术语解读：T/ISC-0011-2021 数据安全治理能力评估方法

团体标准 T/ISC-0011-2021 数据安全治理能力评估方法

Evaluation method of data security governance capability

主要内容

主要内容包括以下方面：

1. 评估原则：
   • 科学性：评估方法基于科学的理论和实践经验，能够准确反映数据安全治理能力的实际情况。
   • 客观性：评估过程应避免主观因素的影响，确保评估结果的客观公正。
   • 全面性：评估内容涵盖数据安全治理的各个方面，包括组织建设、制度流程、技术工具、人员能力等。
   • 可操作性：评估方法应具有可操作性，便于企业实施和应用。
2. 评估实施方法：综合运用多种评估方法，如问卷调查、文件审查、现场访谈、技术测试等，对企业的数据安全治理能力进行全面评估。
3. 评估实施过程：包括评估准备、评估实施、评估结果分析和评估报告编制等阶段。
4. 数据安全治理能力总体要求：企业应建立完善的数据安全治理体系，包括明确的数据安全策略、组织架构、制度流程和技术措施等，以保障数据的保密性、完整性和可用性。
5. 评估等级：
   • 基础级：企业具备基本的数据安全管理能力，能够满足法律法规的要求，但在数据安全治理的系统性和有效性方面还有待提高。
   • 优秀级：企业在数据安全治理方面取得了较好的成效，具备较为完善的数据安全管理体系和技术措施，能够有效防范数据安全风险。
   • 先进级：企业的数据安全治理能力达到了较高的水平，在数据安全管理、技术创新和业务发展等方面具有较强的竞争力和示范作用。
6. 具体评估内容：
   • 数据安全战略：包括数据安全规划、机构人员管理等方面，评估企业的数据安全战略制定和执行情况。
   • 数据全生命周期安全：涵盖数据采集、传输、存储、备份与恢复、使用、处理环境、内部共享、外部共享、销毁等环节的安全管理，确保数据在整个生命周期内的安全。
   • 基础安全：包括数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急等方面，评估企业的基础安全管理能力。

该标准为企业数据安全治理能力的评估提供了具体的参考和指导，有助于企业提升数据安全治理水平，保障数据安全。

术语和定义

1 数据安全 data security

通过管理和技术措施，确保数据有效保护和合规使用的状态。

2 保密性 confidentiality

使信息不泄漏给未授权的个人、实体、进程，或不被其利用的特性。

3 完整性 integrity

准确和完备的特性。

4 备份数据 backup data

存储在（通常可移动的）非易失性存储介质上某一时间点的数据集合，用于原数据丢失或不可访问时的数据恢复。

5 备份 backup

创建备份数据的过程。

6 技术工具 technical tool

通过技术手段或平台工具等方式支撑组织数据安全治理能力的建设。

7 内部共享 internal sharing

在单个组织内部环境下的数据交换过程。

8 外部共享 external sharing

在任意两个或多个组织之间的数据交换过程。

9 数据血缘 data consanguinity

记录了对原始数据的处理步骤，标明了数据产生的链路关系。

10 个人信息 personal information

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

注 1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

注 2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。

11 个人敏感信息 personal sensitive information

一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。