ICS 35.030 CCS A 90 41 河南省 地方 标准 DB41/T 2854—2025 水利数据安全能力评估指南 2025 - 04 - 21发布 2025 - 07 - 20实施 河南省市场监督管理局 发布 DB41/T 2854 —2025 I 目次 前言 ................................ ................................ ................. II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 评估原则 ................................ ................................ ........... 1 5 评估方法和程序 ................................ ................................ ..... 1 6 评估指标 ................................ ................................ ........... 2 7 评估结论 ................................ ................................ ........... 3 附录A（资料性） 评估指标 ................................ ............................. 5 附录B（资料性） 水利数据安全能力评估报告封面（样式） ................................ . 9 参考文献 ................................ ................................ ............. 10 DB41/T 2854 —2025 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不 承担识别这些专利的责任。 本文件由 河南省水利厅 提出。 本文件由 河南省水利标准化技术委员会（ HN/TC 22 ）归口。 本文件起草单位： 河南省水文水资源中心、河南省水利科技应用中心。 本文件主要起草人： 宋博、唐学哲、闫长位、李延峰、马艳波、刘念龙、王骏、侯琳琳、韩建杰、 韩慧颖、周彦平、马广亮、张冰、王晶、闫晓敏、赵倩倩、刘子涵、吕鹏举、陈厚强、王峥、多国梁、 云洪勇。 DB41/T 2854 —2025 1 水利数据安全能力评估指南 1 范围 本文件给出了水利数据安全评估的原则、 方式、指标及程序。 本文件适用于水利行业数据安全检查的评估工作。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 信息安全技术 术语 GB/T 37988 信息安全技术 数据安全能力成熟度模型 3 术语和定义 GB/T 25069 和GB/T 37988 界定的以及下列术语和定义适用于本文件。 水利数据 在水利行业工作中，任何以电子或者其他方式对信息的记录。 4 评估原则 客观性：客观、公正， 不受评估对象、评估时间、评估人员等任何因素影响 。 可操作性：通过量化指标体系，使评估工作具备可行性及实用性 。 可再现性：在相同评估环境下，对同一对象重复执行评估都将得到同样的结果 。 保密性：对评估过程中所涉及的信息严格保密。 5 评估方法和程序 评分方法和指标分类 5.1.1 评分方法采用百分制。 5.1.2 评估指标分为一级指标、二级指标和单项指标 ，见附录 A。 评估方式 5.2.1 人员访谈：对相关人员进行访谈，核查规章制度、防护措施、安全责任落实情况 。 5.2.2 文档查验：查验安全管理制度、 数据分类分级有关材料、 数据安全 风险评估报告、 网络安全等 级保护测 评报告、商用密码应用安全性评估 报告等。 5.2.3 安全核查：核查网络 安全环境、数据 全生命周期 的策略、配置 和防护措施情况 。 DB41/T 2854 —2025 2 5.2.4 技术验证： 宜采用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。 评估程序 5.3.1 准备阶段 ：组建评估团队，制定工作计划 ，准备评估工具。确定评估目标和范围， 明确涉及的 数据资产、数据处理活动、业务等 。 5.3.2 评估阶段： 按照 相应的评估方式对 单项指标进行赋分， 单项指标全部符合赋分， 不符合不 赋分。 留存人员访谈、 文档查验、安全核查、技术 验证等评估过程文档 。 5.3.3 总结阶段：根据单项指标赋分结果计算总分 ，并给出评估报告。 6 评估指标 安全管理 能力 6.1.1 数据安全组织 6.1.1.1 管理机构 职责分工明确，数据处理活动规范 。 6.1.1.2 责任人明确，数据安全资源调配工作合理 。 6.1.1.3 监管小组负责监督数据分类分级、数据安全管理、数据安全防护等 。 6.1.1.4 专职岗位明确。 6.1.2 数据安全制度 6.1.2.1 总体数据安全战略规划或年度工作计划明确，包含中长期工作目标、内容和计划 。 6.1.2.2 落实网络安全责任制、数据安全责任制，建立网络和数据安全考核及监督问责机制 。 6.1.2.3 明确责任部门与岗位的工作规范和规程 。 6.1.2.4 水利数据 制度评审、发布及审核流程合规并有记录 。 6.1.2.5 根据部门和岗位的职责明确审批权限 。 6.1.2.6 定期开展水利数据安全 风险评估和监督检查。 6.1.3 数据安全人员管理 6.1.3.1 人员签订保密承诺书，关键岗位人员签订岗位责任协议 。 6.1.3.2 人员调离或终止劳动合同时，签订离岗保密承诺书或协议 。 6.1.3.3 数据安全能力具有考核机制，定期开展数据安全专项培训 。 6.1.3.4 关键岗位设立双人双岗。 6.1.4 数据分类分级管理 6.1.4.1 完成本单位 （部门） 的数据分类分级工作 。 6.1.4.2 明确数据资产管理者或责任部门，落实数据资产登记机制 。 6.1.4.3 数据分类分级变更和审核等按相关制度执行。 6.1.5 供应链管理 6.1.5.1 供应链各方的责任和义务明确，签订安全保密承诺书或协议 。 6.1.5.2 供应链各方定期开展数据安全风险评估 。 6.1.5.3 供应链各方人员访问权限划分清 晰。 DB41/T 2854 —2025 3 6.1.5.4 供应链各方接入时采用技术工具进行安全检测，合作结束后，查阅账号注销、数据回收、数 据删除销毁等管理情况 。 6.1.6 数据安全应急管理 6.1.6.1 有数据安全事件应急预案 ，并定期进行修订 。 6.1.6.2 具有应急演练工作计划，并定期组织开展应急演练 。 6.1.6.3 具有数据安全 应急响应及处置机制，发生数据安全事件时及时向有关主管部门报告。 安全技术 能力 6.2.1 网络安全 措施落实 6.2.1.1 具有网络拓扑结构、网络区域划分、 IP地址分配等网络资源管理 文档。 6.2.1.2 具有安全策略 文档和安全操作文档等 。 6.2.1.3 定期开展 网络安全 等级保护测评、商用密码应用安全性评估、数据安全风险评估等 。 6.2.2 数据资产 识别 6.2.2.1 采用技术手段对数据资产进行扫描 与实际情况一致 。 6.2.2.2 具有用户、设备、应用系统的身份鉴别机制 。 6.2.2.3 具有数据资产清单以及更新、维护等相关记录 。 6.2.3 数据安全防护 6.2.3.1 身份标识具有唯一性，明确数据访问权限，做好最小化权限设置 。 6.2.3.2 采用多因子认证方式进行身份鉴别，口令满足复杂度要求并定期更换 。 6.2.3.3 访问控制、数据加解密、数据防泄漏、脱敏、环境安全等保障数据在采集、传输、存储、处 理、交换过程中的机密性、完整性、可用性和真实性 。 6.2.3.4 数据销毁按管理制度和审批流程执行。 6.2.4 数据安全审计 6.2.4.1 审核用户实际使用权限与审批的一致性 。 6.2.4.2 对数据全生命周期 进行安全审计 。