水利数据安全能力评估指南.docx

ICS35.030CCSA90

41

河南省地方标准

DB41/T2854—2025

水利数据安全能力评估指南

2025-04-21发布2025-07-20实施

河南省市场监督管理局发布

DB41/T2854—2025

I

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4评估原则 1

5评估方法和程序 1

6评估指标 2

7评估结论 3

附录A（资料性）评估指标 5

附录B（资料性）水利数据安全能力评估报告封面（样式） 9

参考文献 10

DB41/T2854—2025

II

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由河南省水利厅提出。

本文件由河南省水利标准化技术委员会（HN/TC22）归口。

本文件起草单位：河南省水文水资源中心、河南省水利科技应用中心。

本文件主要起草人：宋博、唐学哲、闫长位、李延峰、马艳波、刘念龙、王骏、侯琳琳、韩建杰、韩慧颖、周彦平、马广亮、张冰、王晶、闫晓敏、赵倩倩、刘子涵、吕鹏举、陈厚强、王峥、多国梁、云洪勇。

DB41/T2854—2025

1

水利数据安全能力评估指南

1范围

本文件给出了水利数据安全评估的原则、方式、指标及程序。

本文件适用于水利行业数据安全检查的评估工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

GB/T37988信息安全技术数据安全能力成熟度模型

3术语和定义

GB/T25069和GB/T37988界定的以及下列术语和定义适用于本文件。

水利数据

在水利行业工作中，任何以电子或者其他方式对信息的记录。

4评估原则

客观性：客观、公正，不受评估对象、评估时间、评估人员等任何因素影响。

可操作性：通过量化指标体系，使评估工作具备可行性及实用性。

可再现性：在相同评估环境下，对同一对象重复执行评估都将得到同样的结果。

保密性：对评估过程中所涉及的信息严格保密。

5评估方法和程序

评分方法和指标分类

5.1.1评分方法采用百分制。

5.1.2评估指标分为一级指标、二级指标和单项指标，见附录A。

评估方式

5.2.1人员访谈：对相关人员进行访谈，核查规章制度、防护措施、安全责任落实情况。

5.2.2文档查验：查验安全管理制度、数据分类分级有关材料、数据安全风险评估报告、网络安全等级保护测评报告、商用密码应用安全性评估报告等。

5.2.3安全核查：核查网络安全环境、数据全生命周期的策略、配置和防护措施情况。

DB41/T2854—2025

2

5.2.4技术验证：宜采用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。

评估程序

5.3.1准备阶段：组建评估团队，制定工作计划，准备评估工具。确定评估目标和范围，明确涉及的数据资产、数据处理活动、业务等。

5.3.2评估阶段：按照相应的评估方式对单项指标进行赋分，单项指标全部符合赋分，不符合不赋分。留存人员访谈、文档查验、安全核查、技术验证等评估过程文档。

5.3.3总结阶段：根据单项指标赋分结果计算总分，并给出评估报告。

6评估指标

安全管理能力

6.1.1数据安全组织

6.1.1.1管理机构职责分工明确，数据处理活动规范。

6.1.1.2责任人明确，数据安全资源调配工作合理。

6.1.1.3监管小组负责监督数据分类分级、数据安全管理、数据安全防护等。

6.1.1.4专职岗位明确。

6.1.2数据安全制度

6.1.2.1总体数据安全战略规划或年度工作计划明确，包含中长期工作目标、内容和计划。

6.1.2.2落实网络安全责任制、数据安全责任制，建立网络和数据安全考核及监督问责机制。

6.1.2.3明确责任部门与岗位的工作规范和规程。

6.1.2.4水利数据制度评审、发布及审核流程合规并有记录。

6.1.2.5根据部门和岗位的职责明确审批权限。

6.1.2.6