T_GXDSL 000—2025 计算中心数据隐私保护与安全管理体系标 准.pdfVIP

ICST/GXDSL

团体标准

T/GXDSL000—2025

计算中心数据隐私保护与安全管理体系标

准

StandardsforDataPrivacyProtectionandSecurityManagementSystemof

ComputingCenters（意见征集稿）

2025--发布2025--实施

广西电子商务企业联合会发布

T/GXDSL000—2025

计算中心数据隐私保护与安全管理体系标准

一、范围

本标准规定了计算中心数据隐私保护与安全管理体系的建立、实施、维护和持续改进的要求和指南，

适用于广西产学研科学研究院计算中心及相关数据处理活动。本标准旨在帮助计算中心满足国家相关法

律法规要求，保护数据隐私和安全，增强数据主体的信任。

本标准适用于以下具体场景和要求：

1.数据全生命周期安全管理：涵盖数据的采集、存储、使用、传输、共享、销毁等全生命周期的

安全管理，确保数据在各个阶段的必威体育官网网址性、完整性和可用性。

2.数据分类分级保护：根据数据的敏感程度和重要性，对数据进行分类分级，并采取相应的安全保

护措施。

3.数据访问控制：明确对客户数据的访问流程，建立访问控制策略，配备技术措施防范客户数据未

授权访问等安全风险。

4.数据存储与计算安全：提供容灾备份、校验技术、密码技术等数据安全保护能力，配备存储和计

算资源监控技术能力，及时发现预警存储和计算资源异常使用情形。

5.数据传输安全：提供数据加密、接口鉴权、安全审计等保护措施，加强数据安全风险监测预警，

提供数据流量异常、违规导出等安全风险的发现、告警与处置能力。

6.安全事件监测与应急处置：建立网络安全事件分析策略，明确安全事件分析的对象和流程，对

网络遭受攻击的事件进行分析，并对安全事件进行分类分级。

7.组织与人员管理：明确数据安全负责人和管理部门，设立数据安全管理岗位并明确岗位职责，配

备相应人员，统筹负责客户数据处理活动安全管理。

通过本标准的实施，旨在提升计算中心的数据隐私保护和安全管理水平，确保数据在法律框架内的

1

T/GXDSL000—2025

合规使用，同时增强用户对计算中心数据处理活动的信任度。

二、规范性引用文件

本标准引用了以下文件：

•GB/T22239—2019《信息安全技术网络安全等级保护基本要求》

•GB/T35273—2020《信息安全技术个人信息安全规范》

•GB/T39568—2020《信息安全技术数据出境安全评估指南》

•ISO/IEC27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》

•ISO/IEC27701:2019《信息安全、网络安全和隐私保护隐私信息管理体系要求与指南》

三、术语和定义

•数据隐私：指数据主体对其个人信息的控制权和必威体育官网网址权。

•数据安全：指数据的必威体育官网网址性、完整性和可用性得到保障，免受未经授权的访问、泄露、篡改或破

坏。

•个人可识别信息（PII）：可用于识别个人身份的信息。

•PII控制者：确定处理PII的目的和手段的组织。

•PII处理者：代表PII控制者处理PII的组织。

四、数据隐私保护与安全管理体系要求

1.管理职责

•最高管理层承诺：最高管理层应制定并发布数据隐私保护与安全方针，明确数据隐私保护与安全

目标，并确保资源的合理分配。