T/ISC 0059-2024 数据安全管理能力评估规范

ICS35.240

L60

团体标准

T/ISC0059—2024

数据安全管理能力评估规范

EvaluationSpecificationforDataSecurityManagementCapability

2023-9-3发布2024-10-3实施

中国互联网协会发布

T/ISC0059—2024

目  次

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4目标策划及风险机遇..................................................................2

4.1数据安全方针目标及其实现的策划..................................................2

4.2应对风险和机遇的措施............................................................3

5组织环境及制度保障..................................................................3

5.1内外部环境识别与资源支持........................................................3

5.2相关方的需求与期望..............................................................3

5.3数据安全管理制度保障体系........................................................3

5.4数据安全管理能力涉及范围........................................................4

6组织架构及人员保障..................................................................4

6.1组织建设以及领导作用承诺........................................................4

6.2组织的岗位、权责和权限..........................................................4

7数据安全管理运行....................................................................5

7.1策划............................................................................5

7.2数据分类分级与分级管控..........................................................5

7.3教育培训与考核..................................................................6

7.4举报投诉与处理..................................................................6

7.5权限管理与操作规范..............................................................6

7.6合作方管理......................................................................6

7.7管理内审及整改..................................................................7

7.8数据安全应急响应................................................................7

8数据安全技术运行....................................................................7

8.1策划............................................................................7

8.2数据资产识别....................................................................7

8.3数据防泄漏与溯源................................................................8

8.4敏感数据保护....................................................................8

8.5接口安全管理....................................................................8

8.6风险操作审计....................................................................8

9绩效评价与改进......................................................................8

9.1管理审核与纠正改进..............................................................8

附录A（规范性附录/资料性附录）XXX................................................10

I

T/ISC0059—2024

前  言

本文件按照GB/T1.1—2020《标准化工作导则第1部分标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由中国互联网协会归口。

本标准主要起草单位：中国信息通信研究院、中互网来信息技术有限公司、中互智安(北京)科技有

限公司。

本标准主要起草人：王景尧、吴荻、宛严、李玮、王亚宁、曹海啸。

II

T/ISC0059—2024

数据安全管理能力评估规范

1范围

本文件规定了组织数据安全管理能力评估规范和评估方法。

本文件适用于涉及数据安全的组织、组织及第三方专业机构开展数据安全管理能力评估工作，为提

升组织数据安全管理能力、健全管理手段提供指引和依据。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用

于本文件。

GB/T25069—2010信息安全技术术语

GB/T37988-2019信息安全技术数据安全能力成熟度模型

GB/T36073-2018数据管理能力成熟度评估模型

GB/T41479-2022信息安全技术网络数据处理安全要求

GB/T37973—2019信息安全技术大数据安全管理指南

GB/T35273—2020信息安全技术个人信息安全规范

GB/T39477—2020信息安全技术政务信息共享数据安全技术要求

GB/T29246—2017信息技术安全技术信息安全管理体系

GB/T39335—2020信息技术个人信息安全评估指南

GB/T19000—2016质量管理体系基础和术语

3术语和定义

GB/T41479-2022、GB/T37988-2019、GB/T36073-2018、GB/T25069—2010、GB/T35273—2020、

GB/T39335—2020、GB/T19000—2016等国家标准界定的以及下列术语和定义适用于本文件。

3.1

数据Data

任何以电子或者其他方式对信息的记录。

3.2

数据处理DataProcessing

数据的收集、存储、使用、加工、传输、提供、公开等。

3.3

数据安全DataSecurity

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全

状态的能力。

3.4

个人信息PersonalInformation

1

T/ISC0059—2024

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。

注1:个人信息包括姓名、出生日期、公民身份证号、个人生物识别信息、住址、通信通讯联系方式、通信记

录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

注2：不包括匿名化处理后的信息。

3.5

敏感个人信息PersonalSensitiveInformation

一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到

危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等

信息，以及不满十四周岁未成年人的个人信息。

3.6

去标识化De-Identification

个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

3.7

匿名化Anonymization

个人信息经过处理无法识别特定自然人且不能复原的过程。

注：匿名化处理后的信息不属于个人信息。

3.8

重要数据ImportantData

一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据。

注：重要数据包括未公开的政府信息，数量达到一定规模的基因、地理、矿产信息等，原则上不包括个人信

息、组织内部经营管理信息等。

3.9

数据接收方DataReceiver

数据处理中接收数据的组织或者个人。

3.10

数据脱敏DataMasking

通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。

3.11

数据安全管理能力DataSecurityManagementCapability

组织和机构对数据进行管理和应用的能力。

4目标策