DB52/T 1557-2021标准规范下载简介
DB52/T 1557-2021 大数据开放共享安全管理规范.pdfICS 35.080 CCS L 77
DB52/T 1557202
of big data
GTCC-038-2018标准下载贵州省市场监督管理局 发布
DB52/T15572021
范围 规范性引用文件 术语和定义, 总体要求: 数据流通 数据开放安全管理 数据共享安全管理 参考文献, 10
DB52/T15572021
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由贵州航天计量测试技术研究所提出。 本文件由贵州省大数据标准化技术委员会归口。 本文件起草单位:贵州航天计量测试技术研究所、贵州大学、贵州省机械电子产品质量监督检验院, 贵州财经大学、贵州省保密技术检查中心、贵州医科大学附属医院、贵州中软云上数据技术服务有限公 司。 本文件主要起草人:潘积文、陈永久、杨玉龙、彭长根、丁红发、郑少波、朱义杰、田有亮、 李明贵、禹忠、邓迪、杨大刚、姜龙、李帅、冯迪、黄克敏、魏自强、关艳梅、韦超。
DB52/T1557—2021大数据开放共享安全管理规范1范围本文件规定了大数据开放共享安全管理总体要求、数据流通过程、数据开放安全管理和数据共享安全管理。本文件适用于大数据开放共享的安全管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修订单)适用于本文件。GB/T 22239信息安全技术网络安全等级保护基本要求GB/T35295信息技术大数据术语3术语和定义GB/T 352955界定的以及下列术语和定义适用于本文件。3. 1数据资源data source数据提供方在履行职责、业务处理、日常管理等过程中依法采集、生成、存储、管理的各类不宜公开的数据,不含涉密数据和公开数据。3.2数据开放data open数据提供方在安全保密、公共利益导向前提下,面向数据接收方以非排他形式提供数据资源的行为。3. 3数据共享data share数据提供方因履行职责、公共利益需要,经与数据接收方商,向数据接收方提供数据资源的行为。3.4数据提供方dataprovider基于数据流通平台,向其他政府部门、团体机构、企事业单位或公众提供数据资源的实体。注:包括政府部门、团体机构、企事业单位或公众。I
DB52/T15572021
数据流通应遵循以下原则: 责任共担原则:数据流通服务机构、数据提供方、数据接收方对数据流通过程及结果负责,共 同确保数据流通的安全。 合法合规原则:数据流通应遵从数据安全管理的相关法律法规、合同、标准等,遵守社会公德: 不得损害国家利益、社会公共利益和他人合法权益。 C 责任权属原则:数据提供方对数据负责,数据流通过程中,责任不随数据转移而转移 d 最小授权原则:在保证数据流通完整实现的基础上,数据流通过程中各参与方具备最小操作权 限,确保非法用户或异常操作所造成的损失最小。 数据安全原则:数据流通服务机构应确保数据流通平台的安全控制措施和策略有效,保护数据 生命周期的安全。 安全审计原则:对数据流通平台的每次数据流通行为进行记录,确保可追溯可审查,
数据流通服务机构应满足以下要求: a)为无违法违规记录的境内合法组织机构; b 得到相关行政或主管部门的授权或许可; c)具备承担数据流通服务相对应的安全保障能力 d)将从事境内数据流通服务的数据流通平台部署在我国境内:
DB52/T1557—2021数据流通服务机构数据数据开放数据流通流通数据提供方数据准备数据发布开放结束数据接收方安全安全管理管理保障数据流通平台保障图1数据开放服务参考框架5.2数据共享数据共享服务参考框架如图2所示。数据共享涉及到数据提供方、数据接收方和数据流通服务机构。数据流通服务机构依托数据流通平台,制定数据流通安全管理保障措施,为数据提供方、数据接收方提供数据共享服务。数据共享包括数据准备、共享商、共享实施和共享结束。数据流通服务机构数据数据共享数据流通流通数据提供方数据准备共享商共享实施共享结束数据接收方安全安全管理管理保障数据流通平台保障际准信息服务平台图2数据共享服务参考框架6数据开放安全管理6. 1数据准备6. 1.1数据提供方要求数据提供方应满足以下要求:为无违法犯罪记录的境内合法组织或自然人;完成在数据流通服务机构的注册,并经数据流通服务机构审核通过;遵守数据流通服务机构的安全管理制度和流程。6.1.2数据安全4
DB52/T1557—20216.1.2.1数据安全要求参与开放的数据应满足以下要求:a)J应确保通过合同或其他诸如强制的内部策略等明确界定数据接收方接收的数据范围和要求,确保其提供同等或更高的数据保护水平;b)应采用防计算机病毒系统对数据进行安全性扫描,确保数据的安全可靠;c)J应是真实可靠的数据,不应有蓄意伪造、篡改等造成数据污染的行为;d)不应携带涉密、商业秘密、隐私等敏感信息及违法信息。6.1.2.2数据分类要求应对开放数据进行分类,数据分类应满足以下要求:a)数据分类应易于理解:b)应形成文档化的数据分类条目,便于查询。6.1.3访问控制策略6.1.3.1策略制定应根据数据提供方数据开放的需求和目标,结合数据接收方的实际需求,按照最小授权原则,制定明确的数据开放访问控制策略。6.1.3.2策略更新应根据数据提供方数据开放的需求和目标、数据接收方的需求、数据流通平台的变化情况,及时调整现有的访问控制策略,动态保障数据流通平台的访问权限。6.1.4方案设计要求数据流通服务机构进行数据开放应制定详细方案,方案设计应满足以下要求a)方案设计前应进行安全性及数据泄露风险评估,根据评估结果确定应采取的保护措施:应自行或组织具有相应能力的承建单位承担数据开放方案的设计:c)应联合数据提供方对设计方案进行审查论证。6. 2数据发布安全6. 2. 1数据流通平台安全数据流通平台应满足以下要求:服务平台a)符合GB/T22239中第3级的相关安全要求:b)采用的密码技术应遵循相关国家标准和行业标准。6.2.2数据传输安全数据传输应满足以下要求:a)应对数据接收方进行身份鉴别;b)应采用密码技术进行数据传输保护,采用的密码技术应遵循相关国家标准和行业标准。6.2.3数据安全审计数据开放过程应满足以下安全审计要求:5
DB52/T 1557202
6.2.4数据权属明确
效据开放过程中,应明确数据权属不变,仍为数据提供方所有,数据转移过程中应遵循责任权属
6. 2.5 数据开放期限
数据流通服务机构与数据提供方应约定数据开放期限
6.3.1数据接收方要求
数据接收方应满足以下要求: a)应为无违法犯罪记录的境内合法组织或自然人; b)应完成在数据流通服务机构的注册,并经数据流通服务机构审核通过; 应证明其具备对开放数据实施安全保护的能力; d 应提供书面的数据开放和使用安全承诺,内容包括但不限于:遵守数据开放安全原则,愿意接 受数据流通服务机构安全监督,遵从数据提供方提出的数据安全要求,对所持有数据提供充分 的安全保护,未经明确授权不公开或转交数据给第三方,未经明确授权不应转移或携带数据出 境,不用于违法犯罪用途等,
6. 3. 2数据销毁要求
数据销毁应满足以下要求: a)数据流通平台在按照数据开放规则完成数据开放后,应及时销毁开放数据; b)数据流通平台应长期保留数据开放日志记录,以备数据溯源
7.1.1数据提供方要求
数据提供方应满足以下要求: a)为无违法犯罪记录的境内合法组织或自然人; b)完成在数据流通服务机构的注册,并经数据流通服务机构审核通过: C)遵守数据流通服务机构的安全管理制度和流程。
DB52/T1557—20217.1.2.1数据安全要求参与共享的数据应满足以下要求:a)J应确保通过合同或其他诸如强制的内部策略等明确界定数据接收方接收的数据范围和要求,确保其提供同等或更高的数据保护水平;b)应采用防计算机病毒系统对数据进行安全性扫描,确保数据的安全可靠;应是真实可靠的数据,不应有蓄意伪造、纂改等造成数据污染的行为:不应携带涉密、商业秘密、隐私等敏感信息及违法信息。7.1.2.2数据分类要求应对共享数据进行分类,数据分类应满足以下要求:a)数据分类应易于理解;b)应形成文档化的数据分类条目,便于查询7.1.3访问控制策略7.1.3.1策略制定应根据数据提供方数据共享的需求和目标,结合数据接收方的实际需求,按照最小授权原则,制定明确的数据共享访问控制策略。7.1.3.2策略更新应根据数据提供方数据共享的需求和目标、数据接收方的需求、数据流通平台的变化情况,及时调整现有的访问控制策略,动态保障数据流通平台的访问权限。7.1.4方案设计要求数据流通服务机构进行数据开放应制定详细方案,方案设计应满足以下要求:a)方案设计前应进行安全性及数据泄露风险评估,根据评估结果确定应采取的保护措施;应自行或组织具有相应能力的承建单位承担数据共享方案的设计:c)J应联合数据提供方对设计方案进行审查论证。7. 2数据共享商7.2. 1共享商要求数据共享商应满足以下要求:a)数据提供方、数据接收方应对共享数据的用途、使用范围、共享方式和使用期限等协商和约定,形成共享合同;b)数据流通服务机构应对共享合同从数据流通安全、个人信息保护安全等方面进行审核,确保满足合规性要求,撤销不符合要求的共享合同;c)数据流通服务机构应对审核通过的合同进行登记备案,并对数据提供方、数据接收方发出合同确认通知。7.2.2数据共享承诺数据共享承诺应满足以下要求:
DB52/T 1557202
a)数据提供方、数据流通服务机构、数据接收方在启动数据共享流程前应签订书面的数据共享和 使用安全承诺: b 安全承诺内容包括但不限于:遵守数据共享安全原则,数据流通服务机构愿意接受数据提供方 的安全监督,数据接收方愿意接受数据流通服务机构安全监督,遵守数据提供方提出的数据安 全要求,对所持有数据提供充分的安全保护,未经明确授权不公开或转交数据给第三方,未经 明确授权不应转移或携带数据出境,不用于违法犯罪用途等,
7.3.1数据流通平台安全
数据流通平台应满足以下要求: a)符合GB/T22239中第3级的相关安全要求; b)采用的密码技术应遵循相关国家标准和行业标准
7.3.2数据传输安全
数据传输应满足以下要求: a)应对数据接收方进行身份鉴别: b)应采用密码技术进行数据传输保护DB14/T 713-2018标准下载,采用的密码技术应遵循相关国家标准和行业标准
7.3.3数据安全审计
7.3.4数据权属明确
数据共享过程中,应明确数据权属不变,仍为数据提供方所有,数据转移过程中应遵循责任权属原
《生产安全事故应急预案管理办法》应急管理部令7.4.1数据接收方要求
数据接收方应满足以下要求: a)应为无违法犯罪记录的境内合法组织或自然人; b)应完成在数据流通服务机构的注册,并经数据流通服务机构审核通过: c)应证明其具备对共享数据实施安全保护的能力; d)在按照数据共享规则完成数据使用后,应及时销毁共享数据,
7.4.2数据销毁要求