DB3210T1152-2023公共数据共享与开放安全管理规范.pdf
《DB3210T1152-2023公共数据共享与开放安全管理规范.pdf》由会员分享,可在线阅读,更多相关《DB3210T1152-2023公共数据共享与开放安全管理规范.pdf(24页珍藏版)》请在咨信网上搜索。
1、 ICS 35.020 CCS L 70 3210 扬州市地方标准 DB 3210/T 11522023 公共数据共享与开放安全管理规范 Public data opening and sharing management standard 2023-12-29 发布 2024-01-29 实施 扬州市市场监督管理局 发 布 DB 3210/T 11522023 I 目次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 目标、原则和要求.2 5 公共数据安全管理框架.2 6 公共数据安全管理责任.5 7 数据生命周期安全.7 附录 A(规范性)政务数据共享的平台基础设
2、施.12 附录 B(规范性)安全保护等级.16 附录 C(规范性)安全保护措施.17 DB 3210/T 11522023 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。本文件由扬州市大数据管理局提出。本文件由扬州市大数据管理局归口。本文件起草单位:扬州市大数据管理局、扬州市大数据管理中心、扬州市市场监督管理局。本文件主要起草人:朱勇、顾友红、黄玉国、韩义森、陈传庚、何玮文、彭华林、李强、徐旻政、刘林、陈可云、杨杰、丁健、任鹤元、陈鹏宇。DB 3210/T 11522023 1 公共数据共享与开放安全管理规范 1 范围 本文件规定
3、了公共数据共享与开放安全管理规范的总则、基本要求、组织管理、数据生命周期安全等要求。本文件适用于扬州市公共数据的共享与开放。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25058 信息安全技术 网络安全等级保护实施指南 GB/T 25069 信息安全技术 GB/T 31722 信息技术 安全技术 信息安全风险管理 GB/T 35273 信息安全技术 个人信息安全规范
4、 GB/T 35295 信息技术 大数据 术语 GB/T 36073 数据管理能力成熟度评估模型 GB/T 36344 信息技术 数据质量评价指标 GB/T 38664 信息技术 大数据 政务数据开放共享 GB/T 38667 信息技术 大数据 数据分类 GB/T 39477 信息安全技术 政务信息共享 数据安全技术要求 GM/T 0054 信息系统密码应用基本要求 3 术语和定义 GB/T 39295和GB/T 25069界定的以及下列术语和定义适用于本文件。公共数据 public data 国家机关、法律法规规章授权的具有管理公共事务职能的组织以及供水、供电、供气、公共交通等公共服务运营单
5、位(以下统称公共管理和服务机构),在依法履行职责或者提供公共服务过程中收集、产生的数据。公共数据共享 public data sharing 各公共管理和服务机构因履行职责需要使用其他公共管理和服务机构的数据或者为其他公共管理和服务机构提供数据的行为。公共数据开放 public data opening DB 3210/T 11522023 2 公共管理和服务机构面向个人、法人和其他组织提供具有原始性、可机器读取、可供社会化利用的数据集的公共服务。公共数据安全 public data security 通过采取必要措施,确保公共数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
6、数据生命周期 data life cycle 数据从采集、存储、整合、呈现与使用、分析与应用、归档和销毁的整个过程。公共数据提供者 public data provider 基于统一数据共享交换平台,利用各种技术向其他政府部门、事业单位、企业或公众提供公共数据的实体。公共数据使用者 public data user 使用公共数据的实体。注:包括政府部门、团体机构、企事业单位和个人。公共数据运营者 public data operator 按照相关法律法规程序获得授权的基于特定场景需求加工、处理公共数据的实体。4 目标、原则和要求 目标 以“公共数据”为安全保障的核心要素,强化安全主体责任,健全
7、保障机制,完善公共数据安全防护和监测手段,加强数据流转全流程管理,实行统一协调、分工负责、分级管理,实现资源整合与利用率的提升。采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。原则 4.2.1 公共数据资源共享开放应当以需求为导向,遵循统一标准、统筹建设、无偿使用、便捷高效、建立机制、保障安全的原则。4.2.2 建立健全数据安全管理制度,落实数据安全保护责任,管控公共数据共享和开放管理过程中的安全风险原则。要求 4.3.1 公共数据共享与开放安全要求包括公共数据安全管理框架,公共数据安全管理责任、数据生命周期安全。各参与方应根据自身角色和责任遵照执行。4.3
8、.2 支撑公共数据共享的平台基础设施应符合附录 A 的要求。5 公共数据安全管理框架 DB 3210/T 11522023 3 公共数据安全组织建设 5.1.1 组织建设安全要求 组织建设安全要求包括:a)建立公共数据安全领导小组,指定公共数据管理机构的最高管理者或授权代表担任小组组长,并明确组长责任与权力;b)建立公共数据安全管理部门与数据安全执行小组,建立相关职能岗位,职能岗位设计时应遵循职责分离与权限最小化原则;c)制定公共数据安全各职能岗位的工作规范,以明确各职能岗位之间的协作关系,明确了各职能岗位的运行配合机制;d)建立独立的安全监督管理机构,对各参与方的数据操作行为进行安全监督管理
9、,确保其按照规范要求或合同约定的范围开展业务;e)以公开信息且可查询的形式面向全员公布公共数据安全职能部门的组织架构;f)明确公共数据安全追责机制,定期对责任部门和安全岗位组织安全检查,形成检查报告。5.1.2 公共数据安全人员建设安全要求 公共数据安全人员建设安全要求包括:a)明确公共数据安全服务人员安全策略,明确不同岗位人员在公共数据生命周期各阶段相关的工作范畴和安全管控措施;1)公共数据安全管理者负责数据安全相关领域和环节的决策,制定并审议数据安全相关制度,监督执行和组织落实业务部门数据安全相关工作;2)公共数据安全执行者负责数据安全相关领域和环节工作的执行,制定数据安全相关细则,落实各
10、项安全措施,配合数据安全管理者开展各项工作;3)公共数据安全审计者对安全策略的适当性进行评价,检测安全违规,并生成安全审计报告;4)公共数据共享开放管理者对数据共享交换等平台和过程进行管理,执行公共数据安全管理者分配的工作任务。b)明确组织层面的公共数据安全服务人员招聘、录用、上岗、调岗、离岗、考核、选拔等人员安全管理制度,将公共数据安全相关的要求固化到人力资源管理流程中;c)在录用重要岗位人员前对其进行背景调查,符合相关的法律法规、合同要求,对数据安全员候选者的背景调查中也包含了对候选者的安全专业能力的调查;d)明确公共数据安全服务重要岗位的兼职和轮岗、权限分离、多人共管等安全管理要求;e)
11、明确针对合作方的安全管理制度,对接触个人信息、重要数据等公共数据的人员进行审批和登记,并要求签署保密协议,定期对这些人的行为进行安全审查;f)在重要岗位人员调离或终止劳动合同前,与其签订保密协议或竞业协议;g)按最少够用原则为入职员工分配初始权;h)及时终止或变更离岗和转岗员工的数据操作权限,并及时将人员的变更通知到相关方;i)确保负责组织和人员管理的人员充分理解人力资源管理流程中可对安全风险进行把控的环节。公共数据供应链管理 a)应建立公共数据提供者、公共数据使用者、数据运营者安全管理规范,定义数据安全目标、原则和范围,明确公共数据提供者、公共数据使用者、数据运营者的安全责任和义务,并建立监
12、督审核机制。DB 3210/T 11522023 4 b)与公共数据提供者、公共数据使用者、公共数据运营者签署协议,明确数据的使用目的、供应方式、保密约定等。c)应委托独立的运行监管方,对公共数据提供者、公共数据使用者和数据运营者的行为进行相关记录,利用技术工具对公共数据提供者、公共数据使用者和数据运营者的行为进行合规性审核与监督。d)应建立完整的数据供应链和相关数据字典规则库,自动监测实际数据流动情况,实时分析数据流向与数据供应链遵循情况,发现异常并自动报警和阻断。公共数据资源目录管理 a)应按照数据类别或主题形成公共数据资源目录。b)应定义公共数据资源目录对应数据资源的内容安全分级与共享方
13、式。c)应对公共数据资源目录发布进行审核,检查公共数据资源目录的规范性、准确性。d)应对公共数据资源目录对应的共享资源建立相应的安全管理策略。e)保障敏感数据在共享过程中的保密性和完整性。f)应对公共数据资源目录共享类型变更、目录迁移等操作进行授权审计。g)应构建公共数据资源目录发布的审核机制,明确发布审核流程。h)在公共数据资源目录发布过程中,应对公共数据提供者进行身份鉴别。i)应对公共数据资源目录发布过程进行详细记录,包括发布日期和时间、发布人、审批人、发布资源详细内容等。j)应保证政务资源目录在传输过程中信息的保密性和完整性。公共数据使用监管 a)应制定公共数据生命周期各阶段数据访问和操
14、作的日志记录规范要求和监管要求。b)应根据日志记录规范和监管要求,对数据采集、传输、存储、处理、交换、销毁等过程进行有效的日志记录,实现公共数据共享全链路的可追溯。c)应建立统一的数据访问和操作的日志记录和分析技术工具,该技术工具可对各类数据访问和操作的日志进行统一的处理和分析,实现对数据异常访问和操作的告警,实现对数据滥用、违规使用、缔约过失、越权使用等行为的识别、监控、预警和追责。d)应对数据运营者实施的安全控制措施、变更管理、应急响应等进行持续监管,通过技术措施或文件审核等方式对数据运营者承诺的安全控制项进行评估验证。e)应建立针对敏感数据的动态可持续数据风险监管体系,周期性地对敏感数据
15、的脆弱性、面临的安全威胁、安全措施的有效性等内容进行风险评估。授权管理 a)应制订公共数据安全授权管理规范,支持针对用户访问权限、数据操作权限、应用访问数据权限等维度的授权管理机制;b)应支持基于数据分级分类的多级授权和操作监管;c)应对权限范围外的数据、应用的尝试操作提出告警;d)应支持资源文件、库表、接口等各共享方式上不同粒度的权限控制;e)资源目录发布应获得授权,明确授权目的和范围,保留授权记录,并遵照授权执行;f)共享和开放数据发布应获得授权,明确授权目的和范围,保留授权记录,并遵照授权执行;g)共享和开放数据申请应获得授权,明确授权目的和范围,保留授权记录,并遵照授权执行;h)应遵循
16、数据共享和开放最小化原则,仅授权对业务必需的数据共享和开放访问;DB 3210/T 11522023 5 i)应检查有条件共享和开放数据的使用请求符合规定条件;j)应设定授权的有效期并定期检查授权的有效性;k)应根据安全策略,生成共享和开放数据访问授权凭证、安全配置信息。安全审计 a)应对公共数据处理过程的身份鉴别、策略管理、操作管理等事件,以及管理员和用户的各类操作进行安全审计。b)审计记录至少应包括事件的日期和时间、事件类型、主体身份、事件内容、事件的结果(如成功或失败)等内容。c)应对公共数据使用及处理全过程进行主体行为审计。d)应对公共数据库操作记录、系统日志进行主体行为审计。e)应跟
17、踪和记录公共数据汇集、分发等过程信息,并支持数据溯源。f)应保存日志记录和审计报告至少 6 个月。检查评估 a)应定期组织开展对公共数据共享交换各参与方的数据安全检查,对检查中发现的重大安全隐患,应当责令有关单位立即排除并报相关监管部门:对检查中发现的违法行为,应当立即制止,并提请公安部门依法查处;b)应定期对公共数据使用者的数据安全防护能力进行评估,确保公共数据使用者只能获取与之防护能力等级相匹配的数据;c)应建立数据防泄露规范,明确需要进行数据泄露防护处理的应用场景和处理方法。6 公共数据安全管理责任 公共数据管理组织 6.1.1 公共数据安全组织责任包括但不限于:a)确定数据的分类分级初
18、始值,制定数据分类分级指南。与提供数据的业务部门合作,确定数据的安全级别;b)综合考虑法律法规、政策、标准、数据分析技术水平、组织所处行业特殊性等因素,评估数据安全风险,制定数据安全基本要求;c)对数据访问进行授权;d)建立相应的数据安全管理监督机制,监视数据安全管理机制的有效性;e)组织人员培训,应建立数据安全培训机制,定期组织开展数据安全专项培训;f)针对公共数据泄漏、篡改、丢失、损毁或被非法获取、非法利用等安全风险,应制定应急预案并开展应急演练。6.1.2 公共数据安全执行者责任包含但不限于:a)根据公共数据安全管理者的要求实施安全措施;b)为公共数据安全管理者授权的相关方分配数据访问权
19、限和机制;c)配合公共数据安全管理者处置安全事件;d)记录数据活动的相关日志;e)定期组织开展对数据开放、共享、交换、交易等过程的数据安全检查;定期对公共数据使用者的数据安全防护能力进行评估;DB 3210/T 11522023 6 f)当发生重大数据安全事件时,数据管理组织应牵头成立调查组按照制定的应急预案对发生安全事件的相关方进行调查,调查组可以调阅、摘抄、复制与数据安全事件有关的资料,封存有关设备,进行调查取证;根据调查结果对相关数据提供、管理、运营及使用的相关方进行责任追究,责令限期整改;对造成重大损失或者社会影响的,责令暂停相关业务,涉及违法犯罪的由公安机关依法查处。g)当发生公共数
20、据泄漏、篡改、丢失、损毁或被非法获取、非法利用等安全事件时,应立即启动应急预案,采取相应处置或补救措施。6.1.3 公共数据安全审计者责任包含但不限于:a)审计数据活动的主体、操作及对象等相关属性,确保数据活动的过程和相关操作符合安全要求;b)定期审计数据安全的管理情况;c)出具数据安全审计报告;d)监督和推动各方对审计结果进行确认、整改、复测、关闭;e)对审计中的高危风险及时汇报给公共数据安全管理者,确保风险有人负责处置过程,并对处置过程进行验证。6.1.4 公共数据共享管理者责任包含但不限于:a)建立数据资源共享管理制度,负责数据资源目录的编制、审核和维护;b)依据数据资源目录审核归集的数
21、据资源,确保归集数据合规性、准确性和完整性;c)牵头制定数据分类分级标准,开展相关工作;d)牵头制定数据使用的策略和规则,对公共数据使用者的数据共享申请进行审批;e)对公共数据使用者的分析数据结果输出进行抽查。公共数据提供者 公共数据提供者安全责任包括但不限于:a)向公共数据管理组织提供数据资源目录;b)遵循必要及最小化的原则采集数据,不宜重复采集通过共享方式获取的数据资源;c)给出采集和提供数据的共享范围、共享期限、共享用途和数据保存期限;d)对公共数据使用者提交的数据共享申请,根据履职需要和最小化原则,进行审批授权;对共享的数据设置对应的数据分类分级标签;e)通过技术手段确保共享数据的完整
22、性和一致性,并按照约定的频率更新数据。公共数据使用者 公共数据使用者安全责任包括但不限于:a)基于业务场景向公共数据提供者或公共数据管理者申请数据共享,明确数据的使用目的、范围、期限、更新频率等具体使用需求;b)不再对脱敏后的个人信息和敏感数据进行再识别;c)根据共享数据的保存期限进行数据销毁工作;d)根据获取到的共享数据的安全级别,采取相应等级的安全防护措施进行防护;e)根据业务需求对共享数据进行再次加工时,联合公共数据管理者对加工后的数据进行识别和设置分类分级标签,并采取相应等级的防护措施进行安全防护;f)完整记录数据使用过程中的操作日志;g)明确数据使用的第一责任人。公共数据运营者 DB
23、 3210/T 11522023 7 公共数据运营者安全责任包括但不限于:a)进行书面安全承诺,承诺提供的产品和服务不包含恶意程序、隐蔽接口或未明示功能的模块等;b)建立并执行针对产品和服务安全缺陷、漏洞的应急响应机制和流程,在发现提供的产品和服务存在安全缺陷、漏洞时,立即采取修复或替代方案等补救措施,及时告知用户安全风险,并向数据管理者报告;c)收集用户信息应明确告知收集用户信息的目的、用途、范围和类型,在用户明示同意后,按照最少够用原则收集实现产品和服务功能所需的最少用户信息,并采取安全措施保护用户信息的安全;d)产品和服务上线前应告知公共数据管理者上线计划,并接受公共数据管理者或由公共数
24、据管理者授权委托的服务方进行安全检查;e)建立内部监督审计机制,对提供服务的人员进行监督和审计,签订保密协议,确保其不泄露用户的业务数据;f)接受公共数据管理组织的安全监管工作,按监管要求提供相关交付件供公共数据管理者或监管服务方审核评估,并对通报的安全风险进行及时整改;g)根据公共数据管理者制定的安全策略和规则进行数据的访问授权管理工作;h)提供服务 API 的用户鉴别、鉴权和访问控制的能力,并支持服务 API 的调用日志记录和外发;采取措施保障服务 API 自身的安全性,确保服务 API 具备防重放攻击、防代码注入、防拒绝服务攻击等攻击防护能力;提供服务 API 过载保护的能力,实现不同服
25、务等级用户间业务的公平性和系统整体性处理能力的最大化;i)对归集的数据保留原始表,不做任何加工清洗,以满足溯源、数据质量核查等需求;j)提供数据 ETL 服务的应根据质量规则进行标准化处理,并通过技术手段保障数据的一致性,对所有的 ETL 过程应记录日志,并可提供给第三方进行审计;k)提供数据同步服务的通过技术手段保障数据同步过程的一致性,记录数据同步过程的所有日志,并可提供给第三方进行审计;l)提供数据分析计算服务的应配合公共数据管理者或公共数据使用者对新生成的数据进行识别和设置分类分级标签。7 数据生命周期安全 数据归集 7.1.1 数据分类分级 7.1.1.1 数据分类分级应符合 GB/
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB3210T1152 2023 公共 数据 共享 开放 安全管理 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。