ICS35.030 CCS L 80 中华人民共和国国家标准 GB/T42447—2023 信息安全技术 电信领域数据安全指南 Information security technologyData security guidelines for telecom field 2023-10-01实施 2023-03-17发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42447—2023 目 次 前言 1 范围 2 规范性引用文件 3 术语和定义 缩略语 5 概述 6 安全原则 7 电信数据通用安全措施 7.1 组织保障 7.2 数据分类分级 7.3 权限管理 7.4 日志留存 7.5 安全审计 7.6 风险监测预警 7.7 应急响应 7.8 安全评估 7.9 教育培训 电信数据处理安全措施 8.1 数据收集 8.2 数据存储 8.3 数据使用加工 8.4 数据传输 8.5 数据提供 8.6 数据公开 8.7 数据销毁 参考文献· GB/T42447—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中国移动通信集团有限公司、中国电子技术标准化研究院、中国信息通信研究院、 中国联合网络通信集团有限公司、中国电信集团有限公司、中国人民银行数字货币研究所、成都思维世 纪科技有限责任公司、中国科学院信息工程研究所、北京优炫软件股份有限公司、国家工业信息安全发 展研究中心、北京东方通网信科技有限公司、北京亚鸿世纪科技发展有限公司、山谷网安科技股份有限 公司、重庆邮电大学、北京明朝万达科技股份有限公司、闪捷信息科技有限公司、上海观安信息技术股份 有限公司、北京邮电大学、慧盾信息安全科技（苏州）股份有限公司。 本文件主要起草人：张滨、张峰、杨亭亭、江为强、邱勤、张鑫月、魏薇、王光涛、温暖、于乐、上官晓丽、 任兰芳、张媛媛、陈活、胡影、栗栗、庞妹、何申、李文琦、刘明辉、静静、赵一宁、徐羽佳、孙艺、耿冠和、 钟志成、黄志军、钟立、林飞、易永波、蔺思涛、宋玲娓、刘玉岭、柳彩云、崔婷婷、王世彪、翟宏锋、赵蓓、 金科、韩言妮、耿慧拯、顾慧琼、陈广辉、李春梅、左洪强、徐雨晴、谢江、赵帅、程渤、王晓波。 GB/T42447—2023 信息安全技术电信领域数据安全指南 1范围 本文件给出了开展电信领域数据处理活动的安全原则、通用安全措施，及在实施数据收集、存储、使 用加工、传输、提供、公开、销毁等过程中宜采取的相应安全措施。 本文件适用于指导电信数据处理者开展数据安全保护工作，也适用于指导第三方机构开展电信数 据安全评估工作。 2规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T41479—2022信息安全技术网络数据处理安全要求 3术语和定义 GB/T41479一2022界定的以及下列术语和定义适用于本文件 3.1 电信领域数据 号telecomdata 在电信领域业务经营活动中产生和收集的数据。 注1：如用户身份信息、通话数据、位置数据、信令数据、基站建设及运维数据和网络优化数据等。 3.2 电信数据处理者telecomdataprocessor 取得电信业务经营许可证，且在电信数据处理活动中自主决定处理目的、处理方式的电信业务经 营者。 注：电信数据处理者包括基础电信业务经营者和互联网数据中心、互联网接入服务、在线数据处理与交易处理、互 联网信息服务等增值电信业务经营者。 3.3 数据接收方 datareceiver 数据处理中接收数据的组织或个人。 ［来源：GB/T41479—2022，定义3.11] 4 缩略语 下列缩略语适用于本文件。 IP：互联网协议（internetprotocol) 1 GB/T42447—2023 MAC：媒体访问控制（mediaaccesscontrol) SsL：安全套接层协议（securesocketlayer） VPN：虚拟专用网络（virtualprivatensetwork） 4A：账号管理、授权管理、认证管理、审计管理（account、authentication、authorization、audit） 5概述 电信数据处理者在开展数据处理活动过程中，提供适当的安全措施，以降低电信数据处理风险 电信数据处理者按照有关要求和标准进行数据分类分级保护，在识别电信领域核心数据、重要数 据、一般数据的基础上，采取数据安全措施，开展数据处理活动。第7章及第8章给出的安全措施分为 一般措施和增强措施；处理一般数据时，电信数据处理者宜采取一般措施保护数据安全；处理重要数据 和核心数据时，电信数据处理者宜在采取一般措施的基础上同时采取增强措施保护数据安全。 注1：重要数据和核心数据识别规则参考国家、行业相关规范，其他均属于一般数据。由于一般数据涵盖数据范围 较广，电信数据处理者可根据生产经营需求对一般数据进行细化分级。 注2：对于未区分一般措施和增强措施的环节，一般数据、重要数据和核心数据参考同等措施进行保护。 6安全原则 电信数据处理者遵循如下原则： a）安全三同步原则：在承载数据的相关平台设计、建设和运行过程中，做到数据安全保护措施的 同步规划、同步建设、同步运行； b）分类分级保护原则：对数据进行分类分级，并根据类别属性、重要及敏感程度等差异性特征，采 取适当的、与数据安全风险相适应的安全措施，保障数据安全； c） 最小必要原则：在数据的收集、存储、使用、加工、传输、提供、公开、销毁等各处理活动开展过程 中，所使用的数据类型及数据规模仅限定为业务开展所必需，且具有合法、正当、必要的目的； d）全生命周期管控原则：数据安全保护措施涵盖数据从产生到销毁的生命周期全过程； e）持续评估优化原则：对安全措施进行常态化、全面化安全评估，并根据评估结果持续动态优化 数据安全保护措施。 7电信数据通用安全措施 7.1组织保障 电信数据处理者在组织保障方面宜采取以下安全措施。 a）一般措施： 1）明确数据安全管理职责部门，配备数据安全管理人员，制定数据安全制度规范和操作规 程，配备数据安全技术能力； 2）建立数据安全保护情况监督检查和考核管理制度，开展数据安全监督检查和考核管理。 b）增强措施： 1）建立数据安全工作体系，明确数据安全管理机构，设置数据安全管理专职岗位，建立数据 安全管理机构与相关部门的协作机制； 2) 明确组织内数据安全管理第一责任人员等关键角色； 2 GB/T42447-—2023 密协议。 7.2数据分类分级 电信数据处理者在数据分类分级方面宜采取以下安全措施。 a）一般措施： 1）定期梳理数据资产，形成并及时更新数据资产清单，按照有关规定开展数据分类分级 工作； 2） 根据业务需求、数据来源和用途等因素，划分组织机构数据类别，并根据数据资产变动和 分类分级要求变动情况，及时更新数据资产清单。 b）增强措施：形成更新重要数据和核心数据目录，按照有关规定开展目录备案工作。 7.3权限管理 电信数据处理者在权限管理方面宜采取以下安全措施。 a）一般措施： 1）对开展数据处理活动的平台系统账号，明确审批流程和操作要求 2） 遵循安全策略和最小授权原则，合理界定数据处理权限，设置相关岗位角色并确保职责分 离，形成并定期更新数据处理权限记录表； 3） 对开展数据处理活动的平台系统，使用技术手段进行权限管理和账号管理（如4A），同时 控制超级管理员权限账户数量； 4） 涉及数据重大操作的，采取多人审批授权或操作监督方式。 b）增强措施： 1）明确重要数据和核心数据处理权限审批、登记方式和流程，控制权限范围，留存登记、审批 记录； 2）对开展重要数据和核心数据处理活动的平台系统，具备基于IP地址、账号与口令等的用 户身份认证和多因子认证的能力，并配备权限管理保障功能 7.4日志留存 电信数据处理者在日志留存方面宜采取以下安全措施。 对数据全生命周期处理过程进行日志记录，日志记录内容完整准确，内容包括操作时间、操作 a) 账号、处理方式、授权情况、操作对象和数据量级等 b）日志留存时间不少于6个月，定期对日志进行备份，日志记录可被查询检索。 7.5安全审计 电信数据处理者在安全审计方面宜采取以下安全措施。 a）一般措施： 1）明确数据安全审计统筹部门，配备安全审计员，对权限分配审批、数据处理日志等开展安 全审计工作； 2) 确定必要的数据安全审计策略，明确审计对象、审计内容和实施周期，开展数据重大操作、 越权访问数据和远程访问数据等重点场景安全审计和数据分析； 3) 针对审计发现的问题及时处置、整改、跟踪复核，按照有关规定定期形成数据安全审计情 3 GB/T42447—2023 况总结。 b）增强措施： 1）开展数据安全审计技术能力建设（如4A），细化常见风险和易发事件安全审计策略； 2）按照有关规定定期形成重要数据、核心数据安全审计情况总结。 7.6风险监测预警 电信数据处理者在风险监测预警方面宜采取以下安全措施：开展数据安全风险监测，对数据资产 数据处理环境、网络与系统设备、数据处理账号和内外部数据流动等实施监测巡查，对异常流动等行为 进行排查和预警，及时采取补救措施。对可能造成较大及以上安全事件的风险，按照有关规定进行 上报。