ICS 35. 04 CCS L80 DB53 云國南省國地國方 标准 DB53/T 1403—2025 网络安全等级保护 数据安全治理体系建设指南 2025 － 05 － 09 发布 2025 － 08 － 09 实施 云南省市场监督管理局 发布 DB53/T 1403—2025 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由云南省公安厅提出并归口。 本文件起草单位：云南警官学院、云南南天电子信息产业股份有限公司、云南省市场监管局信息中 心、云南省医疗保障基金运行监测评估中心、云南省康旅控股集团有限公司。 本文件主要起草人：万晋华、屈曼、周子云、徐杨子凡、李朴楠、贺韬、江悦、杨衍、段松、董志 文。 I DB53/T1403—2025 网络安全等级保护 数据安全治理体系建设指南 1范围 本文件给出了数据安全治理体系建设的基本原则、治理框架、基础通用、数据安全管理、数据安全 技术、数据安全运营等内容。 本文件适用于指导非涉密数据安全治理体系建设工作，也可供数据处理活动的开展参考使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T 37988信息安全技术数据安全能力成熟度模型 GB/T 41479信息安全技术 网络数据处理安全要求 GB/T 43697数据安全技术数据分类分级规则 3术语和定义 GB/T 25069 界定的以及下列术语和定义适用于本文件。 3. 1 保密性 confidentiality 信息对未授权的个人、实体或过程不可用或不可泄露的性质。 [来源:GB/T 25069-2022，3.41] 3. 2 数据完整性 data integrity 数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变 [来源:GB/T 25069-2022，3.574] 3. 3 可用性 availability 可由经授权实体按需访问和使用的性质。 [来源:GB/T 25069-2022，3.345] 3. 4 个人信息personal information 以电子或者其他方式记录的能够单独或者与其他信息结合来识别特定自然人身份或者反映其活动 情况的各种信息。 [来源:GB/T 25069-2022，3.196] 1 DB53/T 1403—2025 4基本原则 4.1合规正当 宜确保数据全生命周期各环节数据活动的合规性和正当性。 4.2目的明确 宜制定数据安全防护策略，明确数据全生命周期各环节的安全防护目标和要求， 4.3全程可控 宜采取与数据安全级别相匹配的安全管控机制和技术措施，确保数据在全生命周期各环节的保密性、 完整性和可用性，避免数据在全生命周期内被破坏、篡改、泄漏、丢失或未授权访问等。 4.4动态控制 数据的安全控制策略和安全防护措施，宜基于业务需求、安全环境、用户行为等因素动态调整。 5 治理框架 数据安全治理体系框架如图1。 数据安全治理体系 基础通用 数据安全管理 数据安全技术 数据安全运营 应急响应与事件处置 术语和缩略语 外部机构管 数 溯 安全检查评估 标准 组 管理制 据分类分 数 数据传输 数据存储 数据使用 数 数 日 源 安全审计 化工作 织架构 据采集 据 据销毁 志管 监 测 度 除 理 预警 理 理 级 图1 数据安全治理体系框架图 6基础通用 基础通用包括术语和缩略语、标准化工作等内容，宜遵循GB/T 25069、GB/T 22239 等的相关要求。 7数据安全管理 2 DB53/T 1403—2025 7.1组织架构 宜建立自上而下的覆盖决策、管理、执行、监督四个层面的组织架构，主要内容如下： a）决策层主要包括数据安全工作的统筹组织、指导推进和协调落实： b） 管理层主要包括数据安全相关工作的实施、相关政策和制度的制定评审、设立岗位职能职责、 保障工作资源； c） 执行层主要包括落实数据安全防护措施、数据权限分配、数据安全控制、配合执行数据相关安 全评估及技术检测、制定数据安全应急预案、处置安全事件、记录数据活动日志； d） 报、配合开展外部审计。 增部 7.2 管理制度 7. 2. 1 宜制定数据安全总体安全策略、方针、目标、原则 并定期评估和更新。 7.2. 2 7.2.3宜建立统一覆盖数据全生命周期关键环节的数据安全管理制度及实施细则，并定期评估和更新， 主要包括： b) 针对不同安全级别的数据，制定相应的安全策略和保障措施； c) 建立数据安全日常管理及操作流程， 对数据生命周期各阶段的数据保护工作提出具体要求; (P 建立合理、统一的密码使用和密钥管理技术规范和制度； 建立数据脱敏技术规范和制度，明确不同安全级别数据脱敏规则、脱敏方法和脱敏数据的使用 e) 限制，及脱敏操作过程留存日志记录规范； 示 建立数据供应方安全管理要求， 明确管理内容、 方式等； f) g) 建立数据采集、传输、在储、使用、 删除及销毁相关管理制度; h) 制定数据采集的操作规程，规范数据采集的渠道、 数据格式、 流程和方式; i) 建立数据安全评估 处置规程和应急响应等机制，明确重大数据安全事件的处置流程及应 j) 建立数据安全事件管理、 对方法。 7.3人员管理 7.3.1建立人员录用及日常管理制度, 主要包括录用员工背景调查、保密制度、岗位职能职责、岗位 变动要求、终止劳动合同要求、外部人员管理制度等。 7.3.2制定数据安全相关岗位人员的安全培训制度，主要包括培训计划、培训规程、培训结果评价、 培训考核等。 7.3.3宜对接触高安全等级数据的人员及其岗位建立审批、登记、定期审查管理制度， 7.3.4数据库管理员、操作员及安全审计人员等岗位宜设立专人专岗制度，数据安全关键岗位宜建立 双人双岗制度。 7.4外部机构管理 7.4.1宜对参与本机构数据全生命周期过程中的外部机构进行管理，建立相关管理体系。 7.4.2建立外部机构管理制度，包括但不限于建立外部机构审查与评估机制、外部机构数据使用行为 约束机制、外部机构及人员安全要求、定期检查制度、数据安全事件反馈机制等。 3