![点击分享此内容可以赚币 分享](/master/images/share_but.png)
DB5120T 19.6-2023数据资源体系技术指南 第6部分:数据安全管理规范.pdf
《DB5120T 19.6-2023数据资源体系技术指南 第6部分:数据安全管理规范.pdf》由会员分享,可在线阅读,更多相关《DB5120T 19.6-2023数据资源体系技术指南 第6部分:数据安全管理规范.pdf(13页珍藏版)》请在咨信网上搜索。
1、ICS 35.240.01CCS L 70DDB B5 51 12 20 0四 川 省(资 阳 市)地 方 标 准DB5120/T 19.62023数据资源体系技术指南第 6 部分:数据安全管理规范2023-12-22 发布2023-12-29 实施资阳市市场监督管理局发 布DB5120/T 19.62023I目次前言.II1范围.12规范性引用文件.13术语和定义.14数据安全管理概述.15数据安全需求.36数据活动及安全要求.47数据安全风险评估.7参考文献.9DB5120/T 19.62023II前 言本文件按照 GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规
2、则的规定起草。请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。本文件由资阳市政务服务和大数据管理局提出并归口。本文件由资阳市市场监督管理局批准并发布。本文件起草单位:资阳市大数据服务中心、资阳数智科技有限公司。本文件主要起草人:刘桄序、戢培全、邵柏华、袁嘉、刘光乾、杨建康、张亚琴、李爱民、刘西北、郑雪梅、邓森林、彭国林、陈杜宇、杨通、李强、夏荣、张润泽、任良华、冷耀、陈熙。本文件为首次发布。DB5120/T 19.620231数据资源体系技术指南第 6 部分:数据安全管理规范1范围本文件规定了资阳市域数据安全管理过程中术语和定义、安全管理概述、安全需求、数据活动及
3、安全要求、安全风险评估等工作规范。本文件适用于资阳市域政务组织、非政务组织和个人信息资源数据的数据安全管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 5271.1信息技术 词汇 第 1 部份:基本术语GB/T 11457信息技术 软件工程术语GB/T 18492信息技术 系统及软件完整性级别GB/T 22032系统工程 系统生存周期过程GB/T 25000系统与软件工程(所有部分)GB/T 29264信息技术服务 分类与代码GB
4、/T 35274信息安全技术大数据服务安全能力要求GB/T 35295信息技术 大数据 术语GB/T 37973信息安全技术 大数据安全管理指南GB/T 36625.3智慧城市 数据融合 第 3 部分:数据采集规范GB/T 38667信息技术 大数据 数据分类指南GB/T 40094.2电子商务数据交易 第 2 部分:数据描述规范GB/T 40094.3电子商务数据交易 第 3 部分:数据接口规范行GB/T 42450信息技术 大数据 数据资源规划DB51/T 3056政务数据 数据分类分级指南3术语和定义GB/T 5271.1、GB/T 11457、GB/T 18492、GB/T 25000
5、、GB/T 29264、GB/T 35274、GB/T 35295、GB/T 37973、GB/T 36625.3、GB/T 38667、GB/T 40094.2、GB/T 40094.3、GB/T 42450、DB51/T 3056界定的以及下列术语和定义适用于本文件。3.1数据安全 data security采用技术和管理措施来保护数据的保密性、完整行和可用性等。4数据安全管理概述DB5120/T 19.6202324.1数据安全管理的定义数据安全管理是指对数据设定安全等级,按照相应国家相关法案及监督要求,通过评估数据安全风险、制定数据安全管理制度规范、进行数据安全分级分类,完善数据安全管
6、理相关技术规范,保证数据被合法合规、安全地采集、传输、存储和使用。资阳市政务服务和大数据管理局通过数据安全管理,规划、开发和执行安全政策和措施,提供适当的身份以确认、授权、访问和审计等功能。数据安全管理的关键活动包括:a)理解数据安全的需求及监管要求;b)制定数据分类分级标准、数据安全管理规范等;c)识别和监控敏感数据;d)制定并实施数据安全防护策略;e)制定数据安全持续运营管理,包括数据安全事件监控与处置、数据安全漏洞扫描与修复、数据安全预警通报、数据安全审计等。4.2数据安全管理目标数据安全管理的目标是建立完善的体系化的安全策略措施,全方位进行安全管控,通过多种手段确保数据资产在“存、管、
7、用”等各个环节中的安全,做到“事前可管、事中可控、事后可查”。4.3数据安全管理内容数据安全管理主要包含以下内容:a)明确数据安全需求。资阳市政务服务和大数据管理局应分析大数据环境下数据的保密性、完整性和可用性所面临的新问题,分析大数据活动可能对国家安全、社会影响、公共利益、个人的生命财产安全等造成的影响,并明确解决这些问题和影响的数据安全需求。b)数据分类分级。资阳市政务服务和大数据管理局应先对数据进行分类分级,根据不同的数据分级选择适当的安全措施。c)明确大数据活动安全要求。资阳市政务服务和大数据管理局应理解主要大数据活动的特点,可能涉及的数据操作,并明确各大数据活动的安全要求。d)评估大
8、数据安全风险。资阳市政务服务和大数据管理局除开展信息系统安全风险评估外,还应从大数据环境潜在的系统的脆弱点、恶意利用、后果等不利因素,以及应对措施等评估大数据安全风险。4.4管理角色及责任4.4.1概述资阳市政务服务和大数据管理局应建立大数据安全管理组织架构,根据政府机构规模、数据平台的数据量、业务发展及规划等明确不同角色及其职责,至少包含以下角色:a)数据安全管理者:数据安全负责的个人或团队。数据安全管理者负责数据安全相关领域和环节的决策,制定并审议数据安全相关制度,监督执行和落实业务部门数据安全相关工作。b)数据安全执行者:是执行数据安全相关工作的个人或团队。数据安全执行者负责数据安全相关
9、领域和环节工作的执行,制定数据安全相关细则,落实各项安全措施,配合数据安全管理者开展各项工作。c)数据安全审计者:负责数据审计相关工作的个人或团队。数据安全审计者对安全策略的适当性进行评价,帮助检测安全违规,并生成安全审计报告。4.4.2数据安全管理者的职责数据安全管理者的具体职责有:a)制定数据安全相关的规范和制度,包括数据分类分级规范、数据安全管理规范等。DB5120/T 19.620233b)综合考虑法律法规、政策、标准、大数据分析技术水平、所处行业特殊性等因素,评估数据安全风险,制定数据安全基本要求。c)对数据访问进行授权,包括授权给政府内部的业务部门等。d)建立相应的数据安全管理监督
10、机制,监视数据安全管理机制的有效性。e)负责大数据安全管理过程。4.4.3数据安全执行者的职责数据安全执行者的主要职责有:a)根据数据安全管理者的要求实施安全措施;b)为数据安全管理者授权的相关方分配数据访问权限和机制;c)配合数据安全管理者处置安全事件;d)记录数据活动的相关日志。4.4.4数据安全审计者的职责数据安全审计者的主要职责有:a)审核数据活动的主体、操作及对象等数据相关属性,确保数据活动的过程和相关操作符合安全要求;b)定期审核数据的使用情况。5数据安全需求5.1保密性数据环境下的保密性需求应考虑以下几个方面:a)数据传输的保密性,使用不同的安全协议保障数据采集、分发等操作中的传
11、输保密要求;b)数据存储的保密性,例如使用访问控制、加密机制等;c)加密数据的运算,例如使用同态加密等算法;d)数据汇聚时敏感性保护,例如通过数据隔离等机制确保汇聚大量数据时不暴露敏感信息;e)个人信息的保护,例如通过数据匿名化使得个人信息主体无法被识别;f)密钥的安全,应建立适合大数据环境的密钥管理系统。5.2完整性数据环境下的完整性需求应考虑以下几个方面:a)数据来源验证,应确保数据来自于已认证的数据源;b)数据传输完整性,应确保大数据活动中的数据传输安全;c)数据计算可靠性,应确保只对数据执行了期望的计算;d)数据存储完整性,应确保分布式存储的数据及其副本的完整性;e)数据可审计,应建立
12、数据的细粒度审计机制。5.3可用性数据环境下的可用性需求应考虑以下几个方面:a)大数据平台抗攻击能力;b)基于大数据的安全分析能力,如安全情报分析、数据驱动的误用检测、安全事件检测等;c)大数据平台的容灾能力。5.4其他需求DB5120/T 19.620234数据安全除了考虑信息系统的保密性、完整性和可用性,还应针对大数据的特点还应从大数据活动的其他方面分析安全需求,包括但不限于:a)与法律法规、国家战略、标准等的合规性;b)可能产生的社会和公共安全影响,与文化的包容性;c)跨部门之间数据共享;d)跨境数据流动;e)知识产权保护及数据价值保护。6数据活动及安全要求6.1活动分类在数据生命周期中
13、,组织可能参与数据形态的一个或多个阶段,将资阳市政务服务和大数据管理局可能对数据实施的操作任务的集合,即活动划分为:数据采集、数据存储、数据处理等。6.2数据釆集6.2.1数据采集活动的概念数据采集活动的目标是获得数据,数据采集方式包括但不限于:a)从其他组织获取。通过线上或线下等方式从组织外获取数据。b)系统数据。资阳市政务服务和大数据管理局内部的系统在运行过程中采集和产生的业务数据,以及各种系统、程序和服务运行产生的大量运维和日志数据等。根据资阳市数据资源中心的建设现状及实际业务场景情况,数据采集的主要来源为系统数据。数据采集活动主要操作包括但不限于:发现数据源、传输数据、生成数据、缓存数
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB5120T 19.6-2023数据资源体系技术指南 第6部分:数据安全管理规范 19.6 2023 数据 资源 体系 技术 指南 部分 安全管理 规范
![提示](https://www.zixin.com.cn/images/bang_tan.gif)
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。