DB3301∕T 0276-2018 政务数据共享安全管理规范(杭州市).pdf

1、ICS 35.240.01L 70DB3301浙江省杭州市地方标准DB 3301/T 02762018政务数据共享安全管理规范2018 - 12 - 30 发布2019 - 01 - 30 实施杭州市质量技术监督局发 布DB3301/T 02762018I前言本标准按照GB/T 1.1-2009给出的规则起草。本标准由杭州市数据资源管理局提出并归口。本标准主要起草单位：杭州市数据资源管理局、杭州安恒信息技术股份有限公司、阿里云计算有限公司、阿里巴巴（中国）有限公司、浙江蚂蚁小微金融服务集团、浙江鸿程计算机系统有限公司。本标准主要起草人：齐同军、周俊、黄雪峰、张敏翀、陈彩芳、陈树鹏、孙茂阳、徐飞

2、。DB3301/T 027620181政务数据共享安全管理规范1范围本标准规定了政务数据共享的总则、基本要求、数据归集安全、数据传输安全、数据存储安全、数据处理安全、数据共享安全和数据销毁安全。本标准适用于非涉密政务数据共享安全管理。2规范性引用文件下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 25069信息安全技术 术语GB/T 35295信息技术 大数据 术语3术语和定义GB/T 25069-2010和GB/T 35295-2017界定的以及下列术语和定义适用于本标

3、准。3.1政务数据政府部门在履行职责过程中产生、获取和使用的数据资源。3.2数据生命周期数据从产生，经过数据采集、数据传输、数据存储、数据处理（包括计算、分析、可视化等）、数据交换，直至数据销毁等各种生存形态的演变过程。3.3数据服务提供数据采集、数据传输、数据存储、数据处理（包括计算、分析、可视化等）、数据交换、数据销毁等数据生存形态演变的一种网络信息服务。3.4数据共享让不同的数据使用者能够访问平台整合的各种数据资源， 并通过数据服务或数据交换技术对这些数据资源进行相关的计算、分析、可视化等处理。3.5数据提供者政务数据的提供者。3.6数据使用者政务数据的获取者。DB3301/T 0276

4、201823.7服务第三方提供相关服务的供应方，包括但不限于基础设施服务提供者、网络环境服务提供者、应用服务提供者、数据服务提供者、安全服务提供者。3.8数据管理者政务数据的管理者，由政府赋予政务数据管理职能的行政机构。4总则4.1政务数据共享安全管理采取主动防御、综合防范方针，坚持保障政务数据安全与促进应用发展相协调、管理与技术并重的原则，实行统一协调、分工负责、分级管理。各参与方单位数据安全和信息化工作应同步规划、同步建设、同步运行。4.2政务数据共享安全要求包括通用安全要求，以及数据归集、数据传输、数据存储、数据处理、数据共享和数据销毁等流程环节安全要求。各参与方应根据自身角色和责任遵照

5、执行。4.3支撑政务数据共享的平台基础设施和网络应符合国家等级保护和关键信息基础设施保护的相关法规和标准。5基本要求5.1组织建设组织建设安全要求包括：a)建立数据安全领导小组， 指定数据管理机构的最高管理者或授权代表担任小组组长， 并明确组长责任与权力；b)建立数据安全管理部门与数据安全执行小组， 建立相关职能岗位， 职能岗位设计时应遵循职责分离与权限最小化原则；c)制定数据安全各职能岗位的工作规范， 以明确各职能岗位之间的协作关系， 明确了各职能岗位的运行配合机制；d)建立独立的安全监督管理机构， 对各参与方的数据操作行为进行安全监督管理， 确保其按照规范要求或合同约定的范围开展业务；e)

6、以公开信息且可查询的形式面向全员公布数据安全职能部门的组织架构。5.2数据安全策略与规程数据安全策略与规程安全要求包括：a)应制定满足业务需求的安全策略，明确安全方针、安全目标和安全原则；b)应基于安全策略，建立相关的制度规程，形成以数据为核心的体系化数据安全制度体系；c)应建立策略、规程的评审和发布流程，明确适当的频率和时机对策略和规程进行更新，以确保其持续的适宜性和有效性。5.3人力资源管理人力资源管理安全要求包括：DB3301/T 027620183a)应固化员工入职、转岗、离职的人力资源流程，及时将人员的变更通知到相关方；b)应及时调整人员变化所涉及的账号权限的赋权、更改和回收；c)应

7、制定与各参与方人员的标准合同协议，以约束相关人员与组织的数据安全责任；d)应建立离任审计机制，对关键人员的离任进行审查，及时回收相关资源和授权，并对其在任期中的行为进行评估，分析是否存在滥用职权、弄虚作假、以权谋私等情况。5.4数据资产管理数据资产管理安全要求包括：a)应制定数据资产安全管理制度， 明确数据资产安全管理目标和安全原则、 数据资产的全生命周期管理要求、资产登记要求和分类标记要求，并针对安全管理制度执行定期审核和更新；b)应建立数据资产登记机制，形成整体的数据资产清单，明确数据资产安全责任主体及相关方，并及时更新数据资产相关信息；c)应建立和实施数据资产分类和标记规范，包括：分类分

8、级规定、元数据管理规范、操作指南、变更审批流程。根据分类管理要求，建立相应的标记策略、访问控制、数据加解密、数据脱敏等安全机制和管控措施；d)宜建立技术工具执行资产登记、分类标记等，实现自动化的属性标识工作。5.5数据供应链管理数据供应链管理安全要求包括：a)应建立数据提供者、 数据使用者、 服务第三方安全管理规范， 定义数据安全目标、 原则和范围，明确数据提供者、数据使用者、服务第三方的安全责任和义务，并建立监督审核机制；b)与数据提供者、数据使用者、服务第三方签署协议，明确数据的使用目的、供应方式、保密约定等；c)应委托独立的运行监管方，对数据提供者、数据使用者和服务第三方的行为进行相关记

9、录，利用技术工具对数据提供者、数据使用者和服务第三方的行为进行合规性审核与监督；d)应建立完整的数据供应链和相关数据字典规则库， 自动监测实际数据流动情况， 实时分析数据流向与数据供应链遵循情况，发现异常并自动报警和阻断。5.6元数据管理元数据管理安全要求包括：a)应建立数据服务元数据语义统一规范和管理规则；b)应建立数据安全元数据管理规范，如口令策略、权限列表、授权策略；c)应建立元数据访问控制策略， 明确元数据管理角色及其授权控制机制， 并通过技术手段实现对元数据管理角色的授权和访问管理；d)应建立元数据操作审计制度，根据审计制度要求，采集元数据操作日志，确保元数据操作的可追溯；e)应建立

10、统一的元数据管理平台，将各领域的元数据通过集中的平台进行提供。5.7运行监管运行监管安全要求包括：a)应制定数据生命周期各阶段数据访问和操作的日志记录规范要求和监管要求；b)应根据日志记录规范和监管要求，对数据采集、传输、存储、处理、交换、销毁等过程进行有效的日志记录，实现政务数据共享全链路的可追溯；DB3301/T 027620184c)应建立统一的数据访问和操作的日志记录和分析技术工具， 该技术工具可对各类数据访问和操作的日志进行统一的处理和分析，实现对数据异常访问和操作的告警，实现对数据滥用、违规使用、缔约过失、越权使用等行为的识别、监控、预警和追责；d)应对服务第三方实施的安全控制措施

11、、变更管理、应急响应等进行持续监管，通过技术措施或文件审核等方式对服务第三方承诺的安全控制项进行评估验证；e)应建立针对敏感数据的动态可持续的数据风险监管体系， 周期性的对敏感数据的脆弱性、 面临的安全威胁、安全措施的有效性等内容进行风险评估。5.8终端数据管理终端管理安全要求包括：a)应制订面向终端的数据安全管理规范，明确终端层面的数据防泄漏管理要求；b)应为进入城市大脑内部网络环境的终端设备分配终端识别号， 并实现终端设备与用户账号的一对一绑定；c)应建立并实施整体的终端安全解决方案， 实现终端设备与组织机构内部员工的有效绑定， 按照统一的部署标准在终端系统上安装各类防控软件（如防病毒、硬

12、盘加密、终端入侵检测、终端防泄漏等软件），对终端系统上的数据进行风险监控。5.9数据防泄漏数据防泄漏安全要求包括：a)应建立数据防泄露规范，明确需要进行数据泄露防护处理的应用场景和处理方法：b)应支持基于终端使用、动态传输、静态存储的综合数据泄露防护机制；c)应提供能够面向不同业务场景的数据泄露防护策略的设置与部署；d)应提供数据防泄漏处理过程的日志记录,满足数据防泄漏处理安全审计要求。6数据归集安全6.1数据分类分级数据分类分级安全要求包括：a)应制定数据分类分级标准，按照数据类型与数据安全等级矩阵方法，确定数据敏感度等级；b)应针对具体业务场景，结合数据敏感度等级，确定场景数据使用风险等级

13、；c)应根据数据敏感度等级、场景数据使用风险等级确定相应的控制措施；d)应建立数据分级分类制度性文件管理措施， 包括岗位职责、 统一管理、 定期更新、 变更审核等；e)应建立人工打标与基于数据内容规则自动识别打标相结合的机制。6.2数据归集数据归集安全要求包括：a)归集的数据应确保来源真实有效、合法正当，同时应明确数据共享范围和用途；b)归集的数据应保留原始表，不做任何加工清洗，以满足溯源、数据质量核查等需求。6.3数据源鉴别及记录DB3301/T 027620185在政务数据归集过程中， 应制定数据源管理制度规范， 针对不同的数据归集场景定义数据溯源策略和机制， 并提供有效的工具对外部收集的

14、数据和数据源进行识别和记录， 确保管理人员能够追踪其加工和计算数据的原始数据来源。6.4数据质量管理应建立数据归集过程中的质量监控规则， 明确数据质量监控范围及监控方式， 并利用技术工具对在线和离线归集到的数据进行监控，实现对异常数据的告警。7数据传输安全数据传输安全要求包括：a)应明确需要进行传输加密的业务场景，支持对个人信息和重要数据的加密传输；b)应提供对传输通道两端进行主体身份鉴别和认证的技术方案和工具；c)应提供对传输数据的完整性进行检测并执行恢复控制的技术方案和工具；d)应提供对数据传输安全策略的变更进行审核和监控的技术方案和工具，对通道安全策略配置、密码算法配置、密钥管理等保护措

15、施进行审核及监控。8数据存储安全8.1数据逻辑存储数据逻辑存储安全要求包括：a)应建立各类数据存储系统的安全配置规则，采取技术手段和工具支撑数据存储系统的安全管理；b)应具备多租户数据存储安全隔离能力；c)应定期检查数据存储系统安全配置以符合基线的一致性要求；d)应定期探查存储系统的数据是否符合相关合规性的要求；e)应采用碎片化分布式离散存储技术保存数据资源，并具有完整性验证机制；f)应支持采用符合国家认定的密码算法对高敏感数据进行加密存储，平台服务商不得掌握密钥。8.2数据备份与恢复数据备份与恢复啊安全要求包括：a)应建立数据存储冗余策略、管理制度与规程，明确定义数据复制、备份和恢复的范围、

16、频率、工具、过程、日志记录规范、数据保存时长等；b)应建立用于数据备份、恢复的统一技术工具，并将具体的备份的策略固化到工具中，保证相关工作的自动化执行；c)应建立数据复制、数据备份与恢复的定期检查和更新工作程序，包括数据副本更新频率、保存期限等，确保数据副本或备份数据的有效性。8.3数据访问控制数据访问控制安全要求包括：DB3301/T 027620186a)应建立数据资源安全访问策略， 由授权主体进行访问策略配置， 授予数据使用者为完成各自任务所需要的最小权限。 访问控制的范围应包括与数据资源访问相关的主体、 客体以及它们之间的操作；b)应采用基于用户组或角色的方法，保障数据使用者访问数据资

17、源时权限明确；c)应采用多种方式对数据资源访问主体的身份进行鉴别；d)应采用必要的措施使数据使用者的访问和修改等行为具有不可抵赖性。9数据处理安全9.1数据脱敏数据脱敏安全要求包括：a)应建立数据脱敏规范，明确需要脱敏处理的应用场景和处理方法；b)应支持基于规则的数据静态脱敏；c)应提供面向使用者的定制化数据脱敏功能，可基于场景需求自定义脱敏规则；d)应提供数据脱敏处理过程日志记录,满足数据脱敏处理安全审计要求。9.2数据分析数据分析安全要求包括：a)应对数据分析结果进行二次风险评估， 确保衍生数据不超过原始数据的授权范围和安全使用要求；b)应对利用多源数据进行大数据分析的过程进行日志记录，

18、以备对分析结果质量、 真实性和合规性进行数据溯源；c)应对利用数据分析算法输出的结果进行风险评估，避免分析结果输出中包含可恢复的个人信息、重要数据等数据和结构标识，从而防止个人信息、重要数据等敏感信息的泄漏；d)应对平台数据分析算法的变更进行风险评估。9.3数据使用数据使用安全要求包括：a)应制定整体的数据权限管理制度， 规定了各参与方身份及访问权限的授予、 变更、 撤销等流程，以及数据全生命周期的管理要求和责任制；b)应定义并执行了统一的身份及访问管理流程， 各系统均遵循规范的身份及访问管理流程对用户访问数据资源进行管理， 并定期审核当前的数据资源访问权限是否符合身份及访问管理的规范要求，身

19、份及访问管理应遵循最少够用和职责分离的原则；c)应建立数据使用正当性的监督审核机制， 保证在数据使用声明的目的和范围内对受保护的个人信息、重要数据等数据进行使用和分析处理；d)应建立统一的身份及访问管理平台， 对各系统的用户和数据资源进行权限管理， 遵循做小够用的原则，并依据数据使用目的建立相应强度或粒度的访问控制机制；e)应针对关键的系统采用多因素认证的方式进行身份认证， 如可信的数字证书、 生物识别方式等。9.4数据处理环境数据处理环境安全要求包括：DB3301/T 027620187a)数据处理系统或平台应与身份及访问管理平台实现联动， 用户在使用数据处理系统或平台前已获得了授权；b)应

20、保证对不同数据使用者在数据处理平台中的数据、系统功能、会话、调度和运营环境等资源实现隔离控制；c)应建立数据处理日志管理工具，记录用户在数据处理平台上的加工操作，以备后期追溯；d)应对用户在数据处理平台上对数据的操作开展定期审计， 确定用户对数据的加工未超出前期申请数据时的目的。10数据共享安全10.1数据导入导出原则上，任何数据都不得导入导出。10.2数据共享数据共享安全要求包括：a)应建立数据获取和使用安全规范，明确数据使用者的数据获取方式、服务接口、授权机制和数据使用的权限范围等；b)应建立规范的数据共享审核流程，确保没有超出数据提供者所允许的数据授权使用范围；c)数据使用者应采用数据服

21、务接口方式获取共享数据资源；d)应建立数据服务接口调用的安全规范，包括接口名称、接口参数、接口安全要求等；e)应制定数据服务接口安全控制策略,提供对数据服务接口的安全限制和安全控制措施,如身份鉴别、授权策略、访问控制机制、签名、时间戳、安全协议等，并对数据服务接口调用的参数进行限制或过滤，一旦发现异常会触发告警机制；f)应统一收集数据服务接口调用的相关记录日志， 并建立相应针对数据接口调用的审计工具， 对数据接口调用情况进行定期审计。11数据销毁安全11.1应制定数据销毁规范，提出各类数据销毁场景应采用的销毁手段，明确销毁方式和销毁要求。11.2应建立数据销毁的审批和记录流程，并设置数据销毁监督角色，监督数据销毁操作过程。_