1、ICS 35 . 0 20 CCS L0 9 220 1 长 春 市 地 方 标 准 DB 220 1/T 1 8 202 2 政务 数据安 全管理 责任指 南 G uid el i nes fo r m anagem en t respo nsi bility of gov ern m ent data sec urit y 202 2 - 01 - 14 发布 202 2 - 01 - 30 实施 长春 市市场 监督管 理局 发 布DB 22 0 1 /T 18 20 22 I 前 言 本 文件 按照 GB /T 1. 1 20 20 标准 化工 作 导则 第 1 部 分: 标准 化 文件
2、 的结 构 和起 草规 则 的 规定 起草 。 本文 件的 某些 内容 可能 涉及 专利 ,本 文件 的发 布机 构不 承担 识别 专利 的责 任。 本文 件由 长春 市政 务服 务和 数字 化建 设管 理局 提出 并归 口。 本文 件主 要起 草单 位: 长春 市政 务服 务和 数字 化建 设管 理局 、杭 州安 恒信 息技 术股 份有 限公 司。 本 文件 主要 起草 人 : 刘 竞雄 、 丁 慧东 、 柳 羽辉 、 戚 志军 、 孟 红月 、 刘 烁 、 冷 皓 、 吴 晨 、 吴 怡 、 金 晓 雳、 王振 斌。DB 22 0 1 /T 18 20 22 1 政务 数据安 全管理 责任
3、指 南 1 范围 本文 件规 定了 政务 数据 安全 涉及 的数 据管 理相 关方 、 数据 管理 组织 、 数据 提供 者及 数据 运营 者的 管 理责 任 。 本文 件适 用于 政务 数据 安全 的 管理 责任 工作 。 2 规范 性引 用文 件 下 列文 件中 的内 容通 过文 中的 规范 性引 用而 构成 本文 件必 不可 少的 条款 。 其 中 , 注 日期 的引 用文 件 , 仅该 日期 对应 的版 本适 用于 本文 件 ; 不注 日期 的引 用文 件 , 其最 新版 本 ( 包括 所有 的修 改单 ) 适用 于本 文件 。 GB / T 25 0 6 9 信息 安全 技术 术语
4、GB / T 35 2 9 5 信息 技术 大数 据 术语 3 术语 和定 义 GB / T 25 0 6 9 和 GB /T 35 2 9 5 界定 的以 及下 列术 语和 定义 适用 于本 文件 。 服务 第三 方 t hi r d pa r t y se r v ic e pr o v id e r 提供 相关 数据 管理 服务 的供 应方 。 数据 管理 组织 Da t a ma nage ment or g a ni zati on 政府 赋予 数据 管理 职能 的组 织。 数据 血缘 Da t a Li neag e 数 据在 产生 、 传 输 、 存 储 、 处 理 、 交 换到
5、 销毁 的全 生命 周期 过程 中 , 数 据之 间形 成的 可追 溯的 关联 关系 。 数据 安全审 计 data secu r ity aud it 根据 数据安 全审计 的要求 ,对数 据本 身以 及与 其形 成过 程安 全相 关的 内部 控制 和流 程进 行检 查 、 评价 ,并 发表 审计 意见 。 4 缩略 语DB 22 0 1 /T 18 20 22 2 下列 缩略 语适 用于 本文 件。 AP I : 应用 程序 编程 接口 (A p p l ic a ti on Pr o g ra mmin g In t e rf ace) ET L : 数据 仓库 技术 (E x t r
6、ac t -T rans form -Loa d ) 5 数据 管理 相关 方 数据 管理 相关 方包 括: 数据 安全 管理 组织 、数 据提 供者 、数 据使 用者 、数 据运 营者 。 数据 安全 管理 组织 应履 行数 据安 全管 理、 安全 执行 、安 全审 计、 数据 共享 管理 的职 责。 a) 数 据 安 全 管 理 者负 责 数 据 安 全 相 关 领 域 和 环 节 的 决策 , 制 定 并 审 议 数 据 安 全 相 关 制 度, 监 督 执行 和组 织落 实业 务部 门数 据安 全相 关工 作。 b) 数 据 安 全 执 行 者负 责 数 据 安 全 相 关 领 域 和
7、 环 节 工 作的 执 行 , 制 定 数 据 安 全 相 关 细 则 ,落 实 各 项安 全措 施, 配合 数据 安全 管理 者开 展各 项工 作。 c) 数据 安全 审计 者对 安全 策略 的适 当性 进行 评价 ,帮 助检 测安 全违 规, 并生 成安 全审 计报 告。 d) 数 据 共 享 管 理 者对 数 据 共 享 交 换 等 平 台 和 过 程 进 行管 理 , 执 行 数 据 安 全 管 理 者 分 配 的工 作 任 务。 数据 提供 者是 参与 政务 数据 在开 放 、 共享 、 交换 、 交易 等过 程的 采集 数据 进行 处理 的人 员或 组织 。 数据 使用 者在 开放
8、 、共 享、 交换 、交 易等 过程 中获 取数 据的 人员 或组 织。 数据 运营 者是 对政 务数 据在 开放 、共 享、 交换 、交 易等 过程 中进 行控 制的 人员 或组 织。 6 数据 管理 组织 数据 安全 管理 者责 任包 括但 不限 于: a) 确 定 数 据 的 分 类分 级 初 始 值 , 制 定 数 据 分 类 分 级 指南 。 与 提 供 数 据 的 业 务 部 门 合 作 ,确 定 数 据的 安全 级别 ; b) 综 合 考 虑 法 律 法规 、 政 策 、 标 准 、 数 据 分 析 技 术 水平 、 组 织 所 处 行 业 特 殊 性 等 因 素 ,评 估 数
9、据安 全风 险, 制定 数据 安全 基本 要求 ; c) 对数 据访 问进 行授 权; d) 建立 相应 的数 据安 全管 理监 督机 制, 监视 数据 安全 管理 机制 的有 效性 ; e) 组织 人员 培训 ,应 建立 数据 安全 培训 机制 ,定 期组 织开 展数 据安 全专 项培 训。 数据 安全 执行 者责 任包 含但 不限 于: a) 根据 数据 安全 管理 者的 要求 实施 安全 措施 ; b) 为数 据安 全管 理者 授权 的相 关方 分配 数据 访问 权限 和机 制; c) 配合 数据 安全 管理 者处 置安 全事 件; d) 记录 数据 活动 的相 关日 志。 e) 定 期
10、 组 织 开 展 对数 据 开 放 、 共 享 、 交 换 、 交 易 等 过程 的 数 据 安 全 检 查 ; 定 期 对 数 据 使用 者 的 数据 安全 防护 能力 进行 评估 。 f) 当 发 生 重 大 数 据安 全 事 件 时 , 数 据 管 理 组 织 应 牵 头成 立 调 查 组 对 发 生 安 全 事 件 的 相 关方 进 行 调 查 , 调 查 组 可以 调 阅 、 摘 抄 、 复 制 与 数 据 安 全 事件 有 关 的 资 料 , 封 存 有 关 设 备 , 进行 调 查 取 证 ; 根 据 调 查结 果 对 相 关 数 据 提 供 、 管 理 、 运 营及 使 用 的
11、 相 关 方 进 行 责 任 追 究 , 责令 限 期 整 改 ; 对 造 成 重大 损 失 或 者 社 会 影 响 的 , 责 令 暂 停相 关 业 务 , 涉 及 违 法 犯 罪 的 由 公 安机 关 依 法查 处。DB 22 0 1 /T 18 20 22 3 数据 安全 审计 者责 任包 含但 不限 于: a) 审计 数据 活动 的主 体 、 操作 及对 象等 相关 属性 , 确保 数据 活动 的过 程和 相关 操作 符合 安全 要求 ; b) 定期 审计 数据 安全 的管 理情 况; c) 出具 数据 安全 审计 报告 。 d) 监督 和推 动各 方对 审计 结果 进行 确认 、 整
12、改 、 复测 、 关闭 ; 对审 计中 的高 危风 险及 时汇 报给 数 据安 全管 理者 ,确 保风 险有 人负 责处 置过 程, 并对 处置 过程 进行 验证 。 数据 共享 管理 者责 任包 含但 不限 于: a) 建立 数据 资源 共享 管理 制度 ,负 责数 据资 源目 录的 编制 、审 核和 维护 ; b) 依据 数据 资源 目录 审核 归集 的数 据资 源, 确保 归集 数据 合规 性、 准确 性和 完整 性; c) 牵头 制定 数据 分类 分级 标准 ,开 展相 关工 作; d) 牵头 制定 数据 使用 的策 略和 规则 ,对 数据 使用 者的 数据 共享 申请 进行 审批 ;
13、 e) 对数 据使 用者 的分 析数 据结 果输 出进 行抽 查。 7 数据 提供 者 数据 提供 者责 任包 括但 不限 于: a) 向数 据管 理组 织提 供数 据资 源目 录; b) 遵 循 “ 一 数 一 源 ” 和 必 要 及 最 小 化 的 原 则 采 集 数 据 , 不 宜 重 复 采 集 通 过 共 享 方 式 获 取 的 数 据 资源 ; c) 给出 采集 和提 供数 据的 共享 范围 、共 享期 限、 共享 用途 和数 据保 存期 限; d) 对数 据使 用者 提交 的数 据共 享申 请, 根据 履职 需要 和最 小化 原则 ,进 行审 批授 权; e) 对共 享的 数据
14、设置 对应 的数 据分 类分 级标 签; f) 通过 技术 手段 确保 共享 数据 的完 整性 和一 致性 ,并 按照 约定 的频 率更 新数 据。 8 数据 使用 者 数据 使用 者责 任包 括但 不限 于: a) 基 于业 务场 景向 数据 提供 者或 数据 管理 者申 请数 据共 享 , 明 确数 据的 使用 目的 、 范 围 、 期 限 、 更新 频率 等具 体使 用需 求; b) 不再 对脱 敏后 的个 人信 息和 敏感 数据 进行 再识 别; c) 根据 共享 数据 的保 存期 限进 行数 据销 毁工 作; d) 根据 获取 到的 共享 数据 的安 全级 别, 采取 相应 等级 的
15、安 全防 护措 施进 行防 护; e) 根 据 业 务 需 求 对共 享 数 据 进 行 再 次 加 工 时 , 联 合 数据 管 理 者 对 加 工 后 的 数 据 进 行 识 别和 设 置 分类 分级 标签 ,并 采取 相应 等级 的防 护措 施进 行安 全防 护; f) 完整 记录 数据 使用 过程 中的 操作 日志 ; g) 明确 数据 使用 的第 一责 任人 。 9 数据 运营 者 数据 运营 者安 全责 任包 括但 不限 于:DB 22 0 1 /T 18 20 22 4 a) 进 行 书 面 安 全 承诺 , 承 诺 提 供 的 产 品 和 服 务 不 包 含恶 意 程 序 、
16、隐 蔽 接 口 或 未 明 示 功 能的 模 块 等; b) 建 立 并 执 行 针 对产 品 和 服 务 安 全 缺 陷 、 漏 洞 的 应 急响 应 机 制 和 流 程 , 在 发 现 提 供 的 产品 和 服 务 存 在 安 全 缺 陷、 漏 洞 时 , 立 即 采 取 修 复 或 替 代 方案 等 补 救 措 施 , 及 时 告 知 用 户 安 全风 险 , 并向 数据 管理 者报 告; c) 收 集 用 户 信 息 应明 确 告 知 收 集 用 户 信 息 的 目 的 、 用途 、 范 围 和 类 型 , 在 用 户 明 示 同 意后 , 按 照 最 少 够 用 原 则收 集 实 现
17、 产 品 和 服 务 功 能 所 需 的 最少 用 户 信 息 , 并 采 取 安 全 措 施 保 护用 户 信 息的 安全 ; d) 产 品 和 服 务 上 线前 应 告 知 数 据 管 理 者 上 线 计 划 , 并接 受 数 据 管 理 者 或 由 数 据 管 理 者 授权 委 托 的服 务方 进行 安全 检查 ; e) 建 立 内 部 监 督 审计 机 制 , 对 提 供 服 务 的 人 员 进 行 监督 和 审 计 , 签 订 保 密 协 议 , 确 保 其不 泄 露 用户 的业 务数 据; f) 接 受 数 据 管 理 组织 的 安 全 监 管 工 作 , 按 监 管 要 求 提供
18、 相 关 交 付 件 供 数 据 管 理 者 或 监 管服 务 方 审核 评估 ,并 对通 报的 安全 风险 进行 及时 整改 ; g) 根据 数据 管理 者制 定的 安全 策略 和规 则进 行数 据的 访问 授权 管理 工作 ; h) 提 供服 务 AP I 的 用户 鉴别 、 鉴 权和 访问 控制 的能 力 , 并 支持 服务 AP I 的 调用 日志 记录 和外 发 ; 采 取 措 施 保 障 服 务 AP I 自 身 的 安 全 性 , 确 保 服 务 AP I 具 备 防 重 放、 代 码 注 入 、 拒 绝 服 务 攻 击 等 攻 击 防 护 能 力; 提 供 服 务 AP I 过
19、 载 保 护 的 能 力, 实 现 不 同 服 务 等 级 用 户 间业 务 的 公 平 性 和 系统 整体 性处 理能 力的 最大 化。 i) 对归 集的 数据 保留 原始 表, 不做 任何 加工 清洗 ,以 满足 溯源 、数 据质 量核 查等 需求 ; j) 提 供 数 据 ET L 服 务 的 应 根 据 质量 规 则 进 行 标 准 化 处 理 , 并通 过 技 术 手 段 保 障 数 据 的 一 致 性 。 对所 有的 ET L 过程 应记 录日 志, 并可 提供 给第 三方 进行 审计 ; k) 提 供 数 据 同 步 服务 的 通 过 技 术 手 段 保 障 数 据 同 步 过程
20、 的 一 致 性 , 记 录 数 据 同 步 过 程 的所 有 日 志, 并可 提供 给第 三方 进行 审计 ; l) 提 供 数 据 分 析 计算 服 务 的 应 配 合 数 据 管 理 者 或 数 据使 用 者 对 新 生 成 的 数 据 进 行 识 别 和设 置 分 类分 级标 签。DB 22 0 1 /T 18 20 22 5 参 考 文 献 1 GB / T 22 2 3 9 20 1 9 信息 安全 技术 网络 安全 等级 保护 基本 要求 2 GB / T 35 2 7 4 20 1 7 信息 安全 技术 大数 据服 务安 全能 力要 求 3 GB / T 37 9 7 3 20 1 9 信息 安全 技术 大数 据安 全管 理指 南
