【指南】网络安全标准实践指南——工业企业数据安全能力成熟度模型-69页

微信扫码，打开到小程序

TC260-PG-2026NA 网络安全标准实践指南 ——工业企业数据安全能力成熟度模型 （征求意见稿 v1.0-202601） 全国网络安全标准化技术委员会秘书处 2026 年 1 月 本文档可从以下网址获得： www.tc260.org.cn/ I 前 言 《网络安全标准实践指南》（以下简称《实践指南》）是 全国网络安全标准化技术委员会（以下简称“网安标委”）秘 书处组织制定和发布的标准相关技术文件，旨在围绕网络安 全法律法规政策、标准、网络安全热点和事件等主题，宣传 网络安全相关标准及知识，提供标准化实践指引。 本文件起草单位： 本文件主要起草人： II 声 明 本《实践指南》版权属于网安标委秘书处，未经秘书 处书面授权，不得以任何方式抄袭、翻译《实践指南》的 任何部分。凡转载或引用本《实践指南》的观点、数据， 请注明“来源：全国网络安全标准化技术委员会秘书处”。 III 摘 要 本实践指南旨在贯彻落实《数据安全法》《网络数据安 全管理条例》《工业和信息化领域数据安全管理办法（试行）》 中相关要求，引导工业企业逐级提升数据安全能力成熟度水 平，支撑主管部门全面了解掌握工业领域数据安全总体态 势，带动数据安全技术、产品和服务在工业企业的落地应用。 本实践指南研究提出了工业企业数据安全能力成熟度 模型，并结合国际电工委员会面向工业企业提出的通用模 型，构建了典型工业企业数据安全风险参考框架，涵盖L0现 场设备层、L1现场控制层、L2过程监控层、L3生产管理层和 L4企业管理层5个层级，列举了20余类常见工业企业数据， 分析了工业企业主要数据流向，并梳理了10余类常见数据安 全风险问题，为技术条款编制提供工业企业数据安全事实依 据。本实践指南提出了工业企业数据全生命周期安全和通用 安全的成熟度等级要求，以及能力成熟度等级评估方法。本 实践指南适用于指导工业企业开展数据安全能力建设，以及 对工业企业数据安全能力成熟度等级进行评估。 目 录 前 言 ....................................................................... I 声 明 ...................................................................... II 摘 要 ..................................................................... III 1 范围 ...................................................................... 1 2 规范性引用文件 ............................................................ 1 3 术语和定义 ................................................................ 1 4 缩略语 .................................................................... 2 5 工业企业数据安全能力成熟度模型 ............................................ 3 5.1 能力成熟度模型 ...................................................... 3 5.2 能力要素维度 ........................................................ 4 5.2.1 能力构成 ...................................................... 4 5.2.2 组织建设 ...................................................... 4 5.2.3 制度流程 ...................................................... 4 5.2.4 技术工具 ...................................................... 4 5.2.5 人员能力 ...................................................... 4 5.3 能力成熟度等级维度 .................................................. 5 5.4 过程维度 ............................................................ 5 5.4.1 PA 体系 ........................................................6 5.4.2 编码规则 ...................................................... 6 5.4.3 关系描述 ...................................................... 6 6 工业企业数据全生命周期安全能力成熟度评估 .................................. 7 6.1 数据收集安全 ........................................................ 7 6.1.1 PA01 数据收集安全管理 ......................................... 7 6.1.2 PA02 数据源鉴别及记录 ......................................... 9 6.2 数据存储安全 ....................................................... 10 6.2.1 PA03 逻辑存储安全 ............................................ 10 6.2.2 PA04 存储媒体安全 ............................................ 11 6.2.3 PA05 数据备份和恢复 .......................................... 13 6.3 数据使用加工安全 ................................................... 16 6.3.1 PA06 数据转移安全 ............................................ 16 6.3.2 PA07 数据委托处理安全 .........................................18 6.3.3 PA08 数据脱敏 ................................................ 19 6.3.4 PA09 数据分析与加工安全 ...................................... 21 6.3.5 PA10 数据合规性使用 .......................................... 23 6.3.6 PA11 数据处理环境安全 ........................................ 25 6.4 数据传输安全 .........................................................27 6.4.1 PA12 数据传输安全管理 ........................................ 27 6.4.2 PA13 数据传输加密 ............................................ 28 6.5 数据提供安全 ....................................................... 29 6.5.1 PA14 数据对外提供安全 ........................................ 29 6.5.2 PA15 数据接口安全 ............................................ 32 6.6 数据公开安全 ....................................................... 34 6.6.1 PA16 数据公开安全 ............................................ 34 6.7 数据销毁安全 ....................................................... 36 7 通用安全能力成熟度评估 ................................................... 39 7.1 PA19 安全管理制度 .................................................. 39 7.2 PA20 组织机构 ...................................................... 41 7.3 PA21 人员保障 ...................................................... 43 7.4 PA22 权限管理 ...................................................... 46 7.5 PA23 系统与设备安全 ................................................ 48 7.6 PA24 数据供应链安全 ................................................ 50 7.7 PA25 数据分类分级 .................................................. 52 7.8 PA26 安全风险评估 .................................................. 53 7.9 PA27 日志留存 ...................................................... 53 7.10 PA28 监控与安全审计 ............................................... 54 7.11 PA29 监测预警、信息共享与应急处置 ..................................55 7.12 PA30 数据出境 ..................................................... 57 附录 A（规范性）工业企业主要数据流向及数据安全风险框架 .......................58 附录 B（规范性）能力成熟度等级评估 ...........................................61 附录 C（规范性）工业企业数据安全基线要求 .....................................62 参 考 文 献 ................................................................. 63 1 1 范围 本文件提出了工业企业数据安全能力成熟度模型，给出了工业企业数据安全能力成熟度 等级评估方法。 本文件适用于指导工业企业开展数据安全能力建设，以及对工业企业数据安全能力成熟 度等级进行评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期 的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括 所有的修改单）适用于本文件。 GB/T 25069—2022 信息安全技术 术语 GB/T 29246—2023 信息安全技术 信息安全管理体系 概述和词汇 GB/T 41400—2022 信息安全技术 工业控制系统信息安全防护能力成熟度模型 YD/T 4982—2024 工业企业数据安全防护要求 GB/T 37988—2019 信息安全技术 数据安全能力成熟度模型 3 术语和定义 GB/T 25069—2022、GB/T 32919—2016、GB/T 36323—2018、GB/T 41400—2022、YD/T 4982—2024 和 GB/T 37988—2019 界定的以及下列术语和定义适用于本文件。 3.1 工业控制系统 industrial control system 由各种自动化控制组件以及对实时数据进行收集、监测的过程控制组件共同构成的确保 工业基础设施自动化运行、过程控制与监控的业务流程管控系统。 注：工业控制系统包括监控和数据采集（SCADA）系统、分布式控制系统（DCS）和其他较小的控 制系统，如可编程逻辑控制器（PLC）等。 [来源：GB/T 41400—2022，3.1] 3.2 数据安全能力 data security capability 组织在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障。 [来源：GB/T 37988—2016，3.5] 3.3 能力成熟度 capability maturity 2 对一个组织有条理的持续改进能力以及实现特定过程的连续性、可持续性、有效性和可 信度的水平。 [来源：GB/T 37988—2019，3.6] 3.4 能力成熟度模型 capability maturity model 对一个组织的能力成熟度进行度量的模型，包括一系列代表能力和进展的特征、属性、 指示或者模式。 注：能力成熟度模型为组织衡量其当前的实践、流程、方法的能力水平提供参考基准，并设置明确的 提升目标。 [来源：GB/T 37988—2019，3.7] 3.5 过程域 process area 实现同一安全目标的相关工业企业数据安全基础实践的集合。 注：一个过程域中包含一个或多个基本实践。 3.6 基础实践 base practice 实现某一安全目标的工业企业数据安全防护相关活动。 3.7 工业企业数据 industrial enterprises data 工业企业数据是指各行业各领域工业企业在研发设计、生产制造、经营管理、运行维护、 平台运营等过程中产生、收集、存储、使用、加工、传输、提供、公开、销毁的数据。 注：工业企业数据包含生产监测、工业控制、工艺参数、排产计划等数据。 4 缩略语 下列缩略语适用于本文件。 BP：基础实践（Base Practice） DCS：分布式控制系统（Distributed Control System） FTP：文件传输协议（File Transfer Protocol） HTTP：超文本传输协议（Hyper Text Transfer Protocol） OLE：对象连接与嵌入（Object Linking and Embedding） OPC：用于过程控制的 OLE（OLE for Process Control） PA：过程域（Process Area） PLC：可编程逻辑控制器（Programmable Logic Controller） RTU：远程终端单元（Remote Terminal Unit） SCADA：监控和数据收集（Supervisory Control And Data Acquisition） 3 SQL：结构化查询语言（Structured Query Language） UPS：不间断电源（Uninterruptible Power Supply） USB：通用串行总线（Universal Serial Bus） VPN：虚拟专用网络（Virtual Private Network） 5 工业企业数据安全能力成熟度模型 5.1 能力成熟度模型 图 1 工业企业数据安全能力成熟度模型 工业企业数据安全能力成熟度模型的架构由以下三个维度构成。 a) 工业企业数据安全能力要素维度 组织工业企业数据安全能力要素包括组织建设、制度流程、技术工具和人员能力。 b) 能力成熟度等级维度 组织工业企业数据安全能力成熟度等级划分为五级，由低至高分别为基础建设级、 精准防护级、集成管控级、综合协同级和智能优化级。 c) 工业企业数据安全过程维度 组织工业企业数据安全能力建设过程包括工业企业数据全生命周期安全和通用安 全： 1)工业企业数据全生命周期安全包括：工业企业数据收集安全、数据存储安全、数 4 据使用与加工安全、数据传输安全、数据提供安全、数据公开安全、数据销毁安全 7 个过程类； 2)通用安全包括：安全管理制度、组织机构、人员保障、权限管理、系统与设备安 全、数据供应链安全、数据分类分级、安全风险评估、日志留存、监控与安全审计、 监测预警、信息共享与应急处置、数据出境 12 个过程类。 5.2 能力要素维度 5.2.1 能力构成 通过对组织工业企业数据安全防护过程应具备安全能力的量化，进而评估每项安全过程 的实现能力。组织工业企业数据安全能力要素包括： a) 组织建设：工业企业数据安全机构的设立、职责分配和沟通协作； b) 制度流程：组织工业企业数据安全领域相关制度制定和流程执行； c) 技术工具：通过技术手段和产品工具落实安全要求或自动化实现安全工作； d) 人员能力：执行工业企业数据安全防护工作的人员的安全意识及相关专业能力。 5.2.2 组织建设 从承担工业企业数据安全防护工作的组织应具备的组织建设能力角度，根据以下方面进 行能力等级区分： a) 工业企业数据安全架构对组织业务的适用性； b) 工业企业数据安全机构承担的工作职责的明确性； c) 工业企业数据安全机构运作、沟通协调的有效性。 5.2.3 制度流程 从组织工业企业数据安全防护制度流程的建设以及执行情况角度，根据以下方面进行能 力等级区分： a) 工业企业数据安全关键节点授权审批流程的明确性； b) 相关制度流程的制定、发布、修订的规范性； c) 制度流程实施的一致性和有效性。 5.2.4 技术工具 从组织用于开展工业企业数据安全防护工作的安全技术、应用系统和工具角度，根据以 下方面进行能力等级区分： a) 工业企业数据安全防护技术在工业企业中的利用情况，针对数据安全风险的应对能 力； b) 利用技术工具对工业企业数据安全防护工作的自动化支持能力，对工业企业数据安 全防护制度流程固化执行的实现能力。 5.2.5 人员能力 从组织承担工业企业数据安全防护工作的人员应具备的能力角度，根据以下方面进行能 力等级区分： a) 工业企业数据安全人员所具备的安全技能是否能够满足复合型能力要