DB15∕T 1874—2020 公共大数据安全管理指南(内蒙古自治区).pdf
《DB15∕T 1874—2020 公共大数据安全管理指南(内蒙古自治区).pdf》由会员分享,可在线阅读,更多相关《DB15∕T 1874—2020 公共大数据安全管理指南(内蒙古自治区).pdf(27页珍藏版)》请在咨信网上搜索。
1、ICS 35.040 L 80 DB15 内蒙古自治区地方标准 DB15/T 18742020 公共大数据安全管理指南 Public big data security management guide 2020-04-03 发布 2020-05-03 实施 内蒙古自治区市场监督管理局 发 布 DB15/T 18742020 I 目 次 前言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 概述 . 3 4.1 数据生命周期的各个阶段 . 3 4.2 数据安全体系 . 3 5 通用安全 . 4 5.1 数据安全策略规划 . 4 5.2 组织和人员管理 .
2、5 5.3 个人信息保护 . 5 5.4 数据资源目录 . 6 5.5 数据分类分级 . 7 5.6 元数据管理 . 7 5.7 敏感数据保护 . 7 5.8 终端数据安全 . 8 5.9 监控与审计 . 8 5.10 鉴别与访问控制 . 8 5.11 需求分析 . 9 5.12 数据供应链安全 . 9 5.13 安全事件应急 . 10 6 安全监管 . 10 7 数据采集安全 . 11 7.1 数据采集安全管理 . 11 7.2 数据源鉴别及记录 . 11 7.3 数据质量管理 . 12 8 数据传输安全 . 12 8.1 数据传输加密 . 12 8.2 网络可用性管理 . 13 9 数据存
3、储安全 . 13 9.1 存储媒介安全 . 13 9.2 逻辑存储安全 . 13 9.3 数据备份和恢复 . 14 10 数据使用安全 . 15 DB15/T 18742020 II 10.1 数据脱敏 . 15 10.2 数据分析安全 . 15 10.3 数据正当使用 . 16 10.4 数据处理环境安全 . 16 10.5 数据导入导出安全 . 17 11 数据交换安全 . 17 11.1 数据共享安全 . 17 11.2 数据开放安全 . 18 11.3 数据接口安全 . 18 12 数据退役安全 . 19 12.1 数据退役处置 . 19 12.2 存储介质销毁处置 . 19 参考文献
4、 . 21 DB15/T 18742020 III 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 “请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。” 本标准由内蒙古自治区大数据发展管理局提出并归口。 本标准起草单位:内蒙古自治区大数据发展管理局、内蒙古自治区党委网信办、中国电子技术标准化研究院。 本标准主要起草人:孙卫、全鑫、包瑞林、刘贤刚、胡影、张宇光、刘朝苹、南丁、朱寰、应智强、董建敏、崔连伟。 DB15/T 18742020 1 公共大数据安全管理指南 1 范围 本标准从通用安全、安全监管、数据采集安全、数据传输安全、数据存储安全、数据使用
5、安全、数据交换安全、数据退役安全等方面,规定了内蒙古自治区公共大数据安全管理指南。 本标准适用于规范公共管理和服务机构开展公共数据采集、存储、传输、使用、共享、开放、退役等数据活动,也可为内蒙古自治区有关部门对数据活动进行监督管理提供参考。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069 信息安全技术 术语 3 术语和定义 GB/T 25069界定的以及下列术语和定义适用于本文件。 3.1 公共数据 public data 公共管理和服务
6、机构在依法履行职责过程中制作或获取的,以一定形式记录、保存的文件、资料、图表和数据等各类数据资源, 包括公共管理和服务机构直接或通过第三方依法采集的、 依法授权管理的和因履行职责需要依托政务信息系统形成的数据资源等。 3.2 公共管理和服务机构 public management and service organization 内蒙古自治区各级行政机关以及履行公共管理和服务职能的企事业单位和社会组织, 涉及公共数据开发的产业机构。 3.3 大数据 big data 具有数量巨大、种类多样、流动速度快、特征多变等特性,并且难以用传统数据体系结构和数据处理技术进行有效组织、存储、计算、分析和管理
7、的数据集。 DB15/T 18742020 2 3.4 重要数据 important data 不涉及国家秘密,但如果泄露、毁损、丢失或被窃取、篡改和非法使用可能危害国家安全、国计民生、公共利益的未公开数据。 3.5 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。 注:关于个人信息的范围和类型可参见GB/T 35273信息安全技术 个人信息安全规范附录A。 3.6 数据脱敏 data desensitization 通过一系列数据处理方法对原始数据进行处理以屏蔽敏感信息的一种数据保护
8、方法。 3.7 大数据平台 big data platform 采用分布式存储和计算技术, 提供大数据的访问和处理, 支持大数据应用安全高效运行的软硬件集合,包括监视大数据的存储、输入/输出、操作控制等大数据服务软硬件基础设施。 3.8 数据活动 data activity 组织机构针对数据开展的一组特定任务的集合,数据活动主要包括采集、存储、传输、使用、共享、删除等。 3.9 数据供应链 data supply chain 为满足数据供应关系,通过资源和过程将需方、供方相互连接的网链结构,可用于供方将数据及其产品与服务提供给需方。 3.10 组织机构 organization 由作用不同的个
9、体为实施共同的业务目标而建立的结构。组织可以是一个企业、事业单位、政府部门等。 注:本标准的组织机构,通常是指公共管理和服务机构。 DB15/T 18742020 3 3.11 合规 compliance 对数据安全所适用的法律法规的遵循。 4 概述 4.1 数据生命周期的各个阶段 本标准定义了数据生命周期的六个阶段,并针对公共数据特点和场景进行了描述: 数据采集:组织机构内部系统中新产生数据,以及从外部系统收集数据的阶段。在公共数据方面,通常是指公共管理和服务机构因履职需要,采用直接采集、委托第三方机构采集、协商等方式向公民、法人和其他组织获取有关数据,以及通过业务系统、监测、测量、录音、录
10、像等方式产生有关数据; 数据传输:数据从一个实体通过网络流动到另一个实体的阶段。在公共数据方面,通常是公共管理和服务机构将数据传输归集到云平台、数据资源共享交换平台、大数据中心等,下一级部门将公共数据传输汇聚到上一级部门等; 数据存储:数据以任何数字格式进行物理存储或云存储的阶段。在公共数据方面,数据存储可能涉及采集数据存储、归集汇聚后的数据存储、数据共享交换后的数据存储等; 数据使用:组织机构针对数据进行计算、分析、可视化等操作的阶段。在公共数据方面,通常是对公共数据进行整合, 形成基础数据库和主题数据库, 并进行大数据分析利用转化成公共大数据产品或服务; 数据交换:组织机构与组织机构及个人
11、进行数据共享、开放、交换的阶段。公共数据共享通常是公共管理和服务机构因履行职责需要使用其他公共管理和服务机构公共数据, 并为其他公共管理和服务机构提供公共数据。 公共数据开放通常是公共管理和服务机构通过数据开放平台向社会开放公共数据。 公共数据交换通常是公共管理和服务机构间或公共管理和服务机构与个人进行数据交互; 数据退役:不再进行处理的公共数据进入数据退役阶段,涉及对信息的归档、转移、丢弃、销毁以及对存储介质的销毁处理等。 特定的数据所经历的生命周期由实际的业务场景所决定,并非所有的数据都会完整地经历六个阶段。 4.2 数据安全体系 公共数据安全体系由30类安全技术和管理控制措施组成,分成数
12、据生命周期安全、通用安全、安全监管三部分,如图1所示。其中数据生命周期安全包含数据采集、数据传输、数据存储、数据使用、数据交换、 数据退役六个阶段的安全措施。 安全通用安全是指对数据生命周期各阶段通用的安全技术和管理措施。安全监管则是从公共数据主管部门角度提出的安全监管类措施。其中,安全监管是数据生命周期安全建设中必须被满足的基线要求,通用安全是数据生命周期安全建设的中具有共性的安全建设内容,一般贯穿于数据全生命周期建设,三者共同构建了公共数据安全体系。 DB15/T 18742020 4 数据生命周期安全数据生命周期安全数据采集安全数据采集安全数据传输安全数据传输安全数据存储安全数据存储安全
13、数据使用安全数据使用安全数据交换安全数据交换安全数据退役安全数据退役安全数据采集安全管理数据源鉴别及记录数据质量管理数据传输加密网络可用性管理存储媒介安全逻辑存储安全数据备份和恢复数据脱敏数据分析安全数据正当使用数据处理环境安全数据导入导出安全数据共享安全数据开放安全数据接口安全数据退役处置存储介质销毁处置通用安全通用安全安全监管安全监管数据安全策略与规划组织和人员管理个人信息保护数据资源目录数据分类分级元数据管理敏感数据保护终端数据安全监控与审计鉴别与访问控制需求分析数据供应链安全安全事件应急 图1 数据安全体系 5 通用安全 5.1 数据安全策略规划 建立组织机构整体的数据安全策略规划,
14、数据安全策略规划的内容应覆盖数据全生命周期的安全风险。 公共服务和管理机构应: a) 设立负责组织机构数据安全制度流程和战略规划的建设的岗位和人员; b) 明确符合组织数据战略规划的数据安全总体策略,明确安全方针、安全目标和安全原则; c) 基于组织的数据安全总体策略, 在组织层面明确以数据为核心的数据安全制度和规程, 覆盖数据生命周期相关的业务、系统和应用,内容包含目的、范围、岗位、责任、管理层承诺、内外部协调机制及合规目标等; d) 明确并实施大数据系统和数据应用安全实施细则; e) 明确数据安全制度规程分发机制,将数据安全策略、制度和规程分发至组织相关部门、岗位和人员; f) 明确数据安
15、全制度及规程的评审、 发布流程, 并确定适当的频率和时机对制度和规程进行审核和更新; g) 明确组织层面的数据安全战略规划,包括各阶段目标、任务、工作重点,并保障其与业务规划相适应; h) 确保负责制定数据安全总体策略和战略规划的人员了解组织的业务发展目标, 能够将数据安全工作的目标和业务发展的目标进行有机结合; i) 确保负责制定数据安全制度和规程的人员具备信息安全管理体系建设的知识, 并具备良好的规范撰写能力; j) 确保负责推广数据安全策略规划的人员能够以员工和相关方易理解的方式, 通过培训等宣导形式对数据安全管理的方针、策略和制度进行有效传达。 DB15/T 18742020 5 5.
16、2 组织和人员管理 通过建立组织机构内部负责数据安全工作的职能部门及岗位, 以及对人力资源管理过程中各环节进行安全管理,防范组织和人员管理过程中存在的数据安全风险。 公共服务和管理机构应: a) 建立组织层面的数据安全领导小组, 指定机构最高管理者或授权代表担任小组组长, 并明确了组长的责任与权力; b) 建立组织层面专职的数据安全职能部门和岗位, 明确其工作职责, 以及职能部门之间的协作关系和配合机制,并在职能岗位设计时考虑职责分离的原则; c) 确保人力资源部门与负责数据安全的部门能够进行有效配合; d) 建立组织内部的监督管理职能部门,负责对组织内部的数据操作行为进行安全监督; e) 指
17、定大数据系统的安全规划、安全建设、安全运营和系统维护工作的责任部门; f) 明确在组织层面人力资源管理中承担数据安全要求制定和执行的人员或岗位, 并与数据安全人员进行有效配合; g) 明确组织层面承担人员数据安全培训管理职责的岗位和人员, 负责对数据安全培训需求的分析及落地方案的制定和推进; h) 明确数据安全追责机制,定期对责任部门和安全岗位组织安全检查,形成检查报告; i) 明确数据服务人力资源安全策略, 明确不同岗位人员在数据生存周期各阶段相关的工作范畴和安全管控措施; j) 明确组织层面的数据服务人员招聘、录用、上岗、调岗、离岗、考核、选拔等人员安全管理制度,将数据安全相关的要求固化到
18、人力资源管理流程中; k) 在录用重要岗位人员前对其进行背景调查,符合相关的法律、法规、合同要求,对数据安全员工候选者的背景调查中也包含了对候选者的安全专业能力的调查; l) 明确数据服务重要岗位的兼职和轮岗、权限分离、多人共管等安全管理要求; m) 明确针对合作方的安全管理制度,对接触个人信息、重要数据等数据的人员进行审批和登记,并要求签署保密协议,定期对这些人员行为进行安全审查; n) 在重要岗位人员调离或终止劳动合同前,与其签订保密协议或竞业协议; o) 明确组织内部员工的数据安全培训计划,按计划定期对员工开展数据安全培训; p) 明确重要岗位人员的数据安全培训计划, 并在重要岗位转岗、
19、 岗位升级等环节对相关人员开展培训; q) 按最少够用原则为入职员工分配初始权限; r) 及时终止或变更离岗和转岗员工的数据操作权限,并及时将人员的变更通知到相关方; s) 以公开信息且可查询的形式,面向组织全员公布数据安全职能部门的组织架构; t) 确保负责组织和人员管理的人员充分理解人力资源管理流程中可对安全风险进行把控的环节; u) 开展针对员工入职过程中的数据安全教育, 通过培训、 考试等手段提升其整体的数据安全意识水平; v) 负责设置数据安全职能的人员,能够明确组织的数据安全工作目标。 5.3 个人信息保护 针对个人信息保护的合规要求,建立个人信息保护措施,防止个人信息保护的合规风
20、险。 公共服务和管理机构应: a) 梳理组织机构所有的个人信息保护合规要求并形成清单, 能够定期通过跟进监管机构合规要求的动态对该清单进行更新; DB15/T 18742020 6 b) 依据个人信息保护相关法律法规和 GB/T 35273 的要求,制定组织机构统一的个人信息保护制度规范,建立符合国家法律法规和相关标准的个人信息保护能力; c) 在传输和存储个人敏感信息时,采用加密等安全措施; d) 在存储个人生物识别信息时, 采用技术措施确保信息安全后再进行存储, 例如将个人生物识别信息的原始信息和摘要分开存储,或仅存储摘要信息; e) 对被授权访问个人信息的人员, 建立最小授权的访问控制策
21、略, 使其只能访问职责所需的最少够用的个人信息,且仅具备完成职责所需的最少的数据操作权限; f) 确保涉及通过界面展示个人信息(如显示屏幕、纸面)时,个人信息控制者对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险; g) 按照法律法规相关要求,采取措施保障用户对个人信息的查询、更正、删除等权益; h) 确保通过注册账户提供服务时,向个人信息主体提供简便易操作的注销账户方法。 5.4 数据资源目录 通过建立针对公共数据资源目录的有效管理,从资源类型、管理模式方面实现统一规范。 公共管理和服务机构应: a) 实行公共数据统一目录管理,明确公共数据的范围、数据提供单位、更新
22、时限、格式、共享开放属性等要素; b) 根据相关政策标准要求,编制、更新、维护和发布本部门公共数据资源目录,并纳入全区公共数据资源目录, 如有关法律法规规章作出修订或职能职责发生变化, 应及时更新本部门公共数据资源目录; c) 公共管理和服务机构新建业务系统,要同步规划编制有关公共数据资源目录; d) 全区各级公共数据资源目录应按照统一的技术标准,在本级公共数据资源共享交换平台发布; e) 公共数据资源共享交换平台应提供目录更新、维护、调用等技术接口,供各部门调用; f) 按照数据类别或主题形成数据资源清单与目录, 确保目录发布的操作通过共享交换服务方鉴别身份并取得授权才可进行; g) 明确定
23、义公共数据资源目录对应数据资源的安全分级与共享类型; h) 对公共数据资源目录发布进行审核,检查资源目录项的规范性、准确性; i) 对目录共享类型变更、目录迁移等操作进行授权审计; j) 在资源目录信息发布过程中,如提交、同步、展示等环节,保证信息的保密性和一致性; k) 明确公共数据资源共享方式与内容, 遵循最小化策略, 仅提供业务开展明确所需的数据内容及规模; l) 检查共享公共数据资源发布信息与已有目录的关联关系,防止发布目录外的共享公共数据资源; m) 明确规定共享公共数据资源的安全级别,建立相应的安全策略(如脱敏、加密等) 确保敏感数据在共享过程中的保密性; n) 对共享公共数据资源
24、发布进行审核,检查发布项的规范性、安全策略合规性; o) 建立公共数据资源共享方式的变更与注销机制, 及时通知使用者进行调整, 防止影响相关业务系统; p) 对共享公共数据资源发布过程进行详细记录,包括发布日期和时间、发布人、审批人、发布资源详细内容等; q) 在共享公共数据资源发布信息传递过程中,如提交、同步、展示等环节,保证信息的保密性和一致性。 DB15/T 18742020 7 5.5 数据分类分级 基于政策法规及公共数据共享和安全需求, 确定组织机构内部的数据分类分级方法, 对公共数据进行分类分级标识。 公共管理和服务机构应: a) 设立负责数据安全分类分级工作的管理岗位和人员, 由
25、该岗位和人员负责定义组织整体的数据分类分级的安全原则; b) 明确数据分类分级原则、方法和操作指南; c) 对组织的数据进行分类分级标识和管理; d) 对不同类别和级别的数据建立相应的访问控制、 数据加解密、 数据脱敏等安全管理和控制措施; e) 明确数据分类分级变更审批流程和机制, 通过该流程保证对数据分类分级的变更操作及其结果符合组织的要求; f) 建立数据分类分级打标或数据资产管理工具, 实现对数据的分类分级自动标识、 标识结果发布、审核等功能; g) 确保负责该项工作的人员了解数据分类分级的合规要求,能够识别敏感数据。 5.6 元数据管理 建立组织机构的元数据管理体系,实现对组织机构内
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB15T 18742020 公共大数据安全管理指南内蒙古自治区 DB15 1874 2020 公共 数据 安全管理 指南 内蒙古自治区
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。