ICS 35.030 YD CCS L70 中华人民共和国通信行业标准 YD/T 4558—2023 数据安全治理能力通用评估方法 General evaluation method of data security governance capability 2023-12-20发布 2024-04-01实施 中华人民共和国工业和信息化部 发布 YD/T4558—2023 目 次 前言， III 1 范围 2规范性引用文件. 3术语和定义 4概述 4.1评估原则 4.2评估实施方法.. .. 2 4.3评估实施过程 5数据安全治理体系框架 6 数据安全治理能力总体要求， 7 评估等级 6 7.1 第一级初始级 7.2 第二级重点执行级. 6 7.3第三级全面治理级.… 7.4第四级量化评估级.. 7.5 第五级持续优化级 8数据安全战略 8.1 数据安全规划.. 8.2机构人员管理. .10 9数据全生命周期安全 15 9.1 数据采集安全. .15 9.2 数据传输安全. 9.3 数据存储安全.. .23 9.4 数据使用安全.. 9.5 数据共享安全... ..32 9.6 数据销毁安全.. 10基础安全 .40 10.1 数据分类分级. 10.2 合规管理. .43 10.3个 合作方管理 10.4 监控审计 .50 10.5 身份认证与访问控制 54 I YD/T4558—2023 10.6 安全风险分析 10.7安全事件应急. II YD/T4558—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 内容起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、中国移动通信集团有限公司、奇安信科技集团股份有限公 司、杭州安恒信息技术股份有限公司、蚂蚁科技集团股份有限公司、北京百度网讯科技有限公司、上 海观安信息技术股份有限公司、北京数科技有限公司、杭州美创科技有限公司、郑州信大捷安信息 技术股份有限公司、联通华盛通信有限公司、北京天融信网络安全技术有限公司、OPPO广东移动通 信有限公司、联通数字科技有限公司、浪潮云信息技术股份公司、北京数安行科技有限公司、北京国 双科技有限公司、北京亿赛通科技发展有限责任公司、恒安嘉新（北京）科技股份公司、中兴通讯股 份有限公司、深圳市和讯华谷信息技术有限公司、上海新炬网络信息技术股份有限公司。 本文件主要起草人：刘雪花、李雪妮、龚诗然、闫树、魏凯、姜春宇、李天阳、郝志婧、张越、张 亚兰、范东媛、王新华、梁伟、马冰珂、孟小楠、郭建领、孙硕、谢江、裴超、王泽、刘为华、尚晶、 陈卓、郑涛、陈洪运、付艳艳、温暖、李文琦、刘飞龙、何晓倩、周庆勇、刘玉红、张柏、李楷、孟娟、 王文娟、马超、张艺伟、黄国标。 II YD/T4558—2023 数据安全治理能力通用评估方法 1范围 本文件规定了数据安全治理能力通用评估方法，包括评估实施方法、评估结果等级划分和数据安全 治理能力在各等级的具体要求和评估细则。 本文件适用于企业针对其拥有的数据开展数据安全治理工作，为其数据安全治理能力评估提供参考 和指引。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25069—2010信息安全技术术语 GB/T29246一2017信息技术安全技术信息安全管理体系 GB/T37988一2019信息安全技术数据安全能力成熟度模型 GB/T35273一2017信息安全技术个人信息安全规范 3术语和定义 GB/T37988一2019和GB/T35273一2017界定的以及下列术语和定义适用于本文件。 3.1 数据安全治理datasecuritygovernance 在组织数据安全战略的指导下，为确保组织数据处于有效保护和合法利用的状态，以及具备保障持 续安全状态的能力，内外部相关方协作实施的一系列活动集合。 注：活动包括建立数据安全治理组织架构、制定数据安全制度规范、构建数据安全技术体系、建设数据安全人才梯 队等。 3.2 数据使用datausing 在组织内部开展的数据开发利用活动的过程。 YD/T4558—2023 数据安全治理能力通用评估方法 1范围 本文件规定了数据安全治理能力通用评估方法，包括评估实施方法、评估结果等级划分和数据安全 治理能力在各等级的具体要求和评估细则。 本文件适用于企业针对其拥有的数据开展数据安全治理工作，为其数据安全治理能力评估提供参考 和指引。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25069—2010信息安全技术术语 GB/T29246一2017信息技术安全技术信息安全管理体系 GB/T37988一2019信息安全技术数据安全能力成熟度模型 GB/T35273一2017信息安全技术个人信息安全规范 3术语和定义 GB/T37988一2019和GB/T35273一2017界定的以及下列术语和定义适用于本文件。 3.1 数据安全治理datasecuritygovernance 在组织数据安全战略的指导下，为确保组织数据处于有效保护和合法利用的状态，以及具备保障持 续安全状态的能力，内外部相关方协作实施的一系列活动集合。 注：活动包括建立数据安全治理组织架构、制定数据安全制度规范、构建数据安全技术体系、建设数据安全人才梯 队等。 3.2 数据使用datausing 在组织内部开展的数据开发利用活动的过程。 YD/T4558—2023 数据安全治理能力通用评估方法 1范围 本文件规定了数据安全治理能力通用评估方法，包括评估实施方法、评估结果等级划分和数据安全 治理能力在各等级的具体要求和评估细则。 本文件适用于企业针对其拥有的数据开展数据安全治理工作，为其数据安全治理能力评估提供参考 和指引。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25069—2010信息安全技术术语 GB/T29246一2017信息技术安全技术信息安全管理体系 GB/T37988一2019信息安全技术数据安全能力成熟度模型 GB/T35273一2017信息安全技术个人信息安全规范 3术语和定义 GB/T37988一2019和GB/T35273一2017界定的以及下列术语和定义适用于本文件。 3.1 数据安全治理datasecuritygovernance 在组织数据安全战略的指导下，为确保组织数据处于有效保护和合法利用的状态，以及具备保障持 续安全状态的能力，内外部相关方协作实施的一系列活动集合。 注：活动包括建立数据安全治理组织架构、制定数据安全制度规范、构建数据安全技术体系、建设数据安全人才梯 队等。 3.2 数据使用datausing 在组织内部开展的数据开发利用活动的过程。