ICS 35. 04 CCS L80 DB53 云國南國省地方 電标准 DB53/T 1402—2025 网络安全等级保护 数据安全监督检查规范 2025 － 05 － 09 发布 2025 － 08 － 09 实施 云南省市场监督管理局 发布 DB53/T 1402—2025 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由云南省公安厅提出并归口。 本文件起草单位：云南警官学院、云南南天电子信息产业股份有限公司、云南省市场监管局信息中 心、云南省医疗保障基金运行监测评估中心、云南省康旅控股集团有限公司。 本文件主要起草人：万晋华、屈曼、周子云、徐杨子凡、李朴楠、贺韬、江悦、杨衍、段松、董志 文。 I DB53/T1402—2025 网络安全等级保护 数据安全监督检查规范 1范围 本文件规定了数据安全监督检查的基本原则、检查准备、检查实施、检查结果等内容。 本文件适用于指导开展网络安全等级保护数据安全监督检查工作。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239 信息安全技术网络安全等级保护基本要求 GB/T 25069 信息安全技术术语 GB/T 35273信息安全技术 个人信息安全规范 GB/T 35274数据安全技术 大数据服务安全能力要求 GB/T 35295信息技术 大数据 术语 GB/T 43697数据安全技术 数据分类分级规则 GA/T1390（所有部分）信息安全技术网络安全等级保护基本要求 GA/T1735.1网络安全等级保护检查工具技术规范第1部分：安全通用检查工具 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 3. 1 数据安全 data security 通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 [来源：GB/T 35274，3.17] 3. 2 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合来识别特定自然人身份或者反映其活动 情况的各种信息。 [来源：GB/T 25069—2022，3.196] 3. 3 数据处理者 data processing 在数据处理活动中自主决定处理目的、处理方式得组织、个人。 [来源：GB/T 43697-2024，3.11] 3. 4 数据供应链 data supply chain 1 DB53/T 1402—2025 对大数据服务提供者提供的数据活动(包括采集、预处理、聚合、交换、访问等)进行计划、协调、 操作、控制和优化所需的可用数据资源形成的链状结构。 [来源：GB/T 25069—2022，3.567] 3.5 数据主体 产生数据的个体或组织，包括个人、企业、政府等。 3.6 敏感数据 sensitive data 泄漏后可能会给社会或个人带来严重危害的数据。 3.7 部 数据资产 data assets 由个人或企业拥有或控制的， 能为企业带来来经济利益的，以物理或电子方式记录的数据资源。 3.8 数据生存周期 data lifecy 将原始数据转化为可用于行动的知识的 地方标准 [来源：GB/T 35295—2017, 2.127 化行 5 4基本原则 4.1合规正当 应确保数据生存周期各环节 合法性和正当性， 准 4.2科学管理原则 数据安全监督检查工作应按照本文件给出的程序开展，运用科学的管理方法和手段，对网络数据安 全进行有效检查。 4.3保密原则 隐私、商业秘密等，应严格保密，避免非法使 用。 4.4全面原则 数据安全监督检查应覆盖数据的收集、传输、存储、使用、交换、销毁等各个环节，全面保障数据 的安全性。 5检查准备 5.1数据安全监督检查前应制定检查工作方案，内容应包括组织领导、检查对象、检查内容、检查方 式、检查要求等。 5.2数据安全监督检查前应根据工作方案组建检查工作组，确定检查人员、检查时间、检查方式等。 5.3数据安全监督检查前检查工作组应告知检查对象相关检查事项，包括但不限于检查时间、检查范 围等。 2 DB53/T 1402—2025 5.4开展数据安全监督检查前，应组织相关检查人员进行必要的培训。 6检查实施 6.1检查内容 6.1.1通用安全检查 6.1.1.1安全合规管理，对数据处理者的安全能力、个人信息保护能力、数据跨境安全保护能力开展 检查工作。 6.1.1.3鉴别与访问控制，对用户身份的验证和确认 用户访问网络数据的权限和限制进行检查。 6.1.1.4终端数据安全，对终端设备层面的数据保护进行检查， 核验内部工作终端采取的技术和管理 方案。 6.1.1.5监控与审计，数据处理者的监控和审计工作的合规性及执行情况进行检查。 6.1.1.6数据分类分级，对数据分类分级的制度、策略和执行结果进行检查，并核查数据处理者是否 根据数据分类分级的要求建立相应安管理和控制措施。 地 6.1.2数据收集安全检查 6.1.2.1对基于法律法规及业务需求生成或收集的数据分类分级标识，形成的数据保护目录并及时更 新，以及数据收集的合规性 正当性、 致性进行检查。 6.1.2.2检查数据收集活动是否严格遵守国家关于数据保护的相关法律法规，与外部机构进行数据交 换或共享时，是否签订了明确的合同或协议，明确双方的数据保护责任和义务。 向数据主体进行了清晰、充分的说明， 并获得了数据主体的明确同意 里 6.1.2.4检查是否定期对数据收集活动进行审查， 根据业务发展和法律法规变化及时调整数据收集策 略和方法，确保数据收集活动的 一致性。 6.1.3数据传输安全检查 6.1.4数据存储安全检查 对数据存储管理制度、数据兀余措施、备份技术、监控存储载体性能措施进行检查，核查是否具备 对个人敏感数据、重要数据存储加密及完整性保障的能力。 6.1.5数据使用安全检查 6.1.5.1数据脱敏安全，对敏感数据的脱敏需求、规则、处理结果进行检查，根据安全需求及业务需 求，检查数据可用性和安全性的平衡。 6.1.5.2数据分析安全，对数据分析过程采取的安全控制措施进行检查。 6.1.5.3数据正当使用，对数据使用过程的责任机制、评估机制进行检查。 6.1.5.4数据导入导出安全，对数据导入、导出过程的合规性及安全性进行检查。 6.1.6数据交换安全检查