ICS35.030CCSA9041IDB41/T2854—2025前言 12規(guī)范性引用文件 13術(shù)語和定義 14評估原則 15評估方法和程序 16評估指標(biāo) 27評估結(jié)論 3附錄A（資料性）評估指標(biāo) 5附錄B（資料性）水利數(shù)據(jù)安全能力評估報(bào)告封面（樣式） 9參考文獻(xiàn) DB41/T2854—2025本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本文件由河南省水利廳提出。本文件由河南省水利標(biāo)準(zhǔn)化技術(shù)委員會(huì)（HN/TC22）歸口。本文件起草單位：河南省水文水資源中心、河南省水利科技應(yīng)用中心。本文件主要起草人：宋博、唐學(xué)哲、閆長位、李延峰、馬艷波、劉念龍、王駿、侯琳琳、韓建杰、韓慧穎、周彥平、馬廣亮、張冰、王晶、閆曉敏、趙倩倩、劉子涵、呂鵬舉、陳厚強(qiáng)、王崢、多國梁、云洪勇。DB41/T2854—20251水利數(shù)據(jù)安全能力評估指南本文件給出了水利數(shù)據(jù)安全評估的原則、方式、指標(biāo)及程序。本文件適用于水利行業(yè)數(shù)據(jù)安全檢查的評估工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術(shù)術(shù)語GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型3術(shù)語和定義GB/T25069和GB/T37988界定的以及下列術(shù)語和定義適用于本文件。3.1水利數(shù)據(jù)在水利行業(yè)工作中，任何以電子或者其他方式對信息的記錄。4評估原則4,1客觀性：客觀、公正，不受評估對象、評估時(shí)間、評估人員等任何因素影響。4.2可操作性：通過量化指標(biāo)體系，使評估工作具備可行性及實(shí)用性。4.3可再現(xiàn)性：在相同評估環(huán)境下，對同一對象重復(fù)執(zhí)行評估都將得到同樣的結(jié)果。4,4保密性：對評估過程中所涉及的信息嚴(yán)格保密。5評估方法和程序5.1評分方法和指標(biāo)分類5.1.1評分方法采用百分制。5.1.2評估指標(biāo)分為一級(jí)指標(biāo)、二級(jí)指標(biāo)和單項(xiàng)指標(biāo)，見附錄A。5.2評估方式5.2.1人員訪談：對相關(guān)人員進(jìn)行訪談，核查規(guī)章制度、防護(hù)措施、安全責(zé)任落實(shí)情況。5.2.2文檔查驗(yàn)：查驗(yàn)安全管理制度、數(shù)據(jù)分類分級(jí)有關(guān)材料、數(shù)據(jù)安全風(fēng)險(xiǎn)評估報(bào)告、網(wǎng)絡(luò)安全等級(jí)保護(hù)測評報(bào)告、商用密碼應(yīng)用安全性評估報(bào)告等。5.2.3安全核查：核查網(wǎng)絡(luò)安全環(huán)境、數(shù)據(jù)全生命周期的策略、配置和防護(hù)措施情況。DB41/T2854—202525.2.4技術(shù)驗(yàn)證：宜采用技術(shù)工具、滲透測試等手段查看數(shù)據(jù)資產(chǎn)情況、檢測防護(hù)措施有效性。5.3評估程序5.3.1準(zhǔn)備階段：組建評估團(tuán)隊(duì)，制定工作計(jì)劃，準(zhǔn)備評估工具。確定評估目標(biāo)和范圍，明確涉及的數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理活動(dòng)、業(yè)務(wù)等。5.3.2評估階段：按照相應(yīng)的評估方式對單項(xiàng)指標(biāo)進(jìn)行賦分，單項(xiàng)指標(biāo)全部符合賦分，不符合不賦分。留存人員訪談、文檔查驗(yàn)、安全核查、技術(shù)驗(yàn)證等評估過程文檔。5.3.3總結(jié)階段：根據(jù)單項(xiàng)指標(biāo)賦分結(jié)果計(jì)算總分，并給出評估報(bào)告。6評估指標(biāo)6.1安全管理能力6.1.1數(shù)據(jù)安全組織6.1.1.1管理機(jī)構(gòu)職責(zé)分工明確，數(shù)據(jù)處理活動(dòng)規(guī)范。6.1.1.2責(zé)任人明確，數(shù)據(jù)安全資源調(diào)配工作合理。6.1.1.3監(jiān)管小組負(fù)責(zé)監(jiān)督數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全管理、數(shù)據(jù)安全防護(hù)等。6.1.1.4專職崗位明確。6.1.2數(shù)據(jù)安全制度6.1.2.1總體數(shù)據(jù)安全戰(zhàn)略規(guī)劃或年度工作計(jì)劃明確，包含中長期工作目標(biāo)、內(nèi)容和計(jì)劃。6.1.2.2落實(shí)網(wǎng)絡(luò)安全責(zé)任制、數(shù)據(jù)安全責(zé)任制，建立網(wǎng)絡(luò)和數(shù)據(jù)安全考核及監(jiān)督問責(zé)機(jī)制。6.1.2.3明確責(zé)任部門與崗位的工作規(guī)范和規(guī)程。6.1.2.4水利數(shù)據(jù)制度評審、發(fā)布及審核流程合規(guī)并有記錄。6.1.2.5根據(jù)部門和崗位的職責(zé)明確審批權(quán)限。6.1.2.6定期開展水利數(shù)據(jù)安全風(fēng)險(xiǎn)評估和監(jiān)督檢查。6.1.3數(shù)據(jù)安全人員管理6.1.3.1人員簽訂保密承諾書，關(guān)鍵崗位人員簽訂崗位責(zé)任協(xié)議。6.1.3.2人員調(diào)離或終止勞動(dòng)合同時(shí)，簽訂離崗保密承諾書或協(xié)議。6.1.3.3數(shù)據(jù)安全能力具有考核機(jī)制，定期開展數(shù)據(jù)安全專項(xiàng)培訓(xùn)。6.1.3.4關(guān)鍵崗位設(shè)立雙人雙崗。6.1.4數(shù)據(jù)分類分級(jí)管理6.1.4.1完成本單位（部門）的數(shù)據(jù)分類分級(jí)工作。6.1.4.2明確數(shù)據(jù)資產(chǎn)管理者或責(zé)任部門，落實(shí)數(shù)據(jù)資產(chǎn)登記機(jī)制。6.1.4.3數(shù)據(jù)分類分級(jí)變更和審核等按相關(guān)制度執(zhí)行。6.1.5供應(yīng)鏈管理6.1.5.1供應(yīng)鏈各方的責(zé)任和義務(wù)明確，簽訂安全保密承諾書或協(xié)議。6.1.5.2供應(yīng)鏈各方定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估。6.1.5.3供應(yīng)鏈各方人員訪問權(quán)限劃分清晰。DB41/T2854—202536.1.5.4供應(yīng)鏈各方接入時(shí)采用技術(shù)工具進(jìn)行安全檢測，合作結(jié)束后，查閱賬號(hào)注銷、數(shù)據(jù)回收、數(shù)據(jù)刪除銷毀等管理情況。6.1.6數(shù)據(jù)安全應(yīng)急管理6.1.6.1有數(shù)據(jù)安全事件應(yīng)急預(yù)案，并定期進(jìn)行修訂。6.1.6.2具有應(yīng)急演練工作計(jì)劃，并定期組織開展應(yīng)急演練。6.1.6.3具有數(shù)據(jù)安全應(yīng)急響應(yīng)及處置機(jī)制，發(fā)生數(shù)據(jù)安全事件時(shí)及時(shí)向有關(guān)主管部門報(bào)告。6.2安全技術(shù)能力6.2.1網(wǎng)絡(luò)安全措施落實(shí)6.2.1.1具有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)區(qū)域劃分、IP地址分配等網(wǎng)絡(luò)資源管理文檔。6.2.1.2具有安全策略文檔和安全操作文檔等。6.2.1.3定期開展網(wǎng)絡(luò)安全等級(jí)保護(hù)測評、商用密碼應(yīng)用安全性評估、數(shù)據(jù)安全風(fēng)險(xiǎn)評估等。6.2.2數(shù)據(jù)資產(chǎn)識(shí)別6.2.2.1采用技術(shù)手段對數(shù)據(jù)資產(chǎn)進(jìn)行掃描與實(shí)際情況一致。6.2.2.2具有用戶、設(shè)備、應(yīng)用系統(tǒng)的身份鑒別機(jī)制。6.2.2.3具有數(shù)據(jù)資產(chǎn)清單以及更新、維護(hù)等相關(guān)記錄。6.2.3數(shù)據(jù)安全防護(hù)6.2.3.1身份標(biāo)識(shí)具有唯一性，明確數(shù)據(jù)訪問權(quán)限，做好最小化權(quán)限設(shè)置。6.2.3.2采用多因子認(rèn)證方式進(jìn)行身份鑒別，口令滿足復(fù)雜度要求并定期更換。6.2.3.3訪問控制、數(shù)據(jù)加解密、數(shù)據(jù)防泄漏、脫敏、環(huán)境安全等保障數(shù)據(jù)在采集、傳輸、存儲(chǔ)、處理、交換過程中的機(jī)密性、完整性、可用性和真實(shí)性。6.2.3.4數(shù)據(jù)銷毀按管理制度和審批流程執(zhí)行。6.2.4數(shù)據(jù)安全審計(jì)6.2.4.1審核用戶實(shí)際使用權(quán)限與審批的一致性。6.2.4.2對數(shù)據(jù)全生命周期進(jìn)行安全審計(jì)。6.2.4.3對審計(jì)日志進(jìn)行定期備份。6.2.5數(shù)據(jù)監(jiān)測預(yù)警6.2.5.1對數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)進(jìn)行監(jiān)測預(yù)警。6.2.5.2對數(shù)據(jù)安全事件進(jìn)行分析、研判、通報(bào)、處置。6.2.6數(shù)據(jù)備份恢復(fù)6.2.6.1數(shù)據(jù)備份策略科學(xué)合理，定期對數(shù)據(jù)進(jìn)行備份。6.2.6.2定期開展數(shù)據(jù)恢復(fù)演練，并驗(yàn)證備份數(shù)據(jù)的完整性和一致性。7評估結(jié)論DB41/T2854—20254水利數(shù)據(jù)安全能力單項(xiàng)指標(biāo)賦分表見附錄A。二級(jí)指標(biāo)得分是對應(yīng)的單項(xiàng)指標(biāo)賦分之和，一級(jí)指標(biāo)得分是對應(yīng)二級(jí)指標(biāo)得分之和，總分是一級(jí)指標(biāo)得分之和。7.2評估報(bào)告7.2.1評估報(bào)告包括以下內(nèi)容：a)任務(wù)來源；b)評估人員和分工；c)評估過程；d)被評估單位基本情況；e)評估單項(xiàng)指標(biāo)賦分列表；f)存在問題和建議。7.2.2評估報(bào)告封面樣式見附錄B。DB41/T2854—20255評估指標(biāo)表A.1給出了水利數(shù)據(jù)安全能力評估的指標(biāo)分級(jí)和單項(xiàng)指標(biāo)的評估方式及賦分。表A.1水利數(shù)據(jù)安全能力單項(xiàng)指標(biāo)賦分表11213141516具有數(shù)據(jù)安全管理工作規(guī)劃或工作方案，明確中長期工作目1718191規(guī)11111人員轉(zhuǎn)崗或離崗時(shí)，明確告知其繼續(xù)履行有關(guān)信息的保密義1111111DB41/T2854—20256表A.1水利數(shù)據(jù)安全能力單項(xiàng)指標(biāo)賦分表（續(xù)）1111111合作機(jī)構(gòu)人員對數(shù)據(jù)與系統(tǒng)的訪問權(quán)限符合最小必要和職責(zé)111111221核查相關(guān)安全設(shè)備配置與安全框架或安全策略文件規(guī)定相匹配2222122DB41/T2854—20257表A.1水利數(shù)據(jù)安全能力單項(xiàng)指標(biāo)賦分表（續(xù)）222采用數(shù)據(jù)庫存儲(chǔ)加密技術(shù)，將數(shù)據(jù)庫明文數(shù)據(jù)轉(zhuǎn)換為密文存12111222露1221212212DB41/T2854—20258表A.1水利數(shù)據(jù)安全能力單項(xiàng)指標(biāo)賦分表（續(xù)）112222211DB41/T2854—20259水利數(shù)據(jù)安全能力評估報(bào)告封面（樣式）水利數(shù)據(jù)安全能力評估報(bào)告封面（樣式）見圖B.1。 圖B.1水利數(shù)據(jù)安全能力評估報(bào)告封面（樣式）DB41/T2854—2025參考文獻(xiàn)[1]GB/T29246—2023信息安全技術(shù)信息安全管理體系概述和詞匯[2]GB/T35274—2023數(shù)據(jù)安全技術(shù)大數(shù)據(jù)服務(wù)