2025計(jì)算中心數(shù)據(jù)隱私保護(hù)與安全管理體系標(biāo)準(zhǔn)

計(jì)算中心數(shù)據(jù)隱私保護(hù)與安全管理體系標(biāo)準(zhǔn)

StandardsforDataPrivacyProtectionandSecurityManagementSystemofComputingCenters

I

目 次

前 言

I

I

一、范圍

1

二、規(guī)范性引用文件

2

三、術(shù)語(yǔ)和定義

2

四、數(shù)據(jù)隱私保護(hù)與安全管理體系要求

2

管理職責(zé)

2

風(fēng)險(xiǎn)評(píng)估

3

數(shù)據(jù)分類分級(jí)

3

數(shù)據(jù)訪問(wèn)控制

3

數(shù)據(jù)加密與脫敏

3

數(shù)據(jù)存儲(chǔ)與備份

4

數(shù)據(jù)傳輸安全

4

數(shù)據(jù)共享與交換安全

4

數(shù)據(jù)銷(xiāo)毀與清除

4

安全事件管理

5

安全培訓(xùn)與意識(shí)提升

5

第三方管理

5

法律法規(guī)遵從性

6

持續(xù)改進(jìn)

6

五、技術(shù)與管理措施

7

數(shù)據(jù)加密與脫敏

7

數(shù)據(jù)存儲(chǔ)與備份

7

數(shù)據(jù)訪問(wèn)控制

7

數(shù)據(jù)傳輸安全

8

數(shù)據(jù)共享與交換安全

8

數(shù)據(jù)銷(xiāo)毀與清除

8

安全事件管理

8

六、附則

9

II

1

計(jì)算中心數(shù)據(jù)隱私保護(hù)與安全管理體系標(biāo)準(zhǔn)

一、范圍

本標(biāo)準(zhǔn)規(guī)定了計(jì)算中心數(shù)據(jù)隱私保護(hù)與安全管理體系的建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)的要求和指南，適用于廣西產(chǎn)學(xué)研科學(xué)研究院計(jì)算中心及相關(guān)數(shù)據(jù)處理活動(dòng)。本標(biāo)準(zhǔn)旨在幫助計(jì)算中心滿足國(guó)家相關(guān)法律法規(guī)要求，保護(hù)數(shù)據(jù)隱私和安全，增強(qiáng)數(shù)據(jù)主體的信任。

本標(biāo)準(zhǔn)適用于以下具體場(chǎng)景和要求：

數(shù)據(jù)全生命周期安全管理：涵蓋數(shù)據(jù)的采集、存儲(chǔ)、使用、傳輸、共享、銷(xiāo)毀等全生命周期的安全管理，確保數(shù)據(jù)在各個(gè)階段的保密性、完整性和可用性。

數(shù)據(jù)分類分級(jí)保護(hù)：根據(jù)數(shù)據(jù)的敏感程度和重要性，對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)，并采取相應(yīng)的安全保護(hù)措施。

數(shù)據(jù)訪問(wèn)控制：明確對(duì)客戶數(shù)據(jù)的訪問(wèn)流程，建立訪問(wèn)控制策略，配備技術(shù)措施防范客戶數(shù)據(jù)未授權(quán)訪問(wèn)等安全風(fēng)險(xiǎn)。

數(shù)據(jù)存儲(chǔ)與計(jì)算安全：提供容災(zāi)備份、校驗(yàn)技術(shù)、密碼技術(shù)等數(shù)據(jù)安全保護(hù)能力，配備存儲(chǔ)和計(jì)算資源監(jiān)控技術(shù)能力，及時(shí)發(fā)現(xiàn)預(yù)警存儲(chǔ)和計(jì)算資源異常使用情形。

數(shù)據(jù)傳輸安全：提供數(shù)據(jù)加密、接口鑒權(quán)、安全審計(jì)等保護(hù)措施，加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警，提供數(shù)據(jù)流量異常、違規(guī)導(dǎo)出等安全風(fēng)險(xiǎn)的發(fā)現(xiàn)、告警與處置能力。

安全事件監(jiān)測(cè)與應(yīng)急處置：建立網(wǎng)絡(luò)安全事件分析策略，明確安全事件分析的對(duì)象和流程，對(duì)網(wǎng)絡(luò)遭受攻擊的事件進(jìn)行分析，并對(duì)安全事件進(jìn)行分類分級(jí)。

組織與人員管理：明確數(shù)據(jù)安全負(fù)責(zé)人和管理部門(mén)，設(shè)立數(shù)據(jù)安全管理崗位并明確崗位職責(zé)，配備相應(yīng)人員，統(tǒng)籌負(fù)責(zé)客戶數(shù)據(jù)處理活動(dòng)安全管理。

通過(guò)本標(biāo)準(zhǔn)的實(shí)施，旨在提升計(jì)算中心的數(shù)據(jù)隱私保護(hù)和安全管理水平，確保數(shù)據(jù)在法律框架內(nèi)的

2

合規(guī)使用，同時(shí)增強(qiáng)用戶對(duì)計(jì)算中心數(shù)據(jù)處理活動(dòng)的信任度。

二、規(guī)范性引用文件

本標(biāo)準(zhǔn)引用了以下文件：

GB/T22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》

GB/T35273—2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》

GB/T39568—2020《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南》

ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)信息安全管理體系要求》

ISO/IEC27701:2019《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)隱私信息管理體系要求與指南》

三、術(shù)語(yǔ)和定義

數(shù)據(jù)隱私：指數(shù)據(jù)主體對(duì)其個(gè)人信息的控制權(quán)和保密權(quán)。

數(shù)據(jù)安全：指數(shù)據(jù)的保密性、完整性和可用性得到保障，免受未經(jīng)授權(quán)的訪問(wèn)、泄露、篡改或破

壞。

個(gè)人可識(shí)別信息（PII）：可用于識(shí)別個(gè)人身份的信息。

PII控制者：確定處理PII的目的和手段的組織。

PII處理者：代表PII控制者處理PII的組織。

四、數(shù)據(jù)隱私保護(hù)與安全管理體系要求

管理職責(zé)

最高管理層承諾：最高管理層應(yīng)制定并發(fā)布數(shù)據(jù)隱私保護(hù)與安全方針，明確數(shù)據(jù)隱私保護(hù)與安全目標(biāo)，并確保資源的合理分配。

3

職責(zé)分配：明確各部門(mén)和人員在數(shù)據(jù)隱私保護(hù)與安全管理體系中的職責(zé)和權(quán)限，確保責(zé)任落實(shí)到

人。

風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)識(shí)別：識(shí)別與數(shù)據(jù)隱私和安全相關(guān)的風(fēng)險(xiǎn)，包括數(shù)據(jù)泄露、篡改、丟失等風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)分析與評(píng)估：評(píng)估風(fēng)險(xiǎn)的可能性和影響程度，確定風(fēng)險(xiǎn)等級(jí)。

風(fēng)險(xiǎn)處理：根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，制定風(fēng)險(xiǎn)處理計(jì)劃，采取相應(yīng)的風(fēng)險(xiǎn)控制措施。

數(shù)據(jù)分類分級(jí)

分類分級(jí)原則：根據(jù)數(shù)據(jù)的敏感程度、重要性等進(jìn)行分類分級(jí)，明確不同類別和級(jí)別的數(shù)據(jù)保護(hù)要求。

分類分級(jí)實(shí)施：建立數(shù)據(jù)分類分級(jí)管理制度，對(duì)數(shù)據(jù)進(jìn)行標(biāo)識(shí)和管理。

數(shù)據(jù)訪問(wèn)控制

訪問(wèn)控制策略：制定數(shù)據(jù)訪問(wèn)控制策略，明確數(shù)據(jù)訪問(wèn)的權(quán)限和流程。

身份認(rèn)證與授權(quán)：采用身份認(rèn)證和授權(quán)機(jī)制，確保只有授權(quán)人員才能訪問(wèn)相關(guān)數(shù)據(jù)。

訪問(wèn)審計(jì)：記錄數(shù)據(jù)訪問(wèn)行為，定期進(jìn)行審計(jì)，發(fā)現(xiàn)異常及時(shí)處理。

數(shù)據(jù)加密與脫敏

數(shù)據(jù)加密：對(duì)敏感數(shù)據(jù)進(jìn)行加密處理，確保數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的保密性。

4

數(shù)據(jù)脫敏：對(duì)需要共享或?qū)ν馓峁┑臄?shù)據(jù)進(jìn)行脫敏處理，防止數(shù)據(jù)泄露。

數(shù)據(jù)存儲(chǔ)與備份

存儲(chǔ)安全：采用安全的存儲(chǔ)技術(shù)，確保數(shù)據(jù)存儲(chǔ)的完整性和可用性。

備份與恢復(fù)：制定數(shù)據(jù)備份計(jì)劃，定期進(jìn)行數(shù)據(jù)備份，并確保數(shù)據(jù)能夠快速恢復(fù)。

數(shù)據(jù)傳輸安全

加密傳輸：采用加密技術(shù)確保數(shù)據(jù)在傳輸過(guò)程中的保密性。

傳輸完整性：采取措施確保數(shù)據(jù)在傳輸過(guò)程中的完整性，防止數(shù)據(jù)被篡改。

數(shù)據(jù)共享與交換安全

共享安全：制定數(shù)據(jù)共享安全策略，明確數(shù)據(jù)共享的條件和流程。

交換安全：采用安全的交換技術(shù)，確保數(shù)據(jù)在交換過(guò)程中的安全。

數(shù)據(jù)銷(xiāo)毀與清除

銷(xiāo)毀策略：制定數(shù)據(jù)銷(xiāo)毀策略，明確數(shù)據(jù)銷(xiāo)毀的條件和流程。

清除措施：采用安全的清除技術(shù)，確保數(shù)據(jù)被徹底清除，無(wú)法恢復(fù)。

5

安全事件管理

事件監(jiān)測(cè)與預(yù)警：建立安全事件監(jiān)測(cè)與預(yù)警機(jī)制，及時(shí)發(fā)現(xiàn)并處理安全事件。

事件響應(yīng)與處置：制定安全事件響應(yīng)與處置流程，確保在發(fā)生安全事件時(shí)能夠快速響應(yīng)并有效處

置。

事件記錄與分析：記錄安全事件的相關(guān)信息，定期進(jìn)行分析，總結(jié)經(jīng)驗(yàn)教訓(xùn)。

安全培訓(xùn)與意識(shí)提升

培訓(xùn)計(jì)劃：制定全面的安全培訓(xùn)計(jì)劃，涵蓋數(shù)據(jù)隱私保護(hù)、數(shù)據(jù)安全法律法規(guī)、安全操作規(guī)程等內(nèi)容。培訓(xùn)計(jì)劃應(yīng)明確培訓(xùn)對(duì)象、內(nèi)容、時(shí)間、方式及考核標(biāo)準(zhǔn)。

新員工入職培訓(xùn)：新員工入職時(shí)，必須接受數(shù)據(jù)隱私與安全培訓(xùn)，了解企業(yè)的數(shù)據(jù)安全政策、流程和自身安全責(zé)任。

定期培訓(xùn)與更新：定期組織員工參加數(shù)據(jù)安全培訓(xùn)，至少每年一次。培訓(xùn)內(nèi)容應(yīng)根據(jù)最新的法律法規(guī)、技術(shù)發(fā)展和企業(yè)內(nèi)部安全需求進(jìn)行更新。

管理層培訓(xùn)：對(duì)管理層進(jìn)行專門(mén)的數(shù)據(jù)安全培訓(xùn)，使其了解數(shù)據(jù)安全對(duì)企業(yè)運(yùn)營(yíng)的重要性，并能夠有效領(lǐng)導(dǎo)和推動(dòng)數(shù)據(jù)安全管理工作。

意識(shí)提升活動(dòng)：通過(guò)內(nèi)部宣傳、安全競(jìng)賽、模擬攻擊演練等方式，提升員工的數(shù)據(jù)安全意識(shí)，營(yíng)造良好的安全文化氛圍。

考核與反饋：對(duì)培訓(xùn)效果進(jìn)行考核，確保員工掌握必要的數(shù)據(jù)安全知識(shí)和技能。同時(shí)，收集員工對(duì)培訓(xùn)的反饋意見(jiàn)，持續(xù)改進(jìn)培訓(xùn)內(nèi)容和方式。

第三方管理

第三方評(píng)估與準(zhǔn)入：對(duì)與計(jì)算中心合作的第三方供應(yīng)商和服務(wù)提供商進(jìn)行嚴(yán)格的安全評(píng)估，確保其具備足夠的數(shù)據(jù)安全能力和合規(guī)性。

6

合同與協(xié)議：與第三方簽訂合同時(shí)，明確數(shù)據(jù)安全責(zé)任和義務(wù)，要求其遵守計(jì)算中心的數(shù)據(jù)隱私保護(hù)與安全管理體系標(biāo)準(zhǔn)。

監(jiān)督與審計(jì)：定期對(duì)第三方的數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督和審計(jì)，確保其按照合同要求和安全標(biāo)準(zhǔn)執(zhí)

行。

違規(guī)處理：對(duì)于違反數(shù)據(jù)安全協(xié)議的第三方，采取警告、罰款、終止合作等處罰措施，并要求其對(duì)造成的損失進(jìn)行賠償。

應(yīng)急響應(yīng)協(xié)同：與第三方建立應(yīng)急響應(yīng)協(xié)同機(jī)制，確保在發(fā)生數(shù)據(jù)安全事件時(shí)能夠快速聯(lián)動(dòng)，共同應(yīng)對(duì)。

法律法規(guī)遵從性

法律法規(guī)識(shí)別：定期識(shí)別和更新與數(shù)據(jù)隱私保護(hù)和安全相關(guān)的法律法規(guī)，確保計(jì)算中心的活動(dòng)符合國(guó)家、地方及行業(yè)的要求。

合規(guī)性評(píng)估：定期進(jìn)行合規(guī)性評(píng)估，檢查數(shù)據(jù)隱私保護(hù)與安全管理體系是否滿足法律法規(guī)的要求，及時(shí)發(fā)現(xiàn)并糾正不符合項(xiàng)。

法律咨詢與培訓(xùn)：定期邀請(qǐng)法律專家進(jìn)行培訓(xùn)和咨詢，提高員工對(duì)數(shù)據(jù)安全法律法規(guī)的理解和應(yīng)用能力。

政策與標(biāo)準(zhǔn)更新：關(guān)注國(guó)家和行業(yè)發(fā)布的最新數(shù)據(jù)安全政策、標(biāo)準(zhǔn)和技術(shù)指南，及時(shí)將其納入管理體系。

持續(xù)改進(jìn)

管理體系評(píng)審：定期對(duì)數(shù)據(jù)隱私保護(hù)與安全管理體系進(jìn)行全面評(píng)審，評(píng)估體系的有效性、適用性和充分性。評(píng)審頻率應(yīng)不少于每年一次。

改進(jìn)措施制定：根據(jù)評(píng)審結(jié)果，制定并實(shí)施改進(jìn)措施，明確責(zé)任人、完成時(shí)間和預(yù)期效果。

技術(shù)與管理創(chuàng)新：鼓勵(lì)采用新技術(shù)、新方法提升數(shù)據(jù)隱私保護(hù)和安全管理水平，如隱私增強(qiáng)技術(shù)、

7

人工智能安全監(jiān)測(cè)等。

績(jī)效指標(biāo)與考核：建立數(shù)據(jù)隱私保護(hù)與安全績(jī)效指標(biāo)，對(duì)管理體系的運(yùn)行效果進(jìn)行量化考核。將考核結(jié)果納入員工和部門(mén)的績(jī)效評(píng)價(jià)體系。

五、技術(shù)與管理措施

數(shù)據(jù)加密與脫敏

數(shù)據(jù)加密：對(duì)敏感數(shù)據(jù)采用AES對(duì)稱加密算法進(jìn)行加密，確保數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的保密性。

數(shù)據(jù)脫敏：對(duì)需要共享或?qū)ν馓峁┑臄?shù)據(jù)進(jìn)行脫敏處理，防止數(shù)據(jù)泄露。

數(shù)據(jù)存儲(chǔ)與備份

存儲(chǔ)安全：采用雙機(jī)冗余熱備方案，確保數(shù)據(jù)存儲(chǔ)的完整性和可用性。

備份與恢復(fù)：定期備份數(shù)據(jù)至異地服務(wù)器，確保在發(fā)生重大災(zāi)難時(shí)能夠快速恢復(fù)數(shù)據(jù)。

數(shù)據(jù)訪問(wèn)控制

訪問(wèn)控制策略：制定數(shù)據(jù)訪問(wèn)控制策略，明確數(shù)據(jù)訪問(wèn)的權(quán)限和流程。

身份認(rèn)證與授權(quán)：采用多因素認(rèn)證機(jī)制，確保只有授權(quán)人員才能訪問(wèn)相關(guān)數(shù)據(jù)。

訪問(wèn)審計(jì)：記錄數(shù)據(jù)訪問(wèn)行為，定期進(jìn)行審計(jì)，發(fā)現(xiàn)異常及時(shí)處理。

8

數(shù)據(jù)傳輸安全

加密傳輸：采用加密技術(shù)確保數(shù)據(jù)在傳輸過(guò)程中的保密性。

傳輸完整性：采取措施確保數(shù)據(jù)在傳輸過(guò)程中的完整性，防止數(shù)據(jù)被篡改。

數(shù)據(jù)共享與交換安全

共享安全：制定數(shù)據(jù)共享安全策略，明確數(shù)據(jù)共享的條件和流程。

交換安全：采用安全的交換技術(shù)，確保數(shù)據(jù)在交換過(guò)程中的安全。

數(shù)據(jù)銷(xiāo)毀與清除

銷(xiāo)毀策略：制定數(shù)據(jù)銷(xiāo)毀策略，明確數(shù)據(jù)銷(xiāo)毀的條件和流程。

清除措施：采用安全的清除技術(shù)，確保數(shù)據(jù)被徹底清除，無(wú)法恢復(fù)。

安全事件管理

事件監(jiān)測(cè)與預(yù)警：建立安全事件監(jiān)測(cè)與預(yù)警機(jī)制，利用技術(shù)手段實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)訪問(wèn)、存儲(chǔ)、傳輸?shù)拳h(huán)節(jié)的異常行為，及時(shí)發(fā)現(xiàn)潛在的安全事件。

應(yīng)急預(yù)案制定：制定詳細(xì)的安全事件應(yīng)急預(yù)案，明確事件分級(jí)、應(yīng)急響應(yīng)流程、責(zé)任分工、應(yīng)急資源調(diào)配等內(nèi)容。

應(yīng)急響應(yīng)團(tuán)隊(duì)：組建專業(yè)的應(yīng)急響應(yīng)團(tuán)隊(duì)，具備快速響應(yīng)和處理