DB3212_T 1118-2022政务数据共享与开放安全管理规范.pdf
《DB3212_T 1118-2022政务数据共享与开放安全管理规范.pdf》由会员分享,可在线阅读,更多相关《DB3212_T 1118-2022政务数据共享与开放安全管理规范.pdf(20页珍藏版)》请在咨信网上搜索。
1、ICS 35.020CCS L 70DB3212泰州市地方标准DB3212/T 11182022政务数据共享与开放安全管理规范Government data opening and sharing management standard2022-12-28 发布2022-12-28 实施泰 州 市 市 场 监 督 管 理 局发 布DB3212/T 11182022I前言本文件按照 GB/T 1.12020标准化工作导则第 1 部分:标准化文件的结构和起草规则的规定起草。本文件由泰州市大数据管理局提出。本文件由泰州市大数据管理局归口。本文件起草单位:泰州市大数据管理局、泰州市标准化院。本文件主要
2、起草人:赵文涛、刘小芳、梁鑫晨、陈书剑、孙慧、王小冬、许鑫、施驰乐、吴薇、陈蓝生、李海鹏、张婧娴、王友成、郭健。DB3212/T 111820221政务数据共享与开放安全管理规范1范围本文件规定了政务数据共享与开放安全管理规范的总则、基本要求、组织管理、数据生命周期安全等要求。本文件适用于泰州市政务数据的共享与开放。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22239信息安全技术网络安全等级保护基本要求GB/T 25058信息安
3、全技术网络安全等级保护实施指南.GB/T 31722信息技术 安全技术 信息安全风险管理GB/T 35273信息安全技术个人信息安全规范GB/T 36073数据管理能力成熟度评估模型GB/T 363442018信息技术数据质量评价指标GB/T 392952017信息技术大数据术语GM/T 0054信息系统密码应用基本要求3术语和定义GB/T 392952017 界定的以及下列术语和定义适用于本文件。3.1政务数据government data各级政务部门在履行职责过程中依法采集、生成、存储、管理的各类数据资源。注:根据可传播范围,政务数据一般包括可共享政务数据、可开放公共数据及不宜开放共享政务
4、数据。3.2政务数据共享government data sharing各级政务部门因履行职责需要,使用其他政务部门的政务数据以及为其他政务部门提供政务数据的行为。3.3政务信息资源目录government information resource catalog通过对政务信息资源依据规范的元数据描述,按照一定的分类方法进行排序和编码的一组信息。注:一般用以描述各个政务信息资源的特征,以便于对政务数据的检索、定位与获取。3.4政务数据开放government data opening政务部门在安全保密、公共利益导向前提下,面向公民、法人和其他组织以非排他形式提供政务数据的行为。3.5数据安全da
5、ta security通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。4总则DB3212/T 1118202224.1政务数据共享与开放安全管理采取主动防御、综合防范方针,坚持保障政务数据安全与促进应用发展相协调、管理与技术并重的原则,实行统一协调、分工负责、分级管理。政务数据管理相关方数据安全和信息化工作应同步规划、同步建设、同步运行。4.2政务数据共享与开放安全要求包括基本要求,组织管理、数据生命周期安全。各参与方应根据自身角色和责任遵照执行。4.3支撑政务数据共享的平台基础设施应符合附录 A 的要求。5基本要求5.1数据安全策略与规程5.1.1应制
6、定满足业务需求的安全策略,明确安全方针、安全目标和安全原则。5.1.2应基于安全策略,建立相关的制度规程,形成以数据为核心的体系化数据安全制度体系。5.1.3应明确制度和规程分发机制,确保制度和规程分发至组织的相关部门、岗位和人员。5.1.4应建立策略、规程的评审和发布流程,明确适当的频率和时机对策略和规程进行更新,以确保其持续的适宜性和有效性。5.2数据供应链管理5.2.1应建立数据提供者、数据使用者、数据运营者安全管理规范,定义数据安全目标、原则和范围,明确数据提供者、数据使用者、数据运营者的安全责任和义务,并建立监督审核机制。5.2.2与数据提供者、数据使用者、数据运营者签署协议,明确数
7、据的使用目的、供应方式、保密约定等。5.2.3应委托独立的运行监管方,对数据提供者、数据使用者和数据运营者的行为进行相关记录,利用技术工具对数据提供者、数据使用者和数据运营者的行为进行合规性审核与监督。5.2.4应建立完整的数据供应链和相关数据字典规则库,自动监测实际数据流动情况,实时分析数据流向与数据供应链遵循情况,发现异常并自动报警和阻断。5.3元数据管理5.3.1应建立数据服务元数据语义统一规范和管理规则,如口令策略、权限列表、授权策略。5.3.2应建立元数据访问控制策略,明确元数据管理角色及其授权控制机制,并通过技术手段实现对元数据管理角色的授权和访问管理。5.3.3应建立元数据操作审
8、计制度,根据审计制度要求,采集元数据操作日志,确保元数据操作的可追溯。5.3.4应保证元数据的一致性和连续性,避免元数据错乱。5.3.5应建立统一的元数据管理平台,将各领域的元数据通过集中的平台进行提供。5.4运行监管5.4.1应制定数据生命周期各阶段数据访问和操作的日志记录规范要求和监管要求。5.4.2应根据日志记录规范和监管要求,对数据采集、传输、存储、处理、交换、销毁等过程进行有效的日志记录,实现政务数据共享全链路的可追溯。5.4.3应建立统一的数据访问和操作的日志记录和分析技术工具,该技术工具可对各类数据访问和操作的日志进行统一的处理和分析,实现对数据异常访问和操作的告警,实现对数据滥
9、用、违规使用、缔约过失、越权使用等行为的识别、监控、预警和追责。5.4.4应对数据运营者实施的安全控制措施、变更管理、应急响应等进行持续监管,通过技术措施或文件审核等方式对数据运营者承诺的安全控制项进行评估验证。5.4.5应建立针对敏感数据的动态可持续的数据风险监管体系,周期性的对敏感数据的脆弱性、面临的安全威胁、安全措施的有效性等内容进行风险评估。5.5终端数据管理5.5.1应制订面向终端的数据安全管理规范,明确终端层面的数据防泄漏管理要求。DB3212/T 1118202235.5.2应建立并实施整体的终端安全解决方案,实现终端设备与组织机构内部员工的有效绑定,按照统一的部署标准在终端系统
10、上安装各类防控软件(如防病毒、硬盘加密、终端入侵检测、终端防泄漏等软件),对终端系统上的数据进行风险监控。5.5.3应采用身份鉴别、访问控制等手段对打印输出设备进行安全管控,并对用户账户在该终端设备上的数据操作进行日志记录。5.6数据防泄漏5.6.1应建立数据防泄露规范,明确需要进行数据泄露防护处理的应用场景和处理方法。5.6.2应支持基于终端使用、动态传输、静态存储的综合数据泄露防护机制。5.6.3应限制批量修改、拷贝、下载等操作的权限。5.6.4应提供数据防泄漏处理过程的日志记录,满足数据防泄漏处理安全审计要求。6组织管理6.1政务数据管理相关方6.1.1政务数据管理相关方包括:政务数据安
11、全管理组织、政务数据提供者、政务数据使用者、政务数据运营者。6.1.2政务数据安全管理组织应履行政务数据安全管理、安全执行、安全审计、政务数据共享开放管理的职责:a)政务数据安全管理者负责数据安全相关领域和环节的决策,制定并审议数据安全相关制度,监督执行和组织落实业务部门数据安全相关工作;b)政务数据安全执行者负责数据安全相关领域和环节工作的执行,制定数据安全相关细则,落实各项安全措施,配合数据安全管理者开展各项工作;c)政务数据安全审计者对安全策略的适当性进行评价,帮助检测安全违规,并生成安全审计报告;d)政务数据共享开放管理者对数据共享交换等平台和过程进行管理,执行政务数据安全管理者分配的
12、工作任务。6.1.3政务数据提供者是参与政务数据在开放、共享、交换、交易等过程的采集数据进行处理的人员或组织。6.1.4数政务据使用者在开放、共享、交换、交易等过程中获取政务数据的人员或组织。6.1.5政务数据运营者是依法依规对政务数据在开放、共享、交换、交易等过程中进行控制的人员或组织。6.2政务数据管理组织6.2.1政务数据安全管理者责任包括但不限于:a)确定数据的分类分级初始值,制定数据分类分级指南。与提供数据的业务部门合作,确定数据的安全级别;b)综合考虑法律法规、政策、标准、数据分析技术水平、组织所处行业特殊性等因素,评估数据安全风险,制定数据安全基本要求;c)对数据访问进行授权;d
13、)建立相应的数据安全管理监督机制,监视数据安全管理机制的有效性;e)组织人员培训,应建立数据安全培训机制,定期组织开展数据安全专项培训。6.2.2政务数据安全执行者责任包含但不限于:a)根据政务数据安全管理者的要求实施安全措施;b)为政务数据安全管理者授权的相关方分配数据访问权限和机制;c)配合政务数据安全管理者处置安全事件;d)记录数据活动的相关日志;e)定期组织开展对数据开放、共享、交换、交易等过程的数据安全检查;定期对政务数据使用者的数据安全防护能力进行评估;f)当发生重大数据安全事件时,数据管理组织应牵头成立调查组对发生安全事件的相关方进行调查,调查组可以调阅、摘抄、复制与数据安全事件
14、有关的资料,封存有关设备,进行调查取证;DB3212/T 111820224根据调查结果对相关数据提供、管理、运营及使用的相关方进行责任追究,责令限期整改;对造成重大损失或者社会影响的,责令暂停相关业务,涉及违法犯罪的由公安机关依法查处。6.2.3政务数据安全审计者责任包含但不限于:a)审计数据活动的主体、操作及对象等相关属性,确保数据活动的过程和相关操作符合安全要求;b)定期审计数据安全的管理情况;c)出具数据安全审计报告;d)监督和推动各方对审计结果进行确认、整改、复测、关闭;e)对审计中的高危风险及时汇报给政务数据安全管理者,确保风险有人负责处置过程,并对处置过程进行验证。6.2.4政务
15、数据共享管理者责任包含但不限于:a)建立数据资源共享管理制度,负责数据资源目录的编制、审核和维护;b)依据数据资源目录审核归集的数据资源,确保归集数据合规性、准确性和完整性;c)牵头制定数据分类分级标准,开展相关工作;d)牵头制定数据使用的策略和规则,对数据使用者的数据共享申请进行审批;e)对数据使用者的分析数据结果输出进行抽查。6.3政务数据提供者政务数据提供者责任包括但不限于:a)向政务数据管理组织提供数据资源目录;b)遵循“一数一源”和必要及最小化的原则采集数据,不宜重复采集通过共享方式获取的数据资源;c)给出采集和提供数据的共享范围、共享期限、共享用途和数据保存期限;d)对政务数据使用
16、者提交的数据共享申请,根据履职需要和最小化原则,进行审批授权;e)对共享的数据设置对应的数据分类分级标签;f)通过技术手段确保共享数据的完整性和一致性,并按照约定的频率更新数据。6.4政务数据使用者政务数据使用者责任包括但不限于:a)基于业务场景向政务数据提供者或政务数据管理者申请数据共享,明确数据的使用目的、范围、期限、更新频率等具体使用需求;b)不再对脱敏后的个人信息和敏感数据进行再识别;c)根据共享数据的保存期限进行数据销毁工作;d)根据获取到的共享数据的安全级别,采取相应等级的安全防护措施进行防护;e)根据业务需求对共享数据进行再次加工时,联合政务数据管理者对加工后的数据进行识别和设置
17、分类分级标签,并采取相应等级的防护措施进行安全防护;f)完整记录数据使用过程中的操作日志;g)明确数据使用的第一责任人。6.5政务数据运营者政务数据运营者安全责任包括但不限于:a)进行书面安全承诺,承诺提供的产品和服务不包含恶意程序、隐蔽接口或未明示功能的模块等;b)建立并执行针对产品和服务安全缺陷、漏洞的应急响应机制和流程,在发现提供的产品和服务存在安全缺陷、漏洞时,立即采取修复或替代方案等补救措施,及时告知用户安全风险,并向数据管理者报告;c)收集用户信息应明确告知收集用户信息的目的、用途、范围和类型,在用户明示同意后,按照最少够用原则收集实现产品和服务功能所需的最少用户信息,并采取安全措
18、施保护用户信息的安全;d)产品和服务上线前应告知政务数据管理者上线计划,并接受政务数据管理者或由政务数据管理者授权委托的服务方进行安全检查;DB3212/T 111820225e)建立内部监督审计机制,对提供服务的人员进行监督和审计,签订保密协议,确保其不泄露用户的业务数据;f)接受政务数据管理组织的安全监管工作,按监管要求提供相关交付件供政务数据管理者或监管服务方审核评估,并对通报的安全风险进行及时整改;g)根据政务数据管理者制定的安全策略和规则进行数据的访问授权管理工作;h)提供服务 API 的用户鉴别、鉴权和访问控制的能力,并支持服务 API 的调用日志记录和外发;采取措施保障服务 AP
19、I 自身的安全性,确保服务 API 具备防重放、代码注入、拒绝服务攻击等攻击防护能力;提供服务 API 过载保护的能力,实现不同服务等级用户间业务的公平性和系统整体性处理能力的最大化;i)对归集的数据保留原始表,不做任何加工清洗,以满足溯源、数据质量核查等需求;j)提供数据 ETL 服务的应根据质量规则进行标准化处理,并通过技术手段保障数据的一致性,对所有的 ETL 过程应记录日志,并可提供给第三方进行审计;k)提供数据同步服务的通过技术手段保障数据同步过程的一致性,记录数据同步过程的所有日志,并可提供给第三方进行审计;l)提供数据分析计算服务的应配合政务数据管理者或政务数据使用者对新生成的数
20、据进行识别和设置分类分级标签。7数据生命周期安全7.1数据归集7.1.1数据分类分级7.1.1.1数据分类分级应符合 DB3212/T XXXX2022 的要求。7.1.1.2应针对具体业务场景,结合数据敏感度等级,确定场景数据使用风险等级。7.1.1.3应根据数据敏感程度等级、数据影响程度等级确定相应的保护措施。安全保护等级分级见附录 B 的要求。7.1.1.4安全保护措施的选择应依据定级结果,安全保护措施应符合 GB/T 22239 以及附录 C 的要求。7.1.1.5应建立数据分级分类制度性文件管理措施,包括岗位职责、统一管理、定期更新、变更审核等。7.1.1.6应建立人工打标与基于数据
21、内容规则自动识别打标相结合的机制。7.1.2数据采集7.1.2.1采集的数据应确保来源真实有效、合法正当,同时应明确数据共享范围和用途。7.1.2.2采集的数据应保留原始表,不做任何加工清洗,以满足溯源、数据质量核查等需求。7.1.3数据源鉴别及记录7.1.3.1 应采取技术手段对归集数据的数据源进行识别和记录,记录信息包含业务处理人员、处理系统、IP 地址、处理时间、处理方式等,并进行有效存储,确保事件追溯时的信息可用性,能追踪原始数据来源。7.1.3.2 应采取技术手段对分发的数据进行溯源,如明文水印、密文水印等。7.1.3.3 应对关键的溯源信息进行备份和安全保护。7.1.3.4 应采取
22、访问控制、加密等技术措施保证溯源信息的完整性和保密性。7.1.3.5 应支持溯源信息的存储,存储时间至少 12 个月。7.1.4数据质量7.1.4.1数据提供方提供的数据质量应符合 GB/T 363442018 中规定的数据数量指标的要求。7.1.4.2数据提供方有信息系统支撑的数据应提供结构化文件,并在汇聚数据时同步提供数据字典和码表,确保数据的可读可理解。7.1.4.3通过接口方式对接的,数据提供方要遵循接口传输规范,具有完整的日志记录,保证数据可用。DB3212/T 1118202267.1.4.4数据管理方归集的政务数据应确保数据可读、可理解、可用。7.1.4.5数据管理方所归集的数据
23、要保持独立可用,避免多类业务数据混合提供。7.1.4.6数据管理方应利用技术工具对关键数据进行质量管理和监控,实现数据质量异常告警。7.2数据传输7.2.1应明确需要进行传输加密的业务场景,支持对个人信息和重要数据的加密传输,采用的密码技术应符合 GM/T 0054 的规定。7.2.2应提供对传输通道两端进行主体身份鉴别和认证的技术方案和工具。7.2.3应提供对传输数据的完整性进行检测并执行恢复控制的技术方案和工具。7.2.4应提供对数据传输安全策略的变更进行审核和监控的技术方案和工具,对通道安全策略配置、密码算法配置、密钥管理等保护措施进行审核及监控。7.3数据存储与访问7.3.1数据存储7
24、.3.1.1应建立各类数据存储系统的安全配置规则,采取技术手段和工具支撑数据存储系统的安全管理。7.3.1.2应提供工具支撑存储介质及逻辑存储空间的安全管理,如权限管理、身份鉴别、访问控制等,防止存储介质和逻辑存储空间的不当使用。7.3.1.3应具备多租户数据存储安全隔离能力。7.3.1.4应定期检查数据存储系统安全配置以符合基线的一致性要求。7.3.1.5应定期探查存储系统的数据是否符合相关合规性的要求。7.3.1.6应采用碎片化分布式离散存储技术保存数据资源,并具有完整性验证机制。7.3.1.7应支持采用符合国家认定的密码算法对高敏感数据进行加密存储,平台服务商不得掌握密钥。7.3.2数据
25、备份与恢复7.3.2.1应建立数据存储冗余策略、管理制度与规程,明确定义数据复制、备份和恢复的范围、频率、工具、过程、日志记录规范、数据保存时长等。7.3.2.2应建立用于数据备份、恢复的统一技术工具,并将具体的备份的策略固化到工具中,保证相关工作的自动化执行。7.3.2.3应建立数据复制、数据备份与恢复的定期检查和更新工作程序,包括数据副本更新频率、保存期限等,确保数据副本或备份数据的有效性。7.3.2.4过期存储数据及其备份数据应采用彻底删除或匿名化的方法进行处理。7.3.3数据访问控制7.3.3.1应建立数据资源安全访问策略,由授权主体进行访问策略配置,授予数据使用者为完成各自任务所需要
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB3212_T 1118-2022政务数据共享与开放安全管理规范 1118 2022 政务 数据 共享 开放 安全管理 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。