DB2201 T 18-2022 政务数据安全管理责任指南.pdf

《DB2201 T 18-2022 政务数据安全管理责任指南.pdf》由会员分享，可在线阅读，更多相关《DB2201 T 18-2022 政务数据安全管理责任指南.pdf（7页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35 . 0 20 CCS L0 9 220 1 长 春 市 地 方 标 准 DB 220 1/T 1 8 202 2 政务 数据安 全管理 责任指 南 G uid el i nes fo r m anagem en t respo nsi bility of gov ern m ent data sec urit y 202 2 - 01 - 14 发布 202 2 - 01 - 30 实施 长春 市市场 监督管 理局 发 布DB 22 0 1 /T 18 20 22 I 前 言 本 文件 按照 GB /T 1. 1 20 20 标准 化工 作 导则 第 1 部 分： 标准 化 文件

2、 的结 构 和起 草规 则 的 规定 起草 。 本文 件的 某些 内容 可能 涉及 专利 ，本 文件 的发 布机 构不 承担 识别 专利 的责 任。 本文 件由 长春 市政 务服 务和 数字 化建 设管 理局 提出 并归 口。 本文 件主 要起 草单 位： 长春 市政 务服 务和 数字 化建 设管 理局 、杭 州安 恒信 息技 术股 份有 限公 司。 本 文件 主要 起草 人 ： 刘 竞雄 、 丁 慧东 、 柳 羽辉 、 戚 志军 、 孟 红月 、 刘 烁 、 冷 皓 、 吴 晨 、 吴 怡 、 金 晓 雳、 王振 斌。DB 22 0 1 /T 18 20 22 1 政务 数据安 全管理 责任

3、指 南 1 范围 本文 件规 定了 政务 数据 安全 涉及 的数 据管 理相 关方 、 数据 管理 组织 、 数据 提供 者及 数据 运营 者的 管 理责 任 。 本文 件适 用于 政务 数据 安全 的 管理 责任 工作 。 2 规范 性引 用文 件 下 列文 件中 的内 容通 过文 中的 规范 性引 用而 构成 本文 件必 不可 少的 条款 。 其 中 ， 注 日期 的引 用文 件 ， 仅该 日期 对应 的版 本适 用于 本文 件 ； 不注 日期 的引 用文 件 ， 其最 新版 本 （ 包括 所有 的修 改单 ） 适用 于本 文件 。 GB / T 25 0 6 9 信息 安全 技术 术语

4、GB / T 35 2 9 5 信息 技术 大数 据 术语 3 术语 和定 义 GB / T 25 0 6 9 和 GB /T 35 2 9 5 界定 的以 及下 列术 语和 定义 适用 于本 文件 。 服务 第三 方 t hi r d pa r t y se r v ic e pr o v id e r 提供 相关 数据 管理 服务 的供 应方 。 数据 管理 组织 Da t a ma nage ment or g a ni zati on 政府 赋予 数据 管理 职能 的组 织。 数据 血缘 Da t a Li neag e 数 据在 产生 、 传 输 、 存 储 、 处 理 、 交 换到

5、 销毁 的全 生命 周期 过程 中 ， 数 据之 间形 成的 可追 溯的 关联 关系 。 数据 安全审 计 data secu r ity aud it 根据 数据安 全审计 的要求 ，对数 据本 身以 及与 其形 成过 程安 全相 关的 内部 控制 和流 程进 行检 查 、 评价 ，并 发表 审计 意见 。 4 缩略 语DB 22 0 1 /T 18 20 22 2 下列 缩略 语适 用于 本文 件。 AP I : 应用 程序 编程 接口 (A p p l ic a ti on Pr o g ra mmin g In t e rf ace) ET L : 数据 仓库 技术 (E x t r

6、ac t -T rans form -Loa d ) 5 数据 管理 相关 方 数据 管理 相关 方包 括： 数据 安全 管理 组织 、数 据提 供者 、数 据使 用者 、数 据运 营者 。 数据 安全 管理 组织 应履 行数 据安 全管 理、 安全 执行 、安 全审 计、 数据 共享 管理 的职 责。 a) 数 据 安 全 管 理 者负 责 数 据 安 全 相 关 领 域 和 环 节 的 决策 ， 制 定 并 审 议 数 据 安 全 相 关 制 度， 监 督 执行 和组 织落 实业 务部 门数 据安 全相 关工 作。 b) 数 据 安 全 执 行 者负 责 数 据 安 全 相 关 领 域 和

7、 环 节 工 作的 执 行 ， 制 定 数 据 安 全 相 关 细 则 ，落 实 各 项安 全措 施， 配合 数据 安全 管理 者开 展各 项工 作。 c) 数据 安全 审计 者对 安全 策略 的适 当性 进行 评价 ，帮 助检 测安 全违 规， 并生 成安 全审 计报 告。 d) 数 据 共 享 管 理 者对 数 据 共 享 交 换 等 平 台 和 过 程 进 行管 理 ， 执 行 数 据 安 全 管 理 者 分 配 的工 作 任 务。 数据 提供 者是 参与 政务 数据 在开 放 、 共享 、 交换 、 交易 等过 程的 采集 数据 进行 处理 的人 员或 组织 。 数据 使用 者在 开放

8、 、共 享、 交换 、交 易等 过程 中获 取数 据的 人员 或组 织。 数据 运营 者是 对政 务数 据在 开放 、共 享、 交换 、交 易等 过程 中进 行控 制的 人员 或组 织。 6 数据 管理 组织 数据 安全 管理 者责 任包 括但 不限 于： a) 确 定 数 据 的 分 类分 级 初 始 值 ， 制 定 数 据 分 类 分 级 指南 。 与 提 供 数 据 的 业 务 部 门 合 作 ，确 定 数 据的 安全 级别 ； b) 综 合 考 虑 法 律 法规 、 政 策 、 标 准 、 数 据 分 析 技 术 水平 、 组 织 所 处 行 业 特 殊 性 等 因 素 ，评 估 数

9、据安 全风 险， 制定 数据 安全 基本 要求 ； c) 对数 据访 问进 行授 权； d) 建立 相应 的数 据安 全管 理监 督机 制， 监视 数据 安全 管理 机制 的有 效性 ； e) 组织 人员 培训 ，应 建立 数据 安全 培训 机制 ，定 期组 织开 展数 据安 全专 项培 训。 数据 安全 执行 者责 任包 含但 不限 于： a) 根据 数据 安全 管理 者的 要求 实施 安全 措施 ； b) 为数 据安 全管 理者 授权 的相 关方 分配 数据 访问 权限 和机 制； c) 配合 数据 安全 管理 者处 置安 全事 件； d) 记录 数据 活动 的相 关日 志。 e) 定 期

10、 组 织 开 展 对数 据 开 放 、 共 享 、 交 换 、 交 易 等 过程 的 数 据 安 全 检 查 ； 定 期 对 数 据 使用 者 的 数据 安全 防护 能力 进行 评估 。 f) 当 发 生 重 大 数 据安 全 事 件 时 ， 数 据 管 理 组 织 应 牵 头成 立 调 查 组 对 发 生 安 全 事 件 的 相 关方 进 行 调 查 ， 调 查 组 可以 调 阅 、 摘 抄 、 复 制 与 数 据 安 全 事件 有 关 的 资 料 ， 封 存 有 关 设 备 ， 进行 调 查 取 证 ； 根 据 调 查结 果 对 相 关 数 据 提 供 、 管 理 、 运 营及 使 用 的

11、 相 关 方 进 行 责 任 追 究 ， 责令 限 期 整 改 ； 对 造 成 重大 损 失 或 者 社 会 影 响 的 ， 责 令 暂 停相 关 业 务 ， 涉 及 违 法 犯 罪 的 由 公 安机 关 依 法查 处。DB 22 0 1 /T 18 20 22 3 数据 安全 审计 者责 任包 含但 不限 于： a) 审计 数据 活动 的主 体 、 操作 及对 象等 相关 属性 ， 确保 数据 活动 的过 程和 相关 操作 符合 安全 要求 ； b) 定期 审计 数据 安全 的管 理情 况； c) 出具 数据 安全 审计 报告 。 d) 监督 和推 动各 方对 审计 结果 进行 确认 、 整

12、改 、 复测 、 关闭 ； 对审 计中 的高 危风 险及 时汇 报给 数 据安 全管 理者 ，确 保风 险有 人负 责处 置过 程， 并对 处置 过程 进行 验证 。 数据 共享 管理 者责 任包 含但 不限 于： a) 建立 数据 资源 共享 管理 制度 ，负 责数 据资 源目 录的 编制 、审 核和 维护 ； b) 依据 数据 资源 目录 审核 归集 的数 据资 源， 确保 归集 数据 合规 性、 准确 性和 完整 性； c) 牵头 制定 数据 分类 分级 标准 ，开 展相 关工 作； d) 牵头 制定 数据 使用 的策 略和 规则 ，对 数据 使用 者的 数据 共享 申请 进行 审批 ；

13、 e) 对数 据使 用者 的分 析数 据结 果输 出进 行抽 查。 7 数据 提供 者 数据 提供 者责 任包 括但 不限 于： a) 向数 据管 理组 织提 供数 据资 源目 录； b) 遵 循 “ 一 数 一 源 ” 和 必 要 及 最 小 化 的 原 则 采 集 数 据 ， 不 宜 重 复 采 集 通 过 共 享 方 式 获 取 的 数 据 资源 ； c) 给出 采集 和提 供数 据的 共享 范围 、共 享期 限、 共享 用途 和数 据保 存期 限； d) 对数 据使 用者 提交 的数 据共 享申 请， 根据 履职 需要 和最 小化 原则 ，进 行审 批授 权； e) 对共 享的 数据

14、设置 对应 的数 据分 类分 级标 签； f) 通过 技术 手段 确保 共享 数据 的完 整性 和一 致性 ，并 按照 约定 的频 率更 新数 据。 8 数据 使用 者 数据 使用 者责 任包 括但 不限 于： a) 基 于业 务场 景向 数据 提供 者或 数据 管理 者申 请数 据共 享 ， 明 确数 据的 使用 目的 、 范 围 、 期 限 、 更新 频率 等具 体使 用需 求； b) 不再 对脱 敏后 的个 人信 息和 敏感 数据 进行 再识 别； c) 根据 共享 数据 的保 存期 限进 行数 据销 毁工 作； d) 根据 获取 到的 共享 数据 的安 全级 别， 采取 相应 等级 的

15、安 全防 护措 施进 行防 护； e) 根 据 业 务 需 求 对共 享 数 据 进 行 再 次 加 工 时 ， 联 合 数据 管 理 者 对 加 工 后 的 数 据 进 行 识 别和 设 置 分类 分级 标签 ，并 采取 相应 等级 的防 护措 施进 行安 全防 护； f) 完整 记录 数据 使用 过程 中的 操作 日志 ； g) 明确 数据 使用 的第 一责 任人 。 9 数据 运营 者 数据 运营 者安 全责 任包 括但 不限 于：DB 22 0 1 /T 18 20 22 4 a) 进 行 书 面 安 全 承诺 ， 承 诺 提 供 的 产 品 和 服 务 不 包 含恶 意 程 序 、

16、隐 蔽 接 口 或 未 明 示 功 能的 模 块 等； b) 建 立 并 执 行 针 对产 品 和 服 务 安 全 缺 陷 、 漏 洞 的 应 急响 应 机 制 和 流 程 ， 在 发 现 提 供 的 产品 和 服 务 存 在 安 全 缺 陷、 漏 洞 时 ， 立 即 采 取 修 复 或 替 代 方案 等 补 救 措 施 ， 及 时 告 知 用 户 安 全风 险 ， 并向 数据 管理 者报 告； c) 收 集 用 户 信 息 应明 确 告 知 收 集 用 户 信 息 的 目 的 、 用途 、 范 围 和 类 型 ， 在 用 户 明 示 同 意后 ， 按 照 最 少 够 用 原 则收 集 实 现

17、 产 品 和 服 务 功 能 所 需 的 最少 用 户 信 息 ， 并 采 取 安 全 措 施 保 护用 户 信 息的 安全 ； d) 产 品 和 服 务 上 线前 应 告 知 数 据 管 理 者 上 线 计 划 ， 并接 受 数 据 管 理 者 或 由 数 据 管 理 者 授权 委 托 的服 务方 进行 安全 检查 ； e) 建 立 内 部 监 督 审计 机 制 ， 对 提 供 服 务 的 人 员 进 行 监督 和 审 计 ， 签 订 保 密 协 议 ， 确 保 其不 泄 露 用户 的业 务数 据； f) 接 受 数 据 管 理 组织 的 安 全 监 管 工 作 ， 按 监 管 要 求 提供

18、 相 关 交 付 件 供 数 据 管 理 者 或 监 管服 务 方 审核 评估 ，并 对通 报的 安全 风险 进行 及时 整改 ； g) 根据 数据 管理 者制 定的 安全 策略 和规 则进 行数 据的 访问 授权 管理 工作 ； h) 提 供服 务 AP I 的 用户 鉴别 、 鉴 权和 访问 控制 的能 力 ， 并 支持 服务 AP I 的 调用 日志 记录 和外 发 ； 采 取 措 施 保 障 服 务 AP I 自 身 的 安 全 性 ， 确 保 服 务 AP I 具 备 防 重 放、 代 码 注 入 、 拒 绝 服 务 攻 击 等 攻 击 防 护 能 力； 提 供 服 务 AP I 过

19、 载 保 护 的 能 力， 实 现 不 同 服 务 等 级 用 户 间业 务 的 公 平 性 和 系统 整体 性处 理能 力的 最大 化。 i) 对归 集的 数据 保留 原始 表， 不做 任何 加工 清洗 ，以 满足 溯源 、数 据质 量核 查等 需求 ； j) 提 供 数 据 ET L 服 务 的 应 根 据 质量 规 则 进 行 标 准 化 处 理 ， 并通 过 技 术 手 段 保 障 数 据 的 一 致 性 。 对所 有的 ET L 过程 应记 录日 志， 并可 提供 给第 三方 进行 审计 ； k) 提 供 数 据 同 步 服务 的 通 过 技 术 手 段 保 障 数 据 同 步 过程

20、 的 一 致 性 ， 记 录 数 据 同 步 过 程 的所 有 日 志， 并可 提供 给第 三方 进行 审计 ； l) 提 供 数 据 分 析 计算 服 务 的 应 配 合 数 据 管 理 者 或 数 据使 用 者 对 新 生 成 的 数 据 进 行 识 别 和设 置 分 类分 级标 签。DB 22 0 1 /T 18 20 22 5 参 考 文 献 1 GB / T 22 2 3 9 20 1 9 信息 安全 技术 网络 安全 等级 保护 基本 要求 2 GB / T 35 2 7 4 20 1 7 信息 安全 技术 大数 据服 务安 全能 力要 求 3 GB / T 37 9 7 3 20 1 9 信息 安全 技术 大数 据安 全管 理指 南