DB3301∕T 0276-2018 政务数据共享安全管理规范(杭州市).pdf
《DB3301∕T 0276-2018 政务数据共享安全管理规范(杭州市).pdf》由会员分享,可在线阅读,更多相关《DB3301∕T 0276-2018 政务数据共享安全管理规范(杭州市).pdf(9页珍藏版)》请在咨信网上搜索。
1、ICS 35.240.01L 70DB3301浙江省杭州市地方标准DB 3301/T 02762018政务数据共享安全管理规范2018 - 12 - 30 发布2019 - 01 - 30 实施杭州市质量技术监督局发 布DB3301/T 02762018I前言本标准按照GB/T 1.1-2009给出的规则起草。本标准由杭州市数据资源管理局提出并归口。本标准主要起草单位:杭州市数据资源管理局、杭州安恒信息技术股份有限公司、阿里云计算有限公司、阿里巴巴(中国)有限公司、浙江蚂蚁小微金融服务集团、浙江鸿程计算机系统有限公司。本标准主要起草人:齐同军、周俊、黄雪峰、张敏翀、陈彩芳、陈树鹏、孙茂阳、徐飞
2、。DB3301/T 027620181政务数据共享安全管理规范1范围本标准规定了政务数据共享的总则、基本要求、数据归集安全、数据传输安全、数据存储安全、数据处理安全、数据共享安全和数据销毁安全。本标准适用于非涉密政务数据共享安全管理。2规范性引用文件下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069信息安全技术 术语GB/T 35295信息技术 大数据 术语3术语和定义GB/T 25069-2010和GB/T 35295-2017界定的以及下列术语和定义适用于本标
3、准。3.1政务数据政府部门在履行职责过程中产生、获取和使用的数据资源。3.2数据生命周期数据从产生,经过数据采集、数据传输、数据存储、数据处理(包括计算、分析、可视化等)、数据交换,直至数据销毁等各种生存形态的演变过程。3.3数据服务提供数据采集、数据传输、数据存储、数据处理(包括计算、分析、可视化等)、数据交换、数据销毁等数据生存形态演变的一种网络信息服务。3.4数据共享让不同的数据使用者能够访问平台整合的各种数据资源, 并通过数据服务或数据交换技术对这些数据资源进行相关的计算、分析、可视化等处理。3.5数据提供者政务数据的提供者。3.6数据使用者政务数据的获取者。DB3301/T 0276
4、201823.7服务第三方提供相关服务的供应方,包括但不限于基础设施服务提供者、网络环境服务提供者、应用服务提供者、数据服务提供者、安全服务提供者。3.8数据管理者政务数据的管理者,由政府赋予政务数据管理职能的行政机构。4总则4.1政务数据共享安全管理采取主动防御、综合防范方针,坚持保障政务数据安全与促进应用发展相协调、管理与技术并重的原则,实行统一协调、分工负责、分级管理。各参与方单位数据安全和信息化工作应同步规划、同步建设、同步运行。4.2政务数据共享安全要求包括通用安全要求,以及数据归集、数据传输、数据存储、数据处理、数据共享和数据销毁等流程环节安全要求。各参与方应根据自身角色和责任遵照
5、执行。4.3支撑政务数据共享的平台基础设施和网络应符合国家等级保护和关键信息基础设施保护的相关法规和标准。5基本要求5.1组织建设组织建设安全要求包括:a)建立数据安全领导小组, 指定数据管理机构的最高管理者或授权代表担任小组组长, 并明确组长责任与权力;b)建立数据安全管理部门与数据安全执行小组, 建立相关职能岗位, 职能岗位设计时应遵循职责分离与权限最小化原则;c)制定数据安全各职能岗位的工作规范, 以明确各职能岗位之间的协作关系, 明确了各职能岗位的运行配合机制;d)建立独立的安全监督管理机构, 对各参与方的数据操作行为进行安全监督管理, 确保其按照规范要求或合同约定的范围开展业务;e)
6、以公开信息且可查询的形式面向全员公布数据安全职能部门的组织架构。5.2数据安全策略与规程数据安全策略与规程安全要求包括:a)应制定满足业务需求的安全策略,明确安全方针、安全目标和安全原则;b)应基于安全策略,建立相关的制度规程,形成以数据为核心的体系化数据安全制度体系;c)应建立策略、规程的评审和发布流程,明确适当的频率和时机对策略和规程进行更新,以确保其持续的适宜性和有效性。5.3人力资源管理人力资源管理安全要求包括:DB3301/T 027620183a)应固化员工入职、转岗、离职的人力资源流程,及时将人员的变更通知到相关方;b)应及时调整人员变化所涉及的账号权限的赋权、更改和回收;c)应
7、制定与各参与方人员的标准合同协议,以约束相关人员与组织的数据安全责任;d)应建立离任审计机制,对关键人员的离任进行审查,及时回收相关资源和授权,并对其在任期中的行为进行评估,分析是否存在滥用职权、弄虚作假、以权谋私等情况。5.4数据资产管理数据资产管理安全要求包括:a)应制定数据资产安全管理制度, 明确数据资产安全管理目标和安全原则、 数据资产的全生命周期管理要求、资产登记要求和分类标记要求,并针对安全管理制度执行定期审核和更新;b)应建立数据资产登记机制,形成整体的数据资产清单,明确数据资产安全责任主体及相关方,并及时更新数据资产相关信息;c)应建立和实施数据资产分类和标记规范,包括:分类分
8、级规定、元数据管理规范、操作指南、变更审批流程。根据分类管理要求,建立相应的标记策略、访问控制、数据加解密、数据脱敏等安全机制和管控措施;d)宜建立技术工具执行资产登记、分类标记等,实现自动化的属性标识工作。5.5数据供应链管理数据供应链管理安全要求包括:a)应建立数据提供者、 数据使用者、 服务第三方安全管理规范, 定义数据安全目标、 原则和范围,明确数据提供者、数据使用者、服务第三方的安全责任和义务,并建立监督审核机制;b)与数据提供者、数据使用者、服务第三方签署协议,明确数据的使用目的、供应方式、保密约定等;c)应委托独立的运行监管方,对数据提供者、数据使用者和服务第三方的行为进行相关记
9、录,利用技术工具对数据提供者、数据使用者和服务第三方的行为进行合规性审核与监督;d)应建立完整的数据供应链和相关数据字典规则库, 自动监测实际数据流动情况, 实时分析数据流向与数据供应链遵循情况,发现异常并自动报警和阻断。5.6元数据管理元数据管理安全要求包括:a)应建立数据服务元数据语义统一规范和管理规则;b)应建立数据安全元数据管理规范,如口令策略、权限列表、授权策略;c)应建立元数据访问控制策略, 明确元数据管理角色及其授权控制机制, 并通过技术手段实现对元数据管理角色的授权和访问管理;d)应建立元数据操作审计制度,根据审计制度要求,采集元数据操作日志,确保元数据操作的可追溯;e)应建立
10、统一的元数据管理平台,将各领域的元数据通过集中的平台进行提供。5.7运行监管运行监管安全要求包括:a)应制定数据生命周期各阶段数据访问和操作的日志记录规范要求和监管要求;b)应根据日志记录规范和监管要求,对数据采集、传输、存储、处理、交换、销毁等过程进行有效的日志记录,实现政务数据共享全链路的可追溯;DB3301/T 027620184c)应建立统一的数据访问和操作的日志记录和分析技术工具, 该技术工具可对各类数据访问和操作的日志进行统一的处理和分析,实现对数据异常访问和操作的告警,实现对数据滥用、违规使用、缔约过失、越权使用等行为的识别、监控、预警和追责;d)应对服务第三方实施的安全控制措施
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB3301T 0276-2018 政务数据共享安全管理规范杭州市 DB3301 0276 2018 政务 数据 共享 安全管理 规范 杭州市
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。