开展一次数3T/DSAG002-2025据资产扫描，识别资产变化并更新数据资产清单、重要数据和核心数据目录；b)数据资产安全管理工具对数据分类分级操作、变更操作等进行日志记录与分析，日志流程时间不少于180天；c)数据采集前应制度数据安全采集策略，采集策略明确数据收集的目的、用途、方式、范围、来源、渠道等；d)在数据采集过程中，组织风险评估小组对采集过程进行风险评估，评估数据采集过程是否合规、是否依据安全采集策略开展数据采集工作；e)数据采集过程中，通过数字签名或数字证书等手段，对采集数据的数据源进行鉴别和记录，对采集的数据进行完整性校验，防止数据源仿冒与数据非法篡改；f)数据采集过程中，通过业务系统日志采集与网络流量采集，对数据采集授权过程、采集过程或获取操作过程进行记录审计，支撑采集安全分析与事后追溯。5.3数据传输安全a)将数据服务、数据库和存储与现有的统一身份权限管理系统对接，对用户与应用的数据访问行为进行身份鉴别与鉴权，存储、处理重要数据的数据服务、数据库和存储，应组合采用口令、密码技术（如数字证书）等进行多因素身份认证，对用户进行身份与权限鉴别；b)对数据库部署数据库防火墙，提供主体为IP，客体为系统、文件、数据库表或字段的访问控制。针对存储、处理重要数据的数据服务应部署数据安全网关，与统一身份权限管理系统对接，提供主体为用户，客体为系统、文件、数据库表或字段的访问控制；c)在数据传输过程中，通过对网络设备、安全设备、系统日志的采集与网络流量的采集，对数据的访问行为进行记录审计，支撑数据访问安全风险与事后追溯；d)对机构间通信应部署VPN设备，针对系统、数据库间通信应部署应用安全网关与数据安全网关，针对用户对数据服务的访问应部署访问安全网关，在通信双方完成身份与权限鉴别的基础上，构建加密的数据传输隧道，国产密码技术对通信过程中的数据进行加密；e)应通过部署的VPN设备、应用安全网关、数据安全网关与访问安全网关，对通过加密隧道传输的数据基于密码技术进行完整性校验，并支持传输数据容错与数据重传恢复，保障传输数据完整性；f)在单位网络区域边界部署网络数据防止泄露系统，对网络中的敏感数据进行内容识别、威胁监测与数据泄露阻断，实现网络中敏感数据泄露防护。5.4数据存储安全a)应部署存储配置扫描工具，每三个月定期对存储管理系统开展一次安全配置扫描，确保存储系统配置安全；b)针对存储有重要数据的文件系统、邮件系统等，应部署存储数据防泄露系统，在处理重要数据的终端上部署终端防泄漏系统，对服务器与终端上的敏感数据进行内容识别、威胁监测与数据泄露阻断，实现网络中敏感数据泄露防护；c)应启用数据服务、数据库与存储的日志审计记录，对存储系统的方位、使用、操作行为进行记录与审计，审计日志不少于180天；d)应部署支持国产密码技术的数据库加密系统，对数据库数据落盘与数据读取进行加解密与完整性校验，保障数据的机密性与完整性；e)应在处理重要数据的终端上，利用已部署的数据防泄漏系统，对下载到终端的数据进行加密，确保终端在未授权情况将数据复制到管控范围外的数据是密文的，防止终端数据泄露；f)应在本地数据中心部署数据备份恢复系统，对数据中心内的重要数据进行实时数据备份与数据4T/DSAG002-2025恢复。处理重要数据的业务系统应以热冗余模式部署，保障系统的高可用性；g)针对重要数据，应建立同城与异地数据灾难备份中心，确保存储系统具备跨地域容灾能力，对数据进行异地实时备份与数据恢复，对处理重要数据的业务系统提供异地业务实时切换，保障系统的高可用性；h)应部署支持国产密码技术的加密机等加密设备，对备份数据、归档数据进行加密存储，在备份系统边界部署防火墙设备，对备份数据进行严格的访问控制，保障备份数据的安全性；i)每年应定期开展一次备份数据的有效性和可用性进行检查，对备份数据进行完整性校验与恢复验证，根据介质使用期限及时转储数据，确保数据可用性。5.5数据使用安全a)应部署统一的数据去标识化或脱敏工具，业务部门依据业务需求制定去标识化或脱敏规则，对数据使用前进行静态脱敏或动态脱敏；b)应组建数据脱敏验证评估团队，对脱敏后的数据集进行有效性和合规性评估，确保脱敏后的数据符合使用规定，并可以抵抗数据推理、聚合攻击；c)应启用数据去标识化或脱敏工具的操作行为审计供暖，对数据的脱敏操作过程留存日志记录，审计日志流程不少于180天，用于审核违规使用、审核脱敏完整性；d)在数据跨业务系统、跨数据等级进行导入导出时候，应通过数据管理审理机制，对导入导出操作进行人工评估与审批，部分业务数据依据数据保护处理对导出数据进行去标识化或脱敏，并对导入导出行为进行审计，支持数据导入导出行为的追溯；e)通过正式渠道对外部公开发布据时，应采取包括网页防篡改等技术措施，防范被披露数据的篡改风险；f)在通过数据接口对外提供数据服务时，应在数据接口服务器边界部署数据安全网关，对接口调用进行身份鉴别、访问控制、传输加密与完整性校验等，并对输入参数进行限制与过滤，提供接口异常处理，保障数据接口调用过程安全。并对接口访问行为进行审计，以供事后审计；g)用户通过办公终端、移动终端等设备访问、操作数据时候，应启用已经部署的终端防泄漏系统的屏幕水印策略，增加设备屏幕水印，水印内容应最少包括访问主体、访问时间，防止人为数据泄露。5.6数据安全销毁a)应提供统一的数据擦除工具，对数据存储介质进行数据擦除后，进行介质复用或退役，确保以不可逆的方式销毁数据及其副本内容；b)应采用存储介质销毁工具，如物理销毁、消磁设备等工具，当存储介质退役时候，应对存储介质进行物理销毁。5.7数据监控审计a)针对数据库部署数据库审计系统，通过客户端或镜像端对数据库的访问与操作进行审计，业务系统、主机、数据库配置审计策略，对数据全生命周期处理过程进行审计，审计范围应覆盖至每个数据用户与管理员，记录数据处理、权限管理、人员操作等日志，日志留存时间不少于180天；b)应在主机网络边界、互联网出口等关键网络位置部署流量探针采集数据流转信息，在应用主机上部署采集客户端采集数据访问与操作信息。部署数据安全监测系统，与流量探针、采集客户端、数据库审计、数据库与网络设备等进行对接，将数据相关安全信息汇总至数据安全监测系统，以支撑数据安全风险监测与事件响应处置；5T/DSAG002-2025c)应基于已部署的数据安全监测系统，对数据安全信息进行关联分析，构建数据流转基线，监测数据异常使用、数据泄露、违规传输、流量异常、行为异常等数据安全风险并告警，组织分析研判数据安全风险并进行预警；d)对数据安全监测系统监测到的数据安全风险预警、安全事件告警，安全数据安全应急预案，结合数据安全监测系统自动化响应处置与人工处置追踪，对安全事件进行快速响应，形成事件总结报告，并对当前数据安全防护体系进行调优加固。6.1应急预案和演练a)在国家网络安全应急预案的框架下，依据行业和地方的特殊要求，制定网络安全事件应急预案；b)向相关人员、角色或部门通报网络安全事件应急预案；至少每年一次对网络安全事件应急预案进行评估修订，并持续改进；c)当本组织的管理架构、信息系统或运行环境发生变更时，及时更新网络安全事件应急预案；d)如系统发生变更或在实施、执行或测试中遇到问题时，及时修改网络安全事件应急预案并向相关人员、角色或部门及用户进行通报；e)在发生重要数据安全事件时，确保应急预案的实施能够维持重要数据基础设施的基本业务功能，并能最终完全恢复业务系统且不减弱原有的安全措施；f)向相关人员或角色提供与其角色或职责相关的应急培训；g)将模拟事件纳入到应急培训中，以帮助相关人员或角色在紧急情况下做出有效的响应；h)根据人员、角色、需求等构建应急培训环境；i)制定应急演练计划并根据演练情况进行持续改进；每年至少组织开展一次本组织的应急演练；j)记录和核查应急演练结果，完善应急演练计划并根据需要调整应急预案，保存演练记录、演练总结报告等；k)将信息系统备份能力列入应急演练计划，包括检验备份的可靠性和信息完整性；l)全面恢复重要数据系统到已知状态作为应急演练计划的一部分；m)针对亟需解决的安全问题和可能发生的安全事件，按照应急预案的业务流程在实际环境中开展应急演练，完善应急预案的问题与不足，同时将应急演练流程数字化，采用自动化机制提升应急演练效率与效果。a)当发生可能危害重要数据的安全事件时，组织研判并在规定时间内及时向本组织网络安全管理机构报告，形成事件报告单；b)及时将可能危害重要数据的安全事件通报到可能受影响的内部部门和人员，并按规定向关键业务供应链涉及的、与事件相关的其他组织通报安全事件；c)当发生影响范围或严重程度较大的安全事件时，按规定及时将事件信息报送给有关部门，内容应至少包括事件描述、处置措施、当前态势、需要的外部支持等信息；d)评估监测预警中发现的问题，判断其是否为安全事件并确定事件级别；e)按照事件处