DB3301 T 0322.2-2020 数据资源管理 第2部分：政务数据安全责任.pdf

《DB3301 T 0322.2-2020 数据资源管理 第2部分：政务数据安全责任.pdf》由会员分享，可在线阅读，更多相关《DB3301 T 0322.2-2020 数据资源管理 第2部分：政务数据安全责任.pdf（9页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35.020L 72 DB3301浙 江 省 杭 州 市 地 方 标 准DB 3301/T 0322.2 2020数 据 资 源 管 理第 2 部 分 ： 政 务 数 据 安 全 责 任 2020 -10- 31发 布 2020- 11-30实 施杭 州 市 市 场 监 督 管 理 局 发 布 DB3301/T 0322.22020 I 目 次前 言 .III1 范 围 .12 规 范 性 引 用 文 件 .13 术 语 和 定 义 .14 缩 略 语 .25 数 据 安 全 责 任 方 通 用 要 求 .26 数 据 提 供 方 安 全 职 责 .26.1 数 据 来 源 合 法 .

2、2 6.2 数 据 管 理 .27 数 据 使 用 方 安 全 职 责 .37.1 共 享 数 据 申 请 .37.2 共 享 数 据 管 理 .38 数 据 管 理 方 安 全 职 责 .38.1 统 筹 协 调 .38.2 数 据 管 理 .38.3 安 全 监 管 .48.4 安 全 检 查 .49 服 务 第 三 方 安 全 职 责 .49.1 通 用 要 求 .4 9.2 数 据 服 务 安 全 职 责 .59.3 应 用 开 发 安 全 职 责 .59.4 监 管 服 务 安 全 职 责 .5参 考 文 献 .6 DB3301/T 0322.22020 II 前 言本 部 分 按

3、照 GB/T1.1-2020 标 准 化 工 作 导 则 第 1部 分 ： 标 准 化 文 件 的 结 构 和 起 草 规 则 的 规 定 起草 。 本 次 发 布 DB3301/T 0322 数 据 资 源 管 理 分 为 4个 部 分 ， 以 后 根 据 工 作 需 要 ， 再 视 情 增 补 。 第 1 部 分 ： 政 务 数 据 安 全 监 管 ； 第 2 部 分 ： 政 务 数 据 安 全 责 任 ； 第 3 部 分 ： 政 务 数 据 分 类 分 级 ； 第 4 部 分 ： 政 务 数 据 共 享 流 程 。本 部 分 为 DB3301/T 0322的 第 2部 分 。本 部 分

4、由 杭 州 市 数 据 资 源 管 理 局 提 出 并 归 口 。 本 部 分 起 草 单 位 ： 杭 州 市 数 据 资 源 管 理 局 、 萧 山 区 数 据 资 源 管 理 局 、 杭 州 安 恒 信 息 技 术 股 份 有 限 公司 、 浙 江 鸿 程 计 算 机 系 统 有 限 公 司 、 数 字 扁 担 （ 浙 江 ） 科 技 有 限 公 司 。本 部 分 主 要 起 草 人 ： 周 俊 、 樊 兴 悦 、 郭 鹏 飞 、 齐 同 军 、 章 建 平 、 丁 熙 、 任 子 骙 、 孙 茂 阳 、 赵 忠 、 徐飞 、 王 梦 婕 。 DB3301/T 0322.22020 1 数

5、 据 资 源 管 理 第 2 部 分 ： 政 务 数 据 安 全 责 任1 范 围本 部 分 规 定 了 政 务 数 据 资 源 管 理 过 程 中 ， 数 据 提 供 方 、 数 据 使 用 方 、 数 据 管 理 方 和 服 务 第 三 方 的 数据 安 全 职 责 。本 部 分 适 用 于 政 务 数 据 共 享 过 程 的 数 据 安 全 责 任 划 分 。2 规 范 性 引 用 文 件下 列 文 件 中 的 内 容 通 过 文 中 的 规 范 性 引 用 而 构 成 文 件 必 不 可 少 的 条 款 。 其 中 ， 注 日 期 的 引 用 文 件 ，仅 该 日 期 对 应 的 版

6、本 适 用 于 本 文 件 ； 不 注 日 期 的 引 用 文 件 ， 其 最 新 版 本 （ 包 括 所 有 的 修 改 单 ） 适 用 于 本 文 件 。GB/T 25069 信 息 安 全 技 术 术 语3 术 语 和 定 义GB/T 25069界 定 的 以 及 下 列 术 语 和 定 义 适 用 于 本 部 分 。3.1 数 据 安 全 责 任 方承 担 政 务 数 据 安 全 管 理 工 作 的 相 关 单 位 ， 包 括 数 据 提 供 方 、 数 据 使 用 方 、 数 据 管 理 方 和 服 务 第 三 方 。3.2 数 据 管 理 方由 政 府 赋 予 政 务 数 据 管

7、理 职 能 的 行 政 机 构 。3.3 服 务 第 三 方通 过 签 订 合 同 的 方 式 ， 承 担 信 息 技 术 服 务 的 商 业 机 构 。3.4 公 共 数 据 工 作 平 台开 展 政 务 数 据 共 享 工 作 的 管 理 平 台 。3.5 数 据 血 缘数 据 在 产 生 、 传 输 、 存 储 、 处 理 、 交 换 到 销 毁 的 全 生 命 周 期 过 程 中 ， 数 据 之 间 形 成 的 可 回 溯 的 关 联关 系 。3.6 交 付 件对 监 管 活 动 起 到 佐 证 作 用 的 任 何 实 体 ， 包 括 但 不 限 于 各 种 文 档 、 图 片 、 录

8、 音 、 录 像 、 实 物 、 数 据 等 ，并 以 纸 质 、 电 子 等 形 式 有 效 保 存 。 DB3301/T 0322.22020 2 3.7 数 据 服 务提 供 数 据 采 集 、 数 据 传 输 、 数 据 存 储 、 数 据 处 理 （ 包 括 计 算 、 分 析 、 可 视 化 等 ） 、 数 据 交 换 、 数 据销 毁 等 数 据 生 存 形 态 演 变 的 一 种 网 络 信 息 服 务 。GB/T 35274 定 义 3.34 缩 略 语API 应 用 程 序 接 口 （ Application Programming Interface）5 数 据 安 全

9、责 任 方 通 用 要 求数 据 安 全 责 任 方 要 求 包 括 ： 应 按 照 谁 主 管 、 谁 负 责 ， 谁 提 供 、 谁 负 责 ， 谁 使 用 、 谁 负 责 ， 谁 运 营 、 谁 负 责 的 原 则 ， 在 各 自职 责 范 围 内 ， 做 好 数 据 安 全 管 理 工 作 ； 应 明 确 数 据 安 全 责 任 方 之 间 的 安 全 责 任 边 界 ， 通 过 合 同 或 其 他 有 效 措 施 ， 明 确 界 定 各 方 职 责 ；涉 及 需 要 依 赖 另 一 方 安 全 措 施 有 效 性 的 ， 责 任 由 双 方 共 同 承 担 ； 数 据 提 供 方 、

10、 数 据 使 用 方 、 数 据 管 理 方 可 通 过 签 订 合 同 的 方 式 ， 将 数 据 安 全 管 理 和 技 术 支 撑 工作 外 包 给 服 务 第 三 方 ， 但 安 全 责 任 不 随 服 务 外 包 而 转 移 ； 数 据 共 享 工 作 应 通 过 公 共 数 据 工 作 平 台 进 行 ， 原 则 上 不 允 许 数 据 使 用 方 与 数 据 提 供 方 私 下 进 行数 据 的 交 换 和 共 享 ； 应 按 照 网 络 安 全 等 级 保 护 、 关 键 信 息 基 础 设 施 保 护 等 要 求 ， 制 定 并 实 施 安 全 管 理 制 度 、 规 程 和

11、安 全 策 略 ； 应 保 障 各 阶 段 数 据 血 缘 的 完 整 性 ， 并 提 供 相 应 的 数 据 操 作 日 志 用 于 监 管 审 计 ； 共 享 数 据 的 使 用 期 限 应 符 合 相 关 规 定 的 要 求 ， 对 超 过 申 请 使 用 期 限 的 数 据 应 进 行 销 毁 ； 应 建 立 数 据 安 全 培 训 机 制 ， 定 期 开 展 数 据 安 全 意 识 教 育 和 安 全 专 项 技 能 培 训 ， 培 训 计 划 和 培 训 内 容 应 覆 盖 不 同 岗 位 人 员 的 数 据 安 全 管 理 与 技 能 要 求 。6 数 据 提 供 方 安 全 职

12、 责6.1 数 据 来 源 合 法数 据 提 供 方 在 采 集 政 务 数 据 过 程 中 应 满 足 以 下 要 求 ： 应 按 照 法 定 职 责 ， 采 集 政 务 数 据 资 源 ， 明 确 本 部 门 数 据 采 集 范 围 、 采 集 程 序 、 维 护 规 范 ， 确 保数 据 的 准 确 性 、 完 整 性 、 时 效 性 ； 除 法 律 、 法 规 另 有 规 定 ， 应 当 遵 循 “ 一 数 一 源 ” 的 原 则 ， 不 得 重 复 采 集 公 共 数 据 工 作 平 台 已 有数 据 。6.2 数 据 管 理 数 据 提 供 方 在 进 行 数 据 管 理 时 ，

13、应 满 足 以 下 要 求 ： 应 编 制 本 部 门 政 务 数 据 资 源 目 录 ， 定 义 共 享 数 据 范 围 和 保 存 期 限 ； 应 根 据 相 关 数 据 分 类 分 级 要 求 ， 设 置 数 据 标 签 ； 应 及 时 响 应 数 据 使 用 方 的 共 享 数 据 申 请 ， 按 共 享 审 批 授 权 流 程 进 行 审 批 授 权 ， 提 供 共 享 数 据 ； DB3301/T 0322.22020 3 应 确 保 所 提 供 共 享 数 据 的 准 确 性 、 完 整 性 、 时 效 性 。7 数 据 使 用 方 安 全 职 责7.1 共 享 数 据 申 请数

14、 据 使 用 方 申 请 共 享 数 据 时 ， 应 满 足 以 下 要 求 ： 应 基 于 履 职 需 要 ， 进 行 共 享 数 据 申 请 ； 申 请 共 享 数 据 时 ， 应 明 确 申 请 共 享 类 型 、 申 请 依 据 （ 法 律 要 求 、 履 职 需 要 等 ） 、 使 用 场 景 、 使用 系 统 及 IP、 使 用 时 间 、 系 统 安 全 级 别 及 措 施 、 部 署 层 级 、 日 均 调 用 量 等 具 体 使 用 需 求 。7.2 共 享 数 据 管 理数 据 使 用 方 使 用 共 享 数 据 时 ， 应 满 足 以 下 要 求 ： 应 在 所 申 请

15、应 用 场 景 和 应 用 系 统 范 围 内 使 用 共 享 数 据 ； 应 根 据 获 取 共 享 数 据 的 安 全 级 别 ， 提 供 不 同 等 级 的 安 全 防 护 措 施 ； 对 所 获 取 的 共 享 数 据 进 行 融 合 加 工 分 析 时 ， 应 对 新 生 成 的 结 果 数 据 设 置 相 应 等 级 数 据 标 签 ， 并落 实 相 应 等 级 的 安 全 防 护 措 施 ； 不 应 对 脱 敏 后 的 个 人 信 息 和 敏 感 数 据 进 行 再 识 别 ； 应 对 共 享 数 据 使 用 情 况 进 行 记 录 分 析 ， 确 保 数 据 正 当 使 用 ；

16、 应 将 超 过 使 用 时 间 的 共 享 数 据 进 行 销 毁 。8 数 据 管 理 方 安 全 职 责8.1 统 筹 协 调由 数 据 管 理 方 进 行 数 据 统 筹 协 调 管 理 工 作 ， 并 满 足 以 下 要 求 ： 应 依 照 国 家 网 络 和 数 据 安 全 法 律 、 法 规 和 标 准 ， 制 定 数 据 安 全 规 章 、 政 策 和 标 准 ， 指 导 其 它 数据 安 全 责 任 方 开 展 数 据 安 全 管 理 工 作 ； 应 建 立 数 据 安 全 监 测 预 警 、 信 息 通 报 和 应 急 处 置 机 制 ， 制 定 数 据 安 全 应 急 预

17、 案 ， 开 展 应 急 演 练 ，通 报 数 据 安 全 事 件 ， 调 查 处 理 重 大 数 据 安 全 事 件 。8.2 数 据 管 理数 据 管 理 方 进 行 数 据 管 理 工 作 时 ， 应 满 足 以 下 要 求 ： 应 组 织 编 制 政 务 数 据 资 源 目 录 ， 对 政 务 数 据 实 行 统 一 目 录 管 理 ， 明 确 数 据 提 供 方 、 共 享 开 放 属性 等 要 素 ； 应 牵 头 制 定 数 据 分 类 分 级 规 则 ， 对 数 据 提 供 方 提 交 的 数 据 分 类 分 级 情 况 进 行 审 核 ， 对 不 符 合 要求 的 数 据 分

18、类 分 级 情 况 ， 责 令 数 据 提 供 方 重 新 设 置 标 签 ； 对 数 据 使 用 方 的 数 据 共 享 申 请 进 行 二 次 审 批 ， 重 点 审 核 数 据 使 用 场 景 和 时 间 是 否 与 申 请 依 据 相符 ； 明 确 数 据 接 口 安 全 管 理 制 度 ， 包 括 数 据 接 口 安 全 控 制 措 施 、 接 口 适 用 范 围 、 日 均 调 用 量 ， 发 布者 和 使 用 者 权 利 与 义 务 等 ， 并 定 期 审 查 发 布 的 数 据 中 是 否 含 有 违 规 信 息 ； 对 数 据 使 用 方 的 数 据 分 析 模 型 进 行

19、审 核 ， 确 保 衍 生 的 数 据 不 超 过 数 据 使 用 方 所 申 请 的 数 据 使 用范 围 ， 对 分 析 结 果 输 出 进 行 抽 查 ， 避 免 分 析 结 果 输 出 中 包 含 可 恢 复 的 个 人 信 息 、 重 要 数 据 等 数据 和 结 构 标 识 ， 防 止 个 人 信 息 、 重 要 数 据 等 敏 感 信 息 的 泄 漏 ； DB3301/T 0322.22020 4 应 加 强 对 公 共 数 据 工 作 平 台 的 安 全 管 理 工 作 。8.3 安 全 监 管数 据 管 理 方 应 对 其 他 数 据 安 全 责 任 方 进 行 安 全 监

20、管 ， 并 满 足 以 下 要 求 ： 应 制 定 数 据 运 行 监 管 规 范 ， 对 数 据 提 供 方 、 数 据 使 用 方 和 服 务 第 三 方 的 数 据 访 问 和 操 作 行 为 进行 监 管 ； 应 对 服 务 第 三 方 提 供 的 产 品 和 服 务 进 行 监 管 ， 要 求 服 务 第 三 方 提 供 相 关 交 付 件 ， 通 过 对 交 付 件进 行 分 析 审 核 、 评 估 验 证 等 活 动 ， 确 保 服 务 第 三 方 所 提 供 的 产 品 和 服 务 持 续 满 足 安 全 能 力 要 求 ； 监 管 过 程 中 发 现 的 安 全 风 险 事

21、件 应 及 时 告 知 相 关 方 ， 并 监 督 其 整 改 ； 宜 委 托 有 资 质 和 专 业 技 术 能 力 的 服 务 第 三 方 来 承 担 安 全 监 管 工 作 ， 并 做 好 授 权 和 监 督 审 计 工作 ， 并 确 保 承 担 安 全 监 管 工 作 的 服 务 方 独 立 于 其 他 服 务 第 三 方 。8.4 安 全 检 查 数 据 管 理 方 应 定 期 对 其 他 数 据 安 全 责 任 方 开 展 安 全 检 查 工 作 ， 对 发 现 的 问 题 采 取 以 下 措 施 ： 对 检 查 中 发 现 的 安 全 管 理 缺 陷 或 安 全 隐 患 ， 应

22、提 出 限 期 整 改 要 求 ； 对 检 查 中 发 现 的 重 大 安 全 隐 患 ， 应 责 令 立 即 排 除 ； 对 检 查 中 发 现 的 失 泄 密 隐 患 ， 应 立 即 向 保 密 行 政 管 理 部 门 报 告 ； 对 检 查 中 发 现 的 违 法 行 为 ， 应 立 即 制 止 ， 并 提 请 公 安 部 门 依 法 查 处 。9 服 务 第 三 方 安 全 职 责9.1 通 用 要 求9.1.1 人 员 管 理服 务 第 三 方 在 提 供 服 务 时 ， 应 满 足 以 下 要 求 ： 应 明 确 和 被 服 务 方 的 安 全 责 任 边 界 ， 签 订 安 全

23、责 任 书 ， 承 担 违 约 责 任 ； 应 遵 循 “ 最 小 可 用 ” 原 则 分 配 被 服 务 方 系 统 账 号 权 限 ； 服 务 人 员 应 使 用 唯 一 的 系 统 账 号 ， 严 禁 多 名 服 务 人 员 共 用 一 个 系 统 账 号 ； 应 建 立 服 务 人 员 离 岗 （ 调 岗 ） 管 理 制 度 ， 做 好 工 作 交 接 ， 签 订 离 岗 保 密 协 议 ； 应 建 立 服 务 人 员 奖 惩 机 制 ， 发 现 或 被 服 务 方 通 报 人 员 异 常 及 违 规 行 为 时 ， 应 实 行 调 研 处 置 、 岗位 调 离 、 解 除 聘 任 合

24、 同 等 惩 戒 措 施 。9.1.2 保 密 管 理服 务 第 三 方 在 提 供 服 务 时 ， 应 满 足 以 下 要 求 ： 应 与 被 服 务 方 签 订 保 密 协 议 ， 明 确 保 密 义 务 和 责 任 ； 应 建 立 保 密 管 理 制 度 ， 与 本 单 位 参 与 服 务 人 员 签 订 保 密 协 议 。9.1.3 服 务 质 量服 务 第 三 方 提 供 的 产 品 和 服 务 应 满 足 以 下 要 求 ： 提 供 的 产 品 和 服 务 应 满 足 国 家 法 律 法 规 和 地 方 规 章 的 信 息 安 全 要 求 ； 所 使 用 服 务 工 具 应 接 受

25、 数 据 管 理 方 或 数 据 管 理 方 授 权 机 构 的 安 全 检 查 ； 应 制 定 网 络 和 数 据 安 全 事 件 应 急 预 案 ， 定 期 组 织 开 展 应 急 演 练 ； 应 及 时 处 置 网 络 和 数 据 安 全 事 件 ， 按 规 定 将 事 件 处 置 情 况 报 告 被 服 务 方 。 DB3301/T 0322.22020 5 9.1.4 安 全 监 管服 务 第 三 方 应 接 受 数 据 管 理 方 或 数 据 管 理 方 授 权 机 构 的 安 全 监 管 ， 按 要 求 记 录 服 务 过 程 中 的 过 程 信息 ， 留 存 系 统 服 务 日

26、 志 ， 提 供 相 关 交 付 件 ， 并 对 通 报 的 安 全 风 险 进 行 整 改 。9.2 数 据 服 务 安 全 职 责服 务 第 三 方 在 提 供 数 据 服 务 时 ， 应 满 足 以 下 要 求 ： 应 根 据 被 服 务 方 制 定 的 安 全 策 略 和 规 则 提 供 数 据 服 务 ； 提 供 数 据 API开 发 服 务 的 ， 应 提 供 服 务 API的 用 户 鉴 别 、 鉴 权 和 访 问 控 制 的 能 力 ， 并 具 备 防 重放 、 代 码 注 入 、 DoS/DDoS等 攻 击 防 护 能 力 ； 提 供 数 据 治 理 服 务 的 应 根 据

27、数 据 质 量 规 则 进 行 标 准 化 处 理 ， 并 通 过 技 术 手 段 保 障 数 据 的 一 致性 ; 提 供 数 据 同 步 服 务 的 应 通 过 技 术 手 段 保 障 数 据 同 步 过 程 的 一 致 性 ， 记 录 数 据 同 步 过 程 的 所 有 日 志 ； 应 配 合 数 据 管 理 方 或 数 据 使 用 方 对 新 生 成 的 数 据 进 行 识 别 和 打 标 。9.3 应 用 开 发 安 全 职 责服 务 第 三 方 在 提 供 应 用 开 发 服 务 时 ， 应 满 足 以 下 要 求 ： 应 在 测 试 环 境 进 行 应 用 功 能 开 发 和 测

28、 试 ， 测 试 环 境 应 与 生 产 环 境 安 全 隔 离 ； 应 按 照 授 权 审 批 流 程 申 请 测 试 数 据 ， 并 在 完 成 测 试 后 删 除 测 试 数 据 ； 开 发 过 程 中 涉 及 到 使 用 敏 感 数 据 的 ， 应 脱 敏 后 使 用 。9.4 监 管 服 务 安 全 职 责服 务 第 三 方 在 提 供 监 管 服 务 时 ， 应 满 足 以 下 要 求 ： 应 在 数 据 管 理 方 的 监 督 和 授 权 下 开 展 安 全 运 行 监 管 工 作 ， 需 要 其 它 数 据 安 全 责 任 方 提 供 交 付 件时 应 有 数 据 管 理 方

29、授 权 ； 应 配 合 数 据 管 理 方 制 定 监 管 规 范 ， 规 定 数 据 操 作 日 志 记 录 要 求 ； 应 汇 聚 并 审 计 被 监 管 方 的 数 据 操 作 日 志 ， 及 时 发 现 数 据 违 规 操 作 行 为 ； 应 对 其 它 服 务 第 三 方 实 施 的 安 全 控 制 措 施 、 变 更 管 理 、 应 急 响 应 等 进 行 持 续 监 管 ， 通 过 技 术 措施 或 文 件 审 核 等 方 式 对 服 务 第 三 方 承 诺 的 安 全 控 制 项 进 行 评 估 验 证 。 DB3301/T 0322.22020 6 参 考 文 献1 GB/T 37988 信 息 安 全 技 术 数 据 安 全 能 力 成 熟 度 模 型2 GB/T 37973 信 息 安 全 技 术 大 数 据 安 全 管 理 指 南_