1、ICS 35.040 L 80 DB15 内 蒙 古 自 治 区 地 方 标 准 DB15/T 1874 2020 公共大数据安全管理指南 Public big data security management guide 2020-04-03发布 2020-05-03实施 内蒙古自治区市场监督管理局 发布 DB15/T 1874 2020 I 目 次 前言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 概述 . 3 4.1 数据生命周期的各个阶段 . 3 4.2 数据安全体系 . 3 5 通用安全 . 4 5.1 数据安全策略规划 . 4 5.2 组织
2、和人员管理 . 5 5.3 个人信息保护 . 5 5.4 数据资源目录 . 6 5.5 数据分类分级 . 7 5.6 元数据管理 . 7 5.7 敏感数据保护 . 7 5.8 终端数据安全 . 8 5.9 监控与审计 . 8 5.10 鉴别与访问控制 . 8 5.11 需求分析 . 9 5.12 数据供应链安全 . 9 5.13 安全事件应急 . 10 6 安全监管 . 10 7 数据采集安全 . 11 7.1 数据采集安全管理 . 11 7.2 数据源鉴别及记录 . 11 7.3 数据质量管理 . 12 8 数据传输安全 . 12 8.1 数据传输加密 . 12 8.2 网络可用性管理 .
3、13 9 数据存储安全 . 13 9.1 存储媒介安全 . 13 9.2 逻辑存储安全 . 13 9.3 数据备份和恢复 . 14 10 数据使用安全 . 15 DB15/T 1874 2020 II 10.1 数据脱敏 . 15 10.2 数据分析安全 . 15 10.3 数据正当使用 . 16 10.4 数据处理环境安全 . 16 10.5 数据导入导出安全 . 17 11 数据交换安全 . 17 11.1 数据共享安全 . 17 11.2 数据开放安全 . 18 11.3 数据接口安全 . 18 12 数据退役安全 . 19 12.1 数据退役处置 . 19 12.2 存储介质销毁处置
4、. 19 参考文献 . 21 DB15/T 1874 2020 III 前 言 本标准按照 GB/T 1.1-2009给出的规则起草。 “请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。” 本标准由内蒙古自治区大数据发展管理 局提出并归口。 本标准起草单位:内蒙古自治区大数据发展管理局、内蒙古自治区党委网信办、中国电子技术标准 化研究院。 本标准主要起草人:孙卫、全鑫、包瑞林、刘贤刚、胡影、张宇光、刘朝苹、南丁、朱寰、应智强、 董建敏、崔连伟。 DB15/T 1874 2020 1 公共大数据安全管理指南 1 范围 本标准从 通用安全、 安全监管 、数据采集安全、
5、数据传输安全、数据存储安全、数据使用安全、数 据交换安全、数据退役安全等 方面 ,规定了内蒙古自治区公共大 数据安全管理指南。 本标准适用于规范公共管理和服务机构开展公共数据采集、存储、传输、使用、共享、开放、退役 等数据活动, 也 可为内蒙古 自治区 有关 部门对数据活动进行监督管理 提供参考 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069 信息安全技术 术语 3 术语和定义 GB/T 25069界定的以及下列术语和定义适用于本文件。
6、 3.1 公共数据 public data 公共管理和服务机构在依法履行职责过程中 制作或获取的,以一定形式记录、保存的文件、资料、 图表和数据等各类 数据 资源,包括 公共管理 和服务机构 直接或通过第三方依法采集的、依法授权管理的 和因履行职责需要依托政务信息系统形成的 数据 资源等。 3.2 公共管理和服务机构 public management and service organization 内蒙古自治区各级行政机关以 及履行公共管理和服务职能的企事业单位 和社会组织,涉及公共数据 开发的产业机构。 3.3 大数据 big data 具有数量巨大、种类多样、流动速度快、特征多变等特性
7、,并且难以用传统数据体系结构和数据处 理技术进行有效组织、存储、计算、分析和管理的数据集。 DB15/T 1874 2020 2 3.4 重要数据 important data 不涉及国家秘密,但如果泄露、毁损、丢失或被窃取、篡改和非法使用可能危害国家安全、国计民 生、公共利益的未公开数据。 3.5 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 注: 关于个人信息的范围和类型可参见 GB/T 35273信息安全技术 个人信息安全规范附录 A。 3.6 数据脱敏 data dese
8、nsitization 通过一系列数据处理方法对原始数据进行处理以屏蔽敏感信息的一 种数据保护方法。 3.7 大数据平台 big data platform 采用分布式存储和计算技术,提供大数据的访问和处理,支持大数据应用安全高效运行的软硬件集 合,包括监视大数据的存储、输入 /输出、操作控制等大数据服务软硬件基础设施。 3.8 数据活动 data activity 组织 机构 针对数据开展的一组特定任务的集合,数据活动主要包括采集、存储、传输、 使用 、 共享 、 删除 等。 3.9 数据供应链 data supply chain 为满足数据供应关系,通过资源和过程将需方、供方相互连接的网链
9、结构,可用于供方将数据及其 产品 与服务提供给需方。 3.10 组织 机构 organization 由作用不同的个体为实施共同的业务目标而建立的结构。组织可以是一个企业、事业单位、政府部 门等。 注: 本标准的组织机构,通常是指公共管理和服务机构。 DB15/T 1874 2020 3 3.11 合规 compliance 对数据安全所适用的法律法规的遵循。 4 概述 4.1 数据生命周期的各个阶段 本标准定义了数据生命周期的 六 个阶段 ,并针对公共数据特点和场景进行了描述 : 数据采集: 组织机构内部系统中新产生数据,以及从外部系统收集数据的阶段。在公共数据方 面,通常是指公共管理和服务
10、机构因履职需要,采用直接采 集、委托第三方机构采集、协商等 方式向公民、法人和其他组织获取有关数据,以及通过业务系统、监测、测量、录音、录像等 方式产生有关数据; 数据 传输 :数据从一个实体通过网络流动到另一个实体的阶段。 在公共数据方面,通常是公共 管理和服务机构将数据传输归集到云平台、数据资源共享交换平台、大数据中心等,下一级部 门将公共数据传输汇聚到上一级部门等; 数据存储:数据以任何数字格式进行物理存储或云存储的阶段。 在公共数据方面,数据存储可 能涉及采集数据存储、归集汇聚后的数据存储、数据共享交换后的数据存储等; 数据 使用 :组织机构针对数 据进行计算、分析、可视化等操作的阶段
11、。 在公共数据方面,通常 是对公共数据进行整合,形成基础数据库和主题数据库,并进行大数据分析利用转化成公共大 数据产品或服务; 数据 交换 :组织机构与组织机构及个人进行数据 共享、开放、交换 的阶段。 公共数据共享通常 是公共管理和服务机构 因履行职责需要使用其他 公共管理和服务机构公共数据,并 为其他 公共 管理和服务机构 提供 公共数据。公共数据开放通常是 公共管理和服务机构通过数据开放平台向 社会开放公共数据。公共数据交换通常是公共管理和服务机构间或公共管理和服务机构与 个人 进行数据交互 ; 数据 退役 : 不再进行处理的公共数据进入数据退役阶段,涉及对信息的归档、转移、丢弃、销 毁
12、以及对存储介质的销毁处理等。 特定的数据所经历的生命周期由实际的业务场景所决定,并非所有的数据都会完整地经历六个阶 段。 4.2 数据安全体系 公共数据安全体系由 30类安全技术和管理控制措施组成,分成数据生命周期安全、通用安全、安全 监管三部分, 如图 1所示。 其中数据生命周期安全包含数据采集、数据传输、数据存储、数据使用、数 据交换、数据退役六个阶段的安全措施。安全通用安全是指对数据生命周期各阶段通用的安全技术和管 理措施。安全监管则是从公共 数据主管部门角度提出的安全监管类措施。其中,安全监管是数据生命周 期安全建设中必须被满足的基线要求,通用安全是数据生命周期安全建设的中具有共性的安
13、全建设内 容,一般贯穿于数据全生命周期建设,三者共同构建了公共数据安全体系。 DB15/T 1874 2020 4 数据生命周期安全 数据采集安全 数据传输安全 数据存储安全 数据使用安全 数据交换安全 数据退役安全 数据采集安全管理 数据源鉴别及记录 数据质量管理 数据传输加密 网络可用性管理 存储媒介安全 逻辑存储安全 数据备份和恢复 数据脱敏 数据分析安全 数据正当使用 数据处理环境安全 数据导入导出安全 数据共享安全 数据开放安全 数据接口安全 数据退役处置 存储介质销毁处置 通用安全 安全监管 数据安全策略与 规划 组织和人员管理 个人信息保护 数据资源目录 数据分类分级 元数据管理
14、 敏感数据保护 终端数据安全 监控与审计 鉴别与访问控制 需求分析 数据供应链安全 安全事件应急 图 1 数据安全 体 系 5 通用安全 5.1 数据安全策略规划 建立 组织机构 整体的数据安全策略规划,数据安全策略规划的内容应覆盖数据全生命周期的安全风 险。 公共服务和管理机构应 : a) 设立负责组织机构数据安全 制度流程和战略规划 的建设的岗位和人员 ; b) 明确 符合组织数据战略规划的数据安全总体策略,明确安全方针、安全目标和安全原则 ; c) 基于组织的数据安全总体策略,在组织层面明确以数据为核心的数据安全制度和规程,覆盖数 据生命周期相关的业务、系统和应用,内容包含目的、范围、岗
15、位、责任、管理层承诺、内外 部协调机制及合规目标等; d) 明确并实施大数据系统和数据应用安全实施细则; e) 明确数据安全制度规程分发机制,将数据安全策略、制度和规程分发至组织相关部门、岗位和 人员; f) 明确数据安全制度及规程的评审、发布流程,并确定适当的频率和时机对制度和规程进行审核 和更新; g) 明确组织层面的数据 安全战略规划,包括各阶段目标、任务、工作重点,并保障其与业务规划 相适应; h) 确保负责制定数据安全总体策略和战略规划的人员了解组织的业务发展目标,能够将数据安全 工作的目标和业务发展的目标进行有机结合; i) 确保负责制定数据安全制度和规程的人员具备信息安全管理体系
16、建设的知识,并具备良好的规 范撰写能力; j) 确保负责推广数据安全策略规划的人员能够以员工和相关方易理解的方式,通过培训等宣导形 式对数据安全管理的方针、策略和制度进行有效传达。 DB15/T 1874 2020 5 5.2 组织和人员管理 通过建立组织机构内部负责数据安全工作的职能部门及岗位,以及对 人力资源管理过程中各环节进 行安全管理,防范组织和人员管理过程中存在的数据安全风险。 公共服务和管理机构应 : a) 建立组织层面的数据安全领导小组,指定机构最高管理者或授权代表担任小组组长,并明确了 组长的责任与权力; b) 建立组织层面专职的数据安全职能部门和岗位,明确其工作职责,以及职能
17、部门之间的协作关 系和配合机制,并在职能岗位设计时考虑职责分离的原则; c) 确保人力资源部门与 负责 数据安全的部门能够进行有效配合; d) 建立组织内部的监督管理职能部门,负责对组织内部的数据操作行为进行安全监督; e) 指定大数据系统的安全规划、安全建设 、安全运营和系统维护工作的责任部门; f) 明确在组织层面人力资源管理中承担数据安全要求制定和执行的人员或岗位,并与数据安全人 员进行有效配合; g) 明确组织层面承担人员数据安全培训管理职责的岗位和人员,负责对数据安全培训需求的分析 及落地方案的制定和推进; h) 明确数据安全追责机制,定期对责任部门和安全岗位组织安全检查,形成检查报
18、告; i) 明确数据服务人力资源安全策略,明确不同岗位人员在数据生存周期各阶段相关的工作范畴和 安全管控措施; j) 明确组织层面的数据服务人员招聘、录用、上岗、调岗、离岗、考核、选拔等人员安全管理制 度,将数据 安全相关的要求固化到人力资源管理流程中; k) 在录用重要岗位人员前对其进行背景调查,符合相关的法律、法规、合同要求,对数据安全员 工候选者的背景调查中也包含了对候选者的安全专业能力的调查; l) 明确数据服务重要岗位的兼职和轮岗、权限分离、多人共管等安全管理要求; m) 明确针对合作方的安全管理制度,对接触个人信息、重要数据等数据的人员进行审批和登记, 并要求签署保密协议,定期对这
19、些人员行为进行安全审查; n) 在重要岗位人员调离或终止劳动合同前,与其签订保密协议或竞业协议; o) 明确组织内部员工的数据安全培训计划,按计划定期对员工开展 数据安全培训; p) 明确重要岗位人员的数据安全培训计划,并在重要岗位转岗、岗位升级等环节对相关人员开展 培训; q) 按最少够用原则为入职员工分配初始权限; r) 及时终止或变更离岗和转岗员工的数据操作权限,并及时将人员的变更通知到相关方; s) 以公开信息且可查询的形式,面向组织全员公布数据安全职能部门的组织架构; t) 确保负责组织和人员管理的人员充分理解人力资源管理流程中可对安全风险进行把控的环节; u) 开展针对员工入职过程
20、中的数据安全教育,通过培训、考试等手段提升其整体的数据安全意识 水平; v) 负责设置数据安全职能的人员,能够明确组织的 数据安全工作目标。 5.3 个人信息保护 针对个人信息保护的合规要求,建立个人信息保护措施,防止 个人信息保护 的合规风险 。 公共服务和管理机构应 : a) 梳理组织机构所有的 个人信息保护 合规要求并形成清单,能够定期通过跟进监管机构合规要求 的动态对该清单进行更新 ; DB15/T 1874 2020 6 b) 依据个人信息保护相关法律法规和 GB/T 35273的要求,制定组织机构统一的个人信息保护制 度规范,建立符合国家法律法规和相关标准的个人信息保护能力 ; c
21、) 在传输和存储个人敏感信息时,采用加密等安全措施; d) 在存储个人生物识别信息时,采用技术措施确保信息安全后再进 行存储,例如将个人生物识别 信息的原始信息和摘要分开存储,或仅存储摘要信息; e) 对被授权访问个人信息的人员,建立最小授权的访问控制策略,使其只能访问职责所需的最少 够用的个人信息,且仅具备完成职责所需的最少的数据操作权限; f) 确保涉及通过界面展示个人信息(如显示屏幕、纸面)时,个人信息控制者对需展示的个人信 息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险; g) 按照法律法规相关要求,采取措施保障用户对个人信息的查询、更正、删除等权益; h) 确保通过注册账
22、户提供服务时,向个人信息主体提供简便易操作的注销账户方法。 5.4 数据资 源目录 通过建立针对 公共数据资源目录 的有效管理,从 资源 类型、管理模式方面实现统一 规范。 公共管理和服务机构应 : a) 实行公共数据统一目录管理,明确公共数据的范围、数据提供单位、更新时限、格式、共享开 放属性等要素; b) 根据相关政策标准要求,编制、更新、维护和发布本部门公共数据资源目录,并纳入全区公共 数据资源目录,如有关法律法规规章作出修订或职能职责发生变化,应及时更新本部门公共数 据资源目录; c) 公共管理和服务机构新建业务系统,要同步规划编制有关公共数据资源目录; d) 全区各级公共数据资源目录
23、应按照统一的技术 标准,在本级公共数据资源共享交换平台发布; e) 公共数据资源共享交换平台应提供目录更新、维护、调用等技术接口,供各部门调用; f) 按照数据类别或主题形成数据资源清单与目录,确保目录发布的 操作 通过共享交换服务方 鉴别 身份 并取得授权才可 进行 ; g) 明确定义 公共数据 资源目录对应数据资源的安全分级与共享类型; h) 对 公共数据 资源目录发布进行审核,检查资源目录项的规范性、准确性; i) 对目录共享类型变更、目录迁移等操作进行授权审计 ; j) 在资源目录信息发布过程中,如提交、同步、展示等环节,保证信息的保密性和一致性; k) 明确 公共数据 资源共享方式与
24、 内容,遵循最小化策略,仅提供业务开展明确所需的数据内容及 规模; l) 检查共享 公共数据 资源发布信息与已有目录的关联关系,防止发布目录外的共享 公共数据资 源 ; m) 明确规定共享 公共数据资源 的安全级别,建立相应的安全策略 (如脱敏、加密等 ) 确保敏感数 据在共享过程中的保密性; n) 对共享 公共数据资源 发布进行审核,检查发布项的规范性、安全策略合规性; o) 建立 公共数据 资源共享方式的变更与注销机制,及时通知使用者进行调整,防止影响相关业务 系统; p) 对共享 公共数据 资源发布过程进行详细记录,包括发布日期和时间、发布人、审批人、发布资 源详细内容 等; q) 在共
25、享 公共数据 资源发布信息传递过程中,如提交、同步、展示等环节,保证信息的保密性和 一致性。 DB15/T 1874 2020 7 5.5 数据分类分级 基于 政策 法规及 公共数据共享和安全 需求 , 确定 组织机构 内部的数据分类分级方法,对 公共 数据进 行分类分级标识。 公共管理和服务机构应 : a) 设立负责数据安全分类分级工作的管理岗位和人员, 由该岗位和人员 负责定义组织整体的数据 分类分级的安全原则; b) 明确数据分类分级原则、方法和操作指南; c) 对组织的数据进行分类分级标识和管理; d) 对不同类别和级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施
26、 ; e) 明确数据分类分级变更审批流程和机制,通过该流程保证对数据分类分级的变更操作及其结果 符合组织的要求; f) 建立数据分类分级打标或数据资产管理工具,实现对数据的分类分级自动标识、标识结果发布、 审核等功能; g) 确保负责该项工作的人员了解数据分类分级的合规要求,能够识别敏感数据。 5.6 元数据管理 建立组织机构的元数据管理体系,实现对组织机构内 公共 元数据的有效集中管理。 公共管理和服务机构应 : a) 设立组织层面的元数据管理的岗位和人员,由该岗位和人员统一负责建立组织内部元数据语义 规则、管理要求和技术工具; b) 明确元数据语 义统一格式和管理规则,如数据格式、数据域、
27、字段类型、表结构、逻辑存储和 物理存储结构及管理方式; c) 明确元数据安全管理要求,如口令策略、权限列表、授权策略; d) 确保元数据管理工具支持数据表的导航和搜索,提供表血缘关系、字段信息、使用说明、其它 关联信息,方便用户使用数据表; e) 建立元数据访问控制策略和审计机制,确保元数据操作的追溯; f) 确保负责该项工作的人员了解元数据管理的理论基础,理解组织的元数据管理的业务需求。 5.7 敏感数据保护 公共数据主管机构 应建立针对敏感数据的保护机制, 防止敏感数据外泄或滥用 。 公共数据管 理部门应: a) 设立负责鉴别、管理、保护敏感数据的岗位或人员; b) 确定敏感数据范围,明确
28、敏感数据安全防护要求; c) 建立部门间敏感数据防护意识,确保组织内所有人员对敏感数据具有统一、清晰的认识; d) 提出敏感数据安全防护要求,对敏感数据进行脱敏、权限管控等必要的安全防护,保证数据不 被滥用或外泄; e) 确保负责该项工作的人员具备敏感数据鉴别和防护的能力,熟悉敏感数据保护技术和相关机 制。 DB15/T 1874 2020 8 5.8 终端数据安全 基于组织机构对终端层面的数据保护要求,针对组织机构内部的工作终端采取相应的技术和管理方 案。 公共管理和服务机构应 : a) 设立 统一的终端数据安全管理岗位和人员; b) 明确面向终端设备的数据安全管理规范,明确终端设备的安全配
29、置管理、使用终端数据的注意 事项和数据防泄漏管理要求等; c) 确保打印输出设备采用身份鉴别、访问控制等手段进行安全管控,并对用户账户在此终端设备 上的数据操作进行日志记录; d) 确保组织内入网的终端设备均按统一的要求部署防护工具,如防病毒、硬盘加密、终端入侵检 测等软件,并定期进行软件的更新,并将终端设备纳入组织整体的访问控制体系中; e) 部署终端数据防泄漏方案,通过技术工具对终端设备上数据以及数据的操作进行风险监控; f) 提供整体的终端 安全解决方案,实现终端设备与组织内部员工的有效绑定,按统一的部署标准 在终端设备系统上安装各类防控软件(如防病毒、硬盘加密、终端入侵检测等软件);
30、g) 确保负责该项工作的人员充分了解终端设备的数据出入口以及相应的数据安全风险,能利用相 应的工具实现整体的安全控制方案。 5.9 监控与审计 针对数据生命周期各阶段(数据采集、数据传输、数据存储、数据处理、数据交换、数据 退役 )开 展安全监控和审计,以保证对数据的访问和操作均得到有效的监控和审计,实现对数据生命周期各阶段 中可能存在的未授权访问、数据滥用、数据泄漏等安全风险的 防控。 公共管理和服务机构应 : a) 设立负责对数据生存周期各阶段的数据访问和操作的安全风险进行监控和审计的岗位和人员, 该岗位和人员属于组织风险管理架构的一部分,遵循风险管理整体的职能设置; b) 明确对组织内部
31、各类数据访问和操作的日志记录要求、安全监控要求和审计要求; c) 记录数据操作事件,并制定数据安全风险行为识别和评估规则; d) 定期对组织内部员工数据操作行为进行人工审计; e) 采用自动和人工审计相结合的方法或手段,对数据的高风险操作进行监控; f) 建立针对数据访问和操作的日志监控技术工具,实现对数据异常访问和操作的告警,将高敏 感 数据及特权账户对数据的访问和操作都纳入重点的监控范围; g) 部署必要的数据防泄漏实时监控技术手段,监控及报告个人信息、重要数据等的外发行为; h) 采用技术工具对数据交换服务流量数据进行安全监控和分析; i) 确保负责该项工作的人员了解数据访问和操作涉及的
32、数据范围,具备对安全风险的判断能力。 5.10 鉴别与访问控制 通过基于组织机构的数据安全需求和合规性要求 , 建立身份鉴别和数据访问控制机制,防止对数据 的未授权访问风险。 公共管理和服务机构应 : a) 设立负责制定组织内用户身份鉴别、访问控制和权限管理的策略的岗位和人员; b) 明确 组织的身份鉴别、访问控制与权限管理要求,明确对身份标识与鉴别、访问控制及权限的 分配、变更、撤销等权限管理的要求; c) 按最少够用、职权分离等原则,授予不同账户为完成各自承担任务所需的最小权限,并在它们 DB15/T 1874 2020 9 之间形成相互制约的关系; d) 明确数据权限授权审批流程,对数据
33、权限申请和变更进行审核; e) 定期审核数据访问权限,及时删除或停用多余的、过期的账户和角色,避免共享账户和角色权 限冲突的存在; f) 对外包人员和实习生的数据访问权限进行严格控制; g) 建立组织统一的身份鉴别管理系统,支持组织主要应用接入,实现对人员访问数据资源的统一 身份 鉴别; h) 建立组织统一的权限管理系统,支持组织主要应用接入,对人员访问数据资源进行访问控制和 权限管理; i) 采用技术手段实现身份鉴别和权限管理的联动控制; j) 采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其 中一种鉴别技术至少应使用密码技术实现; k) 确保访问控制的粒度
34、达到主体为用户级,客体为系统、文件、数据库表级或字段; l) 确保负责该项工作的人员熟悉相关的数据访问控制的技术知识,并能够根据组织数据安全管理 制度对数据权限进行审批管理。 5.11 需求分析 通过建立针对组织机构业务的数据安全 需求分析体系,分析组织机构内数据业务的安全需求。 公共管理和服务机构应 : a) 设立负责数据安全需求分析的岗位和人员,由该岗位和人员负责对数据业务设计、开发等阶段 开展数据安全需求分析工作,确保安全需求的有效制定和规范化表达; b) 明确数据安全需求分析的制定流程和评审机制,明确安全需求文档内容要求; c) 依据国家法律、法规、标准等要求,分析数据安全合规性需求;
35、 d) 结合机构战略规划、数据服务业务目标和业务特点,明确数据服务安全需求和安全规划实施的 优先级; e) 识别数据服务面临的威胁和自身脆弱性,分析数据安全风险和应对措施需求; f) 建 立承载数据业务的安全需求分析系统,该系统记录所有的数据业务的需求分析的申请、需求 分析以及相关安全方案,以保证对所有的数据业务的安全需求分析过程的有效追溯; g) 确保负责该项工作的人员具有需求分析挖掘能力,对组织的数据安全管理的业务有充分的理 解,各业务的需求分析人员对数据安全需求分析标准有一致性理解。 5.12 数据供应链安全 通过建立组织机构的数据供应链 和供应商 管理机制,防范组织机构上下游的数据供应
36、过程中的安全 风险。 公共管理和服务机构应 : a) 设置组织整体的数据供应链安全管理岗位和人员, 由该岗位和人员 负责制定整体 的数据供应链 管理要求和解决方案; b) 明确数据供应链安全管理规范,定义数据供应链安全目标、原则和范围,明确数据供应链的责 任部门和人员、数据供应链上下游的责任和义务以及组织内部的审核原则; c) 通过合作协议方式明确数据供应链中,数据的使用目的、供应方式、保密约定、安全责任义务 等; d) 应明确针对数据供应商的数据安全能力评估规范,根据该规范对数据供应商的数据安全能力进 行评估,并将评估结果应用于供应商选择、供应商审核等供应商管理过程中; DB15/T 187
37、4 2020 10 e) 应建立组织整体的数据供应链库,用于管理数据供应链目录和相关数据源数据字典,便于及时 查看并 更新组织上下游数据供应链的整体情况,并用于事后追踪分析数据供应链上下游合规情 况; f) 建立 供应商 安全管理规范,定义 供应商 安全 管理的 目标、原则和范围,明确责任部门和人员、 数据供应链上下游的责任和义务以及组织机构内部的审核原则 ; g) 通过合作协议方式明确数据链中数据的使用目的、供应方式、保密约定、安全责任义务等 ; h) 制定针对数据供应商的数据安全能力评估规范,根据该规范对数据供应商的数据安全能力进行 评估,并将评估结果应用于供应商选择、供应商审核等供应商管
38、理过程中 ; i) 采取技术措施和管理手段,确保数据供应链上下游对数据交换、使 用符合法律法规,数据供应 链相关数据服务真实可用 ; j) 建立组织机构数据供应链目录和相关数据源数据字典 ; k) 负责该项过程的人员应 了解 组织机构上下游数据供应链的整体 情况 , 熟悉供应链安全方面的法 规和标准, 并具备推进供应链管理方案落地的能力。 5.13 安全事件应急 建立针对数据的安全事件应急响应体系,对各类安全事件进行及时响应和处置。 公共管理和服务机构应 : a) 设立专职负责数据安全事件管理和应急响应的岗位和人员,由该岗位和人员牵头制定数据安全 应急响应工作要求、处置流程,编制应急预案,规划实施应急演练工作; b) 明确数据安全事 件管理和应急响应工作指南,定义数据安全事件类型,明确不同类别事件的处 置流程和方法; c) 明确数据安全事件应急预案,定期开展应急演练活动; d) 确保组织的数据安全事件应急响应机制符合国家有关主管部门的政策文件要求; e) 建立统一的安全事件管理系统,对日志、流量等内容进行关联分析; f) 确保负责该项工作的人员具备安全事件的判断能力,熟悉安全事件应急响应措施。 6 安全监管 公共数据主管机构 建立针对 数据安全 的监管体系, 确立 对各类数据安全
