ICS 00.000 CIIPA XX X 体标准 团 T/CIIPA 00001-2024 关键信息基础设施数据安全能力要求 Security capability requirements for data security of Critical Information Infrastructure (征求意见） 次 目 1 范围 6 2规范性引用文件. 6 3术语和定义 4缩略语. 5CII数据安全总体保护要求 5.1合法合规要求.. 5.2综合防御要求， 5.3风险防控要求. 6CII数据安全能力框架 8 7CII数据分类分级 7.1数据梳理 9 7.2数据分类. 7.3数据分级. 9 7.4数据资产管理。 10 7.5目录报备 10 7.6目录动态更新. 11 8CII数据安全管理 11 8.1组织管理. 11 8.2人员管理. 12 8.3制度建设.. 13 8.4权限管理， 14 8.5审批登记 14 8.6CII安全管理 15 8.7容灾备份， 15 8.8合作方管理. 15 8.9日志管理. 17 8.10监督检查 17 9CII数据全生命周期安全保障 18 9.1数据收集 18 9.2数据存储. 19 9.3数据使用加工 20 9.4数据传输 22 9.5数据提供 23 9.6数据公开， 24 9.7数据销毁 .24 10CII数据安全风险运营 25 10.1风险监测. 25 10.2风险评估. 26 10.3应急处置. . 26 10.4安全对抗. 参考文献. 29 前言 求，依据GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的 规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中关村华安关键信息基础设施安全保护联盟提出。 本文件由中关村华安关键信息基础设施安全保护联盟网络安全标准专业委员会归口和 解释。 本文件起草单位：中国联合网络通信集团有限公司、中关村华安关键信息基础设施安全 保护联盟、中国联合网络通信有限公司研究院、联通数据智能有限公司、中国电子科技集团 公司第十五研究所、中国软件评测中心、上海计算机软件技术开发中心、北京国信城研科学 技术研究院、国家工业信息安全发展研究中心、工业和信息化部教育与考试中心、天津恒御 科技有限公司、奇安信网神信息技术（北京）股份有限公司、中国电力科学研究院有限公司、 中国交通通信信息中心、北方实验室（沈阳）股份有限公司、中检集团天惟网络安全技术（合 肥）有限公司、国家基础地理信息中心、南方电网数字电网集团信息通信科技有限公司、兴 唐通信科技有限公司、恒安嘉新(北京)科技股份公司、江苏大道云隐科技有限公司、北京君 航伟业科技发展有限公司。 本文件主要起草人：曹咪、孙艺、瑶、宋淑杰、李浩宇、胡文慧、徐雷、李佳杭、陶 治、陈厚昕、孙琪、欧阳维乐、唐刚、张璋、白惠文、李安伦、吴建华、王世轶、毛争艳、 游顺、张少昌、王尊、赵冉、谭志彬、张平贺、修凤洲、徐彬、李月航、肖红阳、郭建宇、 杜渐、贺林佳、李海涛、李琳、胡兴元、刘洋、李恒、方展涛、王海霞、王梦媛、刘志强、 黄圣超、增周君、金虎山。 本文件首次发布。 本文件在执行过程中的意见或建议反馈至中关村华安关键信息基础设施安全保护联盟 （地址：北京市海淀区板井路69号世纪金源商务中心607，100097，网址： http://www.cncipa.com，邮箱：[email protected]）。 引言 关键信息基础设施作为国家的重要战略资源，是经济社会运行的“神经中枢”，承载着大 量关键业务，汇聚和处理涉及国家安全、经济运行等多个领域的重要数据，日益发挥着基础 性、战略性、支撑性作用，由此也成为了网络攻击的重点目标。保护关键信息基础设施稳定 运行及其承载的重要数据和核心数据的安全，抵御重大威胁风险，是关键信息基础设施安全 保护的重要任务。 本标准旨在构建关键信息基础设施数据安全防护能力体系，严格遵循《网络安全法》《数 据安全法》《个人信息保护法》及《关键信息基础设施安全保护条例》等法律法规的指引， 参考国家和行业的相关标准，结合运营者的实际情况，确立关键信息基础设施数据安全总体 保护要求、能力框架，规定关键信息基础设施运营者开展关键信息基础设施数据安全防护应 具备的通用能力和数据处理安全能力要求。适用于指导关键信息基础设施运营者开展关键信 息基础设施数据安全能力建设，也可供主管监管部门、第三方测评机构等对关键信息基础设 施的数据安全能力进行评估。 通过实施本标准，期望能够提升关键信息基础设施运营者的数据安全保护水平，进一步 筑牢国家数据安全防线，推动数据安全有序流动、规范利用，为数字经济发展提供有力支撑。 关键信息基础设施数据安全能力要求 1 范围 本文件确立了关键信息基础设施数据安全总体保护要求、能力框架，规定了关键信息基 力和数据处理安全能力要求 本文件适用于指导运营者对关键信息基础设施数据进行安全防护，也可供主管监管部门、 第三方测评机构等对关键信息基础设施的数据安全能力进行评估。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期 的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括 所有的修改单）适用于本文件。 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T25069信息安全技术术语 GB/T35273信息安全技术个人信息安全规范 GB/T35274数据安全技术大数据服务安全能力要求 GB/T38667信息技术大数据数据分类指南 GB/T39204信息安全技术关键信息基础设施安全保护要求 GB/T43697数据安全技术数据分类分级规则 GB/T45574数据安全技术敏感个人信息处理要求 GB/T45577数据安全技术数据安全风险评估方法 YD/T3813基础电信企业数据分类分级方法 YD/T3867电信领域重要数据识别指南 YD/T4981工业领域重要数据识别指南 ICIIPAOOOOX关键信息基础设施安全防护能力与评价要求 3术语和定义 GB/T25069、GB/T35274、GB/T39204、GB/T43697、GB/T45574界定的以及下列术 语和定义适用于本文件。 3.1 关键信息基础设施数据data of critical information infrastructure 关键信息基础设施在建设与运营过程中产生或承载的数据。 注：简称“数据”。 4缩略语 下列缩略语适用于本文件。 CII：关键信息基础设施（Critical InformationInfrastructure） 5CII数据安全总体保护要求 5.1合法合规要求 运营者应强化落实主体责任，确保CII数据处理活动合法合规，具体要求包括： a）应对CII数据实行分类分级保护，明确重要数据、核心数据，并根据类别属性、重 要级别及敏感程度等差异性特征，采取适当的、与数据安全风险相适应的安全措施； b）应建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技 术措施和其他必要措施，保障CI数据安全； c）应在关键信息基础设施保护、网络安全等级保护制度的基础上，履行CII数据安全 保护义务： d）应明确数据安全负责人和管理机构，落实数据安全保护责任； e）应加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发 生数据安全事件时，应立即采取处置措施，按照规定及时告知用户并向有关主管部门报告； f）应对数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告； g）收集数据，应采取合法、正当的方式，不得窃取或者以其他非法方式获取数据； h) 数据出境活动应依法开展； i）法律法规对CII保护和数据安全保护的其他规定。 5.2综合防御要求 运营者应构建关键信息基础设施数字生态安全防护体系，对CII数据安全开展综合防御， 具体要求包括： a）应以CII基础设施网络、系统、平台、技术等数字生态要素安全为支撑，统筹数据 流通安全及数据应用安全保护，形成CI数据安全综合防御能力； b）应将数据安全保护制度、关键信息基础设施安全保护制度和网络安全等级保护制度 术措施，确保数据在收集、存储、传输、提供、使用、销毁等数据处理活动中的安全；涉及 个人信息处理的，应满足GB/T45574、GB/T35273的要求。 5.3风险防控要求