T/GDIIA 006.05-2023 数据治理 第5部分：数据安全治理能力评估规范

ICS35.240.01

L70/84

T/GDIIA006.05-2023

数据治理

第5部分：数据安全治理能力评估规范

DataGovernance

Part5：EvaluationSpecificationofDataSecurityGovernance

2023-12-26发布2023-12-26实施

广东省信息协会发布

T/GDIIA006.05-2023

目次

1范围...................................................................1

2规范性引用文件.........................................................1

3术语和定义.............................................................1

4数据安全治理能力规划...................................................1

4.1概述..............................................................1

4.2能力规划要求......................................................2

5数据全生命周期安全.....................................................2

5.1数据采集安全......................................................3

5.2数据传输安全......................................................3

5.3数据存储安全......................................................4

5.4数据备份与恢复....................................................4

5.5数据使用安全......................................................5

5.6数据销毁安全......................................................6

6数据基础设施安全.......................................................6

6.1风险和需求分析....................................................6

6.2数据分类分级......................................................7

6.3合规管理..........................................................7

6.4利益相关方管理....................................................8

6.5数据处理环境安全..................................................9

6.6数据服务安全......................................................9

6.7鉴别与访问.......................................................10

6.8安全事件应急.....................................................10

6.9监控审计.........................................................11

7能力评估..............................................................12

T/GDIIA006.05-2023

前言

T/GDIIA006《数据治理》分为以下部分：

数据治理第1部分：通用要求；

数据治理第2部分：数据治理技术服务规范；

数据治理第3部分：数据治理服务管理规范；

数据治理第4部分：数据治理服务单位能力评估规范；

数据治理第5部分：数据安全治理能力评估规范；

数据治理第6部分：数据治理从业人员能力评价指南；

数据治理第7部分：数据治理成本度量规范；

数据治理第8部分：数据治理质量评价规范。

本文件为T/GDIIA006的第5部分。

本标准按照GB/T1.1-2020给出的规则起草。

本标准由广东省信息协会提出并归口。

本标准起草单位：广州赛宝联睿信息科技有限公司、联通（广东）产业互联网有限公司、

广东卓启云链科技有限公司。

本标准参与单位：中国联合网络通信有限公司广东省分公司、南方电网互联网服务有限

公司、广州中长康达信息技术有限公司。

本标准主要起草人：黄建新、杨好、李勇路、张锦喜、叶亚芳、方辉敏、吴仲维、区健、

李超。

本文件的内容不涉及专利。

本文件为首次修订版。

T/GDIIA006.05-2023

数据治理第5部分：数据安全治理能力评估规范

1范围

本标准提出了各类数据治理活动及其相关平台遵循的数据安全治理能力要求，包括数据

安全治理能力规划、数据生命周期安全、数据基础安全等能力要求：

本标准适用于为数据治理单位评估数据安全管理现状、建立数据安全治理体系提供参考。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适

用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

a）GB/T34960.5-2018信息技术服务治理第5部分：数据治理规范。

b）GB/T37988-2019信息安全技术数据安全能力成熟度模型

c）GB/T25069-2010信息安全技术术语

d）GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇

3术语和定义

GB/T25069-2010和GB/T29246-2017界定的以及下列术语和定义适用于本文件。

3.1

数据安全datasecurity

数据的机密性、完整性和可用性。

[GB/T36073—2018，定义3.11]

3.2

恢复时间目标RecoveryTimeObjective（RTO）

指在系统中断或灾难发生后，需要恢复正常运行所需的最长时间。

3.3

恢复点目标RecoveryPointObjective（RPO）

指在系统中断或灾难发生时，能够接受的数据丢失程度。

4数据安全治理能力规划

4.1概述

数据安全治理能力规划以数据安全管理体系、数据安全技术体系、数据安全运维体系规

划为基础，实现数据生命周期安全和数据基础设施安全，达到数据安全治理能力提升的目标。

数据安全治理能力体系的内容包括：

a)数据安全管理体系：包括组织与人员、数据安全认责制度、数据安全管理制度等；

b)数据安全技术体系：包括数据全生命周期的敏感数据识别、数据分类与分级、数据

访问控制、数据安全审计等；

c)数据安全运维体系：主要包括定期稽核策略、动态防护策略、数据备份策略、数据

安全培训等；

1

T/GDIIA006.05-2023

d)数据生命周期安全包括数据采集安全、数据传输安全、数据存储安全、数据备份与

恢复、数据使用安全、数据销毁安全；

e)数据基础设施安全包括风险和需求分析、数据分类分级、合规管理、利益相关方管

理、数据处理环境安全、数据服务安全、鉴别与访问、安全事件应急、监控审计。

数据安全治理能力体系架构图如图1所示。

图1数据安全治理能力体系架构图

4.2能力规划要求

4.2.1人员

a)组织岗位要求：设置数据安全管理部门、岗位和人员，负责协调安全管理、技术工

具、推进规划开展执行；

b)人员能力要求：了解组织的业务发展目标，将数据安全工作的目标和业务发展的目

标进行有机结合，具备资源统筹协调能力，定期开展宣贯工作，在组织内推进计划

实施。

4.2.2过程

a)建立业务数据安全规划过程，确保符合合规要求；

b)建立制定数据安全战略过程，明确安全方针、目标和原则，明确数据安全规划活动

的执行频率、审核机制及发布流程；

c)数据安全规划可动态调整，在组织架构或数据服务业务发生重大变化时，及时评估

数据安全制度与规程的实施效果，修订安全制度和规程文件；

d)制定数据保护计划，明确活动、资源、支持岗位、时间安排和实施步骤；

e)对数据安全制度和规程进行评估，制定数据安全治理能力提升计划。

4.2.3技术

a)采用数据安全相关技术实现数据安全治理规划的动态管理。

4.2.4资源

a)数据安全治理规划分发及管理平台；

b)知识库。

5数据全生命周期安全

2

T/GDIIA006.05-2023

5.1数据采集安全

5.1.1概述

在收集外部数据的过程中，组织需要确保数据采集的目的和用途的真实性和